Ejecuciondeauditoria Grupo901

Unidad 2 Fase 3: Ejecución de la auditoría
Actividad Colaborativa
Carlos Andrés Ramirez Cód. 4615252

Carlos Andrés Ordoñez. Cód. 1061738990
Natalia Isabel García. Cod. 1061734071
Auditoría de sistemas
Grupo: 90168A
Tutor
Francisco Nicolás Solarte
Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas, Tecnologías e Ingeniería
Ingeniería de Sistemas
Octubre 31 de 2018
Introducción
System Plus cuenta con la necesidad de evaluar los procesos del área de sistemas como
plan de mejora empresarial y crecimiento académico de sus estudiantes. Para llevar a
cabo la auditoría se toma como referencia el modelo CobiT4.1 de donde se seleccionan
y aplican los procesos adecuados dentro de cada dominio relativo. En esta entrega se
realiza la aplicación de instrumentos de auditoría tomando como referencia distintas
actividades de validación del sistema, encontrando así resultados precisos en busca de la
mejora del plantel.
OBJETIVOS
 Aprender y aplicar los conceptos de auditoria de sistemas en la empresa System

Plus, partiendo del análisis de vulnerabilidades, riesgos y amenazas, continuando
con una complementación de los riesgos a partir de la aplicación de los
instrumentos de recolección de información y finalizando con la generación de
la matriz de riesgos de la empresa.
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA
PO4
Fuentes de conocimiento: PO4 Definir los Procesos, Organización y Relaciones de TI
CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE FCP0
AUDITORIA 4
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Definición de los procesos, organización y relaciones de TI
AUDITADO
RESPONSABLE Carlos Andrés Ramírez Navia
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO4 Definir los Procesos, Organización y Relaciones de TI
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Documento de  Verificar
Planeación existencia de
estratégica de la documentos de
empresa. planeación
 Manual de estratégica de la
funciones, empresa.
perfiles y  Verificar la
competencias. existencia del
 Plan de manual de
capacitaciones. funciones, perfiles
 Documento de y competencias.
estándares y  Verificar la
políticas de existencia de un
seguridad. plan de
 Reportes de capacitación en la
pruebas empresa.
periódicas  Verificar la
 Reportes de existencia del
incidentes. documento de
 Entrevista con el estándares y
administrador de políticas de
red seguridad.
Entrevista: PO4 Definir los Procesos, Organización y Relaciones de TI
ENTREVISTA
PO4 Definir los

DOMINIO Planear y Organizar (PO) PROCESO Procesos, Organización y
Relaciones de TI
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿Se cuenta con una estructura Si, en la actualidad se cuenta con el

organizacional de TI interna y externa personal necesario y adecuado
1
ajustada a los requerimientos del para la ejecución correcta de las
negocio? actividades de TI.
No, en la medida que se hace

¿Se realiza una evaluación periódica necesario, debido a ajustes o
2 para ajustar requerimientos de actualizaciones, se realiza la
personal y las estrategias internas? evaluación del personal y se
plantean las estrategias necesarias.
¿Los roles y las responsabilidades del No, algunas de las

3 personal de TI se encuentran definidos responsabilidades no son conocidas
y son de pleno conocimiento? y/o definidas plenamente.
Se utiliza un software DLP

(Prevención de Pérdida de Datos )
¿Qué herramientas y procedimientos para evitar fugas de información.
le han sido proporcionados para Adicionalmente, usuarios y
4 enfrentar sus responsabilidades de contraseñas; estas últimas
propiedad sobre los datos y los requieren de reglas específicas
sistemas de información? para su admisión, tales como un
mínimo de longitud, caracteres
alfanuméricos, entre otros.
5 ¿Qué metodología o procedimiento Para la clasificación de la

información se usa segmentación
ejecutan los dueños de la información por áreas, y está sujeto al criterio
para la clasificación de la misma? del dueño de la información cómo
realizarlo.
Se retroalimenta de acuerdo a la
ejecución de pruebas y
¿Qué prácticas de supervisión se han
posteriormente cuando se detecta
implementado para garantizar que los
6 una falla o restricción inadecuada
roles y responsabilidades se ejerzan de
o inexistente. Se comunican
forma apropiada?
expresamente vía telefónica con el
administrador de red.
Los roles y responsabilidades se

¿Cuál es la división de roles y
encuentran divididos lo suficiente
responsabilidades implementada para
7 para evitar una afectación
evitar que un solo individuo afecte
negativa, o si la hay, que sea
negativamente un proceso crítico?
mínima.
¿De qué manera la gerencia se asegura

La gerencia no tiene control o
que el personal realice sólo las tareas
8 monitoreo sobre la ejecución de las
autorizadas, relevantes a sus puestos y
tareas de cada usuario del sistema.
posiciones respectivas?
¿Qué políticas se tienen para

No existen las políticas para
minimizar la dependencia en un solo
9 minimizar la dependencia en un
individuo desempeñando una función
solo individuo.
de trabajo crítica?
¿Qué políticas o procedimientos

existen para asegurar que los
consultores y el personal IT contratado Se firman contratos de
10
cumplan con las políticas confidencialidad de la información.
organizacionales de protección de
activos de información de la empresa?
Lista chequeo: Definir los Procesos, Organización y Relaciones de TI.

LISTA CHEQUEO
PO4 Evaluar y administrar

DOMINIO Planear y Organizar (PO) PROCESO
los riesgos de TI
OBJETIVO DE CONTROL PO4.5. Estructura organizacional
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Existe una estructura organizaciones

1 interna y externa que refleje las x
necesidades del negocio?
¿Existe procesos para revisión Se realizan ajustes en la

periódica de la estructura medida que se van
2 x
organizacional de TI? Para ajustar observando las
requerimiento de personal. necesidades.
OBJETIVO DE CONTROL PO4.6. Establecimiento de Roles y Responsabilidades
CONFOR
SI NO
Falta trasmisión completa

