IMPACTO PROBABILIDAD Insignificante Moderado Catastrófico Menor (2) Mayor (4) (1) (3) (5) Raro (1) Improbable (2) R5 R6 R1
Posible (3) R2 R4
Probable (4) R3
Casi Seguro (5)
Cuadro de tratamiento de riesgos.
R5 Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo
R6 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo R2, R1 Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o R3, R4 transferir
Cuadro de tratamiento de riesgos que han sido identificados en
el proceso. ID. Riesgo Descripción Riesgo Tratamiento Riesgo R1 Perdida del progreso realizado. Controlarlo o reducirlo R2 Mal ingreso de la información. Transferirlo R3 No existe un mantenimiento o revisión de las Transferirlo redes de manera constante por lo tanto a veces se generan problemas. R4 No se tiene acceso a cierta información de Transferirlo manera inmediata. R5 No se posee un registro de fallas detectadas en Aceptarlo los equipos. R6 Desconocimiento de un plan de acción, en caso de Controlarlo o reducirlo que la empresa tenga un problema en su arquitectura de acuerdo al software. FORMATO DE HALLAZGOS.
REF Tabla HALLAZGO 1 hallazgo 1 R1
PÁGINA PROCESO AUDITADO Perdida del progreso realizado. 1 DE 1
RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y organizar PROCESO: PO3 dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
No existe un grupo encargado de verificar que la red y el proceso realizado se esté
guardando correctamente.
Esto es debido a la falta de un personal especializado a cargo de la red de
datos para que estén pendiente que todos los procesos realizados de guarden correctamente sin sufrir algún cambio o daño.
CAUSAS:
Falta de un grupo especializado encargado de verificar que la red este guardando el
proceso de una manera correcta sin pérdida del progreso.
CONSECUENCIAS:
Al no existir un grupo encargado de verificar que la red y el proceso realizado se estén
guardando correctamente, se pierde la claridad para brindar la información necesaria a los clientes en caso de que ellos los soliciten.
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 % Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio
RECOMENDACIONES:
Conformar un grupo especializado encargado de que verifiquen que la red y el
proceso realizado se este guardando de una manera correcta y eficiente, para poder brindar una información correcta y de manera eficiente a los clientes.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3 REF Tabla HALLAZGO 2 hallazgo 2 R2
PÁGINA PROCESO AUDITADO Mal ingreso de la información. 1 DE 1
RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y Organizar PROCESO dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
No existe un personal encargado de verificar el ingreso de la información y poder
comprobar que se este ingresando de una manera correcta.
Esto se da debido a que no hay un personal totalmente dirigido a la
comprobación de la información.
CAUSAS:
Falta de personal encargado de verificar que el ingreso de la información que se esta
realizando este de una manera correcta.
CONSECUENCIAS:
Al no existir un personal encargado de comprobar de que la información se esté
ingresando de una manera correcta puedan ocurrir mucha perdida de datos de los diferentes clientes y ocasionar diferente tipo de problemas.
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 %
Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio
RECOMENDACIONES:
Conformar o capacitar un grupo de empleados que sean capaces de revisar la
información solicitada antes de subirla en la nube para que no haya un mal ingreso de información.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3
Tabla REF HALLAZGO 3 Hallazgos 3 R3 mantenimiento o revisión de las redes de PÁGINA PROCESO AUDITADO manera constante 1 DE 1
RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y Organizar PROCESO dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
No existe un mantenimiento o revisión constante de las redes, lo que puede generar
muchos problemas de perdida de información.
Por medio de la empresa no se tienen unas personas totalmente dirigidas a el
mantenimiento o revisión constante de las redes, por lo que se debería de transferir a un grupo totalmente encargado de ese problema.
CAUSAS: xxxxxxxxxxxxxxxxxxxx
CONSECUENCIAS:
Al no hacer un mantenimiento o revisión constante de las redes, se pueden ocasionar
muchos problemas de la información de las personas que están asociadas a la empresa.
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 %
Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio RECOMENDACIONES:
Transferir el mantenimiento o revisión de las redes a un grupo especializado para la
revisión de este problema.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3
REF Tabla HALLAZGO 4 hallazgos 4 R4 Acceso a cierta información de manera PÁGINA PROCESO AUDITADO inmediata. 1 DE 1
RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y organizar PROCESO dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
No se tiene acceso a cierta información de manera inmediata.
Por medio de la empresa a veces no se tiene acceso de manera inmediata a
cierta información de los clientes lo que muchas veces puede causar molestias o perdida de tiempo.
CAUSAS:
Muchas veces es por congestión en la red
CONSECUENCIAS:
Al no tener acceso de manera inmediata a la información puede ocasionar problemas
de congestión de datos o como también perdida.
