TRATAMIENTO DE RIESGOS

AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

PRESENTADO POR:
LUKDARY ABRIL RUEDA

GRUPO: 90168_27

DIRECTOR:
FRANCISCO NICOLS SOLARTE

TUTOR:
CARMEN EMILIA RUBIO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
COLOMBIA

VALORACION DE RIESGOS

DOMINIO
adquisicin e implementacin (ai)
PROCESO EVALUADO
ai2 adquirir y mantener software aplicativo
AUDITOR
Lukdary Abril Rueda
N
Probabilidad
RIESGOS
Baja Med
Alta

061ia
R1
falta de mantenimiento de los equipos
30%
X
100%
R2
Equipos con bajo rendimiento
X
R3
X
No se ha asignado un espacio locativo para el
ejercicio del mantenimiento preventivo y
correctivo.
R4
X
No se ha definido un protocolo para la
organizacin de los equipos dependiendo que
clase de mantenimiento se proceder a efectuar
R5
X
No hay una hoja de vida de la existencia de
los equipos
R6
Sobrecalentamiento de equipos de computo
X
R7
X
No existe monitorio continuo de software
instalado en los equipos de computo
R8
Salida de informacin por accesos no
X
autorizados
R9
X
Sistemas operativos mal configurados y
mal organizados

R11
R12
R13
R14

Impacto
M
C
X
X

X
X
X
X
X
X

El Software no cumple con los estndares de

seguridad requeridos pues nunca fue diseado
para dar soporte a una organizacin.
Daos al software y sistema operativo de los
equipos de la empresa
Software sin licencia
aplicativos cumplan con los requerimientos del
negocio
No hay plan de gestin de riesgos de
seguridad de la aplicacin

X
X
X
X

MATRIZ DE RIESGOS
PROBABILIDAD

R10

Alto 61Medio 3160%

Bajo 030%

R1,
R2,R5,R
R2, R5
R3,
R7
Lev
e

R9
Modera
do
IMPA
CTO

R4,R7,
R10,R
R6

Menor impacto o probabilidad de

ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

Catastr
fico

Pgina
13

CUADRO DE CONTROL DE RIEGOS

DOMINIO
adquisicin e implementacin (ai)
PROCESO EVALUADO
ai2 adquirir y mantener software aplicativo
AUDITOR
Lukdary Abril Rueda
ID.
Descripcin de Riegos
Rie
sgo

Tratamiento
Riesgo

R1
R2
R3

falta de mantenimiento de los equipos

Equipos con bajo rendimiento
No se ha asignado un espacio locativo para el ejercicio del
mantenimiento preventivo y correctivo.

R4

No se ha definido un protocolo para la organizacin de los equipos

dependiendo que clase de mantenimiento se proceder a efectuar

controlarlo

R5

No hay una hoja de vida de la existencia de los equipos

Aceptarlo

R6

Sobrecalentamiento de equipos de computo

controlarlo

R7
R8

No existe monitorio continuo de software instalado en los equipos de

computo
Salida de informacin por accesos no autorizados

Aceptarlos

R9

Sistemas operativos mal configurados y mal organizados

R10

El Software no cumple con los estndares de seguridad requeridos

pues nunca fue diseado para dar soporte a una organizacin.

R11

Daos al software y sistema operativo de los equipos de la empresa

R12
R13

Software sin licencia

aplicativos cumplan con los requerimientos del negocio

R14

No hay plan de gestin de riesgos de seguridad de la

aplicacin

controlarlo
transferirlo
Aceptarlo

controlarlos
controlarlos
Transferirlo
controlarlo
controlarlo
controlarlo
aceptarlo

Pgina
14

De acuerdo a los resultados anteriores, y para los riesgos que se deban ejercer controles, elaborar
un cuadro mostrando los riesgos en una columna, y otra con los controles propuestos y el tipo
(preventivo, detectivo, correctivo, o de recuperacin) propuestos para minimizar el impacto y
probabilidad de ocurrencia.
DOMINIO
PROCESO EVALUADO
AUDITOR

adquisicin e implementacin (ai)

ai2 adquirir y mantener software aplicativo
Lukdary Abril Rueda

RIESGOS o HALLAZGOS
ENCONTRADOS
falta de mantenimiento de
los equipos

TIPO DE
CONTROL
PREVENTIVO

SOLUCIONES O CONTROLES

Equipos con bajo

rendimiento

PREVENTIVO

No se ha asignado un
espacio locativo para el
ejercicio del mantenimiento
preventivo y correctivo.
No se ha definido un
protocolo para la organizacin
de los equipos dependiendo
que clase de mantenimiento se
proceder a efectuar
No hay una hoja de vida
de la existencia de los
equipos

CORRECTIVO

Realizar Acciones y tareas peridicas que se

ejecutan a un ordenador para ayudar a
optimizar su funcionamiento y prevenir
fallas, prolongando as su vida til.
Crear un espacio locativo donde est
presente el ejercicio del Mantenimiento
preventivo y correctivo.

Inspeccionar los equipos, tanto de funcionamiento

como de limpieza y calibracin, que deben llevarse a
cabo en forma peridica con base en un plan de
aseguramiento y control de calidad. Su propsito es
prevenir las fallas, manteniendo los equipos en ptima
operacin.

PREVENTIVO

Control en el manejo de la informacin

analizando el alcance que debe tener cada
empleado para poder cumplir con el
desarrollo de sus labores.

CORRECTIVO

Crear un registro de todas las intervenciones sobre los

equipos y las herramientas del taller, que comprenden
una reparacin o cambio de algn elemento o repuesto
del mismo.

