Fase 4: Ejecución: Hallazgos de la auditoria, Tratamiento de riesgos, Controles

Juan Camilo Alfonso Veloza Cód. 1013590991

Yuly Andrea Beltrán Cód. 1012443306
Carlos La Serna Cód. 98634953

Grupo colaborativo: 90168_42

Tutora:
Vanessa Carolina Gutierrez

Noviembre 2017

Universidad Nacional Abierta y a Distancia (UNAD).

Escuela de Ciencias Básicas, Tecnología e Ingeniería ECBTI.
Auditoria de Sistemas
 Introducción

Inicialmente es de poner en relevancia que se ha venido abordando en el desarrollo

de actividades las temáticas de vulnerabilidades, amenazas y riesgos en una empresa esto
ha permitido que el estudiante pueda apropiarse adecuadamente. Así mismo el presente
documento se referirá al reconocimiento de conocimientos para el desarrollo de tablas de
hallazgos, tratamiento de riesgos y definición de controles al estándar CobIT conforme
resultados obtenidos de la matriz de riesgos, teniendo como bases el material de estudio
ubicado en el campus, blog del curso y la colaboración por parte del director y tutora,
incluso este trabajo colaborativo logra la identificación de los temas y/o conceptos
desarrollados en el ámbito profesional de cada estudiante.

Por consiguiente, se tendrá como intención lograr que el estudiante explore y asuma
una familiarización de conceptos que le permitirá adquirir conocimientos y desarrollar
habilidades hacia la auditoria de sistemas realizada a una empresa en este caso el
Departamento Nacional de Planeación

Es oportuno ahora entender que dependerá del estudiante el exitoso desarrollo de

las actividades de acuerdo al reconocimiento de los contenidos y realimentaciones
realizadas en foro, puesto que se concebirán las bases para que el objetivo de esta y las
siguientes actividades sean alcanzadas, así pues le generarán una experiencia satisfactoria
en la que lo aprendido le permitirá desenvolverse de una forma correcta y adecuada en
cualquier ámbito que este se pueda desarrollar, viendo así que cada temática ha logrado
aplicarse a casos en concreto que permiten como estudiante, asociar estos planteamientos
de una manera más práctica y real.
 Objetivos.

Objetivo General.

Dar a conocer los hallazgos, tratamiento de riesgos y definición de controles sobre procesos
CobIT seleccionados en la fase de planeación y riesgos encontrados en fases iniciales del
curso auditoría de sistemas para ser aplicados en el Departamento Nacional de Planeación.
Objetivos específicos

 Apropiar los resultados de la matriz de riesgos desarrollada en cada proceso

auditado.
 Diligenciar formato de hallazgos, donde se evidencien los riesgos o hallazgos
encontrados de mayor impacto y probabilidad de ocurrencia en la organización conforme
cada proceso auditado.
 Desarrollar el tratamiento de riesgos encontrados reconociendo las acciones que se
emprenderán acorde a los detectados.
 Definir controles para aplicar acciones de tipo preventivo, detectivo o correctivo
para mitigar los riesgos encontrados.
 Informe de construcción Grupal

Tabla de auditores y procesos auditados.

Nombre Auditor Proceso auditado

Yuly Andrea Beltran *DS5 Garantizar la seguridad de los sistemas
*DS7 Educar y Entrenar a los Usuarios
Juan Camilo Alfonso *ME1- Monitorear y Evaluar el Desempeño de TI
*ME2 - Garantizar el Cumplimiento con requerimientos externos
Carlos Eduardo La Serna *AI2Adquirir y Mantener Software Aplicativo.
*AI6 Administrar cambios.

Cuadro de tratamiento de riesgos procesos DS5-Garantizar la seguridad de los sistemas y

DS7-Educar y entrenar a los usuarios.(Desarrollado por: Yuly Andrea Beltran)

Tabla 1. Valoración de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACIÓN
A M B L M C
Hardware
R1 Alteración o pérdida de la información registrada X X
en base de datos o equipos
Redes
R2 Transito masivo de virus X X
Base de datos
R3 Falta de documentación frente a al proceso de X X
copias de respaldo en algunos servicios DNP
Manejo y control de personal
R4 Falta e sensibilización y capacitación a usuarios del X X
sistema en seguridad y buen uso informático
R5 El personal no cuenta con programas de X X
capacitación y formación en seguridad informática
y de la información.
R6 Usuarios no registran la información institucional X X
en el espacio corporativo asignado a cada grupo y
colaborador.
R7 Perdida de información debido al mal uso del X X
sistema por parte del usuario
Seguridad lógica
R8 Se encuentran activas cuentas de usuarios de X X
personal que ya no labora en la entidad
R9 No están correctamente documentados los planes X X
de contingencia en caso de pérdidas de información
y copias de seguridad.
R1 Modificación sin autorización de los datos, borrado X X
0 de archivos compartidos o instalación de software
no avalado por el DNP
Software
R1 Ausencia de parches de seguridad y actualizaciones X X
1 en los equipos con sistemas operativos como
Windows XP declarados en desuso
R1 El software específico para servicios en algunos X X
2 casos no está en la última versión liberada por el
proveedor.

