1.

Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas

de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y
riesgos para cada proceso asignado.
LISTA DE CHEQUEO TUBINPLAS
 Adquirir e implementar  AI3 Adquirir y mantener
DOMINIO (AI)   PROCESO infraestructura tecnológica.

OBJETIVO DE CONTROL AI3 Adquirir y mantener infraestructura tecnológica 

CONFORME
No ASPECTO EVALUADO OBSERVACION
SI NO
¿Cuentan con un plan de
1 mantenimiento de la
infraestructura tecnológica?     X  
¿Dentro del plan de
2 mantenimiento se garantiza el
control de cambios?     X  
¿Software (Microsoft office,
antivirus, sistema operativo,
aplicativos) licenciado y
3 actualizado?  X    
¿Se hace mantenimiento
periódicamente a la
infraestructura? (computador
sobremesa, extintores,
cableado red, impresoras,  Solo a computadores e impresoras
4 enrutadores, reguladores, etc.)    X cuando están fallando.
¿Se realizan revisiones a los PCs
con el fin de detectar software
5 malicioso?   X  
¿Los equipos se encuentran
6 operando?  X    Son solo dos.
 REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE OBSERVACION DE AUDITORIA

2) Protección y Disponibilidad del Recurso de Infraestructura

Área de Informática Tubinplas
Guía de Pruebas
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación y Mantenimiento preventivo de Hardware y
software
Riesgos Asociados R15, R16, R18, R19
No Evidencias Descripción
1 No hay plan de En el área de informática no se cuenta con un plan de
mantenimiento mantenimiento y cuando realizarlo
2 No se garantiza En el área de informática no hay un registro o documento
el control de donde se lleve control de los cambios hardware
cambios
3 No se hace No se realiza mantenimiento preventivo periódico a la
mantenimiento al infraestructura tecnológica
hardware
4 No se hace No se realiza mantenimiento al software correctivo al
mantenimiento al software con el fin de detectar virus y eliminarlos.
software
3) Mantenimiento de la Infraestructura

PAGINA
ENTIDAD AUDITADA TUBINPLAS
1 DE 1
PROCESO AUDITADO Habilidades del personal que trabaja en el área de informática
RESPONSABLE Adrian Parra Nuñez
MATERIAL DE SOPORTE COBIT
DOMINIO Administrar Recursos Informáticos
PROCESO AI3.3 Mantenimiento de la Infraestructura

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ÁNALISIS DE EJECUCIÓN
Personas o Pruebas que se hacen Pruebas de
para saber el nivel de conocimiento, virtuales a
documentos que tiene habilidades del personal través de simuladores
la información que encargado de manipular y para conocer, registrar y
necesita el auditor realizar los diferentes de ser necesario
tipos de mantenimiento. capacitar al personal.

AUDITOR RESPONSABLE:

RIESGOS INICIALES
1. Fata de equipos con la suficiente capacidad de funcionamiento.
2. Falta de capacitaciones y evaluaciones para medir las habilidades en manejo de
TI del personal.
3. Falta de capacitación en manejo de equipos de cómputo y sistemas.
4. El personal no es apto para realizar un diagnostico o un cambio de algún
elemento no funcional dentro de los equipos.
5. Falta de espacios para capacitaciones.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
6. Desconocimiento de los conocimientos básicos para la correcta revisión de los
equipos.
7. No se cuenta con las herramientas necesarias para el seguimiento y reparación
de los equipos informáticos.
 8. Manejo inadecuado de equipos de cómputo y sistemas.

4. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para

cada proceso evaluado
No Vulnerabilida Amenaza Riesgo Categoría Proceso Descripción
d del Proceso
N°1 No hay un plan Descontrol en Desconocimient Manejo y AI3.2 Maximizar los
para el el uso o en los recolección tiempos de
seguimiento del inadecuado procesos de capacitaciones
funcionamiento de de los básicos de información. al personal para
los equipos. equipos. mantenimiento. garantizar el
N°2 Falta de Errores por El personal no Capacitación AI3.2 buen manejo de
capacitaciones al parte del cuenta con las del personal los equipos y
personal para personal sin habilidades evitar demoras
realizar poder habilidades, necesarias para en los procesos
realizar el perdidas y realizar las de TI en la
seguimiento y demoras. reparaciones. empresa.
control del
material TI.

N°3 Falta de Daños de Manejo Capacitación AI3.3

capacitación en equipos de inadecuado de del personal
manejo de computo equipos de
equipos de cómputo y
cómputo y sistemas.
sistemas.

5. Elaborar la matriz de riesgos de cada proceso evaluado.

RESULTADO MATRIZ DE RIESGO

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDA
D Moderado Mayor Catastrófic
Insignificante (1) Menor (2)
(3) (4) o (5)

Raro (1)

Improbable (2)

Posible (3) N°1

Probable (4) N°2

Casi Seguro (5) N°3

6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.
ACCIONES
B Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo
M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o
E transferir

CUADRO TRATAMIENTO DE RIESGOS

Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo
N°1 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
N°2 Zona de riesgo Alta: Reducir el riesgo, evitar.
N°3 Zona de riesgo Extremo: Reducir el riesgo, evitar.