You are on page 1of 23

Momento 1 Intermedio del Trabajo Colaborativo 1:

Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria

Yhuleyver Mosquera Bonilla - Cdigo: 11.706.818


Hctor Fabio Arce Castaeda - Cdigo:1.115.063.533
Mario Alexander Poveda Suta - Cdigo: 80.217.189

FRANCISCO NICOLAS SOLARTE


Tutor Curso: 90168_72

Universidad Nacional Abierta y a Distancia UNAD


Escuela de ciencias bsicas tecnologas e ingeniera
Ingeniera de Sistemas
Auditoria de Sistemas
2016

Introduccin

El desarrollo de este trabajo es la continuacin de la temtica que se est tratando durante el


curso, lo cual permite una identificacin clara de los riesgos, mediante un anlisis de riesgos el
cual tiene como resultados los riesgos ms crticos que tiene la organizacin.
Se efecta una investigacin sobre los diferentes procesos y objetivos que se desarroll en el
trabajo uno, su aplicacin e importancia que tienen en la organizacin. Se desarrolla unas
herramientas para el auditor, en la recopilacin de la informacin, que es muy importante en el
desarrollo de una auditoria informtica.

Objetivo
Elaborar un plan de auditora para una entidad gubernamental del orden territorial especificando
los dominios, procesos y objetivos de control, adems de los controles aplicables segn el marco
COBIT 4.1.

Objetivos especficos.

Realizar un anlisis de riesgo de la organizacin o la empresa auditable.


Elaborar una entrevista la cual evidencie los posibles riesgos de la organizacin.
Elaborar un cuestionario el cual permita observar el porcentaje de riesgo del objetivo.

PLANEAR Y ORGANIZAR
PO6 Comunicar las aspiraciones y la direccin de gerencia
La direccin debe elaborar un marco de trabajo de control empresarial para TI, y definir y
comunicar las polticas. Un programa de comunicacin continua se debe implementar para
articular la misin, los objetivos de servicio, las polticas y procedimientos etc., aprobados y
apoyados por la direccin. La comunicacin apoya el logro de los objetivos de TI y asegura la
conciencia y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el
cumplimiento de las leyes y reglamentos relevantes
OBJETIVOS DE CONTROL
PO6.1 Ambiente de polticas de control
Definir los elementos de un ambiente de control para TI. Alineados con la filosofa
administrativa y el estudio operativo de la empresa. Estos elementos incluyen las
expectativas/requerimientos respecto a la entrega valor proveniente de las inversiones en TI, el
apetito de riesgo, la integridad, los valores ticos, la competencia del personal, la rendicin de
cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega
de valor, mientras administra riesgos significativos, fomenta la colaboracin entre divisiones y
el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo fallas) de forma adecuada.
PO6.2 Riesgo corporativo y marco de referencia de control interno de TI
Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial
general hacia los riesgos y el control que se alinee con la poltica de TI, el ambiente de control y
el marco de trabajo de riesgo y control de la empresa.
PO6.3 Administracin de polticas para TI.
Elaborar y dar mantenimiento a un conjunto de polticas que apoyen las estrategias de TI. Estas
polticas deben incluir su intencin, roles y responsabilidades, procesos de excepcin, enfoque de
cumplimiento y referencias a procedimientos, estndares y directrices. Su relevancia se debe
confirmar y aprobar en forma regular.
PO6.4 Implantacin de polticas de TI

Asegurarse que las polticas de TI se implantan y se comunica a todo el personal relevante, y se


refuerzan, de tal forma que estn incluidas y sean parte integral de las operaciones empresariales.
PO6.5 Comunicacin de los objetivos y la direccin de TI
Asegurarse de que la conciencia y el entendimiento de los objetivos y la direccin del negocio y
de TI se comunican a los interesados apropiados y a los usuarios de toda la organizacin.