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

Tabla 2. Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO
MEDIO R1,R3,R6,R10
BAJO R2,R4,R5,R7,R8,R9,R12 R11
 Tabla 3 Tratamiento de Riesgos
ID. Descripción Riesgo Tratamiento
Riesgo Riesgo
R1 Falta de documentación frente a al proceso de copias de Controlarlo
respaldo en algunos servicios DNP
R2 Se encuentran activas cuentas de usuarios de personal que Aceptarlo
ya no labora en la entidad
R3 No están correctamente documentados los planes de Controlarlo
contingencia en caso de pérdidas de información y copias de
seguridad.
R4 Falta se sensibilización y capacitación a usuarios del sistema Aceptarlo
en seguridad y buen uso informático
R5 El personal no cuenta con programas de capacitación y Aceptarlo
formación en seguridad informática y de la información.
R6 Alteración o pérdida de la información registrada en base Transferirlo
de datos o equipos
R7 Modificación sin autorización de los datos, borrado de Aceptarlo
archivos compartidos o instalación de software no avalado
por el DNP.
R8 Ausencia de parches de seguridad y actualizaciones en los Aceptarlo
equipos con sistemas operativos como Windows XP
declarados en desuso.
R9 El software específico para servicios en algunos casos no Aceptarlo
está en la última versión liberada por el proveedor
R10 Usuarios no registran la información institucional en el Controlarlo
espacio corporativo asignado a cada grupo y colaborador.
R11 Perdida de información debido al mal uso del sistema por Aceptarlo
parte del usuario
R12 Transito masivo de virus Aceptarlo
Cuadros de hallazgos procesos DS5-Garantizar la seguridad de los sistemas y DS7-Educar
y entrenar a los usuarios

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01

ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO PAGINA
DS5-Garantizar la seguridad de los sistemas
AUDITADO 1 DE 2

RESPONSABLE Yuly Andrea Beltran

MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar
DOMINIO PROCESO seguridad de los
soporte (DS)
sistemas (DS5)

DESCRIPCIÓN:
 Falta de documentación frente al proceso de copias de respaldo en algunos
servicios DNP
 No están correctamente documentados los planes de contingencia en caso de
pérdidas de información y copias de seguridad.
 Alteración o pérdida de la información registrada en base de datos o equipos

Esto es debido a que la organización no cuenta con un proceso de documentación

adecuado en relación a las copias de respaldo y/o seguridad, es decir, las orientaciones
que se deben llevar a cabo para administrar o usar adecuadamente estos elementos,
además que se puede alterar o perder la información al no contar con manuales o
documentos que permitan la reducción del riesgo.
REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP DS5 (ANEXO 1)
CONSECUENCIAS:
 Al hacer falta documentación frente al proceso de copias de respaldo en algunos
servicios del DNP y/o no contar con una correcta documentación de los planes de
contingencia en caso de pérdidas de información y copias de seguridad se puede
dar un manejo inadecuado al proceso y tratamiento de la información por lo que
bien estas copias se podrían extraer, perder o encontrarse desordenadas y dado el
caso imprevisto se gastaría más tiempo en asesoría para solucionar el
inconveniente que en el caso de tener una documentación con su respectivo
elemento de respaldo.
 Al ser alterada o extraviada la información registrada en bases de datos o equipos
se estaría faltando a la normativa de tratamiento adecuado de la información o ley
de Habeas Data, además de poner en riesgo la seguridad del sistema por lo que se
incurriría en gastos de reparación en la perdida de información incluso de
nuevamente realizar una contratación externa para que esta situación sea
minimizada hasta tal punto de no se volverse a presentar.

RIESGO:
 Probabilidad de ocurrencia: = 30,77%
 Impacto según relevancia del proceso: Medio

RECOMENDACIONES:
 Conformar un grupo en asociación con el departamento encargado de las copias de
respaldo del DNP para revisar la documentación actual y la faltante con el fin de
que se constituya la documentación faltante con su respectivo elemento de
respaldo, además de la elaboración de manuales técnicos y de usuario necesarios
para la orientación al personal autorizado en este proceso.

 Elaborar e implementar un sub-archivo en asociación con el departamento de archivo

del DNP con el fin de mantener una documentación física y digitalizada con los planes de
contingencia de manera organizada y con orientaciones claras para solucionar los posibles
percances que se puedan dar en caso de pérdida de información y/o facilitar la búsqueda
de copias de seguridad.
Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO PAGINA
DS7 Educar y Entrenar a los Usuarios
AUDITADO 2 DE 2

RESPONSABLE Yuly Andrea Beltran

MATERIAL DE
COBIT
SOPORTE
Educar y Entrenar
Entregar y dar
DOMINIO PROCESO a los Usuarios
soporte (DS)
(DS7)

DESCRIPCIÓN:
 Usuarios no registran la información institucional en el espacio corporativo
asignado a cada grupo y colaborador.

Esto es debido a la falta de capacitación del personal en cuanto al cargue de información

institucional en el espacio corporativo, además del desconocimiento de los
procedimientos a realizar por parte de los funcionarios para dicho registro.

REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 2 DNP DS7 (ANEXO 1)
CONSECUENCIAS:
 Al no existir políticas ni procedimientos relacionados con el registro de la
información institucional en el espacio corporativo asignado a cada grupo y
colaborador se pueden generar sobrecargas en el sistema debido al uso inadecuado
que se da por parte de los usuarios lo que generaría caídas constantes del sistema
 perdiendo tiempo valioso que podría ser usado en actividades importantes en la
institución incluso la opción de mejorar las habilidades de manejo por parte del
usuario en el sistema logrando que este proceso se ejecute de manera eficaz

RIESGO:
 Probabilidad de ocurrencia: = 8,11%
 Impacto según relevancia del proceso: Bajo

RECOMENDACIONES:
 Implementar estrategias con el departamento de sistemas de información en las que se
dé prioridad a las capacitaciones de los usuarios impartidas por personal
experimentado del departamento en mención para el registro de información
logrando que bien se obtengan, se mejoren o actualicen las habilidades del
personal en cuanto al manejo y acrecentar este cargue por medio del
planteamiento.

