Fase 3 - 90168 - 41

AUDITORIA DE SISTEMAS
FASE 3
PLANEACIÓN Y EJECUCIÓN AUDITORIA
PRESENTADO POR:
KATHERINE ZAPATA MOSQUERA COD: 11135236544

JOHN JAIRO MARTINEZ TORRES COD: 94504963
WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557
JHONNY CAICEDO VELARDE COD: 94329937
JAIRO ANGULO COD: 94229202
GRUPO: 90168_41
CEAD: PALMIRA
TUTOR:
FRANCISCO NICOLAS SOLARTE SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA
PROGRAMA DE INGENIERIA DE SISTEMAS
31 DE OCTUBRE DE 2018
Fase 3 – Planeación y Ejecución Auditoria
Escuela de ciencias básicas tecnologías e Ingeniería
Auditoria de Sistemas. Código 90168
CONTENIDO
INTRODUCCIÓN..........................................................................................................................4
OBJETIVO GENERAL................................................................................................................5
OBJETIVOS ESPECÍFICOS......................................................................................................5
1. PROCESOS QUE SERAN EVALUADOS.........................................................................6
2. EQUIPO AUDITOR...............................................................................................................7
3. INSTRUMENTOS DE RECOLECCION.............................................................................7
3.1. FUENTES DE CONOCIMIENTO....................................................................................7
3.2. FORMATO DE LISTAS DE CHEQUEO.........................................................................9
3.3. FORMATO DE ENTREVISTA........................................................................................10
3.4. FORMATO DE CUESTIONARIO..................................................................................11
4. APLICACIÓN DE INSTRUMENTOS AUDITORIA........................................................12
4.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI......12
4.1.1. FUENTES DE CONOCIMIENTO...............................................................................13
4.1.2. FORMATO DE LISTAS DE CHEQUEO...................................................................14
4.1.3. FORMATO DE ENTREVISTA....................................................................................15
4.1.4. FORMATO DE CUESTIONARIO..............................................................................18
4.1.4.1. PORCENTAJE DE RIESGO...................................................................................19
4.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA...............19
4.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS....................................26
4.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO...........................................................32
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 1/70.


4.5. DS13 ADMINISTRACIÓN DE OPERACIONES.........................................................37
5. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO......................................44
5.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI......46
5.1.1. RIESGOS INICIALES..................................................................................................46
5.1.2. RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS.....................................46
5.1.3. ANALISIS Y EVALUACIÓN DE RIESGO................................................................47
5.1.4. RESULTADO MATRIZ DE RIESGOS......................................................................48
5.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA...............48
5.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS....................................50
5.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO...........................................................52

5.5. DS13 ADMINISTRACIÓN DE OPERACIONES.........................................................54

6. ANALISIS Y EVALUACION DE RIESGOS GLOBAL..................................................56
6.1. RIESGOS INICIALES.....................................................................................................56
6.2. RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS........................................57
6.3. ANALISIS Y EVALUACIÓN DE RIESGO...................................................................58
6.4. RESULTADO MATRIZ DE RIESGOS..........................................................................61
6.5. ACCIONES SUGERIDAS PARA LA EMPRESA.......................................................62
6.5.1. ZONA DE RIESGO BAJA..........................................................................................62
6.5.2. ZONA DE RIESGO MODERADA.............................................................................62
6.5.3. ZONA DE RIESGO ALTA...........................................................................................63
6.5.4. ZONA DE RIESGO EXTREMO.................................................................................65
7. CONCLUSIONES................................................................................................................68
8. REFERENCIAS BIBLIOGRAFICAS................................................................................69

INTRODUCCIÓN
En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos

claves que ayudaran a sacar una auditoria adelante, tales conceptos son:
Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan
entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con
ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener
controladas las amenazas.
Un plan de auditoria a los sistemas informáticos de una empresa es imprescindible

para lograr la utilización más eficiente y segura de la información que servirá para la
adecuada toma de decisiones; con los planes programados de auditoria se le permite a
la compañía evaluar todo, desde la informática, la organización de los centros de
información, hasta el hardware y software, brindando así sistemas confiables y con
buenos niveles de seguridad.
En el presente trabajo se pretende ejecutar un plan de auditoria para la empresa

Cajascol centrándose en aspectos como: evaluar la infraestructura tecnológica de
hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema,
para ello se evaluaran proceso críticos del sistema y sus objetivos de control, los
procesos que se evaluaran serán: PO4 Definir los Procesos, Organización y Relaciones
de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad
de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de
Operaciones y ME1 Monitorear y Evaluar el Desempeño de TI
En la parte final del documento se presentan las referencias bibliográficas exploratorias

del tema, que puede servir de insumo académico para los interesados en la temática.
Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de
agrado para los lectores que tengan la oportunidad de leer este documento

OBJETIVO GENERAL
Elaborar un plan de auditoria en sistemas que permita evaluar la infraestructura

tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema
de información de la empresa Cajascol
OBJETIVOS ESPECÍFICOS
Describir las vulnerabilidades, amenazas y riesgos informáticos de la empresa

Propuesta.
Realizar plan de auditoria incluyendo, objetivos, alcance, metodología, recursos y

cronograma de actividades de la auditoria.
Seleccionar ítems que serán evaluados y sus objetivos de control, verificando que
estén relacionados con el objetivo de la auditoria.

1. PROCESOS QUE SERAN EVALUADOS
A continuación, se listan los procesos y objetivos de control que serán evaluados en la

auditoria a realizar en la empresa Cajascol S.A.S
Proceso OBJETIVOS DE CONTROL

PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y responsabilidades
PO4 Definir los PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
Procesos,
Organización y PO4.9 Propiedad de datos y de sistemas
Relaciones de TI PO4.10 Supervisión
PO4.11 Segregación de funciones
PO4.13 Personal Clave de TI

AI3.1 Plan de Adquisición de Infraestructura Tecnológica

AI3 Adquirir y
Mantener AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Infraestructura AI3.3 Mantenimiento de la Infraestructura
Tecnológica
AI3.4 Ambiente de Prueba de Factibilidad

DS5 Garantizar la Seguridad de los Sistemas

DS5 Garantizar la DS5.3 Administración de Identidad
Seguridad de los DS5.4 Administración de Cuentas del Usuario.
Sistemas
DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad.
DS5.10 Seguridad de la Red

DS12.1 Selección y Diseño del Centro de Datos

DS12.2 Medidas de Seguridad Física.
DS12 Administrar el
DS12.3 Acceso Físico.
ambiente físico.
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones

DS13 DS13.1 Procedimientos e instrucciones de operación.

Administración de DS13.2 Programación de Tareas
Operaciones
DS13.5 Mantenimiento Preventivo del Hardware.

2. EQUIPO AUDITOR
A continuación, se relaciona el equipo auditor y los procesos que administrara en el

ejercicio de auditoria.
Auditor Proceso
John Jairo Martinez PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flórez AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo DS12 Administrar el ambiente físico.
Johnny Caicedo DS13 Administración de Operaciones
3. INSTRUMENTOS DE RECOLECCION
Para el desarrollo de la auditoria y recolección de información se utilizarán instrumentos

como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y
formatos de pruebas, en los subpuntos siguientes se presentaran los formatos de cada
instrumento
3.1. FUENTES DE CONOCIMIENTO
Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas

de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál es la
información que se necesita para evaluar un determinado proceso dentro de los
dominios del COBIT, también se especifica en el cuales son las pruebas de análisis y
de ejecución que se deben realizar.
Los ítems relacionados a continuación son los que describirán el elemento de auditoría.
REF: Se refiere al ID del elemento, se manejará el consecutivo FC-X
ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se

le está realizando el proceso de auditoría.
PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la

auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que
está llevando a cabo el proceso de auditoría.
DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que
se está revisando.
MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que

soporta el proceso, para el caso será COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.
FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las

fuentes de donde se extrajo la información para el proceso de auditoría lo que servirá
como respaldo del proceso.
REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:
DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis
que se van a realizar para evaluar el proceso especifico que se encuentre en
estudio.
DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de

ejecución que se van a realizar para evaluar el proceso especifico que se encuentre
en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE

ANALISIS Y EJECUCCIÓN
CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de Pruebas mediante uso de
documentos (contratos, software, pruebas para
manuales) o levantar inventarios,
Documento, o persona que comparaciones (compara pruebas de seguridad en
tiene la información que los contenidos de un redes, pruebas de
necesita el auditor manual respecto a lo que seguridad en bases de
dice la teoría que debe datos, pruebas de
contener) comparar (la intrusión, pruebas de
empresa auditada con testeo.
una empresa certificada)
AUDITOR RESPONSABLE:
3.2. FORMATO DE LISTAS DE CHEQUEO
Las listas de chequeo se usan para la verificación de la existencia de controles en el

proceso o procesos auditados, en la lista de chequeo se puede usar escalas diferentes
por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento por ejemplo
CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO CUMPLE (NC), O
como en este ejemplo donde se marca las preguntas donde existe control y se deja en
blanco los controles que no se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de evaluar
el proceso será quien aplique la lista de verificación de controles o lista de chequeo y
de acuerdo con la respuesta se determina los hallazgos sobre la no existencia de
controles en el proceso.
Lista de chequeo
Fecha: Consecutivo F-CHK 01
proceso
Realizado por:
Aspectos por validar o chequear SI NO
Item 1
Ítem 2
Ítem 3
Ítem n
3.3. FORMATO DE ENTREVISTA
Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de los
procesos que se van a evaluar, generalmente las entrevistas recogen la opinión de
algunas de las personas que conozcan el proceso y que me puedan responder con
claridad las preguntas que se hayan preparado para la entrevista.
Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya que

no se pueden aplicar a todos los auditados sino solamente al personal que conozca los
aspectos que se vayan a evaluar.
Para la entrevista se debe determinar primero los temas sobre los cuales va a girar la
entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con la
intención de descubrir más riesgos de los que ya se han encontrado en las visitas
realizadas a la empresa auditada

EMPRESA AUDITADA PAGINA

1 DE 1
Fecha Consecutivo
Objetivo Auditoría
Proceso Auditado
Responsable
Material de Soporte COBIT DOMINIO
PROCESO
ENTREVISTADO
CARGO
PREGUNTAS ENTREVISTA
Firma del entrevistador Firma del Entrevistado
3.4. FORMATO DE CUESTIONARIO
Similar a la lista de chequeo, pero se da una valoración o calificación l a escala de

calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el
SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5
significa que es importante que se tenga el control, el auditor debe tratar de dar estas
calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el
porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el
valor mínimo considerado de poca importancia y cinco el máximo considerado de
mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se

vea afectado por las acciones de las cuales se está indagando, entre más alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

indagará.
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha Consecutivo
Dominio
Proceso Auditado
Pregunta Si No Observaciones
Pregunta 1
Pregunta 2
Pregunta 3
Pregunta n
Totales
4. APLICACIÓN DE INSTRUMENTOS AUDITORIA
Una vez definidos los instrumentos se procede a realizar el ejercicio de la auditoria en

las instalaciones de Cajascol S.A.S, por parte del equipo auditor se nombra un auditor
líder para hacer la aplicación de los instrumentos.
Líder Equipo Auditor Encargados auditoria Cajascol S.A.S

Ing. Elizabeth Narváez Lopera
Ing. John Jairo Martinez Torres
Ing. Jorge Barco Gómez
4.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
De acuerdo con el proceso liderado por el auditor John Jairo Martinez se procede a la
aplicación de instrumentos para recolección de información.

4.1.1. FUENTES DE CONOCIMIENTO

CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-01
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
1 DE 1
PROCESO AUDITADO Estructura organizacional y procesos de TI
RESPONSABLE John Jairo Martinez Torres
DOMINIO Planear y organizar
PROCESO P04. Definir los Procesos, Organización y relaciones de TI

Normas y políticas
Pruebas mediante solicitud de
establecidas por la
documentación relacionada con
compañía con el ánimo
Entrevista a los la estructura organizacional,
de mantener una
Ingenieros Elizabeth actas de comité o reuniones del
estructura organizacional
Narváez Lopera y área de sistemas de la empresa,
en el área de TI y que
Jorge Barco Gómez procedimientos de pasos a seguir
existan medios para
quienes son los antes eventos en el área de
preservar la información y
encargados del área sistemas, manuales de funciones
evitar eventos que
informática. o definición de roles y
puedan vulnerar los
responsabilidades del personal
sistemas y causar
de TI
afectaciones
JOHN JAIRO MARTINEZ TORRES

4.1.2. FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 01
proceso Estructura organizacional y procesos de TI
Realizado por: John Jairo Martinez Torres
Aspectos por validar o chequear SI NO
Hay una estructura organizacional interna de TI X
El área de TI es flexible y adaptable a las necesidades de Cajascol X
Hay manuales de función del personal de TI X
El área de TI está relacionada con los requerimientos de los usuarios X
Se generan estrategias alineadas con los objetivos de Cajascol X
Existen planes de contingencia ante eventos o fallas X
El personal de TI tiene roles definidos X
Existe algún procedimiento ante la ocurrencia de eventos X
Se monitorean los riesgos relacionados con el área de TI X
Hay personal responsable de mantener la seguridad de la información X
Hay personal responsable de mantener la seguridad física X
La gerencia se involucra en los procesos de TI X
Se hace monitoreo a los usuarios y al modo de uso de los equipos X
Se hace supervisión para el buen funcionamiento de los equipos X
La empresa destina recursos para planes de monitoreo X
Existen indicadores claves de desempeño X
Los usuarios de sistemas tienen claro su alcance en el uso de sistemas X
Hay planes de respaldo para operaciones realizadas por los usuarios X
Se tienen identificados los procesos críticos X
Existen manuales de aplicativos creados X

4.1.3. FORMATO DE ENTREVISTA

CAJASCOL S.A.S 1 DE 3
Fecha 26 de octubre de 2018 Consecutivo FE-01
Conocer aspectos claves de la estructura organizacional y
funcional de TI de la empresa tales como: establecimiento de
Objetivo Auditoría roles y responsabilidades, responsabilidades sobre el riesgo,
la seguridad y el cumplimiento, prácticas de supervisión,
segregación de funciones y conocer el personal clave en TI
Proceso Auditado Estructura organizacional y procesos de TI
Responsable John Jairo Martinez Torres
Material de Soporte COBIT DOMINIO Planear y Organizar
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
Entrevistado Ing. Elizabeth Narváez Lopera

Cargo Coordinadora de Contabilidad
1. ¿La función de TI hace parte de la estructura organizacional?

No está considerada
2. ¿Existe una estructura organizacional interna de TI?
Si
3. ¿Existe una estructura organizacional externa de TI?
Si
4. ¿El personal de TI tiene roles definidos y claros?
Si, atender las necesidades de usuarios y mantener en línea el sistema
5. ¿El personal de Cajascol sabe a quién recurrir en caso de eventos relacionados con los
sistemas?
Si, deben informar a su jefe inmediato o a mi


6. ¿Hay personal de TI encargados de monitorear y mitigar los riesgos relacionados con el

área de TI?
No
7. ¿El área de TI cuenta con la experiencia y habilidades apropiadas para definir,
implementar y monitorear procesos de TI?
La verdad no
8. ¿hay procedimientos de supervisión para el buen funcionamiento de los equipos e
infraestructura del área de sistemas?

No se hacen monitoreos
9. ¿La empresa destina recursos para planes de monitoreo y supervisión en el área de

sistemas?
Muy poco
10. ¿Existen indicadores claves de desempeño que muestre la gestión del personal de TI?
No existen
11. ¿Hay una adecuada división de roles y responsabilidades en las operaciones informáticas
de la empresa?

En algunos puestos, pero no en todos
12. ¿Los usuarios de sistemas tienen claro su alcance y responsabilidades en la

administración de aplicativos?

Definitivamente no


13. ¿En casos de incapacidad o desvinculación de empleados, la gerencia tiene planes de

respaldo para operaciones realizadas por los usuarios?

En algunos casos
14. ¿Se tienen identificados los procesos críticos realizados por los usuarios de aplicaciones
informáticas?
Se tienen identificados dichos procesos
15. ¿Existen manuales de aplicativos creados por terceros o desarrollados internamente?