Anlisis de riesgos
N

Descripcin

R1
R2
R3
R4

Daos dispositivos
Prdida total dispositivos
Extraccin de informacin
Procedimientos
incorrectos, del talento
humano
Robo de informacin o
destruccin de la misma
Dao de la red
Destruccin de la
informacin por un virus
Accesos no autorizados a
la red
Costos elevados de
mantenimiento, por falta
de sistemas de seguridad
Poco control en el manejo
de la informacin
Personal mal informado

R6
R7
R8
R9

R1
0
R1
1
R1
2
R1
3

Impacto
Moderad Catastrfic
o
o
X
X

X
X

Retraso en las actividades


de la empresa
Hardware obsoleto

Resultado Matriz de riesgo


PROBABILIDAD

R5

Probabilidad
Baj Medi Alta Lev
a
a
e
X
X
X
X
X
X

Alto
61100%
Medio
31-

R1, R4,
R11

R5, R8, R10

R3, R6,

60%
Bajo
0-30%

R12

R2, R7, R9,


R13
Moderado

Leve

IMPACTO

Menor impacto o probabilidad de ocurrencia


Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

Formato entrevista

Catastrfic
o

ENTREVISTA

ENTIDAD AUDITADA
AREA AUDITADA
OBJETIVO
ENTREVISTA

Gobernacin
SISTEMA

REF
PAGINA
DE
PO 6

Reconocer los diferentes riesgos que hay en la


organizacin en referencia a la comunicacin y
direccionamiento de la gerencia

ENTREVISTADO
CARGO
1. Conoce la misin y visin de la empresa?
_________________________________________________________
________________________________________________
2. Tiene claro las funciones que debe desarrollar en la organizacin?
_________________________________________________________
_________________________________________________________
3. Conoce el plan estratgico de la organizacin?
_________________________________________________________
_________________________________________________________
4. Estn definido el marco de control TI?
______________________________________________________________
____________________________________________________
5. Conoce usted un marco para gestin de riesgo de la organizacin?
_______________________________________________________________
___________________________________________________
6. Conoce las polticas de TI, los roles, las responsabilidades y los procesos de
TI, estndares y directrices necesarios para el alcance e de los objetivos, y
porque medio?
_______________________________________________________________
___________________________________________________
7. Con que frecuencia se realiza, la socializacin de las polticas, procesos y
directrices?
_______________________________________________________________
___________________________________________________
8. Cada cunto hay una evaluacin de los diferentes procesos?
_______________________________________________________________
___________________________________________________
9. Conoce las polticas de seguridad de la informacin?
______________________________________________________________
______________________________________________________________
____________
8

AUDITORES

Hctor Fabio FECHA


Arce
APLICACIN
Castaeda

25 de Abril 2016

CUESTIONARIO

Dominio
Proceso

Gobernacin
Cuestionario de Control: C1
Planear y organizar
PO6: Comunicar las aspiraciones y la direccin de
gerencia
Pregunta

Si

La administracin de la informacin es adecuada?


El manejo de informacin confidencial es adecuado?
Hay polticas clara de la TI?
El marco de control de la TI es el adecuado?
Hay garanta en los servicios e infraestructura de TI
puedan resistir y recuperarse de fallas o errores?
Hay garanta en los servicios e infraestructura de TI
puedan resistir y recuperarse en caso de ataques o
desastres?
Hay un uso adecuado de las aplicaciones tecnolgicas?
Las soluciones tecnolgicas son las adecuadas?
Las estrategias de la TI son correctas?
El intercambio de informacin es el adecuado?
Hay revisiones y actualizaciones de las polticas?
La gerencia ha establecido un ambiente positivo de
control de informacin?
La comunicacin de las polticas de control interno y
la delegacin de responsabilidades por parte de la
gerencia es adecuada?
El uso de la tecnologa es adecuada para el
conocimiento de las polticas?
Las tcnicas para fomentar la conciencia de seguridad
son eficientes?
TOTALES