 Plantear metas de aprendizaje para evaluar la eficacia y mejora del proceso por
parte de los usuarios, además de evidenciar los contenidos a mejorar y cuales se
deben mantener en las capacitaciones que han forjado en los usuarios la mejora de
sus habilidades de uso.

ANEXO 1
CuestionariosFase3_DNP
CUESTIONARIO 1 DNP DS5
ENTIDAD Departamento Nacional de Planeación CUESTIONARIO
AUDITADA 1 DE 2
PROCESO DS5-Garantizar la seguridad de los sistemas
AUDITADO
RESPONSABLE Yuly Andrea Beltran
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y dar PROCESO DS5-Garantizar la seguridad de los
soporte (DS) sistemas

PREGUNTA SI NO OBSERVACIONES
1. ¿Se cuenta con una organización del Hay grupos para atender cada proceso
personal para cada proceso que garantice 5
la seguridad del sistema?
2. ¿Existen manuales que respalden la 3 Algunos no se encuentran o están
instalación de software? desactualizados
 ¿Se realizan revisiones de software 4
periódicamente?
¿Los administradores cuentan con 5 Hay cuentas llamadas L o locales que
excepciones dentro del sistema? tienen todos los privilegios
¿Existe mesa de ayuda para el sistema? 3 Hay un líder técnico para atender los
requerimientos y dos personas
adicionales para soporte en sitio.
¿Los backups realizados en el sistema 3
también incluyen la base de datos de
cuentas de usuarios?
¿El acceso al sistema del usuario interno 5
se puede realizar únicamente desde el
dominio de la empresa?
De acuerdo a los requerimientos de 4
trabajo de cada usuario ¿se realiza
actualización de permisos?
En caso de que no se realice un 4
procedimiento adecuado de
administración de cuentas de usuario del
sistema ¿se cuenta con proceso de
corrección?
¿Existe documentación de casos no 3
deseables que altera la seguridad en el
No está totalmente documentado
sistema para tener en cuenta para la
prevención de los mismos?
TOTALES 27 12
TOTAL CUESTIONARIO 39

Porcentaje de riesgo parcial = (27 * 100) / 39= 69,23%

Porcentaje de riesgo = 100 – 69,23=30,77%

PORCENTAJE DE RIESGO 30,77% (Riesgo medio)

AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretación: Por medio del cuestionario aplicado al proceso DS5-Garantizar la
seguridad de los sistemas, se logra obtener un porcentaje de riesgo del 30,77% por lo cual
se define un riesgo medio en el Departamento Nacional de Planeación además permite
identificar que esta empresa tiene en cuenta el desarrollo de estrategias de seguridad para
el sistema de información aunque hay ciertos factores que aun se deben mejorar y/o
fortalecer para reducir aún más el riesgo.
 CUESTIONARIO 2 DNP DS7

ENTIDAD AUDITADA Departamento Nacional de Planeación CUESTIONARIO

2 DE 2
PROCESO DS7-Educar y entrenar a los usuarios
AUDITADO
RESPONSABLE Yuly Andrea Beltran
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y dar PROCESO DS7-Educar y entrenar a los usuarios
soporte (DS)

PREGUNTA SI NO OBSERVACIONES
¿Se tiene en cuenta la educación al usuario
del sistema? 3
¿Es frecuente realizar capacitaciones al 3
usuario del sistema?
¿Se tienen en cuenta los resultados de las 3
evaluaciones realizados a los usuarios
entrenados?
¿Cuándo se realizan actualizaciones al 4
sistema, se tienen en cuenta las habilidades
de manejo de la mayoría de los usuarios?
¿Se cuenta con planes estructurados para el 4
desarrollo de planes de entrenamiento?
¿Los capacitadores son personal de la 4
empresa con bastantes habilidades de
manejo?
¿Cree que a partir de la realización de 4
capacitaciones, se nota que los usuarios
han mejorado las habilidades de uso ?
¿Se mantiene permanentemente informado 5
al usuario sobre las actualizaciones del
sistema?
¿El uso de herramientas interactivas para 4
simular el manejo del sistema, ha
contribuido en la mejora de uso por parte
de los usuarios?
¿Las evaluaciones de usuarios entrenados 3
han permitido identificar falencias de
manejo?
TOTALES 34 3
TOTAL CUESTIONARIO 37

Porcentaje de riesgo parcial = (34 * 100) / 37=91,89%

 Porcentaje de riesgo = 100 – 91,89%=8,11%

PORCENTAJE DE RIESGO 8,11% (Riesgo bajo)

AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretación: Por medio del cuestionario aplicado al proceso DS7-Educar y entrenar a
los usuarios, se logra obtener un porcentaje de riesgo del 8,11% por lo cual se define un
riesgo bajo en el Departamento Nacional de Planeación permitiendo identificar que esta
empresa tiene en cuenta la capacitación de los usuarios para el correcto manejo del
sistema de información fortaleciendo las habilidades del usuario interno controlando así el
riesgo.
Cuadro de controles propuestos para procesos DS5-Garantizar la seguridad de los
sistemas y DS7-Educar y entrenar a los usuarios

Tabla 4 Definición de controles

RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
Falta de documentación CORRECTIVO Construir con el departamento encargado
frente al proceso de copias de las copias de respaldo la
de respaldo en algunos documentación respectiva para cada
servicios DNP servicio del DNP en el que se evidencie
lo que contiene cada copia de respaldo
muy al estilo de un manual de usuario y
un manual técnico creando así un archivo
tanto físico como digital
No están correctamente CORRECTIVO Elaborar la documentación en asociación
documentados los planes de con el departamento de archivo del DNP,
contingencia en caso de esto con el fin de mantener una
pérdidas de información y documentación (fisica como digitalizada)
copias de seguridad. de planes de contingencia organizada y
que oriente en cuanto a las indicaciones a
seguir o las soluciones alternativas en
caso de pérdidas de información y copias
de seguridad, si el departamento de
archivo no hace parte de la estructura
organizacional de la empresa, se puede
pensar en la contratación externa de este
servicio.
Usuarios no registran la PREVENTIVO Implementar estrategias educativas con
información institucional en el departamento de sistemas de
el espacio corporativo información en las que los usuarios
 asignado a cada grupo y comprendan la realización del cargue de
colaborador. información en el espacio corporativo
asignado, por medio de la ejecución de
capacitaciones impartidas por personal
experimentado del departamento para
que este proceso sea entendido por parte
de los instruidos y así logren las
habilidades suficientes que permitan
intensificar el cargue de información por
parte de los usuarios

