Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estudiantes
Grupo # 90168_46
Tutor
INGENIERIA DE SISTEMAS
SANTA MARTA
2019
INTRODUCCIÓN
informáticas, son la base fundamental para ejecutar procesos de excelencia dentro del plano
empresarial, además detectarlos con pertinencia nos brinda una línea base para la toma de
decisiones y orientaciones específicas a todo aquello que nos compete en este compromiso
de hacer parte de las soluciones de lo que desde lo disciplinar nos llama a atender.
En este orden de ideas, es oportuno sensibilizar, a partir de los procesos evaluados en fases
anteriores de la auditoría, sobre los hallazgos y sus respectivos tratamientos, que luego son
normativa CobIT.
Objetivos:
riesgos encontrados
A continuación, el cuadro de tratamiento de riesgos de los procesos evaluados en la fase
anterior de la auditoria aplicada a la empresa Postobón S.A, abordados por Yosimar Pereira
Acosta:
controlarlo, visibilizando las posibles causas que lo originan y las posibles consecuencias
que puede traer de llegar a ocurrir, el nivel de riesgo en que se encuentra el proceso y las
Tablas de Hallazgos
REF
HALLAZGO 1
O1
PROCESO PÁGINA
Proceso de administración de la seguridad
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
ENTREGAR Y
Seguridad de los
DOMINIO PROCESO
Sistemas
DAR SOPORTE
DESCRIPCIÓN:
CAUSAS: Las posibles causas pueden derivar de la falta de preparación del talento
humano para actuar frente al respaldo de la información que permita garantizar prácticas
CONSECUENCIAS:
empresas que prestan servicios que apoyan la solvencia de este tipo de necesidades,
RECOMENDACIONES:
funciones.
EVIDENCIAS - REF_PT:
MATERIAL DE
COBIT
SOPORTE
DS7 Educar y
Entregar y Dar
DOMINIO PROCESO Entrenar a los
Soporte
Usuarios
DESCRIPCIÓN:
dentro del área intervenida, que den cuenta de los procesos llevados a cabo y que
hacer parte del área intervenida, lo que retrasa los procesos, puesto que, cada uno de los
CONSECUENCIAS:
• Perdida de la información por no tener roles definidos que apoyen el origen de las
fallas.
• Detrimento patrimonial al no tener claro de donde provienen fallas que dan pie a la
RECOMENDACIONES:
con calidad.
• Crear un diagrama de flujo que direccione a cada uno de los responsables del área
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Entregar y Dar
DOMINIO PROCESO Seguridad de los
Soporte
Sistemas
DESCRIPCIÓN:
corresponde con la realidad del área encargada, debido que no hay una cultura
requieran elaborar.
CAUSAS: Falta de formatos que direccionen cada una de las funciones, deberes y
obligaciones para que esta situación no ocurra y por el contrario pueda brindar la
CONSECUENCIAS:
que den acceso independiente a agentes internos y externos y que por tanto no
RECOMENDACIONES:
REF
HALLAZGO 4
O4
PROCESO PÁGINA
Cualificación del personal
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS7 Educar y
Entregar y Dar
DOMINIO PROCESO Entrenar a los
Soporte
Usuarios
DESCRIPCIÓN:
importante y confidencial.
CONSECUENCIAS:
direccionadas.
• Perdida de tiempo y dinero que puede ser direccionado para gastos de otro tipo,
RECOMENDACIONES:
relación a las demandas del área y del cargo al que esta enfocado el proceso de
cualificación.
HALLAZGOS CONTROL
ENCONTRADOS
problemas
Tabla Hallazgo 1
REF
HALLAZGO 1
R1
DESCRIPCIÓN:
• No existe el conocimiento de la norma técnica para el manejo de la información
por parte de los actores del sistema.
CONSECUENCIAS:
• Al no existir la política de tratamiento de la información implementada esta última
como activo en la organización se puede ver comprometida, ya que no existe un
control de las mismas, un ejemplo puede ser los proveedores o los balances de
cuentas estar expuesto a la competencia ya que no se toman controles del filtro de
información ocasionando pérdidas económicas.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 2
REF
HALLAZGO 2
R2
DESCRIPCIÓN:
• No se cuenta con servidor de datos centralizado para el manejo de la información
estando estas dispersas en cada equipo de cómputo y lo que dificulta la
recuperación de estas en caso de pérdidas.
