Fase4 Auditoría Trabajo Colaborativo

Auditoria de Sistemas
Fase 4 – Resultados de la Auditoria
Estudiantes
Yosimar Pereira Acosta
Neivis Alejandro Garcia
Keyla Sugey Villareal
Jeyson Fernando Mercado
Grupo # 90168_46
Tutor
Francisco Nicolas Solarte
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA
INGENIERIA DE SISTEMAS
SANTA MARTA
2019
INTRODUCCIÓN
Es importante reconocer que el tratamiento de los riesgos productos de auditorías
informáticas, son la base fundamental para ejecutar procesos de excelencia dentro del plano
empresarial, además detectarlos con pertinencia nos brinda una línea base para la toma de
decisiones y orientaciones específicas a todo aquello que nos compete en este compromiso
de hacer parte de las soluciones de lo que desde lo disciplinar nos llama a atender.
En este orden de ideas, es oportuno sensibilizar, a partir de los procesos evaluados en fases
anteriores de la auditoría, sobre los hallazgos y sus respectivos tratamientos, que luego son
concretados en controles que a su vez se respaldan en posibles soluciones que se consideran
son oportunas, debido a resultados anteriores y por supuesto, desde lo respaldado en la
normativa CobIT.
Objetivos:
• Dar a conocer los resultados del proceso de auditoria
• Concretar los hallazgos de la auditoria con sus respectivas recomendaciones y
acciones a seguir, para procurar dar soluciones a las amenazas, vulnerabilidades y
riesgos encontrados
A continuación, el cuadro de tratamiento de riesgos de los procesos evaluados en la fase
anterior de la auditoria aplicada a la empresa Postobón S.A, abordados por Yosimar Pereira
Acosta:
• DS5 Garantizar la Seguridad de los Sistemas
• DS7 Educar y Entrenar a los Usuarios

A continuación, se presentan los cuadros de hallazgos para cada uno de los 4 riesgos
presentados en el cuadro inmediatamente anterior, cuyo tratamiento requerido es
controlarlo, visibilizando las posibles causas que lo originan y las posibles consecuencias
que puede traer de llegar a ocurrir, el nivel de riesgo en que se encuentra el proceso y las
posibles soluciones o controles (preventivas, detectivas, correctivas o de recuperación).
Tablas de Hallazgos
REF
HALLAZGO 1
O1
PROCESO PÁGINA
Proceso de administración de la seguridad
AUDITADO 1 DE 1
RESPONSABLE Yosimar Pereira Acosta
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
ENTREGAR Y
Seguridad de los
DOMINIO PROCESO
Sistemas
DAR SOPORTE
DESCRIPCIÓN:
• No existen procedimientos para el manejo y búsqueda de la información, por ende,

se evidencia ausencia del respaldo de la información.
• No se encuentra determinado el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, políticas, estándares y procedimientos de TI,
dentro de la empresa, que contribuya a su óptimo funcionamiento.
Esto se presenta por la falta de una efectiva administración de la seguridad que apoye la
protección de todos los activos de TI.
CAUSAS: Las posibles causas pueden derivar de la falta de preparación del talento
humano para actuar frente al respaldo de la información que permita garantizar prácticas
eficientes y confiables en la búsqueda de la información, sin que está quede desprotegida
o sea susceptible de ser divulgada de manera inescrupulosa.
CONSECUENCIAS:
• Al no contar con un personal cualificado que pueda entregar y dar soporte de
manera pertinente puede existir perdida de información valiosa, asociada a diversos
segmentos poblacionales de la empresa, tales como proveedores, clientes y demás.
• Puede generarse necesidad permanente de transferir las responsabilidades a otras
empresas que prestan servicios que apoyan la solvencia de este tipo de necesidades,
presentado sobrecostos en el área de comercio.

VALORACIÓN DEL RIESGO:
• Probabilidad de ocurrencia: 50%
• Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
• Es importante concientizar al área de la empresa intervenida, la importancia de
implementar procesos relacionados con la protección de la información, debido
que esto, es la columna vertebral del componente financiero y de esto depende la
confidencialidad de todo aquello que se quiera hacer en cuanto a negociación,
eficacia y eficiencia del manejo de la información y optimización del área y sus
funciones.
EVIDENCIAS - REF_PT:
Fuentes de conocimiento, listas de chequeo y cuestionarios.

REF
HALLAZGO 2
O2
PROCESO Roles y responsabilidades de seguridad, PÁGINA
AUDITADO políticas, estándares y procedimientos de T. I 1 DE 1
RESPONSABLE Yosimar Pereira
MATERIAL DE
COBIT
SOPORTE
DS7 Educar y
Entregar y Dar
DOMINIO PROCESO Entrenar a los
Soporte
Usuarios
DESCRIPCIÓN:
• No existe desde el talento humano, una estructura específica que ayude a
visibilizar cada uno de los roles que se asumen en las respectivas
responsabilidades que subyacen de la seguridad, política, estándar y
procedimientos asociados a T.I
• Hay ausencia de una cultura organizacional que apoye la asignación de roles
dentro del área intervenida, que den cuenta de los procesos llevados a cabo y que
respalden la oportuna prestación del servicio, a partir de la adquisición de
responsabilidades propias de cada uno de los colaboradores.

CAUSAS: Hay ausencia de fases de alistamiento para los colaboradores que empiezan a
hacer parte del área intervenida, lo que retrasa los procesos, puesto que, cada uno de los
que desempeñan un rol lo hacen sin orientaciones provenientes de un líder visible o
responsable de su cargo de manera pertinente.
CONSECUENCIAS:
• Perdida de la información por no tener roles definidos que apoyen el origen de las
fallas.
• Información mal direccionada que se contrapone a la misión del área encargada y
por ende de la empresa.
• Detrimento patrimonial al no tener claro de donde provienen fallas que dan pie a la
contratación de agentes externos para que apoyen las dificultades presentadas.
• Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:
• Crear un plan de alistamiento al ingreso del personal al área, permitiendo que se
apropien de la misión y visión del área con relación a la existente a la empresa, lo

que permitiría la fluidez de la operación con eficacia, eficiencia y por supuesto
con calidad.
• Crear un diagrama de flujo que direccione a cada uno de los responsables del área
a la solución de problemas que se derivan de allí, permitiéndoles actuar con
rapidez frente a las novedades.
EVIDENCIAS - REF_PT: listas de chequeo, cuestionarios y diagnóstico inicial.

