Realimentación - Luis Ivan Zapata Parada

1
Fase 3. Ejecución Auditoría: Proceso: Alinear, Planificar y Organizar
AP013 Gestionar la seguridad
Presentado por:
Luis Ivan Zapata Parada
Universidad Nacional Abierta y a Distancia
Facultad de Ingeniería
Programa de Ingeniería de Sistemas
Bogota
2022
2
Fase 3. Ejecución Auditoría: Proceso: Alinear, Planificar y Organizar
AP013 Gestionar la seguridad
Presentado por:
Presentado a:
Angela Dayan Garay Villada
Universidad Nacional Abierta y a Distancia
Facultad de Ingeniería
Programa de Ingeniería de Sistemas
Bogotá
2022
3
Tabla de contenido
Lista de Tablas.......................................................................................................................................3
Actividad 1: Diseña y aplica cada uno de los instrumentos de recolección de información (lista de
chequeo, entrevista y cuestionarios) de acuerdo con el proceso seleccionado del COBIT 5, para
descubrir las vulnerabilidades, amenazas y riesgos................................................................................4
Lista de Chequeo....................................................................................................................................4
Entrevista................................................................................................................................................7
Cuestionario............................................................................................................................................8
Actividad 2: Elabora un cuadro de riesgo donde se presenten las vulnerabilidades, amenazas y
riesgos detectados al utilizar los instrumentos de recolección de información de acuerdo con el
proceso evaluado........................................................................................................................................9
Actividad 3: Realiza el análisis y evaluación de riesgos para cada proceso seleccionado....................9
Actividad 4: Elabora la matriz de riesgos del proceso evaluado..........................................................11
Actividad 5: Tratamiento de Riesgos y soluciones................................................................................13
Lista de Tablas
Tabla 1 Lista de Chequeo AP013....................................................................................................4

Tabla 2 Entrevista AP013................................................................................................................7
Tabla 3 Cuestionario AP013............................................................................................................8
Tabla 4 Lista de Riesgos..................................................................................................................9
Tabla 5 Acceso no controlado a la información confidencial.........................................................9
Tabla 6 Pérdida de información.....................................................................................................10
Tabla 7 Falta de capacitación continua de los usuarios.................................................................10
4
Actividad 1: Diseña y aplica cada uno de los instrumentos de recolección de información

(lista de chequeo, entrevista y cuestionarios) de acuerdo con el proceso seleccionado del
COBIT 5, para descubrir las vulnerabilidades, amenazas y riesgos.
Lista de Chequeo
Tabla 1 Lista de Chequeo AP013
Lista Chequeo
Domini Proceso AP013 Gestionar la
o Alinear, Planificar y Organizar seguridad
Objetivo de control APO13.01 Establecer y mantener un SGSI. Establecer y mantener un SGSI

que proporcione un enfoque estándar, formal y continuo a la gestión de
seguridad para la información, tecnología y procesos de negocio que esté
alineado con los requerimientos de negocio y la gestión de seguridad en la
empresa.
APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la
seguridad de la información. Mantener un plan de seguridad de información
que describa cómo se gestionan y alinean los riesgos de seguridad de
información con la estrategia y la arquitectura de empresa. Asegurar que las
recomendaciones para implementar las mejoras en seguridad se basan en
casos de negocio aprobados,
se implementan como parte integral del desarrollo de soluciones y servicios y
se operan, después, como parte integral de las operaciones del negocio.
APO13.03 Supervisar y revisar el SGSI. Mantener y comunicar regularmente
la necesidad y los beneficios de la mejora continua de la seguridad de
información. Recolectar y analizar datos sobre el SGSI y la mejora de su
efectividad. Corregir las no conformidades para prevenir recurrencias.
Promover una cultura de seguridad y de mejora continua.
N.º Aspecto evaluado conforme Observación
Cumple Cumple No
Totalme Parcialment Cumple
nte (CT) e (CP) (NC)
1 Se tiene definido el x
alcance del SGI de
acuerdo las
características y
políticas de la
entidad.
2 El SGSI actual está x
aprobado por la alta
dirección.
3 Se cuenta con una x
declaración de
aplicabilidad que
describe el alcance
del SGSI.
5
Lista Chequeo

