Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tutora:
Vanessa Carolina Gutierrez
Noviembre 2017
Por consiguiente, se tendrá como intención lograr que el estudiante explore y asuma
una familiarización de conceptos que le permitirá adquirir conocimientos y desarrollar
habilidades hacia la auditoria de sistemas realizada a una empresa en este caso el
Departamento Nacional de Planeación
Objetivo General.
Dar a conocer los hallazgos, tratamiento de riesgos y definición de controles sobre procesos
CobIT seleccionados en la fase de planeación y riesgos encontrados en fases iniciales del
curso auditoría de sistemas para ser aplicados en el Departamento Nacional de Planeación.
Objetivos específicos
PROBABILIDAD IMPACTO
RIESGOS/VALORACIÓN
A M B L M C
Hardware
R1 Alteración o pérdida de la información registrada X X
en base de datos o equipos
Redes
R2 Transito masivo de virus X X
Base de datos
R3 Falta de documentación frente a al proceso de X X
copias de respaldo en algunos servicios DNP
Manejo y control de personal
R4 Falta e sensibilización y capacitación a usuarios del X X
sistema en seguridad y buen uso informático
R5 El personal no cuenta con programas de X X
capacitación y formación en seguridad informática
y de la información.
R6 Usuarios no registran la información institucional X X
en el espacio corporativo asignado a cada grupo y
colaborador.
R7 Perdida de información debido al mal uso del X X
sistema por parte del usuario
Seguridad lógica
R8 Se encuentran activas cuentas de usuarios de X X
personal que ya no labora en la entidad
R9 No están correctamente documentados los planes X X
de contingencia en caso de pérdidas de información
y copias de seguridad.
R1 Modificación sin autorización de los datos, borrado X X
0 de archivos compartidos o instalación de software
no avalado por el DNP
Software
R1 Ausencia de parches de seguridad y actualizaciones X X
1 en los equipos con sistemas operativos como
Windows XP declarados en desuso
R1 El software específico para servicios en algunos X X
2 casos no está en la última versión liberada por el
proveedor.
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
ALTO
MEDIO R1,R3,R6,R10
BAJO R2,R4,R5,R7,R8,R9,R12 R11
Tabla 3 Tratamiento de Riesgos
ID. Descripción Riesgo Tratamiento
Riesgo Riesgo
R1 Falta de documentación frente a al proceso de copias de Controlarlo
respaldo en algunos servicios DNP
R2 Se encuentran activas cuentas de usuarios de personal que Aceptarlo
ya no labora en la entidad
R3 No están correctamente documentados los planes de Controlarlo
contingencia en caso de pérdidas de información y copias de
seguridad.
R4 Falta se sensibilización y capacitación a usuarios del sistema Aceptarlo
en seguridad y buen uso informático
R5 El personal no cuenta con programas de capacitación y Aceptarlo
formación en seguridad informática y de la información.
R6 Alteración o pérdida de la información registrada en base Transferirlo
de datos o equipos
R7 Modificación sin autorización de los datos, borrado de Aceptarlo
archivos compartidos o instalación de software no avalado
por el DNP.
R8 Ausencia de parches de seguridad y actualizaciones en los Aceptarlo
equipos con sistemas operativos como Windows XP
declarados en desuso.
R9 El software específico para servicios en algunos casos no Aceptarlo
está en la última versión liberada por el proveedor
R10 Usuarios no registran la información institucional en el Controlarlo
espacio corporativo asignado a cada grupo y colaborador.
R11 Perdida de información debido al mal uso del sistema por Aceptarlo
parte del usuario
R12 Transito masivo de virus Aceptarlo
Cuadros de hallazgos procesos DS5-Garantizar la seguridad de los sistemas y DS7-Educar
y entrenar a los usuarios
Tabla Hallazgo 1
REF
HALLAZGO 1
HDNP_01
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
PROCESO PAGINA
DS5-Garantizar la seguridad de los sistemas
AUDITADO 1 DE 2
MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar
DOMINIO PROCESO seguridad de los
soporte (DS)
sistemas (DS5)
DESCRIPCIÓN:
Falta de documentación frente al proceso de copias de respaldo en algunos
servicios DNP
No están correctamente documentados los planes de contingencia en caso de
pérdidas de información y copias de seguridad.
