Fase3 EjecucionDeAuditoria 90168 46

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Fase 3 – Ejecución de la auditoria
Elaborado por:
Cristian Valencia – 1077432779
Federico Murillo Murillo – 1107034486
Yoli Mosquera Gonzales – 1.131.044.115
Victor Manuel Garcia Hurtado - 1094977403
Grupo:
90168_46
Tutor:
Francisco Nicolas Solarte
Universidad Nacional Abierta y a Distancia

Ingeniería de Sistemas
Octubre 2020
Ejecución de la auditoria
Introducción
En este trabajo se desarrollará la guía de actividad de la Fase 3

Ejecución de la auditoria, en la cual se busca descubrir las
vulnerabilidades, amenazas y riesgos informáticos de los procesos a los
que se ve expuesta la empresa Digital Ware S.A, además se ejecutará
la auditoria que se realizará tomando como referencia el estándar
CobIT, donde se evaluará los riesgos de cada proceso auditado.
Objetivos
General:
- Diseñar y aplicar instrumentos de recolección de información para
descubrir vulnerabilidades, amenazas y riesgos para cada proceso
asignado
Especifico:
- Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos
detectados para cada proceso evaluado
- Realizar el análisis y evaluación de riesgos para cada proceso
asignado
- Elaborar la matriz de riesgos de cada proceso
- Cuadro de tratamiento de riesgos para cada riesgo detectado
Contenido
Proceso auditado: DS5 Garantizar la seguridad de los sistemas

Presentado por: Yoli Mosquera
1.Diseñar y aplicar los instrumentos de recolección de información
(entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir
vulnerabilidades, amenazas y riesgos para cada proceso asignado.
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA DIGITAL WARE S.A
1 DE 1
Realizar revisión para garantizar que se mantenga el
PROCESO AUDITADO
nivel de seguridad aprobado en la empresa.
RESPONSABLE Yoly Mosquera
MATERIAL DE SOPORTE COBIT
DOMINIO DS: Entregar y Dar Soporte
PROCESO DS5: Garantizar la seguridad de los sistemas
REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de
Pruebas mediante uso
documentos (contratos,
de software, pruebas
manuales) o
Documento, o comparaciones para levantar
persona que tiene la (compara los contenidos inventarios, pruebas
información que de un manual respecto de seguridad en redes,
necesita el auditor pruebas de seguridad
a lo que dice la teoría
en bases de datos,
que debe contener)
pruebas de intrusión,
comparar (la empresa
pruebas de testeo.
auditada con una
empresa certificada)
AUDITOR RESPONSABLE:
Yoly Mosquera
Lista chequeo aplicado al proceso DS5 estándar CobIT: Garantizar la
seguridad de los Sistemas.
LISTA CHEQUEO
DS5 garantizar la
Entregar y Dar
DOMINIO PROCESO seguridad de los
Soporte (DS)
sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI:
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿las funciones de seguridad
1 están integradas en las x
funciones del personal?
OBJETIVO DE
DS5.2 Plan de Seguridad de TI:
CONTROL
¿Existe una política interna
especifica del sistema para el
2 x
manejo de la seguridad en la
empresa?
OBJETIVO DE
DS5.3 Administración de Identidad:
CONTROL
¿Se cuenta con controles de
identificación y autenticación del
3 x
personal que labora en la
empresa?
OBJETIVO DE
DS5.4 Administración de Cuentas del Usuario:
CONTROL
¿Existen restricciones para
archivos y carpetas a los que no
4 pueden tener acceso x
determinados usuarios de los
equipos?
OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la
CONTROL Seguridad:
¿se realizan pruebas
periódicamente para análisis de
5 x
riesgos de la seguridad en las
empresas?
¿existen controles de vigilancia
sobre el acceso físico a las x
instalaciones?
¿se realizan revisiones y
monitoreo periódicamente para x
detectar intrusos?
OBJETIVO DE
DS5.6 Definición de Incidente de Seguridad:
CONTROL
¿Existe un ente encargado de
6 dar solución a incidentes de x
seguridad en la empresa?
OBJETIVO DE
DS5.7 Protección de la Tecnología de Seguridad:
CONTROL
¿Existen políticas para el
7 manejo de redes, sistemas x
operativos y aplicaciones?
OBJETIVO DE
DS5.8 Administración de Llaves Criptográficas:
CONTROL
¿La empresa cuenta con llaves
Criptográficas para proteger la
8 x
confidencialidad, integridad y
autenticidad de la información?
OBJETIVO DE DS5.9 Prevención, Detección y Corrección de
CONTROL Software Malicioso:
¿se cuenta con medidas de
prevención y detección para
9 x
proteger los datos de software
malicioso?
¿Existe control de acceso lógico
x
para la detección de intrusos?
OBJETIVO DE
DS5.10 Seguridad de la Red:
CONTROL
Filtro de paquetes,
¿Existe Firewalls, gateways Gateways a Nivel de
10 x
seguros? Circuitos y Gateways a
Nivel de Aplicación
OBJETIVO DE
DS5.11 Intercambio de Datos Sensitivos:
CONTROL
¿Existe una política que acoja a
todos los medios de intercambio
11 x Cifrado de datos
de datos que la organización
emplee?
1. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las
vulnerabilidades, amenazas y riesgos detectados con los
instrumentos de recolección de información.
Guía de Prueba P1.