empresa.
Cumple Cumple No
Se tiene definido los x Se debe fortalecer el
4 roles y proceso de manejo de
responsabilidades de usuarios.
la gestión del SI.
5 Se cumple con el x
plan de tratamiento
de riesgos de SI
alineado a los
objetivos
estratégicos de
Nutresa.
6 Se valida y aprueba x
el plan de
tratamiento de
riesgos.
7 Se implementa el x
plan de tratamientos
de riesgos.
8 Se define programas x
de transferencia de
conocimiento de la
SI.
6
Lista Chequeo

empresa.
Cumple Cumple No
9 Se realiza auditorías x
internas al SGSI
10 Se realiza revisiones x
periódicas del SGSI-
11 Se genera planes de x
acciones de acuerdo
con la revisión
realizada.
Fuente: Autor
7
Entrevista
Tabla 2 Entrevista AP013
ENTREVISTA
PAGINA
ENTIDAD AUDITADA NUTRESA S. A
1 de 1
AREA AUDITADA Departamento del área de sistemas y de información
OBJETIVO DE LA Cumplir con los requisitos Nutresa de asegurar el alineamiento
ENTREVISTA de los servicios de TI clave con las necesidades del negocio
RESPONSABLE Luis Ivan Zapata Parada
MATERIAL DE
COBIT
SOPORTE
DOMINIO Alinear, Planificar y Organizar
PROCESO AP013 Gestionar la seguridad

ENTREVISTADO Carlos Andrés Colmenares
CARGO Administrador de sistemas
TEMA 1: ¿Está en marcha un sistema que considera y trata efectivamente los
requerimientos de seguridad de la información de la empresa?
En Nutresa se cuenta con un sistema qué controla los requerimientos y mantiene la seguridad de
la información según su sensibilidad y criticidad de igual forma está de la mano con las áreas
internas como firewall, antivirus, proxys, servidor de correo en el cual según políticas de
seguridad no se pueden compartir datos sensibles como IP o cédula. La empresa tiene definido
que la parte de Seguridad de la Información es responsable de gestionar la seguridad TI
juntamente con el departamento de informática.
TEMA 2: ¿Se ha establecido, aceptado y comunicado por toda la empresa un plan de
seguridad?
Actualmente se cuenta con plan difundido en toda la institución, el cual se ha aceptado y tenemos
presente los comunicados qué la empresa tiene en cuanto a los planes de seguridad internos para
cada área o para la corporación en general.
Tema 3. ¿Las soluciones de seguridad de la información estan implementadas y operadas
de forma consistente en toda la empresa?
En Nutresa todas las soluciones de seguridad que se implementan están operando de forma
consistente en toda la empresa de igual forma tenemos certificaciones a nivel de ISO 9000 entre
otras que garantizan los procesos de seguridad internos-
Se ha implementado las soluciones de seguridad de la información de manera consistente
mediante comunicados enviados correos masivos por gerencias y también directamente por áreas
en conferencias o reuniones de seguridad divulgadas en comité de cambios. Además, cuando se
han detectado riesgos dentro de ellos el manejo de usuarios e información confidencial debido al
ingreso nuevo de personal que se demora en ser realimentarse y empaparse en estos temas
8
sensibles de seguridad.
Cuestionario
De acuerdo con los anteriores riesgos detectados en la seguridad y la falta de

confidencial se genera el siguiente cuestionario.
Criterio para fortalecer: APO13.03 Supervisar y revisar el SGSI. Mantener y comunicar regularmente la
necesidad y los beneficios de la mejora continua de la seguridad de información. Recolectar y analizar datos sobre el
SGSI y la mejora de su efectividad. Corregir las no conformidades para prevenir recurrencias. Promover una cultura
de seguridad y de mejora continua.
Tabla 3 Cuestionario AP013
Nutresa S. A
Cuestionario de control
Dominio Alinear, Planificar y Organizar
Proceso AP013.03.
Preguntas SI NO Observaciones
¿Existe de un programa formal de 5 Sin embargo, falta
concienciación sobre seguridad para todos los
empleados?
¿Cuenta la empresa con un programa de concienciación sobre 5
seguridad proporcione diversos métodos para informar y educar
a los empleados?, por ejemplo: carteles, cartas, notas,
capacitación basada en la web, reuniones y promociones.
¿Ha participado de la capacitación sobre concienciación de la 5
seguridad de la información??
¿Ha leído y entendido la política de seguridad de la información 4 No se recibe
de la empresa, alguna vez este año? realimentación
instantánea de las
dudas que surgen
¿Han ocurrido cambios significativos, que ameriten la 4 Ingreso de nuevo
actualización de la política de seguridad personal continuo
para asegurar su continuidad, eficiencia? el cual no se
capacita
correctamente-
TOTAL 19 4
Fuente: Autor
Porcentaje de Riesgo Parcial: (19*100)/ 23=82.60

