Sie sind auf Seite 1von 28

AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 2

PRESENTADO POR:
ALEXSANDER DIAZ GUALDRON
LEIDY VIVIANA RUIZ SAAVEDRA
JAVIER FELIPE MARQUEZ

GRUPO: 90168_56

PRESENTADO A
MARCO ANTONIO LOPEZ OSPINA
TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


NOVIEMBRE 2 DE 2016
CEAD VELZ

INTRODUCCION

El trabajo presenta la continuidad de los procesos que se viene realizando en la auditora a la


COMPAIA COOPSERVIVELEZ, presenta una dinmica de trasferencia del
conocimiento de los marcos referenciales que se tratan en el curso y esboza paso a paso por
parte de cada participante el anlisis y evaluacin de riesgos a los procesos identificando
los que se trazaron inicialmente y tomndolos como punto de referencia de manera que el
ejercicio represente un trabajo significativo y a la vez contribuya a la construccin de
conocimiento de manera efectiva.

OBJETIVOS

Objetivo general
Disear y ejecutar el plan de auditora para la empresa COOPSERVIVELEZ
especificando las vulnerabilidades, amenazas y riesgos segn los procesos COBIT
seleccionados y los respectivos objetivos de control.
Objetivos especficos
Analizar y evaluar los riesgos para el proceso CobIT seleccionado.
Disear y aplicar los instrumentos de recoleccin de informacin segn el proceso
seleccionado como entrevistas, cuestionarios y listas de chequeo.

1. Un cuadro consolidado con la informacin de cada estudiante y el proceso CobIT


elegido para trabajar.

NOMBRE
ESTUDIANTE

PROCESO COBIT
ESCOGIDO

LEIDY VIVIANA
RUIZ SAAVEDRA

P01: Definir un plan


estratgico de TI

ALEXSANDER
DIAZ
GUALDRON

P03: Determinar la
direccin tecnolgica

JAVIER FELIPE
MRQUEZ
PEREZ

P03: Determinar la
direccin tecnolgica

OBJETIVOS DE CONTROL
P01.2: Alineacin de TI con el
negocio
P01.3: Evaluacin de
desempeo y la capacidad
actual
P03.1: planeacin de la
direccin tecnolgica
P03.4: Estndares tecnolgicos
P03.3: Monitoreo de tendencias
y regulaciones futuras
P03.4 Estndares tecnolgicos

2. Los formatos que cada estudiante diseo ordenados por proceso CobIT para la
recoleccin de informacin.
Leidy Viviana Ruiz Saavedra
Proceso Cobit: P01: Definir un plan estratgico de TI
Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de
desempeo y la capacidad actual

ENTREVISTA

1. los empleados realizan el borrado de la informacin de aos anteriores con o sin


autorizacin de un supervisor
2. Cul es el procedimiento que se realiza para la destruccin de la informacin de
manera fsica como cartas oficios cds , tirillas del sistema

3. Los empleados de la compaa estn capacitados o cuentan con conocimientos en


las tics
4. La empresa cuenta con planes de recuperacin de la informacin por fallas en los
sistemas de computo
5. el personal con el que se cuenta es idneo y esta consiente y apto sobre los
posibles cambios que pueden ocurrir en la entidad
6. a la hora de ingresar la informacin de registro de las transacciones financieras, el
funcionario est totalmente lucido y consiente del procedimiento que realiza en
cuanto al registro de informacin
7. Los activos informticos cuentan con una pliza en caso de algn dao fsico,
prdida o robo
8. Los funcionarios cuentan con los estudios conocimientos adecuados para ejercer el
cargo asignado
9. La red informtica cuenta con un sistema de antivirus legal
10. con que frecuencia se realiza el bakup de la informacin importante de la empresa.

CUESTIONARIO

1. Es necesario capacitar al personal de la empresa sobre las nuevas tecnologas


si______ no______
2. Dentro de la entidad se han desarrollado evaluaciones de desempeo
si______ no______
3. usted conoce los planes y procesos internos del sistema financiero de la empresa
si______ no______
4. la empresa cuenta con un profesional en ingeniera de sistemas
si______ no______

5. como considera usted el servicio ofrecido por la empresa


excelente______
bueno______
regular______
malo______
deficiente______
6. cree usted que la empresa o negocio necesita de las tecnologas actuales
si______ no______
7. el cuarto de comunicaciones cuenta con sensores de humedad
si______ no______
8. conoce usted el proceso para el apagado correcto de un equipo de computo
si______ no______
9. conoce el riesgo de navegar por portales web de dudosa reputacin
si______ no______
10. conoce usted las prioridades de la empresa en la actualidad
si______ no______