CONSECUENCIAS:
• Al no existir un procedimiento que almacene la información de manera
centralizada esta puede estar sujeta a exposición de factores externos como daños
a equipos, poca disponibilidad y confiabilidad de la información, y no se puede
recuperar en su totalidad en caso de pérdidas.
RECOMENDACIONES:
• Elaborar e implementar políticas y procedimientos relacionados con el tratamiento
de información basado en la norma técnica internacional ISO27001 ajustado a la
necesidad de organización.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 3
REF
HALLAZGO 3
R3
DESCRIPCIÓN:
• No existe el conocimiento de la norma técnica para el manejo de la información
por parte de los actores del sistema.
RECOMENDACIONES:
• Tomar por lo menos un equipo de cómputo adaptarlo con suficiente espacio y
colocarlo en red como servidor de archivos y compartir cada carpeta por usuario
para el manejo de información, así de esta forma unificar los datos de la
organización.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 4
REF
HALLAZGO 4
R4
CAUSAS:
El departamento de sistemas no ha implementado un esquema de almacenamiento de la
información que cumpla con los criterios mínimos de confiabilidad y disponibilidad en la
organización.
CONSECUENCIAS:
• Perdida de información y poca disponibilidad de la misma
RECOMENDACIONES:
• Implementar Esquema de red de archivo para el almacenamiento de la
información.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 5
REF
HALLAZGO 5
R5
DESCRIPCIÓN:
• Se presenta fallas en el fluido eléctrico en los equipos exponiendo estos mismo a
constantes apagones, comprometiendo la información allí almacenada a no estar
disponible para la organización o perdida de la misma por falla en los discos
duros.
CONSECUENCIAS:
• Daños en los equipos de cómputo y almacenamiento.
RECOMENDACIONES:
• Contratar una empresa externa para arreglar la acometida eléctrica e implementar
mejoras.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 6
REF
HALLAZGO 6
R6
PROCESO PÁGINA
Fallas en la red de datos hacia el servidor.
AUDITADO 1 DE 1
RESPONSABLE Keyla Villarreal Fontalvo
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
DESCRIPCIÓN:
• Se presenta fallas en la trasmisión de datos en red, ocasionando pérdidas de
paquetes o no llegan a su destino.
CONSECUENCIAS:
• Perdida de información irrecuperable en la red.
RECOMENDACIONES:
• Contratar una empresa externa para arreglar el cableado de datos, implementar
categoría 5e solo cobre y certificar cada punto.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 7
REF
HALLAZGO 7
R7
PROCESO PÁGINA
No se encuentra actualizado el antivirus.
AUDITADO 1 DE 1
RESPONSABLE Keyla Villarreal Fontalvo
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
DESCRIPCIÓN:
• Se presenta fallas en la trasmisión de datos en red, ocasionando pérdidas de
paquetes o no llegan a su destino.
CONSECUENCIAS:
• Perdida de información irrecuperable en la red.
RECOMENDACIONES:
• Contratar una empresa externa para arreglar el cableado de datos, implementar
categoría 5e solo cobre y certificar cada punto.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 8
REF
HALLAZGO 8
R8
PROCESO No se aplica en su totalidad las reglas del PÁGINA
AUDITADO manejo de información. 1 DE 1
RESPONSABLE Keyla Villarreal Fontalvo
MATERIAL DE
COBIT
SOPORTE
P02 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información
DESCRIPCIÓN:
• Se cuentan con algunas reglas de manejo de la información sin embargo esta no se
aplica en su totalidad por que áreas como gerencia no se aplican reglas del manejo
de la información, y esta puede ser una fuente de propagación de virus
informáticos.
CONSECUENCIAS:
• Ataques cibernéticos y propagación de malware a la empresa.
RECOMENDACIONES:
• Es necesario concientizar al área de gerencia sobre el buen uso del manejo de la
información y los riesgos que estos implican, para que sean ellos los promotores
de las buenas prácticas en el tratamiento de datos en la empresa.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 9
REF
HALLAZGO 9
R9
DESCRIPCIÓN:
• No se cuenta con servidor de respaldo para cualquier eventualidad si el primario
llegase a fallar, no se cuenta con respaldo de información.
CONSECUENCIAS:
Falta de disponibilidad de la información en casos que el servidor primario llegase a fallar
esto seria perdidas económicas para la empresa y la paralización de las operaciones..
RECOMENDACIONES:
• Tener un servidor de respaldo, con toda la información si el servidor primario
llegase a fallar.