Sobrecalentamiento de
equipos de computo

PREVENTIVO

No existe monitorio continuo

de software instalado en los
equipos de computo

PREVENTIVO

Mantener el ordenador funcionando de la

manera ms satisfactoria posible. Para esto
hay que hacer una que otra prueba de vez
en cuando, mientras ms sistemticos
seamos ms indoloro es el proceso. Todo
con el objetivo de evitar la mayor cantidad
de problemas, o de mitigar el dao en caso
de una falla
El sistema debe generar informacin y
reportes para el control de equipos de
cmputo,
tambin
es
esencial
un
mecanismo de recopilacin de datos y un
seguimiento
regular
para
la
retroalimentacin y control).

Salida de informacin por

accesos no autorizados

PREVENTIVO

Sistemas operativos
mal configurados y
mal organizados

CORRECTIVO

El Software no cumple con

los estndares de seguridad
requeridos pues nunca fue
diseado para dar soporte a
una organizacin.

PREVENTIVO

Daos al software y sistema

operativo de los equipos de
la empresa

PREVENTIVO

Software sin licencia

CORRECTIVO

aplicativos cumplan con los

requerimientos del negocio

DETECTIVO

adquirir algn aplicativo se verifica si se

ajusta a los requerimientos del negocio,
despus de establecer esto se entra a
hacer un estudio de costo/beneficio

No hay plan de
gestin de riesgos
de seguridad de la
aplicacin

PREVENTIVO

Desarrollar un programa de seguimiento,

que permita identificar el estado de
ejecucin del plan y resolver las dificultades
que se presenten.

Elaborar y capacitar al personal sobre

planes de contingencia con el fin de estar
preparados en el momento de un eventual
siniestro.
Almacenar la informacin de la empresa de
manera automtica a travs de la
programacin de copias en un servidor de
respaldo. Para corregir el problema se
realiza un diagnostico revisando las
caractersticas del problema y poder
descartar primero fallas fsicas (hardware) y
solucionar fallas operativas de software, por
ejemplo presencia de un virus.
Desarrollar e implementar polticas de
seguridad
que
estn
relacionadas
directamente con las actividades reales de
una organizacin.
Mejorar constante
los sistemas de
seguridad por medio de su monitoreo y
anlisis, as como la adquisicin y
actualizacin de tecnologas.
Iniciar un Mantenimiento del software con el
fin de evitar daos en el sistema operativo
de la empresa y una posible prdida de
informacin por falta de un buen antivirus
que se est actualizando continuamente y
preferiblemente de pago ya que el software
gratuito trae serias limitaciones con
respecto a las versiones full o completas.
Compra de antivirus licenciados con el fin
de minimizar el riesgo de infecciones y
malware en los equipos de cmputo de la
organizacin.

Lista de chequeo
Dominio
Proceso
Auditor

Adquisicin e Implementacin
AI2: Adquirir y mantener software aplicativo
Lukdary Abril Rueda

Punto de Evaluacin

Existe un plan de pruebas del proyecto y un proceso de

aprobacin del usuario

Cump
le
Si No
X

Los materiales de soporte y referencia para usuarios, as

como las instalaciones de ayuda en lnea estn disponibles
Son autorizadas y probadas las correcciones realizadas
Se posee un registro de fallas detectadas en los equipos
Existen procesos de adquisicin y mantenimiento de
aplicaciones, con diferencias pero similares, en base a la
experiencia dentro de la operacin de TI.
Se da el proceso de reevaluacin siempre que ocurren
discrepancias tecnolgicas y/o lgicas significativas
Se cuenta con servicio de mantenimiento para todos los
equipos
Se lleva a cabo actualmente un plan de mantenimiento para
la solucin del sistema de informacin
Existe un proceso claro, definido y de comprensin general
para la adquisicin y mantenimiento de software aplicativo.
Este proceso va de acuerdo con la estrategia de TI y del
negocio

OBSERVACIONES

X
X
x

El proceso de Adquirir y Mantener

Software Aplicativo est en el
nivel de madurez

Dar a conocer el proceso de

adquisicin y mantenimiento del
Sistema
de
Informacin
(software) y aplicaciones

tiene el sistema de informacin manuales tcnicos, de

operacin y de usuario

El personal que se encarga del mantenimiento es personal

capacitado
Se lleva un procedimiento para la adquisicin de nuevos
equipos
Existe una metodologa formal y bien comprendida que
incluye un proceso de diseo y especificacin, un criterio de
adquisicin, un proceso de prueba y requerimientos para la

X
X
X

Determinar la metodologa formal

para la documentacin del
software en uso.

documentacin
Son compatibles software y hardware

BIBLIOGRAFIA

Blog auditora de sistemas

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Gonzlez A(2010). Evaluacin Del sistema del control interno.

http://datateca.unad.edu.co/contenidos/90168/CONTROL_INTERNO _SEGMENTO_CCC.pdf

Soy, C. (2003). La auditora de la informacin, componente clave de la gestin estratgica de la

informacin. (Spanish). El Profesional De La Informacin, 12(4), 261-268.
http://datateca.unad.edu.co/contenidos/90168/U3_componente_clave .pdf

Ranz Eduardo. (2007). Evaluacin del control interno en sistemas informticos.

http://datateca.unad.edu.co/contenidos/90168/CONTROL_INTERNO
_INFORMATICO_CCC.pdf

Orientacin: Tutora: Carmen y el Director Fernando

Pgina
17