 ALEJANDRO CIFUENTES– PLANEACIÓN Y ORGANIZACIÓN

Fuentes de información: Definir los procesos, organización y relaciones de TI.

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
Empresa Altycom
AUDITADA 1 DE 1
PROCESO
Definir los procesos, organización y relaciones de TI.
AUDITADO
RESPONSABLE Alejandro Cifuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planeación y Organización (PO)
PO04 Definir los procesos, organización y relaciones de TI
PROCESO

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENT DE ANALISIS DE EJECUCION
O

 Verificación  Comprobar de las

la responsabilidades
 Manual de responsabilidad de sobre los
riesgos de los riesgos.
(Documento). riesgos  Comprobar
 Personal relacionadoscon el procedimiento
encargado del TI utilizado por los
TI.  Verificación de encargados para
 Sistema de la la protección
control interno responsabilidad de datos y
riesgos. sobre la sistemas de
administración información.
de riesgo y la  Medición
seguridad a nivel de
de toda la resultados para
 empresa . garantizar que se
cumplan los
roles.

Entrevista: Definir los procesos, organización y relaciones de TI

ENTREVIS
TA
PO Definir los
Planeación y
DOMINI PROCES procesos, organización
Organización
O O y relaciones de TI
(DS)
OBJETIVO DE
CONTROL
N CUESTI RESPUESTA
º ÓN
¿Cuál es el personal encargado de la Existe un contrato de prestación de
tecnología de la información, cuáles servicio para la realización del
1 son sus funciones y mantenimiento preventivo del
responsabilidades? equipo en toda la empresa.

¿Existe alguna metodología para

2 establecer propiedady
responsabilidad con los riesgos
relacionados con TI?
¿Se utilizan métodos cualitativos o
cuantitativos para medir
3 probabilidad e impacto de los
riesgos que pueden afectar la
infraestructura tecnológica?
Se cuenta con un cronograma de
mantenimiento y seguridad
informativa.
Existe una carpeta en cada una de
las aulas tecnológicas en donde se
la describe el usuario y las
condiciones de la infraestructura
para el uso adecuado y
responsabilidades. Se realiza
revisión del fluido eléctrico.

¿Se cuenta con un sistema de

control para mitigar los riesgos que
pueden afectar la infraestructura
tecnológica del colegio frente a las No existe, se actúa de acuerdo a la
4 vulnerabilidades y amenazas, que emergencia.
vulnerabilidades y amenazas son las
más frecuentes?, se realiza
monitoreo periódico de riesgos?
¿La dependencia de TI, cuenta con Existen actas y evidencia física
 las herramientas que les permitan
5 enfrentar sus responsabilidades y de
propiedad sobre los datos y sistemas
de información?
¿Existe una adecuada supervisión
6 dentro de la TI, para garantizar que
las responsabilidades se cumplan de
forma propia?
como medida para enfrentar
responsabilidad, además, el
pagador realiza supervisión en
cada una de las eventualidades
Es asignado un supervisor para el
cumplimento de las obligaciones
del contratista.

LISTA CHEQUEO: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI

LISTA
CHEQUEO
PO Definir los
Planeación y
DOMINI PROCESO procesos, organización
Organización
O y relaciones de TI
(PO)
PO4.8 Responsabilidad sobre el Riesgo, la
OBJETIVO DE Seguridad y el Cumplimiento
CONTROL
CONFO
N ASPECTO EVALUADO RME OBSERVACIÓN
º SI N
O
¿Existe una metodología para
1 establecer la propiedad y X Existen contratos
responsabilidad de riesgos de TI? de prestación
de servicios.
¿Cuál es la seguridad que existe
2 para la protección de la X
información?
¿Cuáles son las políticas de
3 cumplimiento de los encargados de X
la protección de la información?