Cuadro de tratamiento de riesgos procesos AI2Adquirir y Mantener Software Aplicativo y

AI6 Administrar cambios (Desarrollado por: Carlos Eduardo La Serna)

Tabla 1. Valoración de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACIÓN
A M B L M C
Hardware
R1 No monitoreo constante de los equipos de X X
cómputo
R2 No están correctamente documentados los X X
planes de contingencia en caso de pérdidas de
información y copias de seguridad
R3 Falta se sensibilización y capacitación a X X
usuarios del sistema en seguridad y buen uso
informático
R4 Algunos sistemas de información no cifran los X X
datos cuando se están almacenando o
transmitiendo
R5 Modificación sin autorización de los datos, X X
borrado de archivos compartidos o instalación
de software no avalado por el DNP
R6 Ausencia de parches de seguridad y X X
actualizaciones en los equipos con sistemas
operativos como Windows XP declarados en
desuso
R7 El software específico para servicios en X X
algunos casos no está en la última versión
liberada por el proveedor

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

Tabla 2 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R3 – R4 – R5

MEDIO R1 - R2 - R6 – R7
BAJO

Tabla 3 Tratamiento de Riesgos

ID. Descripción Riesgo Tratamiento Riesgo
Riesgo
R1 No monitoreo constante de los equipos de Controlarlo
cómputo
R2 No están correctamente documentados los Transferirlo
planes de contingencia en caso de pérdidas de
información y copias de seguridad
R3 Falta se sensibilización y capacitación a Controlarlo
usuarios del sistema en seguridad y buen uso
informático
R4 Algunos sistemas de información no cifran los Transferirlo
datos cuando se están almacenando o
 transmitiendo
R5 Modificación sin autorización de los datos, Controlarlo
borrado de archivos compartidos o instalación
de software no avalado por el DNP
R6 Ausencia de parches de seguridad y Aceptarlo
actualizaciones en los equipos con sistemas
operativos como Windows XP declarados en
desuso
R7 El software específico para servicios en algunos Controlarlo
casos no está en la última versión liberada por
el proveedor

Cuadros de hallazgos procesos AI2Adquirir y Mantener Software Aplicativo y AI6

Administrar cambios

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01

ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 1 DE 2

RESPONSABLE Carlos Eduardo La Serna

MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo
DESCRIPCIÓN:
 No existe definición de los procesos para perdida de información y respaldo de los
datos.
 No se cuenta con políticas claras en la definición de acciones a tomar al momento
de presentarse perdidas de información por falta de copias de seguridad.

Dentro de la compañía no se ha realizado un enfoque más preciso de cuáles pueden ser los
procesos a seguir en caso de pérdidas de información o restablecimiento de copias de
seguridad, es de anotar que es un tema sensible por ponerse en riesgo data confidencial o
información de terceros.

REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP AI2 (Anexo 1)
CONSECUENCIAS:
 Debido a la falta de políticas en la generación de las copias de seguridad se
pueden presentar inconvenientes al momento de restablecer los backups de los
sistemas de información que hacen parte de la organización, generando
contratiempos o alteración en la prestación de los servicios.

 Como una de las tareas más importantes por parte de la gestión de TI, se encuentra
el gobierno de la información, que incluye el aseguramiento de la calidad y la
definición de los procesos para asegurar la información de la entidad, corriendo
grandes riesgos al no realizarse esta tarea de manera efectiva.

RIESGO:
 Probabilidad de ocurrencia: = 15%
 Impacto según relevancia del proceso: Bajo

RECOMENDACIONES:
 Definir una política clara para el aseguramiento de la información en cada una de
las áreas que componen la organización, categorizando aquella que requiere
mayor nivel de confidencialidad y que es motivo de consulta constante.

 Definir acuerdos de servicio donde se pueda establecer claramente los documentos

 o sistemas que requieren copias de seguridad, donde se especifique claramente los
tiempos de respuesta para cada uno de los escenarios que se pueden presentar en la
generación de estos respaldos.

Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 2 DE 2

RESPONSABLE Carlos Eduardo La Serna

MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo

DESCRIPCIÓN:
 No existe política de actualización para Software Obsoleto.
 No se realiza actualización del software en algunas áreas de la compañía, en
especial de Sistemas de operativos antiguos y que se encuentran fuera de Soporte
por parte del proveedor.

La organización se encuentra en riesgo debido a la obsolescencia del software instalado,

generando un alto riesgo a ataques cibernéticos, ya que no se cuenta con parches de
seguridad que permitan una mayor protección de los equipos de cómputo.
 REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP AI2 (Anexo 1)
CONSECUENCIAS:
 Se presenta una situación de alto riesgo al no tener todos los equipos que hacen
parte de la compañía con las últimas versiones de parches de seguridad, lo cual
puede facilitar ataques cibernéticos que comprometan la seguridad de la
información dentro de la organización.

