 ANDREA BOTERO– PLANEACIÓN Y ORGANIZACIÓN

Fuentes de información: Definir los procesos, organización y relaciones de TI.

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
Empresa Altycom
AUDITADA 1 DE 1
PROCESO
Definir los procesos, organización y relaciones de TI.
AUDITADO
RESPONSABLE Andrea Botero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planeación y Organización (PO)
PO04 Definir los procesos, organización y relaciones de TI
PROCESO

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENT DE ANALISIS DE EJECUCION
O

 Verificación  Comprobar de las

la responsabilidades
 Manual de responsabilidad de sobre los
riesgos de los riesgos.
(Documento). riesgos  Comprobar
 Personal relacionadoscon el procedimiento
encargado del TI utilizado por los
TI.  Verificación de encargados para
 Sistema de la la protección
control interno responsabilidad de datos y
riesgos. sobre la sistemas de
administración información.
de riesgo y la  Medición
seguridad a nivel de
de toda la resultados para
 empresa . garantizar que se
cumplan los
roles.

Entrevista: Definir los procesos, organización y relaciones de TI

ENTREVIS
TA
PO Definir los
Planeación y
DOMINI PROCES procesos, organización
Organización
O O y relaciones de TI
(DS)
OBJETIVO DE
CONTROL
N CUESTI RESPUESTA
º ÓN
¿Cuál es el personal encargado de la Existe un contrato de prestación de
tecnología de la información, cuáles servicio para la realización del
1 son sus funciones y mantenimiento preventivo del
responsabilidades? equipo en toda la empresa.

¿Existe alguna metodología para

2 establecer propiedady
responsabilidad con los riesgos
relacionados con TI?
¿Se utilizan métodos cualitativos o
cuantitativos para medir
3 probabilidad e impacto de los
riesgos que pueden afectar la
infraestructura tecnológica?
Se cuenta con un cronograma de
mantenimiento y seguridad
informativa.
Existe una carpeta en cada una de
las aulas tecnológicas en donde se
la describe el usuario y las
condiciones de la infraestructura
para el uso adecuado y
responsabilidades. Se realiza
revisión del fluido eléctrico.

¿Se cuenta con un sistema de

control para mitigar los riesgos que
pueden afectar la infraestructura
tecnológica del colegio frente a las No existe, se actúa de acuerdo a la
4 vulnerabilidades y amenazas, que emergencia.
vulnerabilidades y amenazas son las
más frecuentes?, se realiza
monitoreo periódico de riesgos?
¿La dependencia de TI, cuenta con Existen actas y evidencia física
 las herramientas que les permitan
5 enfrentar sus responsabilidades y de
propiedad sobre los datos y sistemas
de información?
¿Existe una adecuada supervisión
6 dentro de la TI, para garantizar que
las responsabilidades se cumplan de
forma propia?
como medida para enfrentar
responsabilidad, además, el
pagador realiza supervisión en
cada una de las eventualidades
Es asignado un supervisor para el
cumplimento de las obligaciones
del contratista.

LISTA CHEQUEO: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI

LISTA
CHEQUEO
PO Definir los
Planeación y
DOMINI PROCESO procesos, organización
Organización
O y relaciones de TI
(PO)
PO4.8 Responsabilidad sobre el Riesgo, la
OBJETIVO DE Seguridad y el Cumplimiento
CONTROL
CONFO
N ASPECTO EVALUADO RME OBSERVACIÓN
º SI N
O
¿Existe una metodología para
1 establecer la propiedad y X Existen contratos
responsabilidad de riesgos de TI? de prestación
de servicios.
¿Cuál es la seguridad que existe
2 para la protección de la X
información?
¿Cuáles son las políticas de
3 cumplimiento de los encargados de X
la protección de la información?

OBJETIVO DE PO4.9 Propiedad de Datos y de Sistemas

CONTROL
¿El personal encargado de la
Existen actas y evidencia
protección de datos y sistemas X
física como medida para
4 cuanta con las herramientas
enfrentar
necesarias para cumplir con las
responsabilidad.
responsabilidades?
 OBJETIVO DE PO4.10 Supervisión
CONTROL
¿Existe una implementación de El pagador realiza
prácticas adecuadas de supervisión X supervisión en cada una
5 dentro de la función de TI, para de las eventualidades y
garantizar que las responsabilidades el cumplimento de las
se cumplan de obligaciones
manera adecuada?
del
contratista.

CUESTIONARIO: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI
CUESTIONARIO CUANTITATIVO R
EF

ENTIDA Empresa Altycom PAGINA

D 1 D 1
AUDITA E
DA
PROCES Definir los procesos, organización y relaciones de TI
O
AUDITA
DO
RESPONSABLES Andrea Botero
MATERIAL COBIT 4.1
DE
SOPORTE
DOMINIO Planeación y PROCES PO4 Definir los
Organización O procesos, organización
(PO) y relaciones de TI

OBJETIVO DE CONTROL
N PREGUNT S N NA REF
A I O
1 ¿El personal encargado de la tecnología de 4
la información, está capacitado para
cumplir con las funciones?
2 ¿Existe alguna metodología para 3
establecer propiedad y responsabilidad
con los riesgos relacionados con TI?
3 ¿Se realiza la evaluación de los riesgos 3
que pueden afectar la infraestructura
tecnológica mediante la utilización de una
 metodología?
4 ¿La dependencia de TI, cuenta con las 4
herramientas que les permitan enfrentar
sus responsabilidades y de propiedad
sobre los datos y sistemas de información?

4 ¿Se utilizan métodos cualitativos o 4

cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar
la infraestructura tecnológica?
5 ¿Existe una adecuada supervisión dentro 3
de la TI, para garantizar que las
responsabilidades se cumplan de forma
propia?

TOTAL 1 7
4
TOTAL 20
CUESTIONARIO
Porcentaje de riesgo parcial = (14 * 100) / 20 = 70
Porcentaje de riesgo total = 100 – 70 = 30%
PORCENTAJE 30% (Riesgo Medio)
RIESGO

PROCESO GESTIÓN DE SISTEMAS DE LA INFORMACIÓN RIESGOS

INICIALES:

Listado de los riesgos iniciales encantados mediante el cuadro de amenazas y

riesgos informáticos.
1. Falta de capacitación del personal del área informática.
2. Falta de conocimiento de los usuarios en el tema de seguridad
informática y de la información.
3. No existe control de los dispositivos de almacenamiento.
4. No se tiene implementado un sistema de identificación de empleados,
visitantes, estudiantes y docentes.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

Mediante la aplicación del instrumento de recolección de información, como

entrevistas se encontraron nuevos riesgos.
 5. No existe una metodología que permita establecer la propiedad y
responsabilidad de riesgos.
6. Accesos no autorizados a las instalaciones del área tecnológica
7. No cuenta con un sistema de control para mitigar riesgos.
8. Faltan políticas de seguridad para el tratamiento de datos e información.
9. No cuentan con las herramientas necesarias mitigar riesgos.

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impacto Probabilidad

R1 Falta de capacitación del personal del área 5 3
informática.

R2 Falta de conocimiento de los usuarios en el tema 4 3

de seguridad informática y de la información.

R3 No existe control de los dispositivos de 4 4

almacenamiento.

R4 No se tiene implementado un sistema de 3 2

identificación de empleados, visitantes,
estudiantes y docentes.

R5 No existe una metodología que permita 3 3

establecer la propiedad y responsabilidad de
riesgos.

R6 Accesos no autorizados a las instalaciones del 2 2

área tecnológica.
R7 No cuenta con un sistema de control para mitigar 5 3
riesgos.
R8 Faltan políticas de seguridad para el 4 3
tratamiento de datos e información.
R9 No cuentan con las herramientas necesarias 3 2
mitigar riesgos.

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
 PROBABILIDA Insignificant Men Moderad May Catastrófic
D e (1) or o (3) or o (5)
(2) (4)
Raro (1)

Improbable (2) R6 R4,R9

Posible (3) R5 R2, R8, R1,R7,

Probable (4) R3

Casi Seguro (5)

Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en cada
caso.