LISTA DE CHEQUEO COOPSERVIVELEZ


Cuestionario de control
Dominio

LC1
Planear y Organizar

Proceso
Objetivo de control
Objetivo de control

REQUERIMIENTOS A EVALUAR

P01: Definir un plan estratgico de TI


P01.2: Alineacin de TI con el negocio
P01.3: Evaluacin de desempeo y la
capacidad actual
FECHA DE
CUMPLIMIENTO
REALIZACIN
DE LOS
REQUERIMIENTOS

SI

NO

los empleados de la empresa cuentan con capacitacin en las tics


La empresa cuenta con planes de recuperacin de la informacin por
fallas en los sistemas de computo
La red informtica cuenta con un sistema de antivirus legal
Los activos informticos cuentan con una pliza en caso de algn
dao fsico, prdida o robo
se realiza el bakup de la informacin importante de la empresa
el cuarto de comunicaciones cuenta con sensores de humedad
los empleados cumplen las normas y leyes de la empresa
el personal est capacitado adecuadamente contra desastres naturales
hay polticas claras sobre el uso y riesgos de internet
se realizan bakup de informacin peridicamente
Funciona correctamente la red de datos disponible en la entidad.
la informacin confidencial est debidamente resguardada
son adecuados los procesos de servicio ofrecidos por la empresa

Observaciones

Firma del ingeniero Auditor

Firma Gerente de la empresa

Alexsander Daz Gualdrn


Proceso Cobit: P03: Determinar la direccin tecnolgica
Objetivos de control: P03.1: planeacin de la direccin tecnolgica, P03.4: Estndares
tecnolgicos.

ENTREVISTA
1. Est permitido a los empleados de la empresa conectar los dispositivos como
telfonos mviles, tabletas a la red de datos de la compaa
2. La informacin relevante de la compaa con qu tipo de seguridad y
confidencialidad se maneja
3. Porque no se cuenta con el servicio de un guarda de seguridad que realice la labor
de vigilancia
4. cuantas personas manejan o conocen la clave de la caja de seguridad
5. con que periodo se realizan simulacros de evacuacin ante desastres naturales
6. las instalaciones son antissmicas
7. con que periodo se realizan mantenimiento de los sistemas de computo
8. el personal encargado de realizar el soporte tcnico a los equipos cuenta con
estudio profesional
9. Por qu no se cuenta con una planta elctrica en caso de ausencia de energa
elctrica
10. los empleados cumplen a satisfaccin con las normas y leyes que rigen la
empresa.

CUESTIONARIO

1. existe en la empresa un plan de infraestructura tecnolgica


si______ no______
2. se cuenta con un inventario actualizado de los activos informticos de la empresa
si______ no______
3. la empresa cuenta con una mesa de ayuda encargada de realizar soporte tcnico a
los equipos informticos

si______ no______
4. conoce usted la funcin de los servicios de informacin
si______ no______
5. existen planes de contingencia en caso de desastres naturales
si______ no______
6. que piensa sobre dar solucionas tecnolgicas oportunas para la compaa
De acuerdo______
En desacuerdo ______
Totalmente de acuerdo______
7. las tomas de corriente de los equipos de cmputo cuentan con polo a tierra
si______ no______
8. sabe usted a que se refiere el termino Phishing
si______ no______
9. permite que se recuerde la contrasea de su correo electrnico en el equipo donde
usted labora
si______ no______
10. realiza la descarga de software que podra poner en riesgo la informacin de la
empresa
si______ no______

LISTA DE CHEQUEO COOPSERVIVELEZ


Cuestionario de control
LC2
Dominio
Planear y Organizar
P03: Determinar la direccin tecnolgica
Proceso
P03.1: planeacin de la direccin
Objetivo de control
tecnolgica

Objetivo de control
tem a evaluar
la informacin confidencial de la
empresa se encuentra
resguardada de robo perdida o
dao

existen polticas de seguridad


informtica en la compaa

existen listas de controles sobre


los procesos financieros internos

cuenta con planes de contingencia


en caso de un incidente

la compaa cuenta con un plan


que permita realizar los bakup de
la informacin

la empresa cuenta con un sistema


de control y acceso al cuarto de
comunicaciones

se lleva una bitcora de las


actividades que realiza los
administradores del sistema
se cuenta con polticas para el
manejo de internet

P03.4: Estndares tecnolgicos


cumple no cumple
observaciones

se realizan simulacros que


permitan llevar a cabo la
evacuacin de las instalaciones en
caso de inundaciones terremotos
incendios

se cuenta con extintor, camilla y


botiqun de primeros auxilios

Javier Felipe Mrquez Prez


Proceso Cobit: P03: Determinar la direccin tecnolgica
Objetivos de control: P03.3: Monitoreo de tendencias y regulaciones futuras, P03.4:
Estndares tecnolgicos.

