Fase Intermedia Final Auditoria

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela Ciencias Básicas, Tecnología e Ingeniería
AUDITORIA DE SISTEMAS
Fase Intermedia
Estudiante:
Héctor Gustavo Romero
Código: 72347952
Daniel Darío Pertuz
Código: 1045709011
Frank Cardona
Código: 75108434
Giovanny Adrián Orozco
Código:
José Ribon Zarco
Código: 72249308
Grupo:
90168_1
Tutor
Yolima Esther Mercado Palencia
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ABRIL, 2017
Estudiante Daniel pertuz
FORMATO DE FUENTES DE CONOCIMIENTO
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3
PAGINA
ENTIDAD AUDITADA COMPUSOFT Telecomunicaciones
1 DE 1
PROCESO AUDITADO Contratación TI
RESPONSABLE Daniel Pertuz, Frank Cardona, Giovanny Orozco y Héctor Romero
MATERIAL DE SOPORTE COBIT
DOMINIO P09: Evaluar y Administrar los Riesgos de TI
PROCESO Identificación de eventos
REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Administrador responsable de Revisión de equipos, reglamentos y
Simulacros de eventos imprevistos,
procesos preventivos en la
las operaciones de la pruebas de voltajes, pruebas de
organización que cumplan con los
organización, Reglamentos de estándares seguridad en redes, testeo de
de calidad
seguridad informática cableado de red y de computadores,
correspondientes a la identificación
testeo de respuesta de dispositivos.
de eventos.
AUDITOR RESPONSABLE:
Daniel Pertuz
FORMATO DE LISTAS DE CHEQUEO
Departamento de soporte técnico

F-CHK 01
Fecha: 18 de abril de 2017
Realizado por: Daniel Pertuz
SI NO
Existe sistema de back-up de energía
Posesión de equipos de reemplazo
Cableado de red en buen estado
Equipos de reemplazo en buen estado
Hay horarios de mantenimiento preventivo
Cableado eléctrico de equipos está protegido
Los cables de energía se encuentran conectados y protegidos en
el sistema de back-up de energía
Existencia de equipos reguladores de voltaje
Disponibilidad de accesorios de reposición
Accesorios de reposición en buen estado
Cableado de red protegido
FORMATO ENTREVISTA
ENTIDAD AUDITADA COMPUSOFT Telecomunicaciones PAGINA

1 DE 1
OBJETIVO AUDITORÍA Determinar el comportamiento de la empresa ante la identificación de eventos
no planeados durante sus labores.
PROCESO AUDITADO Indicadores de funcionamiento del hardware y software
RESPONSABLE David Ariel Rangel Collazos
DOMINIO PROCESO Identificación de eventos
ENTREVISTADO
CARGO
1. Si se presenta un apagón en la empresa, ¿qué plan se tiene para preservar el

mantenimiento de los computadores?
________________________________________________________________
2. ¿Con qué herramientas dispone para el mantenimiento de computadores de la empresa?
________________________________________________________________________
___________
3. ¿Cómo está dispuesto el calendario de periodos de mantenimiento preventivo de
computadores de la empresa?
________________________________________________________________________
______________________________________________________
4. ¿Cómo está constituido el personal de mantenimiento de computadores?
_______________________________________________________________
5. ¿Qué tipo de software utiliza en sus operaciones?
_______________________________________________________________
6. ¿Cómo califica la eficiencia del equipo de mantenimiento si se presenta una novedad en
las operaciones laborales?
________________________________________________________________________
______________________________________
7. ¿Se tienen medidas ante actividades no acordes a las medidas de seguridad informática
de la empresa?
_______________________________________________________________
8. ¿Cuáles son los instructivos de prevención de daños de hardware en la empresa?
________________________________________________________________________
______________________________________________________
9. ¿Existe capacitación a los trabajadores sobre la importancia del hardware y software de la
empresa?
_______________________________________________________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