EVIDENCIAS - REF_PT:
Tabla Hallazgo 10
REF
HALLAZGO 10
R10
DESCRIPCIÓN:
• No se cuenta con una cultura organizacional del manejo adecuado de la
información, es por ello que se necesita fortalecer este aspecto para mitigar
posibles pérdidas de estos.
CAUSAS: Falta de interés por partes de los funcionarios, y la poca gestión en promover
las buenas practicas.
CONSECUENCIAS:
Se puede perder información, así como la divulgación externa ocasionando pérdidas
económicas a la compañía
RECOMENDACIONES:
• Promover desde área de sistema y gerencia el buen uso de practicas del manejo de
información asi como exigirlo en cada proceso de la empresa.
EVIDENCIAS - REF_PT:
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O
ENCONTRADOS CONTROL CONTROLES
Se recomienda
implementar la norma
técnica ISO27001 a los
Se desconoce la norma técnica ISO27001 procesos de la
PREVENTIVO
para el manejo de la información. organización y
certificarse en ella para
la confiabilidad de los
datos.
Se debe realizar una
política del manejo de
información y aplicarla
No se cuenta con una política aplicada para el a la empresa, y debe
CORRECTIVO
manejo de la información. mencionarse el uso
obligatorio en el
reglamento interno de
trabajo.
Se debe disponer de un
servidor de archivos que
centre toda la
La información no se encuentra centralizada. CORRECTIVO
información de la
empresa para facilitar el
manejo de Backus
Se debe disponer de
tecnologías como NAS
Funcionamiento inadecuado del
PREVENTIVO para el manejo de
almacenamiento de datos.
información o arreglos
de discos.
Se debe contratar una
empresa que realice
Fallas en las telecomunicaciones y/o fluido
CORRECTIVO labores de cableado
eléctrico.
eléctricos y colocar
energía regulada.
Se debe certificar cada
punto de datos, y utilizar
Fallas en la red de datos hacia el servidor. PREVENTIVO
cableado tipo 5e solo
cobre para la empresa.
Se debe actualizar el
antivirus e instalar
No se encuentra actualizado el antivirus. CORRECTIVO agentes que permitan el
control de puertos USB
para bloquearlos.
Se debe concientizar al
área de gerencia y que
No se aplica en su totalidad las reglas del este sea el actor
PREVENTIVO
manejo de información. principal sobre el buen
uso del manejo de la
información.
Se debe disponer de un
servidor secundario para
casos de emergencia
No se tiene plan de contingencia de la
PREVENTIVO poder reaccionar y tener
información en un servidor alterno.
la información de
respaldo de manera
inmediata.
Se necesita hacer
No existe cultura del manejo de información campañas del manejo de
PREVENTIVO
en los usuarios internos de la organización. la información en la
empresa.
Formatos de hallazgos y definición de controles
CAUSAS: Esto debido a la falta de capacitación en los empleados acerca del manejo de
la información.
Nit
R2 No existe cultura del manejo de información
en los usuarios internos de la organización. 890.903.939-
5
DESCRIPCIÓN:
No existe cultura de manejo de la información dentro de la empresa.
Los empleados no se encuentran motivados a realizar los protocolos de manejo de la
información.
CONSECUENCIAS:
• Si n se establece una cultura de manejo de información en la empresa esta tendrá
perdidas en el momento del requerimiento de datos que pueden verse reflejados
en cada área de la empresa, ya sea financiera como logística y demas.
RECOMENDACIONES:
• Contratar un ingeniero experto para que brinde capacitaciones acerca del buen
manejo de la información.
• Establecer entes motivadores de el buen uso de la información.
EVIDENCIAS - REF_PT:
NIT
R3 No se cuenta con una política aplicada para
el manejo de la información
890.903.939-
5
CAUSAS: En este caso es el área de sistemas el que se debe encargar de que cada
antivirus cuente con su actualización y respectiva licencia vigente.
TRATAMIENTO DE RIESGO
DESCRIPCIÓN HALLAZGO:
Esto es debido a la falta de capacitación a los funcionarios nuevos y antiguos de las
nuevas tecnologías informáticas que viene implementando la empresa Postobón.
CONSECUENCIAS:
• Al no existir un grupo encargado de capacitar y estudiar el desempeño de cada uno
de los trabajadores que componen a la empresa Postobón en las nuevas
tecnologías y en el uso del software, pueden ser vulnérales la información
confidencial de la empresa ingresando a lugares riesgosos no aprobados por la
misma.