DIGITAL WARE S.A R/PT: C1
Guía de Pruebas P1
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la seguridad de los
sistemas
Objetivo de Control DS5.1 Administración de la Seguridad de
TI:
Riesgos Asociados R1, R2, R3, R4, R5, R6, R7, R8
No Evidencia Descripción
1 Deficiente control No cuenta con Políticas y Normas
Administrativo referentes a la Seguridad del Sistema
Guía de Prueba P2.

Guía de Pruebas P2
sistemas
Objetivo de Control DS5.2 Plan de Seguridad de TI:
Guía de Prueba P3.

Guía de Pruebas P3
sistemas
Objetivo de Control DS5.3 Administración de Identidad:
1 No hay registro de No se cuenta con el registro de las
actividades actividades que los administradores y
usuarios realizan sobre un sistema.
Guía de Prueba P4.

Guía de Pruebas P4
sistemas
Objetivo de Control DS5.4 Administración de Cuentas del
Usuario:
1 Control de acceso Restringir el uso de los recursos del
sistema para aquellos usuarios no
autorizados
Guía de Prueba P5.

Guía de Pruebas P5
sistemas
Objetivo de Control DS5.5 Pruebas, Vigilancia y Monitoreo de
la Seguridad:
1 Bajo nivel de revisión Carece de herramientas en línea para
monitorear constantemente el estado de
la seguridad.
Guía de Prueba P6.

Guía de Pruebas P6
sistemas
Objetivo de Control DS5.6 Definición de Incidente de
Seguridad:
1 Incidentes No se lleva registro de incidentes de
seguridad.
Guía de Prueba P7.
Guía de Pruebas P7
sistemas
Objetivo de Control DS5.7 Protección de la Tecnología de
Seguridad:
1 Inadecuada seguridad física Falta de protección contra desastres
naturales.
Guía de Prueba P8.

Guía de Pruebas P8
sistemas
Objetivo de Control DS5.8 Administración de Llaves
Criptográficas:
1 Criptografía Vulnerabilidad en el cifrado
Guía de Prueba P9.

Guía de Pruebas P9
sistemas
Objetivo de Control DS5.9 Prevención, Detección y
Corrección de Software Malicioso:
1 Detección de intrusos Los equipos y sistemas tienen
deficiencias para detectar intrusos
Guía de Prueba P10.
Guía de Pruebas P10
sistemas
Objetivo de Control DS5.10 Seguridad de la Red:
Riesgos Asociados R1, R2, R8
1 Red No existen políticas para el manejo de
redes
Guía de Prueba P11.

Guía de Pruebas P11
sistemas
Objetivo de Control DS5.11 Intercambio de Datos Sensitivos:
Riesgos Asociados R1, R2, R7,
1 Vulnerabilidad de datos Inadecuados controles de accesos a
personal no autorizado
2. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos

detectados para cada proceso evaluado.
Vulnerabilidades Amenazas Riesgos

Deficiente control Descontrol Falta de Políticas y
Administrativo Normas referentes a la
Seguridad del Sistema
No hay registro de Pérdida de control No se cuenta con el
actividades por parte de registro de las
empleados actividades que los
administradores y
usuarios realizan sobre
un sistema.
Control de acceso Usuarios no autorizados uso indebido de los
recursos del sistema
Bajo nivel de revisión Pérdida de autoridad Carece de herramientas
en línea para monitorear
constantemente el
estado de la seguridad.
Incidentes Omisión de información No se lleva registro de
importante incidentes de seguridad.
Inadecuada seguridad Evento peligroso Falta de protección
física contra desastres
naturales.
Detección de intrusos Virus maliciosos Los equipos y sistemas
tienen deficiencias para
detectar intrusos
Red Ataques No existen políticas para
el manejo de redes
Vulnerabilidad de datos Manipulación y perdida de Inadecuados controles
información de accesos a personal
no autorizado
3. Realizar el análisis y evaluación de riesgos para cada proceso

asignado.
Riesgos iniciales.
1) Falta de Políticas y Normas referentes a la Seguridad del Sistema
2) Carece de herramientas en línea para monitorear constantemente el
estado de la seguridad.
3) Falta de protección contra desastres naturales.
4) Los equipos y sistemas tienen deficiencias para detectar intrusos
5) No existen políticas para el manejo de redes
6) Inadecuados controles de accesos a personal no autorizado
Riesgos Con La Aplicación De Instrumentos
7) las funciones de seguridad no están integradas en las funciones del
personal
8) no existe una política interna especifica del sistema para el manejo de la
seguridad en la empresa
9) Falta de revisiones y monitoreo periódicamente para detectar intrusos.
4. Elaborar la matriz de riesgos de cada proceso evaluado.
IMPACTO
NIVEL DESCRIPTO DESCRIPCIÓN
R
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o
efectos mínimos sobre la entidad
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o

efecto sobre la entidad
3 Moderado Si el hecho llegara a presentarse, tendría medianas

consecuencias o efectos sobre la entidad
4 Mayor Si el hecho llegara a presentarse, tendría altas

