Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Investigación
AUDITORIA DE SISTEMAS
Estudiante
Tutor:
Agosto de 2020
Bogotá D.C,
Tabla De Contenido
1. INTRODUCCIÓN..............................................................................................2
2. Objetivos.............................................................................................................3
5. CONCLUSIONES........................................................................................12
3. Bibliografía........................................................................................................13
1. INTRODUCCIÓN
El desarrollo de una buena auditoria de sistemas se debe identificar claramente cuál será
buscamos generar un plan de auditoria para una empresa donde podemos identificar las
vulnerabilidades, amenazas y riesgos a los cuales esta expuesta para lo cual basados en
el manual COBIT se escogieron 4 procesos con los cuales cada uno de los integrantes
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE F
FC-
ANALISIS DE AUDITORIA
01
PAGI
ENTIDAD NA
BIENES Y RAICES S.A.S
AUDITADA D
1 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PROCESO PO9.2 Establecimiento del Contexto del Riesgo
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
La Oficina de Sistemas y
Criterios contra los Se realiza revision de
Recursos Informáticos cuales se evalúan los documento formal de
Manual de seguridad riesgos. seguridad.
AUDITOR RESPONSABLE:
Rafael Vergara
RE
F FC-
FUENTES DE CONOCIMIENTO, PRUEBAS DE
02
ANALISIS DE AUDITORIA
PAGI
ENTIDAD NA
Bienes y Raíces S.A.S
AUDITADA D
2 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PROCESO PO9.3 Identificación de Eventos
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
Se tienen identificados
Manual de política de los eventos (amenzas,
Revision de las
vulnerabilidades) que
seguridad de la información. herramientas del centro
tengan un potencial
La Oficina de Sistemas y negativo de monitoreo de redes y
sobre las
Recursos Informáticos notificaciones de
operaciones de la
eventos de red.
empresa en el aspecto
tecnoclogico (de red)
AUDITOR RESPONSABLE:
Rafael Vergara
RE
F FC-
FUENTES DE CONOCIMIENTO, PRUEBAS DE
03
ANALISIS DE AUDITORIA
PAGI
ENTIDAD NA
Bienes y Raíces S.A.S
AUDITADA D
3 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PROCESO PO9.4 Evaluación de Riesgos de TI
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
La Oficina de
Sistemas y Recursos
Manual de política de Informáticos debe
implantar controles para
seguridad de la información. Los riesgos
minimizar los riesgos
La Oficina de Sistemas y identificados son
de seguridad de la
Recursos Informáticos controlados y evaluados.
información
transportada por medio
de las
redes de datos.
AUDITOR RESPONSABLE:
Rafael Vergara
RE
F FC-
FUENTES DE CONOCIMIENTO, PRUEBAS DE
04
ANALISIS DE AUDITORIA
PAGI
ENTIDAD NA
Bienes y Raíces S.A.S
AUDITADA D
4 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PROCESO PO9.5 Respuesta a los Riesgos
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
Manual de política de Procedimiento de La Oficina de
Sistemas y Recursos
respuesta a riesgos el cual
Informáticos (Osiris)
defina estrategias tales
seguridad de la información. para debe implantar controles
evitar, reducir,
para
La Oficina de Sistemas y compartir o aceptar
minimizar los riesgos
Recursos Informáticos riesgos; determinar
de seguridad de la
(Osiris) responsabilidades y
información
considerar los niveles de
transportada por medio
tolerancia a riesgos.
de las
redes de datos.