No en todos los casos
16. ¿Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas?

La verdad si tenemos esa falencia
4.1.4. FORMATO DE CUESTIONARIO

PAGINA
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-01
Dominio Planear y Organizar
Proceso Auditado P04. Definir los Procesos, Organización y relaciones de TI
¿La estructura organizacional de TI es flexible y
4
adaptable a las necesidades de la empresa?
¿Se han implementado procesos para revisar la
5
estructura organizacional del área de TI?
¿Existe documentación relacionada con las funciones
5
del personal de TI?
¿El área de TI conoce y ajusta los requerimientos del
2
personal de Cajascol?
¿El área de TI genera estrategias para satisfacer los
1
objetivos del negocio?
¿El área de TI tiene planes de contingencia para la
2
continuidad del negocio?
¿Existe algún procedimiento ante la ocurrencia de
3
eventos relacionados con los sistemas?
¿Hay personal responsable de mantener la seguridad
2
de la información?
¿Hay personal encargado de mantener la seguridad
3
física de los equipos e infraestructura de sistemas?
¿la alta gerencia se involucra en la administración de
2
los sistemas de información?
¿Se hace monitoreo a los usuarios y al modo de uso
5
de los equipos?
¿Existen procesos de negocio que no reciben soporte
2
por parte del área de TI?
¿Existen y se implantan procesos de mejora en el
2
área de TI?
¿Se tiene alguna métrica de los niveles de
5
satisfacción de los usuarios de sistemas?
¿Se hacen reuniones o comités para tratar temas
5
relacionados con el área de TI?
Totales 14 34
4.1.4.1. PORCENTAJE DE RIESGO

De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer

el porcentaje de riesgo en el proceso PO4 Definir los Procesos, Organización y
relaciones de TI
Porcentaje de riesgo parcial = (14 * 100) / 48 = 29,17%
Porcentaje de riesgo = 100% - 29,17% = 70,83%
De acuerdo con la categorización de niveles de riesgo que dicta que:
1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
El impacto según relevancia del proceso PO4 es Alto.
A continuación, se presenta un cuadro resumen de dicho análisis:
RIESGO:
Porcentaje de riesgo parcial 29,17%
Porcentaje de riesgo 70,83%
impacto según relevancia del proceso PO4  Riesgo alto
4.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Se presentará la aplicación del proceso AI3 concerniente con que las organizaciones
deben contar con procesos para adquirir, implementar y actualizar la infraestructura
tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger
la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la
disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte
tecnológico continuo para las aplicaciones del negocio.


PAGINA
1 DE 1
PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura
RESPONSABLE Wilder Alejandro Flórez González
DOMINIO Adquirir e Implementar
PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica

 Evaluar el
 Revisión de contratos de cumplimiento de la
alquiler de los equipos de ejecución del plan de
cómputo. mantenimiento
 Entrevista a los  Verificar la existencia de un  Realizar el
Ingenieros Elizabeth plan de adquisición de comparativo de
Narváez Lopera y Jorge infraestructura tecnológica inventarios mediante
Barco Gómez quienes  Verificar la existencia de un plataformas web
son los encargados del plan de mantenimiento de  Evaluar el
área informática. infraestructura tecnológica cumplimiento de la
 Inventario de los equipos  Verificar el registro monitoreo ejecución del plan de
de cómputo. periódico. adquisición.
 Contratos de  Verificación de la  Evaluar el estado
arrendamientos de estandarización de las actual de la
dispositivos tecnológicos políticas de uso de los infraestructura
 Evaluación de recursos tecnológicos, en el tecnológica.
proveedores sgc de la empresa.  Verificar el
 Revisión de las medidas de cumplimiento de la
control interno, seguridad y evaluación a
auditoría. proveedores
tecnológicos.
WILDER ALEJANDRO FLOREZ

Lista de chequeo
proceso Adquisición y mantenimiento de la infraestructura
Realizado por: Wilder Alejandro Flórez González
N° Aspectos por validar o chequear SI NO
1 ¿La empresa cuenta con un plan anual de mantenimiento? X

2 ¿Se realiza con frecuencia el mantenimiento preventivo a los
componentes tecnológicos? X
3 ¿Se cuenta con una bitácora, en la que se registren todos los
procesos de mantenimiento programados y realizados? X
4 ¿Existen políticas definidas (formatos) para la adquisición de
nuevos equipos? X
5 ¿Se realizan informes técnicos en el que se evidencie la relación
costo beneficio al momento de adquirir tanto dispositivos como X
plataformas tecnológicas?
6 ¿Existe un comité de compras que analice y garantice la

adquisición e instalación de los dispositivos tecnológicos? X
7 ¿Existe personal idóneo para realizar el mantenimiento tanto
preventivo como correctivo al hardware y software? X


Conocer aspectos claves del Mantenimiento de la
Objetivo Auditoría
Infraestructura
Proceso Auditado Adquisición y mantenimiento de la infraestructura
Responsable Wilder Alejandro Flórez González
Material de Soporte COBIT DOMINIO Adquirir e implementar
PROCESO AI3 Adquirir y mantener infraestructura tecnológica

1. ¿Cuáles son los pasos que sigue para solicitar un equipo de cómputo?
Se debe sustentar la necesidad de la compra, solicitar 2 cotizaciones y esperar aprobación de
la gerencia
2. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y software?
No se realiza mantenimiento preventivo al hardware, al software se le realiza
mantenimiento por lo menos una vez cada mes
3. ¿Registra todo lo realizado en el mantenimiento en su respectiva bitácora?
No existe una bitácora como tal, se envía un correo al usuario con los servicios que se le
prestaron durante el mantenimiento
4. ¿Con que frecuencia se capacita el personal encargado de realizar el mantenimiento de
los dispositivos tecnológicos?
La empresa no considero a TI en sus planes de capacitación
5. ¿Existe un control de los requerimientos y solicitudes de que se realizan al área?
No existe

6. ¿Cuáles son las medidas que se emplean para el control interno y seguridad de la
infraestructura tecnológica?
Se tienen restricciones para algunos usuarios y se modificó el host de los equipos para que
no puedan acceder a cierto tipo de páginas.
7. ¿Se realizan capacitaciones a los colaboradores que usan la infraestructura tecnológica?
¿y con qué frecuencia?
Las capacitaciones que se han brindado solo han sido en las implementaciones de nuevas
aplicaciones.
8. ¿Cree usted que la infraestructura tecnológica responde a todas las necesidades de la
empresa?
No, la empresa tiene equipos de más de 8 años funcionando en áreas críticas y eso hace que
la incidencia de errores y fallas sea frecuente.
9. ¿La empresa cuenta con equipos de cómputo en rentados? Si su respuesta es afirmativa
¿esta empresa está conformada legalmente?
La empresa no alquila equipos de cómputo, aunque tiene en alquiler 2 UPS para el servidor
y la regulada del área administrativa
John Jairo Martinez Torres Elizabeth Narváez Lopera


PAGINA
1 DE 1
Dominio Adquirir e implementar
Proceso Auditado AI3 Adquirir y mantener infraestructura tecnológica
¿Existe un plan para adquirir la infraestructura
5
tecnológica?
¿Se implementa el plan para adquirir la
4
¿Se consulta al área de compras para la adquisición
5
de infraestructura tecnológica?
¿Se evalúan los costos de la viabilidad comercial de
5
los distintos proveedores?
¿Se implementan medidas de control interno,
seguridad durante el mantenimiento de software y 2
hardware?
¿Se realiza el respectivo monitoreo a los diferentes
recursos de infraestructura?
5
¿La información obtenida de este monitoreo se

registra en una bitácora o formato?
5
¿Se ejecuta un plan de mantenimiento de la

4
¿En la ejecución del plan están incluidas las

revisiones contra la evaluación de los riesgos 5
identificados?
¿En la ejecución del plan están incluidas las
revisiones contra la evaluación de las 5
vulnerabilidades?
¿La infraestructura tecnológica de los equipos soporta
la instalación de diferentes sistemas operativos?
3
Totales 15 33


el porcentaje de riesgo en el proceso AI3 Adquirir y mantener infraestructura
tecnológica

El impacto según relevancia del proceso AI3 es Medio.
RIESGO:
impacto según relevancia del proceso PO4  Riesgo medio

4.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Para proteger los activos de TI en la empresa Cajascol se debe minimizar el impacto

causado por las vulnerabilidades identificadas en la seguridad lógica, por lo tanto, se
requiere de un proceso de administración de seguridad.