RIESGO:
 Probabilidad de ocurrencia: = 30%
 Impacto según relevancia del proceso: Medio

RECOMENDACIONES:
 Aislar los equipos que puedan comprometer la seguridad de la organización, a fin
de evitar puertas traseras abiertas y que permitan realizar ataques cibernéticos, esta
actividad se debe realizar en aquellos equipos que no es posible realizar una
actualización a las últimas versiones de Software que corresponde.

Anexo 1

Cuestionario: Adquirir y Mantener Software Aplicativo

CUESTIONARIO CUANTITATIVO REF

001
ENTIDAD Departamento Nacional de Planeación PAGINA
AUDITADA
1 DE 1
PROCESO Infraestructura Tecnológica
AUDITADO
RESPONSABLES Carlos La Serna
 MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCESO AI2 Adquirir y Mantener
implementar (AI) Software Aplicativo
N PREGUNTA SI NO NA REF
1 ¿Dentro de la organización se han definido 4
controles que permiten validar el correcto
funcionamiento de los diferentes sistemas de
información?
2 ¿Existe periódicamente una verificación del 4
correcto funcionamiento de las aplicaciones
que actualmente son usadas?
3 ¿En el desarrollo de aplicaciones se tiene en 4
cuenta el aseguramiento de la calidad, como
requisito fundamental para dejar operacional
el Software?
4 ¿Existe un comité o grupo de personas que 5
se encargan de realizar un exhaustivo
seguimiento de los diferentes requerimientos
que se generan y el peso que estos tienen
dentro de las proyecciones de la
organización?
5 ¿Existe un plan de mejoramiento continuo 3
que vaya alineado con la gestión de
aseguramiento de calidad?
TOTAL 17 3
TOTAL CUESTIONARIO 20
Porcentaje de riesgo parcial = (17*100) / 20 = 85%
Porcentaje de riesgo total = 100 – 85 = 15%
PORCENTAJE RIESGO 15% Riesgo bajo

Interpretación: de acuerdo al cuestionario aplicado al proceso AI2 Adquirir y Mantener

Software Aplicativo, se logra obtener un porcentaje de riesgo del 15 por ciento, que lo
determinan como un riesgo bajo, con esto podríamos concluir que la DPN, construye las
 aplicaciones de acuerdo a los requerimientos de los usuarios, son concluidas a tiempo y con
unos costos razonables, existen algunos ítems que son susceptibles de mejora para reducir
los riesgos asociados y que contribuirán a una mayor calidad en los servicios.
Cuadro de controles propuestos para procesos AI2Adquirir y Mantener Software
Aplicativo y AI6 Administrar cambios

Tabla 4 Definición de controles

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
No monitoreo constante de los PREVENTIVO Elaborar políticas de revisión constante de los
equipos de cómputo equipos de cómputo, lo cual se podría realizar a
través de la contratación de un equipo de
soporte que realice esta actividad.
Falta se sensibilización y CORRECTIVO Capacitar al personal de la organización sobre
capacitación a usuarios del la forma de utilizar y optimizar los recursos
sistema en seguridad y buen informáticos.
uso informático
Modificación sin autorización PREVENTIVO Elaborar políticas de seguridad y protección de
de los datos, borrado de la información en la organización, lo cual se
archivos compartidos o podría realizar a través de la contratación de un
instalación de software no ingeniero de sistemas con experiencia en
avalado por el DNP administración de plataformas.

El software específico para CORRECTIVO Definir los diferentes acuerdos de servicio para
servicios en algunos casos no que los proveedores puedan entregar las
está en la última versión últimas versiones de las plataformas, a fin de
liberada por el proveedor poder reducir a cero la cantidad de incidencias.

Cuadro de tratamiento de riesgos procesos ME1- Monitorear y Evaluar el Desempeño de TI

y ME2 - Garantizar el Cumplimiento con requerimientos externos (Desarrollado por: Juan
Camilo Alfonso)

Tabla 1. Valoración de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C
Software
R1 No monitoreo constante de los equipos de cómputo X X
Seguridad lógica
R2 No están correctamente documentados los planes de X X
contingencia en caso de pérdidas de información y copias de
seguridad
R4 Modificación sin autorización de los datos, borrado de archivos X X
compartidos o instalación de software no avalado por el DNP
Manejo y control de personal
R3 El personal no cuenta con programas de capacitación y X X
formación en seguridad informática y de la información
R8 Perdida de información debido al mal uso del sistema por parte X X
del usuario.
Sistema de Información
R5 Interrupción de la actividad usual del sistema de información X X
Comunicaciones
R6 Propagación de la información privada y de suma importancia X X
Base de datos
R7 Modificación de información primordial en base de datos. X X

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

Tabla 2 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R1
MEDIO R2, R3
BAJO R8 R5, R6 R4, R7

Tabla 3 Tratamiento de Riesgos

 ID. Descripción Riesgo Tratamiento
Riesgo Riesgo
R1 No monitoreo constante de los equipos de cómputo Controlarlo
R2 No están correctamente documentados los planes de Controlarlo
contingencia en caso de pérdidas de información y copias
de seguridad
R3 El personal no cuenta con programas de capacitación y Controlarlo
formación en seguridad informática y de la información
R4 Modificación sin autorización de los datos, borrado de Controlarlo
archivos compartidos o instalación de software no
avalado por el DNP
R5 Interrupción de la actividad usual del sistema de Aceptarlo
información
R6 Propagación de la información privada y de suma Aceptarlo
importancia
R7 Modificación de información primordial en base de datos. Transferirlo
R8 Perdida de información debido al mal uso del sistema por Aceptarlo
parte del usuario.