REF
HALLAZGO 3
O3
PROCESO Cultura Organizacional asociada al respaldo de PÁGINA
AUDITADO las políticas y procedimientos. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Entregar y Dar
DOMINIO PROCESO Seguridad de los
Soporte
Sistemas
DESCRIPCIÓN:
• La Administración de la Seguridad de TI, nos indica que ésta se debe presentar
desde los más altos niveles de apropiación de la organización; lo que no
corresponde con la realidad del área encargada, debido que no hay una cultura
organizacional que respalde lo propuesto desde el Dominio evaluado.
• Los usuarios internos y externos no cuentan con la debida identificación al acceder
a información privilegiada y confidencial del área, además no hay navegadores
para agentes externos y que así accedan de manera independiente a lo que
requieran elaborar.
CAUSAS: Falta de formatos que direccionen cada una de las funciones, deberes y
obligaciones para que esta situación no ocurra y por el contrario pueda brindar la
tranquilidad de que todo ocurre de manera pertinente.
CONSECUENCIAS:
• Puede llegarse a filtrar información confidencial por falta de diversidad de redes
que den acceso independiente a agentes internos y externos y que por tanto no
pertenecen al área intervenida.
RECOMENDACIONES:
• Implementar un plan de trabajo donde se visibilice una cultura organizacional que
respalde la toma de decisiones, la confidencialidad de la información y la
elaboración de formatos que correspondan a los procedimientos que hacen parte

de la cotidianidad del área.
EVIDENCIAS - REF_PT: listas de chequeo, cuestionarios y diagnóstico inicial.
REF
HALLAZGO 4
O4
PROCESO PÁGINA
Cualificación del personal
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS7 Educar y
Entregar y Dar
DOMINIO PROCESO Entrenar a los
Soporte
Usuarios
DESCRIPCIÓN:
• Se evidencia un entrenamiento deficiente del personal del área, encargado de la
dirección del área auditada.
• El objetivo de control de Identificación de Necesidades de Entrenamiento y
Educación nos indica que se debe establecer y actualizar de forma regular un

programa de entrenamiento, que permita dirigir de manera pertinente la seguridad
de la información, en cabeza de un líder debidamente preparado para asumir los
retos que se presentan desde el área intervenida y por el contrario, se presentan
debilidades que dan paso a riesgos asociados a la divulgación de información
importante y confidencial.
CAUSAS: Falta de una cultura organizacional que apoye la trazabilidad de la misión y
visión de la empresa, en función del área intervenida.
CONSECUENCIAS:
• Adjudicación de responsabilidades al azar al no existir un líder visible que
respalde las consecuencias de las acciones no convenientes para el área.
• Falta de estrategias que solventen las consecuencias de las acciones mal
direccionadas.
• Perdida de tiempo y dinero que puede ser direccionado para gastos de otro tipo,
distintos a los que no pudieron ser previstos.

RECOMENDACIONES:
• Iniciar de manera urgente un proceso de formación que apoye el empoderamiento
de lideres que aporten soluciones a las situaciones presentadas.
• Evaluar el entrenamiento recibido, para verificar pertinencia en sus contenidos con
relación a las demandas del área y del cargo al que esta enfocado el proceso de
cualificación.
EVIDENCIAS - REF_PT: listas de chequeo, cuestionarios y diagnóstico inicial

A continuación, se presenta el cuadro de los controles, en conformidad con las
recomendaciones y hallazgos, expuestos anteriormente.
RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
Inexistencia de PREVENTIVO Concientizar sobre la importancia de

procedimientos para el
manejo y búsqueda de la implementar procesos relacionados con
información,
adicionalmente no la protección de la información y de la
se encuentra
determinado los roles y manera de hacer eficaz y eficiente su
responsabilidades de
seguridad. manejo y optimización.
Ausencia de una cultura DETECTIVO Crear un plan de alistamiento al ingreso

organizacional que apoye
la asignación de roles del personal al área; Adicionalmente
dentro del área
crear un diagrama de flujo que
direccione a cada uno de los
responsables del área a la solución de
problemas
Los usuarios internos y PREVENTIVO Implementar un plan de trabajo donde se

externos no cuentan con
visibilice una cultura organizacional que
la debida identificación
al acceder a información respalde la toma de decisiones, la
privilegiada y
confidencialidad de la información y la
confidencial del área.
elaboración de formatos que
correspondan a los procedimientos que
hacen parte de la cotidianidad del área.
Entrenamiento deficiente CORRECTIVO Debido a las consecuencias presentadas
del personal del área,
por la falta de entrenamiento del
Además no se visibiliza
un líder que apoye estos
procesos. personal, se requiere de manera urgente
un proceso de formación que apoye el
empoderamiento de líderes.
Tabla Hallazgo 1
REF
HALLAZGO 1
R1
PROCESO Se desconoce la norma técnica ISO27001 PÁGINA

AUDITADO para el manejo de la información. 1 DE 1
RESPONSABLE Keyla Villarreal Fontalvo
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
DESCRIPCIÓN:
• No existe el conocimiento de la norma técnica para el manejo de la información
por parte de los actores del sistema.
CAUSAS: Es debido a que la empresa no ha implementado el estándar internacional para

el manejo de la información, y no ha impartido la cultura del tratamiento de la misma en
todos sus empleados.
Es por tanto el desconocimiento de la misma en toda la organización.
CONSECUENCIAS:
• Al no existir la política de tratamiento de la información implementada esta última
como activo en la organización se puede ver comprometida, ya que no existe un
control de las mismas, un ejemplo puede ser los proveedores o los balances de
cuentas estar expuesto a la competencia ya que no se toman controles del filtro de
información ocasionando pérdidas económicas.

RECOMENDACIONES:
• Elaborar e implementar políticas y procedimientos relacionados con el tratamiento
de información basado en la norma técnica internacional ISO27001 ajustado a la
necesidad de organización.
• Divulgar en todos los empleados la política de tratamiento de información.
Tabla Hallazgo 2
REF
HALLAZGO 2
R2
PROCESO No se cuenta con una política aplicada para PÁGINA

AUDITADO el manejo de la información. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• No se cuenta con servidor de datos centralizado para el manejo de la información
estando estas dispersas en cada equipo de cómputo y lo que dificulta la
recuperación de estas en caso de pérdidas.
CAUSAS: No existe un procedimiento de guardar la información en un sitio remoto y de

manera unificada implementada por parte del departamento de sistemas.
CONSECUENCIAS:
• Al no existir un procedimiento que almacene la información de manera
centralizada esta puede estar sujeta a exposición de factores externos como daños
a equipos, poca disponibilidad y confiabilidad de la información, y no se puede
recuperar en su totalidad en caso de pérdidas.

RECOMENDACIONES:
Tabla Hallazgo 3
REF
HALLAZGO 3
R3
PROCESO P02 Definir la Arquitectura de la PÁGINA

AUDITADO Información 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• No existe el conocimiento de la norma técnica para el manejo de la información
por parte de los actores del sistema.
CAUSAS: Es debido a que la empresa no ha implementado el estándar internacional para

el manejo de la información, y no ha impartido la cultura del tratamiento de la misma en
todos sus empleados.
CONSECUENCIAS:
• Al no existir la política de tratamiento de la información implementada esta última
como activo en la organización se puede ver comprometida, ya que no existe un
control de las mismas, un ejemplo puede ser los proveedores o los balances de
cuentas estar expuesto a la competencia ya que no se toman controles del filtro de
información ocasionando pérdidas económicas.

