Ejercicio Grupal No.

3
Introducción y Fundamentos:

● Ahora que hemos comentado los 4 riesgos presentes en los departamentos se preguntaran
como se manifiestan realmente estos riesgos en una actividad específica de su empresa. En
este ejercicio tendrán la oportunidad de identificar los riesgos asociados en un departamento
de sistemas.

Tarea.
● Identifique los riesgos de departamento, acorde con la información contenida en el mini
caso.
● A la luz del marco referencia COBIT, identifique la oportunidad de mejora que se podría
implementar y el proceso al cual estaría asociado.

Ambiente de Macro Computadores.

La Aplicación de facturación tiene interfase automática con contabilidad, cartera e inventarios.

La aplicación de inventario tiene interfase automática con la de costos de producción.
Todas las interfases con la aplicación de contabilidad son automáticas, excepto por la de
nómina que es manual.
Todas las interfases con la aplicación de nómina son manuales, estas se dejan en una carpeta
libre (compartida con todo el mundo)

A mediados del año 2020 se iniciaron una serie de mejoras a los sistemas de existencias y
administración del costo de producción, se prevé su finalización a mediados del presente año.
Este proceso lo lidera el área de tecnología y solo participa su personal, para la selección de la
funcionalidad se tuvo en cuenta solamente las mejores prácticas del mercado y no las
necesidades del usuario. A medida que la funcionalidad queda lista, la tecnología realiza las
respectivas pruebas y se va liberando en ambiente productivo después de haber capacitado al
usuario.

Se está evaluando la posibilidad de adquirir un paquete de nómina para el equipo IBM AS/400
ya que actualmente corre en un microcomputador. Se adquiere aproximadamente a fin de año y
se piensa adquirir el software provisto por uno de los socios.

La compañía cuenta con un solo centro donde se procesa información denominado oficinas
centrales. Se cuenta con un equipo IBM OS/400 que tiene terminales locales y remotas en los
diferentes departamentos de la compañía.
La configuración del equipo es la siguiente:
Modelo: 9404-B20
Memoria: 1 Gbyte
Capacidad de Disco: 3 Tbytes.
Unidad de cartucho:¼ pulgada
Unidad de DVD: 32X
Estaciones de Trabajo: 12
Impresoras: 2
Sistema Operacional OS/400 Release V7R3
Micros con tarjeta de Emulación 16
El software utilizado es el siguiente:
PC-Support
Query
RPG 400
Operating System OS/400
SEU (Source Entry Utility)
DFU (Data File Utility)
El uso de los utilitarios SEU y DFU no está restringido.
Rack para backups interno con capacidad para 10 Tbytes
Los microcomputadores son IBM Thinkcentre con las siguientes características, 512 de RAM,
40GB de disco duro, Sistema Operacional W2K SP1, cuentan con el siguiente software: Office
365. Este software no fue adquirido legalmente.

Actualmente en uno de los microcomputadores corre un paquete de nómina de Meco Ltda.. El

objetivo de este programa es generar el pago de los empleados y liquidar y consolidar
cesantías. La nómina es el único sistema que no tiene interfases automáticas con los otros
(Costo de producción y Contabilidad).

No se cuenta con software de autenticación para microcomputadores lo que permite que

cualquier persona se conecte desde cualquier terminal, han ocurrido eventos donde no se ha
podido identificar el responsable. Se controla el acceso al sistema por medio de la asignación
de identificadores y contraseñas genéricos.
No se cuenta con estándares escritos relativos a la seguridad del sistema.

El único sistema que solicita contraseñas es el servidor AS/400, en él los jefes de área deben
solicitar mediante un formato la contraseñas o palabras clave de acceso para nuevos
empleados o empleados trasladados. Los retiros son informados al departamento de sistemas
mediante memorando. El usuario solicita el cambio de palabra clave cuando lo considera
necesario.

El sistema IBM AS/400 tiene implementado el nivel de seguridad 20. Por tal motivo no está
implementado el sistema de cambio automático de palabras clave.

El departamento de sistemas realiza desarrollos y modificaciones a los sistemas existentes. El

usuario diligencia un formato de solicitud para modificaciones que debe venir previamente
autorizado por el jefe del departamento usuario y el director financiero. Los nuevos desarrollos
se definen en el comité de sistemas. Los jefes de los departamentos usuarios revisan y
aprueban los nuevos sistemas.

No existe una metodología formal de desarrollo de sistemas, se aplican diversas metodologías,

predominando las más conocidas por el personal. Existen bibliotecas de producción y
desarrollo, pero no existe restricción de acceso entre una y otra.

Se cuenta con contratos de mantenimiento así: Para el equipo principal y sus periféricos el
mantenimiento es realizado por IBM. Para los microcomputadores es realizado por Basic 3000.
El mantenimiento es preventivo y correctivo.

