Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Elaborado por:
Cristian Valencia – 1077432779
Federico Murillo Murillo – 1107034486
Yoli Mosquera Gonzales – 1.131.044.115
Victor Manuel Garcia Hurtado - 1094977403
Grupo:
90168_46
Tutor:
Francisco Nicolas Solarte
Ejecución de la auditoria
Introducción
Ejecución de la auditoria
Objetivos
General:
- Diseñar y aplicar instrumentos de recolección de información para
descubrir vulnerabilidades, amenazas y riesgos para cada proceso
asignado
Especifico:
- Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos
detectados para cada proceso evaluado
- Realizar el análisis y evaluación de riesgos para cada proceso
asignado
- Elaborar la matriz de riesgos de cada proceso
- Cuadro de tratamiento de riesgos para cada riesgo detectado
Ejecución de la auditoria
Contenido
PAGINA
ENTIDAD AUDITADA DIGITAL WARE S.A
1 DE 1
Realizar revisión para garantizar que se mantenga el
PROCESO AUDITADO
nivel de seguridad aprobado en la empresa.
RESPONSABLE Yoly Mosquera
MATERIAL DE SOPORTE COBIT
DOMINIO DS: Entregar y Dar Soporte
PROCESO DS5: Garantizar la seguridad de los sistemas
Ejecución de la auditoria
Lista chequeo aplicado al proceso DS5 estándar CobIT: Garantizar la
seguridad de los Sistemas.
LISTA CHEQUEO
DS5 garantizar la
Entregar y Dar
DOMINIO PROCESO seguridad de los
Soporte (DS)
sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI:
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿las funciones de seguridad
1 están integradas en las x
funciones del personal?
OBJETIVO DE
DS5.2 Plan de Seguridad de TI:
CONTROL
¿Existe una política interna
especifica del sistema para el
2 x
manejo de la seguridad en la
empresa?
OBJETIVO DE
DS5.3 Administración de Identidad:
CONTROL
¿Se cuenta con controles de
identificación y autenticación del
3 x
personal que labora en la
empresa?
OBJETIVO DE
DS5.4 Administración de Cuentas del Usuario:
CONTROL
¿Existen restricciones para
archivos y carpetas a los que no
4 pueden tener acceso x
determinados usuarios de los
equipos?
OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la
CONTROL Seguridad:
¿se realizan pruebas
periódicamente para análisis de
5 x
riesgos de la seguridad en las
empresas?
¿existen controles de vigilancia
sobre el acceso físico a las x
instalaciones?
Ejecución de la auditoria
¿se realizan revisiones y
monitoreo periódicamente para x
detectar intrusos?
OBJETIVO DE
DS5.6 Definición de Incidente de Seguridad:
CONTROL
¿Existe un ente encargado de
6 dar solución a incidentes de x
seguridad en la empresa?
OBJETIVO DE
DS5.7 Protección de la Tecnología de Seguridad:
CONTROL
¿Existen políticas para el
7 manejo de redes, sistemas x
operativos y aplicaciones?
OBJETIVO DE
DS5.8 Administración de Llaves Criptográficas:
CONTROL
¿La empresa cuenta con llaves
Criptográficas para proteger la
8 x
confidencialidad, integridad y
autenticidad de la información?
OBJETIVO DE DS5.9 Prevención, Detección y Corrección de
CONTROL Software Malicioso:
¿se cuenta con medidas de
prevención y detección para
9 x
proteger los datos de software
malicioso?
¿Existe control de acceso lógico
x
para la detección de intrusos?
OBJETIVO DE
DS5.10 Seguridad de la Red:
CONTROL
Filtro de paquetes,
¿Existe Firewalls, gateways Gateways a Nivel de
10 x
seguros? Circuitos y Gateways a
Nivel de Aplicación
OBJETIVO DE
DS5.11 Intercambio de Datos Sensitivos:
CONTROL
¿Existe una política que acoja a
todos los medios de intercambio
11 x Cifrado de datos
de datos que la organización
emplee?
Ejecución de la auditoria
1. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las
vulnerabilidades, amenazas y riesgos detectados con los
instrumentos de recolección de información.
Ejecución de la auditoria
usuarios realizan sobre un sistema.
Ejecución de la auditoria
Guía de Prueba P7.
