Unidad 2 Fase 3 Ejecición de Auditoria V3

Universidad Nacional Abierta y a Distancia Vicerrectoría Académica y de
Investigación
AUDITORIA DE SISTEMAS
Unidad 2 Fase 3 – Ejecución de Auditoria
Estudiante
Rafael Alonso Vergara

José Aldibey Lopez Marroquín
Guiovanni Espinosa Gonzalez
Roberto Andrés de la Vega
Sebastián Pérez Sánchez
GRUPO No. 90168_16
Tutor:
Francisco Nicolas Solarte
Programa Ingeniería de Sistemas
Agosto de 2020
Bogotá D.C,
Tabla De Contenido
1. INTRODUCCIÓN..............................................................................................2
2. Objetivos.............................................................................................................3
1. Diseñar y aplicar los instrumentos de recolección de información
(entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir
vulnerabilidades, amenazas y riesgos para cada proceso asignado...............................6
2. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados
para cada proceso evaluado:........................................................................................10
3. Realizar el análisis y evaluación de riesgos para cada proceso asignado.....11
4. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.....11
5. CONCLUSIONES........................................................................................12
3. Bibliografía........................................................................................................13
1. INTRODUCCIÓN
El desarrollo de una buena auditoria de sistemas se debe identificar claramente cuál será
el área especifica donde se realizara esta, con el desarrollo de la presente actividad
buscamos generar un plan de auditoria para una empresa donde podemos identificar las
vulnerabilidades, amenazas y riesgos a los cuales esta expuesta para lo cual basados en
el manual COBIT se escogieron 4 procesos con los cuales cada uno de los integrantes
del curso desarrollara la metodología para el desarrollo del presente modulo.

2. Objetivos
 Ejecución de manera efectiva del plan de auditoria
 Afianzar conocimientos, así mismos identificar las vulnerabilidades y amenaza y
riesgos que tiene la unidad TICs, y posteriormente crear el plan de auditoria.

EJECUCIÓN DE LA AUDITORIA
RAFAEL VERGARA PO9
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos

Priorizar y planear las actividades de control a todos los niveles para implementar
las respuestas a los riesgos, identificadas como necesarias, incluyendo la
identificación de costos, beneficios y la responsabilidad de la ejecución. Obtener
la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo
residual, y asegurarse de que las acciones comprometidas están a cargo del dueño
(s) de los procesos afectados. Monitorear la ejecución de los planes y reportar
cualquier desviación a la alta dirección.
Formato de fuentes de conocimiento
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE F
FC-
ANALISIS DE AUDITORIA
01
PAGI
ENTIDAD NA
BIENES Y RAICES S.A.S
AUDITADA D
1 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PROCESO PO9.2 Establecimiento del Contexto del Riesgo
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
 La Oficina de Sistemas y
 Criterios contra los Se realiza revision de
Recursos Informáticos cuales se evalúan los documento formal de
Manual de seguridad riesgos. seguridad.
AUDITOR RESPONSABLE:
Rafael Vergara
RE
F FC-
FUENTES DE CONOCIMIENTO, PRUEBAS DE
02
PAGI
ENTIDAD NA
Bienes y Raíces S.A.S
AUDITADA D
2 5
E
PROCESO
Red de Datos
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO PO9.3 Identificación de Eventos
FUENTES DE
APLICABLES
CONOCIMIENTO
 Se tienen identificados
 Manual de política de los eventos (amenzas,
Revision de las
vulnerabilidades) que
seguridad de la información. herramientas del centro
tengan un potencial
 La Oficina de Sistemas y negativo de monitoreo de redes y
sobre las
Recursos Informáticos notificaciones de
operaciones de la
eventos de red.
empresa en el aspecto
tecnoclogico (de red)
Rafael Vergara
RE
F FC-
03
PAGI
ENTIDAD NA
AUDITADA D
3 5
E
PROCESO
Red de Datos
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO PO9.4 Evaluación de Riesgos de TI
FUENTES DE
APLICABLES
CONOCIMIENTO
La Oficina de
Sistemas y Recursos
 Manual de política de Informáticos debe
implantar controles para
seguridad de la información.  Los riesgos
minimizar los riesgos
 La Oficina de Sistemas y identificados son
de seguridad de la
Recursos Informáticos controlados y evaluados.
información
transportada por medio
de las
redes de datos.
Rafael Vergara
RE
F FC-
04
PAGI
ENTIDAD NA
AUDITADA D
4 5
E
PROCESO
Red de Datos
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO PO9.5 Respuesta a los Riesgos
FUENTES DE
APLICABLES
CONOCIMIENTO
 Manual de política de  Procedimiento de La Oficina de
Sistemas y Recursos
respuesta a riesgos el cual
Informáticos (Osiris)
defina estrategias tales
seguridad de la información. para debe implantar controles
evitar, reducir,
para
 La Oficina de Sistemas y compartir o aceptar
minimizar los riesgos
Recursos Informáticos riesgos; determinar
de seguridad de la
(Osiris) responsabilidades y
información
considerar los niveles de
transportada por medio
tolerancia a riesgos.
de las
redes de datos.
Rafael Vergara
RE
F FC-
05
PAGI
ENTIDAD NA
Escuela Col. De Ingeniería Julio Garavito
AUDITADA D
5 5
E
PROCESO
Red de Datos
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PO9.6 Mantenimiento y Monitoreo de un Plan de
PROCESO
Acción de Riesgos
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Manual de política de  Actividades de control La empresa
seguridad de la información. a todos los niveles para establecerá, con la
implementar las Oficina de Sistemas y
La Oficina de Sistemas y respuestas a los riesgos, Recursos Informáticos ,
identificadas como los mecanismos de
Recursos Informáticos necesarias, incluyendo la control necesarios para
identificación de costos, proveer la disponibilidad
beneficios y la de las redes de datos y de
responsabilidad de la los servicios tecnológicos
ejecución que soportan la operación
de la misma; así mismo,
velará para que se tengan
los mecanismos de
seguridad que protejan la
integridad y la
confidencialidad de la
información que se envía
a través de dichas redes
de datos.
Rafael Vergara
Formato lista de chequeo
LISTA CHEQUEO
PROCESO PO9 Evaluar y
DOMINI Planear y Organizar
Administrar los Riesgos
O (PO)
de TI
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo
CONTROL
CONFOR
ME
Nº ASPECTO EVALUADO OBSERVACIÓN
S
NO
I
¿Existe un marco de trabajo de Solo son
evaluación de riesgos, donde se controlados.
1 X
presenten los criterios contra los
cuales se evalúan los riesgos.?
OBJETIVO DE
PO9.3 Identificación de Eventos
CONTROL
¿Se gestionan los eventos
(amenzas, vulnerabilidades) que
2 X
pueden ser identificados en la red de
datos?
OBJETIVO DE
PO9.4 Evaluación de Riesgos de TI
CONTROL
¿Se evalua de forma recurrente la
probabilidad e impacto de todos los
riesgos identificados, usando métodos
3 X No son evaluados.
cualitativos y cuantitativos y la
probabilidad e impacto asociados a
los riesgos.?
OBJETIVO DE
PO9.5 Respuesta a los Riesgos
CONTROL
4 ¿Existe un proceso de respuesta a X
riesgos identificados en la red de
datos?
OBJETIVO DE PO9.6 Mantenimiento y Monitoreo de un Plan de
CONTROL Acción de Riesgos
¿Existen actividades de control a
todos los niveles para implementar las
respuestas a los riesgos en la red de
5 datos, identificadas como necesarias, X
incluyendo la identificación de costos,
beneficios y la responsabilidad de la
ejecución?
Formato de entrevista
ENTIDAD Bienes y Raíces S.A.S PAGIN