¿Existe definición y comunicación de de las responsabilidades ya
1 los roles y responsabilidades para los x sea por desconocimiento o
distintos actores en el sistema? por falta de definición de
las mismas.
OBJETIVO DE CONTROL PO4.9. Propiedad de Datos y de Sistemas
CONFOR
SI NO
¿Existen procedimientos y
herramientas que permitan enfrentar
1 las responsabilidades de propiedad x
sobre los datos y los Sistemas de
información?
¿Existen tomas de decisiones por
2 parte del dueño de la información x
sobre como clasificarla y protegerla?
OBJETIVO DE CONTROL PO4.10. Supervisión
CONFOR
SI NO
¿Existen prácticas de supervisión para

garantizar la ejecución correcta de los No se realiza propiamente
roles y responsabilidades, para la supervisión, pero se
evaluar si todo el personal cuenta con tiene un proceso que
1 x
la suficiente autoridad y recursos para ofrece respuesta a las
ejecutar sus roles y responsabilidades necesidades del
y para revisar en general los requerimiento.
indicadores clase de desempeño?
OBJETIVO DE CONTROL PO4.11. Segregación de Funciones
CONFOR
SI NO
¿Existe división de roles para reducir

la posibilidad que un solo individuo
1 x
afecte negativamente un proceso
crítico?
¿La gerencia se asegura de que el La gerencia no tiene

personal realice sólo las tareas inferencia en temas
2 x
autorizadas, relevantes a sus puestos y relacionados directamente
posiciones respectivas? con IT.
OBJETIVO DE CONTROL PO4.13. Personal Clave de TI
CONFOR
SI NO
¿Existe la identificación al personal

1 x
clave de TI?
¿Existen procedimientos para
minimizar la dependencia en un solo
2 x
individuo desempeñando una función
de trabajo crítica?
PO4.14. Políticas y Procedimientos para Personal

OBJETIVO DE CONTROL
Contratado
CONFOR
SI NO
¿Existen políticas y procedimientos

para que los consultores y el personal
1 contratado cumplan con las políticas x
organizacionales de protección de los
Cuestionario: Evaluar y administrar los riesgos de TI
CUESTIONARIO CUANTITATIVO REF
CC04
ENTIDAD System Plus PAGINA

AUDITADA
1 DE 1
PROCESO Administración de riesgos de TI

AUDITADO
RESPONSABLES Carlos Ramírez
MATERIAL DE COBIT 4.1

SOPORTE
DOMINIO Planear y Organizar PROCESO PO9 Evaluar y

(PO) administrar los riesgos de
TI
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
¿Existe una estructura organizaciones
1 interna y externa que refleje las 1
necesidades del negocio?
¿Existe procesos para revisión periódica de

2 la estructura organizacional de TI? Para 3
ajustar requerimiento de personal.
¿Existe definición y comunicación de los

3 roles y responsabilidades para los distintos 3
actores en el sistema?
¿Existen procedimientos y herramientas

que permitan enfrentar las
4 1
responsabilidades de propiedad sobre los
datos y los Sistemas de información?
¿Existen tomas de decisiones por parte del

5 dueño de la información sobre como 1
clasificarla y protegerla?
¿Existen prácticas de supervisión para

garantizar la ejecución correcta de los roles
y responsabilidades, para evaluar si todo el
6 personal cuenta con la suficiente autoridad 2
y recursos para ejecutar sus roles y
responsabilidades y para revisar en general
los indicadores clase de desempeño?
¿Existe división de roles para reducir la

7 posibilidad que un solo individuo afecte 1
negativamente un proceso crítico?
¿La gerencia se asegura de que el personal

realice sólo las tareas autorizadas,
8 4
relevantes a sus puestos y posiciones
respectivas?
¿Existe la identificación al personal clave

9 1
de TI?
¿Existen procedimientos para minimizar

la dependencia en un solo individuo
10 1
desempeñando una función de trabajo
crítica?
¿Existen políticas y procedimientos para
que los consultores y el personal
11 contratado cumplan con las políticas 2
organizacionales de protección de los
TOTAL 10 10
Porcentaje de riesgo parcial = (10 * 100) /20 = 50%
Porcentaje de riesgo total = 100 – 50 = 50%
PORCENTAJE RIESGO 50% (Riesgo medio)

PO7
Fuentes de conocimiento: PO7 Administrar los Recursos Humanos de TI

AUDITORIA 7
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Administración de los recursos humanos de TI
AUDITADO
RESPONSABLE Carlos Andrés Ramírez Navia
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO7 Administrar los Recursos Humanos de TI

funciones, empresa.
seguridad. plan de
 Entrevista con el capacitación en la
administrador de empresa.
red  Verificar la
existencia del
documento de
estándares y
políticas de
seguridad.
Entrevista: PO7 Administrar los Recursos Humanos de TI
ENTREVISTA
DOMINIO Planear y Organizar (PO) PROCESO PO7 Administrar los

Recursos Humanos de TI
OBJETIVO DE CONTROL
Se realiza en la incorporación del

¿Cómo y con qué frecuencia se
personal, pero no se realiza
1 verifica que el personal tenga las
evaluación periódica de
habilidades para cumplir sus roles?
conocimientos.
No existe un programa definido, si

se hace necesario capacitar a
¿Qué programas de calificación y/o
alguien en un tema especial, se
2 certificación existe para las
envía al líder de IT, y luego
habilidades TI?
comparte el conocimiento al resto
del personal de IT.
Dentro de las habilidades

requeridas se encuentran:
 Administración de redes
 Mantenimiento de equipos
¿Qué habilidades para TI están de cómputo e impresoras
3 definidas como requerimiento  Cableado estructurado
esencial?
 Administración de bases de
datos.
 Manejo avanzado de
paquete de ofimática de
Microsoft.
4 ¿Cuál es el proceso para definir, Para la definición de los marcos de

monitorear y supervisar los marcos de trabajo se utiliza la experticia del
trabajo para los roles, líder de IT. El monitoreo y
responsabilidades y compensación del supervisión se realiza mediante
personal? pruebas en el sistema
¿Los roles y responsabilidades se

encuentran adheridos a las políticas, Si, El líder de IT se encarga de
5 procedimientos administrativos, al definirlos y mantenerlos adheridos
código de ética y prácticas a las políticas de la empresa.
profesionales?
Se realiza cada vez que se presenta

¿Con qué frecuencia se realizan
una eventualidad y se generan sus
procesos de capacitación y
respectivos correctivos. De esta
actualización de conocimientos,
6 forma todo el equipo de IT
aptitudes, habilidades, controles
comparte el conocimiento
internos y conciencia sobre la
adquirido. Pero no existe una
seguridad?
frecuencia definida.
¿Qué políticas se desarrollan para

evitar las dependencias críticas sobre Se implementa la documentación,
7 individuos? (Documentación, planeación de la sucesión y
compartir conocimiento, planeación compartir conocimiento.
de la sucesión y respaldos de personal)
Lista chequeo: Administrar los Recursos humanos de TI.
LISTA CHEQUEO
PO7 Administrar los

DOMINIO Planear y Organizar (PO) PROCESO
Recursos Humanos de TI
OBJETIVO DE CONTROL PO7.2. Competencias del Personal
CONFOR
SI NO
¿Existe verificación periódica para