RECOMENDACIONES:
• Implementar más capacitaciones sobre el manual de buenas prácticas a los
empleados de la empresa Postobón, sobre el manejo de las aplicaciones y el uso de
las nuevas tecnologías que llegan a la empresa.
ENTREVISTADO
CARGO
1. ¿Cuáles son las características de seguridad implementada sobre las aplicaciones de las
TI?
6. ¿Cómo hacen para detectar el riesgo informático y una vez detectado controlarlo?
Lo primero que hacemos es detectar el riesgo informático y que tipo de riesgo es, para
poder controlarlo con un antivirus licenciado y así controlarlo.
CONSECUENCIAS:
• Al no existir un grupo encargado de capacitar y estudiar el desempeño de cada uno
de los trabajadores que componen a la empresa Postobón en las nuevas
tecnologías y en el uso del software, pueden ser vulnérales la información
confidencial de la empresa ingresando a lugares riesgosos no aprobados por la
misma.
RECOMENDACIONES:
• Con las capacitaciones constantemente hacia los empleados de la empresa
Postobón fluye mucho mejor la comunicación y la habilidad de conocimiento con
las tecnologías que implementa la empresa, sobre normas de seguridad
informática y el manual de buenas prácticas de la empresa.
ENTREVISTADO
CARGO
Tema 1: Responsabilidad sobre el riesgo, la seguridad y el cumplimiento de las TI.
7. ¿Cuáles son las características de seguridad implementada sobre las aplicaciones de las
TI?
12. ¿Cómo hacen para detectar el riesgo informático y una vez detectado controlarlo?
Lo primero que hacemos es detectar el riesgo informático y que tipo de riesgo es, para
poder controlarlo con un antivirus licenciado y así controlarlo.
R4: Cuando estén trabajado en software de la empresa
REF
no deben ingresar a aplicaciones no autorizada por la
empresa, porque hay mucha información confidencial
después esta es hackeada.
DESCRIPCIÓN HALLAZGO:
Esto es debido a la falta de capacitación a los funcionarios nuevos y antiguos de las
nuevas tecnologías informáticas que viene implementando la empresa Postobón.
CONSECUENCIAS:
• Al no existir un grupo encargado de capacitar y estudiar el desempeño de cada uno
de los trabajadores que componen a la empresa Postobón en las nuevas
tecnologías y en el uso del software, pueden ser vulnérales la información
confidencial de la empresa ingresando a lugares riesgosos no aprobados por la
misma.
ENTREVISTADO
CARGO
13. ¿Cuáles son las características de seguridad implementada sobre las aplicaciones de las
TI?
14. ¿Qué hace en caso de que falle alguna aplicación? ¿a quién acude?
Cuando falla alguna aplicación acudimos a la persona encargada en este caso es el
Ingeniero de infraestructura.
18. ¿Cómo hacen para detectar el riesgo informático y una vez detectado controlarlo?
Lo primero que hacemos es detectar el riesgo informático y que tipo de riesgo es, para
poder controlarlo con un antivirus licenciado y así controlarlo.
REF
R5: El software de la empresa es inestable cuando se
están usando muchos datos.
DESCRIPCIÓN HALLAZGO:
Utilizar otro tipo de Software que se ajuste la necesidad de la empresa cuando se maneja
mucha información y que este licenciado para evitar problemas más adelante.
CONSECUENCIAS:
• Falta de implementación de otro Software que se ajuste a las necesidades de la
empresa en el uso diario en el manejo de bastante información.
RECOMENDACIONES:
• Utilizar otro tipo de Software que se ajuste la necesidad de la empresa cuando se
maneja mucha información y que este licenciado para evitar problemas más
adelante.
ENTREVISTADO
CARGO
19. ¿Cuáles son las características de seguridad implementada sobre las aplicaciones de las
TI?
Las características de seguridad implementada son:
• Integridad
• Confidencialidad
• Disponibilidad
• Evitar el rechazo
• Autenticación
20. ¿Qué hace en caso de que falle alguna aplicación? ¿a quién acude?
Cuando falla alguna aplicación acudimos a la persona encargada en este caso es el
Ingeniero de infraestructura.
24. ¿Cómo hacen para detectar el riesgo informático y una vez detectado controlarlo?
Lo primero que hacemos es detectar el riesgo informático y que tipo de riesgo es, para
poder controlarlo con un antivirus licenciado y así controlarlo.
RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
Mal manejo en las CORRECTIVO Implementar más capacitaciones a los
aplicaciones tecnológicas funcionarios de la empresa Postobón,
por parte de los sobre el manejo de las aplicaciones y
empleados. el uso de las nuevas tecnologías que
llegan a la empresa.
personal, los recursos del software y las aplicaciones tecnológicas, con el fin de
empresa Postobón.
b. Dictamen:
procesos.
esta es hackeada.
d. Recomendaciones:
maneja mucha información y que este licenciado para evitar problemas más
adelante.
Informe ejecutivo de auditoria
Ciudad y fecha
Doctora:
EMPRESA POSTOBÓN SA
intervenido, introduciremos frases claves de aquello que dio pie a todo lo operativizado:
información.
un respaldo de la información.
dando amenazas como daños en las comunicaciones, debido que, algunos de los
paquetes de información.
No obstante, a los hallazgos del diagnóstico inicial, destacamos la disposición por parte
del personal encargado del área para facilitar todo lo necesario para la realización de este
proceso.
contrario su vulnerabilidad y todo lo que pudo ser susceptible de ser transferido de manera
materializarlas.
Hay que mencionar además, que en cuanto a la operatividad del sistema se evalúo la
la subsanación de todos los hallazgos, puesto que, se considera que todo lo encabeza el
información, se verificó la preparación del talento humano para actuar frente al respaldo de
de la información, sin que está quede desprotegida o sea susceptible de ser divulgada de
del cableado estructurado que corresponde a cables UTP, conectores RJ45, equipos de red:
switch, Router, rack, cuarto de redes, patch pannel, proponiendo planes de mejora que
Hallazgos
Recomendaciones
funciones.
Hallazgos
corresponde con la realidad del área encargada, debido que no hay una cultura
elaborar.
Recomendaciones
• Implementar un plan de trabajo donde se visibilice una cultura organizacional que
Hallazgos
• No existe desde el talento humano, una estructura específica que ayude a visibilizar
cada uno de los roles que se asumen en las respectivas responsabilidades que
• Hay ausencia de una cultura organizacional que apoye la asignación de roles dentro
del área intervenida, que den cuenta de los procesos llevados a cabo y que respalden
Recomendaciones
que permitiría la fluidez de la operación con eficacia, eficiencia y por supuesto con
calidad.
• Crear un diagrama de flujo que direccione a cada uno de los responsables del área a
importante y confidencial.
Recomendaciones
relación a las demandas del área y del cargo al que está enfocado el proceso de
cualificación.
Respecto a la Arquitectura de la Información.
Hallazgos
Recomendaciones
necesidad de organización.
Hallazgos
Recomendaciones
necesidad de organización.
Hallazgos
Recomendaciones
colocarlo en red como servidor de archivos y compartir cada carpeta por usuario
organización.
Hallazgos
centralizada.
Recomendaciones
Hallazgos
disponible para la organización o perdida de la misma por falla en los discos duros.
Recomendaciones
mejoras.
Hallazgos
Recomendaciones
Hallazgos
Recomendaciones
Hallazgos
aplica en su totalidad por qué áreas como gerencia no se aplican reglas del manejo
Recomendaciones
información y los riesgos que estos implican, para que sean ellos los promotores de
Recomendaciones
llegase a fallar.
Hallazgos
información, es por ello que se necesita fortalecer este aspecto para mitigar posibles
pérdidas de estos.
Recomendaciones
• Promover desde área de sistema y gerencia el buen uso de prácticas del manejo de
información, así como exigirlo en cada proceso de la empresa.
Hallazgos
establecidas.
Recomendaciones
Hallazgos
de la información.
Recomendaciones
• Contratar un ingeniero experto para que brinde capacitaciones acerca del buen
manejo de la información.
Hallazgos
Recomendaciones
Hallazgos
Recomendaciones
Hallazgos
Recomendaciones
de telecomunicación y eléctrica.
Hallazgos
Hallazgos
Recomendaciones
Hallazgos
Postobón.
Recomendaciones
Recomendaciones
Atentamente;
___________________ ______________________
Auditor Auditor
___________________ ______________________
Auditor Auditor
Conclusión
soluciones a las problemáticas de T.I de la empresa Postobón, debido que, estos procesos
intervención desde los resultados arrojados en las investigaciones resultantes del proceso
Referencias Bibliográficas
CobIT 4.1 (2007) IT Governance Institute All rights reserved. 2 , tomado de: www.itgi.org