ENTREVISTA

Existe un responsable encargado de la verificacin de que los equipos funcionen


conforme las necesidades del usuario?

Se tiene control adecuado sobre sistemas y programas que estn en operacin?

Puede el operador modificar los datos de entrada de los equipos?

Cul es el tipo de controles que se tiene sobre archivos magnticos, de datos que
aseguren la utilizacin de la informacin registrada?

Cul es la estrategia y tipos de controles del acceso a la documentacin de


programas o aplicaciones rutinarias?

Cules son los instructivos que se les proveen a las personas que intervienen en la
operacin rutinaria de los sistemas?

Existen instructivos de operacin para cada aplicacin, que identifique sistemas,


programas, etiquetas de archivo de salida, fechas de creacin y expiracin?

Cul es la periodicidad de actualizacin de procedimientos y equipos?

Existe un control que asegure la justificacin de los procesos en el computador?

Cules son los programas que se manejan para el mantenimiento preventivo para
cada equipo?

Se tienen identificados en los equipos los archivos con informacin confidencial y


cuenta con claves de acceso?

Con que periodicidad se borran archivos de los dispositivos de almacenamiento


cundo estos se desechan?

Quienes realizan la entrega de documentos de salida y en que formatos son


entregados?

Se manejan controles de salida, copias de archivos en otros equipos y qu tipo


de confidencialidad tienen estos equipos?

Se lleva un registro de utilizacin de equipos, con qu periodicidad, al igual que de


los sistemas en lnea, de manera que se mida la eficiencia de los mismos?

CUESTIONARIO

Se controla el uso de los equipos de cmputo fuera del SI


horario de atencin
Puede alguien ingresar sin autorizacin a los equipos
Se mantiene libertad absoluta para descarga de archivos y
programas
Se presenta afectacin constante por virus
Existen equipos con alta periodicidad para restriccin de
su uso por daos
Existen bajas de paquetes de archivos de datos que
resguarda informacin solicitada por el usuario
Se genera entrenamiento constante a los operadores de los
equipos sobre actualizaciones o innovaciones
tecnolgicas
Existe el registro de todos los procesos realizados en los
equipos
Se verifica la existencia de pasword para garantizar la
operacin de los equipos
Se permite la utilizacin de dispositivos ajenos al centro
Existe la `posibilidad de recuperacin de datos ante fallas
del sistema
Se genera libertad para descarga de aplicaciones y
programas
Se verifica la informacin proveniente de equipos

NO

externos
Existen privilegios o niveles de seguridad de acceso
suficientes
Se realizan peridicamente copias de seguridad

LISTA DE CHEQUEO COMPAIA COOPSERVIVELEZ


CUESTIONARIO DE CONTROL

LC3

DOMINIO

Planear y organizar

PROCESO

P03: Determinar direccin tecnolgica

OBJETIVO DE CONTROL

P03.3: Monitoreo de tendencias y


regulaciones futuras

OBJETIVO DE CONTROL

P03.4 Estndares tecnolgicos

REQUERIMIENTOS A EVALUAR

CUMPLIMIENTO DE
LOS REQUERIMIENTOS
SI

Existencia de registro de los sistemas en operacin


Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del
usuario
Existen formatos y reportes generados peridicamente.

Existencia de los estudios de viabilidad y caractersticas de


los equipos actuales
Existencia de proyectos sobre ampliacin de equipos, su
actualizacin

Existencia de contratos de compra y mantenimientos de


equipo y sistemas.
Evidencia de diversos convenios de respaldo.
Existen contratos de seguros orientados al equipamiento.

NO

FECHA
EJECUCIN

Existe hoja de vida de cada equipo con sus caractersticas


esenciales.

Existencia de plizas de seguro empresarial


Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del
usuario
OBSERVACIN

3. Cuadro de anlisis y evaluacin de riesgos y las matrices de riesgos que ir


ordenado en cada proceso luego de los formatos aplicados.