AUDITADA A
1 D 1
E
OBJETIVO Evaluar el grado de madurez para la evaluacion y administración
AUDITORÍA de los riesgos en la red de datos.
PROCESO P09. Evaluar y Administrar los Riesgos de TI
AUDITADO
MATERIAL DE SOPORTE COBIT
DO Planear y Organizar (PO) PROCES P09. Evaluar y Administrar los
MINIO O Riesgos de TI:
ENTREVISTAD
O
CARGO Administrador de red
Tema 1: El inventario hardware de redes, depreciación de equipos y cableado
estructurado
1. ¿Existe un inventario de dispositivos de red con su correspondiente topologia?
_______________________________________________________________
2. ¿Se tienen contratos con proveedores con clausulas de renovacion de equipos y

manteniemiento a cableado estructurado?
______________________________________________________________
Tema 2: Cumplimiento a normas de cableado estructurado y seguridad de
acceso a los elementos de red
1. ¿El cableado estructurado maneja y tiene las ultimas normas y protocolos?

_______________________________________________________________
2. ¿Existen políticas para la seguridad en el acceso de dispositivos externos de red?

________________________________________________________________
Tema 3: Administración de usuarios y seguridad en la red
1. ¿Se cuenta con software especializado para el monitoreo de acceso de usuarios a la

red?
________________________________________________________________
2. ¿Los protocolos de seguridad de la red estan debidamente documentados y con el

acceso a todo el personal involucrado?
__________________________________________________________________
__
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
Formato de Cuestionario

Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso P09. Evaluar y Administrar los Riesgos de TI
Pregunta S N OBSERVACION
i o ES
¿Se tienen identificados los tipos riesgos que se 4
pueden presentar en la red de datos?
¿Existen controles en la red de datos para minimizar 5
los riesgos de seguridad de informacion que se
transporta por este medio?
¿Se realizan analisis de riesgos identificados 3
periodicamenteen la red de datos?
¿Se maneja o se realiza la gestion a los riesgos 5
identificados dando respuesta o generando planes de
acción para mitigarlos?
¿Se tienen identificados mecanismos de seguridad en 4
la red de datos con niveles de servicio optimos?
¿Se monitorean los planes de acción asociados a los 4
riesgos identificados?
TOTALES 1 1
3 2
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se está indagando, entre mas alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

indagará.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (13 * 100) / 25 = 52

Porcentaje de riesgo = 100 – 52 = 48
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente
categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: ¿ 52%

Porcentaje de riesgo = 48%
Impacto según relevancia del proceso: Riesgo Medio
MATRIZ DE RIESGOS
3.
Zona de Zona de Zona de riesgo
Alto Riesgo riesgo Inaceptable
61- Moderado Importante
100%
Medio Zona de Zona de Zona de riesgo
31-60% riesgo riesgo Importante

PROBABILIDAD
Tolerable Moderado
Bajo Zona de Zona de Zona de riesgo
0-30% riesgo riesgo Moderado
Aceptable Tolerable
Leve Moderado Catastrófico
IMPACTO
RESULTADO MATRIZ DE RIESGOS PARA RED DE DATOS

PROBABILIDAD
R4
Alto
61-
100%
Medio R3
31-60%
Bajo R1,R5 R2
0-30%
Leve Moderado Catastrófico
IMPACTO
4. CUADRO DE TRATAMIENTO DE RIESGOS
ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 Establecimiento del Contexto del Riesgo Aceptarlo
en la Red de Datos
R2 No Identificación de Eventos en la Red Aceptarlo
de Datos
R3 Evaluación de Riesgos de TI en la Red Controlarlo
de Datos
R4 Respuesta a los Riesgos en la Red de Controlarlo
Datos
R5 Mantenimiento y Monitoreo de un Plan Aceptarlo
de Acción de Riesgos en la Red de Datos
JOSE ALDIBEY LOPEZ
FORMATO DE FUENTES DE CONOCIMIENTO
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y

PRUEBAS DE ANALISIS Y EJECUCCIÓN
REF
FC0
2
PAGIN
ENTIDAD A
BIENES RAICES S.A.S
AUDITADA D
1 1
E
PROCESO
Entregar y Dar Soporte
AUDITADO
RESPONSABLE JOSE ALDIBEY LOPEZ MARROQUIN
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS5 Garantizar la Seguridad de los Sistema
DS5.1 Administrar seguridad TI:
DS5.2 Plan de Seguridad de TI:
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario:
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
PROCESO
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de llaves criptográficas
DS5.09. Prevención de software malicioso
detección y corrección.
DS5.10. Seguridad de Red

DS5.11 Intercambio de Datos Sensitivos
FUENTES DE
APLICABLES
CONOCIMIENTO
- Prueba de
- Juan Carlos Ortiz Pérez - Si existe protocolo continuidad del
(Jefe TI) de administración negocio.
de TI implementado - Pruebas en los
en la organización. sistemas
Soportes - No existe protocolo respecto la
claro de gestión de asignación de los
documentales: incidentes usuarios.
informáticos, - Pruebas a la red
manifiestan que que cuenta la
nunca se han empresa bienes
- Protocolo de presentado eventos. raíces.
administración TI. - El protocolo de - Pruebas para
- Protocolo de atención de asignación de conocer el nivel
usuarios esta de apropiación
incidentes informáticos. implementado pero
- Protocolo de asignación no cumple con
de usuarios. aspectos puntuales
- Manual se seguridad de en materia de
del SGSI de los
la información. accesos a
empleados.
documentos es
- Diagramas de red de la
decir un usuario
empresa. puede acceder casi
a todo lado.
.
JOSE ALDIBEY LOPEZ MARROQUIN
LISTA DE CHEQUEO
Lista chequeo aplicado al proceso DS5: Garantizar la Seguridad de los

Sistema
LISTA CHEQUEO
DS5: Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO Seguridad de los
(DS5)
Sistema
DS5.1 Administrar seguridad TI:
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario:
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
OBJETIVO DE
DS5.6 Definición de Incidente de Seguridad
CONTROL
DS5.09. Prevención de software malicioso
detección y corrección.
DS5.10. Seguridad de Red
CONFOR
ME
Nº ASPECTO EVALUADO S N OBSERVACIÓN
I O
¿Existe protocolo en materia de
1 seguridad de TI, que este alineado x
a los requerimientos del negocio?
OBJETIVO DE
CONTROL
¿Existe un marco de referencia
de los requerimientos del negocio
2 x
en materia de riegos y cultura de
seguridad TI?
¿Esta implementado en las
políticas y procedimientos de
2.1. seguridad las inversiones x
apropiadas en personal, hardware
y software?
OBJETIVO DE
DS5.3 Administración de Identidad:
CONTROL
¿Existe un protocolo de
identificación única para el ingreso
3 x
del personal interno, externo y
temporales que trabajen en TI?
¿Hay algún permiso de acceso
a los usuarios respecto al sistema
2.1 x
de datos, están estos alineados a
las necesidades de la empresa?
OBJETIVO DE
DS5.4 Administración de Cuentas del Usuario
CONTROL
¿Existe procedimiento para el
establecimiento, emisión, emisión
4 suspensión, modificación y cierre x
de cuentas de usuario así, como
lo privilegios?
OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la
CONTROL Seguridad
¿Existe un plan de acción para
mitigar los riesgos de la
5 x
infraestructura tecnológica de
forma segura?
OBJETIVO DE DS5.6 Definición de Incidente de Seguridad
CONTROL
¿Existe un procedimiento para
6 x
la gestión de incidentes TI?
OBJETIVO DE
CONTROL
¿Existe la configuración a nivel
7 de hardware y software para x
resistir a un ataque?
OBJETIVO DE
CONTROL
¿Existen uso de llaves
criptográficas para garantizar la
8 protección de las llaves contra x
modificaciones o divulgaciones no
autorizadas?
OBJETIVO DE DS5.09. Prevención de software malicioso
CONTROL detección y corrección.
¿Existen medidas preventivas
detectivas y correctivas en el
9 x
firewall, dispositivos de control de
virus actualizado?
OBJETIVO DE
CONTROL
¿Esta implementado un canal
10 seguro para el intercambio de x
información sensible?
ENTREVISTA
Entrevista proceso DS5: Garantizar la Seguridad de los Sistema
REF: E1
ENTIDAD BIENES RAICES S.A.S PAGIN

AUDITADA A
1 D 1
E
OBJETIVO Conocer cómo se garantiza Garantizar la Seguridad de los
AUDITORÍA Sistemas en la empresa Bienes Raíces S.A.S.
PROCESO DS5: Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABL JOSE ALDIBEY LOPEZ MARROQUIN
E
DO Entregar y Dar Soporte PRO Garantizar la Seguridad de los
MINIO CESO Sistemas
ENTREVISTADO Juan Carlos Ortiz Pérez

CARGO Jefe de TI
Garantizar la Seguridad de los Sistemas
3. ¿indique su nivel de escolaridad?

Respuesta: Soy ingeniero de sistemas certificado en redes cisco.
4. ¿Qué cargo y función desempeña en la empresa bienes raíces?
Respuesta: actualmente soy el encargado del área de tecnología de la
empresa.
5. ¿Cuantas personas trabajan en el área de TI? ¿todos son capacitados para
asumir tal función?
Respuesta: somos 05 personas inclusive, 01 ingeniero en sistemas, 02
tecnólogos en redes, 02 técnicos en sistemas.
6. ¿fue capacitado para asumir ese cargo y funciones?
Respuesta: si, somos altamente capacitados en el manejo de los
sistemas computaciones de esta empresa.
7. ¿sabe usted si existe un protocolo de identificación única para el personal
externo interno y visitante al área de TI?
Respuesta: que tenga entendido no hay implementado eso.
8. Que funciones desempeñan y a que sectores tiene acceso cuando ingresan
personas externas?
Respuesta: ellos se hacen en un espacio de mi oficina usualmente
ingresan personas o contratistas que vienen a hacer mantenimiento
preventivo y correctivo de los servidores.
9. Ante un eventual riego que plan de acción para mitigar el mismo, tienen
implementado la organización
Respuesta: al momento no ha pasado nada pero se llamaría a la
empresa de soporte para que solucione el problema.
10. Existe un procedimiento de atención de incidentes?
Respuesta: no porque nunca ha pasado nada en la empresa.
11. Se utiliza canal seguro para compartir información sensible de la
organización?
Respuesta: la información se entrega a la persona que la requiera
depende lo que sea, puede ser por correo electrónico o unidad de
almacenamiento.
___________________________ ___________________________
JUAN CARLOS ORTIZ PÉREZ JOSE ALDIBEY LOPEZ MARROUIN
JEFE TI / BIENES RAICES S.A.S AUDITOR SUPLENTE
CUESTIONARIO
Pregunta S N OBSERVACI
i o ONES
¿Existe protocolo en materia de seguridad de 2
TI, que este alineado a los requerimientos del
negocio?
¿Existe un marco de referencia de los 3
requerimientos del negocio en materia de riegos y
cultura de seguridad TI?
¿Esta implementado en las políticas y 3
procedimientos de seguridad las inversiones
apropiadas en personal, hardware y software?
¿Existe un protocolo de identificación única 5 No, existe un
para el ingreso del personal interno, externo y protocolo de
temporales que trabajen en TI? identificación de
los usuarios que
ingresan a el
área TI
¿Hay algún permiso de acceso a los usuarios 2
respecto al sistema de datos, están estos
alineados a las necesidades de la empresa?
¿Existe procedimiento para el establecimiento, 2
emisión, emisión suspensión, modificación y cierre
de cuentas de usuario así, como lo privilegios?
¿Existe un plan de acción para mitigar los 5 No, existe
riesgos de la infraestructura tecnológica de forma plan de acción
segura? para
contrarrestar
riesgos
¿Existe un procedimiento para la gestión de 5 No,
incidentes TI? manifiestan que
nunca ha
pasado.
¿Existe la configuración a nivel de hardware y 3
software para resistir a un ataque?
¿Existen uso de llaves criptográficas para 2
garantizar la protección de las llaves contra
modificaciones o divulgaciones no autorizadas?
¿Existen medidas preventivas detectivas y 3
correctivas en el firewall, dispositivos de control de
virus actualizado?
¿Esta implementado un canal seguro para el 3
intercambio de información sensible?
¿Indique su nivel de escolaridad? 4
¿Qué cargo y función desempeña en la 4
empresa bienes raíces?
¿Cuantas personas trabajan en el área de TI? 3

¿Todos son capacitados para asumir tal función?
¿Fue capacitado para asumir ese cargo y 2

funciones?
¿Sabe usted si existe un protocolo de 5 No existe

identificación única para el personal externo protocolo esto
interno y visitante al área de TI? puede generar
una grave
afectación a los
activos de
información de la
empresa.
Que funciones desempeñan y a que sectores 3
tiene acceso cuando ingresan personas externas?
Ante un eventual riego que plan de acción para 2
mitigar el mismo, tienen implementado la
organización
Existe un procedimiento de atención de 5 No, existe

ningún plan para
incidentes?
mitigar riesgos,
puesto que no se
han presentado
manifiesta
Se utiliza canal seguro para compartir 5 No, la
información se
información sensible de la organización?
transfiere por
correo
electrónico.
TOTALES 4 3
1 0
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.
El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (41 * 100) / 71 = 57.74

Porcentaje de riesgo = 100 – 57.74 = 42.26
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente
categorización:

RIESGO:
Porcentaje de riesgo parcial: ¿ 57.74 %

Porcentaje de riesgo = 42.26
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS
IMPACTO
NIVE DESCRIPTO
DESCRIPCIÓN
L R
Si el hecho llegara a
1 Insignificante presentarse, tendría consecuencias
o efectos mínimos sobre la entidad
2 Menor presentarse, tendría bajo impacto o
efecto sobre la entidad
presentarse, tendría medianas
3 Moderado
consecuencias o efectos sobre la
entidad
presentarse, tendría altas
4 Mayor
entidad
presentarse, tendría desastrosas
5 Catastrófico
entidad
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
No se ha
El evento puede ocurrir
presentado en
1 Raro sólo en circunstancias
los últimos 5
excepcionales
años
Se ha
presentado al
El evento puede ocurrir en
2 Improbable menos 1 vez en
algún momento
los últimos 5
años
Se ha
presentado al
3 Posible menos de 1 vez
algún momento
en los últimos 2
años
Se ha
El evento probablemente
presentado
4 Probable ocurrirá en la mayoría de las
al menos 1 vez
circunstancias
en el último año
Se espera que el evento Se ha
5 Casi Seguro ocurra en la mayoría de las presentado más
circunstancias de 1 vez al año
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Impact Probabilidad

o
R No existe un protocolo de identificación única para 3 4
1 el ingreso del personal interno, externo y temporales
que trabajen en TI
R Falta de conocimiento de los usuarios en el tema 3 3
2 de seguridad informática y de la información
R Validación de las funciones y roles para generación de 4 4
3 permisos de acceso a la información.
R No, existe un plan de acción para mitigar los riesgos de la 5 4

4 infraestructura tecnológica de forma segura.
R No, existe un procedimiento para la gestión de 5 4
5 incidentes TI
R No, esta implementado un canal seguro para el 3 2
6 intercambio de información sensible.
R Ingreso a zonas restringidas controlado 3 4
7
MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILID
AD Insignifican Men Modera May Catastrófi
te (1) or (2) do (3) or (4) co (5)
Raro (1)
Improbable (2)
Posible (3) R2 R1 R5
Probable (4) R3 R4
Casi Seguro
R7 R6
(5)
CUADRO DE TRATAMIENTO DE RIESGOS

Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo
R2 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
R1 Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
R3,
R4, Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o
R5,R6,R7 transferir
GIOVANNI ESPINOSA.
A continuación, se describen los elementos empleados para identificar y recolectar la
información del dominio Planeación y Organización del proceso PO2 definir la
arquitectura de la información
FORMATO DE FUENTES DE CONOCIMIENTO
FUENTES DE CONOCIMIENTO, PRUEBAS DE REF

FC0
1
PAGI
ENTIDAD NA
Bienes Raíces S.A.S
AUDITADA D
1 1
E
PROCESO Revisión del los roles y permisos para el Ingreso de
AUDITADO información a la base de datos
RESPONSABLE Guiovanni Espinosa
MATERIAL DE
COBIT
SOPORTE
DOMINIO PO Planeación y Organización
PROCESO PO2: Definir la Arquitectura de la Información
FUENTES DE
APLICABLES
CONOCIMIENTO
Manuales de
creación de Verificar que se

