Unidad - 1 - Fase - 4 - Grupo - 90168 - 4

Unidad 1 Fase 4 – Resultados de la auditoria
Presentado por:
Raúl Andrés Jiménez Código: 80220672
Yair Alejandro Sosa Código: 80002937
Maribel Garcia Código: 53074049
Anderson Fabian Rincón Código: 1012348104
Víctor Alonso Orozco Código: 16090570
Grupo 90168_4
Presentado a:
Francisco Nicolás Solarte
Tutor
Universidad Nacional Abierta y a Distancia UNAD

Programa Ingeniería de Sistemas
Auditoría de Sistemas
CEAD JAG
Mayo de 2019
TABLA DE CONTENIDO
INTRODUCCIÓN .............................................................................................................................. 2
OBJETIVOS ...................................................................................................................................... 3
Objetivo general ............................................................................................................................. 3
Objetivos específicos .................................................................................................................... 3
DESARROLLO DE LA ACTIVIDAD ............................................................................................. 4
ANÁLISIS DE RIESGOS GENERADO PARA LA AUDITORIA DE PROSEGUR S. A
COLOMBIA .................................................................................................................................... 4
Procesos P09................................................................................................................................... 9
Procesos: DS4...................................................................................Error! Bookmark not defined.
FORMATO DE HALLAZGOS DE RIESGOS ......................................................................... 10
Procesos DS5 ................................................................................................................................ 12
NIVEL DE MADUREZ NORMA COBIT PROCESO DS5 GARANTIZAR LA SEGURIDAD
DE LOS SISTEMAS ................................................................................................................... 17
Procesos DS8 ................................................................................................................................ 19
MATRIZ DE RIESGOS DEL PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIOS
Y LOS INCIDENTES .................................................................................................................. 19
NIVEL DE MADUREZ NORMA COBIT PROCESO DS8 ADMINISTRAR LA MESA DE
SERVICIOS Y LOS INCIDENTES ........................................................................................... 21
Procesos DS13 Administración de Operaciones................................................................. 24
MATRIZ DE RIESGOS DEL PROCESO DS13 ADMINISTRACIÓN DE OPERACIONES
....................................................................................................................................................... 24
FORMATO DE HALLAZGOS DE RIESGOS DS13 ADMINISTRACIÓN DE
OPERACIONES ......................................................................................................................... 25
NIVEL DE MADUREZ NORMA COBIT PROCESO DS13 ADMINISTRACIÓN DE LA
OPERACIÓN ............................................................................................................................... 27
REFERENCIAS .............................................................................................................................. 35
INTRODUCCIÓN
En el desarrollo de este trabajo colaborativo se realizará el plan de auditoria basado

en los estándares internaciones de COBIT (Control Objetives for information and
releted Technology) para la empresa PROSEGUR S. A, se pretende generar el
resultado de la auditoria después de superados los pasos de identificación de
riesgos, valoración e impacto en cuanto a probabilidad de ocurrencia.
Durante el transcurso de la entrega de resultados, se pretende generar los hallazgos
encontrados en la ejecución de la auditoria mediante formatos que permita contar
con un tratamiento adecuado a fin de reducirlos o contrarrestarlos.
Como resultado de grupo al finalizar la entrega de resultados de la auditoria, se
tiene como expectativa la consolidación del conocimiento y experiencia de la
ejecución de la auditoria de la misma, al entregar el respectivo informe con las
recomendaciones correspondientes, permitiendo el crecimiento a nivel personal y
profesional como futuros Ingenieros de Sistemas.
OBJETIVOS
Objetivo general
Diseñar los formatos de hallazgos, controles de los riesgos y dictamen de la

auditoría realizada para la compañía PROSEGUR S. A
Objetivos específicos
 Diseñar y aplicar formatos que permitan relacionar los hallazgos encontrados

en la ejecución de la auditoria realizada a la compañía de PROSEGUR,
basados en los procesos de COBIT.
 Elaborar un dictamen de la auditoria que permita a la compañía PROSEGUR,

contar con un informe final del resultado de la auditoria.
DESARROLLO DE LA ACTIVIDAD
ANÁLISIS DE RIESGOS GENERADO PARA LA AUDITORIA DE PROSEGUR S.

A COLOMBIA
1. OBJETIVO.
Definir las actividades requeridas para la administración del riesgo,

partiendo desde la identificación, análisis y valoración de los riesgos, con el
fin de establecer e implementar las acciones que permitan controlar y
minimizar su materialización.
2. DEFINICIONES.
 Amenaza: Cualquier posible acción o serie de acciones intencionales con

daño potencial a cualquiera de las partes interesadas, a las instalaciones,
al funcionamiento, a la cadena de suministro, a la sociedad, a la economía
o a la continuidad e integridad del negocio
 Consecuencia: Es lo que acontece con necesidad lógica como derivación

de otro hecho o situación.
 Gestión de la seguridad: Actividades y prácticas sistemáticas y

coordinadas por medio de las cuales una organización maneja óptimamente
sus riesgos y las amenazas e impactos potenciales asociados derivados de
ellos.
 Impacto: Hace referencia a las consecuencias para la organización, o la

relevancia en la organización si ocurriera el evento de riesgo.
 Instalaciones: Planta, maquinaria, propiedad, edificios, vehículos,
embarcaciones, instalaciones portuarias y otros elementos de
infraestructura o plantas y sistemas relacionados que cumplen una función
o servicio empresarial distintivo y cuantificable.
 Parte Involucrada: Persona o entidad con un interés establecido en el

desempeño de la organización, su éxito o el impacto de sus actividades.
 Probabilidad: Cuantificación de materialización del riesgo
 Riesgo: Probabilidad que se produzca un daño determinado por causa de

sucesos imprevistos.
 Riesgo residual: Resulta de la relación entre el grado de manifestación

de los riesgos analizados y la gestión de la mitigación de riesgos
establecida, identificando aquellos eventos de riesgo que requieren
atención más urgente.
 Seguridad: Resistencia a actos intencionales, sin autorización, destinados

a causar perjuicio o daño a, o mediante, la cadena de suministro.
2.1 Identificación del Riesgo:
- Descripción de la Situación: Descripción clara de la situación identificada.

- Causas: Motivos o razones por las cuales se puede originar el riesgo.
2.2 Análisis del riesgo
- Calificación de la probabilidad: Valoración cuantitativa de la posibilidad

de materialización u ocurrencia del riesgo y se determina utilizando la
siguiente tabla para su calificación:
Nivel Valor Descripción
No existe posibilidad o hay una posibilidad muy remota de que

Bajo 1
suceda
Existe una posibilidad certera de que suceda, es

Medio 5
considerablemente cierta que suceda.
Alto 10 Es muy posible que suceda en cualquier momento.