Leidy Viviana Ruiz Saavedra

Vulnerabilidades
Robos o hurtos dentro de la empresa.
software no actualizado en algunos equipos de cmputo, versin de sistema operativo
Windows xp.
Limitacin en las tecnologas de seguridad.
Ausencia de correccin en errores cometidos.
Radiaciones electromagnticas.
Movimientos ssmicos repentinos.
Poca eficiencia en el servicio al cliente.
Falta de soporte tcnico. Falta de atencin hacia las restricciones internas.
Personal no confiable.
Desorganizacin del cableado.
Libertad de uso inadecuado en los sistemas internos de la empresa.
Ausencia de monitorizacin constante de la seguridad de la empresa.
Amenazas
Incursin de hackers.
Software malicioso
Uso de ingeniera social para adquirir informacin.
Presencia de scam es decir la utilizacin de estafas a travs de los medios tecnolgicos.
Fallos elctricos.
Virus en los pcs.
Ausencia de capacitacin para los empleados sobre el manejo adecuado de los medios
tecnolgicos.
Filtracin de datos por utilizacin inadecuada.
Uso desmedido de las redes sociales.
Descarga inadecuada de software no autorizado y potencialmente daino.

Desconocimiento del sistema masivo de prevencin de riesgos.


Desconocimiento o desinformacin de los riesgos en la web que pueden afectar los
procedimientos internos de la empresa.
Presencia de Phishing.

Riesgos
Perdida de informacin confidencial por procedimientos incorrectos.
Mala utilizacin de Las herramientas de seguridad informtica.
Falta confidencialidad de la informacin interna de la empresa.
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en general.
Falta de proteccin fsica para los equipos presentes en la empresa en caso de daos
potenciales.

Falta de tcnicas de recuperacin de informacin prdida.


Malos manejos en el registro de informacin.
Falta de adaptacin al cambio por parte del personal de trabajo.
Ingreso errneo de informacin de los usuarios en las bases de datos.
Personal a cargo inadecuado.
Falta de control del fluido elctrico.
Falta de actualizacin para los aplicativos y herramientas utilizadas por la empresa.
Falta de bakup de informacin importante.

Matriz de probabilidad de impacto

Alto
61-100%
Medio
31-60%
Probabilidad
Bajo
0-30%

Zona de riego Zona de riesgo zona de riego


moderado
importante inaceptable
zona de
riesgo
zona de riesgo Zona de riesgo
tolerante
moderado
importante
zona de
riesgo
zona de riesgo Zona de riego
aceptable
tolerante
moderado
leve
moderado
catastrfico
impacto

Evaluacin de riesgos

PROBABILIDAD
N
R1

R2

R3

R4

Descripcin
Perdida de
informacin
confidencial por
procedimientos
incorrectos.
Mala utilizacin de
Las herramientas de
seguridad
informtica.
Falta
confidencialidad de
la informacin
interna de la
empresa.
Ausencia de
antivirus adecuado
que regule y proteja
el sistema
informtico en
general

Baja

Media
x

IMPACTO
Alta

Leve

Moderado

Catastrfico

R5

R6

R7

R8

R9

R10

R11

R12

R13

Falta de proteccin
fsica para los
equipos presentes en
la empresa en caso
de daos potenciales

Falta de tcnicas de
recuperacin de
informacin prdida.
Malos manejos en el
registro de
informacin.
Falta de adaptacin
al cambio por parte
del personal de
trabajo.
Ingreso errneo de
informacin de los
usuarios en las bases
de datos.

x
x

Personal a cargo
inadecuado.

Falta de control del


fluido elctrico.

Falta de actualizacin
para los aplicativos y
herramientas
utilizadas por la
empresa.
Falta de bakup de
informacin
importante.

Matriz de riesgos

Alto
61-100%

R1,R3,R4,R5,R13

Medio
31-60%
Probabilidad

Bajo
0-30%

R2,R6,R10,R11,R12
R7,R8,R9
leve

moderado

catastrfico

impacto

Escala de probabilidad:
Bajo: Cuando el riesgo se presenta espordicamente 1 0 2 veces en el ao
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que
se presenten errores todo los das o varias veces en una hora, por lo tanto la medicin de be
hacerse de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, tambin hay
que tener en cuenta si se est evaluado el rea informtica, sus activos de hardware, el
personal o uno de los sistemas especficamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organizacin
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrfico: Cuando se paraliza completamente la actividad en la organizacin