AUDITOR RESPONSABLE:
Rafael Vergara
RE
F FC-
FUENTES DE CONOCIMIENTO, PRUEBAS DE
05
ANALISIS DE AUDITORIA
PAGI
ENTIDAD NA
Escuela Col. De Ingeniería Julio Garavito
AUDITADA D
5 5
E
PROCESO
Red de Datos
AUDITADO
RESPONSABLE Rafael Vergara
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar
PO9.6 Mantenimiento y Monitoreo de un Plan de
PROCESO
Acción de Riesgos
AUDITOR RESPONSABLE:
Rafael Vergara
LISTA CHEQUEO
PROCESO PO9 Evaluar y
DOMINI Planear y Organizar
Administrar los Riesgos
O (PO)
de TI
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo
CONTROL
CONFOR
ME
Nº ASPECTO EVALUADO OBSERVACIÓN
S
NO
I
¿Existe un marco de trabajo de Solo son
evaluación de riesgos, donde se controlados.
1 X
presenten los criterios contra los
cuales se evalúan los riesgos.?
OBJETIVO DE
PO9.3 Identificación de Eventos
CONTROL
¿Se gestionan los eventos
(amenzas, vulnerabilidades) que
2 X
pueden ser identificados en la red de
datos?
OBJETIVO DE
PO9.4 Evaluación de Riesgos de TI
CONTROL
¿Se evalua de forma recurrente la
probabilidad e impacto de todos los
riesgos identificados, usando métodos
3 X No son evaluados.
cualitativos y cuantitativos y la
probabilidad e impacto asociados a
los riesgos.?
OBJETIVO DE
PO9.5 Respuesta a los Riesgos
CONTROL
4 ¿Existe un proceso de respuesta a X
riesgos identificados en la red de
datos?
OBJETIVO DE PO9.6 Mantenimiento y Monitoreo de un Plan de
CONTROL Acción de Riesgos
¿Existen actividades de control a
todos los niveles para implementar las
respuestas a los riesgos en la red de
5 datos, identificadas como necesarias, X
incluyendo la identificación de costos,
beneficios y la responsabilidad de la
ejecución?
Formato de entrevista
ENTREVISTAD
O
CARGO Administrador de red
estructurado
1. ¿Existe un inventario de dispositivos de red con su correspondiente topologia?
_______________________________________________________________
FIRMA FIRMA
Formato de Cuestionario
Pregunta S N OBSERVACION
i o ES
¿Se tienen identificados los tipos riesgos que se 4
pueden presentar en la red de datos?
¿Existen controles en la red de datos para minimizar 5
los riesgos de seguridad de informacion que se
transporta por este medio?
¿Se realizan analisis de riesgos identificados 3
periodicamenteen la red de datos?
¿Se maneja o se realiza la gestion a los riesgos 5
identificados dando respuesta o generando planes de
acción para mitigarlos?
¿Se tienen identificados mecanismos de seguridad en 4
la red de datos con niveles de servicio optimos?
¿Se monitorean los planes de acción asociados a los 4
riesgos identificados?
TOTALES 1 1
3 2
categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
3.
Zona de Zona de Zona de riesgo
100%
Tolerable Moderado
Aceptable Tolerable
IMPACTO
R4
Alto
61-
100%
Medio R3
31-60%
Bajo R1,R5 R2
0-30%
Leve Moderado Catastrófico
IMPACTO
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE
FC0
ANALISIS DE AUDITORIA
2
PAGIN
ENTIDAD A
BIENES RAICES S.A.S
AUDITADA D
1 1
E
PROCESO
Entregar y Dar Soporte
AUDITADO
RESPONSABLE JOSE ALDIBEY LOPEZ MARROQUIN
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS5 Garantizar la Seguridad de los Sistema
DS5.1 Administrar seguridad TI:
Seguridad
PROCESO
DS5.6 Definición de Incidente de Seguridad
detección y corrección.
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
- Prueba de
- Juan Carlos Ortiz Pérez - Si existe protocolo continuidad del
(Jefe TI) de administración negocio.
de TI implementado - Pruebas en los
en la organización. sistemas
Soportes - No existe protocolo respecto la
claro de gestión de asignación de los
documentales: incidentes usuarios.
informáticos, - Pruebas a la red
manifiestan que que cuenta la
nunca se han empresa bienes
- Protocolo de presentado eventos. raíces.
administración TI. - El protocolo de - Pruebas para
- Protocolo de atención de asignación de conocer el nivel
usuarios esta de apropiación
incidentes informáticos. implementado pero
- Protocolo de asignación no cumple con
de usuarios. aspectos puntuales
- Manual se seguridad de en materia de
del SGSI de los
la información. accesos a
empleados.
documentos es
- Diagramas de red de la
decir un usuario
empresa. puede acceder casi
a todo lado.
.
AUDITOR RESPONSABLE:
JOSE ALDIBEY LOPEZ MARROQUIN
LISTA DE CHEQUEO
LISTA CHEQUEO
DS5: Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO Seguridad de los
(DS5)
Sistema
DS5.1 Administrar seguridad TI:
DS5.2 Plan de Seguridad de TI:
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario:
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
OBJETIVO DE
DS5.6 Definición de Incidente de Seguridad
CONTROL
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de llaves criptográficas
DS5.09. Prevención de software malicioso
detección y corrección.
DS5.10. Seguridad de Red
DS5.11 Intercambio de Datos Sensitivos
CONFOR
ME
Nº ASPECTO EVALUADO S N OBSERVACIÓN
I O
¿Existe protocolo en materia de
1 seguridad de TI, que este alineado x
a los requerimientos del negocio?
OBJETIVO DE
DS5.2 Plan de Seguridad de TI:
CONTROL
¿Existe un marco de referencia
de los requerimientos del negocio
2 x
en materia de riegos y cultura de
seguridad TI?
¿Esta implementado en las
políticas y procedimientos de
2.1. seguridad las inversiones x
apropiadas en personal, hardware
y software?
OBJETIVO DE
DS5.3 Administración de Identidad:
CONTROL
¿Existe un protocolo de
identificación única para el ingreso
3 x
del personal interno, externo y
temporales que trabajen en TI?
¿Hay algún permiso de acceso
a los usuarios respecto al sistema
2.1 x
de datos, están estos alineados a
las necesidades de la empresa?
OBJETIVO DE
DS5.4 Administración de Cuentas del Usuario
CONTROL
¿Existe procedimiento para el
establecimiento, emisión, emisión
4 suspensión, modificación y cierre x
de cuentas de usuario así, como
lo privilegios?
OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la
CONTROL Seguridad
¿Existe un plan de acción para
mitigar los riesgos de la
5 x
infraestructura tecnológica de
forma segura?
OBJETIVO DE DS5.6 Definición de Incidente de Seguridad
CONTROL
¿Existe un procedimiento para
6 x
la gestión de incidentes TI?
OBJETIVO DE
DS5.7 Protección de la Tecnología de Seguridad
CONTROL
¿Existe la configuración a nivel
7 de hardware y software para x
resistir a un ataque?
OBJETIVO DE
DS5.8 Administración de llaves criptográficas
CONTROL
¿Existen uso de llaves
criptográficas para garantizar la
8 protección de las llaves contra x
modificaciones o divulgaciones no
autorizadas?
OBJETIVO DE DS5.09. Prevención de software malicioso
CONTROL detección y corrección.
¿Existen medidas preventivas
detectivas y correctivas en el
9 x
firewall, dispositivos de control de
virus actualizado?
OBJETIVO DE
DS5.11 Intercambio de Datos Sensitivos
CONTROL
¿Esta implementado un canal
10 seguro para el intercambio de x
información sensible?
ENTREVISTA
REF: E1
___________________________ ___________________________
JUAN CARLOS ORTIZ PÉREZ JOSE ALDIBEY LOPEZ MARROUIN
JEFE TI / BIENES RAICES S.A.S AUDITOR SUPLENTE
CUESTIONARIO
Pregunta S N OBSERVACI
i o ONES
¿Existe protocolo en materia de seguridad de 2
TI, que este alineado a los requerimientos del
negocio?