- Calificación de la consecuencia: Son las consecuencias para la
organización, teniendo en cuenta su relevancia si ocurriera el evento de
riesgo. Se debe utilizar la siguiente calificación para el impacto:
Nivel Valor Descripción
No se afecta el desarrollo de las operaciones, no se afectan vidas

Bajo 1 humanas, hay afectación económica no significativa, no existe
afectación a la reputación del negocio.
Atraso de operaciones, no se afectan vidas humanas, afectación

Medio 5 económica mínima, afectación a la reputación con incidencia local
y situaciones que se puedan manejar por la dirección del negocio.
Continuidad del negocio (interrupción temporal de las

actividades), evento aislado con pérdida de vida, afectación
Alto 10
económica severa, afectación a la reputación con incidencia
nacional.
- Nivel de Riesgo: Se determina de acuerdo a la probabilidad y la

consecuencia establecida anteriormente, y de acuerdo a la siguiente tabla
se establece el nivel de riesgo.
CONSECUENCIA
Bajo Medio Alto
1 5 10
PROBABILIDAD
10 10 50 100
Medio Alto
5 5 25 50
Bajo
1 1 5 10
- Controles existentes: Se refiere a aquellos controles con lo que la

organización cuenta para mitigar el riesgo.
2.3 Evaluación y Gestión del Riesgo.
- Mitigación del riesgo: El nivel de mitigación se determina de acuerdo a los

siguientes aspectos:
Nivel Descripción
Hay poca conciencia del riesgo asociado con este evento de riesgo, existen
algunos planes de mitigación escritos, pero no se han implementado ni
Bajo
probado, no se han definido un responsable de gestionar y hacer
seguimiento a los riesgos.
Hay alguna conciencia del riesgo asociado, existen controles de mitigación

documentados, pero no se han implementado, existe un responsable de
Medio
gestionarlos riesgos, pero esa persona no tiene la experiencia para hacerlo
efectivamente.
Hay un alto nivel de conciencia y conocimiento del riesgo, existen controles

Alto definidos integrados a los procesos y procedimientos de la organización,
hay un responsable de gestionar el riesgo con la experiencia suficiente.
- Calificación de la probabilidad: Se realiza nuevamente la valoración

cuantitativa de la posibilidad de materialización u ocurrencia del riesgo
teniendo en cuenta los controles existentes en la organización. (La
valoración se realiza de acuerdo a la tabla de calificación de la probabilidad
descrita en el punto 5.2).
- Calificación de la consecuencia: Se realiza nuevamente la valoración
cuantitativa de las consecuencias generadas a partir de la materialización
u ocurrencia del riesgo teniendo en cuenta los controles existentes en la
organización. (La valoración se realiza de acuerdo a la tabla de calificación
de consecuencias descrita en el punto 5.2).
- Riesgo Residual: Este riesgo se obtiene al realizar la calificación de
probabilidad de ocurrencia del riesgo y calificación de las consecuencias de
su materialización, posterior a los controles existentes y las labores de
mitigación realizadas. Permite la identificación de aquellos eventos de
riesgo que requieren atención prioritaria por parte de la organización.
CONSECUENCIA
(con controles existentes)
Bajo Medio Alto
1 5 10
PROBABI
controles
existente
LIDAD
10 50 100
(con
Alto
10
s)
Moderado Critico Critico

5 25 50
Medio
5
Leve Moderado Critico
Bajo 1 5 10
1
Leve Leve Moderado
Nivel Descripción
Este nivel de riesgo residual permite a la organización asumirlo, es decir, el

riesgo se encuentra en un nivel que puede aceptarlo, aunque se debe realizar
Leve
un análisis del costo beneficio con el que se pueda decidir si se puede reducir
más el riesgo, se sigue asumiendo o se puede compartir.
Se deben tomar medidas para reducir, evitar, compartir o transferir el riesgo, a

Moderado su vez diseñar planes de emergencia y contingencia, para protegerse en caso
de su ocurrencia.
Es aconsejable eliminar la actividad que genera el riesgo en la medida que sea

posible, de lo contrario se deben implementar controles de prevención para
evitar la probabilidad del riesgo, de protección para disminuir el Impacto o
Crítico
compartir o transferir el riesgo si es posible a través de pólizas de seguros u
otras opciones que estén disponibles, contar con planes de emergencia y
contingencia, para protegerse en caso de su ocurrencia.
2.4 Tratamiento del riesgo
- Acciones Realizadas: Acciones encaminadas a dar tratamiento al riesgo

residual, con el propósito de brindar la gestión adecuada y minimizar su
materialización; dichas acciones son registradas por medio de Acciones
Correctivas, Preventivas y de Mejoras.
- Programa de seguridad asociado: Se nombra el Programa de gestión en

seguridad que contempla actividades, responsables y plazos por el cual se
mitiga el riesgo asociado, logrando así los objetivos planteados por la
organización.
- Plan de emergencia: Se relaciona el documento que contenga el plan de

emergencia en seguridad definido para atender los riesgos en seguridad en
caso de presentarse su materialización.
Procesos P09
Objetivos de control proceso P09.1 P09.2 P09.4 P09.7
Responsable: Anderson Fabián Rincón
Procesos DS4 Garantizar la continuidad del servicio

Objetivos de control proceso DS4.2, DS4.3, DS4.7, DS4.9
Responsable: Víctor Alfonso Orozco
MATRIZ DE RIESGOS DEL PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL
SERIVICIO
FORMATO DE HALLAZGOS DE RIESGOS
ORGANIZACIÓN PROSEGUR S. A FECHA
AUDITOR
DOMINIO ENTREGAR Y DAR PROCESO DS4 Garantizar la
SOPORTE (DS) Continuidad del
Servicio
ACTIVO HALLAZGOS DE CONTROLES TIEMPO
VULNERABILIDADES INICIAL FINAL
No existe estrategia CONTROL 1/05/2019 1/11/2019
de continuidad es un CORRECTIVO
mecanismo que
permite la Trabajo a
recuperación y distancia 
continuidad de las Acuerdo con
funciones críticas de Terceros
la organización frente  Respaldo entre
a un desastre o una sedes
interrupción mayor..  Centro de
Trabajo Alterno
No Relaciona los CONTROL 1/05/2019 1/08/2019
controles, los PREVENTIVO
procedimientos y las
buenas prácticas que Relaciona los
permiten mitigar el hábitos y las
riesgo de que buenas prácticas
SCO: Sistema de continuidad operativo
personal no que permiten

autorizado ingrese a administrar,
las instalaciones y asegurar,
pueda generar daños disponer y
a los activos de la controlar los
organización cambio sistemas
de empleo no existen tecnológicos, de
procedimientos de tal forma que
eliminación de estén alineados
accesos y registros con los
estándares
internacionales y
regulaciones
nacionales en
temas de
seguridad de la
información
No existe determinado CONTROL 1/05/2019 1/07/2019
procedimientos de PREVENTIVO
seguridad,
responsabilidades del las políticas de
personal, cultura y seguridad de la
capacitación para información
responder a definidas por la
incidentes en el compañía y las
edificio buenas prácticas
del personal que
aseguren, en el
evento de una
interrupción del
negocio, la
disponibilidad,
confidencialidad,
seguridad e
integridad de la
información
No está específico CONTROL 1/05/2019 1/07/2019

capacitación del PREVENTIVO
personal, los equipos
de extinción y los Formalización y
sistemas de control documentación del
procedimiento y
que permitan
tratamiento de
responder rápida y incidente de
eficientemente a un seguridad en las
incendio en la políticas de
empresa y/o el centro seguridad bajo
de cómputo formatos
establecidos para
el registro de
dichos incidentes y
el escalamiento al
personal
capacitado para
ello.
No existen los CONTROL 1/05/2019 1/08/2019
controles y los PREVENTIVO
procedimientos que
permitan asegurar el Implementar
suministro de energía tecnología para
eléctrica en minimizar los
organización y riesgos en falla
equipos críticos eléctrica que
permita su
normal
funcionamiento
No Preexiste un CONTROL 1/05/2019 1/07/2019
procedimiento de CORRECTIVO
seguridad de TI donde
se conocen las Emplear equipos
políticas e que admitan
instrucciones de monitorear y
seguridad para todos administrar los
los usuarios de la dispositivos.
organización y
terceros.
NIVEL DE MADUREZ NORMA COBIT PROCESO DS5 GARANTIZAR LA