No periódica, se realiza en
que el personal tenga las habilidades
caso de necesidad y en la
1 para cumplir sus roles con base en su x
incorporación del personal
educación, entrenamiento y/o
de IT.
experiencia?
¿Los requerimientos esenciales de

2 x
habilidades para TI están definidos?
¿Los requerimientos esenciales están
sujetos a mantenimiento y
3 x
actualización usando programas de
calificación y certificación?
OBJETIVO DE CONTROL PO7.3. Asignación de Roles
CONFOR
SI NO
¿Existe definición, monitoreo y

supervisión de los marcos de trabajo Definido por la experiencia
1 x
para los roles, responsabilidades y del líder en IT
compensación del personal?
OBJETIVO DE CONTROL PO7.4. Entrenamiento del Personal de TI
CONFOR
SI NO
¿Existe la orientación necesaria al

momento de la contratación y
Esporádico y cuando se
entrenamiento continuo para
1 x requiere o se incorpora al
conservar su conocimiento, aptitudes,
equipo de trabajo.
habilidades, controles internos y
conciencia sobre la seguridad?
OBJETIVO DE CONTROL PO7.5. Dependencia Sobre los Individuos
CONFOR
SI NO
1 ¿Existe documentación? x
2 ¿Se comparte el conocimiento? x
¿Existe una planeación para la

3 x
sucesión y respaldos de personal?
Cuestionario: Evaluar y administrar los riesgos de TI
REF
CUESTIONARIO CUANTITATIVO
CC07

AUDITADA
1 DE 1
PROCESO Administración de los recursos humanos de TI

AUDITADO
RESPONSABLES Carlos Ramírez

SOPORTE
DOMINIO Planear y Organizar PROCESO PO7 Administrar los

(PO) Recursos Humanos de TI
OBJETIVO DE CONTROL
¿Existe verificación periódica para que el

personal tenga las habilidades para cumplir
1 3
sus roles con base en su educación,
entrenamiento y/o experiencia?
¿Los requerimientos esenciales de

2 2
habilidades para TI están definidos?
¿Los requerimientos esenciales están sujetos

3 a mantenimiento y actualización usando 2
programas de calificación y certificación?
¿Existe definición, monitoreo y supervisión

de los marcos de trabajo para los roles,
4 2
responsabilidades y compensación del
personal?
5 ¿Existe la orientación necesaria al momento 2

de la contratación y entrenamiento continuo
para conservar su conocimiento, aptitudes,
habilidades, controles internos y conciencia
sobre la seguridad?
6 ¿Existe documentación? 1
7 ¿Se comparte el conocimiento? 1
¿Existe una planeación para la sucesión y

8 1
respaldos de personal?
TOTAL 11 3
Porcentaje de riesgo parcial = (11 * 100) /14 = 78,57%
Porcentaje de riesgo total = 100 – 78,57 = 21,43%
PORCENTAJE RIESGO 21,43% (Riesgo Bajo)
DS3
Fuentes de conocimiento: DS3 Administrar el Desempeño y la Capacidad
RE
CUADRO DE DEFINICION DE FUENTES DE
F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA DS3
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
DS3 Administrar el Desempeño y la Capacidad
AUDITADO
RESPONSABLE Carlos Andrés Ordoñez Hernández
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar soporte (DS)
PROCESO DS3 Administrar el Desempeño y la Capacidad

 Modelo de  Verificar la  Comprobación de
sistema actual. existencia del aplicación de plan
 Plan contigencia. modelo del sistema de contingencia
 Reportes de actual para apoyar  Medición de
desempeño y el pronóstico de resultados de
disponibilidad requerimientos de reporte y
 Entrevista con el capacidad, desempeño
administrador de desempeño y  Comprobación del
TI disponibilidad. modelo del sistema
 Verificar la actual
existencia de un
plan de contigencia
que sea tolerante a
fallos y permita
asignación
equitativa de
recursos y
priorización de
tareas.
 Visualizar los
reportes de
desempeño y
disponibilidad para
medir las horas
perdidas por los
usuarios cada mes
debido a falta de
capacidad y medir
los picos donde se
excede la meta de
uso.
Entrevista: : DS3 Administrar el Desempeño y la Capacidad
ENTREVISTA
Entregar y Dar soporte DS3 Administrar el

DOMINIO PROCESO
(DS) Desempeño y la
Capacidad
OBJETIVO DE CONTROL
¿Se tiene un modelo del sistema actual Si se tiene el modelo

que sirva para apoyar el pronóstico de
1 los requerimientos de capacidad,
confiabilidad de configuración,
desempeño y disponibilidad?
¿Se tiene un plan de contigencia para

Si hay un sistema de contingencia,
tener seguridad de que el sistema es
2 pero no hay asignación dinámica de
tolerante a fallos y es dinámico en la
recursos
asignación de recursos?
¿Existe manera de saber cuánto No se llevan esos reportes.

3 tiempo pierden los usuarios por caídas
del sistema?
¿Existe manera de saber cuánto No ,sólo se ocupa el resolver el

4 tiempo pierden los usuarios por la error.
falta de respuesta del sistema?
¿Existen reportes del consumo de los Si se tienen datos de consumo

5 recursos de los servidores o estaciones
de trabajo?
Generalmente un par de minutos,

¿Cuánto tiempo tarda una solicitud de
6 hay unas más demoradas de hasta
soporte en ser atendida?
un par de días.
¿Existen solicitudes de soporte sin No, todo lo atendemos así se

7
solución? demore.
Lista chequeo: DS3 Administrar el Desempeño y la Capacidad
LISTA CHEQUEO
DS3 Administrar el
Entregar y Dar soporte
DOMINIO PROCESO Desempeño y la
(DS)
Capacidad
OBJETIVO DE CONTROL DS3.1. Planeación del Desempeño y la Capacidad
Nº ASPECTO EVALUADO CONFOR OBSERVACIÓN

ME
SI NO
¿Existen planes de contingencia sobre
1 X
el sistema?
¿Existen modelos para conocer el

2 X
sistema?
OBJETIVO DE CONTROL DS3.2 Capacidad y Desempeño Actual
CONFOR
SI NO
¿Existen reportes de tiempos de

1 X
respuestas en soportes?
¿Existen reportes de consumo de

2 X
recursos hardware?
OBJETIVO DE CONTROL DS3.4 Disponibilidad de Recursos de TI
CONFOR
SI NO
¿Existen reportes de tiempos de

1 respuesta cuando un usuario está X
realizando procesos sobre el sistema?
2 ¿Es el sistema tolerante a fallos? X
Cuestionario: DS3 Administrar el Desempeño y la Capacidad
DS3
ENTIDAD Systemplus PAGINA