¿Existe un marco de referencia de los 3
requerimientos del negocio en materia de riegos y
cultura de seguridad TI?
¿Esta implementado en las políticas y 3
procedimientos de seguridad las inversiones
apropiadas en personal, hardware y software?
¿Existe un protocolo de identificación única 5 No, existe un
para el ingreso del personal interno, externo y protocolo de
temporales que trabajen en TI? identificación de
los usuarios que
ingresan a el
área TI
¿Hay algún permiso de acceso a los usuarios 2
respecto al sistema de datos, están estos
alineados a las necesidades de la empresa?
¿Existe procedimiento para el establecimiento, 2
emisión, emisión suspensión, modificación y cierre
de cuentas de usuario así, como lo privilegios?
¿Existe un plan de acción para mitigar los 5 No, existe
riesgos de la infraestructura tecnológica de forma plan de acción
segura? para
contrarrestar
riesgos
¿Existe un procedimiento para la gestión de 5 No,
incidentes TI? manifiestan que
nunca ha
pasado.
¿Existe la configuración a nivel de hardware y 3
software para resistir a un ataque?
¿Existen uso de llaves criptográficas para 2
garantizar la protección de las llaves contra
modificaciones o divulgaciones no autorizadas?
¿Existen medidas preventivas detectivas y 3
correctivas en el firewall, dispositivos de control de
virus actualizado?
¿Esta implementado un canal seguro para el 3
intercambio de información sensible?
¿Indique su nivel de escolaridad? 4
¿Qué cargo y función desempeña en la 4
empresa bienes raíces?
categorización:
RIESGO:
IMPACTO
NIVE DESCRIPTO
DESCRIPCIÓN
L R
Si el hecho llegara a
1 Insignificante presentarse, tendría consecuencias
o efectos mínimos sobre la entidad
Si el hecho llegara a
2 Menor presentarse, tendría bajo impacto o
efecto sobre la entidad
Si el hecho llegara a
presentarse, tendría medianas
3 Moderado
consecuencias o efectos sobre la
entidad
Si el hecho llegara a
presentarse, tendría altas
4 Mayor
consecuencias o efectos sobre la
entidad
Si el hecho llegara a
presentarse, tendría desastrosas
5 Catastrófico
consecuencias o efectos sobre la
entidad
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
No se ha
El evento puede ocurrir
presentado en
1 Raro sólo en circunstancias
los últimos 5
excepcionales
años
Se ha
presentado al
El evento puede ocurrir en
2 Improbable menos 1 vez en
algún momento
los últimos 5
años
Se ha
presentado al
El evento puede ocurrir en
3 Posible menos de 1 vez
algún momento
en los últimos 2
años
Se ha
El evento probablemente
presentado
4 Probable ocurrirá en la mayoría de las
al menos 1 vez
circunstancias
en el último año
Se espera que el evento Se ha
5 Casi Seguro ocurra en la mayoría de las presentado más
circunstancias de 1 vez al año
MATRIZ DE RIESGOS
Raro (1)
Improbable (2)
Posible (3) R2 R1 R5
Probable (4) R3 R4
Casi Seguro
R7 R6
(5)
GIOVANNI ESPINOSA.
arquitectura de la información
PAGI
ENTIDAD NA
Bienes Raíces S.A.S
AUDITADA D
1 1
E
PROCESO Revisión del los roles y permisos para el Ingreso de
AUDITADO información a la base de datos
RESPONSABLE Guiovanni Espinosa
MATERIAL DE
COBIT
SOPORTE
DOMINIO PO Planeación y Organización
PROCESO PO2: Definir la Arquitectura de la Información
REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
Manuales de
procesos de TI
AUDITOR RESPONSABLE:
Guiovanni Espinosa
LISTA CHEQUEO
PO2 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
OBJETIVO DE PO2.1 Modelo de Arquitectura de Información
CONTROL Empresarial
CONFOR
ME
Nº ASPECTO EVALUADO S N OBSERVACIÓN
I O
¿Existe un modelo de
desarrollo de aplicaciones en la
1 X
empresa que comparta
información entre áreas?