Alteración o pérdida de la información registrada en base de datos o equipos
RIESGO:
Probabilidad de ocurrencia: = 30,77%
Impacto según relevancia del proceso: Medio
RECOMENDACIONES:
Conformar un grupo en asociación con el departamento encargado de las copias de
respaldo del DNP para revisar la documentación actual y la faltante con el fin de
que se constituya la documentación faltante con su respectivo elemento de
respaldo, además de la elaboración de manuales técnicos y de usuario necesarios
para la orientación al personal autorizado en este proceso.
REF
HALLAZGO 2
HDNP_02
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
PROCESO PAGINA
DS7 Educar y Entrenar a los Usuarios
AUDITADO 2 DE 2
MATERIAL DE
COBIT
SOPORTE
Educar y Entrenar
Entregar y dar
DOMINIO PROCESO a los Usuarios
soporte (DS)
(DS7)
DESCRIPCIÓN:
Usuarios no registran la información institucional en el espacio corporativo
asignado a cada grupo y colaborador.
REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 2 DNP DS7 (ANEXO 1)
CONSECUENCIAS:
Al no existir políticas ni procedimientos relacionados con el registro de la
información institucional en el espacio corporativo asignado a cada grupo y
colaborador se pueden generar sobrecargas en el sistema debido al uso inadecuado
que se da por parte de los usuarios lo que generaría caídas constantes del sistema
perdiendo tiempo valioso que podría ser usado en actividades importantes en la
institución incluso la opción de mejorar las habilidades de manejo por parte del
usuario en el sistema logrando que este proceso se ejecute de manera eficaz
RIESGO:
Probabilidad de ocurrencia: = 8,11%
Impacto según relevancia del proceso: Bajo
RECOMENDACIONES:
Implementar estrategias con el departamento de sistemas de información en las que se
dé prioridad a las capacitaciones de los usuarios impartidas por personal
experimentado del departamento en mención para el registro de información
logrando que bien se obtengan, se mejoren o actualicen las habilidades del
personal en cuanto al manejo y acrecentar este cargue por medio del
planteamiento.
Plantear metas de aprendizaje para evaluar la eficacia y mejora del proceso por
parte de los usuarios, además de evidenciar los contenidos a mejorar y cuales se
deben mantener en las capacitaciones que han forjado en los usuarios la mejora de
sus habilidades de uso.
ANEXO 1
CuestionariosFase3_DNP
CUESTIONARIO 1 DNP DS5
ENTIDAD Departamento Nacional de Planeación CUESTIONARIO
AUDITADA 1 DE 2
PROCESO DS5-Garantizar la seguridad de los sistemas
AUDITADO
RESPONSABLE Yuly Andrea Beltran
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y dar PROCESO DS5-Garantizar la seguridad de los
soporte (DS) sistemas
PREGUNTA SI NO OBSERVACIONES
1. ¿Se cuenta con una organización del Hay grupos para atender cada proceso
personal para cada proceso que garantice 5
la seguridad del sistema?
2. ¿Existen manuales que respalden la 3 Algunos no se encuentran o están
instalación de software? desactualizados
¿Se realizan revisiones de software 4
periódicamente?
¿Los administradores cuentan con 5 Hay cuentas llamadas L o locales que
excepciones dentro del sistema? tienen todos los privilegios
¿Existe mesa de ayuda para el sistema? 3 Hay un líder técnico para atender los
requerimientos y dos personas
adicionales para soporte en sitio.
¿Los backups realizados en el sistema 3
también incluyen la base de datos de
cuentas de usuarios?
¿El acceso al sistema del usuario interno 5
se puede realizar únicamente desde el
dominio de la empresa?
De acuerdo a los requerimientos de 4
trabajo de cada usuario ¿se realiza
actualización de permisos?
En caso de que no se realice un 4
procedimiento adecuado de
administración de cuentas de usuario del
sistema ¿se cuenta con proceso de
corrección?
¿Existe documentación de casos no 3
deseables que altera la seguridad en el
No está totalmente documentado
sistema para tener en cuenta para la
prevención de los mismos?
TOTALES 27 12
TOTAL CUESTIONARIO 39
AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretación: Por medio del cuestionario aplicado al proceso DS5-Garantizar la
seguridad de los sistemas, se logra obtener un porcentaje de riesgo del 30,77% por lo cual
se define un riesgo medio en el Departamento Nacional de Planeación además permite
identificar que esta empresa tiene en cuenta el desarrollo de estrategias de seguridad para
el sistema de información aunque hay ciertos factores que aun se deben mejorar y/o
fortalecer para reducir aún más el riesgo.
