Fase4 90168 20

1
Fase 3. Ejecucion de la Auditoria
Luis Esneider Cristancho. Cód. 1099211492
Angie Natalia Mendoza Mendoza. Cód 1005485587
Rafael Enrique Maldonado Villamizar Cod 88256894
Francisco Nicolas Solarte
Tutor
Grupo: 90168_20
Universidad Nacional Abierta y a Distancia - UNAD
Auditoría de sistemas
Mayo de 2019
2
Introducción
3
Objetivo General
Objetivos específicos
4
Informe de construcción grupal
1. Formatos de hallazgos para cada uno de los riesgos de mayor impacto y

probabilidad cuyo tratamiento sea controlar.
PROCESO PO4
La empresa Cyber Computo en su proceso PO4 Definir los Procesos, Organización y

Relaciones de TI, aplica los siguientes formatos de hallazgos para riesgos:
PROBABILIDA Zona de Riesgo Zona de Zona de riesgo

D Alto Moderado riesgo Inaceptable
61-100% Importante
Medio Zona de riesgo Zona de Zona de riesgo
31-60% Tolerable riesgo Importante
Moderado
Bajo Zona de riesgo Zona de Zona de riesgo Moderado
0-30% Aceptable riesgo
Tolerable
Leve Moderado Catastrófico
IMPACTO
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Acceso información X X
peligrosa
R2 Perdida de información X X
R3 Daño de equipos X X
ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 Acceso información Mitigar
peligrosa
R2 Perdida de información Mitigar
R3 Daño de equipos Mitigar

5
REF
HALLAZGO 1
PROCESO PO4 Definir los Procesos, Organización y PÁGINA

AUDITADO Relaciones de TI 1 DE 1
RESPONSABLE Luis Esneider Cristancho Rojas
MATERIAL DE
COBIT
SOPORTE
PO4 Definir los
Planear y Organizar Procesos,
DOMINIO PROCESO
(PO) Organización y
Relaciones de TI
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber Cómputo el Acceso a la información peligrosa esta a la vista lo cual
genera un riesgo de probabilidad media e impacto moderado tanto en clientes como en la
organización..
CAUSAS:
 Falta de mantenimiento preventivo correctivo y detectivo.
 Falta de revisión de equipos de cómputo
 Falta de actualización de software
 Uso de computadores obsoletos
CONSECUENCIAS:
 Pérdida importante de la información que maneja la empresa
 Daños en los activos informáticos
.
VALORACIÓN DEL RIESGO:
 Probabilidad de ocurrencia: 61 %
 Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
 Se recomienda el Bloqueo de paginas XXX y una buena Configuración de los
computadores
 Actualización constante de equipos
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

 Entrevista PO4
.
6
7
REF
HALLAZGO 2

MATERIAL DE
COBIT
SOPORTE
PO4 Definir los
DOMINIO PROCESO
Relaciones de TI
En la Empresa Cyber Cómputo la Perdida de información es evidente ya que el
mantenimiento de equipos no se ella llevando de manera adecuada y el riesgo hace
presencia...
CAUSAS:
CONSECUENCIAS:
.
 Probabilidad de ocurrencia: 31-60 %
RECOMENDACIONES:
 Realizar copias de seguridad de la información.

 Revisión de fallas en el sistema
 Guardar siempre la información que se esté trabajando en medios alternativos.
 Cuestionario del PO4.

8
9
REF
HALLAZGO 3

MATERIAL DE
COBIT
SOPORTE
PO4 Definir los
DOMINIO PROCESO
Relaciones de TI
En la Empresa Cyber Cómputo el Daño de equipos es un riesgo al que esta expuesto debido
a que las configuraciones y el manejo de seguridad de los equipos no se lleva de forma
adecuada.
CAUSAS:
CONSECUENCIAS:
.
 Probabilidad de ocurrencia: 61 %
RECOMENDACIONES:

 Material fotográfico
10
2. Elaborar un cuadro de controles propuestos y clasificarlos como preventivos, detectivos y

correctivos
CONTROLES PROPUESTOS Cyber Computo
Riesgo Preventivos Detectivos Correctivos
Emplear solo personal Auditorias internas Parches de seguridad

calificado, Control de calidad Corrección de daños
Acceso a la Controlar el acceso a Inspecciones no por virus
información instalaciones físicas programadas
peligrosa Medición de
eficiencia en el uso de
equipos
Auditorias internas Parches de seguridad
Controlar el acceso a Control de calidad Corrección de daños
instalaciones físicas Inspecciones no por virus
Daño de equipos programadas
Medición de
equipos
Uso de software de Auditorias internas Recuperación de
control de acceso, Control de calidad archivos usando copias
Respaldar la Inspecciones no de seguridad
Perdida de
información en programadas
información
archivos Medición de
equipos
11
3. Elaborar dictamen de auditoria para la medición del nivel de madurez de cada

proceso evaluado
Dictamen de auditoría
PROCESO COBIT: PO4: Definir Los Procesos, Organización Y Relaciones Del Sistema De
Información De La Empresa.
1. Objetivo de la Auditoria: Analizar el estado de la seguridad informática de la empresa