PAGINA
2 DE 2
PROCESO AUDITADO Administración e integridad de los sistemas.
RESPONSABLE Katherine Zapata Mosquera
DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas
 Realizar pruebas de seguridad
 Verificar que los permisos sobre la red de datos.
de acceso asignados a los  Verificar que la
usuarios correspondan a su solicitud, establecimiento,
perfil de usuario. emisión, suspensión,
 Validar que los procesos de modificación y cierre de
Entrevista a los
administración de cuentas de usuario, se
Ingenieros Elizabeth
seguridad, administración registran en un log del sistema
Narvaez Lopera y
de cuentas de usuarios, o un log de auditoria.
Jorge Barco Gómez
medidas de seguridad  Verificar el correcto
quienes son los
física, mantenimiento funcionamiento de los
encargados del área
preventivo del Hardware se mecanismos de autenticación
informática.
encuentren documentadas. utilizados.
 Verificar la existencia de los  Verificar que se mantiene el
registros de monitoreo de nivel de seguridad aprobado.
seguridad y pruebas  Verificar la instalación de
periódicas. controles físicos y
ambientales.
KATHERINE ZAPATA MOSQUERA

Lista de chequeo
proceso Garantizar la Seguridad de los Sistemas
Realizado por: Katherine Zapata Mosquera
N° Aspectos por validar o chequear Conforme
Objetivo de control DS5.3 Administración de Identidad SI NO
Existe proceso de autenticación para los usuarios internos que
1
solicitan acceso al sistema de información. X
El proceso de autenticación para los usuarios se encuentra
2
documentada. X
Existe un repositorio central con la información de usuarios y sus
3
permisos de acceso al sistema de información de la institución. X
Objetivo de control DS5.4 Administración de Cuentas del Usuario SI NO
Existe un procedimiento para la emisión, suspensión, modificación
4
y cierre de cuentas de usuarios. X
Existe un procedimiento de aprobación, donde se describa al
5
responsable encargado de otorgar los privilegios de acceso. X
Los procedimientos de emisión, suspensión, modificación, cierre y
6 aprobación se están aplicación a los usuarios internos y externos X
(incluyendo administradores).
Se están realizando revisiones regulares de la gestión de todas las
7
cuentas y los privilegios asociados. X
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Objetivo de control SI NO
Seguridad
Se realizan periódicamente pruebas de monitoreo a la seguridad
8
del acceso al sistema de información. X
Objetivo de control DS5.10 Seguridad de la Red SI NO
Existen controles para la información que se envía y recibe desde
9
internet. X


Conocer aspectos claves en cuanto a la seguridad
Objetivo Auditoría
informática y de infraestructura en Cajascol S.A.S
Proceso Auditado Administración e integridad de los sistemas.
Responsable Katherine Zapata Mosquera
Material de Soporte COBIT DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas
Entrevistado Ing. Jorge Barco Gomez
Cargo Coordinadora de Operaciones
1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el

sistema de información?
Si Totalmente
2. ¿Cómo se está realizando y registrando el monitoreo de seguridad?
No hay un proceso establecido para ese proceso
3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles?
Solamente ejecución de antivirus en el servidor
4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros
usuarios?
No, cada usuario posee sus propias credenciales
5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol?
Se cuenta con una clave autonumérica y un carácter especial, las cuentas de correo
poseen otra clave para que los usuarios puedan acceder vía web
6. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios?
Se actualizan cada 6 meses


7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol?

Totalmente básicos, aunque se está pensando en seguridad perimetral para evitar
intrusiones informáticas.
8. ¿Cómo el manejo de las incidencias de seguridad?
Se desconecta el servidor de línea y se llama a un tercero para que escale el problema.
9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las
cuentas?
No, todas las cuentas están montadas en el directorio activo de server 2012 R2, se confía en
la seguridad del servidor.
10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y
controlar los flujos de información desde y hacia internet?
No hay procedimientos por escrito, pero se ha bloqueado el host de los equipos para
prohibir navegar en ciertos tipos de páginas.
John Jairo Martinez Torres Jorge Barco Gomez


PAGINA
1 DE 1
Dominio Entregar y Dar Soporte
Proceso Auditado DS5 Garantizar la Seguridad de los Sistemas
Al momento de suministrar los datos de acceso al
sistema, ¿se informa el rol y las responsabilidades de 2
seguridad?
¿Los derechos de acceso del usuario se están
solicitando por la gerencia del usuario?
5
Los derechos de acceso del usuario solicitados,

¿están siendo aprobados por el responsable del 3
sistema?
Los derechos de acceso del usuarios solicitados y
aprobados, ¿están siendo implementados por el 3
responsable de seguridad del sistema?
¿Las identidades y los derechos de acceso se
almacenan en un repositorio central?
5
¿Actualmente se está aprobando todas las acciones

realizadas por la gerencia de cuentas de usuario?
5
¿El procedimiento de la gerencia de cuentas de

usuarios, se aplica a todos los usuarios, incluyendo 2
administradores, usuarios externos e internos?
¿Actualmente se está probando y monitoreando la
4
implementación de la seguridad en TI?
¿Existen controles para la información que se envía y
4
recibe de Internet?
Totales 13 20


el porcentaje de riesgo en el proceso DS5 Garantizar la Seguridad de los Sistemas

El impacto según relevancia del proceso DS5 es Medio.
RIESGO:
impacto según relevancia del proceso DS5  Riesgo medio

4.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.
Con la aplicación de la auditoria se busca si Cajascol proporcionar un ambiente físico

conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego,
polvo, calores excesivos) o fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso
del personal a las instalaciones y contemplen su seguridad física.

PAGINA
1 DE 1
PROCESO AUDITADO Administrar el Ambiente Físico
RESPONSABLE Jairo Angulo Castillo
PROCESO DS12 Administrar el Ambiente Físico
 comprobar la existencia
Entrevista a los de documentos respecto a
 Medición de resultados de la
Ingenieros los manuales de riesgos,
eficacia y eficacia de los
Elizabeth Narváez sistemas de control
controles existentes.
Lopera y Jorge interno, manuales de
 Comprobar la aplicación de
Barco Gómez convivencia,
controles frente a los riesgos
quienes son los  Riesgos y
y Vulnerabilidades
encargados del Vulnerabilidades
detectados.
área informática. detectados frente a su
tratamiento.
JAIRO ANGULO CASTILLO

Lista de chequeo
proceso Administrar el Ambiente Físico
Realizado por: Jairo Angulo Castillo
N° Aspectos por validar o chequear Conforme
Objetivo de DS12.1 Selección y Diseño del Centro de
SI NO
control Datos
¿Las instalaciones donde funciona el área de sistemas (cubículos
1
y oficinas), fueron diseñadas o adaptadas para su funcionamiento? X
Objetivo de
DS12.2 Medidas de Seguridad Física SI NO
control
¿Se utilizan métodos cualitativos o cuantitativos para medir la
probabilidad e impacto de los riesgos que pueden afectar la
2
infraestructura donde funciona la empresa especialmente en el X
área de sistemas?
Objetivo de
DS12.3 Acceso Físico SI NO
control
¿Se tienen lugares de acceso restringido donde se poseen
3
mecanismos de seguridad para el acceso a estos lugares? X
Objetivo de DS12.4 Protección Contra Factores
SI NO
control Ambientales
¿Existe un plan de acción para mitigar los riesgos de la
4
infraestructura ante algún suceso ambiental? X
Objetivo de DS12.5 Administración de Instalaciones
SI NO
control Físicas
¿Existe un plan o manual donde se describa las funciones en la
5
seguridad de instalaciones? X