AUDITADA
1 DE 1
PROCESO DS3 Administrar el Desempeño y la Capacidad

AUDITADO
RESPONSABLES Carlos Andrés Ordoñez

SOPORTE
DOMINIO Entregar y Dar PROCESO DS3 Administrar el

soporte(DS) Desempeño y la
Capacidad
OBJETIVO DE CONTROL
¿Se tiene un modelo del sistema actual que 5

sirva para apoyar el pronóstico de los
1 requerimientos de capacidad, confiabilidad
de configuración, desempeño y
disponibilidad?
¿Se tiene un plan de contigencia para tener 3

seguridad de que el sistema es tolerante a
2
fallos y es dinámico en la asignación de
recursos?
¿Existe manera de saber cuánto tiempo 3

3 pierden los usuarios por caídas del
sistema?
¿Existe manera de saber cuánto tiempo 2

4 pierden los usuarios por la falta de
respuesta del sistema?
¿Existen reportes del consumo de los 4

5 recursos de los servidores o estaciones de
trabajo?
¿Cuánto tiempo tarda una solicitud de 2

6
soporte en ser atendida?
¿Existen solicitudes de soporte sin 2

7
solución?
TOTAL 12 9
TOTAL CUESTIONARIO 21
Porcentaje de riesgo total = 100 – 57 = 42,86%
PORCENTAJE RIESGO 42,86%% (Riesgo Medio)

DS7
Fuentes de conocimiento: DS7 Educar y entrenar a los usuarios
RE
CUADRO DE DEFINICION DE FUENTES DE
F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA DS7
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
DS7 Educar y entrenar a los usuarios
AUDITADO
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar soporte (DS)
PROCESO DS7 Educar y entrenar a los usuarios

 Manual o  Verificar  Medición de
programa de existencia manual resultados de
entrenamiento. o programa de reportes de
 Espacios de entrenamiento. llamadas de soporte
entrenamiento.  Verificar la  Medición de
 Reportes de existencia de resultados de
llamadas de espacios de calificaciones de
soporte. entrenamiento. los entrenamientos
 Calificación del  Verificar la  Aplicación de
entrenamiento. existencia de manual o
 Entrevista con el reportes de programas de
administrador de llamadas entrenamiento
TI solicitando soporte
por falta de
entrenamiento.
 Verificar la
existencia un
proceso de
calificación del
entrenamiento.
Entrevist: DS7 Educar y entrenar a los usuarios
ENTREVISTA
Entregar y Dar soporte

DOMINIO PROCESO DS7 Educar y entrenar a
(DS) los usuarios
OBJETIVO DE CONTROL
¿Existe un manual o programa de Si existe el manual

1 entrenamiento para todos los usuarios
del sistema?
¿Existen espacios,lugares o ambientes Las capacitaciones se hacen en las

para lograr un adecuado salas. Los usuario siempre pueden
2
entrenamiento a los usuarios?¿Estos preguntar
pueden establecer inquietudes?
¿Miden ustedes la cantidad de veces Si, se detecta y se capacita.

3 que llaman por un soporte que implica
falta de entrenamiento?
¿Pueden los usuarios calificar el No se califica.

4
entrenamiento que reciben?
¿Cuando reciben una solicitud de El encargado lo incluye en el

soporte de un tema no contemplado en entrenamiento y si no es de nivel
5
el entrenamiento, lo estudian e tan importante, se agrega al manual
implementan?
Lista chequeo: DS7 Educar y entrenar a los usuarios
LISTA CHEQUEO
DS7 Educar y entrenar a

DOMINIO Entregar y Dar soporte PROCESO
los usuarios
DS7.1. Identificación de Necesidades de Entrenamiento y

OBJETIVO DE CONTROL
Educación
CONFOR
SI NO
¿Existe algún método para verificar

iterativamente si el personal cumple
1 X
con las capacidades para interactuar
con el sistema?
¿El plantel adquiere las

2 actualizaciones del software que X
licencia?
¿El personal debe certificarse en el

3 X
uso del sistema?
OBJETIVO DE CONTROL DS7.2 Impartición de Entrenamiento y Educación
CONFOR
SI NO
¿Existe un plan o manual de

1 X
entenamiento para los usuarios?
¿Se hace un registro de los usuarios

2 X
que receiben entrenamiento?
OBJETIVO DE CONTROL DS7.3. Evaluación del Entrenamiento Recibido
CONFOR
SI NO
¿Existe un proceso de calificación

1 hacia el método de entrenamiento X
impartido a los usuarios?
¿Existe un método de encontrar
2 falencias en el método de X
entrenamiento?
Cuestionario: DS7 Educar y entrenar a los usuarios
DS7

AUDITADA
1 DE 1
PROCESO DS7 Educar y entrenar a los usuarios

AUDITADO

SOPORTE
DOMINIO Entregar y Dar PROCESO DS7 Educar y entrenar a

soporte(DS) los usuarios
OBJETIVO DE CONTROL
¿Existe un manual o programa de 5

1 entrenamiento para todos los usuarios del
sistema?
¿Existen espacios,lugares o ambientes para 5

lograr un adecuado entrenamiento a los
2
usuarios?¿Estos pueden establecer
inquietudes?
¿Miden ustedes la cantidad de veces que 3

3 llaman por un soporte que implica falta de
entrenamiento?
¿Pueden los usuarios calificar el 4

4
entrenamiento que reciben?
¿Cuando reciben una solicitud de soporte 5
5 de un tema no contemplado en el
entrenamiento, lo estudian e implementan?
TOTAL 18 4
Porcentaje de riesgo parcial = (18 * 100) /22= 81,81%
ME1
Fuentes de conocimiento: ME1 Monitorear y Evaluar el Desempeño de TI

CONOCIMIENTO, PRUEBAS DE ANALISIS DE ME
AUDITORIA 1
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
ME1 Monitorear y Evaluar el Desempeño de TI
AUDITADO
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Monitorear y Evaluar(ME)
PROCESO ME1 Monitorear y Evaluar el Desempeño de TI

 Reportes de  Verificar la  Medición de
desempeño de existencia reportes reportes de
proceso a de desempeño de desempeño de
reportes proces a reportes proceso a reportes
gerenciales. gerenciales. gerenciales
 Calificación a  Verificar la  Medición de
reportes de existencia de calificaciones a
desempeño. proceso de reportes
 Plan de calificación a los  Aplicación de plan
mejoramiento reportes de de mejoramiento
desempeño,
midiendo la
satisfacción de la
gerencia.
 Verificar la
existencia de un
plan de
mejoramiento en
base a las
actividades de
monitoreo.
Entrevista: : ME1 Monitorear y Evaluar el Desempeño de TI
ENTREVISTA
Monitorear y Evaluar ME1 Monitorear y