FIRMA
FORMATO CUESTIONARIO
Departamento de soporte técnico

Cuestionario de Control: C1
Dominio Evaluar y Administrar los Riesgos de TI
Proceso PO3: Identificación de eventos
Pregunta Si No OBSERVACIONES
¿Se lleva un control programado en mantenimiento de
equipos?
Si existe, ¿el control contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características (memoria, procesador, monitor, disco duro)
Hoja de mantenimiento realizado
¿La hoja de mantenimiento realizado contiene?
Numero de mantenimiento
Número del computador
Falla reportada
Diagnóstico
Solución
¿Cuenta con planta de energía alterna?
¿Existe registro de uso de planta de energía alterna?
¿El registro contiene los siguientes datos?
Fecha
Hora
Número de registro
Causa
Encargado
¿Se cuenta con servicio de mantenimiento para todos los
equipos?
¿Qué tipo de mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Se tienen establecidos los permisos de acceso según
usuario en los computadores?
¿Se realiza la revisión de equipos antes y después de las
operaciones de la empresa?
¿El personal que se encarga del mantenimiento está
capacitado?
¿Se lleva un procedimiento para la adquisición de nuevos
equipos?
¿Son compatibles software y hardware?

TOTALES 19 20
Estudiante Frank Cardona
DOMINIO: Panear y Organizar P09
PROCESO: Evaluar y Administrar los Riesgos de TI (P09)
OBJETIVO: Establecer un marco de trabajo de administración de riesgos de TI que este alineado al marco de trabajo de
administración de riesgos de la organización.
VULNERABILIDADES:
1. Errores de validación de entradas.
2. Falta de configuración de copias de respaldo.
3. Cuentas de usuario mal configuradas o con contraseñas inadecuadas.
4. Puertos abiertos para usuarios y debilidad en el diseño de protocolos de red.
5. Ejecución de códigos remotos.
AMENAZA:
1. Destrucción de la información.
2. Filtraciones y eliminación de información por usuarios no autorizados.
3. Ataques mediante virus informático o malware.
4. Falta de herramienta de seguridad.
5. Mala planeación de los planes de contingencia.
RIESGOS:
1. Abuso en la utilización de los recursos por parte de los usuarios.
2. Robos o hurtos de información.

3. Acceso no autorizado a las bases de datos.
4. Captura de emisiones electromagnéticas.
5. Interceptaciones a las líneas de datos.
6. Perdida de integridad de los datos.
MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
Zona de Riesgo Zona de riesgo Zona de riesgo

Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo

31-60% Tolerable Moderado Importante
PROBABILIDAD
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable
Leve Moderado Catastrófico
IMPACTO
ANALISIS DE RIESGOS
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Abuso en la utilización de los X X
recursos por parte de los
usuarios.
R2 Robos o hurtos de X X
información
R3 Acceso no autorizado a las X X
bases de datos
R4 Captura de emisiones X X
electromagnéticas
R5 Interceptaciones a las líneas X X
de datos
R6 Perdida de integridad de los X X
datos.
Resultado Matriz de riesgos para hardware
R2
Alto
61-100%
Medio R1 R3,R5 R6
PROBABILIDAD
31-60%
Bajo R4
0-30%
Leve Moderado Catastrófico
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
Programa De Auditoria
Dominio: Planear y Organizar (PO)
Proceso: Evaluar y Administrar los Riesgos de TI
 PO9.1 Marco de trabajo de Administración de Riesgos
Objetivo de control: Establecer un marco de trabajo de administración de riesgos de TI que este alineado al marco de
trabajo de administración de riesgos de la Empresa.
CUESTIONARIO PARA CONTROL

