Beruflich Dokumente
Kultur Dokumente
Tutor
Auditoria de sistemas
2017
Contenido
Introducción ............................................................................................................. 3
Objetivos ................................................................................................................. 4
Objetivo general................................................................................................... 4
Conclusiones ......................................................................................................... 30
Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditoría de sistemas en la universidad nacional abierta y
a distancia UNAD.
En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del curso
aplicándolos en el proceso de auditoría que se ha venido llevando a cabo durante
el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estándar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, así como los
hallazgos y los controles propuestos para dichos riesgos.
Objetivos
Objetivo general
Objetivos específicos
Probabilidad Impacto
N° Descripción
B M A L M C
Alto
R1, R5 R4
61-100%
Medio
R3 R2 R6
PROBABILIDAD
31-60%
Bajo
0-30%
IMPACTO
REF
HALLAZGO 1
HHDN_01
MATERIAL DE
COBIT
SOPORTE
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Falta de un plan
R1 x x
estratégico
Falta de conocimiento
de la importancia de
R2 x x
un plan estratégico de
TI
Falta de un plan de
desarrollos de
R3 X X
aplicaciones para
toma de decisiones
Falta de un manual de
aplicaciones donde se
R4 registre el uso y la x X
confiabilidad de los
datos de la empresa.
Falta de un plan para
R5 la adquisición de X x
recurso tecnológicos
falta de personal
especializado para
R6 dar asesorías sobre x x
las tecnologías
Falta de un modelo de
R7 información X x
empresarial.
Falta de un plan de
R8 x x
infraestructura de TI.
Falta de unos
R9 estándares X X
Tecnológicos.
Falta de un monitoreo
R10 de las evoluciones x X
Tecnológicas.
Falta de herramientas
R11 para la clasificación x X
TI.
Falta de definición de
R12 responsabilidades y X X
Alto
R5 R1, R12
61-100%
Medio
R3 R2,R4,R6,R9,r10,R11 R13
31-60%
PROBABILID
Bajo
AD
R7,R8
0-30%
IMPACTO
Tabla Hallazgos
REF
HALLAZGO 1
HHDN_01
PROCESO PÁGINA
P01 Definir un Plan Estratégico de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P01 Definir un
Planear y
DOMINIO PROCESO Plan Estratégico
Organizar
de TI.
DESCRIPCIÓN:
CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratégico de TI.
OBJETIVO DE CONTROL PO1.1 Administración del Valor de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Cuentan con un plan
1 estratégico de TI la X
empresa?
¿Conoce la necesidad la
empresa de contar con
2 X
un plan estratégico de
TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Información.
PO2.1 Modelo de Arquitectura de Información
OBJETIVO DE CONTROL
Empresarial
¿Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de la
empresa?
¿Existe algún manual de
aplicaciones o
actividades donde se
4 x
registre el uso y la
confiabilidad de los
datos de la empresa?
REF
HALLAZGO 1
HHDN_O1
PROCESO PÁGINA
Planes para la recuperación de
AUDITADO información. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
TABLA HALLAZGO 2
REF
HALLAZGO 2
HHDN_O2
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
TABLA HALLAZGO 3
REF
HALLAZGO 3
HHDN_O3
PROCESO PÁGINA
Control en la Compra de los Softwares
AUDITADO Antivirus. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIÓN:
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
ENTREVISTA (ANEXO 3)
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
R2 Falta de control en X X
los permisos y
privilegios de cada
una de las cuentas
de usuario de la
empresa.
R3 Falta de revisión de X X
la gestión de las
cuentas de usuario
existentes
R4 Falta de revisión X X
periódica de los
equipos de cómputo
para detectar algún
software malicioso
R5 Falta de control en la X X
compra de los
Antivirus instalados
R6 No existe registro de X X
los softwares
maliciosos
encontrados
R7 No existe control de X X
los dispositivos de
almacenamiento
(usb, cd, discos).
R8 Falta de controles de X X
acceso a la
información
R9 No existe un firewall X X
activo
R10 No existe un Control X X
y monitoreo en el
acceso a Internet
R11 Mantenimiento del X X
cableado
estructurado por
parte de personal
poco capacitado
R12 Ausencia de planes X X
para recuperación
de información
R13 No se garantiza la X X
seguridad en las
conexiones
R14 Desconocimiento en X X
seguridad
informática de los
empleados
MATRIZ DE RIESGOS
31-60%
IMPACTO
Conclusiones
Referencias bibliográficas
Pregunta Si No OBSERVACIONES
DS7.1 Identificación de Necesidades de Entrenamiento y
OBJETIVO DE CONTROL
Educación
¿Se cuenta con un programa de capacitación en el uso
seguro de las herramientas informáticas para los 5
empleados?
¿Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales?
Número de registro
Identificación del empleado
Detalle del problema
Detalle de las causas
Detalle de la solución aplicada
TOTALES 7 19
ANEXO 2.
CUESTIONARIO DE CONTROL C2
ANEXO 3.
ENTREVISTA
REF
caso de ser afirmativa la respuesta, ¿Cada Dicha revisión se realiza una vez al
cuánto realizan la revisión de la gestión de año. Sin embargo, de estas
las cuentas de usuario? revisiones no se deja constancia
alguna.
DS5.9 Prevención, Detección y Corrección de Software
OBJETIVO DE CONTROL
Malicioso
Nº CUESTIONARIO RESPUESTA
¿Cuentan todos los equipos de cómputo con Si todos los equipos de cómputo
1 antivirus debidamente instalados y con su cuentan con antivirus instalado,
respectiva licencia? con su licencia.
¿Cuál es el criterio que utilizan para escoger En realidad, no existe ningún
2 los antivirus instalados en los equipos de criterio para la adquisición de los
cómputo? antivirus.
¿Cada cuánto realizan un escaneo en los
El escaneo de los equipos de
equipos de cómputo, a fin de determinar si
3 cómputo se realiza de manera
cuentan con algún archivo o software
mensual.
malicioso instalado?
Una vez se encuentra algún
software malicioso en un
computador, se procede a
eliminarlo del equipo en el cual se
¿Cuál es el protocolo que siguen una vez se
encontraba. Además, se verifica
4 encuentra algún software malicioso en un
que tanto daño logro causar dicho
equipo?
virus y, por último, se examinan los
demás equipos para verificar que
tanto logro expandirse el software
malicioso encontrado.
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
Nº CUESTIONARIO RESPUESTA