Cuadros de hallazgos procesos ME1- Monitorear y Evaluar el Desempeño de TI y ME2 -

Garantizar el Cumplimiento con requerimientos externos

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO PAGINA
ME1- Monitorear y Evaluar el Desempeño de TI
AUDITADO 1 DE 2

RESPONSABLE Juan Camilo Alfonso

MATERIAL DE
COBIT
SOPORTE
Monitorear y
Monitorear y Evaluar el
DOMINIO PROCESO Desempeño de TI
evaluar (ME)
(ME1)

DESCRIPCIÓN:
 No están correctamente documentados los planes de contingencia en caso de
pérdidas de información y copias de seguridad.

Durante la revisión y chequeo del proceso se encontró que no hay documentación sobre
los datos obtenidos frente al alcance o no de las metas propuestas por la organización en
temas de seguridad de la información, adicionalmente los resultados de evaluaciones
realizadas no se encuentran documentados para poder evaluar el cumplimiento de las
acciones de mejora anteriores a este ejercicio, se evidencio que aunque manifestaron tener
planes estos no estaban documentados correctamente o no se hallaron en su momento.

REF_PT:
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 1 DNP ME1 (ANEXO 1)
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 2 DNP ME1

CONSECUENCIAS:
 Al no existir una correcta documentación sobre los planes de contingencia y datos
de las revisiones anteriores al sistema de copias de seguridad e información se
desperdicia la labor hecha en etapas anteriores y la claridad para la toma de
 decisiones dentro de la organización.
 Si no hay documentación, cuando se presente un cambio de personal dentro del
grupo de informática será muy difícil la continuidad del servicio y de que los
nuevos líderes técnicos puedan empalmar rápidamente las labores indicadas
dentro de sus funciones así como evaluar los objetivos propuestos.

RIESGO:
 Probabilidad de ocurrencia: = 20%
 Impacto según relevancia del proceso: Bajo

RECOMENDACIONES:
 Se recomienda revisar cuidadosamente la documentación que se tiene
actualmente a fin de actualizarla, completarla o generarla con cada líder técnico
responsable de los servicios almacenamiento y backups.

 Es importante que los responsables de seguridad de información de IT se pongan

al frente y garanticen que la documentación este al dia y sea accesible, se deben
establecer reuniones de seguimiento y actualización, los coordinadores de área
realizaran y darán el visto bueno de los documentos generados en fechas
concretas.

Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA

PROCESO ME3 - Garantizar el Cumplimiento con PAGINA

AUDITADO requerimientos externos. 2 DE 2

RESPONSABLE Juan Camilo Alfonso

MATERIAL DE
COBIT
SOPORTE
Garantizar el
Monitorear y Cumplimiento con
DOMINIO PROCESO
evaluar (ME) requerimientos
externos. (ME3)

DESCRIPCIÓN:
 El personal no cuenta con programas de capacitación y formación en seguridad
informática y de la información

 No monitoreo constante de los equipos de cómputo

Actualmente se identifican falencias en la formación y capacitación en temas concretos

que tienen que ver con la seguridad de la información, cumplimiento de normatividad y
derechos de autor, algunos usuarios no tienen claro este tema y desde la oficina de
informática no se ha tratado con la exigencia que demanda para ser una entidad del
estado, no han generado la inquietud a la alta gerencia sobre esta necesidad.

Hay desconocimiento parcial de que software es permitido, y no hay consolidados

generales del monitoreo de equipos de cómputo respecto al software instalado, por lo cual
es muy difícil hacer control y seguimiento al cumplimiento de la normatividad de
derechos de autor en su totalidad, por lo cual ha sido tediosa la revisión de este ítem.

REF_PT:
EntrevistasFase3_DNP/ Entrevista 1 ME1 (ANEXO 2)
CuestionariosFase3_DNP/ Cuestionario 1 DNP ME3
CONSECUENCIAS:

 Como consecuencia de la no formación adecuada en seguridad se aumenta la

probabilidad de incidente generados por desconocimiento de los usuarios,
adicionalmente el no cumplimiento de las normas exigidas a la entidad en materia
de derechos de autor, lo que provocara desde llamados de atención hasta multas a
la entidad y una mala imagen de la misma.

 El no poder monitorear adecuadamente los equipos impide que los

administradores de servicios puedan tomar decisiones, obtener informes
confiables, estadísticas del servicio y el no poder tener la confianza en contar con
 la garantía de software legal, permitido y licenciado dentro de los equipos de la
entidad, esto puede con el tiempo generar graves problemas al sistema y al
funcionamiento de la infraestructura puedes puede ser un aspecto de inseguridad
el no poder determinar con exactitud el monitoreo.

RIESGO:
 Probabilidad de ocurrencia: = 38%
 Impacto según relevancia del proceso: Medio

RECOMENDACIONES:
 Se recomienda plantear a la subdirección de recursos humanos del DNP, la
habilitación de recursos para capacitación en temas de seguridad
informática y derechos de autor para los funcionarios de la entidad, a su
vez generar campañas de sensibilización a nivel interno aprovechando el
conocimiento que ya se tiene utilizando la intranet y al grupo de
comunicaciones para la difusión de información.