COMPUSOF
Dominio Planear y Organizar
Proceso PO9.1 Marco de trabajo de Administración de Riesgos
Pregunta Si No OBSERVACIONES
¿Tiene herramientas para la administración de seguridad TI? 4
¿Posee algún tipo de metodología de uso para la herramienta de 3
administración de seguridad?
¿Tiene implementada alguna política de administración de 4
seguridad TI?
¿Dispone de mecanismos para evaluar periódicamente la buena 3
administración de seguridad?
¿Cuenta con protocolos de emergencia en caso que se presente 4
una falla en la seguridad?
¿Cuenta con personal idóneo para la administración de seguridad? 3
TOTALES 18 3
PORCENTAJE DE RIESGO:
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (18 * 100) / 21 = 85.71
Porcentaje de riesgo = 100 – 85.71 = 14.28
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: = 85.71%
Porcentaje de riesgo = 14.78
Impacto según relevancia del proceso: Riesgo Bajo
LISTA DE CHEQUEO PARA DATOS
COMPUSOFT
F-CHK 01
Fecha: 22 de Abril de 2017
Realizado por: Frank Cardona
SI NO
Existen copias de seguridad de los datos x
Las instalaciones eléctricas están en buenas condiciones x
Tiene políticas de administración de seguridad TI x
Tiene políticas de administración para el manejo de cuentas de usuario x
Realiza tipos de prueba o monitoreo de seguridad x
Tiene protocolos de vigilancia y monitoreo de la seguridad x
Disponen de procedimientos para la gestión de incidentes de seguridad x
Tiene políticas para la administración de llaves criptográfica x
Controla la perdida de información que es importante y confidencial para la compañía. x
Controla la perdida de datos por acceso a personas no autorizadas de la compañía. x
Controla la falla de red de energía comercial por robo o falla técnica, y falla de planta x
de respaldo
Prevé la perdida de información por no tenerla almacenada en carpetas de red o x
servidores de la empresa.
Es cuidadosos con las contraseñas fijas en papeles que se pueden perder x
tiene una planeación y resultados rápidos y óptimos ante cualquier situación que se x
presente
Utiliza llaves criptográficas x
GUIA DE PRUEBA
COMPUSOF
ID Guía de Prueba: GP1
Dominio Dominio: Planear y Organizar
Proceso:
Proceso Evaluar y Administrar los Riesgos de TI (PO9)
Objetivo de Control
 PO9.1 Evaluar y Administrar los riesgos de TI
ID Riesgos Asociados R2, R3, R5, R6

No. Evidencia Descripción
1
FORMATO DE ENTREVISTA PARA SOFTWARE
ENTIDAD AUDITADA Compusoft PAGINA

1 DE 1
OBJETIVO Establecer el marco de trabajo bajo la administración de riesgos de TI que esté acorde a
AUDITORÍA lo planteado en el marco de trabajo de administración de riesgos de la Empresa.
PROCESO Evaluar y Administrar los Riesgos de TI
AUDITADO
RESPONSABLE Frank Cardona

DOMINIO Monitorear y Evaluar PROCESO Marco de Trabajo de Administración de
riesgos
ENTREVISTADO
CARGO
10. ¿Con que herramientas para la administración de seguridad TI cuenta?

_______________________________________________________________________
11. ¿Utilizan algún tipo de metodología para la administración de la seguridad? ¿Cual?
_______________________________________________________________________
12. ¿Ha implementado mecanismos para evaluar periódicamente la seguridad?
_______________________________________________________________________
13. ¿Posee mecanismos para solucionar fallas en la seguridad en caso de emergencia? ¿De qué tipo?
_______________________________________________________________________
14. ¿Tiene implementado planes de seguridad TI y estos están inmersos en las políticas de la empresa?
______________________________________________________________________
15. ¿En el caso de las cuentas de usuario cuentan con claves únicas para cada uno de ellos?
_______________________________________________________________________
16. A estas cuentas de usuario le realizan algún tipo de validación para identificar que si es el usuario que desea
acceder?
_______________________________________________________________________
17. ¿Cuentan con algún software o protocolo que les permita validar estos usuarios? ¿Cuáles?
_______________________________________________________________________
18. En caso que un usuario le sea denegado el acceso como es el restablecimiento de su clave?
_______________________________________________________________________
19. Existe algún proceso o procedimiento para adjudicar los permisos a los usuario? ¿Cuál proceso?
_______________________________________________________________________
20. A la hora de realizar los monitoreos para encontrar errores o fallas del sistema que procedimientos siguen y
como los implementan?
_______________________________________________________________________
21. Se apoyan de algún software para realizar estos monitoreos?
_______________________________________________________________________
22. ¿Documentan este tipo de procedimientos en el caso que se presenten estas fallas nuevamente?
______________________________________________________________________
23. ¿Cuándo se presentan incidentes cuentan con procedimientos para solucionarlos?
______________________________________________________________________
24. ¿El usuario tiene conocimiento de estas fallas?
______________________________________________________________________
25. ¿Las claves de los usuarios utilizan llaves criptográficas?
______________________________________________________________________
26. Han notado buenos resultados con la implementación de las claves criptográficas? ¿Cuáles?
________________________________________________________________________
Auditor: Frank Cardona Fecha Aplicación 07/04/2017
Estuante José Ribón
ANALISIS DE RIEGOS
Para realizar el proceso de análisis y evaluación de riesgos, se debe proceder de la siguiente manera:
Primero tener en cuenta la tabla consolidada de las vulnerabilidades, amenazas y riesgos que fueron
detectados inicialmente.
Como cada estudiante está trabajando en un proceso CobIT que ha seleccionado, deberá tomar en
cuenta esta lista de riesgos consolidada y de ella debe extraer los riesgos que aplican para el proceso
que está evaluando
ITEM VULNERABILIDAD AMENAZAS RIESGOS ACTIVO

