DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

DS5
Fuentes de conocimiento: DS5 Garantizar la Seguridad de los Sistemas

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE FCP0
AUDITORIA 4

ENTIDAD PAGINA
System Plus
AUDITADA 1 DE 1
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLE Natalia Isabel García Burbano
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Dar Soporte (DS)

PROCESO DS5 Garantizar la Seguridad de los Sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Documento de  Verificar
Planeación existencia de
estratégica de documentos de
la empresa. planeación
 Manual de estratégica de la
funciones, empresa.
perfiles y  Verificar la
competencias. existencia del
 Plan de manual de
capacitaciones. funciones,
 Documento de perfiles y
estándares y competencias.
políticas de  Verificar la
seguridad. existencia de un
 Reportes de plan de
pruebas capacitación en
periódicas la empresa.
  Reportes de  Verificar la
incidentes. existencia del
 Entrevista con documento de
el administrador estándares y
de red políticas de
seguridad.

Entrevista: DS5 Garantizar la Seguridad de los Sistemas

ENTREVISTA
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO Seguridad de los
Sistemas
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿Hay roles establecidos y las
acciones de la administración
están en línea con los
requerimientos del negocio, se Si hay roles establecidos para
1
definen las responsabilidades de cada área
seguridad, política, estándares y
procedimientos?

Si se realizan monitoreos, pero

falta determinar los periodos en
2 ¿Se realizan monitoreos de
los cuales se deben realizar las
seguridad y pruebas periódicas?
pruebas

¿Determinan y llevan a cabo Esta en proceso de

3 acciones correctivas sobre las implementación las acciones
debilidades o incidentes de correctivas
seguridad identificados?
No existe un plan de seguridad,
¿Existe un plan de seguridad de TI
cuando se presentan, se atiende
completo, donde estén expuestos
4 cada requerimiento y si hay un
los requerimientos de negocio,
riesgo se mira la manera de
riesgos y cumplimiento?
eliminar, disminuir o mitigar
5 ¿Todos los usuarios (internos, Cada uno tiene su rol y las
externos y temporales) y su participaciones, permisos
actividad en sistemas son otorgados, según la actividad
identificables de manera única? que ejerza dentro de la
empresa.
Se realiza un señalamiento de
los responsables de cada
equipo definido por un usuario
 con claves de acceso para
ciertos permisos.

Con la identificación de cada

¿Como aseguran que los
derechos de acceso de los
6 usuarios se solicitan y están
aprobados por el responsable del
sistema?
¿Se revisan regularmente la
7 gestión de todas las cuentas y los
privilegios asociados?
¿Como garantizan la
implementación de la seguridad de
8 la información para detectar
actividades inusuales o anormales
que pueden requerir atención?
usuario, se envían a través de
correo, donde es comprobada la
identificación del usuario y una
vez comprobados los datos, se
aprueba y otorga un id para el
acceso
Cada usuario de la red es
responsable de cuidar su
contraseña
Los periodos de revisión son de
6 meses, en cada terminación
de cursos, se necesita una
revisión más habitual.
Mediante la política de
seguridad de la red le informa al
usuario que están prohibidas las
conexiones privadas, a través
de las estaciones de trabajo
individuales

Cada incidente que se presente,

debe primero ser caracterizado,
¿Clasifican las características de generalmente se apoya en los
potenciales incidentes de proveedores de los productos
seguridad, para ser comunicados y minimizar el impacto y sólo hay
9
tratados de acuerdo con el una persona encargada de la
proceso? seguridad si él no puede
controlar, se informa al
coordinador ( jefe inmediato )
para determinar la solución
Acceso restringidos a los
privilegios especiales. Se
encripta la información
¿Cómo garantizan que la
importante.
seguridad sea resistente al
10 La información confidencial o
sabotaje y no revele
delicada está restringida a un
documentación de seguridad?
host y al administrador del
sistema.

¿Qué medidas de seguridad utiliza

toda la organización para proteger
los sistemas de la información y a
11
la tecnología contra malware
(virus, gusanos, spyware, correo
basura)?
12 ¿Cuáles son las técnicas de
Se utilizan antivirys y firewall
ESET NOD32 Antivirus 8.0
Licencia empresarial
Panda Internet Security
Mediante el Router, se limita el
 seguridad y procedimientos de
control de acceso, determinando
administración asociados para
una solo una IP pueda tener
autorizar acceso y controlar los
acceso a la configuración
flujos de información desde y
hacia las redes?
¿Qué controles utilizan para Definiendo los protocolos de las
13 proporcionar autenticidad de paginas.
contenido?