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas

PROBABILIDAD
NIVEL DESCRIPTOR FRECUENCIA
1 Raro No se ha presentado en los últimos 5 años
2 Improbable Se ha presentado al menos 1 vez en los últimos 5 años
3 Posible Se ha presentado al menos 1 vez en los últimos 2 años
4 Probable Se ha presentado al menos 1 vez en el último año
5 Casi seguro Se ha presentado más de 2 vez al año
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Impacto Probabilidad
R1 Falta de Políticas y Normas referentes a la 4 4
Seguridad del Sistema
R2 Carece de herramientas en línea para 4 4

monitorear constantemente el estado de la
seguridad.
R3 Falta de protección contra desastres naturales. 5 2

R4 Los equipos y sistemas tienen deficiencias para 4 5
detectar intrusos
R5 No existen políticas para el manejo de redes 3 4
R6 Inadecuados controles de accesos a personal 5 3

no autorizado
R7 las funciones de seguridad no están integradas 2 3

en las funciones del personal
R8 no existe una política interna especifica del 5 5

sistema para el manejo de la seguridad en la
empresa
R9 Falta de revisiones y monitoreo periódicamente 5 4

para detectar intrusos.
EVALUACIÓN Y MEDIDAS DE RESPUESTA

PROBABILIDAD IMPACTO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Raro (1)
Improbable (2) R3
Posible (3) R7 R6
Probable (4) R5 R1, R2 R9
Casi seguro (5) R4 R8
5. Elaborar el cuadro de tratamiento de riesgos para cada riesgo
detectado.
B Zona de riesgo baja: Asumir el riesgo, Aceptar el riesgo

M Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremos: Reducir el riego, evitar, compartir o
transferir
Cuadro de tratamientos de riesgos:

Zona de riesgo baja: Asumir el riesgo, aceptar el riesgo
R7 Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
R5 Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir
R1, R2, Zona de riesgo Extremos: Reducir el riesgo, evitar, compartir o
R3, R4, transferir
R6, R8, R9
Proceso auditado: DS7 Educar y entrenar usuarios
Presentado por: Federico Murillo
Actividades a desarrollar
1. Diseñar y aplicar los instrumentos de recolección de información
(Entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir
vulnerabilidades, amenazas y riesgos para cada proceso asignado.
El instrumento de recolección es: Entrevista
Ejemplo de entrevista
ENTIDAD AUDITADA DIGITAL WARE S.A.

Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y este
OBJETIVO DE AUDITORIA
consiente de los riesgos y responsabilidades
PROCESO AUDITADO DS7 Educar y entrenar los usuarios
RESPONABLE FEDERICO MURILLO MURILLO
MATERIAL SOPORTE COBIT
DOMINIO Entregar y dar soporte PROCESO DS7 Educar y entrenar los usuarios
ENTREVISTADO
CARGO
TEMA 1: EDUCAR Y ENTRENAR LOS USUARIOS:

1. ¿Se realizan entrenamientos al personal nuevo y antiguo de la
empresa?
Respuesta: Si, se realizan entrenamientos al personal dependiendo de
cada área, enfocándonos en sí, en el buen manejo del sistema
2. ¿La empresa debe tener todo el tiempo posible para realizar
capacitaciones a los empleados?
Respuesta: Claro, porque esto es una herramienta que pueda ayudar
en el desempeño de los empleados y nos ayuda a que tengan una mejor
visión de las ventaja y beneficios a la empresa
3. ¿Con cuánto tiempo de anterioridad se deben realizar las
capacitaciones a los empleados?
Respuesta: A los empleados se les avisara con un tiempo de
anterioridad de tres días, para que se alisten y tengan bien claro lo que
se les explicara y tendrán que poner a practica
4. ¿Qué perfiles buscan para el instructor de la capacitación?
Respuesta: Se busca una persona que tenga la confianza en sí mismo
y que transmita conocimientos al personal con el fin de que desarrollen
sus actividades con los procesos adecuados
TEMA 2: MARCO DE LA RELACION DE TRABAJO CON LOS

PROVEEDORES:
1. ¿tanto los proveedores como los clientes aplican un control de calidad
con conocimiento y cooperación mutua en cuanto a los sistemas de
control que se utilizan?
Respuesta: No, esto no lo aplicamos en el funcionamiento de nuestra
empresa
2. ¿Se intercambia información para obtener un mejor nivel de control
de calidad?
Respuesta: Si, porque este cambio de información ayuda en la toma de
decisiones para tener un producto final con todas las expectativas del
cliente
3. ¿Cuándo se conoce la naturaleza del producto, el proveedor es
responsable de dar un nivel de calidad que cumpla las expectativas del
cliente?
Respuesta: Si, porque el proveedor es el responsable de venderle al
cliente el producto como él lo quiere teniendo en cuenta sus
expectativas o gustos
4. ¿Qué potencial se visualiza al crear ventajas mutuas al colaborar con
el cliente?
Respuesta: Se visualiza un gran potencial, porque fluye todo el tipo de
ideas que ayuda a crecer a la empresa
TEMA 3: CIERRE DE INCIDENTES:
1. ¿Cuenta con personal de la empresa que realizan la gestión de
incidentes?
Respuesta: No, actualmente no tenemos personal que se ocupe en la
gestión de incidentes
2. ¿Realiza mejores prácticas para la gestión de incidentes?
Respuesta: Si, establecemos un canal de comunicación efectivo entre
los clientes y el equipo técnico, para que en caso de un incidente se
enviaran correos electrónicos a los usuarios.
3. ¿Cuenta con personal capacitado con el fin de detectar posibles
incidentes de seguridad de la información?
Respuesta: la empresa no cuenta con ese personal que busca restaurar
el servicio de la manera más rápida y eficaz posible
4. ¿Este cierre de incidentes ha causado alguna perdida de información
valiosa?
Respuesta: Si, porque mayormente las copias de seguridad se realizan
cada 8 días y si ocurre un cierre de incidentes en ese periodo de tiempo
que no re realiza una copia de seguridad se pierden toda la información
TEMA 4: ANALISIS DE TENDENCIAS:

1. ¿El entender la conducta del consumidor, es factor vital para una
empresa? ¿porqué?
Respuesta: Si, porque ayuda a tener una mejor imagen para la
empresa y además es esencial comprender la conducta del cliente
porque podemos saber las necesidades y expectativas de los
consumidores sobre lo que desea influir
2. ¿Las tendencias del consumo han modificado los productos finales en
el entorno productivo?
Respuesta: Si, porque los clientes desean el mejor producto con las
mejores tecnologías y que cumplan necesariamente cumplan con sus
expectativas
3. ¿Promueve estrategias comerciales para mayor estabilidad en los
mercados?
Respuesta: Si, realizamos estrategias comerciales como mostrar los
beneficios de nuestros productos y realizando demostraciones cortas de
nuestros productos
4. ¿Existen empresas que dominen el mercado por sus productos
finales?
Respuesta: Si, existen empresas que tiene una mayor audiencia y con
ellos unos mejores productos.
OBSERVACIONES
FIRMA DEL ENTREVISTADO
FIRMA DEL RESPONABLE DE LA ENTREVISTA
2. Diseñar y aplicar un conjunto de pruebas que permitan

confirmar las vulnerabilidad, amenazas y riesgos detectados con
los instrumentos de recolección de información.
Con el propósito de detallar las vulnerabilidades, amenazas y riesgos
que se ven expuestos en los activos de un sistema de información y
optimización de la seguridad, se detectó lo siguiente
-Pruebas. Se realizaron diferentes pruebas para saber el rendimiento del
sistema de información a través del empleo de herramientas como
wireshark que nos sirvió para realizar una prueba de seguridad y
verificar los mecanismos de control de acceso al sistema para evitar
alteraciones indebidas en los datos y saber que puede existir el riesgo
de que datos importantes se pierdan por un cierre de incidentes y
prevenir percances de seguridad, también realizamos una prueba
funcional en la herramienta de selenium que nos permitió visualizar si el
sistema realiza correctamente todas las funcione que se han propuesto
por el usuario y comprobamos que existen fallas en algunas cosas que
no se realizaron como lo quiso el usuario como la falta de copias de
seguridad cada 24 horas, también la falta de registro de las prestaciones
en la realización de pruebas.
3. Elaborar un cuadro de vulnerabilidades, amenazas y riesgos
detectados para cada proceso evaluado
El proceso evaluado es el DS7 Educar y entrenar los usuarios
VULNERABILIDADES AMENAZAS RIESGOS

Uso de software por Mal manejo de Baja calificación en la
usuarios no sistemas y gestión y desempeño
autorizados herramientas de la aplicación
Falta de inducción en No existe un proceso Poca productividad del
algunas áreas como lo formal de preparación empleado, podría
es de cierre de de funcionarios en el avanzar con dificultad
incidentes cierre de incidentes en la empresa
Perdida de datos por No establecen Acceso indebido por
error de usuario políticas de seguridadparte de los usuarios
de la información al sistema de
dentro de la empresa información
Falta de copias de Puede ocurrir que Perdida de
seguridad cada 24 algún código documentos
horas malicioso pase a la importantes para la
copia de seguridad empresa en caso de
un fallo en el sistema
No cuentan con Ocurren robo de datos El sistema en caso de
personal para en la base de datos y fallo se restaurará de
restaurar el servicio discos duros la manera menos
de la manera más rápida y podrá ocurrir
rápida perdida de copias o
datos
Bajo seguimiento de Poca organización en Insatisfacción del
las necesidades del la definición del cliente respecto al
consumidor mercado producto final
4. Realizar el análisis de evaluación de riesgos para cada proceso

asignado.
Para realizar el análisis de evaluación de riesgo usaremos el cuadro de
riesgo del consolidado anteriormente y los riesgos que se encontraron
aplicando el instrumento de recolección de información y los listaremos
Riesgos iniciales:
1. Cuentas activas de usuarios que ya no laboran en la empresa
2. Las pruebas del programa no son del todo seguras pueden provocar
problemas de seguridad
3. Falta de seguridad en el acceso de información
4. Incumplimiento de legislación en materia de protección de datos
Riesgos con la aplicación de instrumentos:

1.Baja calificación en la gestión y el desempeño de la aplicación
2. Poca productividad del emplead, podría avanzar con dificultad en la
empresa
3. Acceso indebido por parte de los usuarios al sistema de información
4. Perdida de documentos importantes para la empresa en caso de un
fallo en el sistema
5. El sistema en caso de fallo se restaurará de la manera menos rápida
y podrá ocurrir perdida de copias de seguridad o datos
6. Insatisfacción del cliente respecto al producto final
5. Elaborar la matriz de riesgos de cada proceso evaluado
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Insignificante Si el hecho llegara a
presentarse, tendría
consecuencias o efectos mínimos
sobre la entidad
2 Menor Si el hecho llegara a
presentarse, tendría bajo
impacto o efecto sobre la
entidad
3 Moderado Si el hecho llegara a
presentarse, tendría medianas
consecuencias o efectos sobre la
entidad
4 Mayor Si el hecho llegara a
presentarse, tendría altas
entidad
5 Catastrófico Si el hecho llegara a
presentarse, tendría desastrosas
entidad
PROBABILIDAD
1 Raro No se ha presentado en los
últimos 5 años
2 Improbable Se ha presentado al menos 1 vez
en los últimos 5 años
3 Posible Se ha presentado al menos 1 vez
en los últimos 2 años
4 Probable Se ha presentado al menos 1 vez
en el último año
5 Casi seguro Se ha presentado mas de 2 vez
al año

R1 Cuentas activas de usuarios que ya 5 4
no laboran en la empresa
R2 Las pruebas de los programas no son 4 3
del todo seguras pueden provocar
problemas de seguridad
R3 Falta de seguridad en el acceso de la 5 5
información
R4 Incumplimiento de legislación en 3 3
materia de protección de datos
R5 Baja calificación de la gestión y 3 4
desempeño de la aplicación
R6 Poca productividad del empleado, 4 2
podría avanzar con dificultad en la
empresa
R7 Acceso indebido por parte de los 3 3
usuarios al sistema de información
R8 Perdida de documentos importantes 5 5
para la empresa en caso de un fallo
en el sistema
R9 El sistema en caso de fallo se 5 5
restaurará de la manera menos
rápida y podrá ocurrir perdida de
copias de seguridad o datos
R1 Insatisfacción del cliente respecto al 3 3
0 producto final
PROBABILIDA IMPACTO
D Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1)
Improbable R6
(2)
Posible (3) R4, R7, R2, R9
R10
Probable (4) R5 R1
Casi seguro R3, R8, R9
(5)

detectado.

M Zona de riesgo moderada: Asumir el riesgo, reducir el
riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o
transferir
E Zona de riesgo Extremos: Reducir el riego, evitar, compartir
o transferir

Zona de riesgo moderada: Asumir el riesgo, reducir el
riesgo
R4, R5 Zona de riesgo alta: Reducir el riesgo, evitar, compartir o
R6, R7, transferir
R10
R1, R2, Zona de riesgo Extremos: Reducir el riesgo, evitar,
R3, R8, compartir o transferir
R9
Proceso auditado: DS8 Administrar la Mesa de Servicio y los Incidentes
Presentado por: Victor Manuel Garcia Hurtado
Desarrollo de la actividad
1. Diseñar y aplicar los instrumentos de recolección de

información (entrevistas, listas de chequeo, cuestionarios,
pruebas) para descubrir vulnerabilidades, amenazas y
riesgos para cada proceso asignado.
ENTIDAD PAGINA
DIGITAL WARE S.A
AUDITADA 1 DE 1
Realizar un control de todos los componentes de
PROCESO software de la empresa y ver cuál es la situación
AUDITADO actual en referencia a las novedades y la legalidad de
los programas utilizados.
RESPONSABLE Victor Manuel Garcia Hurtado
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS: Entregar y Dar Soporte
PROCESO DS8: Administrar la Mesa de Servicio y los Incidentes
Lista chequeo aplicado al proceso PO9 estándar CobIT: Administrar la

Mesa de Servicio y los Incidentes
LISTA CHEQUEO
DS8 Administrar la
Entregar y Dar
DOMINIO PROCESO Mesa de Servicio y los
Soporte (DS)
Incidentes
OBJETIVO DE
DS8.1 Mesa de Servicios:
CONTROL
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
1 ¿Los procedimientos de x ninguna
monitoreo y escalamiento
permiten medir satisfacción del
usuario final respecto a la
calidad de la mesa de servicios
y de los servicios de TI.?
OBJETIVO DE
DS8.3 Escalamiento de Incidentes:
CONTROL
¿Los limites acordados en el
SLA permiten que los
2 incidentes puedan ser x ninguna
escalados de manera
adecuada?
OBJETIVO DE
DS8.4 Cierre de Incidentes:
CONTROL
¿Se establecen procedimientos
para el monitoreo de la
3 X ninguna
resolución de incidentes a los
usuarios?
OBJETIVO DE
DS8.5 Análisis de Tendencias:
CONTROL
¿Se emiten reportes en los que
se pueda identificar tendencias y
4 x ninguna
medir el desempeño del servicio
y los tiempos de respuesta?
2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las

vulnerabilidades, amenazas y riesgos detectados con los
instrumentos de recolección de información.
Guía de Prueba P1.

Guía de Pruebas P1
Proceso DS8 Administrar la Mesa de Servicio y
los Incidentes
Objetivo de Control DS8.1 Mesa de Servicios:
1 Hay deficiencias en el No cuenta con Políticas y Normas
proceso de monitorea referentes a la seguridad de la
información tratada
Guía de Prueba P2.
Guía de Pruebas P2
los Incidentes
Objetivo de Control DS8.3 Escalamiento de Incidentes:
Riesgos Asociados R1, R2, R3, R4, R6, R7
Guía de Prueba P3.