• Impacto según relevancia del proceso: Mayor.
RECOMENDACIONES:
• Tomar por lo menos un equipo de cómputo adaptarlo con suficiente espacio y
colocarlo en red como servidor de archivos y compartir cada carpeta por usuario
para el manejo de información, así de esta forma unificar los datos de la
organización.
Tabla Hallazgo 4
REF
HALLAZGO 4
R4
PROCESO Funcionamiento inadecuado del PÁGINA

AUDITADO almacenamiento de datos. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• El almacenamiento de datos no se encuentra compartido con un servidor de
archivo lo que causa que la información está dispersa por la organización y no de
manera centralizada.
CAUSAS:
El departamento de sistemas no ha implementado un esquema de almacenamiento de la
información que cumpla con los criterios mínimos de confiabilidad y disponibilidad en la
organización.
CONSECUENCIAS:
• Perdida de información y poca disponibilidad de la misma

• Impacto según relevancia del proceso: Catastrófico.
RECOMENDACIONES:
• Implementar Esquema de red de archivo para el almacenamiento de la
información.
Tabla Hallazgo 5
REF
HALLAZGO 5
R5
PROCESO Fallas en las telecomunicaciones y/o fluido PÁGINA

AUDITADO eléctrico. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar PROCESO P02 Definir la
(PO) Arquitectura de la
Información
DESCRIPCIÓN:
• Se presenta fallas en el fluido eléctrico en los equipos exponiendo estos mismo a
constantes apagones, comprometiendo la información allí almacenada a no estar
disponible para la organización o perdida de la misma por falla en los discos
duros.
CAUSAS: Deterioro en el cableado eléctrico.
CONSECUENCIAS:
• Daños en los equipos de cómputo y almacenamiento.

• Impacto según relevancia del proceso: Mayor
RECOMENDACIONES:
• Contratar una empresa externa para arreglar la acometida eléctrica e implementar
mejoras.
Tabla Hallazgo 6
REF
HALLAZGO 6
R6
PROCESO PÁGINA
Fallas en la red de datos hacia el servidor.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• Se presenta fallas en la trasmisión de datos en red, ocasionando pérdidas de
paquetes o no llegan a su destino.
CAUSAS: El deterioro del cableado de datos y la no utilización de una categoría más

robusta son las causas de la pérdida de información en red.
CONSECUENCIAS:
• Perdida de información irrecuperable en la red.

RECOMENDACIONES:
• Contratar una empresa externa para arreglar el cableado de datos, implementar
categoría 5e solo cobre y certificar cada punto.
Tabla Hallazgo 7
REF
HALLAZGO 7
R7
PROCESO PÁGINA
No se encuentra actualizado el antivirus.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
CAUSAS: El deterioro del cableado de datos y la no utilización de una categoría más

robusta son las causas de la pérdida de información en red.
CONSECUENCIAS:
• Perdida de información irrecuperable en la red.

RECOMENDACIONES:
Tabla Hallazgo 8
REF
HALLAZGO 8
R8
PROCESO No se aplica en su totalidad las reglas del PÁGINA
AUDITADO manejo de información. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• Se cuentan con algunas reglas de manejo de la información sin embargo esta no se
aplica en su totalidad por que áreas como gerencia no se aplican reglas del manejo
de la información, y esta puede ser una fuente de propagación de virus
informáticos.
CAUSAS: El área de gerencia no tiene control de la información y puede exponer a la

organización a ataques cibernéticos.
CONSECUENCIAS:
• Ataques cibernéticos y propagación de malware a la empresa.

RECOMENDACIONES:
• Es necesario concientizar al área de gerencia sobre el buen uso del manejo de la
información y los riesgos que estos implican, para que sean ellos los promotores
de las buenas prácticas en el tratamiento de datos en la empresa.
Tabla Hallazgo 9
REF
HALLAZGO 9
R9
PROCESO No se tiene plan de contingencia de la PÁGINA

AUDITADO información en un servidor alterno. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• No se cuenta con servidor de respaldo para cualquier eventualidad si el primario
llegase a fallar, no se cuenta con respaldo de información.
CAUSAS: Falta de inversión por parte de gerencia en la adquisición de un servidor de

respaldo.
CONSECUENCIAS:
Falta de disponibilidad de la información en casos que el servidor primario llegase a fallar
esto seria perdidas económicas para la empresa y la paralización de las operaciones..

RECOMENDACIONES:
• Tener un servidor de respaldo, con toda la información si el servidor primario
llegase a fallar.
Tabla Hallazgo 10
REF
HALLAZGO 10
R10
PROCESO No existe cultura del manejo de información PÁGINA

AUDITADO en los usuarios internos de la organización. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
(PO)
Información
DESCRIPCIÓN:
• No se cuenta con una cultura organizacional del manejo adecuado de la
información, es por ello que se necesita fortalecer este aspecto para mitigar
posibles pérdidas de estos.
CAUSAS: Falta de interés por partes de los funcionarios, y la poca gestión en promover
las buenas practicas.
CONSECUENCIAS:
Se puede perder información, así como la divulgación externa ocasionando pérdidas
económicas a la compañía

RECOMENDACIONES:
• Promover desde área de sistema y gerencia el buen uso de practicas del manejo de
información asi como exigirlo en cada proceso de la empresa.
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O
ENCONTRADOS CONTROL CONTROLES
Se recomienda
implementar la norma
técnica ISO27001 a los
Se desconoce la norma técnica ISO27001 procesos de la
PREVENTIVO
para el manejo de la información. organización y
certificarse en ella para
la confiabilidad de los
datos.
Se debe realizar una
política del manejo de
información y aplicarla
No se cuenta con una política aplicada para el a la empresa, y debe
CORRECTIVO
manejo de la información. mencionarse el uso
obligatorio en el
reglamento interno de
trabajo.
Se debe disponer de un
servidor de archivos que
centre toda la
La información no se encuentra centralizada. CORRECTIVO
información de la
empresa para facilitar el
manejo de Backus
Se debe disponer de
tecnologías como NAS
Funcionamiento inadecuado del
PREVENTIVO para el manejo de
almacenamiento de datos.
información o arreglos
de discos.
Se debe contratar una
empresa que realice
Fallas en las telecomunicaciones y/o fluido
CORRECTIVO labores de cableado
eléctrico.
eléctricos y colocar
energía regulada.
Se debe certificar cada
punto de datos, y utilizar
Fallas en la red de datos hacia el servidor. PREVENTIVO
cableado tipo 5e solo
cobre para la empresa.
Se debe actualizar el
antivirus e instalar
No se encuentra actualizado el antivirus. CORRECTIVO agentes que permitan el
control de puertos USB
para bloquearlos.
Se debe concientizar al
área de gerencia y que
No se aplica en su totalidad las reglas del este sea el actor
PREVENTIVO
manejo de información. principal sobre el buen
uso del manejo de la
información.
Se debe disponer de un
servidor secundario para
casos de emergencia
No se tiene plan de contingencia de la
PREVENTIVO poder reaccionar y tener
información en un servidor alterno.
la información de
respaldo de manera
inmediata.
Se necesita hacer
No existe cultura del manejo de información campañas del manejo de
PREVENTIVO
en los usuarios internos de la organización. la información en la
empresa.
Formatos de hallazgos y definición de controles
ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 No se aplica en su totalidad las reglas del manejo de Controlarlo