Conocer aspectos claves en cuanto a la seguridad física de
Objetivo Auditoría los activos de Cajascol, especialmente en el área de
informática
Proceso Auditado Administrar el Ambiente Físico.
Responsable Jairo Angulo Castillo
PROCESO DS12 Administrar el Ambiente Físico
Entrevistado Ing. Jorge Barco Gómez
Cargo Coordinador de Operaciones
1. ¿Las instalaciones de la empresa se encuentran construidas en una zona segura, ante

cualquier fenómeno natural (inundación, avalancha, incendio, forestal entre otros)?
No, estamos en la ladera del rio Cauca y ya hemos tenido dos inundaciones que causaron
grandes pérdidas, en cuanto a incendios tenemos una bodega abierta don se almacena
cartón reciclado y uno de los riesgos más grandes podría ser un incendio
2. ¿Poseen mecanismo de seguridad se le han detectado debilidades?
Los mecanismos de seguridad están orientados a las personas, su evacuación y seguridad
3. ¿Existe suficiente espacio dentro de las instalaciones de forma que permita una
circulación fluida?
En teoría sí, pero cuando hay picos de producción, se llenan todos los espacios de
circulación
4. ¿Existen lugares de acceso restringido y se cuenta con sistemas de seguridad para
impedir el paso a dicho lugar?
Si, la bodega de cargue de gas al montacargas y el acceso a los generadores
5. ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro
tipo de sensores?
Hay luces de emergencia y alarmas que deben ser activadas por los brigadistas
6. ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo?
Si


7. ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las
instalaciones?
Se tienen cámaras de seguridad y se hace revisión en portería por empleados de seguridad
privada.
8. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales?
De manera frecuente ya que al trabajar con material reciclado y una caldera de carbón, los
controles de la CVC son altos, así que mensualmente se hacen dichas previsiones.
9. ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales?
Si.
10. ¿Se tiene un registro de las personas que ingresan a las instalaciones?
Si, en portería llevan una bitácora de control de visitantes a administración y también a
vehículos de empresas transportadoras.
John Jairo Martinez Torres Jorge Barco Gómez


PAGINA
1 DE 1
Proceso Auditado DS12 Administrar el Ambiente Físico
¿La organización cuenta con políticas y
procedimientos formales respecto al ingreso de 5
personas que no pertenezcan a la misma?
¿Existe un marco de referencia para la evaluación
sistemática de los riesgos a los que está expuesta la 3
infraestructura física de la institución?
¿Se cuenta con los suficientes equipos para la
mitigación de incendios?
5
¿Existen normas de control interno donde se evalúe y
garantice la protección de las instalaciones para su 4
disponibilidad e integridad?
¿Se realiza actualización de los diferentes tipos de
2
riesgos que pueden afectar la infraestructura física?
¿Se utilizan métodos cualitativos o cuantitativos para
medir la probabilidad e impacto de los riesgos que 2
pueden afectar la infraestructura física?
¿Se promueve e incentiva la seguridad en la
institución?
4
¿La organización cuenta con políticas y
procedimientos formales respecto a la contratación de 2
terceros?
¿Existe un plan de acción para el mantenimiento de la
2
infraestructura física?
¿Se realiza evaluación a la seguridad de
instalaciones ante un posible suceso terrorista o 2
natural?
Los controles existentes son suficientes para decir
que la empresa es segura
5
Totales 12 24


el porcentaje de riesgo en el proceso DS12 Administrar el Ambiente Físico

RIESGO:
4.5. DS13 ADMINISTRACIÓN DE OPERACIONES.
Con la realización de la auditoria se busca si Cajascol cumple con asegurar que las
actividades de soporte de TI se lleven de una manera ordenada, a través de un
cronograma de actividades de soporte que se debe registrar y completar en cuanto al
logro de las actividades. Se debe establecer y documentar procedimientos para las
diferentes actividades de TI, los cuales se revisarán periódicamente garantizando su
cumplimiento


PAGINA
1 DE 1
PROCESO AUDITADO Mantenimiento de equipos
RESPONSABLE Jhonny Caicedo Velarde
PROCESO DS13 Administración de Operaciones

 Analizar si la cantidad de
equipos existentes son
necesarios para la operación  Analizar el nivel de
Entrevista a los
requerida o en su defecto si pericia de los usuarios
Ingenieros
hacen falta. con los diferentes
Elizabeth Narváez
 Analizar la disponibilidad de entornos de las
Lopera y Jorge
documentación de los equipos. aplicaciones
Barco Gómez
 Analizar la comunicación entre funcionales.
quienes son los
encargados del los usuarios de los equipos y  Analizar las ubicaciones
los encargados del de los equipos
área informática.
mantenimiento tanto de existentes.
hardware y software de los
equipos.
JHONNY CAICEDO VELAVERDE

Lista de chequeo
proceso DS13 Administración de Operaciones
Realizado por: Jhonny Caicedo Velarde
N° Aspectos por validar o chequear SI NO
1 El equipo de cómputo y/o impresora se encuentran en una base firme. X
2 El monitor funciona correctamente. X
3 El mouse funciona correctamente. X
4 El teclado funciona correctamente. X
5 El cableado eléctrico está protegido X
6 El equipo se encuentra conectado a corriente asistida. X
7 Los tomacorrientes se encuentran plenamente identificados. X
8 Los equipos de cómputo tienen todas sus partes. X
9 El antivirus se encuentra actualizado. X
10 El software actual se encuentra actualizado. X
11 El equipo se encuentra en buen estado de limpieza. X
12 La impresora se encuentra conectada por fuera de la corriente asistida. X
13 El área donde se encuentra el equipo se encuentra ventilada. X
14 Existe hardware y/o otros equipos conectados al equipo de cómputo. X


Analizar e identificar las posibles fallas que afecten el
funcionamiento del hardware, para definir políticas y
Objetivo Auditoría procedimientos que aseguren el mantenimiento preventivo
del hardware ayudando a mantener la integridad de los datos
y reducir los retrasos de la empresa.
Proceso Auditado Indicadores de funcionamiento del hardware y software
Responsable Jhonny Caicedo Velarde
PROCESO DS13 Administración de Operaciones
1. ¿Existe un cronograma para el mantenimiento preventivo de los equipos?

No
2. ¿En qué consiste el mantenimiento preventivo?
Anticiparse a correctivos, manteniendo los equipos en bues estado de funcionamiento
3. ¿Se cuenta con la herramienta necesaria, para realizar dichos mantenimientos?
Si
4. ¿Queda registro de los mantenimientos realizados?
Hace mucho no se hacen, pero en su momento si quedo registro
5. ¿Quién realiza el mantenimiento a los equipos de respaldo como la UPS y planta
eléctrica?
Empresas contratistas
6. ¿El mantenimiento preventivo a estos equipos (respaldo) cada cuanto se realiza?
En teoría cada 6 meses, pero el ultimo mantenimiento de equipos se llevó hace 18 meses

7. ¿Existe protecciones en cuanto al sistema de tierras?

Si
8. ¿Existe y están disponibles los manuales de cada uno de los equipos?
De los más nuevos
9. ¿Se tiene algún plan de contingencia para cuando presente fallas un equipo? ¿Cuál?
No, el usuario debe esperar a que se haga el correctivo.
10. ¿Existe un procedimiento para los mantenimientos correctivos de los equipos?
Si es un correctivo que se sale de nuestras manos, se llama a un tercero
John Jairo Martinez Torres Elizabeth Narváez Lopera