No

OBSERVACION
ES

3
3
2
1
3
4

5
2
3
2
3
3
2

3
3
17

25

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea


afectado por las acciones de las cuales se est indagando, entre mas alto el porcentaje mayor
probabilidad de riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicara la descripcin de la consulta de la cual se indagara.
SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El clculo de este porcentaje se hace de la siguiente forma:


Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (17 * 100) / 42 = 40,47
Porcentaje de riesgo = 100 40,47= 59,52
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorizacin:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 40,47
Porcentaje de riesgo = 59,52
Impacto segn relevancia del proceso: Riesgo Medio

Lista de chequeo

Gobernacin
F-CHK 01
Fecha: 25 Abril 2016
Realizado por: Hctor Fabio Arce Castaeda
Check

Marco de control de la TI
Polticas de la TI

Estrategias de las TI
Administracin de la TI
Tecnologa adecuada
Revisiones y actualizaciones realizadas
Clara comunicacin de la gerencia
Polticas de seguridad
Seguridad de la informacin

10

Prueba Gua

Dominio
Proceso
Objetivo de Control

Gobernacin
ID Gua de Prueba: GP1
Dominio: Planear y organizar
Proceso: PO6: Comunicar las aspiraciones y la direccin de gerencia
PO6.1 Ambiente de polticas de control
PO6.2 Riesgo corporativo y marco de referencia de control interno de
TI
PO6.3 Administracin de polticas para TI.
PO6.4 Implantacin de polticas de TI

PO6.5 Comunicacin de los objetivos y la direccin de TI


ID Riesgos Asociados
R4, R10, R11
No.
Evidencia
Descripcin
1
En el C1 se evidencio que no Debido a que no hay restricciones en la extraccin de
hay un adecuado manejo de la informacin por medio de dispositivos externos
informacin
2
No hay una revisin y actualizacin adecuada de las
No hay una revisin y
polticas, y hay falencias en la comunicacin de las
actualizacin de las polticas.
mismas existentes
3
No hay capacitacin del personal, sobre las polticas de la
Seguridad de la informacin
seguridad de la informacin, y la importancia de esta en
el desarrollo de la organizacin

11

Proceso: Evaluar y Administrar los Riesgos de TI

Descripcin del Proceso


Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos. El marco de
trabajo documenta un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y
riesgos residuales. Cualquier impacto potencial sobre las metas de la organizacin, causado por
algn evento no planeado se debe identificar, analizar y avaluar. Se deben adoptar estrategias de
mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de
la evaluacin debe ser entendible para los interesados y se debe expresar en trminos financieros,
para permitirles alinear los riesgos a un nivel aceptable de tolerancia.
Objetivos de Control
PO9.1 Marco de Trabajo de Administracin de Riesgos
Establecer un marco de trabajo de administracin de riesgos de TI que est alineado al marco de
trabajo de administracin de riesgos de la organizacin.
PO9.2 Establecimiento del Contexto del Riesgo
Establecer el contexto en el cual el marco de trabajo de evaluacin de riesgos se aplica para
garantizar resultados apropiados. Esto incluye la determinacin del contexto interno y externo de
cada evaluacin de riesgos, la meta de la evaluacin y los criterios contra los cuales se evalan
los riesgos.
PO9.3 Identificacin de Eventos
Identificar eventos (una amenaza importante y realista que explota una vulnerabilidad aplicable y
12

significativa) con un impacto potencial negativo sobre las metas o las operaciones de la empresa,
incluyendo aspectos de negocio, regulatorios, legales, tecnolgicos, de sociedad comercial, de
recursos humanos y operativos. Determinar la naturaleza del impacto y mantener esta
informacin. Registrar y mantener los riesgos relevantes en un registro de riesgos.
PO9.4 Evaluacin de Riesgos TI
Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando
mtodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos
inherentes y residuales se debe determinar de forma individual, por categora y con base en el
portafolio.
PO9.5 Respuesta a los Riesgos
Desarrollar y mantener un proceso de respuesta a riesgos diseado para asegurar que controles
efectivos en costo mitigan la exposicin en forma continua. El proceso de respuesta a riesgos
debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar
responsabilidades y considerar los niveles de tolerancia a riesgos.
PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas
a los riesgos, identificadas como necesarias, incluyendo la identificacin de costos, beneficios y
la responsabilidad de la ejecucin. Obtener la aprobacin para las acciones recomendadas y la
aceptacin de cualquier riesgo residual, y asegurarse de que las acciones comprometidas estn a
cargo del dueo (s) de los procesos afectados. Monitorear la ejecucin de los planes y reportar
cualquier desviacin a la alta direccin.

13

Diseo y aplicacin de instrumentos de recoleccin de informacin (formato entrevistas,


cuestionarios y pruebas)
Auditores & Consultores TI
Equipo Auditor
Equipo 4
Proceso CobiT
PO9 Evaluar y administrar los riesgos de TI
Herramienta
#
1

Pregunta
La empresa cuenta con un marco
de trabajo para la administracin
de riesgos?

Se encuentran identificadas las


amenazas a las cuales la empresa
puede verse enfrentada
Inundaciones, incendios, virus,
robos, terrorismo, ataques
cibernticos, personal inconforme,
entre otros?

Los controles establecidos en la


empresa aseguran que los sistemas
contemplen los procedimientos
necesarios para que la
informacin manejada en ellos sea
total, exacta, autorizada,
mantenida y actualizada?

Existe algn tipo de evaluacin


del riesgo formal que permita la
monitorizacin y control continuo
de los riesgos de negocio que
pueden afectar el rendimiento de
la empresa?

Se tienen identificados lo activos


de TI que pueden ser afectados
por amenazas y provocar un
impacto negativo en la

Equipo Auditado
Incoder
Fecha
Cuestionario

Si

14

No

No sabe

Observaciones

organizacin?
6

Cuenta con un sistema de


cuantificacin de los costos que
causan los incidentes?

En cuanto a los Sistemas de


Informacin
instalados
e
implementados en la empresa se
tienen
los
controles
y
procedimientos necesarios para
garantizar la seguridad mnima
requerida?

Existen planes de recuperacin y


minimizacin del impacto en los
procesos crticos de la empresa
que garanticen la continuidad del
negocio?

La empresa tiene un plan de


mitigacin de riesgos?

10

Cuenta con un sistema de


cuantificacin de los costos que
causan los incidentes?

P01 PLAN ESTRATEGICO DE TI

15

La planeacin estratgica de TI es indispensable para gestionar y dirigir los recursos mejorar la


comprensin de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la
capacidad y los requerimientos de recursos humanos y clarifica el nivel de investigacin que se
tiene.
Definir un plan estratgico para TI para:
Su requisito del negocio de TI es para sostener o extender los requerimientos de gobierno y la
estrategia de negocio, manteniendo la transparencia en los beneficios y costos.
Enfocndose en la traduccin de los requerimientos del negocio a ofertas de servicio y el
desarrollo de estrategias para entregar estos servicios de forma transparente y rentable.
Se Logra con la intervencin de los altos mandos de gerencia para la alineacin de la planeacin
con las necesidades del negocio actual, aplicando un esquema de prioridades para los objetivos
del negocio.
Midindolo con el porcentaje de objetivos de TI que dan soporte al plan estratgico, los
proyectos de TI que se pueden rastrear hacia el plan tctico de TI.
OBJETIVOS DE CONTROL DETALLADOS DEL PROCESO

PO1.1 Administracin del valor de TI


Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa
contenga programas con casos de negocio slidos. Reconocer que existen inversiones
obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en
cuanto a la asignacin de fondos. Los procesos de TI deben proporcionar una entrega efectiva y
eficiente de los componentes TI de los programas y advertencias oportunas sobre las
desviaciones del plan, incluyendo costo, calendario o funcionalidad, que pudieran impactar los
resultados esperados de los programas. Los servicios de TI se deben ejecutar contra acuerdos de
niveles de servicios equitativos y exigibles. La rendicin de cuentas del logro de los beneficios y
del control de los costos es claramente asignada y monitoreada. Establecer una evaluacin de los
casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor
financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los
beneficios esperados.

16

PO1.2 Alineacin de TI con el negocio


Educar a los ejecutivos sobre las capacidades tecnolgicas actuales y sobre el rumbo futuro,
sobre las oportunidades que ofrece TI, y sobre qu debe hacer el negocio para capitalizar esas
oportunidades. Asegurarse de que el rumbo del negocio al cual est alineado la TI est bien
entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando de manera
clara las metas de la empresa y las metas de TI y reconociendo las oportunidades as como las
limitaciones en la capacidad actual, y se deben comunicar de manera amplia. Identificar las reas
en que el negocio (estrategia) depende de forma crtica de la TI, y mediar entre los imperativos
del negocio y la tecnologa, de tal modo que se puedan establecer prioridades concertadas.
PO1.3 Evaluacin del desempeo actual
Evaluar el desempeo de los planes existentes y de los sistemas de informacin en trminos de
su contribucin a los objetivos de negocio, su funcionalidad, su estabilidad, su complejidad, sus
costos, sus fortalezas y debilidades.
PO1.4 IT Plan estratgico de TI
Crear un plan estratgico que defina, en cooperacin con los interesados relevantes, cmo la TI
contribuir a los objetivos estratgicos de la empresa (metas) as como los costos y riesgos
relacionados. Incluye cmo la TI dar soporte a los programas de inversin facilitados por TI y a
la entrega de los servicios operacionales. Define cmo se cumplirn y medirn los objetivos y
recibir una autorizacin formal de los interesados. El plan estratgico de TI debe incluir el
presupuesto de la inversin / operativo, las fuentes de financiamiento, la estrategia de
procuracin, la estrategia de adquisicin, y los requerimientos legales y regulatorios. El plan
estratgico debe ser lo suficientemente detallado para permitir la definicin de planes tcticos de
TI.
PO1.5 IT Planes tcticos de TI
Crear un portafolio de planes tcticos de TI que se deriven del plan estratgico de TI. Estos
planes tcticos describen las iniciativas y los requerimientos de recursos requeridos por TI, y
cmo el uso de los recursos y el logro de los beneficios sern monitoreados y administrados. Los
planes tcticos deben tener el detalle suficiente para permitir la definicin de planes proyectados.
Administrar de forma activa los planes tcticos y las iniciativas de TI establecidas por medio del
anlisis de los portafolios de proyectos y servicios. Esto incluye el equilibrio de los
requerimientos y recursos de forma regular, comparndolos con el logro de metas estratgicas y
tcticas y con los beneficios esperados, y tomando las medidas necesarias en caso de
desviaciones.

17

PO1.6 IT Administracin del portafolio de TI


Administrar de forma activa, junto con el negocio, el portafolio de programas de inversin de TI
requerido para lograr objetivos de negocio estratgicos y especficos por medio de la
identificacin, definicin, evaluacin, asignacin de prioridades, seleccin, inicio,
administracin y control de los programas. Esto incluye clarificar los resultados de negocio
deseados, garantizar que los objetivos de los programas den soporte al logro de los resultados,
entender el alcance completo del esfuerzo requerido para lograr los resultados, definir una
rendicin de cuentas clara con medidas de soporte, definir proyectos dentro del programa,
asignar recursos y financiamiento, delegar autoridad, y licenciar los proyectos requeridos al
momento de lanzar el programa.