Cyber Cómputo, los recursos de hardware y software, los documentos soporte con el fin de
establecer el grado de eficiencia de los procesos que ejecutan en el sistema.
2. Dictamen: Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organización y relaciones del área evaluada están contenidos en un manual de procesos y los
recursos de hardware y software son adecuados. Sin embargo, este manual no se ha actualizado
con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea posible medirlo y
redefinirlo. En procesos clave de administración del sistema se observa excesiva dependencia
en la capacidad y conocimiento que empleados clave tienen del sistema.
3. Hallazgos que soportan el Dictamen:
 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

sistema,
 Se encontró que la empresa ejecuta labores de captura de la información, realiza labores
de auditoría y también administra el sistema operativo, la aplicación y la base de datos.
 Se encontró que se realiza solamente el control de usuarios con niveles de seguridad
inmediatamente inferiores a él, pero nadie realiza auditoria a las entradas de los súper usuarios
del sistema.
4. Recomendaciones:
12
 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

procedimientos del Área Comercial.
 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software.
 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y
procedimientos de la administración de riesgos, la seguridad de la información, la propiedad de
datos y del sistema.
2. Proceso (PO9) evaluar y administrar los riesgos de ti.
MATRIZ DE RIESGOS
IMPACTO
PROBABILIDA
Insignificante Menor Moderado Mayor Catastrófico
D
(1) (2) (3) (4) (5)
Raro (1) R1
Improbable (2) R11 R6, R8
R3, R9,
Posible (3) R5 R7
R12
ID. Descripción Riesgo Tratamiento Riesgo
Probable (4)
Riesgo R4 R2,R10
R1Casi Seguro
Daños(5)en los activos informáticos. Reducir el riesgo, evitar, compartir o transferir
R2 Pérdida de información. Reducir el riesgo, evitar, compartir o transferir
R3 Compartir información a terceros de Reducir el riesgo, evitar, compartir o transferir

los procesos de la empresa.
R4 Acceso de usuarios no registrados o Reducir el riesgo, evitar, compartir o transferir

identificados en la red de la empresa.
R5 Falta de seguridad de usuarios en la Asumir el riesgo, reducir el riesgo
red
R6 Desactualización Software Asumir el riesgo, reducir el riesgo
R7 Perdida de información por virus Reducir el riesgo, evitar, compartir o transferir

informáticos
13
R8 Uso indebido de la información Asumir el riesgo, reducir el riesgo
R9 Mal uso de los activos informáticos Reducir el riesgo, evitar, compartir o transferir
R10 No se realizan copias de seguridad de Reducir el riesgo, evitar, compartir o transferir

la información.
R11 Accesos no autorizados a las Asumir el riesgo

instalaciones del área tecnológica
R12 Acceso de cualquier usuario a la Reducir el riesgo, evitar, compartir o transferir

información de la empresa
1. Formato de hallazgos
REF
HALLAZGO 1
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
RESPONSABLE Angie Natalia Mendoza
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
Los daños en los activos informáticos es un hallazgo encontrado en la aplicación de los
instrumentos de recolección de la información, los cuales afectan las TI de la empresa,
debido a pérdida de información que se encuentre alojada en los activos informáticos que se
dañen.
CAUSAS:
14

 Falta de mantenimiento correctivo y preventivo
 Falta de revisión de errores en el sistema de los activos informáticos
CONSECUENCIAS:

 Cambio constante de equipos
 Imposibilidad de recuperación de la información alojada en los activos informáticos.
 Probabilidad de ocurrencia: 57,14 %

 Impacto según relevancia del proceso: Bajo
RECOMENDACIONES:
 Revisión mensual de activos informáticos

 Mantenimiento preventivo y correctivo semestralmente.
 Revisión de posibles fallos en los activos.
 Cuestionario del PO9

 Lista de chequeo del PO9.
REF
HALLAZGO 2
PROCESO Evaluar y administrar los riesgos de TI PÁGINA

15
AUDITADO
1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
La pérdida de la información es un hallazgo encontrado en la aplicación de los instrumentos
de recolección de la información, los cuales afectan las TI de la empresa, debido a que la
pérdida de información implica un incumplimiento de la confidencialidad y reserva de la
empresa, como también el trabajo doble en caso de no ser posible su recuperación.
CAUSAS:

 Fallos en el sistema
 No realización de copias de seguridad.
CONSECUENCIAS:
 Uso indebido de la información

 Trabajo doble para los empleados con el fin de recuperarla.
 Pérdida de profesionalismo de la empresa.

 Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:
16


REF
HALLAZGO 3
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Compartir información a terceros de los procesos de la empresa es un hallazgo encontrado en
la aplicación de los instrumentos de recolección de la información, los cuales afectan las TI
de la empresa, debido al uso indebido de la información y la divulgación a personal ajeno a
la empresa.
CAUSAS:
17
 Uso indebido de la información

 Divulgación de la información por parte del personal de la empresa
 Acceso a la información de la empresa por el personal no vinculado a esta.
CONSECUENCIAS:

 Acceso de información confidencial a terceros ajenos a los fines de la empresa.
 Acceso de usuarios no registrados o identificados en la red de la empresa, los cuales
pueden acceder a la documentación de la empresa, sin cumplir con la
confidencialidad y reserva de la información.

 Impacto según relevancia del proceso: Alta
RECOMENDACIONES:
 Elaborar e implementar políticas y procedimientos relacionados con el uso adecuado

de la información manejada en la empresa, y la violación que acarrea el compartir o
divulgarla.
 Capacitar a los empleados de la empresa en el uso de debido de la información

REF
HALLAZGO 4
18
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
El acceso de usuarios no registrados o identificados en la red de la empresa es un hallazgo
encontrado en la aplicación de los instrumentos de recolección de la información, los cuales
afectan las TI de la empresa, debido a que estos pueden acceder a información confidencial
de la empresa.
CAUSAS:
 No existen los controles necesarios de acceso a la red.

 El uso de contraseñas que no cumplen con todos los requerimientos para una.
CONSECUENCIAS:

 Acceso de terceros a información no autorizada.

 Impacto según relevancia del proceso: Alta
RECOMENDACIONES:
19
 Uso de contraseñas seguras.

 Implementar sistemas de seguridad para denegar el acceso a la información a
personal no autorizado.

REF
HALLAZGO 5
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Falta de seguridad de usuarios en la red.
La falta de seguridad y restricción para los usuarios que ingresan a la red puede ser un riesgo
que afecte a la empresa, teniendo en cuenta que pueden modificar y visualizar información
exclusiva de personal de la empresa.
20
CAUSAS:
 Falta de seguridad en la red

 Desactualización de software.
 No existen los controles necesarios de acceso a la red.
 El Uso de contraseñas que no cumplen con todos los requerimientos para una.
CONSECUENCIAS:


RECOMENDACIONES:
 Implementar la seguridad en la red

REF
HALLAZGO 6
PROCESO PÁGINA
AUDITADO 1 DE 1
21
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Desactualización Software.
La desactualización del software permite que acceso a la información, uso inadecuado de los
activos informáticos
CAUSAS:
 Equipos de cómputo con fallas sin revisar.
 Equipos sin actualización periódica de antivirus.
 Licencia desactualizada de antivirus.
 Falta de revisión de actualización.
CONSECUENCIAS:

 Ingreso de virus por software antivirus desactualizado.

RECOMENDACIONES:
 Revisión periódica de software

 Actualización de software
22

REF
HALLAZGO 7
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Perdida de información por virus informáticos.
Este hallazgo es causado por la falta de antivirus, actualización del mismo, revisión y acceso
y descarga de archivos sospechosos.
CAUSAS:
 Equipos sin actualización periódica de antivirus.
 Licencia desactualizada de antivirus.
 Ingreso a sitios poco confiables
 Descarga de archivos de sitios poco confiables.
23
CONSECUENCIAS:

 Daños en los activos informáticos.
 Acceso a la información de la empresa dependiendo del virus que entre al sistema

 Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:
 Actualización periódico del software

 Revisión y actualización de licencia de software
 Realización de copias de seguridad
 Uso de contraseñas seguras
 Implementación de seguridad en el sistema.

REF
HALLAZGO 8
PROCESO PÁGINA
AUDITADO 1 DE 1
24
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Uso indebido de la información
EL uso indebido de la información afecta a la empresa teniendo en cuenta que cualquier
persona podría acceder a esta, y sabría que procesos que manejan en esta.
CAUSAS:
 Falta de capacitación al personal en cuanto al uso del manejo de la información

 Falta de implementación de planes ante la presencia de situaciones de pérdida o daño
de activos de información.
CONSECUENCIAS:


RECOMENDACIONES:
 Conformar un grupo determinado de funcionarios que evalúen y hagan las respectivas

revisiones de posibles daños y pérdidas de la información.
 Elaborar e implementar políticas y procedimientos relacionados con el uso adecuado
de la información manejada en la empresa, y la violación que acarrea el compartir o
25
divulgarla.
 Capacitar a los empleados de la empresa en el uso de debido de la información

REF
HALLAZGO 9
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Mal uso de los activos informáticos.
Este afecta a la empresa y fue detectado en los instrumentos de recolección de la
información, al cual puede existir perdida de la información y afectar directamente a la
empresa.
CAUSAS:
 Falta de capacitación al personal en cuanto al uso del manejo de la información

 Falta de implementación de planes ante la presencia de situaciones de pérdida o daño
26
de activos de información.
 Uso indebido de los activos informáticos
CONSECUENCIAS:

 Ingreso no autorizado al sistema de terceros.

 Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
 Capacitación al personal frente al uso debido de los activos informáticos

REF
HALLAZGO 10
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar PROCESO Evaluar y

27
administrar los
(PO)
No se utilizan copias de seguridad de la información.
El hallazgo encontrado en la empresa es importante que se realice para evitar pérdida de
información.
CAUSAS:
 Desconocimiento del uso debido de las copias de seguridad
CONSECUENCIAS:

 No recuperación de posible información eliminada.

 Impacto según relevancia del proceso: Mayor
RECOMENDACIONES:
 Capacitar a los empleados de la empresa realizar semanalmente o diariamente copias

de seguridad de la información a la que estén accediendo.

HALLAZGO 11 REF
28
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Accesos no autorizados a las instalaciones del área tecnológica
Este hallazgo fue detectado en la aplicación de instrumentos de recolección de información,
en la cual le evidencia la carencia de normas, estrategias y seguimiento del ingreso de
personal no autorizado al área informática de la empresa que podría afectar de cierta manera
a esta.
CAUSAS:
 Falta de controles de acceso a las instalaciones
CONSECUENCIAS:
 Ingreso a la información confidencial de la empresa.

 Impacto según relevancia del proceso: Moderada
29
RECOMENDACIONES:
 Llevar un mejor control de ingresos a las instalaciones de la empresa.

REF
HALLAZGO 12
PROCESO PÁGINA
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
(PO)
Acceso de cualquier usuario a la información de la empresa
Este hallazgo se evidenció en los instrumentos aplicados, el cual afecta de cierta manera a la
empresa teniendo en cuenta que cualquier usuario sea o no de la empresa puede acceder a la
información de la misma con o sin autorización.
CAUSAS:
30
 Falta controles de seguridad.

 Falta de uso de contraseñas seguras.
CONSECUENCIAS:

 Robo de información

RECOMENDACIONES:
 Implementar planes de seguridad en la empresa, de acceso a la información

confidencial.

2. Cuadro de controles
RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
Daños en los activos CORRECTIVO Capacitar al personal de la organización
informáticos. sobre la forma de utilizar y optimizar los
recursos.
Pérdida de información. CORRECTIVO Almacenar la información de la empresa de
manera automática a través de la
programación de copias en un servidor de
respaldo.
31
Compartir información a PREVENTIVO Concientizar al personal sobre el uso

terceros de los procesos de la adecuado de la información y la o
empresa. divulgación de la misma por ningún
motivo.
Acceso de usuarios no CORRECTIVO Control en el manejo de la información
registrados o identificados en analizando el alcance que debe tener cada
la red de la empresa. empleado para poder cumplir con el
desarrollo de sus labores.
Falta de seguridad de CORRECTIVO Creación de plan de seguridad de acceso
usuarios en la red limitado a la red.
Desactualización Software CORRECTIVO Compra de antivirus licenciados con el fin

de minimizar el riesgo de infecciones y
malware en los equipos..
Perdida de información por CORRECTIVO Compra y actualización de antivirus
virus informáticos licenciados con el fin de minimizar el
riesgo de virus y malware en los equipos
Uso indebido de la PREVENTIVO Elaborar y capacitar al personal sobre
información planes de contingencia con el fin de estar
preparados en el momento de un eventual
siniestro.
Mal uso de los activos PREVENTIVO Capacitar al personal en el uso adecuado de
informáticos los activos informáticos
No se utilizan copias de PREVENTIVO Capacitar al empleado de la importancia de

seguridad de la información. realizar copias de seguridad.
Accesos no autorizados a las CORRECTIVO Contratación de una persona con los

instalaciones del área conocimientos idóneos para el área de
tecnológica informática.
Acceso de cualquier usuario CORRECTIVO Controlar el acceso y bloqueo de usuarios