PAGINA
1 DE 2
Proceso Auditado DS13 Administración de Operaciones
¿Se cuenta con un inventario de equipos de
3
cómputo?
¿Si existe inventario contiene los siguientes
ítems?
Número del computador
Fecha
Ubicación 5
Responsable
Características (memoria, procesador, monitor,
disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos?
Numero de hoja de vida
Número del computador correspondiente
5
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los
5
equipos?
¿La temperatura a la que trabajan los equipos es
3
la adecuada?
¿Al momento de presentar una falla en el equipo,
2
la atención que se presta es oportuna?
¿Se realizan pruebas de funcionamiento a los
equipos de respaldo como UPS y planta 2
eléctrica?
¿se realizan estas pruebas periódicamente? 4
¿Es calificado el personal que realiza las
5
pruebas?
¿Existe proveedores para el mantenimiento de 5

los equipos?
PAGINA
2 DE 2
Proceso Auditado DS13 Administración de Operaciones
¿Se cuenta con planos eléctricos actualizados? 2
¿Se lleva un procedimiento para la adquisición
5
de nuevos equipos?
¿La infraestructura tecnológica de los equipos
soporta la instalación de diferentes sistemas 4
operativos?
¿Existe políticas de backup de la información? 2
Totales 19 33

el porcentaje de riesgo en el proceso DS13 Administración de Operaciones


RIESGO:
5. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO
Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis

y evaluación de riesgos de cada proceso.
Se tomarán las siguientes pautas al momento del análisis, se construye las escalas de
medición del impacto y la probabilidad de ocurrencia de los riesgos, hay que tener en
cuenta que puede haber una valoración cuantitativa y cualitativa y que deben
describirse los valores correspondientes tal y como aparece en las siguientes matrices:
Matriz para medición de probabilidad e impacto de riesgos
IMPACTO
NIVE
DESCRIPTOR DESCRIPCIÓN
L
Si el hecho llegara a presentarse, tendría
1 Insignificante
consecuencias o efectos mínimos sobre la entidad
Si el hecho llegara a presentarse, tendría bajo
2 Menor
impacto o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría medianas
3 Moderado
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría altas
4 Mayor
consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría
desastrosas consecuencias o efectos sobre la

entidad
PROBABILIDAD
NIVE
DESCRIPTOR DESCRIPCIÓN
L FRECUENCIA
El evento puede ocurrir sólo en No se ha presentado en los
1 Raro
circunstancias excepcionales últimos 5 años
El evento puede ocurrir en Se ha presentado al menos 1
2 Improbable
algún momento vez en los últimos 5 años
El evento puede ocurrir en Se ha presentado al menos de 1
3 Posible
algún momento vez en los últimos 2 años
El evento probablemente
Se ha presentado al menos 1
4 Probable ocurrirá en la mayoría de las
vez en el último año
circunstancias
Se espera que el evento ocurra
Se ha presentado más de 1 vez
5 Casi Seguro en la mayoría de las
al año
circunstancias
Con las escalas de medición se construye la matriz de riesgos general que se aplica
para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
IMPACTO
PROBABILIDAD Insignificante = 1
Menor = 2
Raro = 1
Moderado = 3
Improbable = 2

Posible = 3
Mayor = 4
Probable = 4
Catastrófico = 5
Casi Seguro = 5
Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de

evaluación de los riesgos encontrados en cada uno de los procesos evaluados,
teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de los mismos
y el impacto que pueden causar en la empresa.
5.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
En este proceso se analizarán los riesgos relacionados con la infraestructura

organizacional del área de tecnologías de información, los roles de las personas que
hacen parte de dicha área, involucramiento de la gerencia en funciones de TI,
inducciones de programas o aplicativos, alcance de los usuarios en sus funciones y
responsabilidad en procesos de TI.
5.1.1. RIESGOS INICIALES
1. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener

información confiable y oportuna
2. destrucción de las edificaciones y sus activos
3. Descarga apertura o instalación de programas o documentos infectados.
4. Perder trazabilidad e historia en los registros de la empresa
5. Retraso en las actividades a desarrollar
6. El personal no cuenta con programas de capacitación y formación en seguridad
informática y de la información.
7. Acceso a información confidencial.
5.1.2. RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
8. No existen manuales de función del personal de Sistemas

9. El área de TI no está relacionada con las necesidades de los usuarios
10. No existen planes de contingencia ante eventos o fallas
11. No hay procedimientos ante la ocurrencia de eventos
12. No se hace monitoreo a los usuarios y al modo de uso de los equipos
13. No existen manuales de desarrollo hechos en la empresa.
14. No hay personal encargado de monitorear y mitigar los riesgos relacionados con
el área de TI
15. Existe dependencia de un solo individuo en operaciones relacionadas con los
sistemas

16. Existen procesos de negocio que no reciben soporte por parte del área de TI
17. No se hacen reuniones o comités para tratar temas relacionados con el área de TI
5.1.3. ANALISIS Y EVALUACIÓN DE RIESGO
N° Descripción Impacto Probabilidad

Se retrasen operaciones de ingresos de registros lo que
R1 3 4
ocasiona no tener información confiable y oportuna
R2 destrucción de las edificaciones y sus activos 5 2
Descarga apertura o instalación de programas o
R3 4 4
documentos infectados.
Perder trazabilidad e historia en los registros de la
R4 3 3
empresa
R5 Retraso en las actividades a desarrollar 2 5
El personal no cuenta con programas de capacitación y
R6 2 4
formación en seguridad informática y de la información.
R7 Acceso a información confidencial. 4 3
No existen manuales de función del personal de
R8 3 4
Sistemas
El área de TI no está relacionada con las necesidades de
R9 3 4
los usuarios
R10 No existen planes de contingencia ante eventos o fallas 4 5
R11 No hay procedimientos ante la ocurrencia de eventos 4 4
No se hace monitoreo a los usuarios y al modo de uso de
R12 4 5
los equipos
No existen manuales de desarrollo hechos en la
R13 4 5
empresa.
No hay personal encargado de monitorear y mitigar los
R14 5 3
riesgos relacionados con el área de TI
Existe dependencia de un solo individuo en operaciones
R15 5 5
relacionadas con los sistemas
Existen procesos de negocio que no reciben soporte por
R16 2 2
parte del área de TI
R17 No se hacen reuniones o comités para tratar temas 2 1

relacionados con el área de TI
5.1.4. RESULTADO MATRIZ DE RIESGOS
IMPACTO
PROBABILIDA
D Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) R17
Improbable (2) R16 R2
Posible (3) R4 R7 R14
Probable (4) R6 R1, R8, R9 R3, R11
R10, R12,
Casi Seguro (5) R5 R15
R13
5.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
En este proceso se analizarán los riesgos relacionados con la infraestructura

tecnológica, verificando que exista un soporte tecnológico en cuanto a planes de
mantenimiento, políticas para adquisición de nuevos equipos, monitoreo a recursos de
informática y obsolescencia de equipos frente a nuevas tecnologías.

2. Perdida de la trazabilidad e historia en los registros de la empresa
3. Equipo sin funcionamiento por un determinado tiempo.

5. No se considera al área de TI en los planes de capacitación

6. Inexistencia del plan anual de mantenimiento
7. Falta de mantenimiento preventivo al hardware
8. Desconocimiento del plan para adquirir la infraestructura tecnológica.
9. Recursos de la infraestructura tecnológica no monitoreados.
10. Infraestructura tecnológica obsoleta.
11. Controles mínimos para la adquisición de nueva infraestructura tecnológica.
12. No se cuenta con el correspondiente registro de los mantenimientos ejecutados

R1 3 5
Perdida de la trazabilidad e historia en los registros de la
R2 3 3
empresa
Equipos tecnológicos sin funcionamiento por un
R3 3 3
determinado tiempo
Descarga apertura o instalación de programas o
R4 5 4
documentos infectados.
No se considera al área de TI en los planes de
R5 4 5
capacitación
R6 Inexistencia del plan anual de mantenimiento 5 5
R7 Falta de mantenimiento preventivo al hardware 5 4
Desconocimiento del plan para adquirir la infraestructura
R8 4 4
tecnológica
Recursos de la infraestructura tecnológica no
R9 4 4
monitoreados.
R10 Infraestructura tecnológica obsoleta. 4 4
Controles mínimos para la adquisición de nueva
R11 3 4
infraestructura tecnológica
No se cuenta con el correspondiente registro de los
R12 3 3
mantenimientos ejecutados

IMPACTO
PROBABILIDA
D Insignificant Moderado Catastrófico
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1)
Improbable (2)
Posible (3) R2,R3,R12
Probable (4) R11 R8,R9,R10 R4,R7
Casi Seguro (5) R1 R5 R6
5.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
En este proceso se analizarán los riesgos relacionados con la seguridad lógica, como
temas de acceso y credenciales de usuarios, procedimientos para creación de cuentas
y privilegios de acceso de cada una, también se abordan los riesgos relacionados con
el monitoreo de cuentas y la seguridad con la información que se envía y recibe vía
internet
1. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus

informático (spam, phishing, botnets)
2. Perdida de integralidad, Alteración de la información
3. Perdida de información, modificación o eliminación de cuentas de usuario.
4. Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una
información confiable.
5. Instalación de virus en el sistema, multas y problemas legales por no tener
software legalizado.