Guía de Pruebas P3
los Incidentes
Objetivo de Control DS8.4 Cierre de Incidentes:
1 Mal monitoreo y trazabilidad No se cuenta con el monitoreo de las
al solucionar las consultas actividades la mesa de servicio realiza a
sus clientes.
Guía de Prueba P4.

Guía de Pruebas P4
los Incidentes
Objetivo de Control DS8.5 Análisis de Tendencias:
1 Control de acceso Restringir el uso de los recursos del
sistema para aquellos usuarios no
autorizados
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos

detectados para cada proceso evaluado.
Vulnerabilidades Amenazas Riesgos

Brindar información Filtrado de información Riesgo para la
sensible y no llevar un sensible seguridad de la
buen control de esta información de la
empresa.
Inadecuada seguridad Daño al patrimonio Afectaciones al
de los datos patrimonio de la
empresa
Deficiente en los Afectación en la Información con poco
procesos de monitoreo indexación de valor informativo
información
Reportes que indican Tomar acciones que Información sin una
tendencias equivocas afecten algunos base sólida de soporte
procesos
4. Realizar el análisis y evaluación de riesgos para cada proceso

asignado.
Riesgos iniciales.
10) Falta de manejo de la información por la carencia de proceso de

trazabilidad
Riesgos Con La Aplicación De Instrumentos
11) Mala interpretación de las tendencias por un mal proceso de

recolección de información.
12) Poco escalamiento de los incidentes.
13) Malos procedimientos de cierre.
14) Baja garantía en la resolución de incidentes.
5. Elaborar la matriz de riesgos de cada proceso evaluado.
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias
o efectos mínimos sobre la entidad
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o

efecto sobre la entidad
3 Moderado Si el hecho llegara a presentarse, tendría medianas

4 Mayor Si el hecho llegara a presentarse, tendría altas

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas

PROBABILIDAD
1 Raro No se ha presentado en los últimos 5 años
2 Improbable Se ha presentado al menos 1 vez en los últimos 5 años
3 Posible Se ha presentado al menos 1 vez en los últimos 2 años
4 Probable Se ha presentado al menos 1 vez en el último año
5 Casi seguro Se ha presentado más de 2 vez al año
R1 Falta de manejo de la información por la 4 4
carencia de proceso de trazabilidad
R2 Mala interpretación de las tendencias por 3 2
un mal proceso de recolección de
información.
R3 Poco escalamiento de los incidentes. 4 3
R4 Malos procedimientos de cierre. 4 5
R5 Baja garantía en la resolución de 4 4
incidentes.

PROBABILIDAD IMPACTO
Insignificante Menor Moderado Mayor Catastrófico (5)
(1) (2) (3) (4)
Raro (1)
Improbable (2) R2
Posible (3) R3
Probable (4) R1, R5
Casi seguro (5) R4

detectado.

M Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o
transferir
E Zona de riesgo Extremos: Reducir el riego, evitar, compartir o
transferir

R2 Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
Zona de riesgo alta: Reducir el riesgo, evitar, compartir o
transferir
R1, R3 Zona de riesgo Extremos: Reducir el riesgo, evitar, compartir o
R4, R5 transferir
Proceso auditado: DS12 Administración del ambiente físico
Presentado por: Cristian Valencia
Actividades a desarrollar
1.Diseñar y aplicar los instrumentos de recolección de
información (Entrevistas, listas de chequeo, cuestionarios,
pruebas) para descubrir vulnerabilidades, amenazas y riesgos
para cada proceso asignado.
El instrumento de recolección es: Entrevista
ENTIDAD DIGITAL WARE S.A. PAGINA

AUDITADA 1 D 1
E
OBJETIVO Conocer los problemas relacionados con los equipos de
AUDITORÍA cómputos y del personal.
PROCESO DS12: Administración del ambiente físico
AUDITADO
RESPONSABLE Cristian Valencia Peña
MATERIAL DE SOPORTE COBIT
DOMI Adquirir e PROCE DS12: Administración del
NIO Implementar - AI SO ambiente físico
ENTREVISTADO
CARGO
Tema 1: Hardware y equipos de cómputo
1. ¿Se siente a gusto con el rendimiento de los equipos para

desempeñar su labor?
Respuesta: si, los equipos son óptimos para trabajar.
2. ¿Cuentan con un área de soporte técnico?
Respuesta: claro que sí, garantizan las fallas que se presentan.
3. ¿Cuántos Mantenimiento se le han realizado al equipo?
Respuesta: actualmente 1.
4. ¿Qué dificultades tienes en el manejo de un Computador y/o Móvil?
Respuesta: ninguno.
Tema 2: Medidas de seguridad física

1 ¿Conoce las regulaciones correspondientes a la seguridad y de salud
en el trabajo?
Respuesta: si claro.
2. ¿Conoce los lineamientos de seguridad y salud en el trabajo?
Respuesta: por supuesto que sí.
3. ¿Se han presentado incidentes de seguridad física?
Respuesta: actualmente no.
4. ¿Cuentan con medidas de seguridad física?
Respuesta: sí.
Tema 3: Administración de Instalaciones Físicas

1. ¿Las instalaciones son adecuadas para el desempeño de funciones
laborales?
Respuesta: agradables para laborar
2. ¿Cuentan con un buen suministro de energía?