SEGURIDAD DE LOS SISTEMAS
0 No 1 inicial / Ad 2 Repetible 3 Definido 4 Administrado 5
Existente Hoc pero y Medible Optimizado
Intuitivo
MODELO DE MADUREZ
La administración del proceso de Garantizar la continuidad del servicio que
satisfaga el requerimiento de TI del negocio para asegurar el mínimo impacto al
0
negocio en caso de interrupción de un servicio de TI
Cuando la organización reconoce la necesidad de indicadores y mediciones

pertinentes para la gestión de la operación.
1
Falta de controle soportados para la medición de indicadores y mediciones de los
procesos operativos y de infraestructura de la organización.
Cuando las responsabilidades y los ANS de servicio se ven afectados y la
coordinación de servicio al cliente como coordinador de mesa de ayuda TI, pero
la autoridad y las herramientas autorizadas por la autoridad gerencial y comité
2
directivo es limitado.
Los procedimientos e instructivos se han creado, pero no se cuenta con un flujo
completo o no está actualizado en su totalidad.
Cuando existe conciencia sobre la correcta documentación y soporte de las
acciones a ejecutar en el proceso de administración de la operación y estas
3 buenas prácticas son promovidas por la alta gerencia y el comité directivo.
Existe un plan de operaciones y de infraestructura motivadas por un análisis de
riesgo.
Cuando las responsabilidades sobre la gestión de la operación y sus insumos de
infraestructura son asignados y administrados pueden ser implementadas de
4 forma clara.
Los procesos administración de operaciones de TI, están coordinados con la
función de ANS y servicio de toda la organización.
Cuando la administración es posee la responsabilidad conjunta del negocio y de
la gerencia de TI y está integrada con los objetivos de seguridad, cumplimiento
del servicio. Del negocio en la corporación.
5
Se recogen e implementan de forma oportuna controles adecuados para mitigar
riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e
identificación proactiva de riesgos para la mejora continua de procesos.
Procesos DS5
Objetivos de control proceso DS5.2, DS5.3, DS5.4, DS.6, DS5.9, DS5.10.
Responsable: Yair Alejandro Sosa
DESCRIPCIÓN
DE LA
CAUSAS
SITUACIÓN
MATERIAL TIPO DE ¿Por qué y CALIFICACION CALIFICACION
PROCESO NUMERO FUENTE ¿Qué puede
SOPORTE CONTEXTO cómo puede PROBABILIDAD CONSECUENCIA
suceder, R
suceder?
dónde y
cuándo?
No existe o no
está definido un
plan de seguridad
Pérdida o de TI donde se
alteración de conocen las
DS5
información. políticas y
Garantizar la
Pérdida de la procedimientos
Seguridad de
productividad. de seguridad para
los Sistemas 2 COBIT Interno Información 10 10
Perdida de todos los usuarios
DS5.2 Plan de
Ventaja de la organización
Seguridad de
competitiva. y terceros y las
TI
Repercusión responsabilidades
Económica. de la seguridad de
la información y
no están definidas
claramente.
No está definido o
establecido un
proceso o
mecanismos de
administración de
Suplantación identidad de
de identidad. cuentas de
DS5
Pérdida o usuarios internos,
Garantizar la
alteración de externo y
Seguridad de
información. temporales para
los Sistemas 3 COBIT Interno Disponibilidad 10 10
Pérdida de la el acceso a al
DS5.3
productividad. sistema SCO y en
Administración
Pérdida de caso de
de Identidad
ventaja terminación o
competitiva. cambio de empleo
no existen
procedimientos
de eliminación de
accesos y
registros
No está definido o
Suplantación
existe un proceso
de identidad.
o mecanismo que
Daño a la
garantice la
infraestructura
DS5 emisión,
tecnológica.
Garantizar la suspensión,
Pérdida o
Seguridad de modificación y
alteración de
los Sistema Disponibilidad cierre de cuentas
4 COBIT Interno información. 10 10
DS5.4 de Servicio de usuario
Pérdida de la
Administración escalando los
productividad.
de Cuentas privilegios al
Pérdida de
del Usuario sistema SCO y no
ventaja
existe un método
competitiva.
de autenticación
Denegación de
segura para los
Servicios.
accesos remotos.
Daño a la
No está definido o
infraestructura
DS5 existe un proceso
tecnológica.
Garantizar la o mecanismo que
Pérdida o
Seguridad de indique, divulgue
alteración de
los Sistema Disponibilidad o comunique
6 COBIT Interno información 10 10
DS5.6 de Servicio cualquier
Pérdida de la
Definición de incidente de
productividad.
Incidente de seguridad y qué
Pérdida de
Seguridad hacer cuando se
ventaja
presentan.
competitiva.
No está definido o
existe un proceso
o mecanismo
Daño a la para la detección,
DS5
infraestructura corrección y
Garantizar la
tecnológica. prevención de
Seguridad de
Pérdida o software
los Sistema
alteración de malicioso que
DS5.9
9 COBIT Interno Capacitación información proteja el sistema 10 10
Prevención,
Pérdida de la SCO y no se
Detección y
productividad. cuenta con la
Corrección de
Pérdida de información sobre
Software
ventaja las
Malicioso
competitiva. vulnerabilidades
de los sistemas
de información en
uso
No Existe o no
Pérdida o
está definido un
alteración de
DS5 plan de seguridad
información.
Garantizar la de TI donde se
Pérdida de la
Seguridad de conocen las
Disponibilidad productividad.
los Sistemas 10 COBIT Interno políticas y 10 10
de Servicio Perdida de
DS5.10 procedimientos
Ventaja
Seguridad de de seguridad para
competitiva.
la Red todos los usuarios
Repercusión
de la organización
Económica.
y terceros.
ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 No existe o no está definido un plan de Controlarlo
seguridad de TI
R2 No está definido o establecido un proceso o Controlarlo
mecanismos de administración de identidad
de cuentas de usuarios para el sistema SOC
R3 No está definido o existe un proceso o Controlarlo
mecanismo que garantice la emisión,
suspensión, modificación y cierre de cuentas
de usuario usuarios para el sistema SOC
mecanismo para la detección, corrección y
prevención de software malicioso que proteja
al sistema SOC
mecanismo que indique, divulgue o
comunique cualquier incidente de seguridad
R6 No Existe o no está definido un plan de Controlarlo
seguridad de TI donde se conocen las políticas
y procedimientos de seguridad para todos los
usuarios de la organización y terceros.

