Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentado por:
Facultad de Ingeniería
Bogota
2022
2
Presentado por:
Presentado a:
Facultad de Ingeniería
Bogotá
2022
3
Tabla de contenido
Lista de Tablas.......................................................................................................................................3
Actividad 1: Diseña y aplica cada uno de los instrumentos de recolección de información (lista de
chequeo, entrevista y cuestionarios) de acuerdo con el proceso seleccionado del COBIT 5, para
descubrir las vulnerabilidades, amenazas y riesgos................................................................................4
Lista de Chequeo....................................................................................................................................4
Entrevista................................................................................................................................................7
Cuestionario............................................................................................................................................8
Actividad 2: Elabora un cuadro de riesgo donde se presenten las vulnerabilidades, amenazas y
riesgos detectados al utilizar los instrumentos de recolección de información de acuerdo con el
proceso evaluado........................................................................................................................................9
Actividad 3: Realiza el análisis y evaluación de riesgos para cada proceso seleccionado....................9
Actividad 4: Elabora la matriz de riesgos del proceso evaluado..........................................................11
Actividad 5: Tratamiento de Riesgos y soluciones................................................................................13
Lista de Tablas
Lista de Chequeo
Tabla 1 Lista de Chequeo AP013
Lista Chequeo
Domini Proceso AP013 Gestionar la
o Alinear, Planificar y Organizar seguridad
Lista Chequeo
Domini Proceso AP013 Gestionar la
o Alinear, Planificar y Organizar seguridad
Lista Chequeo
Domini Proceso AP013 Gestionar la
o Alinear, Planificar y Organizar seguridad
10 Se realiza revisiones x
periódicas del SGSI-
11 Se genera planes de x
acciones de acuerdo
con la revisión
realizada.
Fuente: Autor
7
Entrevista
Tabla 2 Entrevista AP013
ENTREVISTA
PAGINA
ENTIDAD AUDITADA NUTRESA S. A
1 de 1
AREA AUDITADA Departamento del área de sistemas y de información
OBJETIVO DE LA Cumplir con los requisitos Nutresa de asegurar el alineamiento
ENTREVISTA de los servicios de TI clave con las necesidades del negocio
RESPONSABLE Luis Ivan Zapata Parada
MATERIAL DE
COBIT
SOPORTE
DOMINIO Alinear, Planificar y Organizar
sensibles de seguridad.
Cuestionario
Nutresa S. A
Cuestionario de control
Dominio Alinear, Planificar y Organizar
Proceso AP013.03.
Preguntas SI NO Observaciones
¿Existe de un programa formal de 5 Sin embargo, falta
concienciación sobre seguridad para todos los
empleados?
¿Cuenta la empresa con un programa de concienciación sobre 5
seguridad proporcione diversos métodos para informar y educar
a los empleados?, por ejemplo: carteles, cartas, notas,
capacitación basada en la web, reuniones y promociones.
¿Ha participado de la capacitación sobre concienciación de la 5
seguridad de la información??
¿Ha leído y entendido la política de seguridad de la información 4 No se recibe
de la empresa, alguna vez este año? realimentación
instantánea de las
dudas que surgen
¿Han ocurrido cambios significativos, que ameriten la 4 Ingreso de nuevo
actualización de la política de seguridad personal continuo
para asegurar su continuidad, eficiencia? el cual no se
capacita
correctamente-
TOTAL 19 4
Fuente: Autor
Fuente: Autor
Fuente: Autor
10
Causa: Efecto:
Respaldo de archivos en repositorios comunes Perdida de información y
de información en computadores compartidos vulnerabilidad al SGSI.
y espacios de servidor, a personal que no se
ha capacitado política de seguridad.
Fuente: Autor
Tabla 7 Falta de capacitación continua de los usuarios
Fuente: Autor
12
De acuerdo con lo anterior se obtuvieron todos en la Zona de riesgo Alta: Reducir riesgo,
evitar, compartir o transferir-
A Como medida para reducir el riesgo es necesario que Nutresa genere un plan de
capacitación general sobre los temas de seguridad de la información incluyendo a
empleados (usuarios) nuevos que han ingresado que puedan comprender la
importancia y relevancia que tiene el cuido y resguardo de las actividades de control
sobre los sistemas de información. Esto debe involucrar la participación del área de
14
Bibliografía
PMG SSI. (23 de Febrero de 2017). ¿Cómo realizar un inventario de activos de información?
Obtenido de https://www.pmg-ssi.com/2017/02/realizar-inventario-activos-de-
informacion/