Unidad 3: Fase 4 Ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,

Controles

Alexy Amanda Paz – 1085254537

GRUPO
90168_2

Presentado a:
DILSA ENITH TRIANA

Universidad Nacional Abierta y a Distancia UNAD- CEAD Pasto

Escuela de Ciencias Básicas y Tecnología ECBTI
Noviembre de 2017
 INTRODUCCION

El presente trabajo colaborativo correspondiente a la Unidad 3: Fase 4 Ejecución:

Hallazgos de la auditoria, Tratamiento de riesgos, Controles, permitió familiarizarnos de
forma práctica con el proceso de una auditoria de sistemas en una empresa real.
 Objetivos
Objetivo General
Llevar a cabo la Fase de Tratamiento de riesgos y Controles

Objetivos específicos:
 HALLAZGOS:
Partimos de la “matriz de riesgos” del trabajo colaborativo 2, identificando los
riesgos de mayor impacto y probabilidad en cada proceso, con esta información
diligenciamos los formatos de hallazgo, las consecuencias que trae a la
organización.

Hallazgos proceso: PO7. Administrar los Recursos Humanos de TI

REF
HALLAZGO H.PO7-1

PROCESO Funcionamiento del aspecto físico de la red PÁGINA

AUDITADO de datos 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
PO. PLANEAR
PROCES PO7. Administrar los
DOMINIO Y
O Recursos Humanos de TI
ORGANIZAR
DESCRIPCIÓN DEL HALLAZGO:

Los procedimientos para contratación del personal como las responsabilidades del
personal que trabaja en la empresa no se encuentran descritas en documentos oficiales
(Manuales, Protocolos, Normas, etc).

No se han realizado planes de capacitación ni estudios al personal para determinar las

necesidades de capacitación.

REF_PT: Cuestionario de Control: C1

CONSECUENCIAS:
El no contar con manuales normas o políticas claras dentro de la empresa trae como
consecuencia no garantizar con el cumplimiento eficiente del objeto económico de la
misma para su crecimiento y consolidación, no permite definir ni orientar el quehacer
del funcionario dentro de la empresa y soportar las acciones que se hagan diariamente.
Por otra parte el no contar con un plan de capacitación permanente trae como
consecuencia deficiencias de los procesos, baja calidad del servicio, incumplimiento a
la normatividad legal vigente, por su parte los empleados no tendrán un entendimiento
 claro sobre sus responsabilidades o deberes, tendrán dificultades para adaptarse y
entender el trabajo que se les encomienda, provocando desmotivación y posiblemente
rotación o cambio de personal lo que implica gastos económicos a la empresa.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Establecer manuales de procedimientos.
Realizar estudios sobre las necesidades de capacitación del personal para realizar un
plan de capacitación que permita mejorar el rendimiento y la eficiencia del personal
en la ejecución de sus deberes.

Hallazgos Proceso: DS5. Garantizar la Seguridad de los Sistemas

REF
HALLAZGO H-DS5-1

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS5. Garantizar la Seguridad
DOMINIO
SOPORTE O de los Sistemas
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se cuentan con procedimientos para la creación, modificación y eliminación de

perfiles de usuario en los equipos de la empresa, no existen los controles suficientes
para que un usuario tenga acceso restringido a los sistemas

No se lleva control del acceso de personal diferente al autorizado que hacen uso del
servidor, no se cuentan con licencias software, no se tienen instalados firewall, no se
garantiza la seguridad de los sistemas a través de la red.

REF_PT: Cuestionario de Control: C2

 CONSECUENCIAS:
No contar con los controles suficientes para que un usuario tenga acceso a los
sistemas puede traer como consecuencia el acceso no autorizado a información, daño
o manipulación, o robo de la misma.
No contar con las licencias de software, puede traer problemas ante alguna auditoría
por parte de las autoridades encargadas de velar contra la piratería.

La falta de políticas con relación a seguridad de la información trae como

consecuencia la interrupción en el servicio causadas por virus y ataques informáticos,
accesos indebidos a la información vital de empresa y perdida de confidencialidad de
datos y privacidad de clientes y usuarios.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
 Definir un procedimiento claro sobre la creación, modificación, eliminación y
privilegios de cuentas de usuarios.

 Se recomienda mantener toda la legalidad necesaria en cuento a licencias.

 Establecer políticas y procedimientos para administrar y monitorear la

seguridad de información de la empresa.

Hallazgos Proceso: DS11. Administración de Datos

REF
HALLAZGO H-DS11-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR PROCES DS11. Administración de
Y DAR O Datos
 SOPORTE
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se encontraron normas y políticas para el resguardo de la información de la

empresa.

REF_PT: Cuestionario de Control: C3

CONSECUENCIAS:
No contar con una protección esencial para los datos críticos almacenados en los
equipos trae como consecuencia la pérdida definitiva de la información e interrupción
del servicio.

RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir e implementar procedimientos de respaldo y restauración de los sistemas e
información crítica de la empresa.
Establecer un cronograma para realizar copias de seguridad y contar con un lugar
externo para su almacenamiento.

Hallazgos Proceso: DS12. Administración del Ambiente Físico

REF
HALLAZGO H-DS12-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR PROCES DS12. Administración del
Y DAR O Ambiente Físico
SOPORTE
 (DS).
DESCRIPCIÓN DEL HALLAZGO:

No existen señalizaciones adecuadas de las salidas de emergencia y no se tienen

establecidas rutas de evacuación, no se cuenta con algún sistema de seguridad que
impida el paso a lugares de acceso restringido, no se lleva registro de las personas que
ingresan a las instalaciones ni a los sistemas, no se cuenta con elementos de seguridad
para impedir que se sustraigan los equipos o dispositivos periféricos y además no se
cuenta con inventario de hardware, no se cuenta con sistemas de emergencia como son
detectores de humo, alarmas, u otro tipo de censores, los interruptores de energía y
cables de red no están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos, no se cuenta con un cronograma de mantenimiento preventivo y
correctivos para los equipos.

REF_PT: Cuestionario de Control: C4

CONSECUENCIAS:
Al no contar con algún sistema de seguridad que impida el paso a lugares de acceso
restringido, los usuarios, clientes u otras personas pueden sustraer los equipos de
cómputo o dispositivos periféricos así como también sustraer la información que ellos
contengan y considerando que no se lleva un inventario del hardware y el software
sería muy difícil identificar estas pérdidas causando deterioro en el activo patrimonial
de la empresa. Dada que los interruptores de energía y cables de red no están
protegidos puede causar inconvenientes con las corrientes eléctricas y al no tener
sistemas de seguridad como detectores de humo, alarmas o extintores se pueden
causar graves pérdidas o daños a la infraestructura física como también a los mismos
usuarios y personal de la empresa. De igual forma si un cable de red está en mal
estado, normalmente la transmisión de datos es lenta.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir políticas y estrategias para mantener un ambiente físico adecuado para
proteger los activos de tecnológicos de la empresa contra acceso, daño o robo.
Realizar de forma inmediata el inventario de hardware y software de la empresa.
 Partiendo de las tablas de evaluación de los riesgos detectados anteriormente en el
trabajo colaborativo 2 para cada uno de los procesos evaluados, se ha consolidado y
organizado de acuerdo a los activos de la empresa.
Análisis y evaluación de riesgos
N° RIESGOS/VALORACION Probabilidad Impacto
A M B L M C
Personal del Área
R1 El personal de la empresa no cuenta x x
con un plan de capacitación
Seguridad Lógica
R2 Perdida y manipulación de datos x x
Hardware
R3 Equipos con bajo rendimiento x x
Software
R4 Imposibilidad de restaurar el x x
sistema
R5 Daños al sistema operativo x x
R6 Transmisión y ataque de virus x x
informáticos
Seguridad Física
R7 Robo de equipos informáticos x x
R8 Incendios y cortos circuitos. x x
Infraestructura
R9 Daños al sistema eléctrico del x x
equipo de cómputo
R10 Acceso de personal no autorizado a x x
zonas restringidas.
R11 Acceso no autorizado al servidor, x x
intromisiones de otros usuarios al
equipo
R12 Imposibilidad para detectar x x
movimientos fraudulentos a los
equipos de cómputo
Redes
R13 Lento Rendimiento de la red. x x
R14 Acceso y manipulación a redes x x
privadas
R15 Caída de la red x x
Documentación
R16 Imposibilidad de identificar y x x
cuantificar el hardware y software
disponible de la empresa
R17 No se cuenta con manuales de x x
procedimientos

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
Matriz de Clasificación de riesgo

Lev Moderado Catastrófico

e
ALTO R1,R17 R6

MEDI R9,R10,R13,R1 R2,R4,R5,R7,R8,R11,R12,R14,R1

O 5 6
BAJO R3