 En necesaria la instalación de software completo de monitoreo o la

adecuación/actualización del actual a fin de que permita la revisión y
control de los equipos pertenecientes al dominio de red DNP, con
generación de reportes, estadísticas, alertas y una visualización del
software instalado en cada equipo.
ANEXO 1
CuestionariosFase3_DNP
LISTA DE CHEQUEO 1
Sistema de información DNP R/PT
Lista de chequeo LC1
Dominio Monitorear y Evaluar (ME)
Proceso ME1 Monitorear y Evaluar el Desempeño de TI
Objetivo de Control Definición y Recolección de Datos de Monitoreo
Cuestionario
Pregunta SI NO N/A
¿Existe un conjunto de objetivos de desempeño de los sistemas X
de información aprobado por la dirección de TIC?
¿Se tienen claros los datos a recolectar para realizar las X
mediciones de los sistemas de información?
¿Cuenta con un proceso documentado para recolectar X
información oportuna y precisa del desempeño?
Se cuentan con alguna herramienta para generar reportes de los X
datos requeridos de análisis
Si se cuenta con una herramienta de monitoreo, ¿la información X
está disponible de forma inmediata?
¿Hay documentación sobre los datos obtenidos frente al alcance X
o no de las metas propuestas por la organización?
Documentos probatorios presentados:
Plan de acción de la oficina de informática 2014-2018
Reportes automatizados de herramienta de gestión

LISTA DE CHEQUEO 2
Sistema de información DNP R/PT
Lista de chequeo LC2
Dominio Monitorear y Evaluar (ME)
Proceso ME1 Monitorear y Evaluar el Desempeño de TI
Objetivo de Control Acciones Correctivas
Cuestionario
Pregunta SI NO N/A
¿Se identifican las medidas correctivas a realizar dentro de los planes x
de trabajo TIC actual?
¿Se cuenta con los registros de monitoreo del desempeño de forma x
accesible para la toma decisiones en un momento dado?
¿Los resultados de evaluaciones realizadas se encuentran documentadas x
para poder evaluar fácilmente acciones de mejora?
¿Existe una asignación clara de responsabilidades por la corrección? x
¿En los procedimientos de revisión de acciones comprometidas se ha x
documentado el rastreo de resultados?
Documentos probatorios presentados:
Plan de acción oficina de informática
Reportes de incidentes categorizados en la herramienta de gestión
Base de conocimiento con casos de aprendizaje
ANEXO 2

ENTREVISTA I REF
001
 Departamento Nacional de Planeación ENTREVISTA
ENTIDAD AUDITADA
1 DE 2
ÁREA AUDITADA Sistema de SEVEN
SISTEMA
información
OBJETIVO ENTREVISTA Indagar acerca del Monitoreo y Evaluación del Desempeño
de TI
ENTREVISTADO Hector Mauricio Parra

CARGO Asesor, OI-GGSI

TEMA1: Definición y Recolección de Datos de Monitoreo

1. ¿Están definidos los indicadores de desempeño para los sistemas de información?

2.
El grupo de gestión de sistemas de información define unos parámetros e indicadores básicos
para monitorización de los diferentes servicios de la entidad, estos quedan descritos en la
información de cada proyecto.

. ¡¿Cómo es el procedimiento para la definición de los indicadores de desempeño más relevantes en

el sistema?

Cuando se tiene un proceso o servicio dentro de la oficina de informática este tiene una seria de
fase de desarrollo, que están acompañadas por el grupo de proyectos informáticos, desde la fase
de pruebas, pasando por implementación y hasta su ejecución se levantan los indicadores para
poder dar el visto bueno sobre el cumplimiento de los requerimientos.

¿Están alienados los indicadores con los objetivos de dirección y de la organización?

El desarrollo de proyectos informáticos y a su vez de los sistemas de información se elabora

teniendo en cuenta las políticas de la alta dirección, aunque ha habido momentos específicos
donde no ha habido acompañamiento o se han logrado poner de acuerdo con la alta dirección en
algunas necesidades de la entidad.

TEMA 2: Acciones Correctivas

2. De acuerdo con el establecimiento de indicadores de sistema ¿podría nombrar alguna acción

correctiva que se haya realizado recientemente gracias a estos?

Se evidencio una sobrecarga en el servidor de producción de documentación en ciertas fechas de

central de cuentas, el indicador de respuesta arrojo resultados que permitieron actuar ampliando
la capacidad del servidor instalado en su procesamiento y una puesta balanceo de carga.

. ¿Hay responsables asignados para el monitoreo y generación de reportes?

Sí, hay un grupo de ingenieros para el tema de plataforma e infraestructura, se cuenta con un
especialista en la herramienta de gestión de la entidad y un líder técnico de cada servicio.
. ¿Existe un repositorio donde se almacenen los reportes, así como un historial de las acciones de
mejora de los sistemas y servicios?

Existen carpetas de red donde se almacena la información de cada sistema, pero algunos
procesos no están documentados o desconozco donde se encuentra la información, generalmente
solo es visible para algunas áreas o perfiles por lo que es posible que no la vea debido a esta
limitación que se hace por seguridad.

¿Los servicios y aplicativos son evaluados periódicamente a fin de verificar que esté cumpliendo
con lo requerido y estén dentro de la mejora continua?

Actualmente hay aplicativos a los cuales se les hace un seguimiento más minucioso porque son
utilizados por mayor número de usuarios, por este motivo este sistema de información ha tenido
verificación de mejora y cumplimiento de tiempos de respuesta, sin embargo, hay pequeños
sistemas de información que llevan mucho tiempo sin ser evaluados al no tener un impacto tan
grande dentro de la organización.
Juan Camilo Alfonso FECHA 26/10/2017
AUDITORES APLICACIÓN

CUESTIONARIO 1

ENTIDAD Departamento Nacional de Planeación CUESTIONARIO

AUDITADA 1 DE 2
PROCESO ME1 Monitorear y Evaluar el Desempeño de TI
AUDITADO
RESPONSABLE Juan Camilo Alfonso
MATERIAL DE SOPORTE COBIT
DOMINIO ME Monitorear y PROCESO Monitorear y Evaluar el Desempeño de TI
evaluar