¿existe un modelo de
2 continuidad de negocio referente X
al uso de las bases de datos?
OBJETIVO DE PO2.2 Diccionario de Datos Empresarial y Reglas
CONTROL de Sintaxis de Datos:
¿Cuentan con diccionario de
datos o procesos que les permita
3 x
identificar la información
corporativa?
OBJETIVO DE
PO2.3 Esquema de Clasificación de Datos
CONTROL
¿tienen identificada la
4 información sensible de la x
compañía?
¿tienen recursos compartidos
Hay recursos
con la información sensible, con
5 x compartidos de acceso
roles y permisos definidos para su
libre
consulta y extracción?
¿tienen procedimientos para
6 realizar destrucción o políticas de x
retención de información?
OBJETIVO DE
PO2.4 Administración de Integridad:
CONTROL
¿tienen procedimientos y
controles para definir que personal
7 x
puede ingresar a las bases de
datos?
¿se documentan los cambios
de roles y permisos de los
8 usuarios que tienen accesos a los x
recursos compartidos y bases de
datos?
Entrevista proceso PO2
CUESTIONARIO
Pregunta S N OBSERVACI
i o ONES
¿conoce que información es clave para el 4
funcionamiento de la empresa?
¿se cuenta con instructivos que indiquen como 4
se debe acceder a la información y como debe ser
consultada?
¿se tiene control sobre los accesos que realizan 4 Sobre las
los usuarios a los recursos compartidos o a las bases de datos
bases de datos? si, en recursos
compartidos no
¿tienen control de quien consulta las copias de No se
seguridad que se generan de la información? contesta ya que
las copias están
en custodia del
director de TI
¿se han realizado pruebas de restauración de 5
las copias de seguridad de la información?
¿los puertos y unidades de almacenamiento de 5 El antivirus
los computadores tienen algún tipo de control para tiene políticas de
evitar que sea extraída información? bloqueo de
recursos
¿el ingreso al centro de computo de la empresa La respuesta
es controlado? la debe brindar
el ingeniero de
infraestructura
¿las copias de seguridad de la información son 4 Las copias
custodiadas de forma segura previniéndolas de reposan en la
desastres o hurtos? caja fuerte de la
compañía
¿en caso de pérdida o eliminación de 4 Mucho tiempo
información las copias de seguridad garantizan la entre copias
continuidad de negocio?
TOTALES 1 2
3 2
RIESGO:
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
No se ha
El evento puede ocurrir
presentado en
1 Raro sólo en circunstancias
los últimos 5
excepcionales
años
Se ha
presentado al
El evento puede ocurrir en
2 Improbable menos 1 vez en
algún momento
los últimos 5
años
Se ha
presentado al
El evento puede ocurrir en
3 Posible menos de 1 vez
algún momento
en los últimos 2
años
Se ha
El evento probablemente
presentado
4 Probable ocurrirá en la mayoría de las
al menos 1 vez
circunstancias
en el último año
Se espera que el evento Se ha
5 Casi Seguro ocurra en la mayoría de las presentado más
circunstancias de 1 vez al año
MATRIZ DE RIESGOS
Raro (1)
Improbable (2) R4
Posible (3) R9 R7
R2,
Probable (4) R6 R1,R8
R5
Casi Seguro
R3
(5)
FORMATO ENTREVISTA
me puedan responder con claridad las preguntas que se hayan preparado para
la entrevista.
Para la entrevista se debe determinar primero los temas sobre los cuales va
REF
__________________________ ________________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA
ENTREVISTA
DOMINIO Planear y PROCESO PO9 Evaluar y
administrar los
Organizar (PO)
riesgos de TI
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿La empresa cuenta con
manuales de administración de
software de la empresa?