Alexsander Daz Gualdrn


Vulnerabilidades:
1. Descuido de puesto de trabajo
2. los equipos de cmputo no cuentan con guayas de seguridad
3. no se cuenta con un manual de poltica de seguridad informtica y de datos
personales
4. reciclaje inadecuado de documentacin interna de la empresa
5. no se cuenta con sensores de humo
6. los equipos informticos no cuentan con sellos de seguridad que impidan la apertura
por parte de los empleados de los dispositivos
7. los computadores no cuentan con contraseas de inicio , cuando se encienden
8. los computadores ,impresoras, escneres, etc.; de la empresa no se encuentran
contramarcados con etiquetas para activos fijos, que permitan una identificacin de
la compaa
9. no se ha realizado un estudio de Auditoria informtica a la empresa para detectar
vulnerabilidades, amenazas y riesgos informticos
10. ausencia de clima organizacional
11. Deficiente instalacin de redes de cableado y energa.
12. Existen cables dispuestos al ingreso del sitio a la vista del pbico
13. Puestos de trabajo rotatorios sin asignacin fija

Amenazas:
1. Fallas en la utilizacin de los sistemas
2. no se cuenta con sensores de humedad , que permita medir los niveles de humedad
en los cuartos de comunicaciones
3. consumo de bebidas cerca a los equipos de computo
4. fuga de datos en CD/DVD, que no son destruidos de manera adecuada
5. no se cuenta con un experto en seguridad informtica
6. apagado incorrecto de los equipos de computo
7. la empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
8. divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
9. algunos empleados dejan abiertos los correos electrnicos cuando al iniciar seccin
permite que se recuerden los datos en el equipo
10. No hay garante de seguridad en dispositivos y equipamiento
11. Cristalizacin de los cables por la disposicin al sol y el agua

12. Ambiente laboral afectado por ubicacin de elementos requeridos para las tareas
asignadas

Riesgos:
1. Presencia masiva de dispositivos mviles en la red que pueden perjudicar el libre
funcionamiento del sistema interno
2. no cumplimiento de las leyes y normas que rigen a la compaa
3. Falta de vigilancia, es decir un empleado que realice la labor de vigilancia en el da
y noche.
4. ausencia de un reforzamiento especial y ms adecuado en las instalaciones donde
se encuentran las cantidades de dinero
5. falta de control para la reduccin de costos innecesarios para la compaa
6. Falta de revisin diaria a los procesos del personal subordinado por parte del
gerente de la entidad.
7. No todos los equipos informticos son alimentados mediante UPS
8. desconocimiento sobre los procesos de evacuacin sobre riesgos y desastres
naturales
9. No cuentan an con una planta elctrica en caso de bajonazos y cortes de luz
10. falta de determinacin si se deben efectuar cambios en el manejo de la informacin
11. Colapso en cualquier momento de la red
12. Interferencia en la red.
13. Inseguridad de cada uno de los trabajadores.

Matriz de probabilidad de impacto

Probabilidad

Alto
61-100%

Zona de riego
moderado

Zona de riesgo
importante

Medio
31-60%

zona de riesgo
tolerante

zona de riesgo
moderado

Zona de riesgo
importante

Bajo
0-30%

zona de riesgo
aceptable
leve

zona de riesgo
tolerante
moderado

Zona de riego
moderado
catastrfico

impacto

zona de riego
inaceptable

Evaluacin de Riesgo
N

R14

R15

R16

R17

R18

R19

R20

R21

R22

R23

R24
R25

R26

Descripcin
Presencia
masiva de
dispositivos
mviles en la red
que pueden
perjudicar el libre
no cumplimiento
de las leyes y
normas que rigen
Falta de
vigilancia, es
decir un
empleado que
realice la labor de
ausencia de un
reforzamiento
especial y ms
adecuado en las
instalaciones
donde se
falta de control
para la reduccin
de costos
innecesarios para
Falta de revisin
diaria a los
procesos del
personal
No todos los
equipos
informticos son
alimentados
desconocimiento
sobre los
procesos de
evacuacin sobre
No cuentan an
con una planta
elctrica en caso
de bajonazos y
falta de
determinacin si s
e deben efectuar
cambios en el ma
Colapso en
cualquier
momento de la red
Interferencia en la
red
Inseguridad de
cada uno de los
trabajadores