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 %
Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio RECOMENDACIONES:
Transferir toda la información a una zona encargada de tener un acceso constante a
cualquier información de la manera más rápido posible, para que así los clientes puedan obtener su información rápidamente.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3
REF Tabla HALLAZGO 5 R5 Hallazgos 5 PÁGINA PROCESO AUDITADO registro de fallas detectadas en los equipos. 1 DE 1
RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y Organizar PROCESO dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
No se posee un registro de fallas detectadas en los equipos.
Este es un problema muy poco ocurrente por lo que no es de tanta importancia
ya que si ocurre es muy sencillo de diagnosticar el fallo.
CAUSAS: XXXXXXXXXXXXXXXXXXXXXXXX
CONSECUENCIAS:
Al no tener un registro de fallas detectadas por los equipos las consecuencias pueden ser muy leves ya que detectar una falla en un equipo en muy sencillo testeando cada uno de sus componentes.
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 %
Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio
RECOMENDACIONES:
Tratar de llevar un registro de fallas o problemas de los equipos para tratar de ahorrar tiempo a la hora de revisarlos y buscar cual es el problema. EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3
REF Tabla HALLAZGO 6 Hallazgos 6 R6
PROCESO AUDITADO plan de acción, en caso de que la empresa PÁGINA
tenga un problema en su arquitectura de 1 DE 1 acuerdo al software. RESPONSABLE Kennedy Stiven Gomez Torres
MATERIAL DE SOPORTE COBIT
Determinar la DOMINIO Planear y Organizar PROCESO dirección tecnológica. (PO3)
DESCRIPCIÓN HALLAZGO:
Desconocimiento de un plan de acción, en caso de que la empresa tenga un problema
en su arquitectura de acuerdo al software.
Este es un problema dado por falta de información ya que no se conoce en si
hay o no hay muy bien un plan de acción en caso de que la empresa tenga un problema.
CAUSAS:
Falta de información para comprobar si existe un plan de acción con todo lo necesario por si en caso de que la empresa tenga un problema en su arquitectura de acuerdo al software.
CONSECUENCIAS:
Al tener desconocimiento de un plan de acción, en caso de que ocurra un problema
en la arquitectura del software de la empresa, no se podría hacer nada de manera inmediata y tocaría buscar un plan de acción en caso de que ocurra un problema
VALORACIÓN DEL RIESGO:
Porcentaje de riesgo parcial: ¿ 63 %
Porcentaje de riesgo = 37% Impacto según relevancia del proceso: Riesgo Medio
RECOMENDACIONES: Conforma un grupo encargado de generar o buscar un plan de acción en caso de que ocurra un problema para poder combatirlo de manera inmediata sin que tenga ninguna consecuencia.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
CUESTIONARIOS/PLAN_PO3
Cuadro de Controles RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES ENCONTRADOS CONTROL No existe un grupo encargado de verificar CORRECTIVO Capacitar a un grupo para que se que la red y el proceso realizado se esté encargue de verificar contantemente el guardando correctamente. buen funcionamiento de la red. PREVENTIVO Si no existe la persona indicada en la empresa para capacitar a el grupo, se podría contratar con una entidad externa. DETECTIVO Hacer seguimiento de que el grupo este realizando constantemente la revisión de la red. No existe un personal encargado de CORRECTIVO Implementar estrategias con el fin de verificar el ingreso de la información y conformar un personal encargado de poder comprobar que se esté ingresando verificar el ingreso de la información. de una manera correcta. PREVENTIVO Concientizar al personal sobre lo importante que es verificar la información y comprobarla para no generar posibles problemas. DETECTIVO Determinar el problema que esta generando el mal ingreso de la información. No existe un mantenimiento o revisión PREVENTIVO Capacitar a el personal para poder realizar constante de las redes, lo que puede un mantenimiento y revisión constante de generar muchos problemas de perdida de las redes para que no se generen información. problemas de perdida de información. CORRECTIVO Implementar un personal encargado de hacer un mantenimiento y revisión constante de las redes. DETECTIVO Hacer un seguimiento de que se este realizando de manera eficiente el mantenimiento y revisión de las redes. No se tiene acceso a cierta información PREVENTIVO Al personal encargado de generar el de manera inmediata. acceso a la información se debe capacitar para que generen el acceso a cierta información de manera mas eficiente.
CORRECTIVO Restringir el acceso a la información a
cualquier persona ya que también eso puede generar congestión y por eso puede tardar mas el acceso a la información por parte el personal encargado. DETECTIVO Hacer un escaneo de los usuarios que ingresan a la información para así darse cuenta de quien no esta siguiendo las reglas y esta congestionando la red. Desconocimiento de un plan de acción, PREVENTIVO Elaboración de un plan de acción en caso en caso de que la empresa tenga un de que no exista, que cuenta con todo lo problema en su arquitectura de acuerdo necesario en caso de que ocurra un al software. problema. CORRECTIVO Actualizar el plan de acción en caso de que ocurra para poder contar con todas las herramientas necesarias en caso de que ocurra un problema grave. DETECTIVO Adquisición de un sistema que permita ayudar a generar un plan de acción con todo lo necesario para combatir un problema en la empresa.