OBJETIVO DE PO4.9 Propiedad de Datos y de Sistemas

CONTROL
¿El personal encargado de la
Existen actas y evidencia
protección de datos y sistemas X
física como medida para
4 cuanta con las herramientas
enfrentar
necesarias para cumplir con las
responsabilidad.
responsabilidades?
 OBJETIVO DE PO4.10 Supervisión
CONTROL
¿Existe una implementación de El pagador realiza
prácticas adecuadas de supervisión X supervisión en cada una
5 dentro de la función de TI, para de las eventualidades y
garantizar que las responsabilidades el cumplimento de las
se cumplan de obligaciones
manera adecuada?
del
contratista.

CUESTIONARIO: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI
CUESTIONARIO CUANTITATIVO R
EF

ENTIDA Empresa Altycom PAGINA

D 1 D 1
AUDITA E
DA
PROCES Definir los procesos, organización y relaciones de TI
O
AUDITA
DO
RESPONSABLES Alejandro Cifuentes
MATERIAL COBIT 4.1
DE
SOPORTE
DOMINIO Planeación y PROCES PO4 Definir los
Organización O procesos, organización
(PO) y relaciones de TI

OBJETIVO DE CONTROL
N PREGUNT S N NA REF
A I O
1 ¿El personal encargado de la tecnología de 4
la información, está capacitado para
cumplir con las funciones?
2 ¿Existe alguna metodología para 3
establecer propiedad y responsabilidad
con los riesgos relacionados con TI?
3 ¿Se realiza la evaluación de los riesgos 3
que pueden afectar la infraestructura
tecnológica mediante la utilización de una
 metodología?
4 ¿La dependencia de TI, cuenta con las 4
herramientas que les permitan enfrentar
sus responsabilidades y de propiedad
sobre los datos y sistemas de información?

4 ¿Se utilizan métodos cualitativos o 4

cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar
la infraestructura tecnológica?
5 ¿Existe una adecuada supervisión dentro 3
de la TI, para garantizar que las
responsabilidades se cumplan de forma
propia?

TOTAL 1 7
4
TOTAL 20
CUESTIONARIO
Porcentaje de riesgo parcial = (14 * 100) / 20 = 70
Porcentaje de riesgo total = 100 – 70 = 30%
PORCENTAJE 30% (Riesgo Medio)
RIESGO

PROCESO GESTIÓN DE SISTEMAS DE LA INFORMACIÓN RIESGOS

INICIALES:

Listado de los riesgos iniciales encantados mediante el cuadro de amenazas y

riesgos informáticos.
1. Falta de capacitación del personal del área informática.
2. Falta de conocimiento de los usuarios en el tema de seguridad
informática y de la información.
3. No existe control de los dispositivos de almacenamiento.
4. No se tiene implementado un sistema de identificación de empleados,
visitantes, estudiantes y docentes.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

Mediante la aplicación del instrumento de recolección de información, como

entrevistas se encontraron nuevos riesgos.
 5. No existe una metodología que permita establecer la propiedad y
responsabilidad de riesgos.
6. Accesos no autorizados a las instalaciones del área tecnológica
7. No cuenta con un sistema de control para mitigar riesgos.
8. Faltan políticas de seguridad para el tratamiento de datos e información.
9. No cuentan con las herramientas necesarias mitigar riesgos.

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impacto Probabilidad

R1 Falta de capacitación del personal del área 5 3
informática.

R2 Falta de conocimiento de los usuarios en el tema 4 3

de seguridad informática y de la información.

R3 No existe control de los dispositivos de 4 4

almacenamiento.

R4 No se tiene implementado un sistema de 3 2

identificación de empleados, visitantes,
estudiantes y docentes.

R5 No existe una metodología que permita 3 3

establecer la propiedad y responsabilidad de
riesgos.

R6 Accesos no autorizados a las instalaciones del 2 2

área tecnológica.
R7 No cuenta con un sistema de control para mitigar 5 3
riesgos.
R8 Faltan políticas de seguridad para el 4 3
tratamiento de datos e información.
R9 No cuentan con las herramientas necesarias 3 2
mitigar riesgos.