PREGUNTA SI NO OBSERVACIONES
1. ¿Hay indicadores de desempeño definidos
para los sistemas de información? 5
2. ¿Cuenta con un proceso documentado para 3 Algunos no se encuentran o están
recolectar información oportuna? desactualizados
¿Se tienen en cuenta los indicadores en la 4
toma de decisiones de los SI?
¿Hay registros accesibles de monitoreo 4
del desempeño de forma accesible para
los responsables?
¿Existe una herramienta automatizada para 5
generar reportes de los datos requeridos
de análisis?
 ¿Hay una asignación de responsabilidades 3
claramente definida respecto a los
indicadores de los SI?
¿Se evidencia alienación de los 3
No es clara la relación en algunos aspectos
indicadores con los objetivos de la
dentro del sistema de información
organización?
¿Las acciones correctivas se han tomado 4
con base en reportes generados?
¿Los sistemas de información son 3
No está totalmente documentado
evaluado a fin de obtener mejora continua

Cuadro de controles propuestos para procesos ME1- Monitorear y Evaluar el Desempeño

de TI y ME2 - Garantizar el Cumplimiento con requerimientos externos

Tabla 4 Definición de controles

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL

No monitoreo constante de los Correctivo Instalación de software completo de monitoreo

equipos de cómputo que permita la revisión y control de los equipos
pertenecientes al dominio de red DNP, con
generación de reportes, si el equipo no está
reportando verificar en sitio.

Preventivo Control en el manejo que se tiene de los equipos

utilizados en la el DNP a fin de que estén
conectados al dominio y red correctamente.
No están correctamente Correctivo Realizar la documentación respectiva sobre el
documentados los planes de servicio de copias de seguridad que incluya
contingencia en caso de pérdidas dueños del servicio, como acceder a él,
de información y copias de descripción, contacto, planes de contingencia, y
seguridad manuales de usuario e instructivos a fin de contar
con el soporte adecuado.

El personal no cuenta con Correctivo Coordinar con la subdirección de recursos

programas de capacitación y humanos del DNP, espacios de capacitación en
formación en seguridad temas de seguridad informática para los usuarios
informática y de la información de la entidad, a su vez generar campañas de
sensibilización a nivel interno mediante las
comunicaciones unificadas.
Modificación sin autorización de Correctivo
los datos, borrado de archivos
compartidos o instalación de
software no avalado por el DNP
Preventivo
Revisar los permisos actuales que hay sobre las
carpetas de red o servidores, y permisos de
administrador en estaciones cliente, a fin de dejar
validos solo aquellos que estén correctamente
justificados y avalados por los jefes directos y con
el visto bueno del personal de seguridad.
Depurar los usuarios con permisos de
administrador, utilizando los formatos de
autorización de permisos especiales como
requisito obligatorio para instalar software, tarea
coordinada con los líderes de servicios para
validar periodicidad de las copias de seguridad.
 Conclusiones
 El estudiante hace reconocimiento de los formatos de tratamiento de riesgos,
definición de controles y tablas de hallazgos permitiendo el desarrollo de los
mismos de acuerdo a los resultados obtenidos en la matriz de riesgos desarrollados
en la fase anterior. (Yuly Beltran, 2017)

 Este trabajo da cuenta de los conocimientos adquiridos acerca de la definición de

controles por medio de la interpretación de los resultados de las tablas de
tratamiento de riesgos reconociendo aun más el papel significativo de la auditoria y
la realidad empresarial .(Yuly Beltran, 2017)

 Es importante realizar un correcto discernimiento en cada temática que fue

necesaria para el desarrollo de la guía de actividades propuesta, aquí es de recalcar
la apropiación que realizo el estudiante, lo cual le permite desarrollar de una manera
más adecuada los formatos propuestos para esta fase logrando poner en práctica las
habilidades que ha desarrollado a lo largo del curso.(Yuly Beltran, 2017)

 A medida que vamos avanzando en las diferentes bases, logramos estructurar de una
manera más clara los diferentes componentes que se van presentando en una
auditoria de sistemas, y los beneficios que esta trae cuando se sigue rigurosamente.
(Carlos La Serna, 2017).

 Se ha logrado interpretar de una manera efectiva el FrameWork COBIT, siguiendo

paso a paso sus diferentes componentes y la forma en que estos aseguran la calidad
de las auditorias. (Carlos La Serna, 2017).

 Para la empresa que estamos trabajando, como grupo hemos podido identificar
algunos riesgos que nos ayudan a hacer una comparación con nuestras actividades
diarias, y la forma en que podríamos atacar estas novedades. (Carlos La Serna,
2017).

 Se logro cumplir con el objetivo de la actividad colaborativa al dar a conocer los

hallazgos, tratamiento de riesgos y definición de controles sobre procesos CobIT
seleccionados en la fase de planeación y riesgos encontrados en fases iniciales del
curso auditoría de sistemas para ser aplicados en el DNP. (Juan Alfonso 2017).

 Dentro del ejercicio de revisión de riesgos es importante tener en cuenta que

siempre tendremos riesgos en nuestras actividades y en el área tecnológica hay gran
variedad de situaciones que no se puede evitar, pero si se pueden controlar, por lo
cual los controles que definamos deben estar muy bien implementados para que
actúen cuando se necesario o prevengan aquellos riesgos que son factibles de
reducir. (Juan Alfonso 2017).
 Lista de Referencias
Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de
http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
ISACA. (2016). Cobit 4.1 en español. Recuperado de: http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
Pinilla, J. D. (1997). Auditoria informática: un enfoque operacional. Bogotá, Colombia:
Editorial Ecoe ediciones.
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación
de tecnologías de la información. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780
Solarte, S.F.N. (2017).Lineamientos y documentos presentados en foro por parte del
director del curso auditoria de sistemas. Recuperado de: Foro colaborativo Fase 4
Solarte, S.F.N. (2011).Blog del curso auditoria de sistemas. Recuperado de:
http://auditordesistemas.blogspot.com.co
Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html