DIGITAL WARE S.A R/PT: C7
Guía de Pruebas P7
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la seguridad de los
sistemas
Objetivo de Control DS5.7 Protección de la Tecnología de
Seguridad:
Riesgos Asociados R1, R2, R3, R4, R5, R6, R7, R8
No Evidencia Descripción
1 Inadecuada seguridad física Falta de protección contra desastres
naturales.
Ejecución de la auditoria
Guía de Prueba P10.
DIGITAL WARE S.A R/PT: C10
Guía de Pruebas P10
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la seguridad de los
sistemas
Objetivo de Control DS5.10 Seguridad de la Red:
Riesgos Asociados R1, R2, R8
No Evidencia Descripción
1 Red No existen políticas para el manejo de
redes
Ejecución de la auditoria
constantemente el
estado de la seguridad.
Incidentes Omisión de información No se lleva registro de
importante incidentes de seguridad.
Inadecuada seguridad Evento peligroso Falta de protección
física contra desastres
naturales.
Detección de intrusos Virus maliciosos Los equipos y sistemas
tienen deficiencias para
detectar intrusos
Red Ataques No existen políticas para
el manejo de redes
Vulnerabilidad de datos Manipulación y perdida de Inadecuados controles
información de accesos a personal
no autorizado
Riesgos iniciales.
1) Falta de Políticas y Normas referentes a la Seguridad del Sistema
2) Carece de herramientas en línea para monitorear constantemente el
estado de la seguridad.
3) Falta de protección contra desastres naturales.
4) Los equipos y sistemas tienen deficiencias para detectar intrusos
5) No existen políticas para el manejo de redes
6) Inadecuados controles de accesos a personal no autorizado
Riesgos Con La Aplicación De Instrumentos
7) las funciones de seguridad no están integradas en las funciones del
personal
8) no existe una política interna especifica del sistema para el manejo de la
seguridad en la empresa
9) Falta de revisiones y monitoreo periódicamente para detectar intrusos.
Ejecución de la auditoria
4. Elaborar la matriz de riesgos de cada proceso evaluado.
IMPACTO
NIVEL DESCRIPTO DESCRIPCIÓN
R
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o
efectos mínimos sobre la entidad
PROBABILIDAD
NIVEL DESCRIPTOR FRECUENCIA
1 Raro No se ha presentado en los últimos 5 años
Ejecución de la auditoria
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Impacto Probabilidad
R1 Falta de Políticas y Normas referentes a la 4 4
Seguridad del Sistema
Ejecución de la auditoria
5. Elaborar el cuadro de tratamiento de riesgos para cada riesgo
detectado.
Ejecución de la auditoria
Proceso auditado: DS7 Educar y entrenar usuarios
Presentado por: Federico Murillo
Actividades a desarrollar
1. Diseñar y aplicar los instrumentos de recolección de información
(Entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir
vulnerabilidades, amenazas y riesgos para cada proceso asignado.
El instrumento de recolección es: Entrevista
Ejemplo de entrevista
DOMINIO Entregar y dar soporte PROCESO DS7 Educar y entrenar los usuarios
ENTREVISTADO
CARGO
Ejecución de la auditoria
3. ¿Con cuánto tiempo de anterioridad se deben realizar las
capacitaciones a los empleados?
Respuesta: A los empleados se les avisara con un tiempo de
anterioridad de tres días, para que se alisten y tengan bien claro lo que
se les explicara y tendrán que poner a practica
4. ¿Qué perfiles buscan para el instructor de la capacitación?
Respuesta: Se busca una persona que tenga la confianza en sí mismo
y que transmita conocimientos al personal con el fin de que desarrollen
sus actividades con los procesos adecuados
Ejecución de la auditoria
TEMA 3: CIERRE DE INCIDENTES:
1. ¿Cuenta con personal de la empresa que realizan la gestión de
incidentes?
Respuesta: No, actualmente no tenemos personal que se ocupe en la
gestión de incidentes
2. ¿Realiza mejores prácticas para la gestión de incidentes?
Respuesta: Si, establecemos un canal de comunicación efectivo entre
los clientes y el equipo técnico, para que en caso de un incidente se
enviaran correos electrónicos a los usuarios.
3. ¿Cuenta con personal capacitado con el fin de detectar posibles
incidentes de seguridad de la información?