7. Eliminar información importante y perdida de la confidencialidad.
8. Acceso a la red de la organización.
9. Perdida de confidencialidad e integralidad de la información.
10. Facilidad en hurto de información confidencial.

11. Las PQRS no se han gestionadas debidamente.
12. Realización de actividades no conformes con lo indicado por la empresa.

Instalación de aplicaciones y acceso a sitios web no
R1 autorizados. (Virus informático (spam, phishing, 3 5
botnets)
R2 Perdida de integralidad, Alteración de la información 4 3
Perdida de información, modificación o eliminación de
R3 4 4
cuentas de usuario.
Eliminación de registros o mal ingreso de los mismos,
R4 3 4
lo que haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas
R5 4 5
legales por no tener software legalizado.
El personal no cuenta con programas de capacitación
R6 y formación en seguridad informática y de la 3 4
información.
Eliminar información importante y perdida de la
R7 4 3
confidencialidad.
R8 Acceso a la red de la organización. 4 3
Perdida de confidencialidad e integralidad de la
R9 4 4
información.
R10 Facilidad en hurto de información confidencial. 5 4
R11 Las PQRS no se han gestionadas debidamente. 3 3
Realización de actividades no conformes con lo
R12 4 3
indicado por la empresa.

IMPACTO
PROBABILIDA
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1)
Improbable (2)
R2, R7, R8,

Posible (3) R11
R12
Probable (4) R4, R6 R3, R9 R10
5.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.
En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se
proteja tanto al personal como a los equipos de peligros naturales o siniestros también
se tratara de analizar si los puestos de trabajo cumplen con las normas de seguridad
obligatorias y si en los colaboradores existe una cultura de que promueva e incentive la
seguridad propia y de la empresa.
1. Material propenso a incendios

2. Acceso no autorizado a las diferentes áreas
3. Personas poco cuidadosas
4. Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la
empresa
5. Robo del servidor o manipulación del mismo

6. No hay circulación adecuada de aire, además se presenta la amenaza de

incendio.
7. Instalaciones propensas a inundación o derrumbe

8. Desorientación ante daños de la infraestructura en suceso ambiental
9. falta de controles en la seguridad de la empresa
10. carencia plan de acción para el mantenimiento de la infraestructura
física
11. Carencia promoción e incentivos para la seguridad en la institución
12. No hay como detectar de forma temprana humo, incendio, inundaciones
mediante equipos tecnológicos para la prevención y evacuación.

R1 Material propenso a incendios 5 3
R2 Acceso no autorizado a las diferentes áreas 4 3
R3 Personas poco cuidadosas 2 3
Se encuentran muchos puntos ciegos donde podrían
R4 3 4
acceder intrusos a la empresa
R5 Robo del servidor o manipulación de este 5 3
No hay circulación adecuada de aire, además se
R6 3 3
presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe 3 3
Desorientación ante daños de la infraestructura en
R8 4 1
suceso ambiental
R9 falta de controles en la seguridad de la empresa 4 5
carencia plan de acción para el mantenimiento de la
R10 4 4
infraestructura física
Carencia promoción e incentivos para la seguridad en
R11 3 5
la institución
R12 No hay como detectar de forma temprana humo, 4 3

incendio, inundaciones mediante equipos tecnológicos

para la prevención y evacuación.

IMPACTO
PROBABILIDA
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1) R8
Improbable (2) R3
Posible (3) R6 R7 R2 R12 R5 R1
Probable (4) R4 R10
5.5. DS13 ADMINISTRACIÓN DE OPERACIONES
En este proceso se analizarán los riesgos relacionados con la administración de

operaciones, que se cumplan con las actividades de soporte y que se lleven de manera
ordenada y documentada, que exista un cronograma de actividades, que existan
procedimientos documentados y evaluar si el personal es idóneo para las funciones de
soporte de TI
1. Demora en solucionar fallas de equipos por falta de identificación de cableado.

2. Fallas en el suministro de energía.
3. Ausencia de ventilación para los equipos de computo

4. Daño de elementos importantes en los equipos por ausencia de energía asistida.

5. Posible de daño de equipos por mala señalización de las fuentes de energía.
6. Desactualización de Software.
7. Fallas de equipos por falta de mantenimientos preventivos.
8. No se lleva control de los mantenimientos realizados.
9. No se controla el mantenimiento preventivo a los equipos de respaldo.
10. No existe la documentación completa de todos los equipos existentes, referentes
a manuales y demás documentos que puedan dar información sobre los
equipos.
11. No existen planes de contingencia al momento de falla de un equipo.
12. No se tiene control de los mantenimientos correctivos de los equipos.
Impact
N° Descripción Probabilidad
o
Demora en solucionar fallas de equipos por falta de
R1 2 5
identificación de cableado.
R2 Fallas en el suministro de energía. 4 4
R3 Daño de equipos por ausencia de ventilación. 3 3
Daño de elementos importantes en los equipos por
R4 5 4
ausencia de energía asistida.
Posible de daño de equipos por mala señalización de las
R5 3 3
fuentes de energía.
R6 Desactualización de Software. 2 2
R7 Fallas de equipos por falta de mantenimientos preventivos. 4 5
R8 No se lleva control de los mantenimientos realizados. 3 3
No se controla el mantenimiento preventivo a los equipos
R9 4 4
de respaldo.
No existe la documentación completa de todos los equipos
R1
existentes, referentes a manuales y demás documentos 3 2
0
que puedan dar información sobre los equipos.
No existen planes de contingencia al momento de falla de
R11 4 5
un equipo.
R1 No se tiene control de los mantenimientos correctivos de
4 3
2 los equipos.


IMPACTO
PROBABILIDA
Insignificant Moderado Catastrófico
D Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1)
Improbable (2) R6 R10
Posible (3) R3, R3, R8 R12
Probable (4) R2, R9 R4
Casi Seguro (5) R1 R7, R11
6. ANALISIS Y EVALUACION DE RIESGOS GLOBAL
Para poder emitir un reporte formal a la empresa Cajascol, el equipo auditor considero
agrupar todos los riesgos en un solo análisis y presentar algunas posibles acciones que
mitiguen el impacto o disminuya la probabilidad de ocurrencia de los riesgos.
6.1. RIESGOS INICIALES
1. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener

información confiable y oportuna
2. destrucción de las edificaciones y sus activos
4. Perder trazabilidad e historia en los registros de la empresa
5. Retraso en las actividades a desarrollar
7. Acceso a información confidencial.
8. Perdida de la trazabilidad e historia en los registros de la empresa
9. Equipo sin funcionamiento por un determinado tiempo.
10. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático
(spam, phishing, botnets)
11. Perdida de integralidad, Alteración de la información

12. Perdida de información, modificación o eliminación de cuentas de usuario.

13. Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una
14. Instalación de virus en el sistema, multas y problemas legales por no tener software
legalizado.
15. Eliminar información importante y perdida de la confidencialidad.
16. Acceso a la red de la organización.
17. Material propenso a incendios
18. Acceso no autorizado a las diferentes áreas
19. Personas poco cuidadosas
20. Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
21. Robo del servidor o manipulación del mismo
22. No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
23. Demora en solucionar fallas de equipos por falta de identificación de cableado.
24. Fallas en el suministro de energía.
25. Ausencia de ventilación para los equipos de computo
6.2. RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
26. No existen manuales de función del personal de Sistemas

27. El área de TI no está relacionada con las necesidades de los usuarios
28. No existen planes de contingencia ante eventos o fallas
29. No hay procedimientos ante la ocurrencia de eventos
30. No se hace monitoreo a los usuarios y al modo de uso de los equipos
31. No existen manuales de desarrollo hechos en la empresa.
32. No hay personal encargado de monitorear y mitigar los riesgos relacionados con el
área de TI
33. Existe dependencia de un solo individuo en operaciones relacionadas con los
sistemas
34. Existen procesos de negocio que no reciben soporte por parte del área de TI
35. No se hacen reuniones o comités para tratar temas relacionados con el área de TI
36. No se considera al área de TI en los planes de capacitación
37. Inexistencia del plan anual de mantenimiento
38. Falta de mantenimiento preventivo al hardware
39. Desconocimiento del plan para adquirir la infraestructura tecnológica.
40. Recursos de la infraestructura tecnológica no monitoreados.
41. Infraestructura tecnológica obsoleta.
42. Controles mínimos para la adquisición de nueva infraestructura tecnológica.
43. No se cuenta con el correspondiente registro de los mantenimientos ejecutados
44. Facilidad en hurto de información confidencial.
45. Las PQRS no se han gestionadas debidamente.
46. Realización de actividades no conformes con lo indicado por la empresa.