información.
R2 No existe cultura del manejo de información en los Transferirlo

usuarios internos de la organización.
R3 No se cuenta con una política aplicada para el manejo Controlarlo

de la información
R4 No se encuentra actualizado el antivirus CONTROLARLO
R5 Fallas en las telecomunicaciones y/o fluido eléctrico. TRANSFERIRLO

NIT
R1 No se aplica en su totalidad las reglas del
manejo de información.
890.903.939-
5
PROCESO Desarrollar y Mantener Procedimientos PÁGINA

AUDITADO relacionados con TI. 1 DE 1
RESPONSABLE Jeyson Mercado
MATERIAL DE
COBIT
SOPORTE
AI4 Desarrollar y
Mantener
DOMINIO COBIT PO4 PROCESO Procedimientos
relacionados con
TI.
DESCRIPCIÓN HALLAZGO: A la información no se le da el debido tratamiento con

las reglas establecidas.
CAUSAS: Esto debido a la falta de capacitación en los empleados acerca del manejo de
la información.
CONSECUENCIAS: Se verán afectados los servidores de información en el momento

de buscar algo y que no se encuentre organizado o que se haya borrado información de
este.
• VALORACIÓN DEL RIESGO: Probabilidad de ocurrencia: 75%
• Impacto según relevancia del proceso: moderado
RECOMENDACIONES: capacitación sobre el manejo y uso adecuado de la

información
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
Tabla Hallazgo 1
Nit
R2 No existe cultura del manejo de información
en los usuarios internos de la organización. 890.903.939-
5

MATERIAL DE
COBIT
SOPORTE
AI4 Desarrollar y
Mantener
relacionados con
TI.
DESCRIPCIÓN:
No existe cultura de manejo de la información dentro de la empresa.
Los empleados no se encuentran motivados a realizar los protocolos de manejo de la
información.
CAUSAS: Falta de capacitación acerca del manejo de la información.
CONSECUENCIAS:
• Si n se establece una cultura de manejo de información en la empresa esta tendrá
perdidas en el momento del requerimiento de datos que pueden verse reflejados
en cada área de la empresa, ya sea financiera como logística y demas.

RECOMENDACIONES:
• Contratar un ingeniero experto para que brinde capacitaciones acerca del buen
manejo de la información.
• Establecer entes motivadores de el buen uso de la información.
NIT
R3 No se cuenta con una política aplicada para
el manejo de la información
890.903.939-
5

MATERIAL DE
COBIT
SOPORTE
AI4 Desarrollar y
Mantener
relacionados con
TI.
DESCRIPCIÓN HALLAZGO: No se encontró la política de manejo de la informaion

en la empresa.
CAUSAS: Falta de capacitación por parte del área de sistemas al personal, he

implementación de los estándares de seguridad informática vigentes.
CONSECUENCIAS: Se ve afectado todo el sistema en general debido a la falta del

reglamento del manejo de la información y sus políticas.
RECOMENDACIONES: Establecer las políticas de manejo de información en la

empresa

NIT
R4 No se encuentra actualizado el antivirus
890.903.939-
5

MATERIAL DE
COBIT
SOPORTE
AI4 Desarrollar y
Mantener
relacionados con
TI.
DESCRIPCIÓN HALLAZGO: Los antivirus no están actualizados en los

computadores de los trabajadores por ende se tiene mayor probabilidad de malware.
CAUSAS: En este caso es el área de sistemas el que se debe encargar de que cada
antivirus cuente con su actualización y respectiva licencia vigente.
CONSECUENCIAS: Se ve afectado el sistema operativo de cada computador asi como

también la información de la empresa, debido a que se hace vulnerable.
RECOMENDACIONES: Realizar las respectiva actualización de los antivirus.

NIT
R5 Fallas en las telecomunicaciones y/o fluido
eléctrico.
890.903.939-
5

MATERIAL DE
COBIT
SOPORTE
AI4 Desarrollar y
DOMINIO COBIT PO4 PROCESO Mantener
Procedimientos
relacionados con
TI.
DESCRIPCIÓN HALLAZGO: Se encuentran fallas en el fluido eléctrico y las

telecomunicaciones, las cuales requieren mantenimiento.
CAUSAS: falta de mantenimiento
CONSECUENCIAS. Se ve afectado el funcionamiento correcto de la empresa en el área

administrativa debido a que cualquier falla en a red de energía o telecomunicaciones
retrasa el trabajo de los empleados.
• Impacto según relevancia del proceso: mayor
RECOMENDACIONES: Realizar mantenimiento preventivo y correctivo cada tres

meses a las redes de telecomunicación y eléctrica.

HALLAZGOS CONTROL
ENCONTRADOS
No se aplica en su CORRECTIVO Realizar la capacitación al personal de la
totalidad el proceso de empresa sobre el buen uso y el por qué
manejo de información se deben aplicar los procesos de
información de manera correcta.
No existe cultura del CORRECTIVO Concientizar a personal sobre la cultura
manejo de información del manejo de la información y brindar
en los usuarios internos tips para el buen manejo de ella.
de la organización.
No se cuenta con una Correctivo Elaborar políticas de administración y
política aplicada para el organización de la información, lo cual
manejo de la se podría realizar a través de la
información contratación de un ingeniero de sistemas
con experiencia en manejo de servidores
y seguridad para la realización de esta
labor.
No se encuentra CORRECTIVO. Se debe realizar la actualización de los
actualizado el antivirus antivirus de la empresa por medio del
. área de sistemas o la contratacion de un
ingeniero para su debida actualización
Fallas en las PREVENTIVO Contratar personal de mantenimiento,
telecomunicaciones y/o para realizar las respectivas revisiones
fluido eléctrico. en el fluido eléctrico como en las redes
de telecomunicación en la empresa.
TRATAMIENTO DE RIESGO
N° DESCRIPCIÓN TRATAMIENTO DE RIESGO