Solicitar al
tenga acceso a la
administrador de base
usuarios base de datos con
de datos el listado de
super usuario
usuarios que realizan
procesos y su
Tomar al azar un
responsable
Manual de roles usuario y validar los
permisos dentro de la
Solicitar el listado de
y permisos de usuarios de aplicación aplicación
con los permisos o
usuarios Probar que
roles
solamente los
usuarios con permiso
Solicitar el listado de
ingresen al servidor
usuarios de directorio
Flujograma de activo de base de datos
procesos de TI
Guiovanni Espinosa
LISTA CHEQUEO
PO2 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
OBJETIVO DE PO2.1 Modelo de Arquitectura de Información
CONTROL Empresarial
CONFOR
ME
Nº ASPECTO EVALUADO S N OBSERVACIÓN
I O
¿Existe un modelo de
desarrollo de aplicaciones en la
1 X
empresa que comparta
información entre áreas?
¿existe un modelo de
2 continuidad de negocio referente X
al uso de las bases de datos?
OBJETIVO DE PO2.2 Diccionario de Datos Empresarial y Reglas
CONTROL de Sintaxis de Datos:
¿Cuentan con diccionario de
datos o procesos que les permita
3 x
identificar la información
corporativa?
OBJETIVO DE
PO2.3 Esquema de Clasificación de Datos
CONTROL
¿tienen identificada la
4 información sensible de la x
compañía?
¿tienen recursos compartidos
Hay recursos
con la información sensible, con
5 x compartidos de acceso
roles y permisos definidos para su
libre
consulta y extracción?
¿tienen procedimientos para
6 realizar destrucción o políticas de x
retención de información?
OBJETIVO DE
PO2.4 Administración de Integridad:
CONTROL
¿tienen procedimientos y
controles para definir que personal
7 x
puede ingresar a las bases de
datos?
¿se documentan los cambios
de roles y permisos de los
8 usuarios que tienen accesos a los x
recursos compartidos y bases de
datos?
Entrevista proceso PO2
Bienes Raíces S.A.S PAGIN

ENTIDAD A
AUDITADA 1 D 1
E
OBJETIVO Verificar si se tiene identificada la información sensible de la
AUDITORÍA compañía y que trato se le da
PROCESO PO2 Definir la Arquitectura de la Información
AUDITADO
RESPONSABL GUIOVANNI ESPINOSA
E
DO Planear y Organizar PRO PO2: Definir la Arquitectura de la
MINIO CESO Información
ENTREVISTADO Pablo Arias

CARGO DBA
Tema 1: controles existentes en el manejo de la información
12. ¿Se cuenta con un sistema tecnológico donde se almacene la información

que necesita la empresa para prestar sus servicios?
La empres cuenta con un ERP que es donde se registra toda la

información contable y comercial y un servidor FTP donde se almacena
documentación de clientes, proveedores y terceros en formato PDF o JPG
13. ¿a este tipo de información puede acceder cualquier funcionario de la
empresa?
Solo pueden acceder a esta información las personas que tengan
asignado un usuario de la aplicación con roles específicos, ya sea de
consulta o de modificación
14. ¿Quiénes son los encargados de ingresar la información en el sistema y
con qué frecuencia se realiza?
Principalmente son los analistas contables o personal del área comercial
quienes realizan el proceso y se esta ingresando información diariamente
15. ¿esta información es compartida con las áreas de la compañía o con
alguna entidad externa para ser consultada o modificada?
La información no se comparte a terceros, ni la aplicación ni el servidor
ftp están publicados en internet todo se hace de forma interna o los
funcionarios se conectan por VPN si no se encuentran en la oficina
16. ¿el almacenamiento de la información se realiza dentro de las instalaciones
de la empresa o de forma externa?
Dentro del centro de datos de la empresa están instalados el servidor
FTP y el servidor de base de datos
17. ¿se realizan copias de seguridad a la información? ¿si es así donde se
almacenan estas copias?
Se realizan copias de seguridad mensualmente de los servidores y se
guardan en discos duros portables en custodia del director de TI
CUESTIONARIO
Medios de almacenamiento y de acceso a la información

Cuestionario de Control: C1
Dominio Planeación y Organización
Proceso PO2: Definir la Arquitectura de la Información
Pregunta S N OBSERVACI
i o ONES
¿conoce que información es clave para el 4
funcionamiento de la empresa?
¿se cuenta con instructivos que indiquen como 4
se debe acceder a la información y como debe ser
consultada?
¿se asigna permisos sobre los usuarios para 5

conectarse a los recursos compartidos?
¿se tiene control sobre los accesos que realizan 4 Sobre las
los usuarios a los recursos compartidos o a las bases de datos
bases de datos? si, en recursos
compartidos no
¿tienen control de quien consulta las copias de No se
seguridad que se generan de la información? contesta ya que
las copias están
en custodia del
director de TI
¿se han realizado pruebas de restauración de 5
las copias de seguridad de la información?
¿los puertos y unidades de almacenamiento de 5 El antivirus
los computadores tienen algún tipo de control para tiene políticas de
evitar que sea extraída información? bloqueo de
recursos
¿el ingreso al centro de computo de la empresa La respuesta
es controlado? la debe brindar
el ingeniero de
infraestructura
¿las copias de seguridad de la información son 4 Las copias
custodiadas de forma segura previniéndolas de reposan en la
desastres o hurtos? caja fuerte de la
compañía
¿en caso de pérdida o eliminación de 4 Mucho tiempo
información las copias de seguridad garantizan la entre copias
continuidad de negocio?
TOTALES 1 2
3 2
Porcentaje de riesgo parcial = (13 * 100) / 35 = 37.14

Porcentaje de riesgo = 100 – 37.14 = 62.85
RIESGO:
Porcentaje de riesgo parcial: ¿ 37,14 %

Porcentaje de riesgo = 62.85%
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE

RIESGOS
IMPACTO
NIVE DESCRIPTO
DESCRIPCIÓN
L R
1 Insignificante presentarse, tendría consecuencias
o efectos mínimos sobre la entidad
2 Menor Si el hecho llegara a
presentarse, tendría bajo impacto o
efecto sobre la entidad
presentarse, tendría medianas
3 Moderado
entidad
presentarse, tendría altas
4 Mayor
entidad
presentarse, tendría desastrosas
5 Catastrófico
entidad
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
No se ha
El evento puede ocurrir
presentado en
1 Raro sólo en circunstancias
los últimos 5
excepcionales
años
Se ha
presentado al
2 Improbable menos 1 vez en
algún momento
los últimos 5
años
Se ha
presentado al
3 Posible menos de 1 vez
algún momento
en los últimos 2
años
Se ha
El evento probablemente
presentado
4 Probable ocurrirá en la mayoría de las
al menos 1 vez
circunstancias
en el último año
Se espera que el evento Se ha
5 Casi Seguro ocurra en la mayoría de las presentado más
circunstancias de 1 vez al año
ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impact Probabilidad
o
R Capacitaciones al personal sobre el uso y acceso 3 4
1 a la información corporativa
R Validación de las funciones y roles para generación de 4 4
2 permisos de acceso a la información
R Monitoreo y revisión de logs de eventos de los 4 5

3 servidores o base de datos
R Bitácoras de entrega de información a funcionarios de 3 2