DOMINIO PROCESO
(ME) Evaluar el Desempeño de
TI
OBJETIVO DE CONTROL
¿Se tienen reportes de desempeño de Si, se tienen unos reportes, no muy

1
los procesos gerenciales? explícitos pero si se tienen
¿Se hace calificación a los reportes de

2 desempeño de los procesos No se califican estos reportes
gerenciales?
¿Existe un plan de mejoramiento

Si, la retroalimentación se trata de
3 basado en las actividades de
hacer siempre.
monitoreo?
¿Existen solicitudes de soporte sin No, se busca la manera de

4
solución? solucionar.
Lista chequeo: ME1 Monitorear y Evaluar el Desempeño de TI
LISTA CHEQUEO
ME1 Monitorear y
Monitorear y Evaluar
DOMINIO PROCESO Evaluar el Desempeño de
(ME)
TI
OBJETIVO DE CONTROL ME1.1 Enfoque y Monitoreo
CONFOR
SI NO
¿Existe un marco de trabajo de

1 X
monitoreo general?
OBJETIVO DE CONTROL ME1.4 Evaluación del Desempeño
CONFOR
SI NO
¿Se hace una comparación periódica

1 X
del desempeño contra las metas?
OBJETIVO DE CONTROL ME1.5 Reportes al Consejo Directivo y Ejecutivos
CONFOR
SI NO
¿Se entregan reportes administrativos

1 X
a la alta dirección?
OBJETIVO DE CONTROL ME1.6 Acciones Correctivas
CONFOR
SI NO
1 ¿Se identifican medidas correctivas? X
2 ¿Se ejecutan las medidas correctivas? X

Cuestionario: ME1 Monitorear y Evaluar el Desempeño de TI
ME1

AUDITADA
1 DE 1
PROCESO ME1 Monitorear y Evaluar el Desempeño de TI

AUDITADO

SOPORTE
DOMINIO Monitoriear y Evaluar PROCESO ME1 Monitorear y

(ME) Evaluar el Desempeño de
TI
OBJETIVO DE CONTROL
¿Se tienen reportes de desempeño de los 4

1
procesos gerenciales?
¿Se hace calificación a los reportes de 3

2
desempeño de los procesos gerenciales?
¿Existe un plan de mejoramiento basado 3

3
en las actividades de monitoreo?
¿Existen solicitudes de soporte sin 4

4
solución?
TOTAL 11 3

Fuentes de conocimiento: DS5 Garantizar la Seguridad de los Sistemas

AUDITORIA 4
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLE Natalia Isabel García Burbano
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Dar Soporte (DS)
PROCESO DS5 Garantizar la Seguridad de los Sistemas

funciones, empresa.
seguridad. plan de
 Reportes de capacitación en la
pruebas empresa.
periódicas  Verificar la
 Reportes de existencia del
incidentes. documento de
 Entrevista con el estándares y
administrador de políticas de
red seguridad.
Entrevista: DS5 Garantizar la Seguridad de los Sistemas
ENTREVISTA
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO Seguridad de los
Sistemas
OBJETIVO DE CONTROL
¿Hay roles establecidos y las acciones
de la administración están en línea con
los requerimientos del negocio, se
Si hay roles establecidos para cada
1 definen las responsabilidades de
área
seguridad, política, estándares y
procedimientos?
Si se realizan monitoreos, pero falta

2 ¿Se realizan monitoreos de seguridad determinar los periodos en los
y pruebas periódicas? cuales se deben realizar las pruebas
¿Determinan y llevan a cabo acciones Esta en proceso de implementación

3
correctivas sobre las debilidades o las acciones correctivas
incidentes de seguridad identificados?
No existe un plan de seguridad,
¿Existe un plan de seguridad de TI
cuando se presentan, se atiende
completo, donde estén expuestos los
4 cada requerimiento y si hay un
requerimientos de negocio, riesgos y
riesgo se mira la manera de
cumplimiento?
eliminar, disminuir o mitigar
Cada uno tiene su rol y las
participaciones, permisos
otorgados, según la actividad que
¿Todos los usuarios (internos,
ejerza dentro de la empresa.
externos y temporales) y su actividad
5 Se realiza un señalamiento de los
en sistemas son identificables de
responsables de cada equipo
manera única?
definido por un usuario con claves
de acceso para ciertos permisos.
Con la identificación de cada

usuario, se envían a través de
¿Como aseguran que los derechos de correo, donde es comprobada la
acceso de los usuarios se solicitan y identificación del usuario y una vez
6
están aprobados por el responsable del comprobados los datos, se aprueba
sistema? y otorga un id para el acceso
Cada usuario de la red es
responsable de cuidar su contraseña
Los periodos de revisión son de 6
¿Se revisan regularmente la gestión de
meses, en cada terminación de
7 todas las cuentas y los privilegios
cursos, se necesita una revisión más
asociados?
habitual.
Mediante la política de seguridad de
¿Como garantizan la implementación
la red le informa al usuario que
de la seguridad de la información para
están prohibidas las conexiones
8 detectar actividades inusuales o
privadas, a través de las estaciones
anormales que pueden requerir
de trabajo individuales
atención?
Cada incidente que se presente,
debe primero ser caracterizado,
generalmente se apoya en los
¿Clasifican las características de
proveedores de los productos
potenciales incidentes de seguridad,
minimizar el impacto y sólo hay
9 para ser comunicados y tratados de
una persona encargada de la
acuerdo con el proceso?
seguridad si él no puede controlar,
se informa al coordinador ( jefe
inmediato ) para determinar la
solución
Acceso restringidos a los privilegios
especiales. Se encripta la
¿Cómo garantizan que la seguridad información importante.
10 sea resistente al sabotaje y no revele La información confidencial o
documentación de seguridad? delicada está restringida a un host y
al administrador del sistema.
¿Qué medidas de seguridad utiliza

toda la organización para proteger los Se utilizan antivirys y firewall
sistemas de la información y a la ESET NOD32 Antivirus 8.0
11
tecnología contra malware (virus, Licencia empresarial
gusanos, spyware, correo Panda Internet Security
basura)?
¿Cuáles son las técnicas de seguridad Mediante el Router, se limita el
y procedimientos de administración control de acceso, determinando
12 asociados para autorizar acceso y una solo una IP pueda tener acceso
controlar los flujos de información a la configuración
desde y hacia las redes?
¿Qué controles utilizan para Definiendo los protocolos de las
13 proporcionar autenticidad de paginas.
contenido?
Lista chequeo: DS5 Garantizar la Seguridad de los Sistemas
LISTA CHEQUEO
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO
Seguridad de los Sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI
CONFOR
SI NO
¿Hay roles establecidos y las acciones
de la administración están en línea
con los requerimientos del negocio, se
1 definen las responsabilidades de x
seguridad, política, estándares y
procedimientos?
falta determinar los