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
 PROBABILIDA Insignificant Men Moderad May Catastrófic
D e (1) or o (3) or o (5)
(2) (4)
Raro (1)

Improbable (2) R6 R4,R9

Posible (3) R5 R2, R8, R1,R7,

Probable (4) R3

Casi Seguro (5)

Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en cada
caso.

R6 Zona de riesgo Baja: Asumir el riesgo

R4,R9 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
R5 Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
R1,R2,R
3,R7,R8

R6 Zona de riesgo Baja: implementar técnica para cada área

R4, R9 Zona de riesgo Moderada: implementar sistema de identificación

R5 Zona de riesgo Alta: señalar fechas puntuales y llevar un control

R2, R1, R3, Zona de riesgo Extremo: Dotar capacitaciones al personal, para minimizar
R7, R8 riesgos
A continuación, se presentan los dominios, procesos y objetivos de control relacionados
directamente con el objetivo y los alcances determinados en el plan de auditoría.

Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las
tácticas, tiene que ver con identificar la manera en que las tecnologías de información
pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Para ello los
procesos que se realizaran y los objetivos de control que se van a evaluar son los siguientes:

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas
debe estar claro y definido el personal de la tecnología de la información, los roles, las
funciones y responsabilidades, permitiendo el buen funcionamiento de servicios que
satisfagan los objetivos de la empresa.

 PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento:

Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un
nivel superior apropiado. Establecer responsabilidad sobre la administración del
riesgo y la seguridad a nivel de toda la dependencia para manejar los problemas a
nivel de toda la empresa.
 PO4.9 Propiedad de Datos y de Sistemas: Proporcionar a la dependencia los
procedimientos y herramientas que le permitan enfrentar sus responsabilidades de
propiedad sobre los datos y los sistemas de información. Los encargados toman
decisiones sobre la clasificación de la información y de los sistemas y sobre cómo
protegerlos de acuerdo con esta clasificación.
 PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión dentro de la
función de TI para garantizar que los roles y las responsabilidades se ejerzan de
forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad
 y recursos para ejecutar sus roles y responsabilidades y para revisar en general los
indicadores clave de desempeño.

El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo
al nivel de probabilidad y ocurrencia de los riesgos encontrados, en este sentido los riesgos
pueden ser aceptados, transferidos o se debe ejercer controles sobre ellos. Para los riesgos
que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad e
impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para
los riesgos que están en color amarillo (diagonal) y los riesgos que están en color rojo
(encima de la diagonal) cuya probabilidad es media o alta y el impacto es moderado o
catastrófico se debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo,
transferirlo significa que otra empresa o personal especializado se haga cargo de esos
riesgos y la empresa paga por ese servicio y ejercer control significa que debo proponer
controles para esos riesgos.

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 Falta de capacitación del personal del área Transferir
informática.

R2 Falta de conocimiento de los usuarios en Transferir

el tema de seguridad informática y de la
información.
R3 No existe control de los dispositivos de Transferir
almacenamiento.

R4 No se tiene implementado un sistema de Controlarlo

identificación de empleados, visitantes,
estudiantes y docentes.

R5 No existe una metodología que permita Controlarlo

establecer la propiedad y responsabilidad
de riesgos.

R6 Accesos no autorizados a Aceptarlo

las instalaciones del área
tecnológica.
R7 No cuenta con un sistema de control para Transferir
mitigar riesgos.
 R8 Faltan políticas de seguridad para el Transferir
tratamiento de datos e información.
R9 No cuentan con las Controlarlo
herramientas necesarias mitigar
riesgos.

De acuerdo a los resultados anteriores, y para los riesgos que se deban ejercer controles,
elaborar un cuadro mostrando los riesgos en una columna, y otra con los controles
propuestos y el tipo (preventivo, detectivo, correctivo, o de recuperación) propuestos para
minimizar el impacto y probabilidad de ocurrencia.