4 medios de seguridad
R Pruebas de restauración de información y copias de 4 4

5 seguridad
R Ingreso a zonas restringidas controlado 2 4

6
R Clasificación de información sensible y obsoleta de forma 3 3
7 periódica
R Generación de políticas de acceso a la red y recursos 3 4
8
R Eliminación de usuarios y grupos obsoletos 1 3
9
MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILID
AD Insignifican Men Modera May Catastrófi
te (1) or (2) do (3) or (4) co (5)
Raro (1)
Improbable (2) R4
Posible (3) R9 R7
R2,
Probable (4) R6 R1,R8
R5
Casi Seguro
R3
(5)
CUADRO DE TRATAMIENTO DE RIESGOS

R9 Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo
R4, Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
R1,R6,R7,R Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o
8 transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o
R2,R3,R5 transferir
ROBERTO ANDRES DE LA VEGA

SEBASTIÁN STIVENN PÉREZ SÁNCHEZ
FORMATO ENTREVISTA
Las entrevistas pueden ser aplicadas al inicio para conocer aspectos
generales de los procesos que se van a evaluar, generalmente las entrevistas
recogen la opinión de algunas de las personas que conozcan el proceso y que
me puedan responder con claridad las preguntas que se hayan preparado para
la entrevista.
Es importante determinar a quienes se aplicará la entrevista y los
cuestionarios, ya que no se pueden aplicar a todos los auditados sino
solamente al personal que conozca los aspectos que se vayan a evaluar.
Para la entrevista se debe determinar primero los temas sobre los cuales va
a girar la entrevista y en cada uno de los temas se debe elaborar preguntas
puntuales con la intención de descubrir más riesgos de los que ya se han
encontrado en las visitas realizadas a la empresa auditada.
REF
ENTIDAD Bienes y Raíces S.A.S PAGINA

AUDITADA 1 D 1
E
OBJETIVO Conocimientos previos de tecnología
AUDITORÍA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABLE Sebastián Stivenn Pérez Sánchez
DOMINIO PROCESO
ENTREVISTADO
CARGO
18. Que conocimientos tiene usted sobre manejos y cuidados de los sistemas
informáticos
_________________________________________________________
19. Tiene usted conocimiento sobre que tipo de contraseñas que de debe usar
a la hora de tener un usuario de dominio, correos y aplicativos
_________________________________________________________
20. ¿sabe usted qué tipo de PC tiene que utilizar para desarrollar un buen
trabajo en la empresa?
_____________________________________________________________
21. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
__________________________________________________________
22. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o
Móvil?
_____________________________________________________________
23. ¿Qué conocimientos tiene usted sobre manejo de impresora?
__________________________________________________________
24. ¿Ud. Ha recibido asesoramiento o capacitación sobre el manejo de sobre
el manejo de seguridad en su pc ?
_____________________________________
__________________________ ________________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA
Entrevista: Evaluar y administrar los riesgos de TI
ENTREVISTA
DOMINIO Planear y PROCESO PO9 Evaluar y
administrar los
Organizar (PO)
riesgos de TI
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿La empresa cuenta con
manuales de administración de
software de la empresa?
¿Se realiza la evaluación de
los riesgos que pueden afectar la
1 infraestructura tecnológica de la
empresa, mediante la utilización
de una metodología?
¿Se utilizan métodos
cualitativos o cuantitativos para
medir la probabilidad e impacto
2
de los riesgos que pueden
afectar la infraestructura
tecnológica?
¿Se cuenta con un sistema de
control para mitigar los riesgos
que pueden afectar la
infraestructura tecnológica de la
empresa frente a las
3
vulnerabilidades y amenazas,
que vulnerabilidades y amenazas
son las más frecuentes?, se
realiza monitoreo periódico de
riesgos?.
Lista chequeo: Evaluar y administrar los riesgos de TI
LISTA CHEQUEO
PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI
OBJETIVO DE PO9.1 Marco de trabajo de administración de
CONTROL riesgos:
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Hay un balance óptimo de
tecnología de información para
1 asegurar el software de la
empresa a futuro con las
vulnerabilidades que presente?
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo:
CONTROL
2 ¿Qué riesgos que pueden
afectar la infraestructura
tecnológica mediante la utilización
de una metodología?
OBJETIVO DE
PO9.3 Identificación de eventos:
CONTROL
¿Qué actualización se lleva en
3 temas de infraestructura
tecnológica?
OBJETIVO DE
PO9.4 Evaluación de los riesgos de TI:
CONTROL
¿Qué procedimientos se toman
en Acceso no autorizado por parte
4
de terceros y/o hackers.
Infraestructura tecnológica?
OBJETIVO DE
PO9.5 Respuesta a los riesgos:
CONTROL
¿Qué mediadas toman
mediante las vulnerabilidades que
5
presenta la empresa en temas de
Infraestructura tecnológica?
OBJETIVO DE PO9.6 Mantenimiento y monitoreo de un plan de
CONTROL acción de riesgos:
¿Se monitorea el plan de
6 acción en contra de los riesgos de
la infraestructura tecnológica?
Que software majean con la
7
vulnerabilidades presentadas en
infraestructura tecnológica
Cuestionario: Evaluar y administrar los riesgos de TI
CUESTIONARIO REF
ENTIDAD Bienes y Raíces S.A.S PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnológica
AUDITADO
RESPONSABL Sebastián Stivenn Perez Sanchez
ES
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Planear y PROCE PO9 Evaluar y administrar
Organizar (PO) SO los riesgos de TI
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Existe un marco de referencia
para la evaluación sistemática de
los riesgos a los que está expuesta
la infraestructura tecnológica de la
institución?
2 ¿Se realiza la evaluación de los
riesgos que pueden afectar la
infraestructura tecnológica mediante
la utilización de una metodología?
3 ¿Se realiza actualización de los
diferentes tipos de riesgos que
pueden afectar la infraestructura
tecnológica?
4 ¿Se utilizan métodos cualitativos
o cuantitativos para medir la
probabilidad e impacto de los
riesgos que pueden afectar la
infraestructura tecnológica?
5 ¿Existe un plan de acción para
mitigar los riesgos de la
infraestructura tecnológica de forma
segura?
6 ¿Se monitorea el plan de acción?
TOTAL 0
TOTAL CUESTIONARIO
Porcentaje de riesgo parcial =
Porcentaje de riesgo total =
PORCENTAJE RIESGO
1. Diseñar y aplicar un conjunto de pruebas que permitan
confirmar las vulnerabilidades, amenazas y riesgos
detectados con los instrumentos de recolección de
información.
Dentro de las pruebas y papeles de trabajo se requiere validar red
topológicamente como está constituida, que tipos de canales están
manejando a nivel de servidores como de usuario final, así mismo, se
recolectara información de sistemas operativos tanto de servidores
como de computadores de usuario final con fines de verificación de
licenciamiento y soporte de los software obtenidos
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes.

- La obsolescencia del hardware y cableado estructurado.
- El cumplimiento de la norma de cableado estructurado.
- La seguridad en la red de datos.
- La administración de los usuarios en la red.
De los usuarios se evaluará:
- La competencia de los usuarios en el manejo de la tecnología.

- La formación de cada uno de los usuarios respecto al cargo
desempeñado.
- La experiencia de los usuarios.
- Los programas de capacitación de los usuarios de la tecnología.
Información de los computadores y servidores con fin de validar
hardware y tiempo de vida:
 Solicitar documentación de tiempo de vida servidores.

 Solicitar documentación de tiempo de vida computadores.
 Realizar una entrevista inicial con el encargado de administrar
la red.
 Conocer los problemas más frecuentes de hardware en
servidores y computadores.
 Solicitar información de los usuarios tipo de roles q manejan.
 Solicitar un informe de las capacitaciones realizadas en el
manejo de tecnología y de los sistemas.
Algunos de los ítems a validar de la red topológicamente será
verifica como está constituida, que tipos de canales están manejando
a nivel de servidores como de usuario final:
 Solicitar la documentación de los planes de la red.

 Solicitar el inventario del hardware de las redes.
 Realizar una entrevista inicial con el encargado de
administrar la red.
 Conocer los problemas más frecuentes en la red por parte de
los usuarios.
Con la recolección de información de los sistemas operativos tanto
de servidores como de equipos de cómputo de los diferentes
usuarios, se tendrá como objetivo la verificación de licenciamiento y
soporte de software entre los cuales podemos mencionar:
 Solicitar la documentación de los sistemas operativos

obtenidos bien sea de desarrollo propio.
 Solicitar la documentación de software contable q manejan y
tipo de soporte.
 Entrevistar a usuarios calves para conocer la opinión acerca
de los programas de formación y capacitación.
 Solicitar un informe de las capacitaciones realizadas en el
manejo de tecnología y de los sistemas.
2. Elaborar un cuadro de las vulnerabilidades, amenazas y

riesgos detectados para cada proceso evaluado.
ITE VULNERABILIDAD AMENAZA RIESGO

M
1 Falta de Error en la Pérdida de
conocimientos en los generación de la ingresos para la
proceso del área facturación compañía.
2 Fallas en el logueo Intrusión al Robo de
de acceso al sistema sistema de tesorería información vital
de personal no de los procesos
autorizado contables.
3 Deficiencia en la Falta de Generación de
conectividad del información contable pagos incorrectos
aplicativo. en los registros de al personal y/o
nómina. proveedores.
4 Información Almacenamiento Generación de

incompleta en alguno de información factura errónea
de los ítems que inconclusa de la según servicio
componen la factura. factura. y/o bien
prestado.
5 Agotamiento de los Ilegibilidad y/o Recaudo de
toners. falencia en entrega fondos en las
de la factura. fechas
establecidas.
6 Acceso digital no Cambio en la Perdida de los
autorizado por configuración de los paquetes de
personal externo. puertos de acceso datos para el
por la red LAN. funcionamiento
de la compañía
7 Spam de marketing Indisponibilidad de Cierre de
no deseado. las líneas telefónicas negocios con
a los diferentes futuros clientes
clientes y/o y/o proveedores.
proveedores.
8 Congestión en los Caída del canal de Perdida de
canales de comunicación. información y/o
comunicación de la indisponibilidad
compañía. de los servicios.
9 Acceso no Infección de Robo de
autorizado por parte equipos de información y
de terceros y/o comunicaciones y data de vital
hackers. aplicativos. importancia para
la compañía.
10 Baja configuración Ingreso de Daño en los
en usuarios con personal ajeno a la servidores, bases
conexión. compañía. de datos,
aplicaciones y
demás
ocasionando
grandes pérdidas.
11 Falta de control del Daños y robo en Perdida de
personal que accede a las instalaciones de información y
las instalaciones. la compañía. activos que se
necesitan para la
operación y
prestación de los
servicios.
12 No se tiene control Ingreso y uso no Daños y
sobre el uso de adecuado de los pérdida de
aplicativos y recursos de la información por
permisos. compañía. parte de personal
no autorizado.
13 Acceso no Denegación de los Incidentes
autorizado por parte servicios de relacionados con
de terceros. autenticación a los la prestación de
aplicativos e ingreso servicios.
a los equipos.
14 Altibajos Bajo desempeño Baja

emocionales y presión en las funciones productividad en
laboral. establecidas. la línea
organizacional.
15 Ingreso a páginas Descarga e Afectación y/o
de redes sociales no instalaciones de daño de los
autorizadas. Malware. equipos del área.
3. Realizar el análisis y evaluación de riesgos para cada

proceso asignado.
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Equipos computo obsoletos x x
R2 Equipos pc sin ningún tipo de x x
mantenimiento
R3 Equipos pc en mal estado y en x x
el piso
Redes
R4 Cableados red no x x
estructurados
R5 Cableado red en mal estado x x
R6 Rac en mal estado y x x
desorganizado
R7 Swicht red en mal estado x x
R8 Cableado categoría 5 y con x x

switch 10/100
software
R9 Equipos con versiones XP x x
R10 Equipos con Windows ilegal y x x
sin antivirus
Infraestructura
R11 Cableado de red sin canaleta x x
R12 Cableado eléctrico mal X x
ubicado, sin aislante
R13 Cableado de red al sol y a la X x
mano
R14 Muebles no actos para x x
usuarios de pc
R15 No se cuenta con planes de x x
contingencia en caso de una
catástrofe o siniestro para
salvaguardar la infraestructura
R16 Equipos por fuera del dominio x x
de RED
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
4. Elaborar la matriz de riesgos de cada proceso evaluado.
LEVE MODERADO CATASTROFICO
ALTO R4 R10
MEDIO R3 R5 R6 R8
R13 R14 R17 R20
R22 R23
BAJO R1 R12 R14 R2 R7 R9 R11