Porcentaje de Riesgo: 100-82.60=17.40%
1%- 30% =Riesgo bajo

31%-70%= Riesgo medio
9
71% - 100= Riesgo alto
Actividad 2: Elabora un cuadro de riesgo donde se presenten las vulnerabilidades,

amenazas y riesgos detectados al utilizar los instrumentos de recolección de información de
acuerdo con el proceso evaluado.
Tabla 4 Lista de Riesgos
Proceso Vulnerabilidad Riesgo

APO13.03 Supervisar y Acceso no controlado a la Tecnológico
revisar el SGSI. información confidencial
Mantener y comunicar Pérdida de información Operativo-Tecnológico
regularmente la necesidad y
los beneficios de la Falta de capacitación Tecnológico
mejora continua de la continua de los usuarios
seguridad de información.
Recolectar y analizar datos
sobre el SGSI y la mejora de
su efectividad. Corregir las no
conformidades para
prevenir recurrencias.
Promover una cultura de
seguridad y de mejora
continua.
Fuente: Autor
Actividad 3: Realiza el análisis y evaluación de riesgos para cada proceso seleccionado.
Tabla 5 Acceso no controlado a la información confidencial
Proceso APO13.03 Supervisar y revisar el SGSI

Riesgo Acceso no controlado a la información
confidencial
Tipo de Riesgo Tecnológico
Causa: Efecto:
Exceso de permisos de acceso al sistema a  Vulnerabilidad de acceso a la
personal nuevo no capacitado en el información
reglamento interno de seguridad.  Divulgación de información no
autorizada por personal interno o
externo de la organización.
Fuente: Autor
10
Tabla 6 Pérdida de información

Riesgo Pérdida de información
Tipo de Riesgo Operativo-Tecnológico
Causa: Efecto:
Respaldo de archivos en repositorios comunes  Perdida de información y
de información en computadores compartidos vulnerabilidad al SGSI.
y espacios de servidor, a personal que no se
ha capacitado política de seguridad.
Fuente: Autor
Tabla 7 Falta de capacitación continua de los usuarios

Riesgo Falta de capacitación continua de los usuarios
Causa: Efecto:
Se han efectuado capacitaciones, pero Al carecer de información clara y manejada
carentes de contenido y tiempo de análisis de por cada usuario, los riegos de materialización
las exposiciones efectuadas en el rol de estos aumentan considerablemente. Temas de
temas de seguridad de TI al personal nuevo intromisión a las redes, accesos no permitidos
que ingresa por las necesidades del negocio. al espacio físico, riesgo de extracción de
información, ingreso de virus y malware,
perdida de equipo por hurto, pérdida de
tiempo por interrupción de negocio, son
aspectos que repercuten gravemente en la
productividad y gestión de los sistemas de
información
Fuente: Autor
11
Actividad 4: Elabora la matriz de riesgos del proceso evaluado.
Tabla 8 Matriz Falta de Capacitación

Riesgo Falta de capacitación continua de los
usuarios
Probabilidad Frecuencia Impacto
Insignificant Menor Moderado Mayor Catastrófico
e (Bajo (Impacto (Alto (Efectos
(Efecto impacto) medio) impacto) máximos)
mínimos)
Raro No se ha x
presentado
en los
últimos 5
años
Improbable Al menos 1
vez en los
últimos 5
años
Posible Al menos 1
vez en los
últimos 2
años
Probable Al menos 1
vez en el
último año
Muy Más de una
probable vez al año
Fuente: Autor
12
Tabla 9 MatrIz Pérdida de información

