Beruflich Dokumente
Kultur Dokumente
AUDITORIA DE SISTEMAS
Fase Intermedia
Estudiante:
Héctor Gustavo Romero
Código: 72347952
Daniel Darío Pertuz
Código: 1045709011
Frank Cardona
Código: 75108434
Giovanny Adrián Orozco
Código:
José Ribon Zarco
Código: 72249308
Grupo:
90168_1
Tutor
Yolima Esther Mercado Palencia
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3
PAGINA
ENTIDAD AUDITADA COMPUSOFT Telecomunicaciones
1 DE 1
PROCESO AUDITADO Contratación TI
RESPONSABLE Daniel Pertuz, Frank Cardona, Giovanny Orozco y Héctor Romero
MATERIAL DE SOPORTE COBIT
DOMINIO P09: Evaluar y Administrar los Riesgos de TI
PROCESO Identificación de eventos
AUDITOR RESPONSABLE:
Daniel Pertuz
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
FORMATO ENTREVISTA
ENTREVISTADO
CARGO
________________________________________________________________________
______________________________________
7. ¿Se tienen medidas ante actividades no acordes a las medidas de seguridad informática
de la empresa?
_______________________________________________________________
8. ¿Cuáles son los instructivos de prevención de daños de hardware en la empresa?
________________________________________________________________________
______________________________________________________
9. ¿Existe capacitación a los trabajadores sobre la importancia del hardware y software de la
empresa?
_______________________________________________________________
FORMATO CUESTIONARIO
Pregunta Si No OBSERVACIONES
¿Se lleva un control programado en mantenimiento de
equipos?
Si existe, ¿el control contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características (memoria, procesador, monitor, disco duro)
Hoja de mantenimiento realizado
¿La hoja de mantenimiento realizado contiene?
Numero de mantenimiento
Número del computador
Falla reportada
Diagnóstico
Solución
¿Cuenta con planta de energía alterna?
¿Existe registro de uso de planta de energía alterna?
¿El registro contiene los siguientes datos?
Fecha
Hora
Número de registro
Causa
Encargado
¿Se cuenta con servicio de mantenimiento para todos los
equipos?
¿Qué tipo de mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Se tienen establecidos los permisos de acceso según
usuario en los computadores?
¿Se realiza la revisión de equipos antes y después de las
operaciones de la empresa?
¿El personal que se encarga del mantenimiento está
capacitado?
¿Se lleva un procedimiento para la adquisición de nuevos
equipos?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
OBJETIVO: Establecer un marco de trabajo de administración de riesgos de TI que este alineado al marco de trabajo de
VULNERABILIDADES:
AMENAZA:
1. Destrucción de la información.
RIESGOS:
IMPACTO
ANALISIS DE RIESGOS
R2 Robos o hurtos de X X
información
R3 Acceso no autorizado a las X X
bases de datos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
R4 Captura de emisiones X X
electromagnéticas
R5 Interceptaciones a las líneas X X
de datos
R6 Perdida de integridad de los X X
datos.
R2
Alto
61-100%
Medio R1 R3,R5 R6
PROBABILIDAD
31-60%
Bajo R4
0-30%
Leve Moderado Catastrófico
IMPACTO
Programa De Auditoria
Objetivo de control: Establecer un marco de trabajo de administración de riesgos de TI que este alineado al marco de
COMPUSOF
Cuestionario de Control: C1
Dominio Planear y Organizar
Proceso PO9.1 Marco de trabajo de Administración de Riesgos
Pregunta Si No OBSERVACIONES
¿Tiene herramientas para la administración de seguridad TI? 4
¿Posee algún tipo de metodología de uso para la herramienta de 3
administración de seguridad?
¿Tiene implementada alguna política de administración de 4
seguridad TI?
¿Dispone de mecanismos para evaluar periódicamente la buena 3
administración de seguridad?
¿Cuenta con protocolos de emergencia en caso que se presente 4
una falla en la seguridad?