CUESTIONARIO 2 DNP DS7
PREGUNTA SI NO OBSERVACIONES
¿Se tiene en cuenta la educación al usuario
del sistema? 3
¿Es frecuente realizar capacitaciones al 3
usuario del sistema?
¿Se tienen en cuenta los resultados de las 3
evaluaciones realizados a los usuarios
entrenados?
¿Cuándo se realizan actualizaciones al 4
sistema, se tienen en cuenta las habilidades
de manejo de la mayoría de los usuarios?
¿Se cuenta con planes estructurados para el 4
desarrollo de planes de entrenamiento?
¿Los capacitadores son personal de la 4
empresa con bastantes habilidades de
manejo?
¿Cree que a partir de la realización de 4
capacitaciones, se nota que los usuarios
han mejorado las habilidades de uso ?
¿Se mantiene permanentemente informado 5
al usuario sobre las actualizaciones del
sistema?
¿El uso de herramientas interactivas para 4
simular el manejo del sistema, ha
contribuido en la mejora de uso por parte
de los usuarios?
¿Las evaluaciones de usuarios entrenados 3
han permitido identificar falencias de
manejo?
TOTALES 34 3
TOTAL CUESTIONARIO 37
AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretación: Por medio del cuestionario aplicado al proceso DS7-Educar y entrenar a
los usuarios, se logra obtener un porcentaje de riesgo del 8,11% por lo cual se define un
riesgo bajo en el Departamento Nacional de Planeación permitiendo identificar que esta
empresa tiene en cuenta la capacitación de los usuarios para el correcto manejo del
sistema de información fortaleciendo las habilidades del usuario interno controlando así el
riesgo.
Cuadro de controles propuestos para procesos DS5-Garantizar la seguridad de los
sistemas y DS7-Educar y entrenar a los usuarios
PROBABILIDAD IMPACTO
RIESGOS/VALORACIÓN
A M B L M C
Hardware
R1 No monitoreo constante de los equipos de X X
cómputo
R2 No están correctamente documentados los X X
planes de contingencia en caso de pérdidas de
información y copias de seguridad
R3 Falta se sensibilización y capacitación a X X
usuarios del sistema en seguridad y buen uso
informático
R4 Algunos sistemas de información no cifran los X X
datos cuando se están almacenando o
transmitiendo
R5 Modificación sin autorización de los datos, X X
borrado de archivos compartidos o instalación
de software no avalado por el DNP
R6 Ausencia de parches de seguridad y X X
actualizaciones en los equipos con sistemas
operativos como Windows XP declarados en
desuso
R7 El software específico para servicios en X X
algunos casos no está en la última versión
liberada por el proveedor
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
ALTO R3 – R4 – R5
MEDIO R1 - R2 - R6 – R7
BAJO
Tabla Hallazgo 1
REF
HALLAZGO 1
HDNP_01
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 1 DE 2
MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo
DESCRIPCIÓN:
No existe definición de los procesos para perdida de información y respaldo de los
datos.
No se cuenta con políticas claras en la definición de acciones a tomar al momento
de presentarse perdidas de información por falta de copias de seguridad.
Dentro de la compañía no se ha realizado un enfoque más preciso de cuáles pueden ser los
procesos a seguir en caso de pérdidas de información o restablecimiento de copias de
seguridad, es de anotar que es un tema sensible por ponerse en riesgo data confidencial o
información de terceros.
REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP AI2 (Anexo 1)
CONSECUENCIAS:
Debido a la falta de políticas en la generación de las copias de seguridad se
pueden presentar inconvenientes al momento de restablecer los backups de los
sistemas de información que hacen parte de la organización, generando
contratiempos o alteración en la prestación de los servicios.
Como una de las tareas más importantes por parte de la gestión de TI, se encuentra
el gobierno de la información, que incluye el aseguramiento de la calidad y la
definición de los procesos para asegurar la información de la entidad, corriendo
grandes riesgos al no realizarse esta tarea de manera efectiva.
RIESGO:
Probabilidad de ocurrencia: = 15%
Impacto según relevancia del proceso: Bajo
RECOMENDACIONES:
Definir una política clara para el aseguramiento de la información en cada una de
las áreas que componen la organización, categorizando aquella que requiere
mayor nivel de confidencialidad y que es motivo de consulta constante.
Tabla Hallazgo 2
REF
HALLAZGO 2
HDNP_02
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 2 DE 2
MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo
DESCRIPCIÓN:
No existe política de actualización para Software Obsoleto.
No se realiza actualización del software en algunas áreas de la compañía, en
especial de Sistemas de operativos antiguos y que se encuentran fuera de Soporte
por parte del proveedor.
RIESGO:
Probabilidad de ocurrencia: = 30%
Impacto según relevancia del proceso: Medio
RECOMENDACIONES:
Aislar los equipos que puedan comprometer la seguridad de la organización, a fin
de evitar puertas traseras abiertas y que permitan realizar ataques cibernéticos, esta
actividad se debe realizar en aquellos equipos que no es posible realizar una
actualización a las últimas versiones de Software que corresponde.
Anexo 1
El software específico para CORRECTIVO Definir los diferentes acuerdos de servicio para
servicios en algunos casos no que los proveedores puedan entregar las
está en la última versión últimas versiones de las plataformas, a fin de
liberada por el proveedor poder reducir a cero la cantidad de incidencias.
PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C
Software
R1 No monitoreo constante de los equipos de cómputo X X
Seguridad lógica
R2 No están correctamente documentados los planes de X X
contingencia en caso de pérdidas de información y copias de
seguridad
R4 Modificación sin autorización de los datos, borrado de archivos X X
compartidos o instalación de software no avalado por el DNP
Manejo y control de personal
R3 El personal no cuenta con programas de capacitación y X X
formación en seguridad informática y de la información
R8 Perdida de información debido al mal uso del sistema por parte X X
del usuario.
Sistema de Información
R5 Interrupción de la actividad usual del sistema de información X X
Comunicaciones
R6 Propagación de la información privada y de suma importancia X X
Base de datos
R7 Modificación de información primordial en base de datos. X X
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
ALTO R1
MEDIO R2, R3
BAJO R8 R5, R6 R4, R7
Tabla Hallazgo 1
REF
HALLAZGO 1
HDNP_01
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
PROCESO PAGINA
ME1- Monitorear y Evaluar el Desempeño de TI
AUDITADO 1 DE 2
MATERIAL DE
COBIT
SOPORTE
Monitorear y
Monitorear y Evaluar el
DOMINIO PROCESO Desempeño de TI
evaluar (ME)
(ME1)
DESCRIPCIÓN:
No están correctamente documentados los planes de contingencia en caso de
pérdidas de información y copias de seguridad.
Durante la revisión y chequeo del proceso se encontró que no hay documentación sobre
los datos obtenidos frente al alcance o no de las metas propuestas por la organización en
temas de seguridad de la información, adicionalmente los resultados de evaluaciones
realizadas no se encuentran documentados para poder evaluar el cumplimiento de las
acciones de mejora anteriores a este ejercicio, se evidencio que aunque manifestaron tener
planes estos no estaban documentados correctamente o no se hallaron en su momento.
REF_PT:
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 1 DNP ME1 (ANEXO 1)
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 2 DNP ME1
CONSECUENCIAS:
Al no existir una correcta documentación sobre los planes de contingencia y datos
de las revisiones anteriores al sistema de copias de seguridad e información se
desperdicia la labor hecha en etapas anteriores y la claridad para la toma de
decisiones dentro de la organización.
Si no hay documentación, cuando se presente un cambio de personal dentro del
grupo de informática será muy difícil la continuidad del servicio y de que los
nuevos líderes técnicos puedan empalmar rápidamente las labores indicadas
dentro de sus funciones así como evaluar los objetivos propuestos.
RIESGO:
Probabilidad de ocurrencia: = 20%
Impacto según relevancia del proceso: Bajo
RECOMENDACIONES:
Se recomienda revisar cuidadosamente la documentación que se tiene
actualmente a fin de actualizarla, completarla o generarla con cada líder técnico
responsable de los servicios almacenamiento y backups.
Tabla Hallazgo 2
REF
HALLAZGO 2
HDNP_02
ENTIDAD
Departamento Nacional de Planeación DNP
AUDITADA
DESCRIPCIÓN:
El personal no cuenta con programas de capacitación y formación en seguridad
informática y de la información
REF_PT:
EntrevistasFase3_DNP/ Entrevista 1 ME1 (ANEXO 2)
CuestionariosFase3_DNP/ Cuestionario 1 DNP ME3
CONSECUENCIAS:
RIESGO:
Probabilidad de ocurrencia: = 38%
Impacto según relevancia del proceso: Medio
RECOMENDACIONES:
Se recomienda plantear a la subdirección de recursos humanos del DNP, la
habilitación de recursos para capacitación en temas de seguridad
informática y derechos de autor para los funcionarios de la entidad, a su
vez generar campañas de sensibilización a nivel interno aprovechando el
conocimiento que ya se tiene utilizando la intranet y al grupo de
comunicaciones para la difusión de información.