R6 Zona de riesgo Baja: Asumir el riesgo

R4,R9 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
R5 Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
R1,R2,R
3,R7,R8

R6 Zona de riesgo Baja: implementar técnica para cada área

R4, R9 Zona de riesgo Moderada: implementar sistema de identificación

R5 Zona de riesgo Alta: señalar fechas puntuales y llevar un control

R2, R1, R3, Zona de riesgo Extremo: Dotar capacitaciones al personal, para minimizar
R7, R8 riesgos
A continuación, se presentan los dominios, procesos y objetivos de
control relacionados directamente con el objetivo y los alcances
determinados en el plan de auditoría.

Dominio: Planeación Y Organización (PO). Este dominio cubre las

estrategias y las tácticas, tiene que ver con identificar la manera en que
las tecnologías de información pueden contribuir de la mejor manera al
logro de los objetivos de una entidad. Para ello los procesos que se
realizaran y los objetivos de control que se van a evaluar son los
siguientes:

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro

del área de sistemas debe estar claro y definido el personal de la
tecnología de la información, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios que
satisfagan los objetivos de la empresa.

 PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el

Cumplimiento: Establecer la propiedad y la responsabilidad de los
riesgos relacionados con TI a un nivel superior apropiado.
Establecer responsabilidad sobre la administración del riesgo y la
seguridad a nivel de toda la dependencia para manejar los
problemas a nivel de toda la empresa.
 PO4.9 Propiedad de Datos y de Sistemas: Proporcionar a la
dependencia los procedimientos y herramientas que le permitan
 enfrentar sus responsabilidades de propiedad sobre los datos y los
sistemas de información. Los encargados toman decisiones sobre
la clasificación de la información y de los sistemas y sobre cómo
protegerlos de acuerdo con esta clasificación.
 PO4.10 Supervisión: Implementar prácticas adecuadas de
supervisión dentro de la función de TI para garantizar que los
roles y las responsabilidades se ejerzan de forma apropiada, para
evaluar si todo el personal cuenta con la suficiente autoridad y
recursos para ejecutar sus roles y responsabilidades y para revisar
en general los indicadores clave de desempeño.

El tratamiento de los riesgos hace referencia a la acción que se deberá

ejecutar de acuerdo al nivel de probabilidad y ocurrencia de los riesgos
encontrados, en este sentido los riesgos pueden ser aceptados,
transferidos o se debe ejercer controles sobre ellos. Para los riesgos que
se encuentran en color verde (debajo de la diagonal) como son de baja
probabilidad e impacto leve, y no causan mayores daños a la
organización generalmente se aceptan, para los riesgos que están en
color amarillo (diagonal) y los riesgos que están en color rojo (encima
de la diagonal) cuya probabilidad es media o alta y el impacto es
moderado o catastrófico se debe transferir o ejercer controles. Aceptarlo
significa convivir con el riesgo, transferirlo significa que otra empresa o
personal especializado se haga cargo de esos riesgos y la empresa paga
por ese servicio y ejercer control significa que debo proponer controles
para esos riesgos.

ID. Descripción Riesgo Tratamiento

Riesgo Riesgo
R1 Falta de capacitación del personal Transferir
del área informática.

R2 Falta de conocimiento de los Transferir

usuarios en el tema de seguridad
informática y de la información.
R3 No existe control de los Transferir
dispositivos de almacenamiento.

R4 No se tiene implementado un Controlarlo

sistema de identificación de
empleados, visitantes,
estudiantes y docentes.
R5 No existe una metodología que Controlarlo
permita establecer la propiedad y
responsabilidad de riesgos.

R6 Accesos no autorizados a Aceptarlo

las instalaciones del
área tecnológica.
R7 No cuenta con un sistema de Transferir
control para mitigar riesgos.
R8 Faltan políticas de seguridad para Transferir
el tratamiento de datos e
información.
R9 No cuentan con las Controlarlo
herramientas necesarias
mitigar riesgos.