AUDITOR YAIR ALEJANDRO SOSA BARRETO
DOMINIO PROCESO
ENTREGAR Y DAR SOPORTE DS5 Garantizar la Seguridad de los Sistemas
(DS)
ACTIV HALLAZGOS VALORACION CONSECEUNCIAS CONTROLES TIEMPO
O DE DEL INICIAL FINAL
RIESGOS RIESGO
(R1) No existe o no Probabilidad Pérdida o alteración CONTROL 1/05/19 1/11/19
está definido un de de información. CORRECTIVO
plan de seguridad ocurrencia: Pérdida de la
de TI donde se 58% productividad. Aprobar, publicar y
conocen las Impacto Perdida de Ventaja comunicar a todos los
políticas y según competitiva. empleados y
procedimientos de relevancia Repercusión entidades externas un
seguridad para del proceso: Económica. documento de política
todos los usuarios Catastrófico de seguridad.
de la organización
y terceros y las
responsabilidades
de la seguridad de
la información no
están definidas
claramente.
(R2) No está Probabilidad Suplantación de CONTROL 1/05/19 1/08/19
definido o de identidad. PREVENTIVO
establecido un ocurrencia: Pérdida o alteración
proceso o 57% de información. Implementar cifrados
mecanismos de Impacto Pérdida de la en las contraseñas y
administración de según productividad. usuarios, para
identidad de relevancia Pérdida de ventaja restringir accesos no
cuentas de del proceso: competitiva. permitidos y
usuarios internos, Catastrófico vencimiento de
externo y usuarios con sus
SCO: Sistema de continuidad operativo
temporales para el respectivas

acceso a al contraseñas.
sistema SCO y en
caso de
terminación o
cambio de empleo
no existen
procedimientos de
eliminación de
accesos y
registros
(R3) No está Probabilidad Suplantación de CONTROL 1/05/19 1/07/19
definido o existe de identidad. PREVENTIVO
un proceso o ocurrencia: Daño a la
mecanismo que 56% infraestructura Generación de
garantice la tecnológica. usuarios y
emisión, Impacto Pérdida o alteración contraseñas para
suspensión, según de información. validación que
modificación y relevancia Pérdida de la permitan acceso
cierre de cuentas del proceso: productividad. limitado por perfiles y
de usuario Catastrófico Pérdida de ventaja tener una gestión y
escalando los competitiva. administración de
privilegios al Denegación de usuarios y
sistema SCO y no Servicios. contraseñas seguras,
existe un método según los perfiles de
de autenticación privilegios.
segura para los
accesos remotos.
(R4) No está Probabilidad Daño a la CONTROL 1/05/19 1/07/19
definido o existe de infraestructura PREVENTIVO
un proceso o ocurrencia: tecnológica.
mecanismo que 54% Pérdida o alteración Formalización y
indique, divulgue o Impacto de información documentación del
comunique según Pérdida de la procedimiento y
cualquier incidente relevancia productividad. tratamiento de
de seguridad y qué del proceso: Pérdida de ventaja incidente de
hacer cuando se Catastrófico competitiva. seguridad en las
presentan. políticas de seguridad
bajo formatos
establecidos para el
registro de dichos
incidentes y el
escalamiento al
personal capacitado
para ello.
(R5) No está Probabilidad Daño a la CONTROL 1/05/19 1/08/19
definido o existe de infraestructura PREVENTIVO
un proceso o ocurrencia: tecnológica.
mecanismo para la 61% Pérdida o alteración Formalización y
detección, Impacto de información documentación del
corrección y según Pérdida de la procedimiento y
prevención de relevancia productividad. tratamiento de un
software malicioso del proceso: Pérdida de ventaja Antivirus licenciado,
que proteja el Catastrófico competitiva. que brinde la
sistema SCO y no seguridad de
se cuenta con la actualizaciones
información sobre periódicas y garantice
las la protección
vulnerabilidades adecuada de los
de los sistemas de incidentes de software
información en uso malicioso en las
políticas de
seguridad.
(R6) No Existe o Probabilidad Pérdida o alteración CONTROL 1/05/19 1/07/19
no está definido un de de información. CORRECTIVO
plan de seguridad ocurrencia: Pérdida de la
de TI donde se 58% productividad. Aplicar herramientas
conocen las Impacto Perdida de Ventaja que permitan
políticas y según competitiva. monitorear y
procedimientos de relevancia Repercusión administrar los
seguridad para del proceso: Económica. dispositivos de red y
todos los usuarios Catastrófico usar protocolos como
de la organización seguros SSH para la
y terceros. administración de los
dispositivos de
comunicaciones
NIVEL DE MADUREZ NORMA COBIT PROCESO DS5 GARANTIZAR LA
SEGURIDAD DE LOS SISTEMAS
Intuitivo
MODELO DE MADUREZ
0 Cuando la organización no reconoce la necesidad de la seguridad para TI.
Las responsabilidades y la rendición de cuentas no están asignadas para
garantizar la seguridad.
1 Cuando la organización reconoce la necesidad de seguridad para TI.
Brechas de seguridad de TI ocasionan respuestas con acusaciones
personales, debido a que las responsabilidades no son claras.
2 Cuando las responsabilidades y la rendición de cuentas sobre la seguridad
están asignadas a un coordinador de seguridad de TI, pero la autoridad
gerencial del Coordinador es limitada.
Las políticas de seguridad se han estado desarrollando, pero las
herramientas y las habilidades son inadecuadas.
3 Cuando existe conciencia sobre la seguridad y ésta es promovida por la
gerencia.
Existe un plan de seguridad de TI y existen soluciones de seguridad
motivadas por un análisis de riesgo.
4 Cuando las responsabilidades sobre la seguridad de TI son asignadas,
administradas e implementadas de forma clara.
Los procesos de seguridad de TI están coordinados con la función de
seguridad de toda la organización.
5 Cuando la seguridad en TI es una responsabilidad conjunta del negocio y
de la gerencia de TI y está integrada con los objetivos de seguridad del
negocio en la corporación.
Se recolectan e implementan de forma oportuna controles adecuados para
mitigar riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-
efecto e identificación pro-activa de riesgos para la mejora continua de
procesos.
TABLA DE CONVENCIÓN DE COLORES