La no existencia e Alteración o pérdida de
Realización de Software
implementación de la información.
procesos inadecuados (Lógico) y
1 políticas de seguridad Daño en equipos
por parte de los Hardware
(PSI) en la organización tecnológicos por mala
usuarios. (físico)
en la parte de las TIC. manipulación
Pérdida parcial o total de
Plan de Copias de Esta es importante
la información debido a Software
2 seguridad de la para tener un respaldo
fallas físicas o lógicas de (Lógico)
información de la información
los equipos tecnológicos
Debe existir un plan de
Software
renovación de equipos Daño o perdida en la
Plan de actualización de (Lógico) y
3 tecnológico para evitar información y daño físico
equipos tecnológicos Hardware
daños constantes y del equipo
(físico)
futuros
Plan de mantenimiento Software
Debe existir un plan de Daño o perdida en la
preventivo y correctivo (Lógico) y
4 mantenimiento de información y daño físico
adecuado para equipos Hardware
equipos tecnológico del equipo
tecnológicos (físico)
Esta origina el mal uso
Daño o perdida en la
de los servicios Software
5 Falta de capacitación información por mala
tecnológicos en la (Lógico)
manipulación
organización
RIESGOS GENERALES
1. Alteración o pérdida de la información.

2. Daño en equipos tecnológicos por mala manipulación
3. Pérdida parcial o total de la información debido a fallas físicas o lógicas de los equipos
tecnológicos
4. Daño o perdida en la información y daño físico del equipo
Tabla 2: CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS

Y EJECUCCIÓN DE AUDITORIA
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS
DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA Compusoft
1 DE 1
PROCESO AUDITADO Contratación de TI
RESPONSABLE JOSE RIBON
MATERIAL DE
COBIT
SOPORTE
DOMINIO P09: Evaluar y Administrar los Riesgos de TI
PROCESO Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Revisión de los procesos

Software para realización de
realizados por este
copias de seguridad, hojas
departamentos basados en las
de vida delos equipos,
Departamento de TIC normas establecidas en las órdenes de servicios, plan de
PSI (políticas de seguridad
(administrador del sistema, mantenimiento e inventarios
Informáticas) de la
supervisor de sistema y organización, basadas en la de la empresa, pruebas de
auxiliar de sistemas) seguridad (análisis de
COBIT
penetración en las redes),
certificación de cableado,
verificación y monitoreo de
eventos
AUDITOR RESPONSABLE:
JOSE RIBON
LISTA DE CHEQUEO
CHECK LIST
F-CHK 01
Fecha: Abril 03 de 2017
Realizado por: José Ribón
SI NO
Existe un procedimientos para realizar las copias de 
seguridad
Los equipos principales cuentan con protección eléctrica 
Hay un plan de mejoramientos de equipos 
Los equipos que se encuentren en buen estado 
Hay un plan de mantenimiento y hoja de vida de los 
equipos
El cableado estructurado se encuentra en buen estado y 
certificado
Existe un sistema de seguridad 
FORMATO DE ENTREVISTA PARA SOFTWARE
ENTIDAD Compusoft PAGINA

AUDITADA 1 DE 1
OBJETIVO Establecer la implementación de las PSI, en los procesos llevados a cabo en
AUDITORÍA el departamento TIC
PROCESO Marco de Trabajo de Administración de riesgos
AUDITADO
RESPONSABLE José Ribón
DOMI Monitorear y Evaluar PROCESO Mantenimiento y Monitoreo de un Plan de Acción
NIO de Riesgos
ENTREVISTADO
CARGO
27. ¿Con que herramientas para la administración de seguridad TI cuenta?

