Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tutor
Grupo: 90168_20
Auditoría de sistemas
Mayo de 2019
2
Introducción
3
Objetivo General
Objetivos específicos
4
IMPACTO
R3 Daño de equipos X X
REF
HALLAZGO 1
CAUSAS:
Falta de mantenimiento preventivo correctivo y detectivo.
Falta de revisión de equipos de cómputo
Falta de actualización de software
Uso de computadores obsoletos
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los activos informáticos
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 61 %
Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
Se recomienda el Bloqueo de paginas XXX y una buena Configuración de los
computadores
Actualización constante de equipos
REF
HALLAZGO 2
CAUSAS:
Falta de mantenimiento preventivo correctivo y detectivo.
Falta de revisión de equipos de cómputo
Falta de actualización de software
Uso de computadores obsoletos
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los activos informáticos
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 31-60 %
Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
REF
HALLAZGO 3
CAUSAS:
Falta de mantenimiento preventivo correctivo y detectivo.
Falta de revisión de equipos de cómputo
Falta de actualización de software
Uso de computadores obsoletos
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los activos informáticos
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 61 %
Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
Material fotográfico
10
Dictamen de auditoría
PROCESO COBIT: PO4: Definir Los Procesos, Organización Y Relaciones Del Sistema De
Información De La Empresa.
4. Recomendaciones:
12
Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software.
Documentar y diferenciar en forma precisa los procesos, políticas administrativas y
procedimientos de la administración de riesgos, la seguridad de la información, la propiedad de
datos y del sistema.
MATRIZ DE RIESGOS
IMPACTO
PROBABILIDA
Insignificante Menor Moderado Mayor Catastrófico
D
(1) (2) (3) (4) (5)
Raro (1) R1
Improbable (2) R11 R6, R8
R3, R9,
Posible (3) R5 R7
R12
ID. Descripción Riesgo Tratamiento Riesgo
Probable (4)
Riesgo R4 R2,R10
R1Casi Seguro
Daños(5)en los activos informáticos. Reducir el riesgo, evitar, compartir o transferir
R9 Mal uso de los activos informáticos Reducir el riesgo, evitar, compartir o transferir
1. Formato de hallazgos
REF
HALLAZGO 1
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Los daños en los activos informáticos es un hallazgo encontrado en la aplicación de los
instrumentos de recolección de la información, los cuales afectan las TI de la empresa,
debido a pérdida de información que se encuentre alojada en los activos informáticos que se
dañen.
CAUSAS:
14
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 2
AUDITADO
1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
La pérdida de la información es un hallazgo encontrado en la aplicación de los instrumentos
de recolección de la información, los cuales afectan las TI de la empresa, debido a que la
pérdida de información implica un incumplimiento de la confidencialidad y reserva de la
empresa, como también el trabajo doble en caso de no ser posible su recuperación.
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
16
REF
HALLAZGO 3
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Compartir información a terceros de los procesos de la empresa es un hallazgo encontrado en
la aplicación de los instrumentos de recolección de la información, los cuales afectan las TI
de la empresa, debido al uso indebido de la información y la divulgación a personal ajeno a
la empresa.
CAUSAS:
17
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 4
18
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
El acceso de usuarios no registrados o identificados en la red de la empresa es un hallazgo
encontrado en la aplicación de los instrumentos de recolección de la información, los cuales
afectan las TI de la empresa, debido a que estos pueden acceder a información confidencial
de la empresa.
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
19
REF
HALLAZGO 5
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Falta de seguridad de usuarios en la red.
La falta de seguridad y restricción para los usuarios que ingresan a la red puede ser un riesgo
que afecte a la empresa, teniendo en cuenta que pueden modificar y visualizar información
exclusiva de personal de la empresa.
20
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 6
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
21
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Desactualización Software.
La desactualización del software permite que acceso a la información, uso inadecuado de los
activos informáticos
CAUSAS:
Desactualización de software.
Equipos de cómputo con fallas sin revisar.
Equipos sin actualización periódica de antivirus.
Licencia desactualizada de antivirus.
Falta de revisión de actualización.
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 7
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Perdida de información por virus informáticos.
Este hallazgo es causado por la falta de antivirus, actualización del mismo, revisión y acceso
y descarga de archivos sospechosos.
CAUSAS:
Desactualización de software.
Equipos de cómputo con fallas sin revisar.
Equipos sin actualización periódica de antivirus.
Licencia desactualizada de antivirus.
Ingreso a sitios poco confiables
Descarga de archivos de sitios poco confiables.
23
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 8
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
24
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Uso indebido de la información
EL uso indebido de la información afecta a la empresa teniendo en cuenta que cualquier
persona podría acceder a esta, y sabría que procesos que manejan en esta.
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
divulgarla.
Capacitar a los empleados de la empresa en el uso de debido de la información
REF
HALLAZGO 9
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Mal uso de los activos informáticos.
Este afecta a la empresa y fue detectado en los instrumentos de recolección de la
información, al cual puede existir perdida de la información y afectar directamente a la
empresa.
CAUSAS:
de activos de información.
Desactualización de software.
Equipos de cómputo con fallas sin revisar.
Uso indebido de los activos informáticos
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 10
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
No se utilizan copias de seguridad de la información.
El hallazgo encontrado en la empresa es importante que se realice para evitar pérdida de
información.
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
HALLAZGO 11 REF
28
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Accesos no autorizados a las instalaciones del área tecnológica
Este hallazgo fue detectado en la aplicación de instrumentos de recolección de información,
en la cual le evidencia la carencia de normas, estrategias y seguimiento del ingreso de
personal no autorizado al área informática de la empresa que podría afectar de cierta manera
a esta.
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
REF
HALLAZGO 12
PROCESO PÁGINA
Evaluar y administrar los riesgos de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los
(PO)
riesgos de TI. (PO9)
DESCRIPCIÓN HALLAZGO:
Acceso de cualquier usuario a la información de la empresa
Este hallazgo se evidenció en los instrumentos aplicados, el cual afecta de cierta manera a la
empresa teniendo en cuenta que cualquier usuario sea o no de la empresa puede acceder a la
información de la misma con o sin autorización.
CAUSAS:
30
CONSECUENCIAS:
RECOMENDACIONES:
2. Cuadro de controles
3. Dictamen de la Auditoría
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y
RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.
a. Objetivo de la Auditoria
Implementar técnicas y estrategias sobre el la gestión de riesgos de la información de la que
maneja la empresa
32
b. Dictamen
Se califica un nivel de madurez 2 REPETIBLE, por cuanto los procesos llevados a cabo en la
empresa en cuanto a las T.I no están en su totalidad implementados, teniendo en cuenta que
tampoco se cuenta con una política de riesgos bien implementada y en muchas ocasiones todo
esto es aplicado de manera muy superficial o no implementa, como también la falta de
capacitación del personal.
b. Hallazgos que soportan el Dictamen:
Estos fueron los hallazgos encontrados en la empresa:
Daños en los activos informáticos.
Pérdida de información.
Compartir información a terceros de los procesos de la empresa.
Acceso de usuarios no registrados o identificados en la red de la empresa.
Falta de seguridad de usuarios en la red
Desactualización Software
Perdida de información por virus informáticos
Uso indebido de la información
Mal uso de los activos informáticos
No se utilizan copias de seguridad de la información.
Accesos no autorizados a las instalaciones del área tecnológica
Acceso de cualquier usuario a la información de la empresa
En los cuales incurren un cierto porcentaje de empleado por falta de capacitación y/o
concientización de le importancia de la información que se maneja en la empresa.
c. Recomendaciones:
Contratación de una persona con los conocimientos idóneos para el área de informática.
b. Dictamen:
No se cuenta con un plan determinado para la evaluación de riesgos que puedan afectar
las T.I de la empresa.
No se cuenta con un plan establecido en caso de existir pérdida de información.
Falta de controles de acceso a la red de la empresa.
No se tiene un registro, ni un control de fallas detectadas en los equipos
d. Recomendaciones:
34
Implementar un plan de riesgos de las T.I y preparar a los empleados para posibles
factores de riesgo que afecten a la empresa.
RAFAEL MALDONADO
35
Alto
61- R7 R5
100%
PROBABILIDAD
Medio
R4,R2 R3
31-60%
Bajo
R6 R1
0-30%
Leve Moderado Catastrófico
IMPACTO
Tratamiento
N° Descripción Riesgo
Riesgo
R Acceso a las Áreas Criticas rack, ups.
Transferir
1
R Perdida de información
Controlarlo
2
R Daño de equipos computo (hardware)
Controlarlo
3
R Falta capacitación y sensibilización Usuarios y
personal área de sistemas Controlarlo
4
R Contratar Soporte Técnico 7x24
Controlarlo
5
R Control de los activos, programa de
Controlarlo
6 mantenimientos preventivos
Servidor de respaldo y plan de contingencia de
R
aplicativos Aceptarlo
7
REF
HALLAZGO 1
DEL SERVICIO
AUDITADO 1 DE 1
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber no cuenta con seguridad física para sus elementos activos
de Red, lo cual puede ocasionar, sabotaje, delincuencia y daños irreparables a la
infraestructura de red
CAUSAS:
No hay racks asegurados para evitar ingresos no autorizados.