Riesgo Pérdida de información
Tipo de Riesgo Operativo-Tecnológico

mínimos)
Raro No se ha x
presentado
en los
últimos 5
años
vez en los
últimos 5
años
Posible Al menos 1
vez en los
últimos 2
años
Probable Al menos 1
vez en el
último año
Muy Más de una
Fuente: Autor
13
Tabla 10 Matriz Acceso no controlado a la información confidencial

Riesgo Acceso no controlado a la información
confidencial
mínimos)
Raro No se ha x
presentado
en los
últimos 5
años
vez en los
últimos 5
años
Posible Al menos 1
vez en los
últimos 2
años
Probable Al menos 1
vez en el
último año
Muy Más de una
Fuente: Autor
Actividad 5: Tratamiento de Riesgos y soluciones
De acuerdo con lo anterior se obtuvieron todos en la Zona de riesgo Alta: Reducir riesgo,
evitar, compartir o transferir-
A Como medida para reducir el riesgo es necesario que Nutresa genere un plan de
capacitación general sobre los temas de seguridad de la información incluyendo a
empleados (usuarios) nuevos que han ingresado que puedan comprender la
importancia y relevancia que tiene el cuido y resguardo de las actividades de control
sobre los sistemas de información. Esto debe involucrar la participación del área de
14
RR. HH, el diseño de la campaña de conocimiento del tema de los aspectos de

seguridad de TI y el apoyo que se requiere de los usuarios.
Bibliografía
PMG SSI. (23 de Febrero de 2017). ¿Cómo realizar un inventario de activos de información?
Obtenido de https://www.pmg-ssi.com/2017/02/realizar-inventario-activos-de-
informacion/

Realimentación - Luis Ivan Zapata Parada

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Realimentación - Luis Ivan Zapata Parada

Cargado por

Copyright:

Formatos disponibles

1

Fase 3. Ejecución Auditoría: Proceso: Alinear, Planificar y Organizar

AP013 Gestionar la seguridad

Luis Ivan Zapata Parada

Universidad Nacional Abierta y a Distancia

Programa de Ingeniería de Sistemas

Fase 3. Ejecución Auditoría: Proceso: Alinear, Planificar y Organizar

AP013 Gestionar la seguridad

Luis Ivan Zapata Parada

Luis Ivan Zapata Parada

Angela Dayan Garay Villada

Universidad Nacional Abierta y a Distancia

Programa de Ingeniería de Sistemas

Tabla 1 Lista de Chequeo AP013....................................................................................................4

Actividad 1: Diseña y aplica cada uno de los instrumentos de recolección de información

Objetivo de control APO13.01 Establecer y mantener un SGSI. Establecer y mantener un SGSI

Objetivo de control APO13.01 Establecer y mantener un SGSI. Establecer y mantener un SGSI

Objetivo de control APO13.01 Establecer y mantener un SGSI. Establecer y mantener un SGSI

PROCESO AP013 Gestionar la seguridad

De acuerdo con los anteriores riesgos detectados en la seguridad y la falta de

Tabla 3 Cuestionario AP013

Porcentaje de Riesgo Parcial: (19*100)/ 23=82.60

1%- 30% =Riesgo bajo

71% - 100= Riesgo alto

Actividad 2: Elabora un cuadro de riesgo donde se presenten las vulnerabilidades,

Proceso Vulnerabilidad Riesgo

Actividad 3: Realiza el análisis y evaluación de riesgos para cada proceso seleccionado.

Tabla 5 Acceso no controlado a la información confidencial

Proceso APO13.03 Supervisar y revisar el SGSI

Tabla 6 Pérdida de información

Proceso APO13.03 Supervisar y revisar el SGSI

Proceso APO13.03 Supervisar y revisar el SGSI

Actividad 4: Elabora la matriz de riesgos del proceso evaluado.

Tabla 8 Matriz Falta de Capacitación

Proceso APO13.03 Supervisar y revisar el SGSI

Tabla 9 MatrIz Pérdida de información

Proceso APO13.03 Supervisar y revisar el SGSI

Probabilidad Frecuencia Impacto

Tabla 10 Matriz Acceso no controlado a la información confidencial

Proceso APO13.03 Supervisar y revisar el SGSI

Actividad 5: Tratamiento de Riesgos y soluciones

RR. HH, el diseño de la campaña de conocimiento del tema de los aspectos de

También podría gustarte