1.1.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Para proteger los activos de TI en la empresa Cajascol se debe minimizar el impacto

causado por las vulnerabilidades identificadas en la seguridad lógica, por lo tanto, se
requiere de un proceso de administración de seguridad.

1.1.1. FUENTES DE CONOCIMIENTO

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03

PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
2 DE 2
PROCESO AUDITADO Administración e integridad de los sistemas.
RESPONSABLE Katherine Zapata Mosquera
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
 Realizar pruebas de seguridad
 Verificar que los permisos sobre la red de datos.
de acceso asignados a los  Verificar que la
usuarios correspondan a su solicitud, establecimiento,
perfil de usuario. emisión, suspensión,
 Validar que los procesos de modificación y cierre de
Entrevista a los
administración de cuentas de usuario, se
Ingenieros Elizabeth
seguridad, administración registran en un log del sistema
Narvaez Lopera y
de cuentas de usuarios, o un log de auditoria.
Jorge Barco Gómez
medidas de seguridad  Verificar el correcto
quienes son los
física, mantenimiento funcionamiento de los
encargados del área
preventivo del Hardware se mecanismos de autenticación
informática.
encuentren documentadas. utilizados.
 Verificar la existencia de los  Verificar que se mantiene el
registros de monitoreo de nivel de seguridad aprobado.
seguridad y pruebas  Verificar la instalación de
periódicas. controles físicos y
ambientales.
AUDITOR RESPONSABLE:

KATHERINE ZAPATA MOSQUERA

1.1.2. FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 03
proceso Garantizar la Seguridad de los Sistemas
Realizado por: Katherine Zapata Mosquera
N° Aspectos por validar o chequear Conforme
Objetivo de control DS5.3 Administración de Identidad SI NO
Existe proceso de autenticación para los usuarios internos que
1
solicitan acceso al sistema de información. X
El proceso de autenticación para los usuarios se encuentra
2
documentada. X
Existe un repositorio central con la información de usuarios y sus
3
permisos de acceso al sistema de información de la institución. X
Objetivo de control DS5.4 Administración de Cuentas del Usuario SI NO
Existe un procedimiento para la emisión, suspensión, modificación
4
y cierre de cuentas de usuarios. X
Existe un procedimiento de aprobación, donde se describa al
5
responsable encargado de otorgar los privilegios de acceso. X
Los procedimientos de emisión, suspensión, modificación, cierre y
6 aprobación se están aplicación a los usuarios internos y externos X
(incluyendo administradores).
Se están realizando revisiones regulares de la gestión de todas las
7
cuentas y los privilegios asociados. X
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Objetivo de control SI NO
Seguridad
Se realizan periódicamente pruebas de monitoreo a la seguridad
8
del acceso al sistema de información. X
Objetivo de control DS5.10 Seguridad de la Red SI NO
Existen controles para la información que se envía y recibe desde
9
internet. X
1.1.3. FORMATO DE ENTREVISTA

EMPRESA AUDITADA PAGINA

CAJASCOL S.A.S 1 DE 2
Fecha 26 de octubre de 2018 Consecutivo FE-03
Conocer aspectos claves en cuanto a la seguridad
Objetivo Auditoría
informática y de infraestructura en Cajascol S.A.S
Proceso Auditado Administración e integridad de los sistemas.
Responsable Katherine Zapata Mosquera
Material de Soporte COBIT DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas
Entrevistado Ing. Elizabeth Narváez Lopera
Cargo Coordinadora de Contabilidad

PREGUNTAS ENTREVISTA

1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el

sistema de información?
Si Totalmente
2. ¿Cómo se está realizando y registrando el monitoreo de seguridad?
No hay un proceso establecido para ese proceso
3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles?
Solamente ejecución de antivirus en el servidor
4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros
usuarios?
 No, cada usuario posee sus propias credenciales
5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol?
 Se cuenta con una clave autonumérica y un carácter especial, las cuentas de correo
poseen otra clave para que los usuarios puedan acceder vía web
2. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios?
Se actualizan cada 6 meses

EMPRESA AUDITADA PAGINA

CAJASCOL S.A.S 2 DE 2
Fecha 26 de octubre de 2018 Consecutivo FE-01

PREGUNTAS ENTREVISTA

7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol?

Totalmente básicos, aunque se está pensando en seguridad perimetral para evitar
intrusiones informáticas.
8. ¿Cómo el manejo de las incidencias de seguridad?
Se desconecta el servidor de línea y se llama a un tercero para que escale el problema.
9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las
cuentas?
No, todas las cuentas están montadas en el directorio activo de server 2012 R2, se confía en
la seguridad del servidor.
10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y
controlar los flujos de información desde y hacia internet?
No hay procedimientos por escrito, pero se ha bloqueado el host de los equipos para
prohibir navegar en ciertos tipos de páginas.

John Jairo Martinez Torres Jorge Barco Gomez

Firma del entrevistador Firma del Entrevistado
2.1.1. FORMATO DE CUESTIONARIO

PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-03
Dominio Entregar y Dar Soporte
Proceso Auditado DS5 Garantizar la Seguridad de los Sistemas

Pregunta Si No Observaciones
Al momento de suministrar los datos de acceso al
sistema, ¿se informa el rol y las responsabilidades de 2
seguridad?
¿Los derechos de acceso del usuario se están
solicitando por la gerencia del usuario?
5

Los derechos de acceso del usuario solicitados,

¿están siendo aprobados por el responsable del 3
sistema?
Los derechos de acceso del usuarios solicitados y
aprobados, ¿están siendo implementados por el 3
responsable de seguridad del sistema?
¿Las identidades y los derechos de acceso se
almacenan en un repositorio central?
5

¿Actualmente se está aprobando todas las acciones

realizadas por la gerencia de cuentas de usuario?
5

¿El procedimiento de la gerencia de cuentas de

usuarios, se aplica a todos los usuarios, incluyendo 2
administradores, usuarios externos e internos?
¿Actualmente se está probando y monitoreando la
4
implementación de la seguridad en TI?
¿Existen controles para la información que se envía y
4
recibe de Internet?
Totales 13 20
Total Cuestionario 33

Porcentaje de riesgo parcial = (13 * 100) / 33 = 39,4

Porcentaje de riesgo total = 100 – 39,4 = 60,6
Porcentaje de riesgo =60,6% (Riesgo medio)

RIESGOS INICIALES
1. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático
(spam, phishing, botnets)
2. Perdida de integralidad, Alteración de la información
3. Acceso a la red de la organización.