Estado actual de la organización Prosegur S.A
Estado actual del promedio de organizaciones con el Core de Prosegur
S.A
Objetivo logro de la organización Prosegur S.A
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: DS5 Garantizar la Seguridad de los Sistemas que soportan el
Core de la organización Prosegur.
Objetivo de la Auditoria:
Medir y evaluar los criterios para realizar la auditoria en Prosegur Colombia a la
infraestructura tecnología donde se soporta el SCO: Sus siglas significan “Sistema
de control operativo” y es el sistema que soporta el Core del negocio, con el objetivo
de evaluar su cumplimiento, seguridad lógica y desempeño de sus procesos,
Dictamen:
Se califica un nivel de madurez inicial, por cuanto la organización reconoce la
necesidad de seguridad para TI, donde se aprecia por los resultados la seguridad
se lleva de forma reactiva y no se lleva un control de seguridad provocando
acusaciones personales ya que las responsabilidades no son claras y las
respuestas de seguridad de TI son impredecibles.
Hallazgos que soportan el Dictamen:
Según os resultado arrojados por la lista de cheque para el dominio DS5 garantizar
la seguridad de los sistemas se evidencia que:
No existen planes o programas de seguridad de TI que garanticen la organización,
administración, modificación, suspensión y cierre de cuentas e identidad de los
usuarios internos y externos del sistema SOC.
No está definido o existe un proceso o mecanismo que indique, divulgue o
comunique cualquier incidente de seguridad y qué hacer cuando se presentan y no
se cuenta con un procedimiento para la contingencia y solución en una posible
infección de virus informático.
No está definido o existen técnicas o procedimientos de administración para
proteger el flujo de información a través de la red
Recomendaciones:
Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización,
de manera que las acciones de administración de la seguridad estén en línea con
los requerimientos del negocio, aprobando, publicando y comunicando a todos los
empleados y entidades externas un documento de política de seguridad.
Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan
de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la
cultura de seguridad, aprobando, publicando y comunicando a todos los empleados
y entidades externas un documento de política de seguridad.
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas,
desarrollo y mantenimiento) deben ser identificables de manera única, Generando
usuarios y contraseñas para validación que permitan acceso limitado por perfiles y
tener una gestión y administración de usuarios y contraseñas seguras, según los
perfiles de privilegios.
Formalización y documentación del procedimiento y tratamiento de incidente de
seguridad en las políticas de seguridad bajo formatos establecidos para el registro
de dichos incidentes y el escalamiento al personal capacitado para ello.
Poner medidas preventivas, detectivas y correctivas (en especial contar con parches
de seguridad y control de virus actualizados) en toda la organización para proteger
los sistemas de la información y a la tecnología contra malware con la formalización
y documentación del procedimiento y tratamiento de un Antivirus licenciado, que
brinde la seguridad de actualizaciones periódicas y garantice la protección
adecuada de los incidentes de software malicioso en las políticas de seguridad.
Uso de técnicas de seguridad y procedimientos de administración asociados (por
ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección
de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia
las redes por medio de la aplicación de herramientas que permitan monitorear y
administrar los dispositivos de red y usar protocolos como seguros SSH para la
administración de los dispositivos de comunicaciones.
Procesos DS8
Objetivos de control proceso DS8.1, DS8.2
Responsable: Raúl Andrés Jiménez
MATRIZ DE RIESGOS DEL PROCESO DS8 ADMINISTRAR LA MESA DE

SERVICIOS Y LOS INCIDENTES

AUDITOR RAUL ANDRES JIMENEZ
DOMINIO ENTREGAR Y DAR PROCESO DS8 Administrar la
SOPORTE (DS) mesa de servicios y
los incidentes
ACTIVO HALLAZGOS DE CONTROLES TIEMPO
VULNERABILIDADES INICIAL FINAL
No se cuenta con un CONTROL 1/05/2019 1/11/2019
plan B para la mesa de CORRECTIVO
ayuda, la única opción
es la de la atención Aprobar, publicar
directa de las y comunicar a
novedades por parte todos los
del área de desarrollo empleados y
entidades
internas una
aplicación
“sombra”, que
sirva como
backup de la
aplicación de
Mesa de
servicios.
Puede ocurrir que los CONTROL 1/05/2019 1/08/2019
cambios solicitados en CORRECTIVO
la aplicación SCO
solicitados a la mesa Refinamiento de
de cambio no son la aplicación
efectuados de manera WEB que
acorde o se presente administra los
indisponibilidad por la tickets con
falta de gestión del novedades de la
mismo aplicación SCO
Puede ocurrir que en CONTROL 1/05/2019 1/07/2019
los cambios PREVENTIVO
generados y/o en la
resolución de las Cumplimiento de
SCO: Sistema de control operativo
novedades los horarios de

presentadas en SCO, capacitación por
no se realice una parte de las
capacitación clara de partes
la solución planteada involucradas.
y de la instalación de
los nuevos paquetes Entrega de la
"DLL" de la documentación
aplicación. detallada del
requerimiento
instalado con
ampliaciones si
el usuario las
necesitara en
algún aspecto
en el que él lo
estime
conveniente
NIVEL DE MADUREZ NORMA COBIT PROCESO DS8 ADMINISTRAR LA

MESA DE SERVICIOS Y LOS INCIDENTES
Intuitivo
MODELO DE MADUREZ
0 No hay soporte para resolver problemas y preguntas de los usuarios. Hay una
completa falta de procesos para la administración de incidentes. La organización
no reconoce que hay un problema que atender
1 La gerencia reconoce que requiere un proceso soportado por herramientas y
personal para responder a las consultas de los usuarios y administrar la resolución
de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se
brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios,
los incidentes o las tendencias. No existe un proceso de escalamiento para
garantizar que los problemas se resuelvan
2 Hay conciencia organizacional de la necesidad de una función de mesa de
servicio y de un proceso de administración de incidentes.
Existe ayuda disponible de manera informal a través de una red de individuos
expertos. Estos individuos tienen a su disposición algunas herramientas comunes
para ayudar en la resolución de incidentes. No hay entrenamiento formal y la
comunicación obre procedimientos estándar y la responsabilidad es delegada al
individuo
3 Se reconoce y se acepta la necesidad de contar con una función de mesa de
servicio y un proceso para la administración de incidentes.
Los procedimientos se estandarizan y documentan, pero se lleva acabo
entrenamiento informal. Se deja la responsabilidad al individuo de conseguir
entrenamiento y de seguir los estándares. Se desarrollan guías de usuario y
preguntas frecuentes (FAQs), pero los individuos deben encontrarlas y puede ser
que no las sigan. Las consultas y los incidentes se rastrean de forma manual y se
monitorean de forma individual, pero no existe un sistema formal de reporte. No
se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden
quedar sin resolución. Los usuarios han recibido indicaciones claras de dónde y
cómo reportar problemas e incidentes
4 En todos los niveles de la organización hay un total entendimiento de los
beneficios de un proceso de administración de incidentes y la función de mesa de
servicio se ha establecido en las unidades organizacionales apropiadas. Las
herramientas y técnicas están automatizadas con una base de conocimientos
centralizada. El personal de la mesa de servicio interactúa muy de cerca con el
personal de administración de problemas. Las responsabilidades son claras y se
monitorea su efectividad. Los procedimientos para comunicar, escalar y resolver
incidentes han sido establecidos y comunicados. El personal de la mesa de
servicio está capacitado y los procesos se mejoran a través del uso de software
para tareas específicas. La gerencia ha desarrollado los KPIs y KGIs para el
desempeño de la mesa de servicio.
5 El proceso de administración de incidentes y la función de mesa de servicio están

bien organizados y establecidos y se llevan a cabo con un enfoque de servicio al
cliente ya que son expertos, enfocados al cliente y útiles. Los KPIs y KGIs son
medidos y reportados sistemáticamente. Una amplia y extensa cantidad de
preguntas frecuentes son parte integral de la base de conocimientos. Existen a
disposición del usuario, herramientas para llevar a cabo autodiagnósticos y para
resolver incidentes. La asesoría es consistente y los incidentes se resuelven de
forma rápida dentro de un proceso estructurado de escalamiento. La gerencia
utiliza una herramienta integrada para obtener estadísticas de desempeño del
proceso de administración de incidentes y de la función de mesa de servicio. Los
procesos han sido afinados al nivel de las mejores prácticas de la industria, con
base en los resultados del análisis de los KPIs y KGIs, de la mejora continua y de
benchmarking con otras organizaciones.