_______________________________________________________________________
28. ¿Posee mecanismos para solucionar fallas en la seguridad en caso de emergencia? ¿De qué
tipo?
_______________________________________________________________________
29. ¿Tiene implementado políticas claras de seguridad informática y estas están inmersas en las
políticas de la empresa?
_______________________________________________________________________
30. ¿Se realizan monitoreo constantes para encontrar errores o fallas en los procedimientos
implementados por el departamento?
_______________________________________________________________________
31. ¿Se Documentan los procedimientos en caso que esté presente fallas?
______________________________________________________________________
32. ¿El tiempo de respuesta es el apropiado para solucionar las posibles fallas o inconvenientes?
______________________________________________________________________
Auditor: Gustavo Garrido Fecha Aplicación 03/04/2017

FORMATO CUESTIONARIO
Departamento de TIC – Soporte Técnico

Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Pregunta Si No OBSERVACIONE
S
¿Se cuenta con un inventario de equipos de 4
tecnología?
¿Se lleva una hoja de vida por equipo de tecnología 5
¿Se cuenta con un plan de mantenimiento preventivo? 5
¿Posee un registro de fallas detectadas en los 4
equipos?
¿Cuenta con procedimientos para instalar software? 4
¿Se cuenta con un proceso para la adquisición de 4
nuevos equipos?
TOTALES 14 12
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el

SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que
es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más
objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (14 * 100) / 26 = 53.48

Porcentaje de riesgo = 100 – 53.48 = 46.52
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: = 53.48%

Porcentaje de riesgo = 46,52
Impacto según relevancia del proceso: Riesgo Medio
FORMATO DE HALLAZGOS
En este formato se describe las inconsistencias encontradas.
REF
HALLAZGO
PÁGINA
PROCESO AUDITADO Contratación TI
1 DE 1
RESPONSABLE José Ribón
DOMINIO PROCESO
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:

Fase Intermedia Final Auditoria

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Fase Intermedia Final Auditoria

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela Ciencias Básicas, Tecnología e Ingeniería

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Estudiante Daniel pertuz

FORMATO DE FUENTES DE CONOCIMIENTO

REPOSITORIO DE PRUEBAS APLICABLES

FORMATO DE LISTAS DE CHEQUEO

Departamento de soporte técnico

ENTIDAD AUDITADA COMPUSOFT Telecomunicaciones PAGINA

1. Si se presenta un apagón en la empresa, ¿qué plan se tiene para preservar el

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

Departamento de soporte técnico

¿Son compatibles software y hardware?

Estudiante Frank Cardona

DOMINIO: Panear y Organizar P09

PROCESO: Evaluar y Administrar los Riesgos de TI (P09)

administración de riesgos de la organización.

1. Errores de validación de entradas.

2. Falta de configuración de copias de respaldo.

3. Cuentas de usuario mal configuradas o con contraseñas inadecuadas.

4. Puertos abiertos para usuarios y debilidad en el diseño de protocolos de red.

5. Ejecución de códigos remotos.

2. Filtraciones y eliminación de información por usuarios no autorizados.

3. Ataques mediante virus informático o malware.

4. Falta de herramienta de seguridad.

5. Mala planeación de los planes de contingencia.

1. Abuso en la utilización de los recursos por parte de los usuarios.

2. Robos o hurtos de información.

3. Acceso no autorizado a las bases de datos.

4. Captura de emisiones electromagnéticas.

5. Interceptaciones a las líneas de datos.

6. Perdida de integridad de los datos.

MATRIZ DE PROBABILIDAD DE IMPACTO

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

Zona de Riesgo Zona de riesgo Zona de riesgo

Medio Zona de riesgo Zona de riesgo Zona de riesgo

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

Leve Moderado Catastrófico

N° Descripción Probabilidad Impacto

Resultado Matriz de riesgos para hardware

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media

Alta probabilidad de ocurrencia

Dominio: Planear y Organizar (PO)

Proceso: Evaluar y Administrar los Riesgos de TI

 PO9.1 Marco de trabajo de Administración de Riesgos

trabajo de administración de riesgos de la Empresa.

CUESTIONARIO PARA CONTROL

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (18 * 100) / 21 = 85.71

Porcentaje de riesgo = 100 – 85.71 = 14.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

Porcentaje de riesgo parcial: = 85.71%

Porcentaje de riesgo = 14.78

Impacto según relevancia del proceso: Riesgo Bajo

LISTA DE CHEQUEO PARA DATOS

ID Riesgos Asociados R2, R3, R5, R6

FORMATO DE ENTREVISTA PARA SOFTWARE

ENTIDAD AUDITADA Compusoft PAGINA

RESPONSABLE Frank Cardona