Respuesta: la empresa no cuenta con ese personal que busca restaurar
el servicio de la manera más rápida y eficaz posible
4. ¿Este cierre de incidentes ha causado alguna perdida de información
valiosa?
Respuesta: Si, porque mayormente las copias de seguridad se realizan
cada 8 días y si ocurre un cierre de incidentes en ese periodo de tiempo
que no re realiza una copia de seguridad se pierden toda la información
Ejecución de la auditoria
Respuesta: Si, realizamos estrategias comerciales como mostrar los
beneficios de nuestros productos y realizando demostraciones cortas de
nuestros productos
4. ¿Existen empresas que dominen el mercado por sus productos
finales?
Respuesta: Si, existen empresas que tiene una mayor audiencia y con
ellos unos mejores productos.
OBSERVACIONES
Ejecución de la auditoria
El proceso evaluado es el DS7 Educar y entrenar los usuarios
Ejecución de la auditoria
4. Incumplimiento de legislación en materia de protección de datos
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Insignificante Si el hecho llegara a
presentarse, tendría
consecuencias o efectos mínimos
sobre la entidad
2 Menor Si el hecho llegara a
presentarse, tendría bajo
impacto o efecto sobre la
entidad
3 Moderado Si el hecho llegara a
presentarse, tendría medianas
consecuencias o efectos sobre la
entidad
4 Mayor Si el hecho llegara a
presentarse, tendría altas
consecuencias o efectos sobre la
entidad
5 Catastrófico Si el hecho llegara a
presentarse, tendría desastrosas
consecuencias o efectos sobre la
entidad
Ejecución de la auditoria
PROBABILIDAD
NIVEL DESCRIPTOR FRECUENCIA
1 Raro No se ha presentado en los
últimos 5 años
2 Improbable Se ha presentado al menos 1 vez
en los últimos 5 años
3 Posible Se ha presentado al menos 1 vez
en los últimos 2 años
4 Probable Se ha presentado al menos 1 vez
en el último año
5 Casi seguro Se ha presentado mas de 2 vez
al año
Ejecución de la auditoria
EVALUACIÓN Y MEDIDAS DE RESPUESTA
PROBABILIDA IMPACTO
D Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1)
Improbable R6
(2)
Posible (3) R4, R7, R2, R9
R10
Probable (4) R5 R1
Casi seguro R3, R8, R9
(5)
Ejecución de la auditoria
Proceso auditado: DS8 Administrar la Mesa de Servicio y los Incidentes
Presentado por: Victor Manuel Garcia Hurtado
Desarrollo de la actividad
ENTIDAD PAGINA
DIGITAL WARE S.A
AUDITADA 1 DE 1
Realizar un control de todos los componentes de
PROCESO software de la empresa y ver cuál es la situación
AUDITADO actual en referencia a las novedades y la legalidad de
los programas utilizados.
RESPONSABLE Victor Manuel Garcia Hurtado
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS: Entregar y Dar Soporte
PROCESO DS8: Administrar la Mesa de Servicio y los Incidentes
LISTA CHEQUEO
DS8 Administrar la
Entregar y Dar
DOMINIO PROCESO Mesa de Servicio y los
Soporte (DS)
Incidentes
OBJETIVO DE
DS8.1 Mesa de Servicios:
CONTROL
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
1 ¿Los procedimientos de x ninguna
monitoreo y escalamiento
permiten medir satisfacción del
usuario final respecto a la
calidad de la mesa de servicios
Ejecución de la auditoria
y de los servicios de TI.?
OBJETIVO DE
DS8.3 Escalamiento de Incidentes:
CONTROL
¿Los limites acordados en el
SLA permiten que los
2 incidentes puedan ser x ninguna
escalados de manera
adecuada?
OBJETIVO DE
DS8.4 Cierre de Incidentes:
CONTROL
¿Se establecen procedimientos
para el monitoreo de la
3 X ninguna
resolución de incidentes a los
usuarios?
OBJETIVO DE
DS8.5 Análisis de Tendencias:
CONTROL
¿Se emiten reportes en los que
se pueda identificar tendencias y
4 x ninguna
medir el desempeño del servicio
y los tiempos de respuesta?