Estado actual del promedio de organizaciones con el Core de Prosegur S.A
PROCESO COBIT: DS08 Administrar la mesa de servicios y los incidentes que

soportan el Core de la organización Prosegur S.A.
administración de la mesa de servicios que soporta el SCO: Sus siglas significan
“Sistema de control operativo” y es el sistema que soporta el Core del negocio, con
el objetivo de evaluar su cumplimiento, desempeño de sus procesos,
procedimientos y niveles de atención.
Dictamen:
Administración de la mesa de servicios y los incidentes, donde se aprecia por los
resultados son aceptables, pero se encuentran unos focos importantes que deben
de ser corregidos y controlados para mejorar los niveles de atención y el control
correcto de los procedimientos indicadores y resultados finales.

Según el resultado arrojado por la lista de cheque para el dominio DS08
Administración de la mesa de servicios y los incidentes, de los sistemas se evidencia
que:
 No se cuenta con un plan B para la mesa de ayuda, la única opción es la de
la atención directa de las novedades por parte del área de desarrollo Las
incidencias que se presentan dentro del flujo de la administración de
operaciones no cuentan con los procedimientos completamente
documentados.
 Puede ocurrir que los cambios solicitados en la aplicación SCO solicitados a

la mesa de cambio no son efectuados de manera acorde o se presente
indisponibilidad por la falta de gestión del mismo
 No se cuenta con una herramienta visual que les permita visualizar las
incidencias reportadas de la aplicación SCO, así como el del personal de la
compañía de Prosegur S. A
Recomendaciones:
Se recomienda de manera urgente la creación de una aplicación respaldo en un

ambiente cliente-servidor para soportar las posibles caídas que pueda tener la
aplicación estándar que administra la mesa de servicios y sus incidentes.
Adicionalmente se recomienda un cambio en los consecutivos de las solicitudes de

mesa de cambio ya que el seguimiento que allí se realiza se ha convertido
engorroso, ya que esta misma plataforma se utiliza para la gestión de las horas de
desarrollo y no se tiene claro los estados de los cambios solicitados en SCO.
Procesos DS13 Administración de Operaciones
Objetivos de control proceso DS13.1, DS13.2, DS13.3, DS13.4, DS13.5
Responsable: Maribel Garcia
MATRIZ DE RIESGOS DEL PROCESO DS13 ADMINISTRACIÓN DE

OPERACIONES
FORMATO DE HALLAZGOS DE RIESGOS DS13 ADMINISTRACIÓN DE OPERACIONES
AUDITOR Maribel Garcia Pastor
DS13
ENTREGAR Y DAR
DOMINIO PROCESO Administración de
SOPORTE (DS)
operaciones
VALORACIÓN TIEMPO
HALLAZGOS DE
ACTIVO DEL CONSECUENCIAS CONTROLES INICIAL FINAL
VULNERABILIDADES
RIESGO
Para la gestión de Probabilidad Credibilidad en el CONTROL
soportes no se de servicio, perdida de CORRECTIVO
encuentran definidos ocurrencia: clientes por falta de
todos los flujos de 70% atención eficaz y Documentar,
procesos que les Impacto eficiente capacitar y
permita operara y según generar 13/05/2019 13/10/2019
generar respuestas relevancia auditoria de la
oportunas ante dichas del proceso: ejecución de
incidencias. Credibilidad dichos flujos de
en el servicio proceso.
Las incidencias que se Probabilidad Tiempos muertos, CONTROL

presentan dentro del de ineficiencia en la CORRECTIVO
flujo de la ocurrencia: efectividad del flujo
administración de 48% de trabajo por parte Se debe de
operaciones no Impacto de los funcionarios generar la
cuentan con los según que administración actualización 13/05/2019 31/07/2019
SCO: Sistema de control operativo
procedimientos relevancia la operación del documento

completamente del proceso: y generar
documentados. Servicio política de
actualización
del mismo.
Los indicadores de CONTROL
medición, no cuentan PREVENTIVO
con una formula
definida que permita Los
identificar cuando no indicadores de
se esta logrando el medición
objetivo de los deben de
indicadores aplicar contar con un 02/05/2019 03/06/2019
acciones de mejora o objetivo y
correctivas. métrica que les
permita
fortalecer la
medición del
mismo.
No se cuenta con una Probabilidad Falta de gestión CONTROL

herramienta visual de oportuna y/o PREVENTIVO
que les permita ocurrencia: sobrecarga de los Se les
visualizar las 59% recursos recomienda
incidencias reportadas Impacto adaptar una
de la aplicación SCO, según herramienta
así como el del relevancia que permita
03/06/2019 1/12/2019
personal de la del proceso: conocer los
compañía de Servicio pendientes de
Prosegur S. A las incidencias
reportadas y
capacidad de
los recursos de
la operación.
No está definido o Probabilidad Pérdida de la CONTROL
existe un proceso o de productividad. PREVENTIVO
mecanismo para la ocurrencia: Perdida de Ventaja
detección, corrección 58% competitiva. Validación de
y prevención que les Impacto una
permita detectar según herramienta 02/05/2019 1/08/2019
posibles relevancia automática que
encolamientos de del proceso: permita
transacciones Catastrófico automatizar en
generadas en la lo posible este
plataforma SCO. proceso.
No Existe o no está Probabilidad Pérdida de CONTROL
definido un plan de recursos CORRECTIVO
codificación de los ocurrencia: operativos, falta de
equipos de cómputo, 70% control de los Se debe de
mantenimiento de los Impacto equipos de generar la
mismo que permita según cómputo y atención codificación de
contar con un relevancia oportunamente los equipos con
inventario actualizado- del proceso: depreciación de los su respectivo
Control mismos procedimiento, 02/05/2019 31/11/2019
así como el
cronograma de
mantenimiento
de los equipos
de cómputo
para la
administración
de transporte.
NIVEL DE MADUREZ NORMA COBIT PROCESO DS13 ADMINISTRACIÓN