De acuerdo a los resultados anteriores, y para los riesgos que se deban

ejercer controles, elaborar un cuadro mostrando los riesgos en una
columna, y otra con los controles propuestos y el tipo (preventivo,
detectivo, correctivo, o de recuperación) propuestos para minimizar el
impacto y probabilidad de ocurrencia.

Una vez se haya definido los riesgos a los cuales se les debe ejercer
controles, se pasan al cuadro definiendo el control o controles y el tipo
que deben implementarse para poder controlarlo. En cuanto a los tipos
de control estos pueden ser preventivos, detectivos, correctivos y de
recuperación, los controles preventivos servirán para prevenir que los
riesgos se concreten y ocasionen daños, los controles detectivos se
utilizan para detectar el momento exacto en que está concretándose los
riesgos y los controles correctivos se implementan una vez haya
concretado el riesgo y haya ocasionado los daños. Para un riesgo se
pueden definir uno o varios controles, por ejemplo un riesgo puede
definirse controles preventivos y correctivos, o preventivos solamente, o
preventivos y detectivos y correctivos.

RIESGOS o TIPO SOLUCIONES O CONTROLES

HALLAZGOS DE
ENCONTRADOS CONTR
OL
Falta de Correctivo Capacitar al personal
capacitación del encargado del área de
personal del área informática.
informática.
Falta de Correctivo Informar a los usuarios sobre
conocimiento de los conceptos básicos a tener en
usuarios en el tema cuenta con respecto a la
de seguridad información.
informática y de la
información.
No existe control de Correctivo Control en el manejo de
los la
dispositivos información analizando el
alcance
de que debe tener cada empleado
Almacenamiento. para
poder cumplir con el
desarrollo de
sus labores.
No se Preventivo Implementar un sistema de
tiene identificación que permita
implementado registrar el ingreso del
personal a la empresa.
un
sistema

de
identificación

de
empleados,
visitantes,
estudiantes

y
docentes.
No existe Preventivo Elaborar políticas de
una administración
metodología y organización de la
información, lo
 cual se podría realizar a través
que de la
permita establecer contratación de sistemas
la con manejo de servidores y
propiedad seguridad
para la realización de esta
y labor.
responsabilidad

de
riesgos.
No cuenta con un Preventivo Control en el manejo de la
sistema de control información analizando el
para mitigar alcance que debe tener cada
riesgos. empleado para poder cumplir
con el desarrollo de
sus labores.

Tabla Hallazgo 1

REF

HALLAZGO 1
R10

PROCESO Definir los procesos, organización PÁGINA

AUDITADO y relaciones de TI. 1 DE 1

RESPONSABLE ANDREA BOTERO

MATERIAL DE
COBIT
SOPORTE

PO04 Definir
Planeación y los procesos,
DOMINIO Organización PROCESO organización y
(PO) relaciones de
TI

DESCRIPCIÓN:

Dentro del área de TI se deben tener definidas las funciones y

responsabilidades, que cumple cada uno de los empleados, para que de
esta manera se permita buen desempeño, para que satisfagan los
propósitos de la empresa.

CAUSAS:

 No existe una metodología de control de responsabilidades y

riesgos de las TI.
 No se ha establecido un sistema de control para mitigar los
riesgos que puedan afectar la infraestructura tecnológica, en
caso de alguna amenaza.
 No se realiza una evaluación periódica para encontrar
vulnerabilidad del sistema.
CONSECUENCIAS:

 Al no existir una metodología que permita el control de las

responsabilidades de riesgo de las TI y para mitigar los riesgos,
existe una mayor probabilidad del que existan amenazas, que
afecten el sistema.

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: ¿ 70 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 Delegar personal para que cumpla las funciones de supervisor, en caso

de que se presente alguna irregularidad.
 Elaborar e implementar políticas y procedimientos que permitan
mitigar los riesgos que puedan afectar el sistema.

DICTAMEN:

 Se califica un nivel de madurez 2 REPATIBLE, por cuanto los

procesos, organización y relaciones del área de informática de la
empresa, están estandarizados de una manera regular, pero
falta mayor conocimiento por parte de los empleados que tiene
acceso al área, con respecto a la metodología utilizada para
mitigar los riesgos que puedan afectar el sistema