Respuesta: si claro.
3. ¿Los lineamientos de seguridad son apropiados?

Respuesta: son pertinentes.
4. ¿El personal cuenta con un registro de acceso a las instalaciones?
Respuesta: si claro, se tiene un control.
2. Diseñar y aplicar un conjunto de pruebas que permitan

confirmar las vulnerabilidad, amenazas y riesgos
detectados con los instrumentos de recolección de
información.
Las pruebas se realizarán de manera Unitaria, analizando la
funcionalidad, integración, validación y pruebas del sistema mediante
estos pasos diseñados a continuación:
1. Observación de cada una de las áreas con el fin de tener un

cotejo de los componentes de hardware que cuenta la empresa.
2. Entrevistas/Encuestas con cada una de las áreas y centro de
cómputo.
3. Análisis de documentos de gestión y técnicos.
4. Análisis de las claves de acceso, control, seguridad,
confiabilidad y respaldos.
5. Evaluar las tecnologías de información tanto de hardware como
del software.
6. Evaluar las medidas de seguridad con las que cuenta la
empresa.
Los procedimientos que se llevarán a cabo serán los siguientes:
 Tomar cada una de los equipos y evaluar la dificultad de acceso al

sistema.
 Intentar sacar datos con un dispositivo externo con el fin de
verificar la seguridad del sistema.
 Facilidad de acceso a información confidencial tanto de usuarios y
contraseñas del sistema.
 Verificación de mantenimiento preventivo de los componentes de
hardware.
3. Elaborar un cuadro de vulnerabilidades, amenazas y riesgos

detectados para cada proceso evaluados
DS12: Administración del ambiente físico

VULNERABILIDADES AMENAZAS RIESGOS
Mantenimiento Mal exposición de Fallas por
correctivo físico. unidades de equipo degradación de
cómputo y lugares de tiempo y
almacenamiento. disponibilidad del
software y hardware
Ingreso de personal no Causar interrupciones Daños a los equipos
autorizado a lugares en la operación de los de cómputo.
de almacenamiento de equipos.
equipos de cómputo.
Incidentes de La ubicación de los Causan daños al
seguridad física equipos críticos y monitoreo de
áreas de envío y presencias de
recepción. operaciones críticas
de TI.
Instalaciones físicas Lineamientos de Equipo de
seguridad y salud comunicaciones y
suministro de energía
en las instalaciones.
4. Realizar el análisis y evaluación de riesgos para cada

proceso asignado.
En esta etapa se obtendrá el análisis y evaluación de los resultados que

surjan de la aplicación de los procedimientos de control y las pruebas
realizadas con el propósito de determinar si cumple o no con el objetivo
del plan de la auditoria definidos mediante el proceso de control
Riesgos iniciales:
 Daños leves o inutilizar completamente el equipo
 No hay un control activo en las aplicaciones de los equipos de la
empresa
 No se realizan copias de seguridad constantemente de la
información.
Riesgos con la aplicación de instrumentos:

 Fallo en los equipos produciendo la perdida de la información.
 Retrasos de operatividad en caso de fallo de equipos de cómputo.
 Perdida de copias de seguridad de los equipos de cómputo en caso
de fallo.
 Incumplimiento en el cronograma de copias de seguridad de
equipos de cómputo de usuarios y servidores
5. Elaborar la matriz de riesgos de cada proceso evaluado

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE
RIESGOS
IMPACTO
NIVE DESCRIPTO
DESCRIPCIÓN
L R
Si el hecho llegara a presentarse,
1 Insignificante tendría consecuencias o efectos
mínimos sobre la entidad
2 Menor tendría bajo impacto o efecto
sobre la entidad
3 Moderado tendría medianas consecuencias
o efectos sobre la entidad
4 Mayor tendría altas consecuencias o
efectos sobre la entidad
tendría desastrosas
5 Catastrófico
entidad
PROBABILIDAD
NIVE
DESCRIPTOR DESCRIPCIÓN
L FRECUENCIA
No se ha
El evento puede ocurrir sólo en
1 Raro presentado en los
circunstancias excepcionales
últimos 5 años
Se ha presentado al
El evento puede ocurrir en algún
2 Improbable menos 1 vez en los
momento
últimos 5 años
El evento puede ocurrir en algún Se ha presentado al
3 Posible
momento menos de 1 vez en
los últimos 2 años
El evento probablemente ocurrirá Se ha presentado al
4 Probable en la mayoría de las menos 1 vez en el
circunstancias último año
Se espera que el evento ocurra
Se ha presentado
5 Casi Seguro en la mayoría de las
más de 1 vez al año
circunstancias

R1 Fallo en los equipos produciendo la perdida de la 5 4
información.
R2 Accesos no autorizados a las instalaciones del 4 3
área tecnológica
R3 Indisponibilidad del servidor o equipos de 4 4
computo
R4 Perdida de copias de seguridad de los equipos 3 2
de cómputo en caso de fallo
R5 Retrasos de operatividad en caso de fallo de 3 3
equipos de cómputo
R6 Desactualización Software 2 2
R7 Perdida de información por virus informáticos 5 3
R8 Funcionamiento inadecuado de las aplicaciones 4 3
de software institucionales
MATRIZ DE RIESGOS