R1 Mal manejo en las aplicaciones tecnológicas por Controlarlo
parte de los empleados.
R2 No tienen un sistema de seguridad apropiado para Transferirlo
las aplicaciones tecnológicas.
R3 Cada empleado debe tener sus credenciales de Controlarlo

ingreso al software personales y no debe
prestársela al compañero.
R4 Cuando estén trabajado en software de la empresa Controlarlo

no deben ingresar a aplicaciones no autorizada por
la empresa, porque hay mucha información
confidencial después esta es hackeada.
R5 El software de la empresa es inestable cuando se Controlarlo

están usando muchos datos.
R6 La empresa debe tener un antivirus licenciado y Transferirlo

potente para que no tenga riesgo con los virus
informáticos.
R1: Mal manejo en las aplicaciones tecnológicas por
REF
parte de los empleados.
PROCESO PO4 Definir los Procesos, PÁGINA

AUDITADO Organización y Relaciones de TI. 1 DE 1
RESPONSABLE Neivis Alejandro García Montiel
MATERIAL DE
COBIT
SOPORTE
PO4.5 Estructura
Organizacional
PO4.8 Responsabilidad sobre el
Riesgo, la Seguridad y el
Planear y Cumplimiento.
DOMINIO PROCESO
Organizar (PO) PO4.9 Propiedad de Datos y de
Sistemas.
PO4.14 Políticas y
Procedimientos para Personal
Contratado.
DESCRIPCIÓN HALLAZGO:
Esto es debido a la falta de capacitación a los funcionarios nuevos y antiguos de las
nuevas tecnologías informáticas que viene implementando la empresa Postobón.
CAUSAS: Falta de capacitación de las nuevas tecnologías de la empresa Postobón a los

trabajadores.
CONSECUENCIAS:
• Al no existir un grupo encargado de capacitar y estudiar el desempeño de cada uno
de los trabajadores que componen a la empresa Postobón en las nuevas
tecnologías y en el uso del software, pueden ser vulnérales la información
confidencial de la empresa ingresando a lugares riesgosos no aprobados por la
misma.

• Probabilidad de ocurrencia: 35,9%
• Impacto según relevancia del proceso: Riesgo Medio
RECOMENDACIONES:
• Implementar más capacitaciones sobre el manual de buenas prácticas a los
empleados de la empresa Postobón, sobre el manejo de las aplicaciones y el uso de
las nuevas tecnologías que llegan a la empresa.

Formato de entrevista
ENTIDAD EMPRESA POSTOBÓN SA PAGINA

AUDITADA 1 DE 1
OBJETIVO Conocer los problemas relacionados con el manejo de las aplicaciones
AUDITORÍA
PROCESO AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AUDITADO
RESPONSABLE NEIVIS ALEJANDRO GARCIA MONTIEL
MATERIAL DE SOPORTE COBIT
DOMINIO Adquirir e Implementar - PROCESO AI4 Desarrollar y Mantener
AI Procedimientos relacionados con TI.
ENTREVISTADO
CARGO
Tema 1: Responsabilidad sobre el riesgo, la seguridad y el cumplimiento de las TI.
1. ¿Cuáles son las características de seguridad implementada sobre las aplicaciones de las
TI?
Las características de seguridad implementada son:

• Integridad
• Confidencialidad
• Disponibilidad
• Evitar el rechazo
• Autenticación
2. ¿Qué hace en caso de que falle alguna aplicación? ¿a quién acude?

Cuando falla alguna aplicación acudimos a la persona encargada en este caso es el
Ingeniero de infraestructura.
3. ¿Qué tipos de mantenimientos les hacen a las aplicaciones?

El tipo de mantenimiento que le hacemos a las aplicaciones es preventivo.
4. ¿Qué nivel de conocimientos tiene en el manejo de las aplicaciones?

El nivel de conocimientos de las aplicaciones no es muy bueno, falta darle más charlas
informáticas a los trabajadores antiguos y nuevos.
5. ¿Quién es el encargado del cumplimiento de las TI?

El encargado del manejo de las TI es el Ingeniero de infraestructura.
6. ¿Cómo hacen para detectar el riesgo informático y una vez detectado controlarlo?
Lo primero que hacemos es detectar el riesgo informático y que tipo de riesgo es, para
poder controlarlo con un antivirus licenciado y así controlarlo.
R3: Cada empleado debe tener sus credenciales de REF

ingreso al software personales y no debe prestársela al
compañero.

MATERIAL DE
COBIT
SOPORTE
PO4.5 Estructura
Organizacional
DOMINIO PROCESO
Sistemas.
PO4.14 Políticas y
Contratado.
CAUSAS: Falta de capacitación de los empleados en las nuevas tecnologías de la

empresa Postobón y manual de buenas prácticas en la empresa.
CONSECUENCIAS:
misma.

RECOMENDACIONES:
• Con las capacitaciones constantemente hacia los empleados de la empresa
Postobón fluye mucho mejor la comunicación y la habilidad de conocimiento con
las tecnologías que implementa la empresa, sobre normas de seguridad
informática y el manual de buenas prácticas de la empresa.


AUDITADA 1 DE 1
AUDITORÍA
AUDITADO
ENTREVISTADO
CARGO
TI?

• Integridad
• Disponibilidad
• Autenticación




R4: Cuando estén trabajado en software de la empresa
REF
no deben ingresar a aplicaciones no autorizada por la
empresa, porque hay mucha información confidencial
después esta es hackeada.

MATERIAL DE
COBIT
SOPORTE
PO4.5 Estructura
Organizacional
DOMINIO PROCESO
Sistemas.
PO4.14 Políticas y
Contratado.
CAUSAS: Falta de capacitación de los empleados en las nuevas tecnologías de la

CONSECUENCIAS:
misma.

RECOMENDACIONES:
• Aquí es importante que le den a conocer el manual de las buenas prácticas a los
empleados de la de empresa Postobón, porque con el conocimiento adquirido la
empresa se desempeña mejor en el ámbito comercial y los empleados a quieren
mejor conocimiento sobre la seguridad informática y el buen uso de las
tecnologías.


AUDITADA 1 DE 1
AUDITORÍA
AUDITADO
ENTREVISTADO
CARGO
TI?

• Integridad
• Disponibilidad
• Autenticación



REF
R5: El software de la empresa es inestable cuando se
están usando muchos datos.

MATERIAL DE
COBIT
SOPORTE
Planear y PO4.5 Estructura
DOMINIO PROCESO
Organizar (PO) Organizacional
Cumplimiento.
PO4.9 Propiedad de Datos y de
Sistemas.
PO4.14 Políticas y
Contratado.
Utilizar otro tipo de Software que se ajuste la necesidad de la empresa cuando se maneja
mucha información y que este licenciado para evitar problemas más adelante.
CAUSAS: Falta de implementación de otro Software que se ajuste a las necesidades de la

empresa en el uso diario en el manejo de bastante información.
CONSECUENCIAS:
• Falta de implementación de otro Software que se ajuste a las necesidades de la
empresa en el uso diario en el manejo de bastante información.

RECOMENDACIONES:
• Utilizar otro tipo de Software que se ajuste la necesidad de la empresa cuando se
maneja mucha información y que este licenciado para evitar problemas más
adelante.