¿Se realiza la evaluación de
los riesgos que pueden afectar la
1 infraestructura tecnológica de la
empresa, mediante la utilización
de una metodología?
¿Se utilizan métodos
cualitativos o cuantitativos para
medir la probabilidad e impacto
2
de los riesgos que pueden
afectar la infraestructura
tecnológica?
¿Se cuenta con un sistema de
control para mitigar los riesgos
que pueden afectar la
infraestructura tecnológica de la
empresa frente a las
3
vulnerabilidades y amenazas,
que vulnerabilidades y amenazas
son las más frecuentes?, se
realiza monitoreo periódico de
riesgos?.
LISTA CHEQUEO
PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI
OBJETIVO DE PO9.1 Marco de trabajo de administración de
CONTROL riesgos:
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Hay un balance óptimo de
tecnología de información para
1 asegurar el software de la
empresa a futuro con las
vulnerabilidades que presente?
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo:
CONTROL
2 ¿Qué riesgos que pueden
afectar la infraestructura
tecnológica mediante la utilización
de una metodología?
OBJETIVO DE
PO9.3 Identificación de eventos:
CONTROL
¿Qué actualización se lleva en
3 temas de infraestructura
tecnológica?
OBJETIVO DE
PO9.4 Evaluación de los riesgos de TI:
CONTROL
¿Qué procedimientos se toman
en Acceso no autorizado por parte
4
de terceros y/o hackers.
Infraestructura tecnológica?
OBJETIVO DE
PO9.5 Respuesta a los riesgos:
CONTROL
¿Qué mediadas toman
mediante las vulnerabilidades que
5
presenta la empresa en temas de
Infraestructura tecnológica?
OBJETIVO DE PO9.6 Mantenimiento y monitoreo de un plan de
CONTROL acción de riesgos:
¿Se monitorea el plan de
6 acción en contra de los riesgos de
la infraestructura tecnológica?
Que software majean con la
7
vulnerabilidades presentadas en
infraestructura tecnológica
CUESTIONARIO REF
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Existe un marco de referencia
para la evaluación sistemática de
los riesgos a los que está expuesta
la infraestructura tecnológica de la
institución?
2 ¿Se realiza la evaluación de los
riesgos que pueden afectar la
infraestructura tecnológica mediante
la utilización de una metodología?
3 ¿Se realiza actualización de los
diferentes tipos de riesgos que
pueden afectar la infraestructura
tecnológica?
4 ¿Se utilizan métodos cualitativos
o cuantitativos para medir la
probabilidad e impacto de los
riesgos que pueden afectar la
infraestructura tecnológica?
5 ¿Existe un plan de acción para
mitigar los riesgos de la
infraestructura tecnológica de forma
segura?
6 ¿Se monitorea el plan de acción?
TOTAL 0
TOTAL CUESTIONARIO
Porcentaje de riesgo parcial =
Porcentaje de riesgo total =
PORCENTAJE RIESGO
1. Diseñar y aplicar un conjunto de pruebas que permitan
confirmar las vulnerabilidades, amenazas y riesgos
detectados con los instrumentos de recolección de
información.
Dentro de las pruebas y papeles de trabajo se requiere validar red
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Equipos computo obsoletos x x
R2 Equipos pc sin ningún tipo de x x
mantenimiento
R3 Equipos pc en mal estado y en x x
el piso
Redes
R4 Cableados red no x x
estructurados
R5 Cableado red en mal estado x x
R6 Rac en mal estado y x x
desorganizado
R7 Swicht red en mal estado x x
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
ALTO R4 R10
MEDIO R3 R5 R6 R8
R13 R14 R17 R20
R22 R23
efectiva permitiendo con esto el desarrollo efectivo de cada uno de los componentes
.
4. Referencias
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/45891
informatica
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
46686981
La referencia muestra el manual del estándar CobIT usado para la fase de planeación y
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html