Falta de inversión en equipos de seguridad
Falta de gestión del jefe del área
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los activos informáticos
Posible saboteo o manipulación indebida de equipos
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 0-30 %
Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
REF
HALLAZGO 2
DESCRIPCIÓN HALLAZGO:
La Empresa Cyber no cuenta con los mecanismos y procesos necesarios para
garantizar y proteger la información de los equipos de cómputo de sus áreas y
los datos almacenados en sus servidores, esto puede provocar una gran
afectación al sistema y perdida de dinero e información invaluable para la
empresa.
CAUSAS:
No existen protocolos para proteger la información.
No existe un servidor dedicado para que los funcionarios guarden los
archivos propios de la empresa
Falta de gestión para la compra de los equipos necesarios
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Pérdida económica incalculable
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 31-60 %
Impacto según relevancia del proceso: Moderado
38
RECOMENDACIONES:
REF
HALLAZGO 3
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber no cuenta con la infraestructura en equipos informáticos y de
red para garantizar un servicio continuo y de calidad
CAUSAS:
No hay planes de renovación de tecnología continua que asegure mantener
equipos que garanticen la prestación de un servicio de calidad.
Falta de inversión en equipos de cómputo y red.
Falta de mantenimiento correctivo y preventivo
CONSECUENCIAS:
39
RECOMENDACIONES:
REF
HALLAZGO 4
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber Computo Falta capacitación y sensibilización Usuarios y
personal área de sistemas para lograr involucrarlos como agentes activos y
primordiales de los procesos de seguridad y continuidad del servicio.
CAUSAS:
40
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los activos informáticos
Posible saboteo o manipulación indebida de equipos
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 31-60 %
Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
REF
HALLAZGO 5
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber Computo no cuenta con Servicio de soporte técnico 7x24 que
atienda de manera oportuna los requerimiento e incidentes presentados y que
puedan llegar a generar traumatismos a la empresa
41
CAUSAS:
No existen protocolos de instalación de software e inventario de equipos.
Falta de inversión en mantenimiento preventivos y correctivos
No existe el personal suficiente para atender eventualidades
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Daños en los equipos de cómputo y red
Pérdidas económicas por daños en los sistemas de información
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 61-100 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
REF
HALLAZGO 6
PROCESO DS4
DS ENTREGAR Y GARANTIZAR LA
DOMINIO DAR SOPORTE CONTINUIDAD
DEL SERVICIO
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber no cuenta con Control de los activos, programa de
mantenimientos preventivos, no se cuenta con una herramienta que gestiones el
software y el hardware de la empresa de esta manera controlarlo y evitar pérdidas.
CAUSAS:
Falta de gestión de recursos para la compra del aplicativo.
No hay control eficaz del software en los equipos
No hay control en el inventario de hardware
CONSECUENCIAS:
Pérdida de activos de la empresa
Daños en los activos informáticos
Pérdidas económicas por falta de control de los activos
RECOMENDACIONES:
REF
HALLAZGO 7
DESCRIPCIÓN HALLAZGO:
En la Empresa Cyber no cuenta Servidor de respaldo y plan de contingencia de
aplicativos
CAUSAS:
No se cuenta con un servidor de respaldo en caso de mantenimiento o falla
del principal.
Falta de inversión en equipos de respaldo de información
Falta de gestión del jefe del área de sistemas
CONSECUENCIAS:
Pérdida importante de la información que maneja la empresa
Pérdida económica por perdidas relacionadas con el servidor y el servicio
ofrecido
Al momento de fallar un aplicativo se para la empresa y su gestión cae al no
contar con contingencias
.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: 61-100 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
2. Cuadro de controles
HALLAZGOS CONTROL
ENCONTRADOS
3.Dictamen de la Auditoría
PROCESO COBIT: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
A. Objetivo de la Auditoria
Implementar los controles y prevenciones necesarias para garantizar la continuidad del
servicio de la empresa Cyber computo
B. Dictamen
Se califica un nivel de madurez 1 INICIAL: Los procesos son espontáneos y
desorganizados. No se ha implementado procesos para respaldo de información,
solución a requerimiento e incidentes de tecnología de la información y redes, se deben
implementar equipos de trabajo y capacitar el personal .se debe concientizar a las
directivas de la importancia de atacar estos requerimientos para evitar pérdidas
económicas considerables.
Hallazgos que soportan el Dictamen:
e. Dictamen:
g. Recomendaciones:
Conclusiones
48
Referencias Bibliográficas
49
La referencia muestra el manual del estándar CobIT que será usado en la fase de
resultados de la auditoria.