AUDITADA 1 DE 1
AUDITORÍA
AUDITADO
ENTREVISTADO
CARGO
TI?
• Integridad
• Disponibilidad
• Autenticación



HALLAZGOS CONTROL
ENCONTRADOS
Mal manejo en las CORRECTIVO Implementar más capacitaciones a los
aplicaciones tecnológicas funcionarios de la empresa Postobón,
por parte de los sobre el manejo de las aplicaciones y
empleados. el uso de las nuevas tecnologías que
llegan a la empresa.
No tienen un sistema de CORRECTIVO Compra de antivirus licenciados con el

seguridad apropiado para fin de minimizar el riesgo de
las aplicaciones infecciones y malware en los equipos
tecnológicas. de cómputo de la organización.
Cada empleado debe CORRECTIVO Implementar más capacitaciones a los

tener sus credenciales de funcionarios de la empresa Postobón,
ingreso al software sobre el manejo de las aplicaciones y
personales y no debe el uso de las nuevas tecnologías que
prestársela al compañero. llegan a la empresa.
Cuando estén trabajado CORRECTIVO Implementar más capacitaciones a los

en software de la funcionarios de la empresa Postobón,
empresa no deben sobre el manejo de las aplicaciones y
ingresar a aplicaciones el uso de las nuevas tecnologías que
no autorizada por la llegan a la empresa.
empresa, porque hay
mucha información
confidencial después esta
es hackeada.
El software de la DETECTIVO Utilizar otro tipo de Software que se

empresa es inestable ajuste la necesidad de la empresa
cuando se están usando cuando se maneja mucha información
muchos datos. y que este licenciado para evitar
problemas más adelante.
La empresa debe tener CORRECTIVO Compra de antivirus licenciados con el
un antivirus licenciado y fin de minimizar el riesgo de
potente para que no infecciones y malware en los equipos
tenga riesgo con los virus de cómputo de la organización.
informáticos.
a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el
personal, los recursos del software y las aplicaciones tecnológicas, con el fin de
establecer el grado de eficiencia de los procesos que ejecutan en el sistema de la
empresa Postobón.
b. Dictamen:
• Se califica un nivel de madurez 2 REPETIBLE, por cuanto los procesos,
organización y relaciones del área evaluada si están contenidos en un manual de
procesos.
de los trabajadores que componen a la empresa Postobón en las nuevas tecnologías
y en el uso del software, pueden ser vulnérales la información confidencial de la
empresa ingresando a lugares riesgosos no aprobados por la misma.

c. Hallazgos que soportan el Dictamen:
• Mal manejo en las aplicaciones tecnológicas por parte de los empleados.
• Cada empleado debe tener sus credenciales de ingreso al software personales y no
debe prestársela al compañero.
• Cuando estén trabajado en software de la empresa no deben ingresar a aplicaciones
no autorizada por la empresa, porque hay mucha información confidencial después
esta es hackeada.
• El software de la empresa es inestable cuando se están usando muchos datos.
d. Recomendaciones:
• Con las capacitaciones constantemente hacia los empleados de la empresa Postobón
fluye mucho mejor la comunicación y la habilidad de conocimiento con las
tecnologías que implementa la empresa, sobre normas de seguridad informática y el
manual de buenas prácticas de la empresa.

• Aquí es importante que le den a conocer el manual de las buenas prácticas a los
empleados de la de empresa Postobón, porque con el conocimiento adquirido la
empresa se desempeña mejor en el ámbito comercial y los empleados a quieren
mejor conocimiento sobre la seguridad informática y el buen uso de las tecnologías.
• Utilizar otro tipo de Software que se ajuste la necesidad de la empresa cuando se
maneja mucha información y que este licenciado para evitar problemas más
adelante.
Informe ejecutivo de auditoria
Ciudad y fecha
Doctora:
Gerente General Postobón S.A
REF: AUDITORIA DE SISTEMAS APLICADA AL ÁREA COMERCIAL DE LA
EMPRESA POSTOBÓN SA
Como es de su conocimiento al comité de mercadeo el cual pertenece al proceso de
compras de la compañía, se aplicó el programa y plan de auditoria estipulado para buscar
soluciones que apunten a subsanar las vulnerabilidades, amenazas y riesgos dentro de
categorías específicas, que a su vez se agruparon en tres ejes de continua evaluación.
Esta evaluación se realizó en un lapso de tiempo comprendido entre octubre y noviembre
de 2019 y antes de examinar con detalle aspectos fundamentales de lo hallado e
intervenido, introduciremos frases claves de aquello que dio pie a todo lo operativizado:
Los resultados obtenidos fueron los siguientes:

❖ Entrenamiento deficiente del personal, dando cabida al mal uso de los programas y
usuarios informáticos, quedando en riesgo la seguridad informática y de la
información.
❖ No existen procedimientos para el manejo y búsqueda de la información de los
clientes de la compañía, permitiendo la amenaza de la divulgación de manera
inescrupulosa de la información, debido al riesgo latente que se genera por no haber
un respaldo de la información.
❖ El cableado estructurado no cuenta con las normas, para su óptimo funcionamiento,
dando amenazas como daños en las comunicaciones, debido que, algunos de los
segmentos de la red se encuentran a la intemperie lo que puede causar manipulación
de la red, daños a la red, rupturas y su transmisión de datos presentan caídas de
paquetes de información.
No obstante, a los hallazgos del diagnóstico inicial, destacamos la disposición por parte
del personal encargado del área para facilitar todo lo necesario para la realización de este
proceso.
Inicialmente se abordó en el módulo informático de la segmentación del mercado, la
facilidad del manejo y búsqueda de la información de los diversos activos de la empresa,
para verificar la facilidad de acceso y de esta manera corroborar la seguridad o por el
contrario su vulnerabilidad y todo lo que pudo ser susceptible de ser transferido de manera
inescrupulosa a fuentes no autorizadas, desde estas premisas se propusieron planes activos
de trabajo, los cuales se iniciaron desde la creación de estrategias, para posteriormente
materializarlas.
Hay que mencionar además, que en cuanto a la operatividad del sistema se evalúo la
preparación del personal, para la utilización de las herramientas informáticas, de los

colaboradores que operan el comité de mercadeo, fijándose como compromiso primordial,
la puesta en práctica de procesos de cualificación, que contribuyan de manera transversal a
la subsanación de todos los hallazgos, puesto que, se considera que todo lo encabeza el
talento humano, desde los colaboradores más cercanos al área de mercadeo.
En conformidad con lo inmediatamente escrito, en cuanto al sistema de
información, se verificó la preparación del talento humano para actuar frente al respaldo de
la información que permita así, garantizar prácticas eficientes y confiables en la búsqueda
de la información, sin que está quede desprotegida o sea susceptible de ser divulgada de
manera inescrupulosa, lo que corresponde a sistemas operativos, antivirus, configuración y
administración; en este orden de ideas, se está proyectando planes de trabajo enfocado a lo
fundamental de la empresa, como lo son sus colaboradores.
Se debe agregar en este apartado que, en cuanto al Hardware, se verificó el estado
del cableado estructurado que corresponde a cables UTP, conectores RJ45, equipos de red:
switch, Router, rack, cuarto de redes, patch pannel, proponiendo planes de mejora que
contribuyan a mejorar la calidad de lo que conforma lo visible del área informática,
delegándose al encargado del área.
Entregar y Dar Soporte, Respecto a la Garantia de la Seguridad de los Sistemas:
Hallazgos
• No existen procedimientos para el manejo y búsqueda de la información, por ende,
se evidencia ausencia del respaldo de la información.

• No se encuentra determinado el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, políticas, estándares y procedimientos de TI, dentro
de la empresa, que contribuya a su óptimo funcionamiento.
Recomendaciones
• Es importante concientizar al área de la empresa intervenida, la importancia de
implementar procesos relacionados con la protección de la información, debido que
esto, es la columna vertebral del componente financiero y de esto depende la
confidencialidad de todo aquello que se quiera hacer en cuanto a negociación,
eficacia y eficiencia del manejo de la información y optimización del área y sus
funciones.
Hallazgos
• La Administración de la Seguridad de TI, nos indica que ésta se debe presentar
desde los más altos niveles de apropiación de la organización; lo que no
corresponde con la realidad del área encargada, debido que no hay una cultura
organizacional que respalde lo propuesto desde el Dominio evaluado.
• Los usuarios internos y externos no cuentan con la debida identificación al acceder
a información privilegiada y confidencial del área, además no hay navegadores para
agentes externos y que así accedan de manera independiente a lo que requieran
elaborar.
Recomendaciones
• Implementar un plan de trabajo donde se visibilice una cultura organizacional que
respalde la toma de decisiones, la confidencialidad de la información y la
elaboración de formatos que correspondan a los procedimientos que hacen parte de
la cotidianidad del área.
Entregar y Dar Soporte, respecto a Educar y Entrenar a los Usuarios:
Hallazgos
• No existe desde el talento humano, una estructura específica que ayude a visibilizar
cada uno de los roles que se asumen en las respectivas responsabilidades que
subyacen de la seguridad, política, estándar y procedimientos asociados a T.I
• Hay ausencia de una cultura organizacional que apoye la asignación de roles dentro
del área intervenida, que den cuenta de los procesos llevados a cabo y que respalden
la oportuna prestación del servicio, a partir de la adquisición de responsabilidades
propias de cada uno de los colaboradores.
Recomendaciones
• Crear un plan de alistamiento al ingreso del personal al área, permitiendo que se
apropien de la misión y visión del área con relación a la existente a la empresa, lo
que permitiría la fluidez de la operación con eficacia, eficiencia y por supuesto con
calidad.
• Crear un diagrama de flujo que direccione a cada uno de los responsables del área a
la solución de problemas que se derivan de allí, permitiéndoles actuar con rapidez
frente a las novedades.

Hallazgos
• Se evidencia un entrenamiento deficiente del personal del área, encargado de la
dirección del área auditada.
• El objetivo de control de Identificación de Necesidades de Entrenamiento y
Educación nos indica que se debe establecer y actualizar de forma regular un
programa de entrenamiento, que permita dirigir de manera pertinente la seguridad
de la información, en cabeza de un líder debidamente preparado para asumir los
retos que se presentan desde el área intervenida y por el contrario, se presentan
debilidades que dan paso a riesgos asociados a la divulgación de información
importante y confidencial.
Recomendaciones
• Iniciar de manera urgente un proceso de formación que apoye el empoderamiento
de líderes que aporten soluciones a las situaciones presentadas.
• Evaluar el entrenamiento recibido, para verificar pertinencia en sus contenidos con
relación a las demandas del área y del cargo al que está enfocado el proceso de
cualificación.
Respecto a la Arquitectura de la Información.
Hallazgos
• No existe el conocimiento de la norma técnica para el manejo de la información por
parte de los actores del sistema.
Recomendaciones
• Divulgar en todos los empleados la política de tratamiento de información.
Hallazgos
• No se cuenta con servidor de datos centralizado para el manejo de la información
estando estas dispersas en cada equipo de cómputo y lo que dificulta la recuperación
de estas en caso de pérdidas.
Recomendaciones
Hallazgos
• No existe el conocimiento de la norma técnica para el manejo de la información por
parte de los actores del sistema.
Recomendaciones
• Tomar por lo menos un equipo de cómputo adaptarlo con suficiente espacio y
colocarlo en red como servidor de archivos y compartir cada carpeta por usuario
para el manejo de información, así de esta forma unificar los datos de la
organización.
Hallazgos
• El almacenamiento de datos no se encuentra compartido con un servidor de archivo
lo que causa que la información está dispersa por la organización y no de manera
centralizada.
Recomendaciones
• Implementar Esquema de red de archivo para el almacenamiento de la información.
Hallazgos
• Se presenta fallas en el fluido eléctrico en los equipos exponiendo estos mismo a
constantes apagones, comprometiendo la información allí almacenada a no estar
disponible para la organización o perdida de la misma por falla en los discos duros.
Recomendaciones
• Contratar una empresa externa para arreglar la acometida eléctrica e implementar
mejoras.
Hallazgos
Recomendaciones
Hallazgos
Recomendaciones
Hallazgos
• Se cuentan con algunas reglas de manejo de la información sin embargo esta no se
aplica en su totalidad por qué áreas como gerencia no se aplican reglas del manejo
de la información, y esta puede ser una fuente de propagación de virus informáticos.
Recomendaciones
• Es necesario concientizar al área de gerencia sobre el buen uso del manejo de la
información y los riesgos que estos implican, para que sean ellos los promotores de
las buenas prácticas en el tratamiento de datos en la empresa.