Lista chequeo: DS5 Garantizar la Seguridad de los Sistemas

LISTA CHEQUEO
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO Seguridad de los
Sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Hay roles establecidos y las
acciones de la administración
están en línea con los
requerimientos del negocio, se
1 x
definen las responsabilidades de
seguridad, política, estándares y
procedimientos?

falta determinar los

¿Se realizan monitoreos de periodos en los cuales
2 x
seguridad y pruebas periódicas? se deben realizar las
pruebas
¿Determinan y llevan a cabo
acciones correctivas sobre las
3 x
debilidades o incidentes de
seguridad identificados?
OBJETIVO DE CONTROL DS5.2 Plan de Seguridad de TI
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
1 ¿Existe un plan de seguridad de x Se debe implementar un
TI completo, donde estén plan de acción, permite
 que la empresa,
determinar si se atiende
expuestos los requerimientos de
y se cumplen a
negocio, riesgos y cumplimiento?
conformidad los
requerimientos
OBJETIVO DE CONTROL DS5.3 Administración de Identidad
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Todos los usuarios (internos,
externos y temporales) y su
1 x
actividad en sistemas son
identificables de manera única?
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Como aseguran que los
derechos de acceso de los
1 usuarios se solicitan y están x
aprobados por el responsable del
sistema?
La Revisión de las
cuentas es importante
de una manera habitual
¿Se revisan regularmente la
para analizar los
2 gestión de todas las cuentas y los x
permisos y las
privilegios asociados?
actividades para
determinar los posibles
riesgos
DS5.5 Pruebas, Vigilancia y Monitoreo de la
OBJETIVO DE CONTROL
Seguridad
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Garantizan la implementación de
la seguridad de la información
para detectar la detección
1 x
oportuna de actividades inusuales
o anormales que pueden requerir
atención?
OBJETIVO DE CONTROL DS5.6 Definición de Incidente de Seguridad
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Clasifican las características de
potenciales incidentes de
seguridad, para ser comunicados
1 x
y tratados de acuerdo con el
proceso?

OBJETIVO DE CONTROL DS5.7 Protección de la Tecnología de Seguridad

CONFORME
 Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cómo garantizan que la
seguridad sea resistente al
1 x
sabotaje y no revele
documentación de seguridad?

DS5.9 Prevención, Detección y Corrección de

OBJETIVO DE CONTROL
Software Malicioso
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Qué medidas de seguridad
utiliza toda la organización para
proteger los sistemas de la
1 información y a la tecnología x
contra malware (virus, gusanos,
spyware, correo
basura)?
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cuáles son las técnicas de
seguridad y procedimientos de
administración asociados para
1 x
autorizar acceso y controlar los
flujos de información desde y
hacia las redes?
OBJETIVO DE CONTROL DS5.11 Intercambio de Datos Sensitivos
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Qué controles utilizan para
1 proporcionar autenticidad de x
contenido?

CUESTIONARIO CUANTITATIVO REF

CC04

ENTIDAD System Plus PAGINA

AUDITADA 1 DE 1
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLES Natalia García
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Dar Soporte (DS) PROCESO DS5 Garantizar la
Seguridad de los
Sistemas
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
¿Hay roles establecidos y las acciones 1
de la administración están en línea con
los requerimientos del negocio, se
1 definen las responsabilidades de
seguridad, política, estándares y
procedimientos?

¿Se realizan monitoreos de seguridad 3

2
y pruebas periódicas?
¿Determinan y llevan a cabo acciones 3
3 correctivas sobre las debilidades o
incidentes de seguridad identificados?
¿Existe un plan de seguridad de TI 4
completo, donde estén expuestos los
4
requerimientos de negocio, riesgos y
cumplimiento?
¿Todos los usuarios (internos, 2
externos y temporales) y su actividad
5
en sistemas son identificables de
manera única?
¿Como aseguran que los derechos de 1
acceso de los usuarios se solicitan y
6
están aprobados por el responsable
del sistema?
¿Se revisan regularmente la gestión 3
7 de todas las cuentas y los privilegios
asociados?
¿Como garantizan la implementación 4
de la seguridad de la información para
8 detectar la detección oportuna de
actividades inusuales o anormales que
pueden requerir atención?
¿Clasifican las características de 1
potenciales incidentes de seguridad,
9 para ser comunicados y tratados de
acuerdo con el proceso?

¿Cómo garantizan que la seguridad 3

10 sea resistente al sabotaje y no revele
documentación de seguridad?
¿Qué medidas de seguridad utiliza 2
toda la organización para proteger los
sistemas de la información y a la
11
tecnología contra malware (virus,
gusanos, spyware, correo
basura)?
 ¿Cuáles son las técnicas de seguridad 1
y procedimientos de administración
12 asociados para autorizar acceso y
controlar los flujos de información
desde y hacia las redes?
¿Qué controles utilizan para 2
13 proporcionar autenticidad de
contenido?
TOTAL 14 16
Porcentaje de riesgo parcial = (12 * 100) / 30 = 40
Porcentaje de riesgo total = 100 – 40 = 60
PORCENTAJE RIESGO 60 % (Riesgo Medio)

Riesgos iniciales para procesos DS5

No. Vulnerabilidad

Faltan de cumplimientos en los requerimientos del negocio.

2 Falta de determinación de los periodos de los monitoreos

Riesgos con la aplicación de instrumentos para procesos DS5

No. Vulnerabilidad
 3 Falta de un plan de acción para los incidentes de seguridad

4 Falta de garantizar la seguridad para que sea resistente al sabotaje

5 Falta de técnicas para controlar los flujos de información en la red

6 Falta de revisión de las cuentas y de los privilegios

7 Falta de controles para proporcionar la autenticidad

8 Falta clasificar las características de los incidentes

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS

IMPACTO

NIVEL DESCRIPTOR DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría consecuencias o

1 Insignificante
efectos mínimos sobre la entidad

Si el hecho llegara a presentarse, tendría bajo impacto o

2 Menor
efecto sobre la entidad

Si el hecho llegara a presentarse, tendría medianas

3 Moderado
consecuencias o efectos sobre la entidad
 Si el hecho llegara a presentarse, tendría altas
4 Mayor
consecuencias o efectos sobre la entidad

Si el hecho llegara a presentarse, tendría desastrosas

5 Catastrófico
consecuencias o efectos sobre la entidad

PROBABILIDAD

NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA

El evento puede ocurrir sólo en No se ha presentado en

1 Raro
circunstancias excepcionales los últimos 5 años

Se ha presentado al
El evento puede ocurrir en algún
2 Improbable menos 1 vez en los
momento
últimos 5 años

Se ha presentado al
El evento puede ocurrir en algún
3 Posible menos de 1 vez en los
momento
últimos 2 años

Se ha presentado al
El evento probablemente ocurrirá en la
4 Probable menos 1 vez en el
mayoría de las circunstancias
último año

Se espera que el evento ocurra en la Se ha presentado más

5 Casi Seguro
mayoría de las circunstancias de 1 vez al año

Con las escalas de medición se construye la matriz de riesgos general que se aplica para
cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

PROBABILIDAD IMPACTO

Insignificante = 1
Raro = 1
Menor = 2
Improbable = 2
Moderado = 3
Posible = 3
Mayor = 4
Probable = 4 ANALISIS Y EVALUACIÓN DE
Catastrófico = 5
RIESGOS – PROCESOS DS5
Casi Seguro = 5

No. Descripción Impacto Probabilidad

Faltan de cumplimientos en los requerimientos del

negocio.
1 3 4

Falta de determinación de los periodos de los

2 2 3
monitoreos

Falta de un plan de acción para los incidentes de

3 5 4
seguridad

Falta de garantizar la seguridad para que sea

4 2 2
resistente al sabotaje

5 Falta de técnicas para controlar los flujos de 3 2

 información en la red

6 Falta de revisión de las cuentas y de los privilegios 4 3

Falta de controles para proporcionar la

7 2 2
autenticidad

8 Falta clasificar las características de los incidentes 2 2

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2) R7, R4 R5

Posible (3) R1

Probable (4) R8, R11

Casi Seguro (5)

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo

A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir

E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir