Beruflich Dokumente
Kultur Dokumente
Presentado por:
Raúl Andrés Jiménez Código: 80220672
Yair Alejandro Sosa Código: 80002937
Maribel Garcia Código: 53074049
Anderson Fabian Rincón Código: 1012348104
Víctor Alonso Orozco Código: 16090570
Grupo 90168_4
Presentado a:
Francisco Nicolás Solarte
Tutor
INTRODUCCIÓN
OBJETIVOS
Objetivo general
Objetivos específicos
1. OBJETIVO.
2. DEFINICIONES.
CONSECUENCIA
Bajo Medio Alto
1 5 10
PROBABILIDAD
10 10 50 100
Medio Alto
5 5 25 50
Bajo
1 1 5 10
Hay poca conciencia del riesgo asociado con este evento de riesgo, existen
algunos planes de mitigación escritos, pero no se han implementado ni
Bajo
probado, no se han definido un responsable de gestionar y hacer
seguimiento a los riesgos.
controles
existente
LIDAD
10 50 100
(con
Alto
10
s)
Medio
5
Leve Moderado Critico
Bajo 1 5 10
1
Leve Leve Moderado
Nivel Descripción
MODELO DE MADUREZ
La administración del proceso de Garantizar la continuidad del servicio que
satisfaga el requerimiento de TI del negocio para asegurar el mínimo impacto al
0
negocio en caso de interrupción de un servicio de TI
DESCRIPCIÓN
DE LA
CAUSAS
SITUACIÓN
MATERIAL TIPO DE ¿Por qué y CALIFICACION CALIFICACION
PROCESO NUMERO FUENTE ¿Qué puede
SOPORTE CONTEXTO cómo puede PROBABILIDAD CONSECUENCIA
suceder, R
suceder?
dónde y
cuándo?
No existe o no
está definido un
plan de seguridad
Pérdida o de TI donde se
alteración de conocen las
DS5
información. políticas y
Garantizar la
Pérdida de la procedimientos
Seguridad de
productividad. de seguridad para
los Sistemas 2 COBIT Interno Información 10 10
Perdida de todos los usuarios
DS5.2 Plan de
Ventaja de la organización
Seguridad de
competitiva. y terceros y las
TI
Repercusión responsabilidades
Económica. de la seguridad de
la información y
no están definidas
claramente.
No está definido o
establecido un
proceso o
mecanismos de
administración de
Suplantación identidad de
de identidad. cuentas de
DS5
Pérdida o usuarios internos,
Garantizar la
alteración de externo y
Seguridad de
información. temporales para
los Sistemas 3 COBIT Interno Disponibilidad 10 10
Pérdida de la el acceso a al
DS5.3
productividad. sistema SCO y en
Administración
Pérdida de caso de
de Identidad
ventaja terminación o
competitiva. cambio de empleo
no existen
procedimientos
de eliminación de
accesos y
registros
No está definido o
Suplantación
existe un proceso
de identidad.
o mecanismo que
Daño a la
garantice la
infraestructura
DS5 emisión,
tecnológica.
Garantizar la suspensión,
Pérdida o
Seguridad de modificación y
alteración de
los Sistema Disponibilidad cierre de cuentas
4 COBIT Interno información. 10 10
DS5.4 de Servicio de usuario
Pérdida de la
Administración escalando los
productividad.
de Cuentas privilegios al
Pérdida de
del Usuario sistema SCO y no
ventaja
existe un método
competitiva.
de autenticación
Denegación de
segura para los
Servicios.
accesos remotos.
Daño a la
No está definido o
infraestructura
DS5 existe un proceso
tecnológica.
Garantizar la o mecanismo que
Pérdida o
Seguridad de indique, divulgue
alteración de
los Sistema Disponibilidad o comunique
6 COBIT Interno información 10 10
DS5.6 de Servicio cualquier
Pérdida de la
Definición de incidente de
productividad.
Incidente de seguridad y qué
Pérdida de
Seguridad hacer cuando se
ventaja
presentan.
competitiva.
No está definido o
existe un proceso
o mecanismo
Daño a la para la detección,
DS5
infraestructura corrección y
Garantizar la
tecnológica. prevención de
Seguridad de
Pérdida o software
los Sistema
alteración de malicioso que
DS5.9
9 COBIT Interno Capacitación información proteja el sistema 10 10
Prevención,
Pérdida de la SCO y no se
Detección y
productividad. cuenta con la
Corrección de
Pérdida de información sobre
Software
ventaja las
Malicioso
competitiva. vulnerabilidades
de los sistemas
de información en
uso
No Existe o no
Pérdida o
está definido un
alteración de
DS5 plan de seguridad
información.
Garantizar la de TI donde se
Pérdida de la
Seguridad de conocen las
Disponibilidad productividad.
los Sistemas 10 COBIT Interno políticas y 10 10
de Servicio Perdida de
DS5.10 procedimientos
Ventaja
Seguridad de de seguridad para
competitiva.
la Red todos los usuarios
Repercusión
de la organización
Económica.
y terceros.
MODELO DE MADUREZ
0 Cuando la organización no reconoce la necesidad de la seguridad para TI.
Las responsabilidades y la rendición de cuentas no están asignadas para
garantizar la seguridad.
1 Cuando la organización reconoce la necesidad de seguridad para TI.
Brechas de seguridad de TI ocasionan respuestas con acusaciones
personales, debido a que las responsabilidades no son claras.
2 Cuando las responsabilidades y la rendición de cuentas sobre la seguridad
están asignadas a un coordinador de seguridad de TI, pero la autoridad
gerencial del Coordinador es limitada.
Las políticas de seguridad se han estado desarrollando, pero las
herramientas y las habilidades son inadecuadas.
3 Cuando existe conciencia sobre la seguridad y ésta es promovida por la
gerencia.
Existe un plan de seguridad de TI y existen soluciones de seguridad
motivadas por un análisis de riesgo.
4 Cuando las responsabilidades sobre la seguridad de TI son asignadas,
administradas e implementadas de forma clara.
Los procesos de seguridad de TI están coordinados con la función de
seguridad de toda la organización.
5 Cuando la seguridad en TI es una responsabilidad conjunta del negocio y
de la gerencia de TI y está integrada con los objetivos de seguridad del
negocio en la corporación.
Se recolectan e implementan de forma oportuna controles adecuados para
mitigar riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-
efecto e identificación pro-activa de riesgos para la mejora continua de
procesos.
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: DS5 Garantizar la Seguridad de los Sistemas que soportan el
Core de la organización Prosegur.
Objetivo de la Auditoria:
Medir y evaluar los criterios para realizar la auditoria en Prosegur Colombia a la
infraestructura tecnología donde se soporta el SCO: Sus siglas significan “Sistema
de control operativo” y es el sistema que soporta el Core del negocio, con el objetivo
de evaluar su cumplimiento, seguridad lógica y desempeño de sus procesos,
Dictamen:
Se califica un nivel de madurez inicial, por cuanto la organización reconoce la
necesidad de seguridad para TI, donde se aprecia por los resultados la seguridad
se lleva de forma reactiva y no se lleva un control de seguridad provocando
acusaciones personales ya que las responsabilidades no son claras y las
respuestas de seguridad de TI son impredecibles.
Hallazgos que soportan el Dictamen:
Según os resultado arrojados por la lista de cheque para el dominio DS5 garantizar
la seguridad de los sistemas se evidencia que:
No existen planes o programas de seguridad de TI que garanticen la organización,
administración, modificación, suspensión y cierre de cuentas e identidad de los
usuarios internos y externos del sistema SOC.
No está definido o existe un proceso o mecanismo que indique, divulgue o
comunique cualquier incidente de seguridad y qué hacer cuando se presentan y no
se cuenta con un procedimiento para la contingencia y solución en una posible
infección de virus informático.
No está definido o existen técnicas o procedimientos de administración para
proteger el flujo de información a través de la red
Recomendaciones:
Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización,
de manera que las acciones de administración de la seguridad estén en línea con
los requerimientos del negocio, aprobando, publicando y comunicando a todos los
empleados y entidades externas un documento de política de seguridad.
Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan
de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la
cultura de seguridad, aprobando, publicando y comunicando a todos los empleados
y entidades externas un documento de política de seguridad.
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas,
desarrollo y mantenimiento) deben ser identificables de manera única, Generando
usuarios y contraseñas para validación que permitan acceso limitado por perfiles y
tener una gestión y administración de usuarios y contraseñas seguras, según los
perfiles de privilegios.
Formalización y documentación del procedimiento y tratamiento de incidente de
seguridad en las políticas de seguridad bajo formatos establecidos para el registro
de dichos incidentes y el escalamiento al personal capacitado para ello.
Poner medidas preventivas, detectivas y correctivas (en especial contar con parches
de seguridad y control de virus actualizados) en toda la organización para proteger
los sistemas de la información y a la tecnología contra malware con la formalización
y documentación del procedimiento y tratamiento de un Antivirus licenciado, que
brinde la seguridad de actualizaciones periódicas y garantice la protección
adecuada de los incidentes de software malicioso en las políticas de seguridad.
Uso de técnicas de seguridad y procedimientos de administración asociados (por
ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección
de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia
las redes por medio de la aplicación de herramientas que permitan monitorear y
administrar los dispositivos de red y usar protocolos como seguros SSH para la
administración de los dispositivos de comunicaciones.
Procesos DS8
Objetivos de control proceso DS8.1, DS8.2
Responsable: Raúl Andrés Jiménez
MODELO DE MADUREZ
0 No hay soporte para resolver problemas y preguntas de los usuarios. Hay una
completa falta de procesos para la administración de incidentes. La organización
no reconoce que hay un problema que atender
1 La gerencia reconoce que requiere un proceso soportado por herramientas y
personal para responder a las consultas de los usuarios y administrar la resolución
de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se
brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios,
los incidentes o las tendencias. No existe un proceso de escalamiento para
garantizar que los problemas se resuelvan
2 Hay conciencia organizacional de la necesidad de una función de mesa de
servicio y de un proceso de administración de incidentes.
Existe ayuda disponible de manera informal a través de una red de individuos
expertos. Estos individuos tienen a su disposición algunas herramientas comunes
para ayudar en la resolución de incidentes. No hay entrenamiento formal y la
comunicación obre procedimientos estándar y la responsabilidad es delegada al
individuo
3 Se reconoce y se acepta la necesidad de contar con una función de mesa de
servicio y un proceso para la administración de incidentes.
Los procedimientos se estandarizan y documentan, pero se lleva acabo
entrenamiento informal. Se deja la responsabilidad al individuo de conseguir
entrenamiento y de seguir los estándares. Se desarrollan guías de usuario y
preguntas frecuentes (FAQs), pero los individuos deben encontrarlas y puede ser
que no las sigan. Las consultas y los incidentes se rastrean de forma manual y se
monitorean de forma individual, pero no existe un sistema formal de reporte. No
se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden
quedar sin resolución. Los usuarios han recibido indicaciones claras de dónde y
cómo reportar problemas e incidentes
4 En todos los niveles de la organización hay un total entendimiento de los
beneficios de un proceso de administración de incidentes y la función de mesa de
servicio se ha establecido en las unidades organizacionales apropiadas. Las
herramientas y técnicas están automatizadas con una base de conocimientos
centralizada. El personal de la mesa de servicio interactúa muy de cerca con el
personal de administración de problemas. Las responsabilidades son claras y se
monitorea su efectividad. Los procedimientos para comunicar, escalar y resolver
incidentes han sido establecidos y comunicados. El personal de la mesa de
servicio está capacitado y los procesos se mejoran a través del uso de software
para tareas específicas. La gerencia ha desarrollado los KPIs y KGIs para el
desempeño de la mesa de servicio.
DICTAMEN DE LA AUDITORÍA
Objetivo de la Auditoria:
Medir y evaluar los criterios para realizar la auditoria en Prosegur Colombia a la
administración de la mesa de servicios que soporta el SCO: Sus siglas significan
“Sistema de control operativo” y es el sistema que soporta el Core del negocio, con
el objetivo de evaluar su cumplimiento, desempeño de sus procesos,
procedimientos y niveles de atención.
Dictamen:
Se califica un nivel de madurez inicial, por cuanto la organización reconoce la
Administración de la mesa de servicios y los incidentes, donde se aprecia por los
resultados son aceptables, pero se encuentran unos focos importantes que deben
de ser corregidos y controlados para mejorar los niveles de atención y el control
correcto de los procedimientos indicadores y resultados finales.
No se cuenta con una herramienta visual que les permita visualizar las
incidencias reportadas de la aplicación SCO, así como el del personal de la
compañía de Prosegur S. A
Recomendaciones:
MODELO DE MADUREZ
Cuando la organización no reconoce la necesidad de procedimientos e
instructivos adecuados para la administración de la operación de manera correcta.
0
Las responsabilidades y la rendición de los incidentes redundan en la prestación
del servicio
Cuando la organización reconoce la necesidad de indicadores y mediciones
pertinentes para la gestión de la operación.
1
Falta de controle soportados para la medición de indicadores y mediciones de los
procesos operativos y de infraestructura de la organización.
Cuando las responsabilidades y los ANS de servicio se ven afectados y la
coordinación de servicio al cliente como coordinador de mesa de ayuda TI, pero
la autoridad y las herramientas autorizadas por la autoridad gerencial y comité
2
directivo es limitado.
Los procedimientos e instructivos se han creado, pero no se cuenta con un flujo
completo o no está actualizado en su totalidad.
Cuando existe conciencia sobre la correcta documentación y soporte de las
acciones a ejecutar en el proceso de administración de la operación y estas
3 buenas practicas son promovidas por la alta gerencia y el comité directivo.
Existe un plan de operaciones y de infraestructura motivadas por un análisis de
riesgo.
Cuando las responsabilidades sobre la gestión de la operación y sus insumos de
infraestructura son asignadas y administradas pueden ser implementadas de
4 forma clara.
Los procesos administración de operaciones de TI, están coordinados con la
función de ANS y servicio de toda la organización.
Cuando la administración de operación es una responsabilidad conjunta del
negocio y de la gerencia de TI y está integrada con los objetivos de seguridad,
cumplimiento del servicio. del negocio en la corporación.
5
Se recolectan e implementan de forma oportuna controles adecuados para mitigar
riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e
identificación proactiva de riesgos para la mejora continua de procesos.
DICTAMEN DE LA AUDITORÍA
Dictamen:
Se califica un nivel de madurez inicial, por cuanto la organización reconoce la
Administración de operaciones en TI, donde se aprecia por los resultados son
aceptables, pero se encuentran unos focos importantes que deben de ser
corregidos y controlados para mejorar los niveles de atención y el control correcto
de los procedimientos indicadores y resultados finales.
Hallazgos que soportan el Dictamen:
Según os resultado arrojados por la lista de cheque para el dominio DS13
Administración de la Operación, de los sistemas se evidencia que:
Para la gestión de soportes no se encuentran definidos todos los flujos de
procesos que les permita operara y generar respuestas oportunas ante
dichas incidencias.
Las incidencias que se presentan dentro del flujo de la administración de
operaciones no cuentan con los procedimientos completamente
documentados.
Los indicadores de medición, no cuentan con una formula definida que
permita identificar cuando no se está logrando el objetivo de los indicadores
aplicar acciones de mejora o correctivas.
No se cuenta con una herramienta visual que les permita visualizar las
incidencias reportadas de la aplicación SCO, así como el del personal de la
compañía de Prosegur S. A
No está definido o existe un proceso o mecanismo para la detección,
corrección y prevención que les permita detectar posibles encolamientos de
transacciones generadas en la plataforma SCO.
No Existe o no está definido un plan codificación de los equipos de cómputo,
mantenimiento de los mismo que permita contar con un inventario
actualizado.
Recomendaciones:
Atentamente;
___________________ ______________________
YAIR ALEJANDRO SOSA Maribel Garcia
Auditor Auditor
CONCLUSIONES
http://auditordesistemas.blogspot.com/2011/11/cobit-objetivos-de-control-para-la.html
https://campus01.unad.edu.co/ecbti46/pluginfile.php/6918/mod_forum/attachment/
235683/ejemplo%20colaborativo%203%20formato%20de%20hallazgos%20y%20
definici%C3%B3n%20de%20controles%202019.docx