DE LA OPERACIÓN
2 Repetible
0 No 1 inicial / Ad 4 administrado 5
pero 3 Definido
Existente Hoc y Medible optimizado
Intuitivo
MODELO DE MADUREZ
Cuando la organización no reconoce la necesidad de procedimientos e
instructivos adecuados para la administración de la operación de manera correcta.
0
Las responsabilidades y la rendición de los incidentes redundan en la prestación
del servicio
Cuando la organización reconoce la necesidad de indicadores y mediciones
pertinentes para la gestión de la operación.
1
Falta de controle soportados para la medición de indicadores y mediciones de los
procesos operativos y de infraestructura de la organización.
Cuando las responsabilidades y los ANS de servicio se ven afectados y la
coordinación de servicio al cliente como coordinador de mesa de ayuda TI, pero
la autoridad y las herramientas autorizadas por la autoridad gerencial y comité
2
directivo es limitado.
Los procedimientos e instructivos se han creado, pero no se cuenta con un flujo
completo o no está actualizado en su totalidad.
Cuando existe conciencia sobre la correcta documentación y soporte de las
acciones a ejecutar en el proceso de administración de la operación y estas
3 buenas practicas son promovidas por la alta gerencia y el comité directivo.
Existe un plan de operaciones y de infraestructura motivadas por un análisis de
riesgo.
Cuando las responsabilidades sobre la gestión de la operación y sus insumos de
infraestructura son asignadas y administradas pueden ser implementadas de
4 forma clara.
Los procesos administración de operaciones de TI, están coordinados con la
función de ANS y servicio de toda la organización.
Cuando la administración de operación es una responsabilidad conjunta del
negocio y de la gerencia de TI y está integrada con los objetivos de seguridad,
cumplimiento del servicio. del negocio en la corporación.
5
Se recolectan e implementan de forma oportuna controles adecuados para mitigar
riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e
identificación proactiva de riesgos para la mejora continua de procesos.

Estado actual del promedio de organizaciones con el Core de Prosegur S.A
PROCESO COBIT: DS13 Garantizar la Administración de la operación de los

Sistemas que soportan el Core de la organización Prosegur S.A.
administración de la operación donde se soporta el SCO: Sus siglas significan
Dictamen:
Administración de operaciones en TI, donde se aprecia por los resultados son
aceptables, pero se encuentran unos focos importantes que deben de ser
corregidos y controlados para mejorar los niveles de atención y el control correcto
de los procedimientos indicadores y resultados finales.
Según os resultado arrojados por la lista de cheque para el dominio DS13
Administración de la Operación, de los sistemas se evidencia que:
 Para la gestión de soportes no se encuentran definidos todos los flujos de
procesos que les permita operara y generar respuestas oportunas ante
dichas incidencias.
 Las incidencias que se presentan dentro del flujo de la administración de
operaciones no cuentan con los procedimientos completamente
documentados.
 Los indicadores de medición, no cuentan con una formula definida que
permita identificar cuando no se está logrando el objetivo de los indicadores
aplicar acciones de mejora o correctivas.
 No se cuenta con una herramienta visual que les permita visualizar las
incidencias reportadas de la aplicación SCO, así como el del personal de la
compañía de Prosegur S. A
 No está definido o existe un proceso o mecanismo para la detección,
corrección y prevención que les permita detectar posibles encolamientos de
transacciones generadas en la plataforma SCO.
 No Existe o no está definido un plan codificación de los equipos de cómputo,
mantenimiento de los mismo que permita contar con un inventario
actualizado.
Recomendaciones:
Administrar la Operaciones a nivel de TI, y elevar su servicio a unos niveles con

mejores respuestas, entradas y salidas en la organización hace que sea pertinente
que se realice una validación general de los procesos y procedimientos que son
aplicados en estas actividades, se recomienda que se fijen indicadores que permitan
medir los impactos que se generan en este proceso, los cuales deben de contar con
mediciones que sean estratégicas y permitan tomar decisiones de corrección,
mitigación y/o estratégicas.
Se recomienda que a nivel de administración de recursos y de visualización de

incidencias, generar una acción correctiva que permita a nivel visual y marco de
trabajo que permita generar un mayor control de la capacidad de los recursos
humanos y cantidad de incidencias que se están atendiendo.
A nivel de mantenimiento de infraestructura se recomienda una mejora que permita
automatizar procesos que permitan controlar las posibles caídas de la aplicación y
mantenimiento de los equipos de cómputo.
INFORME EJECUTIVO DE AUDITORIA
Bogotá, 9 de mayo de 2019

Señores:
Prosegur
REF: AUDITORIA DE SISTEMAS APLICADA AL SISTEMA SOC “Sistema de
control operativo” EN LA EMPRESA PROSEGUR
Cordial Saludo
Por medio del presente informe presentamos los resultados de la auditoria aplicada
al sistema SOC (Sistema de control operativo) de su organización, esta auditoria se
realizó entre febrero de 2019 hasta mayo de 2019 obteniendo los siguientes
resultados:
administración de la operación donde se soporta el SCO: Sus siglas significan
Dictamen
Después de realizar las pruebas y la verificación de procedimientos realizados sobre
el sistema de control operativo vemos que se califica un nivel de madurez inicial,
por cuanto la organización reconoce la necesidad de seguridad para TI, donde se
aprecia por los resultados la seguridad se lleva de forma reactiva y no se lleva un
control de seguridad provocando acusaciones personales ya que las
responsabilidades no son claras y las respuestas de seguridad de TI son
impredecibles, la administración de operaciones en TI, donde se aprecia por los
resultados son aceptables, pero se encuentran unos focos importantes que deben
de ser corregidos y controlados para mejorar los niveles de atención y el control
correcto de los procedimientos indicadores y resultados finales.
Hallazgos que soportan el Dictamen Respecto a la seguridad de los sistemas:
No existen planes o programas de seguridad de TI que garanticen la organización,
administración, modificación, suspensión y cierre de cuentas e identidad de los
usuarios internos y externos del sistema SOC.
No está definido o existe un proceso o mecanismo que indique, divulgue o
comunique cualquier incidente de seguridad y qué hacer cuando se presentan y no
se cuenta con un procedimiento para la contingencia y solución en una posible
infección de virus informático.
No está definido o existen técnicas o procedimientos de administración para
proteger el flujo de información a través de la red
Recomendaciones:
Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización,
de manera que las acciones de administración de la seguridad estén en línea con
los requerimientos del negocio, aprobando, publicando y comunicando a todos los
empleados y entidades externas un documento de política de seguridad.
Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan
de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la
cultura de seguridad, aprobando, publicando y comunicando a todos los empleados
y entidades externas un documento de política de seguridad.
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas,
desarrollo y mantenimiento) deben ser identificables de manera única, Generando
usuarios y contraseñas para validación que permitan acceso limitado por perfiles y
tener una gestión y administración de usuarios y contraseñas seguras, según los
perfiles de privilegios.
Formalización y documentación del procedimiento y tratamiento de incidente de
seguridad en las políticas de seguridad bajo formatos establecidos para el registro
de dichos incidentes y el escalamiento al personal capacitado para ello.
Poner medidas preventivas, detectivas y correctivas (en especial contar con parches
de seguridad y control de virus actualizados) en toda la organización para proteger
los sistemas de la información y a la tecnología contra malware con la formalización
y documentación del procedimiento y tratamiento de un Antivirus licenciado, que
brinde la seguridad de actualizaciones periódicas y garantice la protección
adecuada de los incidentes de software malicioso en las políticas de seguridad.
Uso de técnicas de seguridad y procedimientos de administración asociados (por
ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección
de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia
las redes por medio de la aplicación de herramientas que permitan monitorear y
administrar los dispositivos de red y usar protocolos como seguros SSH para la
administración de los dispositivos de comunicaciones.
Hallazgos que soportan el Dictamen Administración de la Operación, de los
sistemas:
Para la gestión de soportes no se encuentran definidos todos los flujos de procesos
que les permita operara y generar respuestas oportunas ante dichas incidencias.
Las incidencias que se presentan dentro del flujo de la administración de
operaciones no cuentan con los procedimientos completamente documentados.
Los indicadores de medición no cuentan con una formula definida que permita
identificar cuando no se está logrando el objetivo de los indicadores aplicar acciones
de mejora o correctivas.
No se cuenta con una herramienta visual que les permita visualizar las incidencias
reportadas de la aplicación SCO, así como el del personal de la compañía de
Prosegur S. A
No está definido o existe un proceso o mecanismo para la detección, corrección y
prevención que les permita detectar posibles encolamientos de transacciones
generadas en la plataforma SCO.
No Existe o no está definido un plan codificación de los equipos de cómputo,
mantenimiento de los mismo que permita contar con un inventario actualizado.
Recomendaciones:
Administrar la Operaciones a nivel de TI, y elevar su servicio a unos niveles con
mejores respuestas, entradas y salidas en la organización hace que sea pertinente
que se realice una validación general de los procesos y procedimientos que son
aplicados en estas actividades, se recomienda que se fijen indicadores que permitan
medir los impactos que se generan en este proceso, los cuales deben de contar con
mediciones que sean estratégicas y permitan tomar decisiones de corrección,
mitigación y/o estratégicas.
Se recomienda que a nivel de administración de recursos y de visualización de
incidencias, generar una acción correctiva que permita a nivel visual y marco de
trabajo que permita generar un mayor control de la capacidad de los recursos
humanos y cantidad de incidencias que se están atendiendo.
A nivel de mantenimiento de infraestructura se recomienda una mejora que permita
automatizar procesos que permitan controlar las posibles caídas de la aplicación y
mantenimiento de los equipos de cómputo.
Atentamente;
___________________ ______________________
YAIR ALEJANDRO SOSA Maribel Garcia
Auditor Auditor
CONCLUSIONES
Después de generada la respectiva auditoria para la compañía Prosegur S.A,