Ejecución de la auditoria
Guía de Pruebas P2
Dominio Entregar y Dar Soporte
Proceso DS8 Administrar la Mesa de Servicio y
los Incidentes
Objetivo de Control DS8.3 Escalamiento de Incidentes:
Riesgos Asociados R1, R2, R3, R4, R6, R7
No Evidencia Descripción
1 Deficiente control No cuenta con Políticas y Normas
Administrativo referentes a la Seguridad del Sistema
Ejecución de la auditoria
buen control de esta información de la
empresa.
Inadecuada seguridad Daño al patrimonio Afectaciones al
de los datos patrimonio de la
empresa
Deficiente en los Afectación en la Información con poco
procesos de monitoreo indexación de valor informativo
información
Reportes que indican Tomar acciones que Información sin una
tendencias equivocas afecten algunos base sólida de soporte
procesos
Riesgos iniciales.
Ejecución de la auditoria
5. Elaborar la matriz de riesgos de cada proceso evaluado.
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias
o efectos mínimos sobre la entidad
PROBABILIDAD
NIVEL DESCRIPTOR FRECUENCIA
1 Raro No se ha presentado en los últimos 5 años
Ejecución de la auditoria
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Impacto Probabilidad
R1 Falta de manejo de la información por la 4 4
carencia de proceso de trazabilidad
R2 Mala interpretación de las tendencias por 3 2
un mal proceso de recolección de
información.
R3 Poco escalamiento de los incidentes. 4 3
R4 Malos procedimientos de cierre. 4 5
R5 Baja garantía en la resolución de 4 4
incidentes.
Ejecución de la auditoria
Proceso auditado: DS12 Administración del ambiente físico
Presentado por: Cristian Valencia
Actividades a desarrollar
1.Diseñar y aplicar los instrumentos de recolección de
información (Entrevistas, listas de chequeo, cuestionarios,
pruebas) para descubrir vulnerabilidades, amenazas y riesgos
para cada proceso asignado.
El instrumento de recolección es: Entrevista
ENTREVISTADO
CARGO
Ejecución de la auditoria
Respuesta: claro que sí, garantizan las fallas que se presentan.
3. ¿Cuántos Mantenimiento se le han realizado al equipo?
Respuesta: actualmente 1.
4. ¿Qué dificultades tienes en el manejo de un Computador y/o Móvil?
Respuesta: ninguno.
Ejecución de la auditoria
Respuesta: si claro, se tiene un control.
Ejecución de la auditoria
Mantenimiento Mal exposición de Fallas por
correctivo físico. unidades de equipo degradación de
cómputo y lugares de tiempo y
almacenamiento. disponibilidad del
software y hardware
Ingreso de personal no Causar interrupciones Daños a los equipos
autorizado a lugares en la operación de los de cómputo.
de almacenamiento de equipos.
equipos de cómputo.
Incidentes de La ubicación de los Causan daños al
seguridad física equipos críticos y monitoreo de
áreas de envío y presencias de
recepción. operaciones críticas
de TI.
Instalaciones físicas Lineamientos de Equipo de
seguridad y salud comunicaciones y
suministro de energía
en las instalaciones.
Ejecución de la auditoria
Perdida de copias de seguridad de los equipos de cómputo en caso
de fallo.
Incumplimiento en el cronograma de copias de seguridad de
equipos de cómputo de usuarios y servidores
PROBABILIDAD
NIVE
DESCRIPTOR DESCRIPCIÓN
L FRECUENCIA
No se ha
El evento puede ocurrir sólo en
1 Raro presentado en los
circunstancias excepcionales
últimos 5 años
Se ha presentado al
El evento puede ocurrir en algún
2 Improbable menos 1 vez en los
momento
últimos 5 años
El evento puede ocurrir en algún Se ha presentado al
3 Posible
momento menos de 1 vez en
Ejecución de la auditoria
los últimos 2 años
El evento probablemente ocurrirá Se ha presentado al
4 Probable en la mayoría de las menos 1 vez en el
circunstancias último año
Se espera que el evento ocurra
Se ha presentado
5 Casi Seguro en la mayoría de las
más de 1 vez al año
circunstancias
MATRIZ DE RIESGOS
Raro (1)
Ejecución de la auditoria
Improbable (2)
Ejecución de la auditoria
Conclusiones
Ejecución de la auditoria
Bibliografía
Ejecución de la auditoria