No se encuentran documentados procedimientos para la obtención de backups. Los operadores

realizan backups semanales y son almacenados en el rack interno del servidor AS/400.
Semanalmente se obtiene una copia de seguridad de los archivos de datos y temporales bajo el
esquema abuelo-padre-hijo. Mensualmente se obtienen copias antes y después de los
procesos de cierre. De los programas fuente se obtienen copias una vez al mes o
esporádicamente cuando se modifica algún programa; los backups se almacenan en el centro
de computo.

No se cuenta con un plan de contingencias para actuar en caso de desastre.

La compañía cuenta con dos auditores internos. Estos no realizan evaluaciones en el ambiente
de procesamiento electrónico de datos.

En el centro de cómputo se cuenta con adecuados mecanismos para prevenir daños en el

equipo: Regulador, unidad de Potencia Auxiliar UPS, y alarmas de humo. El acceso al centro de
cómputo está restringido solo a personal autorizado.

La aplicación de ventas tiene el objetivo de capturar, validar y liquidar pedidos, generar órdenes
de despacho, afectar inventarios, cartera y contabilidad. Esta aplicación fue desarrollada por el
departamento de sistema en RPG III. La aplicación no ha tenido cambios desde el año 2018. El
volumen aproximado de transacciones es de 100,000 y 120,000. La aplicación cuenta con
manuales de usuario únicamente.

Fuente de información, entrevista con la gerente de sistemas, y revisión de una lista de

hardware y software y organigrama.
Fecha de la entrevista: Agosto 15 del 2021

Riesgos de departamento
● Riesgo 6: Cambios a los programas: Todas las interfases con la aplicación de nómina
son manuales, estas se dejan en una carpeta libre (compartida con todo el mundo)
Riesgos asociados
Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no aprobados
a los programas de las aplicaciones.

● Riesgo 5: Estructura organizativa y procesamientos: Este proceso lo lidera el área de

tecnología y solo participa su personal,
Riesgos asociados
Alta dependencia del personal de sistemas.

● Riesgo 5: Estructura organizativa y procedimientos:para la selección de la funcionalidad

se tuvo en cuenta solamente las mejores prácticas del mercado y no las necesidades del
usuario.
Riesgos asociados
Desarrollo de aplicaciones que no concuerdan con los planes informáticos de la
compañía y/o los requerimientos del usuario.

● Riesgo 5: Estructura organizativa y procesamientos: Se adquiere aproximadamente a fin

de año y se piensa adquirir el software provisto por uno de los socios.
Riesgos asociados
Inadecuada adquisición de software y hardware

● Riesgo 5: Estructura organizativa y procesamientos: cuentan con el siguiente software:

Office 365. Este software no fue adquirido legalmente.
 Riesgos asociados
Inadecuada adquisición de software y hardware.

● Riesgo 7: Acceso general: No se cuenta con software de autenticación para

microcomputadores lo que permite que cualquier persona se conecte desde cualquier
terminal.
Riesgos asociados
Acceso no autorizado a datos confidenciales.

● Riesgo 5: Estructura organizativa y procesamientos: los jefes de área deben solicitar

mediante un formato la contraseñas o palabras clave de acceso para nuevos empleados
o empleados trasladados.
Riesgos asociados
Alta dependencia del personal de sistemas.

● Riesgo 5: Estructura organizativa y procesamientos: No existe una metodología formal

de desarrollo de sistemas, se aplican diversas metodologías, predominando las más
conocidas por el personal.
Riesgos asociados
Cada programador podría utilizar sus propios criterios de programación

● Riesgo 5: Estructura organizativa y procesamientos: No se encuentran documentados

procedimientos para la obtención de backups.
Riesgos asociados
Desconocimiento de las aplicaciones

● Riesgo 8: Continuidad de operaciones: No se cuenta con un plan de contingencias para

actuar en caso de desastre.
Riesgos asociados
Pérdida parcial o total de información.

Oportunidad de mejora
● La exposición a pérdidas es reconocida y aceptada. No se toma acción alguna para
atender un riesgo específico y las pérdidas serán aceptadas cuando ocurran. La decisión
de aceptar un riesgo corresponde a los altos niveles de la organización y debe quedar
documentada y ser comunicada (ISACA, 2013).
● Reducir la probabilidad o el impacto de un riesgo transfiriendo o compartiendo una parte
del riesgo con otra entidad. Algunas técnicas comunes son la adquisición de pólizas de
seguro o bien, tercerizar las operaciones o proyectos que implican riesgos relevantes
(ISACA, 2013).

● Tomar acciones de mitigación para reducir la frecuencia o el impacto de un riesgo.

Formas comunes de mitigación incluyen reforzar los procesos de gestión de TI,
implementar controles con ayuda de COBIT 5 o utilizar otras prácticas conocidas y
marcos de referencia (ISACA, 2013).

● Una vez identificados los riesgos ante los que la organización debe responder, se debe
seleccionar y priorizar las estrategias para responder al riesgo (ISACA, 2013).