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1)
Improbable (2)
Posible (3) R6, R4, R2, R1, R5, R8
Probable (4) R3, R7
Casi Seguro (5)

detectado.
B Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o
A transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir
E o transferir
CUADRO DE TRATAMIENTO DE RIESGOS

Zona de riesgo Baja: Asumir el riesgo, Aceptar el
riesgo
Zona de riesgo Moderada: Asumir el riesgo, reducir
el riesgo
Zona de riesgo Alta: Reducir el riesgo, evitar,
R4,R6 compartir o transferir
R1,R2,R3,R5,R7, Zona de riesgo Extremo: Reducir el riesgo, evitar,
R8 compartir o transferir
Conclusiones
Al finalizar este trabajo podemos concluir que se han desarrollado las

temáticas de las fases anteriores y esta nueva fase donde ejecutamos la
auditoria, identificando las vulnerabilidad, amenazas y riesgos aplicando
los instrumentos de recolección para cada proceso asignado y realizando
un análisis, una evaluación y la matriz de los riesgos encontrados por
cada proceso,
Bibliografía
Solarte Solarte, F. N. (2011, 30 noviembre). CONCEPTOS DE

AUDITORIA. AUDITORIA INFORMATICA Y DE SISTEMAS.
http://auditordesistemas.blogspot.com/2011/11/conceptos.html
Solarte Solarte, F. N. (2011, 30 noviembre). METODOLOGÍA PARA

REALIZAR AUDITORÍA. AUDITORÍA INFORMÁTICA Y DE SISTEMAS.
http://auditordesistemas.blogspot.com/2011/11/conceptos.html

Fase3 EjecucionDeAuditoria 90168 46

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase3 EjecucionDeAuditoria 90168 46

Cargado por

Copyright:

Formatos disponibles

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Fase 3 – Ejecución de la auditoria

Universidad Nacional Abierta y a Distancia

En este trabajo se desarrollará la guía de actividad de la Fase 3

Proceso auditado: DS5 Garantizar la seguridad de los sistemas

REPOSITORIO DE PRUEBAS APLICABLES

Guía de Prueba P1.

Guía de Prueba P2.

Guía de Prueba P3.

Guía de Prueba P4.

Guía de Prueba P5.

Guía de Prueba P6.

Guía de Prueba P8.

Guía de Prueba P9.

Guía de Prueba P11.

2. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos

Vulnerabilidades Amenazas Riesgos

3. Realizar el análisis y evaluación de riesgos para cada proceso

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o

3 Moderado Si el hecho llegara a presentarse, tendría medianas

4 Mayor Si el hecho llegara a presentarse, tendría altas

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas

2 Improbable Se ha presentado al menos 1 vez en los últimos 5 años

3 Posible Se ha presentado al menos 1 vez en los últimos 2 años

4 Probable Se ha presentado al menos 1 vez en el último año

5 Casi seguro Se ha presentado más de 2 vez al año

R2 Carece de herramientas en línea para 4 4

R3 Falta de protección contra desastres naturales. 5 2

R5 No existen políticas para el manejo de redes 3 4

R6 Inadecuados controles de accesos a personal 5 3

R7 las funciones de seguridad no están integradas 2 3

R8 no existe una política interna especifica del 5 5

R9 Falta de revisiones y monitoreo periódicamente 5 4

EVALUACIÓN Y MEDIDAS DE RESPUESTA

B Zona de riesgo baja: Asumir el riesgo, Aceptar el riesgo

Cuadro de tratamientos de riesgos:

ENTIDAD AUDITADA DIGITAL WARE S.A.

PROCESO AUDITADO DS7 Educar y entrenar los usuarios

RESPONABLE FEDERICO MURILLO MURILLO

MATERIAL SOPORTE COBIT

TEMA 1: EDUCAR Y ENTRENAR LOS USUARIOS:

TEMA 2: MARCO DE LA RELACION DE TRABAJO CON LOS

TEMA 4: ANALISIS DE TENDENCIAS:

FIRMA DEL ENTREVISTADO

FIRMA DEL RESPONABLE DE LA ENTREVISTA

2. Diseñar y aplicar un conjunto de pruebas que permitan

VULNERABILIDADES AMENAZAS RIESGOS

4. Realizar el análisis de evaluación de riesgos para cada proceso

Riesgos con la aplicación de instrumentos:

5. Elaborar la matriz de riesgos de cada proceso evaluado

ANALISIS Y EVALUACIÓN DE RIESGOS

6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo

B Zona de riesgo baja: Asumir el riesgo, Aceptar el riesgo

Cuadro de tratamientos de riesgos:

Zona de riesgo baja: Asumir el riesgo, aceptar el riesgo

1. Diseñar y aplicar los instrumentos de recolección de

Lista chequeo aplicado al proceso PO9 estándar CobIT: Administrar la

2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las

Guía de Prueba P1.

DIGITAL WARE S.A R/PT: C1

Guía de Prueba P2.

DIGITAL WARE S.A R/PT: C2

Guía de Prueba P3.