¿Cuenta con personal idóneo para la administración de seguridad? 3
TOTALES 18 3
PORCENTAJE DE RIESGO:
RIESGO:
COMPUSOFT
F-CHK 01
Fecha: 22 de Abril de 2017
Realizado por: Frank Cardona
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
SI NO
Existen copias de seguridad de los datos x
Las instalaciones eléctricas están en buenas condiciones x
Tiene políticas de administración de seguridad TI x
Tiene políticas de administración para el manejo de cuentas de usuario x
Realiza tipos de prueba o monitoreo de seguridad x
Tiene protocolos de vigilancia y monitoreo de la seguridad x
Disponen de procedimientos para la gestión de incidentes de seguridad x
Tiene políticas para la administración de llaves criptográfica x
Controla la perdida de información que es importante y confidencial para la compañía. x
Controla la perdida de datos por acceso a personas no autorizadas de la compañía. x
Controla la falla de red de energía comercial por robo o falla técnica, y falla de planta x
de respaldo
Prevé la perdida de información por no tenerla almacenada en carpetas de red o x
servidores de la empresa.
Es cuidadosos con las contraseñas fijas en papeles que se pueden perder x
tiene una planeación y resultados rápidos y óptimos ante cualquier situación que se x
presente
Utiliza llaves criptográficas x
GUIA DE PRUEBA
COMPUSOF
ID Guía de Prueba: GP1
Dominio Dominio: Planear y Organizar
Proceso:
Proceso Evaluar y Administrar los Riesgos de TI (PO9)
Objetivo de Control
PO9.1 Evaluar y Administrar los riesgos de TI
ENTREVISTADO
CARGO
22. ¿Documentan este tipo de procedimientos en el caso que se presenten estas fallas nuevamente?
______________________________________________________________________
23. ¿Cuándo se presentan incidentes cuentan con procedimientos para solucionarlos?
______________________________________________________________________
24. ¿El usuario tiene conocimiento de estas fallas?
______________________________________________________________________
25. ¿Las claves de los usuarios utilizan llaves criptográficas?
______________________________________________________________________
26. Han notado buenos resultados con la implementación de las claves criptográficas? ¿Cuáles?
________________________________________________________________________
Auditor: Frank Cardona Fecha Aplicación 07/04/2017
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
ANALISIS DE RIEGOS
Para realizar el proceso de análisis y evaluación de riesgos, se debe proceder de la siguiente manera:
Primero tener en cuenta la tabla consolidada de las vulnerabilidades, amenazas y riesgos que fueron
detectados inicialmente.
Como cada estudiante está trabajando en un proceso CobIT que ha seleccionado, deberá tomar en
cuenta esta lista de riesgos consolidada y de ella debe extraer los riesgos que aplican para el proceso
que está evaluando
RIESGOS GENERALES
3. Pérdida parcial o total de la información debido a fallas físicas o lógicas de los equipos
tecnológicos
4. Daño o perdida en la información y daño físico del equipo
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS
DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA Compusoft
1 DE 1
PROCESO AUDITADO Contratación de TI
RESPONSABLE JOSE RIBON
MATERIAL DE
COBIT
SOPORTE
DOMINIO P09: Evaluar y Administrar los Riesgos de TI
PROCESO Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
AUDITOR RESPONSABLE:
JOSE RIBON
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
LISTA DE CHEQUEO
CHECK LIST
F-CHK 01
Fecha: Abril 03 de 2017
Realizado por: José Ribón
SI NO
Existe un procedimientos para realizar las copias de
seguridad
Los equipos principales cuentan con protección eléctrica
Hay un plan de mejoramientos de equipos
Los equipos que se encuentren en buen estado
Hay un plan de mantenimiento y hoja de vida de los
equipos
El cableado estructurado se encuentra en buen estado y
certificado
Existe un sistema de seguridad
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
ENTREVISTADO
CARGO
32. ¿El tiempo de respuesta es el apropiado para solucionar las posibles fallas o inconvenientes?
______________________________________________________________________
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
FORMATO CUESTIONARIO
Pregunta Si No OBSERVACIONE
S
¿Se cuenta con un inventario de equipos de 4
tecnología?
¿Se lleva una hoja de vida por equipo de tecnología 5
¿Se cuenta con un plan de mantenimiento preventivo? 5
¿Posee un registro de fallas detectadas en los 4
equipos?
¿Cuenta con procedimientos para instalar software? 4
¿Se cuenta con un proceso para la adquisición de 4
nuevos equipos?
TOTALES 14 12
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
RIESGO:
FORMATO DE HALLAZGOS
REF
HALLAZGO
PÁGINA
PROCESO AUDITADO Contratación TI
1 DE 1
DOMINIO PROCESO
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
RIESGO:
RECOMENDACIONES: