Colaborativo Auditoria de Sistemas

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería

Auditoria de sistemas - 90168
Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,

Controles
Víctor Julio Martínez Barrios
William Mario Villa Castro
Enrique David Pinto Peralta
Grupo colaborativo: 90168_6
Tutor
Yolima Esther Mercado Palencia
Auditoria de sistemas
2017
Fase 3 | Trabajo colaborativo III

Contenido
Introducción ............................................................................................................. 3
Objetivos ................................................................................................................. 4
Objetivo general................................................................................................... 4
Objetivos específicos ........................................................................................... 4
1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los

Usuarios .................................................................................................................. 5
2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios........................ 7
3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los

Usuarios ................................................................................................................ 10
4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los Sistemas…...18
5. Tabla de Tratamiento de Riesgos……………………………………………………27
6. Tabla de Controles de Riesgos ...……………………………………………………28
Conclusiones ......................................................................................................... 30
Referencias bibliográficas ................................................................................... 331
Anexo1 Cuestionario de Control: C1 ..................................................................... 32
Anexo 2 Cuestionario de Control C2 ...…………………………………………………34
Anexo 3 Entrevista ………………………………………………………………………36

Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditoría de sistemas en la universidad nacional abierta y
a distancia UNAD.
En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del curso
aplicándolos en el proceso de auditoría que se ha venido llevando a cabo durante
el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estándar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, así como los
hallazgos y los controles propuestos para dichos riesgos.

Objetivos
Objetivo general
Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de

sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la
empresa Softcaribbean S.A.
Objetivos específicos
 Analizar la matriz de riesgos de cada proceso del estándar COBIT

abordado, para generar su cuadro de tratamiento de riesgos.
 Diseñar el cuadro de hallazgos para cada uno de los procesos del
estándar COBIT abordados.
 Determinar los controles propuestos para cada uno de los riesgos
encontrados en los procesos del estándar COBIT abordados.

1 Cuadro de tratamiento de riesgos del proceso: DS7

Educar y Entrenar a los Usuarios
Antes que nada, debemos recordar la matriz de riesgos detectados para el

proceso DS7 Educar y Entrenar a los Usuarios:
Probabilidad Impacto
N° Descripción
B M A L M C
No se capacita al personal en temas relacionados con la

R1 X X
seguridad informática
Falta de capacitación y sensibilización del personal del

R2 X X
área de sistemas
No existe un control sobre los insumos y recursos

informáticos que la empresa compra, lo cual permite que
R3 estos sean utilizados para tareas diferentes a las X X
previstas, haciendo que éstos se acaben de una manera
más rápida
Los empleados no usan VPN para conectarse a la red de

R4 X X
la empresa
Uso indebido del correo electrónico para el envío de

R5 información a personal externo o para el registro en foros X X
y redes sociales.
Algunos de los empleados conectan dispositivos

personales no seguros a la red de la empresa lo que
R6 X X
puede generar huecos de seguridad dando cabida a la
entrada de piratas cibernéticos

Alto
R1, R5 R4
61-100%
Medio
R3 R2 R6
PROBABILIDAD
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
N° Descripción Riesgo Tratamiento Riesgo

No se capacita al personal en temas relacionados con la
R1 Transferir
seguridad informática
Falta de capacitación y sensibilización del personal del área

R2 de sistemas Controlarlo
No existe un control sobre los insumos y recursos

informáticos que la empresa compra, lo cual permite que
R3 estos sean utilizados para tareas diferentes a las previstas, Aceptarlo
haciendo que éstos se acaben de una manera más rápida
Los empleados no usan VPN para conectarse a la red de la

R4 empresa Controlarlo
Uso indebido del correo electrónico para el envío de
R5 información a personal externo o para el registro en foros y Controlarlo

redes sociales.
Algunos de los empleados conectan dispositivos personales

no seguros a la red de la empresa lo que puede generar
R6 Controlarlo
huecos de seguridad dando cabida a la entrada de piratas
cibernéticos

2 Hallazgos del proceso: DS7 Educar y Entrenar a los

Usuarios
REF
HALLAZGO 1
HHDN_01
PROCESO Capacitación a empleados acerca del PÁGINA

AUDITADO uso seguro de las herramientas TIC. 1 DE 1
RESPONSABLE Víctor Julio Martínez Barrios
MATERIAL DE
COBIT
SOPORTE
ENTREGAR Y DAR DS7: Educar y Entrenar

DOMINIO PROCESO
SOPORTE a los Usuarios
DESCRIPCIÓN:
 Se encuentra que la empresa no cuenta con un plan de capacitaciones

enfocadas en ayudarle a sus empleados a reconocer los
comportamientos seguros e inseguros cuando hacen uso de las
herramientas informáticas tanto de la empresa como externas.
 Se detecta que los empleados no usan VPN para acceder desde redes
diferentes a la interna, a repositorios que contienen información privada
de la empresa y sus clientes.

REF_PT:
Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS:
 La falta de capacitación de los empleados en temas relacionados con los

comportamientos seguros e inseguros respecto al uso de las
herramientas TIC, puede ocasionar serios problemas de seguridad para
la empresa, ya que se corre el riesgo de que los empleados sean víctimas
de un sinnúmero de amenazas externas a las que diariamente están
expuestos, que buscan la obtención ilegal de información confidencial,
tanto de las personas como de las empresas para las que laboran.
 Al no garantizarse la seguridad en las conexiones de los empleados a
través del uso de VPN, se abre una puerta a personas malintencionadas
para que tengan acceso a información de la empresa y sus clientes,
poniendo en alto riesgo el desarrollo de las actividades de la compañía.
RIESGO:
Probabilidad de ocurrencia: 100%
Impacto según relevancia del proceso: Alto.
RECOMENDACIONES:
 Implementar un programa de capacitación para los empleados de la

empresa, en el que se busque mantenerlos conscientes de los riesgos a
los que están expuestos cuando hacen uso de las herramientas TIC y

ayudarlos a reconocerlos para evitar posibles afectaciones a nivel

personal y/o profesional, aminorando así el riesgo de pérdida o
divulgación de información de ellos y de la empresa.
 Implementar el uso de VPN para asegurar las conexiones de los
empleados a los repositorios de información de la empresa, cuando no
estén conectados a la red interna.

3 Cuadro de controles propuestos del proceso: DS7

Educar y Entrenar a los Usuarios
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Construir un plan de capacitaciones periódicas

PREVENTIVO para el personal de sistemas en las que se
Falta de capacitación y actualicen los conocimientos de los mismos.
sensibilización del
Capacitar al personal de sistemas en el manejo
personal del área de
adecuado de las herramientas que se usan en
sistemas
CORRECTIVO la empresa. Si no se cuenta en la empresa con
el personal idóneo para esta capacitación
puede contratarse un tercero que lo haga.
Los empleados no usan Implementar el uso de una VPN en todas las
VPN para conectarse a CORRECTIVO conexiones de los empleados de la empresa a
la red de la empresa los repositorios de información de la misma.
Exponer a los empleados los riesgos a los que

se exponen y exponen a la empresa, al utilizar
PREVENTIVO
la cuenta de correo electrónico empresarial
para tratar asuntos diferentes a los laborales.
Uso indebido del correo
electrónico para el Instalación de herramienta de software de
envío de información a análisis de contenido de correo electrónico que
personal externo o para DETECTIVO permita el monitoreo en tiempo real del uso
el registro en foros y dado a el correo electrónico empresarial por
redes sociales parte de los empleados.
Tomar acciones disciplinarias sobre los
empleados que usen la cuenta de correo
CORRECTIVO
empresarial para tratar temas diferentes a los
laborales. En caso de detectarse que se ha

comprometido la cuenta de correo del

empleado deshabilitar la misma.
Algunos de los
empleados conectan
dispositivos personales
no seguros a la red de la Ejercer controles de seguridad para la conexión
empresa lo que puede PREVENTIVO de dispositivos no permitidos a la red de la
generar huecos de empresa.
seguridad dando cabida
a la entrada de piratas
cibernéticos

Aporte: William Mario Villa Castro
Análisis y evaluación de riesgos:
Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Falta de un plan
R1 x x
estratégico
Falta de conocimiento
de la importancia de
R2 x x
un plan estratégico de
TI
Falta de un plan de
desarrollos de
R3 X X
aplicaciones para
toma de decisiones
Falta de un manual de
aplicaciones donde se
R4 registre el uso y la x X
confiabilidad de los
datos de la empresa.
Falta de un plan para
R5 la adquisición de X x
recurso tecnológicos
falta de personal
especializado para
R6 dar asesorías sobre x x
las tecnologías

Falta de un modelo de
R7 información X x
empresarial.
Falta de un plan de
R8 x x
infraestructura de TI.
Falta de unos
R9 estándares X X
Tecnológicos.
Falta de un monitoreo
R10 de las evoluciones x X
Tecnológicas.
Falta de herramientas
R11 para la clasificación x X
TI.
Falta de definición de
R12 responsabilidades y X X
roles del personal.
Alto
R5 R1, R12
61-100%
Medio
R3 R2,R4,R6,R9,r10,R11 R13
31-60%
PROBABILID
Bajo
AD
R7,R8
0-30%
IMPACTO

Tabla Hallazgos
REF
HALLAZGO 1
HHDN_01
PROCESO PÁGINA
P01 Definir un Plan Estratégico de TI.
AUDITADO 1 DE 1
RESPONSABLE William Mario Villa Castro
MATERIAL DE
COBIT
SOPORTE
P01 Definir un
Planear y
DOMINIO PROCESO Plan Estratégico
Organizar
de TI.
DESCRIPCIÓN:
 Falta de un plan estratégico: La empresa no cuenta con un diseño de una

planeación estratégica de TI es necesaria para gestionar y dirigir todos los
recursos de TI en línea con la estrategia y prioridades del negocio.
 Falta de definición de responsabilidades y roles del personal: La
empresa no cuenta con las jerarquías definidas, sin asignación de
responsabilidades del personal.
REF_PT: Cuestionario de control: C1 (Anexo 1)

CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de TI,

existiendo una falta de negligencia por parte de la gerencia y del personal
encargado de TI, carencia de control sobre la efectividad y eficiencia de los
componentes TI, no cuenta con planes definidos ni planes de contingencia para
cualquier eventualidad.
No se establece con claridad los roles y responsabilidades del personal para el

buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.
RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un

100%, mostrando un impacto catastrófico para la empresa.
RECOMENDACIONES: Debemos hacer una relación de las metas y los

objetivos con la TI, diseñar y construir un plan estratégico de TI, construir un
planes tácticos de TI, contratación de personas idóneas en el tema de las TI. La
planeación estratégica de TI es un proceso documentado, el cual se debe tener
en cuenta para el cumplimiento de los objetivos y las metas definidas por la
empresa.

CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratégico de TI.
OBJETIVO DE CONTROL PO1.1 Administración del Valor de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Cuentan con un plan
1 estratégico de TI la X
empresa?
¿Conoce la necesidad la
empresa de contar con
2 X
un plan estratégico de
TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Información.
PO2.1 Modelo de Arquitectura de Información
OBJETIVO DE CONTROL
Empresarial
¿Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de la
empresa?
¿Existe algún manual de
aplicaciones o
actividades donde se
4 x
registre el uso y la
confiabilidad de los
datos de la empresa?

¿Cuentan con una base

5 x
de datos la empresa?
¿Cuentan con un
inventario de todos los
6 x
componentes de la
infraestructura de TI?
¿Existe un plan para la
7 adquisición de recurso x
tecnológico?
PROCESO P03. Determinar la
DOMINIO Planear y Organizar
Dirección Tecnológica.
OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica
¿Cuenta la empresa con

asesorías de personal
8 especializado con x
respecto a las
tecnologías?

4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD

DE LOS SISTEMAS
TABLA HALLAZGO 1
REF
HALLAZGO 1
HHDN_O1
PROCESO PÁGINA
Planes para la recuperación de
AUDITADO información. 1 DE 1
RESPONSABLE Enrique David Pinto Peralta
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIÓN:
 No se cuenta con un plan de recuperación de información, en caso que

se produzca pérdida parcial o total de la misma.
 No se realiza de manera organizada ni periódica las copias de seguridad

o backup de la información de la empresa.
 No existe una persona encargada de realizar y custodiar las copias de

seguridad o backup de la información de la empresa.

REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
 Al no existir un plan de recuperación de información, en el momento que

se produzca una pérdida parcial o total de la misma, esa información no
podrá recuperarse, lo cual puede incluso llevar a la desaparición de la
empresa.
 Al no realizar de manera periódica ni organizada las copias de seguridad

de la empresa, cualquier información que pueda llegar a borrarse está en
riesgo de no volver a ser recuperada.
 Al no existir una persona encargada de realizar y custodiar las copias de

seguridad en la empresa, existe un alto porcentaje que estas nunca se
realicen o se hagan de manera muy esporádica, lo cual hace vulnerable
de una perdida en cualquier momento a la información de la empresa.
RIESGO:
 Probabilidad de ocurrencia: = 100%

 Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
 Elaborar un plan de acciones a realizar en caso que se produzca una

pérdida parcial o total de la información de la empresa.
 Elaborar un cronograma para la realización de las copias de seguridad o

backup de la información de la empresa, de manera que permita tener
siempre presente la importancia de su realización diaria.
 Asignarle a una persona la responsabilidad de la realización y custodia

de las copias de seguridad de la información de la empresa, de manera
que no existan pretextos para la no realización de las mismas.

TABLA HALLAZGO 2
REF
HALLAZGO 2
HHDN_O2
Nivel de Capacitación del personal PÁGINA

PROCESO encargado de Mantenimiento del
AUDITADO cableado estructurado y de la Red en 1 DE 1
General.
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Sistemas
DESCRIPCIÓN:
 No existe personal capacitado para la realización de los mantenimientos

del cableado estructurado de la red y de los equipos que la componen.
 No existe un plan de capacitación para el personal técnico encargado del

mantenimiento de los equipos y cableado estructurado que integran la red
de la empresa, de manera que se garantice su adecuado funcionamiento.
REF_PT:

CONSECUENCIAS:
 Al no contar con personal adecuadamente capacitado para la realización

de los mantenimientos de los equipos y del cableado estructurado de la
red se puede producir una reducción en los niveles de seguridad de la
red de la empresa, exponiendo de esta manera toda la información
confidencial de la misma a personas inescrupulosas que pretendan
acceder a dicha información, así como a softwares maliciosos que
puedan llegar a ocasionar pérdida parcial o total de dicha información.
Además, si los mantenimientos no se realizan de manera correcta, se
puede producir una disminución en los niveles de productividad de los
empleados, motivado por errores de conexión que no permiten ingresar
o vuelven más lentos los sistemas manejados en la empresa.
 Al no existir un plan de capacitación para el personal encargado del

mantenimiento de los equipos y cableado estructurado de la red de la
empresa, siempre va a existir un desconocimiento en dicho personal que
puede llevarlo en cualquier momento a cometer errores durante la
realización de dichos mantenimientos que pueden poner en riesgo la
información y actividades de la empresa.
RIESGO:

RECOMENDACIONES:
 Contratar personal capacitado que se encargue de la realización de los

mantenimientos de los equipos y el cableado que conforman la red de la
empresa, de manera que se garantice la seguridad de la misma.
 Elaborar un plan de capacitaciones periódicas al personal encargado del

mantenimiento del cableado y los equipos que integran la red de la
empresa, de manera que siempre se garantice la realización de estos
mantenimientos de manera adecuada.

TABLA HALLAZGO 3
REF
HALLAZGO 3
HHDN_O3
PROCESO PÁGINA
Control en la Compra de los Softwares
AUDITADO Antivirus. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Sistemas
DESCRIPCIÓN:
 No existen informes previos que recomienden y avalen la compra de los

antivirus que se han adquirido hasta el momento en la empresa.
 No se tienen identificadas las necesidades de seguridad de la información

de la empresa, de manera que con base en estas necesidades se pueda
determinar cuál es el antivirus indicado para comprar.
REF_PT:
ENTREVISTA (ANEXO 3)

CONSECUENCIAS:
 Al no existir informes previos que recomienden y avalen la compra de un

determinado Antivirus, se terminaran utilizando otros criterios, para
comprar los antivirus, tales como precio, facilidad de descarga, facilidad
de instalación, entre otros, lo cual hace que la información de la empresa
este permanentemente en riesgo, dado que lo más probable es que los
antivirus adquiridos no cumplan con los requisitos mínimos de seguridad
de la información.
 Al no tener identificadas las necesidades de seguridad de la información

de la empresa, los antivirus que se compren no van a brindar los niveles
de seguridad requeridos por la empresa, razón por la cual la información
de la misma va a estar todo el tiempo vulnerable a la acción de personas
y softwares maliciosos.
RIESGO:

RECOMENDACIONES:
 Elaborar un informe cada vez que se requiera adquirir un software

Antivirus, con el fin de determinar, de acuerdo a sus características y a
las necesidades de seguridad de la información de la empresa, cual es el
más indicado para comprar.
 Elaborar un estudio que permita identificar claramente cuáles son las

necesidades de seguridad de la información de la empresa, de manera
que establezca que información requiere mayor grado de seguridad y cual
menor seguridad. Además, el estudio debe permitir identificar cuales
equipos de cómputo manejan la información que requiere mayor
seguridad y cuál es la manera de transportar dicha información, ya sea a
través de la red, de una intranet o de dispositivos tales memorias usb o
cds; todo lo anterior, con el objetivo de determinar cuál es el antivirus más
idóneo para salvaguardar la información de la empresa.

ANÁLISIS Y EVALUACIÓN DE RIESGOS

TABLA DE VALORACIÓN DE LOS RIESGOS
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Falta de control de X X
cuentas de usuario
R2 Falta de control en X X
los permisos y
privilegios de cada
una de las cuentas
de usuario de la
empresa.
R3 Falta de revisión de X X
la gestión de las
cuentas de usuario
existentes
R4 Falta de revisión X X
periódica de los
equipos de cómputo
para detectar algún
software malicioso
R5 Falta de control en la X X
compra de los
Antivirus instalados
R6 No existe registro de X X
los softwares
maliciosos
encontrados
R7 No existe control de X X
los dispositivos de
almacenamiento
(usb, cd, discos).
R8 Falta de controles de X X
acceso a la
información

R9 No existe un firewall X X
activo
R10 No existe un Control X X
y monitoreo en el
acceso a Internet
R11 Mantenimiento del X X
cableado
estructurado por
parte de personal
poco capacitado
R12 Ausencia de planes X X
para recuperación
de información
R13 No se garantiza la X X
seguridad en las
conexiones
R14 Desconocimiento en X X
seguridad
informática de los
empleados

MATRIZ DE RIESGOS
R6 R5, R11, R14 R8, R12

Alto
61-100%
Medio R3 R1, R9 R13
PROBABILIDAD
31-60%
Bajo R2 R4, R7, R10

0-30%
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

5. TABLA DE TRATAMIENTO DE RIESGOS
ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 Falta de control de cuentas de usuario Controlarlo
R2 Falta de control en los permisos y Controlarlo
privilegios de cada una de las cuentas de
usuario de la empresa.
R3 Falta de revisión de la gestión de las Aceptarlo
cuentas de usuario existentes
R4 Falta de revisión periódica de los equipos Controlarlo
de cómputo para detectar algún software
malicioso
R5 Falta de control en la compra de los Controlarlo
Antivirus instalados
R6 No existe registro de los softwares Controlarlo
maliciosos encontrados
R7 No existe control de los dispositivos de Controlarlo
almacenamiento (usb, cd, discos).
R8 Falta de controles de acceso a la Controlarlo
información
R9 No existe un firewall activo Eliminarlo
R10 No existe un Control y monitoreo en el Controlarlo
acceso a Internet
R11 Mantenimiento del cableado estructurado Transferirlo
por parte de personal poco capacitado
R12 Ausencia de planes para recuperación de Eliminarlo
información
R13 No se garantiza la seguridad en las Controlarlo
conexiones
R14 Desconocimiento en seguridad Controlarlo
informática de los empleados

6. TABLA DE CONTROLES DE LOS RIESGOS
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Falta de control de CORRECTIVO Control sobre la creación, modificación o
cuentas de usuario eliminación de alguna cuenta de usuario,
dejando como constancia un acta cada
vez que se realice uno de estos
procesos.
Falta de control en los CORRECTIVO Controlar que los permisos y privilegios
permisos y privilegios de otorgados a cada una de las cuentas de
cada una de las cuentas usuario, sean de acuerdo a las funciones
de usuario de la empresa. que desarrolla el dueño de la cuenta.
Falta de revisión de la PREVENTIVO Hacer revisiones periódicas de la gestión
gestión de las cuentas de desarrollada por cada una de las cuentas
usuario existentes de usuario, dejando como constancia un
informe de dichas revisiones.
Falta de revisión PREVENTIVO Revisar periódicamente los equipos de
periódica de los equipos cómputo, para establecer si tienen
de cómputo para detectar instalado algún tipo de software
algún software malicioso malicioso que ponga en riesgo la
seguridad de la información de la
empresa.
Falta de control en la CORRECTIVO Comprar los Antivirus con base en un
compra de los Antivirus informe que avale dicha compra, de
instalados acuerdo a las necesidades de seguridad
de la información de la empresa.
No existe registro de los CORRECTIVO Llevar un registro de los softwares
softwares maliciosos maliciosos encontrados en los equipos
encontrados de cómputo, indicando el procedimiento
realizado para eliminarlo.
No existe control de los PREVENTIVO Deshabilitar los puertos usb y unidades
dispositivos de ópticas en los equipos que no son
almacenamiento (usb, cd, necesarios, para evitar transferir
discos). softwares maliciosos o robo de
información a través de memoria usb o
cds.
Falta de controles de PREVENTIVO Control en el acceso a la información, de
acceso a la información manera que cada empleado pueda
acceder solo a la información que
necesita para el adecuado desarrollo de
sus funciones.

No existe un firewall PREVENTIVO

Contar con un Firewall que brinde mayor
activo seguridad a la red, de manera que
bloquee el contenido que considera que
pone en riesgo dicha seguridad.
No existe un Control y CORRECTIVO Controlar el acceso a las páginas web,
monitoreo en el acceso a bloqueando el acceso a aquellas páginas
Internet que no brindan ningún tipo de beneficio
para el desarrollo de las actividades
laborales.
Mantenimiento del CORRECTIVO Contratar personal capacitado para la
cableado estructurado realización de los mantenimientos del
por parte de personal cableado estructurado y de los demás
poco capacitado equipos que conforman la red.
Ausencia de planes para PREVENTIVO
Elaborar un plan determine los pasos a
recuperación de seguir para recuperar información, en
información caso que se produzca pérdida de la
misma. Dicho plan debe contemplar
distintas causas posibles que produzcan
perdida de información. Además, en
este plan se debe incluir el cronograma
de las copias de seguridad a realizar,
estableciendo la cantidad de backup por
días y las horas de realización de los
mismos.
No se garantiza la CORRECTIVO Garantizar la seguridad de los sistemas
seguridad en las mediante la realización de
conexiones mantenimientos de la red por personal
capacitado, la compra de antivirus
licenciados, la compra de equipos de red
y de computo de última tecnología que
brinden una mayor seguridad, entre
otros.
Desconocimiento en CORRECTIVO Capacitar a los empleados en seguridad
seguridad informática de informática, de manera que tomen las
los empleados precauciones necesarias para evitar
cualquier tipo de perdida de información
por algún descuido o error humano.

Conclusiones
Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la

tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos
detectados en cada proceso de la empresa y ayudar en la toma de decisiones
respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,
detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el
desarrollo de las actividades de la empresa.

Referencias bibliográficas
Astello, R. J. (2015). Auditoria en entornos informáticos. Recuperado

de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y

evaluación de tecnologías de la información. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=110137
80
Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet.

Recuperado
de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO%3aaci&genre=bo
ok&issn=&ISBN=9788479088156&volume=&issue=&date=20050101&spage=171
&pages=171-
186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl
e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T%c3%89CNI
CAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L%c3%a1zaro+J.&id=DOI%3a&
site=ftf-live

Anexos, cuestionario de control: C1
Oficina principal Softcaribbean S.A.

Cuestionario de Control: C1
Dominio ENTREGAR Y DAR SOPORTE
Proceso DS7: Educar y Entrenar a los Usuarios
Pregunta Si No OBSERVACIONES
DS7.1 Identificación de Necesidades de Entrenamiento y
OBJETIVO DE CONTROL
Educación
¿Se cuenta con un programa de capacitación en el uso
seguro de las herramientas informáticas para los 5
empleados?
¿Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales?
OBJETIVO DE CONTROL DS7.2 Impartición de Entrenamiento y Educación
¿Se capacita al personal en cuanto a las nuevas Semestral

5
amenazas que surgen?
¿Se cuenta con un repositorio de información acerca Accesible para todos los
de la seguridad en el uso de las herramienta TIC en la 4 empleados (Digital o
empresa? físico)
¿Se realizan campañas de prevención de conductas
3
inseguras para los empleados?
OBJETIVO DE CONTROL DS7.3 Evaluación del Entrenamiento Recibido
¿Se posee un registro de problemas de seguridad

3
presentados a los empleados?
¿En el registro de problemas se tiene en cuenta con
los siguientes datos? 3
Fecha

Número de registro
Identificación del empleado
Detalle del problema
Detalle de las causas
Detalle de la solución aplicada
TOTALES 7 19

ANEXO 2.
CUESTIONARIO DE CONTROL C2
EMPRESA SOFTCARIBBEAN S.A.

Cuestionario de Control: C2
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario

Pregunta Si No OBSERVACIONES
¿Se cuenta con un listado detallado de las cuentas 4

de usuario de la empresa?
Si existe el listado, ¿Contiene los siguientes ítems?
Cuenta de Usuario
Nombre del empleado propietario de la cuenta
Identificación del empleado propietario de la cuenta
Cargo del empleado propietario de la cuenta
Fecha de creación de la cuenta
Perfiles activos y privilegios de la cuenta
¿Se lleva un procedimiento para la creación, 4
modificación o eliminación de las cuentas de
usuarios?
OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software
Malicioso
¿De los antivirus instalados se cuenta con los 4
siguientes datos?
Nombre del antivirus
Licencia del antivirus
Fecha de Compra
Fecha de Instalación
Fecha de Caducidad
¿Se lleva un procedimiento para la adquisición de 4
nuevos antivirus?
¿Se posee un registro de los softwares maliciosos 3
encontrados en los equipos de cómputo?
¿En el registro de los softwares maliciosos se tiene
en cuenta con los siguientes datos?

Nombre del Software malicioso

Características
Fecha en la que se encontró
Número del Computador
Proceso utilizado para eliminar el software
malicioso
¿Al momento de encontrar un software malicioso en De una a 24
un equipo, la atención que se presta es? Horas
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
¿Se cuenta con un plan de control y acceso a la 3
internet, con el fin de preservar la seguridad de la
información de la empresa?
¿Cuentan con algún plan de recuperación de 3
información en caso que se produzca pérdida de la
misma?
¿Cada cuánto se realiza mantenimiento al 4 Cada 4 Meses
cableado estructurado de la red, con el objetivo de
conservar sus condiciones mínimas de seguridad?
¿Qué tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
¿El personal que se encarga del mantenimiento es 4
personal capacitado?
TOTALES 19 14

ANEXO 3.
ENTREVISTA
REF
ENTIDAD SOFTCARIBBEAN S.A. PAGINA

AUDITADA 1 D 1
E
OBJETIVO Garantizar la protección de la información e infraestructura de los
AUDITORÍA Sistemas de Información de la empresa, con el fin de minimizar el impacto
causado por violaciones o debilidades de seguridad de los mismos.
PROCESO Contratación TI
AUDITADO
RESPONSABLE ENRIQUE DAVID PINTO PERALTA
MATERIAL DE SOPORTE COBIT
DOMINIO PROCE DS5 Garantizar la Seguridad de los
Entregar y Dar Soporte
SO Sistemas
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario

Nº CUESTIONARIO RESPUESTA
Se realiza una solicitud ante la
oficina de recursos humanos,
exponiendo los motivos por los
¿Cuál es el procedimiento que se sigue para
cuales se solicita la creación,
1 poder Crear, Modificar o Eliminar alguna
modificación o eliminación de la
cuenta de usuario?
cuenta. En dicha oficia, en conjunto
con la gerencia, se decide si
aceptar o no la solicitud enviada.
Los perfiles y privilegios se otorgan
¿Cuál es el criterio que utilizan para otorgar dependiendo de las funciones
2 los perfiles y privilegios de las cuentas de desarrolladas por los empleados
usuarios de la empresa? propietarios de cada una de las
cuentas.
¿Realizan revisión de la gestión de cada una Si se realiza una revisión de la
3
de las cuentas de usuarios creadas?, En gestión de las cuentas de usuario.

caso de ser afirmativa la respuesta, ¿Cada Dicha revisión se realiza una vez al
cuánto realizan la revisión de la gestión de año. Sin embargo, de estas
las cuentas de usuario? revisiones no se deja constancia
alguna.
DS5.9 Prevención, Detección y Corrección de Software
OBJETIVO DE CONTROL
Malicioso
¿Cuentan todos los equipos de cómputo con Si todos los equipos de cómputo
1 antivirus debidamente instalados y con su cuentan con antivirus instalado,
respectiva licencia? con su licencia.
¿Cuál es el criterio que utilizan para escoger En realidad, no existe ningún
2 los antivirus instalados en los equipos de criterio para la adquisición de los
cómputo? antivirus.
¿Cada cuánto realizan un escaneo en los
El escaneo de los equipos de
equipos de cómputo, a fin de determinar si
3 cómputo se realiza de manera
cuentan con algún archivo o software
mensual.
malicioso instalado?
Una vez se encuentra algún
software malicioso en un
computador, se procede a
eliminarlo del equipo en el cual se
¿Cuál es el protocolo que siguen una vez se
encontraba. Además, se verifica
4 encuentra algún software malicioso en un
que tanto daño logro causar dicho
equipo?
virus y, por último, se examinan los
demás equipos para verificar que
tanto logro expandirse el software
malicioso encontrado.
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red

Si actualmente se cuenta con un

plan de control y acceso al internet,
¿Cuentan con algún plan de control y que permite el bloquea el acceso a
1
acceso a la internet? ciertas páginas web que poseen
contenido potencialmente
peligroso e inadecuado.
¿Cada cuánto se revisa el cableado
El cableado estructurado se revisa
2 estructurado, con el fin de establecer en qué
cada 6 meses.
condiciones se encuentra?
La verdad únicamente se tiene
conocimiento de los problemas que
¿Con que frecuencia se acercan a los
los empleados presentan en la red,
empleados de la empresa, con el fin de
3 cuando éstos se acercan a
conocer cuáles son las mayores dificultades
comunicarnos que no pueden
que estos afrontan en la red?
trabajar debido a algún
inconveniente de red presentado.
ENTREVISTADO CARLOS PÉREZ CARRANZA

CARGO JEFE DE SISTEMAS

Colaborativo Auditoria de Sistemas

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Colaborativo Auditoria de Sistemas

Hochgeladen von

Copyright:

Verfügbare Formate

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,

Víctor Julio Martínez Barrios

William Mario Villa Castro

Enrique David Pinto Peralta

Grupo colaborativo: 90168_6

Yolima Esther Mercado Palencia

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Fase 3 | Trabajo colaborativo III

Objetivos específicos ........................................................................................... 4

1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los

2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios........................ 7

3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los

4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los Sistemas…...18

5. Tabla de Tratamiento de Riesgos……………………………………………………27

6. Tabla de Controles de Riesgos ...……………………………………………………28

Referencias bibliográficas ................................................................................... 331

Anexo1 Cuestionario de Control: C1 ..................................................................... 32

Anexo 2 Cuestionario de Control C2 ...…………………………………………………34

Anexo 3 Entrevista ………………………………………………………………………36

Fase 3 | Trabajo colaborativo III

Fase 3 | Trabajo colaborativo III

Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de

 Analizar la matriz de riesgos de cada proceso del estándar COBIT

Fase 3 | Trabajo colaborativo III

1 Cuadro de tratamiento de riesgos del proceso: DS7

Antes que nada, debemos recordar la matriz de riesgos detectados para el

No se capacita al personal en temas relacionados con la

Falta de capacitación y sensibilización del personal del

No existe un control sobre los insumos y recursos

Los empleados no usan VPN para conectarse a la red de

Uso indebido del correo electrónico para el envío de

Algunos de los empleados conectan dispositivos

Fase 3 | Trabajo colaborativo III

Leve Moderado Catastrófico

N° Descripción Riesgo Tratamiento Riesgo

Falta de capacitación y sensibilización del personal del área

No existe un control sobre los insumos y recursos

haciendo que éstos se acaben de una manera más rápida

Los empleados no usan VPN para conectarse a la red de la

Uso indebido del correo electrónico para el envío de

R5 información a personal externo o para el registro en foros y Controlarlo

Algunos de los empleados conectan dispositivos personales

Fase 3 | Trabajo colaborativo III

2 Hallazgos del proceso: DS7 Educar y Entrenar a los

PROCESO Capacitación a empleados acerca del PÁGINA

RESPONSABLE Víctor Julio Martínez Barrios

ENTREGAR Y DAR DS7: Educar y Entrenar

 Se encuentra que la empresa no cuenta con un plan de capacitaciones

Fase 3 | Trabajo colaborativo III

Cuestionario de control: C1 (Anexo 1)

 La falta de capacitación de los empleados en temas relacionados con los

Probabilidad de ocurrencia: 100%

Impacto según relevancia del proceso: Alto.

 Implementar un programa de capacitación para los empleados de la

Fase 3 | Trabajo colaborativo III

ayudarlos a reconocerlos para evitar posibles afectaciones a nivel

Fase 3 | Trabajo colaborativo III

3 Cuadro de controles propuestos del proceso: DS7

Construir un plan de capacitaciones periódicas

Exponer a los empleados los riesgos a los que