a la información de la no autorizados a páginas no autorizadas
empresa para este usuario, de acuerdo a su rol.
3. Dictamen de la Auditoría
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y
RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.
a. Objetivo de la Auditoria
Implementar técnicas y estrategias sobre el la gestión de riesgos de la información de la que
maneja la empresa
32
b. Dictamen
Se califica un nivel de madurez 2 REPETIBLE, por cuanto los procesos llevados a cabo en la
empresa en cuanto a las T.I no están en su totalidad implementados, teniendo en cuenta que
tampoco se cuenta con una política de riesgos bien implementada y en muchas ocasiones todo
esto es aplicado de manera muy superficial o no implementa, como también la falta de
capacitación del personal.
b. Hallazgos que soportan el Dictamen:
Estos fueron los hallazgos encontrados en la empresa:
 Daños en los activos informáticos.
 Pérdida de información.
 Compartir información a terceros de los procesos de la empresa.
 Acceso de usuarios no registrados o identificados en la red de la empresa.
 Falta de seguridad de usuarios en la red
 Desactualización Software
 Perdida de información por virus informáticos
 Uso indebido de la información
 Mal uso de los activos informáticos
 No se utilizan copias de seguridad de la información.
 Accesos no autorizados a las instalaciones del área tecnológica
 Acceso de cualquier usuario a la información de la empresa
En los cuales incurren un cierto porcentaje de empleado por falta de capacitación y/o
concientización de le importancia de la información que se maneja en la empresa.
c. Recomendaciones:
 Capacitar al personal de la organización sobre la forma de utilizar y optimizar los

recursos.
 Almacenar la información de la empresa de manera automática a través de la
programación de copias en un servidor de respaldo.
 Concientizar al personal sobre el uso adecuado de la información y la o divulgación de la

misma por ningún motivo.
 Control en el manejo de la información analizando el alcance que debe tener cada

empleado para poder cumplir con el desarrollo de sus labores.
 Creación de plan de seguridad de acceso limitado a la red.
 Compra de antivirus licenciados con el fin de minimizar el riesgo de infecciones y

malware en los equipos.
33
 Compra y actualización de antivirus licenciados con el fin de minimizar el riesgo de virus

y malware en los equipos.
 Elaborar y capacitar al personal sobre planes de contingencia con el fin de estar

preparados en el momento de un eventual siniestro.
 Capacitar al personal en el uso adecuado de los activos informáticos
 Capacitar al empleado de la importancia de realizar copias de seguridad.
 Contratación de una persona con los conocimientos idóneos para el área de informática.
 Controlar el acceso y bloqueo de usuarios no autorizados a páginas no autorizadas para

este usuario, de acuerdo a su rol.
PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.
a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el

aplicativo, personal, recursos, procesos, soportes
b. Dictamen:
Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y

evaluación al Sistema y no es permanente ni controlado por cuanto no se han
implementado planes de evaluación y mejora continua de riesgos encontrados.
c. Hallazgos que soportan el Dictamen:
 No se cuenta con un plan determinado para la evaluación de riesgos que puedan afectar
las T.I de la empresa.
 No se cuenta con un plan establecido en caso de existir pérdida de información.
 Falta de controles de acceso a la red de la empresa.
 No se tiene un registro, ni un control de fallas detectadas en los equipos
d. Recomendaciones:
34
 Implementar un plan de riesgos de las T.I y preparar a los empleados para posibles
factores de riesgo que afecten a la empresa.
 Capacitar al personal encargado de auditar el sistema, sobre la identificación de

riesgos, medición e implementación de controles, enfocada en la seguridad de las T.I.
 Realizar el análisis, evaluación y gestión de los riesgos encontrados.
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
RAFAEL MALDONADO
35
Alto
61- R7 R5
100%
PROBABILIDAD
Medio
R4,R2 R3
31-60%
Bajo
R6 R1
0-30%
Leve Moderado Catastrófico
IMPACTO
Tratamiento
N° Descripción Riesgo
Riesgo
R Acceso a las Áreas Criticas rack, ups.
Transferir
1
R Perdida de información
Controlarlo
2
R Daño de equipos computo (hardware)
Controlarlo
3
R Falta capacitación y sensibilización Usuarios y
personal área de sistemas Controlarlo
4
R Contratar Soporte Técnico 7x24
Controlarlo
5
R Control de los activos, programa de
Controlarlo
6 mantenimientos preventivos
Servidor de respaldo y plan de contingencia de
R
aplicativos Aceptarlo
7
REF
HALLAZGO 1
PROCESO DS4 GARANTIZAR LA CONTINUIDAD PÁGINA

36
DEL SERVICIO
AUDITADO 1 DE 1
RESPONSABLE RAFAEL MALDONADO VILLAMIZAR

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
GARANTIZAR LA
DS ENTREGAR Y CONTINUIDAD
DOMINIO DAR SOPORTE DEL SERVICIO
En la Empresa Cyber no cuenta con seguridad física para sus elementos activos
de Red, lo cual puede ocasionar, sabotaje, delincuencia y daños irreparables a la
infraestructura de red
CAUSAS:
 No hay racks asegurados para evitar ingresos no autorizados.
 Falta de inversión en equipos de seguridad
 Falta de gestión del jefe del área
CONSECUENCIAS:
 Posible saboteo o manipulación indebida de equipos
.
RECOMENDACIONES:
 Reforzar seguridad de ingreso a las salas de equipos.

 Instalar cámaras de seguridad
 Mantener copias de seguridad al día en ubicaciones de apoyo
37

 Cuestionario del DS4.
REF
HALLAZGO 2
DS4 GARANTIZAR LA CONTINUIDAD PÁGINA

PROCESO DEL SERVICIO
AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
DS ENTREGAR Y GARANTIZAR LA
DOMINIO DAR SOPORTE CONTINUIDAD
DEL SERVICIO
La Empresa Cyber no cuenta con los mecanismos y procesos necesarios para
garantizar y proteger la información de los equipos de cómputo de sus áreas y
los datos almacenados en sus servidores, esto puede provocar una gran
afectación al sistema y perdida de dinero e información invaluable para la
empresa.
CAUSAS:
 No existen protocolos para proteger la información.
 No existe un servidor dedicado para que los funcionarios guarden los
archivos propios de la empresa
 Falta de gestión para la compra de los equipos necesarios
CONSECUENCIAS:
 Pérdida económica incalculable
38
RECOMENDACIONES:
 Realizar protocolos para generar copias de seguridad confiables.

 Gestionar los recursos necesarios para crear la infraestructura que
permita proteger y tener disponible la información.
 Capacitar y concientizar al usuario final de la importancia de la
información de la Empresa.

REF
HALLAZGO 3

AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
DEL SERVICIO
En la Empresa Cyber no cuenta con la infraestructura en equipos informáticos y de
red para garantizar un servicio continuo y de calidad
CAUSAS:
 No hay planes de renovación de tecnología continua que asegure mantener
equipos que garanticen la prestación de un servicio de calidad.
 Falta de inversión en equipos de cómputo y red.
 Falta de mantenimiento correctivo y preventivo
CONSECUENCIAS:
39
Pérdida importante de la información que maneja la empresa

Daños en los activos informáticos
Posible saboteo o manipulación indebida de equipos
.
RECOMENDACIONES:
 Gestionar los recursos necesarios para renovación de equipos.

 Fomentar en los usuarios el buen uso de los equipos y alertar fallas

 Cuestionario del DS4., lista de chequeo DS4
REF
HALLAZGO 4

AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
DEL SERVICIO
En la Empresa Cyber Computo Falta capacitación y sensibilización Usuarios y
personal área de sistemas para lograr involucrarlos como agentes activos y
primordiales de los procesos de seguridad y continuidad del servicio.
CAUSAS:
40
 No hay racks asegurados para evitar ingresos no autorizados.

 Falta de inversión en equipos de seguridad
 Falta de gestión del jefe del área
CONSECUENCIAS:
 Posible saboteo o manipulación indebida de equipos
.
RECOMENDACIONES:
 Realizar capacitaciones al personal y sensibilizarlo de su importancia para la

empresa.
 El personal del Área de sistemas debe actuar proactivamente en la
prevención de riesgos

Cuestionario del DS4.
REF
HALLAZGO 5

AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
DEL SERVICIO
En la Empresa Cyber Computo no cuenta con Servicio de soporte técnico 7x24 que
atienda de manera oportuna los requerimiento e incidentes presentados y que
puedan llegar a generar traumatismos a la empresa
41
CAUSAS:
 No existen protocolos de instalación de software e inventario de equipos.
 Falta de inversión en mantenimiento preventivos y correctivos
 No existe el personal suficiente para atender eventualidades
CONSECUENCIAS:
 Daños en los equipos de cómputo y red
 Pérdidas económicas por daños en los sistemas de información
.
RECOMENDACIONES:
 Contratar soporte técnico.

 Gestionar recursos para contar con una bolsa de repuestos

REF
HALLAZGO 6

AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
42
PROCESO DS4
DEL SERVICIO
En la Empresa Cyber no cuenta con Control de los activos, programa de
mantenimientos preventivos, no se cuenta con una herramienta que gestiones el
software y el hardware de la empresa de esta manera controlarlo y evitar pérdidas.
CAUSAS:
 Falta de gestión de recursos para la compra del aplicativo.
 No hay control eficaz del software en los equipos
 No hay control en el inventario de hardware
CONSECUENCIAS:
 Pérdida de activos de la empresa
 Pérdidas económicas por falta de control de los activos

 Impacto según relevancia del proceso: Bajo
RECOMENDACIONES:
 Reforzar políticas de seguridad y uso de software.

 Instalar software de gestión
 Mantener actualizados los inventarios y cambios de hardware

REF
HALLAZGO 7

AUDITADO 1 DE 1
43

MATERIAL DE
COBIT
SOPORTE
PROCESO DS4
DEL SERVICIO
En la Empresa Cyber no cuenta Servidor de respaldo y plan de contingencia de
aplicativos
CAUSAS:
 No se cuenta con un servidor de respaldo en caso de mantenimiento o falla
del principal.
 Falta de inversión en equipos de respaldo de información
 Falta de gestión del jefe del área de sistemas
CONSECUENCIAS:
 Pérdida económica por perdidas relacionadas con el servidor y el servicio
ofrecido
 Al momento de fallar un aplicativo se para la empresa y su gestión cae al no
contar con contingencias
.
RECOMENDACIONES:
 Gestionar los recursos para la compra de equipos de respaldo

 Crear protocolos de contingencia
 Capacitar a los usuarios sobre el manejo de las contingencias.

2. Cuadro de controles
RIESGOS o TIPO DE SOLUCIONES O CONTROLES

44
HALLAZGOS CONTROL
ENCONTRADOS
Acceso a las Áreas PREVENTIVO Establecer protocolos de

Criticas rack, ups. seguridad para el ingreso al rack,
los cuales deben tener cámaras y
controles de ingreso.
Perdida de información PREVENTIVO Concientizar al usuario de lo
valioso de la información y
establecer protocolos de copias
de seguridad y de respaldo de
información.
Daño de equipos PREVENTIVO Establecer la vida útil de los
computo (hardware) equipos hardware y establecer
estándares que permitan el
cambio de tecnología evitando
gastos innecesarios en
reparaciones y en la eficiencia
del trabajo.
Falta capacitación y CORRECTIVO Crear un equipo que trabaje en
sensibilización las capacitaciones y sensibilice al
Usuarios y personal usuario de rol principal que juega
área de sistemas en el éxito de la empresa y
prevención de riesgos.
Contratar Soporte CORRECTIVO Contratar servicio de soporte
Técnico 7x24 técnico que atienda las
necesidades prioritarias de los
servicios de información y del
hardware evitando altos tiempos
de recuperación.
Control de los activos, CORRECTIVO Adquirir un software que permita
programa de tener control de los activos de la
mantenimientos empresa software y hardware,
preventivos adicional permita su actualización
e inventario.
Servidor de respaldo y CORRECTIVO Se requiere realizar protocolo de
atención de aplicativos en caso
plan de contingencia de
de falla, adicional gestionar los
aplicativos recursos para la adquisición de
recurso para el servidor de
respaldo que aporte la
contingencia de los servicios.
45
3.Dictamen de la Auditoría
PROCESO COBIT: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
A. Objetivo de la Auditoria
Implementar los controles y prevenciones necesarias para garantizar la continuidad del
servicio de la empresa Cyber computo
B. Dictamen
Se califica un nivel de madurez 1 INICIAL: Los procesos son espontáneos y
desorganizados. No se ha implementado procesos para respaldo de información,
solución a requerimiento e incidentes de tecnología de la información y redes, se deben
implementar equipos de trabajo y capacitar el personal .se debe concientizar a las
directivas de la importancia de atacar estos requerimientos para evitar pérdidas
económicas considerables.
Hallazgos que soportan el Dictamen:
 Acceso a las Áreas Criticas rack, ups.

 Perdida de información
 Daño de equipos computo (hardware)
 Falta capacitación y sensibilización Usuarios y personal área de sistemas
 Contratar Soporte Técnico 7x24
 Control de los activos, programa de mantenimientos preventivos
 Servidor de respaldo y plan de contingencia de aplicativos
Estos fueron los hallazgos encontrados en la empresa:

En los cuales incurren un cierto porcentaje de empleado por falta de capacitación y/o
concientización de le importancia de la información que se maneja en la empresa.
Recomendaciones:
 Reforzar seguridad de ingreso a las salas de equipos.

 Instalar cámaras de seguridad
 Gestionar los recursos para la compra de equipos de respaldo
 Crear protocolos de contingencia
 Capacitar a los usuarios sobre el manejo de las contingencias
 Reforzar políticas de seguridad y uso de software.
 Instalar software de gestión
 Mantener actualizados los inventarios y cambios de hardware
46
 Realizar capacitaciones al personal y sensibilizarlo de su importancia para la

empresa.
 El personal del Área de sistemas debe actuar proactivamente en la prevención
de riesgos
 Gestionar los recursos necesarios para renovación de equipos.
 Fomentar en los usuarios el buen uso de los equipos y alertar fallas
PROCESO COBIT: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre la

información, aplicativos y funcionamiento de los equipos hardware para garantizar la
continuidad del servicio.
e. Dictamen:
Se estableció un nivel de madurez 1 INICIAL: Los procesos son espontáneos y

desorganizados. No se ha implementado procesos para respaldo de información,
solución a requerimiento e incidentes de tecnología de la información y redes,
f. Hallazgos que soportan el Dictamen:
 No se cuenta con planes de contingencia en caso de falla del servicio

 No se cuenta con un plan establecido en caso de existir pérdida de información.
 Falta de controles de acceso a rack y no se tiene control del hardware y software
 No se cuenta con soporte técnico que brinde una solución oportuna a las fallas
presentadas
g. Recomendaciones:
 Implementar un plan de riesgo de los servicios informáticos y redes de datos,

involucrando al personal como eje fundamental de la organización
 Organizar un equipo de trabajo que se encarga de realizar auditorías internas

de esta manera analizar y evaluar los posibles riesgos
 Reorganizar e implantar políticas que permitan gestionar e invertir recursos

en la solución a los requerimientos hallados de esta manera evitar pérdidas
grandes a la empresa.
47
Conclusiones
48
Referencias Bibliográficas
49
Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Administración informática: análisis

y evaluación de tecnologías de la información. (pp. 17-109). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=32&docID=3227836&tm=1543339680777
La referencia muestra el manual del estándar CobIT que será usado en la fase de
resultados de la auditoria.
ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

Fase4 90168 20

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase4 90168 20

Cargado por

Copyright:

Formatos disponibles

1

Fase 3. Ejecucion de la Auditoria

Luis Esneider Cristancho. Cód. 1099211492

Angie Natalia Mendoza Mendoza. Cód 1005485587

Rafael Enrique Maldonado Villamizar Cod 88256894

Francisco Nicolas Solarte

Universidad Nacional Abierta y a Distancia - UNAD

Informe de construcción grupal

1. Formatos de hallazgos para cada uno de los riesgos de mayor impacto y

La empresa Cyber Computo en su proceso PO4 Definir los Procesos, Organización y

PROBABILIDA Zona de Riesgo Zona de Zona de riesgo

N° Descripción Probabilidad Impacto

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R3 Daño de equipos Mitigar

PROCESO PO4 Definir los Procesos, Organización y PÁGINA

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

PROCESO PO4 Definir los Procesos, Organización y PÁGINA

 Realizar copias de seguridad de la información.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

 Cuestionario del PO4.

PROCESO PO4 Definir los Procesos, Organización y PÁGINA

 Realizar copias de seguridad de la información.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

2. Elaborar un cuadro de controles propuestos y clasificarlos como preventivos, detectivos y

CONTROLES PROPUESTOS Cyber Computo

Riesgo Preventivos Detectivos Correctivos

Emplear solo personal Auditorias internas Parches de seguridad

3. Elaborar dictamen de auditoria para la medición del nivel de madurez de cada

1. Objetivo de la Auditoria: Analizar el estado de la seguridad informática de la empresa

2. Dictamen: Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

3. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

2. Proceso (PO9) evaluar y administrar los riesgos de ti.

R2 Pérdida de información. Reducir el riesgo, evitar, compartir o transferir

R3 Compartir información a terceros de Reducir el riesgo, evitar, compartir o transferir

R4 Acceso de usuarios no registrados o Reducir el riesgo, evitar, compartir o transferir

R6 Desactualización Software Asumir el riesgo, reducir el riesgo

R7 Perdida de información por virus Reducir el riesgo, evitar, compartir o transferir

R8 Uso indebido de la información Asumir el riesgo, reducir el riesgo

R10 No se realizan copias de seguridad de Reducir el riesgo, evitar, compartir o transferir

R11 Accesos no autorizados a las Asumir el riesgo

R12 Acceso de cualquier usuario a la Reducir el riesgo, evitar, compartir o transferir

RESPONSABLE Angie Natalia Mendoza

 Falta de revisión de equipos de cómputo

 Pérdida importante de la información que maneja la empresa

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: 57,14 %

 Revisión mensual de activos informáticos

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

 Cuestionario del PO9

PROCESO Evaluar y administrar los riesgos de TI PÁGINA

RESPONSABLE Angie Natalia Mendoza

 Daños en los activos informáticos

 Uso indebido de la información

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: 57,14 %

 Realizar copias de seguridad de la información.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

 Cuestionario del PO9

RESPONSABLE Angie Natalia Mendoza

 Uso indebido de la información

 Pérdida importante de la información que maneja la empresa