Hallazgos
• No se cuenta con servidor de respaldo para cualquier eventualidad si el primario
llegase a fallar, no se cuenta con respaldo de información.
Recomendaciones
• Tener un servidor de respaldo, con toda la información si el servidor primario
llegase a fallar.
Hallazgos
• No se cuenta con una cultura organizacional del manejo adecuado de la
información, es por ello que se necesita fortalecer este aspecto para mitigar posibles
pérdidas de estos.
Recomendaciones
• Promover desde área de sistema y gerencia el buen uso de prácticas del manejo de
información, así como exigirlo en cada proceso de la empresa.
Hallazgos
• A la información no se le da el debido tratamiento con las reglas
establecidas.
Recomendaciones
• capacitación sobre el manejo y uso adecuado de la información
Hallazgos
• No existe cultura de manejo de la información dentro de la empresa, Los
empleados no se encuentran motivados a realizar los protocolos de manejo
de la información.
Recomendaciones
• Contratar un ingeniero experto para que brinde capacitaciones acerca del buen
manejo de la información.
• Establecer entes motivadores de el buen uso de la información.
Hallazgos
• No se encontró la política de manejo de la información en la empresa.
Recomendaciones
• Establecer las políticas de manejo de información en la empresa
Hallazgos
• Los antivirus no están actualizados en los computadores de los trabajadores
por ende se tiene mayor probabilidad de malware.
Recomendaciones
• Realizar la respectiva actualización de los antivirus.
Hallazgos
• Se encuentran fallas en el fluido eléctrico y las telecomunicaciones, las
cuales requieren mantenimiento.
Recomendaciones
• Realizar mantenimiento preventivo y correctivo cada tres meses a las redes
de telecomunicación y eléctrica.
Hallazgos
• Falta de capacitación a los funcionarios nuevos y antiguos de las nuevas
tecnologías informáticas que viene implementando la empresa Postobón.

Recomendaciones
Hallazgos
• Falta de capacitación de los empleados en las nuevas tecnologías de la
Recomendaciones
• Con las capacitaciones constantemente hacia los empleados de la empresa
Postobón fluye mucho mejor la comunicación y la habilidad de
conocimiento con las tecnologías que implementa la empresa, sobre normas
de seguridad informática y el manual de buenas prácticas de la empresa.
Hallazgos
• Esto es debido a la falta de capacitación a los funcionarios nuevos y antiguos
de las nuevas tecnologías informáticas que viene implementando la empresa
Postobón.
Recomendaciones
• Es importante que le den a conocer el manual de las buenas prácticas a los
empleados de la de empresa Postobón, porque con el conocimiento
adquirido la empresa se desempeña mejor en el ámbito comercial y los
empleados a quieren mejor conocimiento sobre la seguridad informática y el
buen uso de las tecnologías.

Hallazgos
• Utilizar otro tipo de Software que se ajuste la necesidad de la empresa
cuando se maneja mucha información y que este licenciado para evitar
Recomendaciones
• Utilizar otro tipo de Software que se ajuste la necesidad de la empresa
cuando se maneja mucha información y que este licenciado para evitar
Atentamente;
___________________ ______________________
Neivis Alejandro Garcia Jeyson Mercado
Auditor Auditor
___________________ ______________________
Kryla Sugey Villareal Yosimar Pereira Acosta
Auditor Auditor
Conclusión
A manera de conclusión, destacamos aprendizajes resultantes del proceso de sugerencias de
soluciones a las problemáticas de T.I de la empresa Postobón, debido que, estos procesos
son la esencia de la formación disciplinar que atravesamos como estudiantes.
Por otra parte, se resalta la importancia de proponer y ejercer verdaderos planes de
intervención desde los resultados arrojados en las investigaciones resultantes del proceso
llevado desde la propuesta del plan y programa de auditoría hasta el momento.
Referencias Bibliográficas
CobIT 4.1 (2007) IT Governance Institute All rights reserved. 2 , tomado de: www.itgi.org

Fase4 Auditoría Trabajo Colaborativo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase4 Auditoría Trabajo Colaborativo

Cargado por

Copyright:

Formatos disponibles

Auditoria de Sistemas

Fase 4 – Resultados de la Auditoria

Yosimar Pereira Acosta

Neivis Alejandro Garcia

Keyla Sugey Villareal

Jeyson Fernando Mercado

Francisco Nicolas Solarte

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA

Es importante reconocer que el tratamiento de los riesgos productos de auditorías

concretados en controles que a su vez se respaldan en posibles soluciones que se consideran

son oportunas, debido a resultados anteriores y por supuesto, desde lo respaldado en la

• Dar a conocer los resultados del proceso de auditoria

• Concretar los hallazgos de la auditoria con sus respectivas recomendaciones y

acciones a seguir, para procurar dar soluciones a las amenazas, vulnerabilidades y

• DS5 Garantizar la Seguridad de los Sistemas

• DS7 Educar y Entrenar a los Usuarios

presentados en el cuadro inmediatamente anterior, cuyo tratamiento requerido es

posibles soluciones o controles (preventivas, detectivas, correctivas o de recuperación).

RESPONSABLE Yosimar Pereira Acosta

• No existen procedimientos para el manejo y búsqueda de la información, por ende,

protección de todos los activos de TI.

eficientes y confiables en la búsqueda de la información, sin que está quede desprotegida

o sea susceptible de ser divulgada de manera inescrupulosa.

• Al no contar con un personal cualificado que pueda entregar y dar soporte de

manera pertinente puede existir perdida de información valiosa, asociada a diversos

segmentos poblacionales de la empresa, tales como proveedores, clientes y demás.

• Puede generarse necesidad permanente de transferir las responsabilidades a otras

presentado sobrecostos en el área de comercio.

• Probabilidad de ocurrencia: 50%

• Impacto según relevancia del proceso: Moderado

• Es importante concientizar al área de la empresa intervenida, la importancia de

implementar procesos relacionados con la protección de la información, debido

que esto, es la columna vertebral del componente financiero y de esto depende la

confidencialidad de todo aquello que se quiera hacer en cuanto a negociación,

eficacia y eficiencia del manejo de la información y optimización del área y sus

Fuentes de conocimiento, listas de chequeo y cuestionarios.

PROCESO Roles y responsabilidades de seguridad, PÁGINA

AUDITADO políticas, estándares y procedimientos de T. I 1 DE 1

RESPONSABLE Yosimar Pereira

• No existe desde el talento humano, una estructura específica que ayude a

visibilizar cada uno de los roles que se asumen en las respectivas

responsabilidades que subyacen de la seguridad, política, estándar y

procedimientos asociados a T.I

• Hay ausencia de una cultura organizacional que apoye la asignación de roles

respalden la oportuna prestación del servicio, a partir de la adquisición de

responsabilidades propias de cada uno de los colaboradores.

que desempeñan un rol lo hacen sin orientaciones provenientes de un líder visible o

responsable de su cargo de manera pertinente.

• Información mal direccionada que se contrapone a la misión del área encargada y

por ende de la empresa.

contratación de agentes externos para que apoyen las dificultades presentadas.

VALORACIÓN DEL RIESGO:

• Probabilidad de ocurrencia: 50%

• Impacto según relevancia del proceso: Catastrófico

• Crear un plan de alistamiento al ingreso del personal al área, permitiendo que se

apropien de la misión y visión del área con relación a la existente a la empresa, lo

a la solución de problemas que se derivan de allí, permitiéndoles actuar con

rapidez frente a las novedades.

EVIDENCIAS - REF_PT: listas de chequeo, cuestionarios y diagnóstico inicial.

PROCESO Cultura Organizacional asociada al respaldo de PÁGINA

AUDITADO las políticas y procedimientos. 1 DE 1

RESPONSABLE Yosimar Pereira Acosta