¿Se realizan monitoreos de seguridad
2 x periodos en los cuales se
y pruebas periódicas?
deben realizar las pruebas
¿Determinan y llevan a cabo acciones
3 correctivas sobre las debilidades o x
OBJETIVO DE CONTROL DS5.2 Plan de Seguridad de TI
CONFOR
SI NO
Se debe implementar un
¿Existe un plan de seguridad de TI plan de acción, permite
completo, donde estén expuestos los que la empresa, determinar
1 x
requerimientos de negocio, riesgos y si se atiende y se cumplen
cumplimiento? a conformidad los
requerimientos
OBJETIVO DE CONTROL DS5.3 Administración de Identidad
CONFOR
SI NO
¿Todos los usuarios (internos,
externos y temporales) y su actividad
1 x
en sistemas son identificables de
manera única?
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario
CONFOR
SI NO
1 ¿Como aseguran que los derechos de x
acceso de los usuarios se solicitan y
están aprobados por el responsable del
sistema?
La Revisión de las cuentas
es importante de una
¿Se revisan regularmente la gestión de manera habitual para
2 todas las cuentas y los privilegios x analizar los permisos y las
asociados? actividades para
determinar los posibles
riesgos
OBJETIVO DE CONTROL DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
CONFOR
SI NO
¿Garantizan la implementación de la
seguridad de la información para
1 detectar la detección oportuna de x
actividades inusuales o anormales que
pueden requerir atención?
OBJETIVO DE CONTROL DS5.6 Definición de Incidente de Seguridad
CONFOR
SI NO
¿Clasifican las características de
potenciales incidentes de seguridad,
1 para ser comunicados y tratados de x
acuerdo con el proceso?
OBJETIVO DE CONTROL DS5.7 Protección de la Tecnología de Seguridad

CONFOR
SI NO
¿Cómo garantizan que la seguridad
1 sea resistente al sabotaje y no revele x
documentación de seguridad?
DS5.9 Prevención, Detección y Corrección de Software

OBJETIVO DE CONTROL
Malicioso
CONFOR
SI NO
¿Qué medidas de seguridad utiliza
toda la organización para proteger los
sistemas de la información y a la
1 x
tecnología contra malware (virus,
gusanos, spyware, correo
basura)?
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
CONFOR
SI NO
¿Cuáles son las técnicas de seguridad
y procedimientos de administración
1 asociados para autorizar acceso y x
controlar los flujos de información
desde y hacia las redes?
OBJETIVO DE CONTROL DS5.11 Intercambio de Datos Sensitivos
CONFOR
SI NO
¿Qué controles utilizan para
1 proporcionar autenticidad de x
contenido?

CC04

AUDITADA 1 DE 1
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLES Natalia García
SOPORTE
DOMINIO Dar Soporte (DS) PROCESO DS5 Garantizar la
Seguridad de los Sistemas
OBJETIVO DE CONTROL
¿Hay roles establecidos y las acciones de 1
la administración están en línea con los
requerimientos del negocio, se definen las
1
responsabilidades de seguridad, política,
estándares y procedimientos?
¿Se realizan monitoreos de seguridad y 3

2
pruebas periódicas?
¿Determinan y llevan a cabo acciones 3
3 correctivas sobre las debilidades o
¿Existe un plan de seguridad de TI 4
completo, donde estén expuestos los
4
requerimientos de negocio, riesgos y
cumplimiento?
¿Todos los usuarios (internos, externos y 2
5 temporales) y su actividad en sistemas son
identificables de manera única?
¿Como aseguran que los derechos de 1
6 acceso de los usuarios se solicitan y están
aprobados por el responsable del sistema?
¿Se revisan regularmente la gestión de 3
7 todas las cuentas y los privilegios
asociados?
¿Como garantizan la implementación de la 4
seguridad de la información para detectar
8 la detección oportuna de actividades
inusuales o anormales que pueden requerir
atención?
¿Clasifican las características de 1
potenciales incidentes de seguridad, para
9 ser comunicados y tratados de acuerdo con
el proceso?
¿Cómo garantizan que la seguridad sea 3

10 resistente al sabotaje y no revele
documentación de seguridad?
¿Qué medidas de seguridad utiliza toda la 2
organización para proteger los sistemas de
11 la información y a la tecnología contra
malware (virus, gusanos, spyware, correo
basura)?
¿Cuáles son las técnicas de seguridad y 1
procedimientos de administración
12 asociados para autorizar acceso y controlar
los flujos de información desde y hacia las
redes?
¿Qué controles utilizan para proporcionar 2
13
autenticidad de contenido?
TOTAL 14 16
Porcentaje de riesgo parcial = (12 * 100) / 30 = 40
Porcentaje de riesgo total = 100 – 40 = 60
PORCENTAJE RIESGO 60 % (Riesgo Medio)
Cuadro de Vulnerabilidades, Amenazas y Riesgos
No. Vulnerabilidad Amenaza Riesgo Clasificación

Falta determinar Entrada al sistema La publicación de
que sólo se sin restricción información a la
otorgarán los que podían acceder
privilegios más personas de las
necesarios para deseadas. Seguridad
1
realizar las tareas. informática
Falta de revisión Robo o pérdida de Los empleados

de de acceso de los información del podrían enviar
Seguridad
2 usuarios con personal documentos
informática
regularidad. importantes a la
persona equivocada
No dispone de Afectación en la Se puede presentar

ningún sistema seguridad de la errores por parte del
para supervisar las información personal interno o
actividades de los de un mal uso del Seguridad
3
usuarios internos acceso con informática
con privilegios. privilegios
No se cuenta con Un Sus empleados

un servidor con almacenamiento de almacenan
dominio propio. datos información
confidenciales de confidencial en
forma poco segura. lugares difíciles de
proteger (por
ejemplo, servicios
de almacenamiento
en la nube, como Seguridad
4
Dropbox, o informática
memorias USB, que
a menudo se
pierden, se roban o
se llevan fuera de la
oficina de forma
intencionada).
5 Falta de Error u omisión en El sistema no Seguridad

actualización del la detección de una detecta una posible informática
sistema operativo amenaza amenaza y puede
perder toda la
información o
provocar un daño
físico al equipo.
No hay restricción Política de puertas Robos daños y