FORMATO DE ENTREVISTA
18

NOMBRE: _______________________________________________________
FECHA: _______________________
PREGUNTAS SOBRE P01 PLAN ESTRATEGICO DE TI.

1. La alta gerencia cmo aporta en el plan de estrategia de TI?


________________________________________________________________________
_______________________________________________________________________
2. Cmo apoya y evala los procesos la alta gerencia?
________________________________________________________________________
________________________________________________________________________
3. Qu capacidades tecnolgicas conoces en la empresa?
________________________________________________________________________
________________________________________________________________________
4. Conoces si hay capacitaciones para los ejecutivos respecto a estas capacidades?
________________________________________________________________________
________________________________________________________________________
5. Las funciones en tu cargo como ayudan a la contribucin de la misin de empresa?
________________________________________________________________________
________________________________________________________________________
6. Qu ventajas o desventajas tienes para contribuir en la misin de la empresa?
________________________________________________________________________
________________________________________________________________________
7. Tienes conocimiento del plan estratgico de la empresa?

19

________________________________________________________________________
________________________________________________________________________

8. Dentro del plan estratgico, en qu lugar te encuentras?


________________________________________________________________________
________________________________________________________________________
9. Tus iniciativas para la mejora de procesos, son escuchadas?
________________________________________________________________________
________________________________________________________________________
10. los requerimientos que solicitas para el cumplimiento de tus funciones son escuchados y
resueltos?
________________________________________________________________________
________________________________________________________________________
11. Qu programas de garanta de inversiones conoces?
________________________________________________________________________
________________________________________________________________________
12. con que frecuencia tienen reuniones para socializar cumplimientos, novedades,
requerimientos de los programas del plan estratgico para la contribucin de la misin de
la empresa?
________________________________________________________________________
________________________________________________________________________

AUDITOR:___________________________________________________________

20

FORMATO CUESTIONARIO

ITE
M
1
2
3
4
5
6
7
8
9
10

PREGUNTA
El tiempo de correccin de inconsistencias es
oportuna?
Se cuenta con recursos econmicos para brindar
solucin oportuna a fallas informticas?
Concuerda el sistema de informacin de la empresa
con los objetivos organizacionales?
El desempeo del sistema de informacin cumple sus
expectativas?
Est en disposicin para actualizarse en temas
informticos?
Se tiene seguridad en la informacin?
Actualmente cuenta la organizaciones con planes de
correccin preventivos?
Cree que se le debe dar complejidad al actual plan de
dinamizacin de la informacin?
El actual diseo a sido funcional?
Se ha logrado cumplir con las metas propuestas por el
administrador del sistema?

21

N OBSERVACIONE
SI O
S
4
1

2
4

4
4
1

4
1

CONCLUSIONES

El desarrollo de la actividad permiti a los estudiantes hacer un anlisis profundo sobre los
diferentes riesgos de la empresa, as mismo se logra dar una categora, la cual es de suma
importancia a la hora de identificar los riesgos ms importantes y que pueden ser catastrficos
para la organizacin.
Adems se efectu una investigacin sobre los diferentes procesos que durante el trabajo uno se
conocieron, esta investigacin permiti conocer ms a fondo los objetivos de los procesos y su
aplicacin en la organizacin. Por ltimo se crea una entrevista, un cuestionario y una lista de
chequeo la cual nos permite hacer una recoleccin de informacin que es til en el desarrollo de
la auditoria.

22

BIBLIOGRAFIA

PLAN ESTRATEGICO DE TI, Consultado 19 de Abril de 2016, http://redyseguridad.fip.unam.mx/proyectos/cobit/seccion_informativa/1_planear_organizar/planear_organizar_01/2_p


o01_obj_con.html
CoBiT 4,1, Consultado 20 de Abril de 2016,
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Formato de entrevista, visualizado 20 de Abril de 2016,
http://es.slideshare.net/yurley28/formato-de-entrevist-ax1

23