Baja

Probabilidad
Media

Alta

Leve

Impacto
Moderado Catastrfico

x
x

x
x

Matriz de Riesgo
Alto
61-100%

R14, R16,
R17,R20,R21,R22

Medio
31-60%
Probabilidad

Bajo
0-30%

R15,R18,R25
R19,R23,R24,R26
leve

moderado

catastrfico

impacto

Javier Felipe Mrquez Prez

Vulnerabilidades

Software no actualizado en algunos equipos de cmputo , versin de sistema


operativo Windows xp
Limitacin en las tecnologas de seguridad
Ausencia de correccin en errores cometidos
Falta de soporte tcnico
Falta de atencin hacia las restricciones internas
Libertad de uso inadecuado en los sistemas internos de la empresa
No se cuenta con un manual de poltica de seguridad informtica y de datos
personales
Reciclaje inadecuado de documentacin interna de la empresa
Equipos informticos no cuentan con sellos de seguridad que impidan la apertura
por parte de los empleados de los dispositivos
Los computadores no cuentan con contraseas de inicio , cuando se encienden

Amenazas
1
2
3

Presencia de scam es decir la utilizacin de estafas a travs de los medios


tecnolgicos
Virus en los pcs
Filtracin de datos por utilizacin inadecuada

4
5
6
7
8
9
10

Uso desmedido de las redes sociales


Descarga inadecuada de software no autorizado y potencialmente daino
Desconocimiento del sistema masivo de prevencin de riesgos
Fallas en la utilizacin de los sistemas
Fuga de datos en CD/DVD, que no son destruidos de manera adecuada
Apagado incorrecto de los equipos de computo
La empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
11 Divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
12 Falta de seguridad especial en las contraseas de los usuarios
13 No hay garante de seguridad en dispositivos y equipamiento.

Riesgos
14
15
16
17
18
19
20
21
22
23

Perdida de informacin confidencial por procedimientos incorrectos


Mala utilizacin de Las herramientas de seguridad informtica
Falta confidencialidad de la informacin interna de la empresa
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en
general
Falta de tcnicas de recuperacin de informacin prdida.
Malos manejos en el registro de informacin.
Ingreso errneo de informacin de los usuarios en las bases de datos.
Falta de actualizacin para los aplicativos y herramientas utilizadas por la empresa.
Falta de bakup de informacin importante.
Falta de determinacin si se deben efectuar cambios en el manejo de la
informacin.

EVALUACION DE RIESGOS

PROBABILIDAD

IMPACTO

Descripcin

Baja

R1

Ausencia de antivirus adecuado que regule y


proteja el sistema informtico en general

R2

Perdida de informacin confidencial por


procedimientos incorrectos.

R3

Mala utilizacin de Las herramientas de

Media Alta Leve Moderado

Catastrfico

seguridad informtica

R4

Malos manejos en el registro de informacin

X
X

R5

R6

Falta de tcnicas de recuperacin de


informacin perdida

Falta de actualizacin para los aplicativos y


herramientas
X

R7

Falta de bakup de informacin importante.

R8

Perdida de informacin confidencial por


procedimientos incorrectos

R9

Falta confidencialidad de la informacin


interna de la empresa

R10 falta de determinacin si se deben efectuar


cambios en el manejo de la informacin

Matriz de riesgos

Alto
61-100%

R1,R2,R3,R5,R7.R8

Medio
31-60%
Probabilidad

Bajo
0-30%

R10, R9

R4
leve

impacto

moderado

catastrfico

CONCLUSIONES

Mediante el desarrollo del trabajo se desarrollaron habilidades en el diseo


de diversos instrumentos de medicin que permiten una clara constatacin y
anlisis de riesgos que se generan en la COMPAIA COOPSERVIVELEZ
La matriz de riesgos a la cual se ha llegado como construccin prctica en
un entorno real, se convierte en el insumo importante para la parte
administrativa, en cuanto que permite fundamentar y orientar planes de
mejora para minimizar los mismos y garantizar un direccionamiento asertivo
de la compaa.

REFERENCIAS BIBLIOGRAFICAS

Aguirre A. (2016) modulo auditoria de sistemas 90168. Recuperado el 10 de septiembre


de: http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5520
Acimed. (Ciudad de La Habana feb. 2008). Apuntes sobre las convergencias y divergencias entre
las

profesiones

de

consultor

auditor.

Recuperado

el

21

de

octubre

de:

http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1351
Brun R. (Agosto 2003). Herramientas de auditoria. Recuperado el 21 de octubre de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1352
Muoz Razo Carlos. (2000). Auditoria en Sistemas computacionales. Mxico. Editorial
Pearson

Educacin.

Recuperado

el

21

de

septiembre

de:

http://books.google.es/books?id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage
&q&f=false