Colombia y con enfoque directo sobre la aplicación SCO (Sistema de control
operativo), partiendo que este es el sistema u proceso más importante
actualmente para esta compañía, dejando una matriz de valoración sobre los
riesgos detectados por cada proceso auditado bajo las buenas prácticas brindas
por el proceso COBIT, registrando las recomendaciones correspondientes por
cada riesgo y registrando el nivel de madurez correspondiente.
REFERENCIAS
http://auditordesistemas.blogspot.com/2011/11/cobit-objetivos-de-control-para-la.html
https://campus01.unad.edu.co/ecbti46/pluginfile.php/6918/mod_forum/attachment/
235683/ejemplo%20colaborativo%203%20formato%20de%20hallazgos%20y%20
definici%C3%B3n%20de%20controles%202019.docx

Unidad - 1 - Fase - 4 - Grupo - 90168 - 4

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Unidad - 1 - Fase - 4 - Grupo - 90168 - 4

Hochgeladen von

Copyright:

Verfügbare Formate

Unidad 1 Fase 4 – Resultados de la auditoria

Universidad Nacional Abierta y a Distancia UNAD

En el desarrollo de este trabajo colaborativo se realizará el plan de auditoria basado

Diseñar los formatos de hallazgos, controles de los riesgos y dictamen de la

 Diseñar y aplicar formatos que permitan relacionar los hallazgos encontrados

 Elaborar un dictamen de la auditoria que permita a la compañía PROSEGUR,

ANÁLISIS DE RIESGOS GENERADO PARA LA AUDITORIA DE PROSEGUR S.

Definir las actividades requeridas para la administración del riesgo,

 Amenaza: Cualquier posible acción o serie de acciones intencionales con

 Consecuencia: Es lo que acontece con necesidad lógica como derivación

 Gestión de la seguridad: Actividades y prácticas sistemáticas y

 Impacto: Hace referencia a las consecuencias para la organización, o la

 Parte Involucrada: Persona o entidad con un interés establecido en el

 Probabilidad: Cuantificación de materialización del riesgo

 Riesgo: Probabilidad que se produzca un daño determinado por causa de

 Riesgo residual: Resulta de la relación entre el grado de manifestación

 Seguridad: Resistencia a actos intencionales, sin autorización, destinados

2.1 Identificación del Riesgo:

- Descripción de la Situación: Descripción clara de la situación identificada.

2.2 Análisis del riesgo

- Calificación de la probabilidad: Valoración cuantitativa de la posibilidad

Nivel Valor Descripción

No existe posibilidad o hay una posibilidad muy remota de que

Existe una posibilidad certera de que suceda, es

Alto 10 Es muy posible que suceda en cualquier momento.

No se afecta el desarrollo de las operaciones, no se afectan vidas

Atraso de operaciones, no se afectan vidas humanas, afectación

Continuidad del negocio (interrupción temporal de las

- Nivel de Riesgo: Se determina de acuerdo a la probabilidad y la

- Controles existentes: Se refiere a aquellos controles con lo que la

- Mitigación del riesgo: El nivel de mitigación se determina de acuerdo a los

Hay alguna conciencia del riesgo asociado, existen controles de mitigación

Hay un alto nivel de conciencia y conocimiento del riesgo, existen controles

- Calificación de la probabilidad: Se realiza nuevamente la valoración

Moderado Critico Critico

Este nivel de riesgo residual permite a la organización asumirlo, es decir, el

Se deben tomar medidas para reducir, evitar, compartir o transferir el riesgo, a

Es aconsejable eliminar la actividad que genera el riesgo en la medida que sea

2.4 Tratamiento del riesgo

- Acciones Realizadas: Acciones encaminadas a dar tratamiento al riesgo

- Programa de seguridad asociado: Se nombra el Programa de gestión en

- Plan de emergencia: Se relaciona el documento que contenga el plan de

Procesos DS4 Garantizar la continuidad del servicio

personal no que permiten

No está específico CONTROL 1/05/2019 1/07/2019

NIVEL DE MADUREZ NORMA COBIT PROCESO DS5 GARANTIZAR LA

Cuando la organización reconoce la necesidad de indicadores y mediciones

ID. Descripción Riesgo Tratamiento Riesgo

FORMATO DE HALLAZGOS DE RIESGOS

temporales para el respectivas

TABLA DE CONVENCIÓN DE COLORES

MATRIZ DE RIESGOS DEL PROCESO DS8 ADMINISTRAR LA MESA DE

FORMATO DE HALLAZGOS DE RIESGOS

novedades los horarios de

NIVEL DE MADUREZ NORMA COBIT PROCESO DS8 ADMINISTRAR LA

5 El proceso de administración de incidentes y la función de mesa de servicio están

TABLA DE CONVENCIÓN DE COLORES

PROCESO COBIT: DS08 Administrar la mesa de servicios y los incidentes que

Hallazgos que soportan el Dictamen:

 Puede ocurrir que los cambios solicitados en la aplicación SCO solicitados a

Se recomienda de manera urgente la creación de una aplicación respaldo en un

Adicionalmente se recomienda un cambio en los consecutivos de las solicitudes de

MATRIZ DE RIESGOS DEL PROCESO DS13 ADMINISTRACIÓN DE