LISTA DE CHEQUEO 2
Sistema de información DNP R/PT
Lista de chequeo LC2
Dominio Monitorear y Evaluar (ME)
Proceso ME1 Monitorear y Evaluar el Desempeño de TI
Objetivo de Control Acciones Correctivas
Cuestionario
Pregunta SI NO N/A
¿Se identifican las medidas correctivas a realizar dentro de los planes x
de trabajo TIC actual?
¿Se cuenta con los registros de monitoreo del desempeño de forma x
accesible para la toma decisiones en un momento dado?
¿Los resultados de evaluaciones realizadas se encuentran documentadas x
para poder evaluar fácilmente acciones de mejora?
¿Existe una asignación clara de responsabilidades por la corrección? x
¿En los procedimientos de revisión de acciones comprometidas se ha x
documentado el rastreo de resultados?
Documentos probatorios presentados:
Plan de acción oficina de informática
Reportes de incidentes categorizados en la herramienta de gestión
Base de conocimiento con casos de aprendizaje
ANEXO 2
ENTREVISTA I REF
001
Departamento Nacional de Planeación ENTREVISTA
ENTIDAD AUDITADA
1 DE 2
ÁREA AUDITADA Sistema de SEVEN
SISTEMA
información
OBJETIVO ENTREVISTA Indagar acerca del Monitoreo y Evaluación del Desempeño
de TI
ENTREVISTADO Hector Mauricio Parra
Cuando se tiene un proceso o servicio dentro de la oficina de informática este tiene una seria de
fase de desarrollo, que están acompañadas por el grupo de proyectos informáticos, desde la fase
de pruebas, pasando por implementación y hasta su ejecución se levantan los indicadores para
poder dar el visto bueno sobre el cumplimiento de los requerimientos.
Existen carpetas de red donde se almacena la información de cada sistema, pero algunos
procesos no están documentados o desconozco donde se encuentra la información, generalmente
solo es visible para algunas áreas o perfiles por lo que es posible que no la vea debido a esta
limitación que se hace por seguridad.
¿Los servicios y aplicativos son evaluados periódicamente a fin de verificar que esté cumpliendo
con lo requerido y estén dentro de la mejora continua?
Actualmente hay aplicativos a los cuales se les hace un seguimiento más minucioso porque son
utilizados por mayor número de usuarios, por este motivo este sistema de información ha tenido
verificación de mejora y cumplimiento de tiempos de respuesta, sin embargo, hay pequeños
sistemas de información que llevan mucho tiempo sin ser evaluados al no tener un impacto tan
grande dentro de la organización.
Juan Camilo Alfonso FECHA 26/10/2017
AUDITORES APLICACIÓN
CUESTIONARIO 1
PREGUNTA SI NO OBSERVACIONES
1. ¿Hay indicadores de desempeño definidos
para los sistemas de información? 5
2. ¿Cuenta con un proceso documentado para 3 Algunos no se encuentran o están
recolectar información oportuna? desactualizados
¿Se tienen en cuenta los indicadores en la 4
toma de decisiones de los SI?
¿Hay registros accesibles de monitoreo 4
del desempeño de forma accesible para
los responsables?
¿Existe una herramienta automatizada para 5
generar reportes de los datos requeridos
de análisis?
¿Hay una asignación de responsabilidades 3
claramente definida respecto a los
indicadores de los SI?
¿Se evidencia alienación de los 3
No es clara la relación en algunos aspectos
indicadores con los objetivos de la
dentro del sistema de información
organización?
¿Las acciones correctivas se han tomado 4
con base en reportes generados?
¿Los sistemas de información son 3
No está totalmente documentado
evaluado a fin de obtener mejora continua
A medida que vamos avanzando en las diferentes bases, logramos estructurar de una
manera más clara los diferentes componentes que se van presentando en una
auditoria de sistemas, y los beneficios que esta trae cuando se sigue rigurosamente.
(Carlos La Serna, 2017).
Para la empresa que estamos trabajando, como grupo hemos podido identificar
algunos riesgos que nos ayudan a hacer una comparación con nuestras actividades
diarias, y la forma en que podríamos atacar estas novedades. (Carlos La Serna,
2017).