o modo de abiertas. afectación a la
identificación para estructura, bienes e Seguridad
6
entrar a la sede. integridad del física
personal
Falta de UPS o Cuando se corte el Podría dañar el

planta eléctrica de suministro de contenido
emergencia. energía,los equipos informático Seguridad
7
y la red deja de física
funcionar
inmediatamente
Falta de Sobrecarga Al conectar una

mantenimiento y eléctrica cantidad desmedida
cambio de de aparatos a la
Equipos de
reguladores instalación;
8 protección
exigiendo por
eléctrica
encima de la
capacidad para la
que fue diseñado
Dependencia de un La producción Cuando no se paga

agente externo académica está la mensualidad del
para el manejo y manejada por contrato se ve
gestión de de la agentes terceros afecta la gestión de Seguridad
9
información la información lógica
académica y interna
administrativa de
la institución
Falta de acciones Catástrofes o No se realizan

que ayuden a la calamidades. copias de
Seguridad
10 recuperación de la seguridad de
lógica
información manera periódica
de la información
11 Falta de Error en los Falta de

capacitación del configuración en
personal del área procesos los equipo.
informática.
Falta de capacidad Lentitud en los Robo de la señal

en los servidores procesos recibida por el
internos procesador de una
12 computadora Hardware
originándose la
interrupción del
servicio.
Falta de parches en Virus La falta de

la navegadores actualización de los
web parches de
seguridad puede
13 Software
generar
suplantación de la
URL o están
expuestos a virus
Falta de monitoreo Robo de La apropiación de

constante de sus credenciales un hacker de los
redes para detectar datos de inicio de Seguridad
14
actividades sesión a sus informática
inusuales Servicios en la
Nube.
Deficiencia en el Falla en el Falla en el esquema

mantenimiento del cableado, de redes,
sistema de redes enrutadores y presentando Seguridad
15
conectores interrupción en la física
principales interferencia de los
datos
Riesgos iniciales para procesos PO4 y PO7
No. Vulnerabilidad
Falta determinar que sólo se otorgarán los privilegios necesarios

para realizar las tareas.
1
2 Falta de revisión de de acceso de los usuarios con regularidad.
No dispone de ningún sistema para supervisar las actividades de

3
los usuarios internos con privilegios.
Dependencia de un agente externo para el manejo y gestión de

4
de la información académica y administrativa de la institución
5 Falta de capacitación del personal del área informática.
Riesgos con la aplicación de instrumentos para procesos PO4 y PO7
No. Vulnerabilidad
Falta determinar que sólo se otorgarán los privilegios necesarios

6
para realizar las tareas.
No existe revisión periódica de la estructura organizacional de

7
TI, con el fin de ajustar requerimientos del personal.
No están completamente definidos y documentados los roles y

8
responsabilidades en el sistema
9 La gerencia no se asegura de que el personal realice sólo las

tareas autorizadas
No hay evaluación periódica de habilidades y conocimientos en

10
el área de TI
Riesgos iniciales para procesos DS3, DS7 y ME1
No. Vulnerabilidad
Falta de capacitación en el área informática

11
12 Falta de capacidad de los servidores internos.
Riesgos con la aplicación de instrumentos para procesos DS3, DS7 y ME1
No. Vulnerabilidad
Falta de establecer un protocolo de asignación dinámica de

13
recursos en el servidor
14 Falta de reportes de cuánto tiempo dura el sistema cuando se cae
15 Falta de calificación al proceso de entrenamiento a los usuarios
16 Falta de proceso de calificación de los reportes gerenciales
Falta de reportes de cuánto dura una solicitud de soporte en ser

17
atendida
Riesgos iniciales para procesos DS5

No. Vulnerabilidad
Faltan de cumplimientos en los requerimientos del negocio.

18
19 Falta de determinación de los periodos de los monitoreos
Riesgos con la aplicación de instrumentos para procesos DS5
No. Vulnerabilidad
20 Falta de un plan de acción para los incidentes de seguridad
Falta de garantizar la seguridad para que sea resistente al

21
sabotaje
Falta de técnicas para controlar los flujos de información en la

22
red
23 Falta de revisión de las cuentas y de los privilegios
24 Falta de controles para proporcionar la autenticidad
25 Falta clasificar las características de los incidentes
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE

RIESGOS
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría

1 Insignificante
consecuencias o efectos mínimos sobre la entidad
Si el hecho llegara a presentarse, tendría bajo impacto

2 Menor
o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría medianas

3 Moderado
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría altas

4 Mayor
Si el hecho llegara a presentarse, tendría desastrosas

5 Catastrófico
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
No se ha presentado
El evento puede ocurrir sólo en
1 Raro en los últimos 5
circunstancias excepcionales
años
Se ha presentado al
El evento puede ocurrir en algún
2 Improbable menos 1 vez en los
momento
últimos 5 años
Se ha presentado al
El evento puede ocurrir en algún
3 Posible menos de 1 vez en
momento
los últimos 2 años
Se ha presentado al
El evento probablemente ocurrirá en
4 Probable menos 1 vez en el
la mayoría de las circunstancias
último año
Se espera que el evento ocurra en la Se ha presentado

5 Casi Seguro
mayoría de las circunstancias más de 1 vez al año
Con las escalas de medición se construye la matriz de riesgos general que se aplica para
cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
EVALUACIÓN Y MEDIDAS DE RESPUESTA
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
PROBABILIDAD IMPACTO
Insignificante = 1
Raro = 1
Menor = 2
Improbable = 2
Moderado = 3
Posible = 3
Mayor = 4
Probable = 4
Catastrófico = 5
Casi Seguro = 5
ANALISIS Y EVALUACIÓN DE RIESGOS – PROCESOS PO4,PO7,DS3,DS7 y

ME1
No. Descripción Impacto Probabilidad
1 Falta determinar que sólo se otorgarán los 3 2

privilegios necesarios para realizar las tareas.
Falta de revisión de de acceso de los usuarios

2 4 3
con regularidad.
No dispone de ningún sistema para supervisar

3 las actividades de los usuarios internos con 4 2
privilegios.
Dependencia de un agente externo para el

4 manejo y gestión de de la información 4 4
académica y administrativa de la institución
Falta de capacitación del personal del área

5 3 3
informática.
Falta determinar que sólo se otorgarán los

6 2 4
privilegios necesarios para realizar las tareas.
No existe revisión periódica de la estructura

7 organizacional de TI, con el fin de ajustar 2 3
requerimientos del personal.
No están completamente definidos y

8 documentados los roles y responsabilidades en 3 2
el sistema
La gerencia no se asegura de que el personal

9 3 3
realice sólo las tareas autorizadas
No hay evaluación periódica de habilidades y

10 2 3
conocimientos en el área de TI
11 Falta de capacitación en el área informática 3 2
12 Falta de capacidad de los servidores internos. 4 4
Falta de establecer un protocolo de asignación

13 4 4
dinámica de recursos en el servidor
Falta de reportes de cuánto tiempo dura el

14 2 1
sistema cuando se cae
Falta de calificación al proceso de
15 3 2
entrenamiento a los usuarios
Falta de proceso de calificación de los reportes

16 1 1
gerenciales
Falta de reportes de cuánto dura una solicitud

17 1 1
de soporte en ser atendida
Faltan de cumplimientos en los requerimientos

del negocio.
18 3 4
Falta de determinación de los periodos de los

19 2 3
monitoreos
Falta de un plan de acción para los incidentes

20 5 4
de seguridad
Falta de garantizar la seguridad para que sea

21 2 2
resistente al sabotaje
Falta de técnicas para controlar los flujos de

22 3 2
información en la red
Falta de revisión de las cuentas y de los

23 4 3
privilegios
Falta de controles para proporcionar la

24 2 2
autenticidad
Falta clasificar las características de los

25 2 2
incidentes
RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Catastrófico
Mayor (4)
(1) (2) (3) (5)
Raro (1) R16,R17 R14
R1,R5 R7,
Improbable (2) R4, R7 R3,
R8,R11,R15
R7,
Posible (3) R5, R9 R2,R1
R10
Probable (4) R6 R4,R12,R13
Casi Seguro (5)
B Zona de riesgo Baja: Asumir el riesgo
M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

Conclusiones
 Mediante el proceso de auditoría del sistema bajo el CobiT4.1 es más claro que
el proceso de auditoría de sistemas abarca más que solo la evaluación de
equipos, y que se debe prestar mucha importancia al proceso organizativo como
pieza clave del sistema.
 Se aprendió la realización y aplicación de los instrumentos de recolección de
información basados en la metodología propuesta (COBIT 4.1).
 Se conoció como es el proceso requerido para conformación de la matriz de
riesgos y como se interpreta la información contenida en ella.
 Mediante la aplicación de los distintos instrumentos de recolección de
información se obtienen nuevos hallazgos que en una primera instancia fueron
obviados y que pueden llegar a ser de trascendencia para la seguridad del área de
TI.
Referencias
 IT Governance Institute, 2007. CobIT 4.1[archivo PDF] Recuperado de

http://campus28.unad.edu.co/ecbti41/pluginfile.php/5226/mod_forum/attachmen
t/127800/cobiT4.1spanish.pdf
 Auditoría informática, 2015. EJERCICIO REALIZADO CON EL FIN DE
APORTAR, APRENDER Y RETRO ALIMENTAR SOBRE LAS TEMÁTICAS
RELACIONADAS CON LA AUDITORIA DE LA INFORMACION. MARIO
ALBERTO SANCHEZ . Recuperado de
https://chaui201511701014974.wordpress.com
 Solarte Solarte, F. N. (2012). Auditoria informática y de sistemas. Recuperado el 30 de

octubre de 2018, de http://auditordesistemas.blogspot.com/

Ejecuciondeauditoria Grupo901

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejecuciondeauditoria Grupo901

Cargado por

Copyright:

Formatos disponibles

Unidad 2 Fase 3: Ejecución de la auditoría

Carlos Andrés Ramirez Cód. 4615252

Universidad Nacional Abierta y a Distancia UNAD

 Aprender y aplicar los conceptos de auditoria de sistemas en la empresa System

Fuentes de conocimiento: PO4 Definir los Procesos, Organización y Relaciones de TI

CUADRO DE DEFINICION DE FUENTES DE REF

PROCESO PO4 Definir los Procesos, Organización y Relaciones de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

Entrevista: PO4 Definir los Procesos, Organización y Relaciones de TI

PO4 Definir los

¿Se cuenta con una estructura Si, en la actualidad se cuenta con el

No, en la medida que se hace

¿Los roles y las responsabilidades del No, algunas de las

Se utiliza un software DLP

5 ¿Qué metodología o procedimiento Para la clasificación de la

Los roles y responsabilidades se

¿De qué manera la gerencia se asegura

¿Qué políticas se tienen para

¿Qué políticas o procedimientos

Lista chequeo: Definir los Procesos, Organización y Relaciones de TI.

PO4 Evaluar y administrar

OBJETIVO DE CONTROL PO4.5. Estructura organizacional

¿Existe una estructura organizaciones

¿Existe procesos para revisión Se realizan ajustes en la

OBJETIVO DE CONTROL PO4.6. Establecimiento de Roles y Responsabilidades

Falta trasmisión completa

OBJETIVO DE CONTROL PO4.9. Propiedad de Datos y de Sistemas

OBJETIVO DE CONTROL PO4.10. Supervisión

¿Existen prácticas de supervisión para

OBJETIVO DE CONTROL PO4.11. Segregación de Funciones

¿Existe división de roles para reducir

¿La gerencia se asegura de que el La gerencia no tiene

OBJETIVO DE CONTROL PO4.13. Personal Clave de TI

¿Existe la identificación al personal

PO4.14. Políticas y Procedimientos para Personal

¿Existen políticas y procedimientos

Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD System Plus PAGINA

PROCESO Administración de riesgos de TI

RESPONSABLES Carlos Ramírez

MATERIAL DE COBIT 4.1

DOMINIO Planear y Organizar PROCESO PO9 Evaluar y

¿Existe procesos para revisión periódica de

¿Existe definición y comunicación de los

¿Existen procedimientos y herramientas

¿Existen tomas de decisiones por parte del

¿Existen prácticas de supervisión para

¿Existe división de roles para reducir la

¿La gerencia se asegura de que el personal

¿Existe la identificación al personal clave

¿Existen procedimientos para minimizar

Porcentaje de riesgo parcial = (10 * 100) /20 = 50%

Porcentaje de riesgo total = 100 – 50 = 50%

PORCENTAJE RIESGO 50% (Riesgo medio)

Fuentes de conocimiento: PO7 Administrar los Recursos Humanos de TI

CUADRO DE DEFINICION DE FUENTES DE REF

PROCESO PO7 Administrar los Recursos Humanos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

Entrevista: PO7 Administrar los Recursos Humanos de TI

DOMINIO Planear y Organizar (PO) PROCESO PO7 Administrar los

Se realiza en la incorporación del

No existe un programa definido, si