Una vez se haya definido los riesgos a los cuales se les debe ejercer controles, se pasan al
cuadro definiendo el control o controles y el tipo que deben implementarse para poder
controlarlo. En cuanto a los tipos de control estos pueden ser preventivos, detectivos,
correctivos y de recuperación, los controles preventivos servirán para prevenir que los
riesgos se concreten y ocasionen daños, los controles detectivos se utilizan para detectar el
momento exacto en que está concretándose los riesgos y los controles correctivos se
implementan una vez haya concretado el riesgo y haya ocasionado los daños. Para un
riesgo se pueden definir uno o varios controles, por ejemplo un riesgo puede definirse
controles preventivos y correctivos, o preventivos solamente, o preventivos y detectivos y
correctivos.

RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTRO
ENCONTRADOS L
Falta de capacitación del Correctivo Capacitar al personal encargado del
personal del área área de informática.
informática.

Falta de conocimiento de Correctivo Informar a los usuarios sobre

los usuarios en el tema conceptos básicos a tener en cuenta
de seguridad informática con respecto a la información.
y de la información.

No existe control de los Correctivo Control en el manejo de

dispositivos la
información analizando el alcance
de que debe tener cada empleado para
Almacenamiento. poder cumplir con el desarrollo de
sus labores.
 No se Preventivo Implementar un sistema de
tiene identificación que permita registrar el
implementado ingreso del personal a la empresa.

un
sistema

de
identificación

de
empleados, visitantes,
estudiantes

y
docentes.
No existe Preventivo Elaborar políticas de administración
una y organización de la información, lo
metodología cual se podría realizar a través de la
contratación de sistemas con
que manejo de servidores y seguridad
permita establecer para la realización de esta labor.
la
propiedad

y
responsabilidad

de
riesgos.
No cuenta con un Preventivo Control en el manejo de la
sistema de control para información analizando el alcance
mitigar riesgos. que debe tener cada empleado para
poder cumplir con el desarrollo de
sus labores.

Tabla Hallazgo 1

REF

HALLAZGO 1
R10
 PROCESO Definir los procesos, organización y PÁGINA
AUDITADO relaciones de TI. 1 DE 1

RESPONSABLE Alejandro Cifuentes

MATERIAL DE
COBIT
SOPORTE

PO04 Definir los

Planeación y procesos,
DOMINIO PROCESO
Organización (PO) organización y
relaciones de TI

DESCRIPCIÓN:

Dentro del área de TI se deben tener definidas las funciones y responsabilidades, que
cumple cada uno de los empleados, para que de esta manera se permita buen
desempeño, para que satisfagan los propósitos de la empresa.

CAUSAS:

 No existe una metodología de control de responsabilidades y riesgos de las

TI.
 No se ha establecido un sistema de control para mitigar los riesgos que puedan
afectar la infraestructura tecnológica, en caso de alguna amenaza.
 No se realiza una evaluación periódica para encontrar vulnerabilidad del sistema.

CONSECUENCIAS:

 Al no existir una metodología que permita el control de las responsabilidades de

riesgo de las TI y para mitigar los riesgos, existe una mayor probabilidad del que
existan amenazas, que afecten el sistema.
VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: ¿ 70 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 Delegar personal para que cumpla las funciones de supervisor, en caso de que se
presente alguna irregularidad.
 Elaborar e implementar políticas y procedimientos que permitan mitigar los
riesgos que puedan afectar el sistema.

DICTAMEN:
 Se califica un nivel de madurez 2 REPATIBLE, por cuanto los procesos,
organización y relaciones del área de informática de la empresa, están
estandarizados de una manera regular, pero falta mayor conocimiento por parte de
los empleados que tiene acceso al área, con respecto a la metodología utilizada
para mitigar los riesgos que puedan afectar el sistema