R15 R16 R18 R21
R19 R24
5. Elaborar el cuadro de tratamiento de riesgos para cada

riesgo detectado.
El tratamiento de los riesgos hace referencia a la acción que se
deberá ejecutar de acuerdo al nivel de probabilidad y ocurrencia de

los riesgos encontrados, en este sentido los riesgos pueden ser
aceptados, transferidos o se debe ejercer controles sobre ellos. Para
los riesgos que se encuentran en color verde (debajo de la diagonal)
como son de baja probabilidad e impacto leve, y no causan mayores
daños a la organización generalmente se aceptan, para los riesgos
que están en color amarillo (diagonal) y los riesgos que están en
color rojo (encima de la diagonal) cuya probabilidad es media o alta y
el impacto es moderado o catastrófico se debe transferir o ejercer
controles. Aceptarlo significa convivir con el riesgo, transferirlo
significa que otra empresa o personal especializado se haga cargo de
esos riesgos y la empresa paga por ese servicio y ejercer control
significa que debo proponer controles para esos riesgos.
ID. Descripción Riesgo Tratamiento

Riesgo Riesgo
R6 No existe cuenta propia de controles
usuario para el acceso a los
equipo por falta de administrador
de dominio de red
R7 Los empleados tienen privilegio Controles
de administrador en sus equipos
por falta de administrador de y
usurios de red y roles según su
actividad en la empresa
R13 No existe personal idóneo Controles
acerca del manejo de la red y su
funcionamiento falta de control
de red
R22 No existe control de Controles
inventarios por falta de
documentación de las TIC
R17 No existe control para el Controles
acceso ilimitado a internet por
falta de roles según de perfil de
trabajo
R1 Uso inadecuado de los Controlarlo
reguladores y falta de
mantenimiento de los mismos
R2 No existe sistema de Transferirlo
protección contra cortocircuitos y
caídas de energía.
R3 Recarga defectuosa de los Controlarlo
tóner de la impresora láser
R4 No existe políticas de Controlarlo
administración y respaldo de
almacenamiento de la
información
R5 No existe control ni Controlarlo
restricciones para el manejo de la
información.
R14 No se cuenta con privacidad Aceptarlo
suficiente en los sitios de trabajo
R15 No hay Etiquetas de Aceptarlo
identificación y control de puntos
de red
R16 Los Patch cord de modem a Eliminarlo
switch son categoría 5 mientras
la mayoría del cableado es
categoría 5e y 6.
R9 No se cuenta con planes de Controlarlo
contingencia en caso de una
catástrofe o siniestro para
salvaguardar la infraestructura.
3. Conclusiones
El desarrollo de la presente actividad permitió a los integrantes del curso auditoria de
sistemas apropiarse de los diferentes conceptos en materia de auditoria de manera
efectiva permitiendo con esto el desarrollo efectivo de cada uno de los componentes
dispuestos para el desarrollo de la actividad individual y colaborativo.
.
4. Referencias
Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/45891
Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp.
4-35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica
Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una
visión práctica. (pp. 9- 29).Recuperado de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su
clasificación. Recuperado de http://hdl.handle.net/10596/10236
Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp.
119-181). Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-
46686981
La referencia muestra el manual del estándar CobIT usado para la fase de planeación y
en la fase de resultados de la auditoría.
ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas.
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Unidad 2 Fase 3 Ejecición de Auditoria V3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 2 Fase 3 Ejecición de Auditoria V3

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional Abierta y a Distancia Vicerrectoría Académica y de

Unidad 2 Fase 3 – Ejecución de Auditoria

Rafael Alonso Vergara

GRUPO No. 90168_16

Francisco Nicolas Solarte

Programa Ingeniería de Sistemas

1. Diseñar y aplicar los instrumentos de recolección de información

(entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir

vulnerabilidades, amenazas y riesgos para cada proceso asignado...............................6

2. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados

para cada proceso evaluado:........................................................................................10

3. Realizar el análisis y evaluación de riesgos para cada proceso asignado.....11

4. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.....11

el área especifica donde se realizara esta, con el desarrollo de la presente actividad

del curso desarrollara la metodología para el desarrollo del presente modulo.

 Ejecución de manera efectiva del plan de auditoria

 Afianzar conocimientos, así mismos identificar las vulnerabilidades y amenaza y

riesgos que tiene la unidad TICs, y posteriormente crear el plan de auditoria.

RAFAEL VERGARA PO9

PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos

Formato de fuentes de conocimiento

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

Formato lista de chequeo

ENTIDAD Bienes y Raíces S.A.S PAGIN

Tema 1: El inventario hardware de redes, depreciación de equipos y cableado

2. ¿Se tienen contratos con proveedores con clausulas de renovacion de equipos y

Tema 2: Cumplimiento a normas de cableado estructurado y seguridad de

acceso a los elementos de red

1. ¿El cableado estructurado maneja y tiene las ultimas normas y protocolos?

2. ¿Existen políticas para la seguridad en el acceso de dispositivos externos de red?

Tema 3: Administración de usuarios y seguridad en la red

1. ¿Se cuenta con software especializado para el monitoreo de acceso de usuarios a la

2. ¿Los protocolos de seguridad de la red estan debidamente documentados y con el

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

Bienes y Raíces S.A.S

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (13 * 100) / 25 = 52

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

Porcentaje de riesgo parcial: ¿ 52%

Alto Riesgo riesgo Inaceptable

61- Moderado Importante

Medio Zona de Zona de Zona de riesgo

31-60% riesgo riesgo Importante

Bajo Zona de Zona de Zona de riesgo

0-30% riesgo riesgo Moderado

Leve Moderado Catastrófico

RESULTADO MATRIZ DE RIESGOS PARA RED DE DATOS

4. CUADRO DE TRATAMIENTO DE RIESGOS

ID. Descripción Riesgo Tratamiento Riesgo

JOSE ALDIBEY LOPEZ

FORMATO DE FUENTES DE CONOCIMIENTO

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y

DS5.2 Plan de Seguridad de TI:

DS5.3 Administración de Identidad

DS5.4 Administración de Cuentas del Usuario:

DS5.5 Pruebas, Vigilancia y Monitoreo de la

DS5.7 Protección de la Tecnología de Seguridad

DS5.8 Administración de llaves criptográficas

DS5.09. Prevención de software malicioso

DS5.10. Seguridad de Red