47. Instalaciones propensas a inundación o derrumbe

48. Desorientación ante daños de la infraestructura en suceso ambiental
49. falta de controles en la seguridad de la empresa
50. carencia plan de acción para el mantenimiento de la infraestructura física
51. Carencia promoción e incentivos para la seguridad en la institución
52. No hay como detectar de forma temprana humo, incendio, inundaciones mediante
equipos tecnológicos para la prevención y evacuación.
53. Daño de elementos importantes en los equipos por ausencia de energía asistida.
54. Posible de daño de equipos por mala señalización de las fuentes de energía.
55. Desactualización de Software.
56. Fallas de equipos por falta de mantenimientos preventivos.
57. No se lleva control de los mantenimientos realizados.
58. No se controla el mantenimiento preventivo a los equipos de respaldo.
59. No existe la documentación completa de todos los equipos existentes, referentes a
manuales y demás documentos que puedan dar información sobre los equipos.
60. No existen planes de contingencia al momento de falla de un equipo.
61. No se tiene control de los mantenimientos correctivos de los equipos.
6.3. ANALISIS Y EVALUACIÓN DE RIESGO
Se retrasen operaciones de ingresos de registros lo que

R1 3 4
ocasiona no tener información confiable y oportuna
R2 destrucción de las edificaciones y sus activos 5 2
Descarga apertura o instalación de programas o documentos
R3 4 4
infectados.
R4 Perder trazabilidad e historia en los registros de la empresa 3 3
R5 Retraso en las actividades a desarrollar 2 5
R6 2 4
R7 Acceso a información confidencial. 4 3
R8 No existen manuales de función del personal de Sistemas 3 4
El área de TI no está relacionada con las necesidades de los
R9 3 4
usuarios
R10 No existen planes de contingencia ante eventos o fallas 4 5
R11 No hay procedimientos ante la ocurrencia de eventos 4 4
No se hace monitoreo a los usuarios y al modo de uso de los
R12 4 5
equipos
R13 No existen manuales de desarrollo hechos en la empresa. 4 5

No hay personal encargado de monitorear y mitigar los riesgos

R14 5 3

Existe dependencia de un solo individuo en operaciones
R15 5 5
relacionadas con los sistemas
Existen procesos de negocio que no reciben soporte por parte
R16 2 2
del área de TI
No se hacen reuniones o comités para tratar temas
R17 2 1
Perdida de la trazabilidad e historia en los registros de la
R18 3 3
empresa
Equipos tecnológicos sin funcionamiento por un determinado
R19 3 3
tiempo
R20 No se considera al área de TI en los planes de capacitación 4 5
R21 Inexistencia del plan anual de mantenimiento 5 5
R22 Falta de mantenimiento preventivo al hardware 5 4
Desconocimiento del plan para adquirir la infraestructura
R23 4 4
tecnológica
R24 Recursos de la infraestructura tecnológica no monitoreados. 4 4
R25 Infraestructura tecnológica obsoleta. 4 4
Controles mínimos para la adquisición de nueva infraestructura
R26 3 4
tecnológica
No se cuenta con el correspondiente registro de los
R27 3 3
mantenimientos ejecutados
Instalación de aplicaciones y acceso a sitios web no
R28 3 5
autorizados. (Virus informático (spam, phishing, botnets)
R29 Perdida de integralidad, Alteración de la información 4 3
Perdida de información, modificación o eliminación de cuentas
R30 4 4
de usuario.
Eliminación de registros o mal ingreso de los mismos, lo que
R31 3 4
haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas legales
R32 4 5
por no tener software legalizado.
Eliminar información importante y perdida de la
R33 4 3
confidencialidad.
R34 Acceso a la red de la organización. 4 3


R35 Facilidad en hurto de información confidencial. 5 4
R36 Las PQRS no se han gestionadas debidamente. 3 3
Realización de actividades no conformes con lo indicado por la
R37 4 3
empresa.
R38 Material propenso a incendios 5 3
R39 Acceso no autorizado a las diferentes áreas 4 3
R40 Personas poco cuidadosas 2 3
Se encuentran muchos puntos ciegos donde podrían acceder
R41 3 4
intrusos a la empresa
R42 Robo del servidor o manipulación de este 5 3
No hay circulación adecuada de aire, además se presenta la
R43 3 3
amenaza de incendio.
R44 Instalaciones propensas a inundación o derrumbe 3 3
Desorientación ante daños de la infraestructura en suceso
R45 4 1
ambiental
R46 falta de controles en la seguridad de la empresa 4 5
carencia plan de acción para el mantenimiento de la
R47 4 4
infraestructura física
Carencia promoción e incentivos para la seguridad en la
R48 3 5
institución
No hay como detectar de forma temprana humo, incendio,
R49 inundaciones mediante equipos tecnológicos para la prevención 4 3
y evacuación.
Demora en solucionar fallas de equipos por falta de
R50 2 5
identificación de cableado.
R51 Fallas en el suministro de energía. 4 4
R52 Daño de equipos por ausencia de ventilación. 3 3
Daño de elementos importantes en los equipos por ausencia de
R53 5 4
energía asistida.
Posible de daño de equipos por mala señalización de las
R54 3 3
fuentes de energía.

R55 Desactualización de Software. 2 2
R56 Fallas de equipos por falta de mantenimientos preventivos. 4 5
R57 No se lleva control de los mantenimientos realizados. 3 3

No se controla el mantenimiento preventivo a los equipos de

R58 4 4
respaldo.
No existe la documentación completa de todos los equipos
R59 existentes, referentes a manuales y demás documentos que 3 2
puedan dar información sobre los equipos.
No existen planes de contingencia al momento de falla de un
R60 4 5
equipo.
No se tiene control de los mantenimientos correctivos de los
R61 4 3
equipos.
6.4. RESULTADO MATRIZ DE RIESGOS

IMPACTO
PROBABILIDAD Insignificant Menor Catastrófico
Moderado (3) Mayor (4)
e (1) (2) (5)
Raro (1) R17 R45
R16,
Improbable (2) R17
R59 R2
R4, R18, R19,

R7, R29, R33,
R27, R36, R43, R14, R38,
Posible (3) R40
R44, R52, R54,
R34, R37, R39,
R42
R49, R61
R57
R3, R11, R23,
R1, R8, R9, R26, R22, R35,
Probable (4) R6
R31, R41
R24, R25, R30,
R53
R47, R51, R58
R10, R12, R13,
Casi Seguro (5) R5, R50 R28, R48 R20, R32, R46, R15, R21
R56, R60
6.5. ACCIONES SUGERIDAS PARA LA EMPRESA
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en
cada caso.

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o
E transferir
6.5.1. ZONA DE RIESGO BAJA
N° Descripción
R16 Existen procesos de negocio que no reciben soporte por parte del área de TI
R17 No se hacen reuniones o comités para tratar temas relacionados con el área de TI
R55 Desactualización de Software.
Los riesgos enunciados son de impacto menor y podrían asumirse por la empresa,
aunque sería recomendable hacer reuniones para tratar temas de TI e involucrar a la
gerencia en dichos comités, también podría revisarse el tema de actualizar software
6.5.2. ZONA DE RIESGO MODERADA
N° Descripción
R40 Personas poco cuidadosas
No existe la documentación completa de todos los equipos existentes, referentes a
R59
manuales y demás documentos que puedan dar información sobre los equipos.
Aunque los riesgos no se de mayor impacto si podrían llegar a serlo, por tal motivo se
recomienda hacer inducción a los usuarios acerca del manejo de equipos y aplicativos,
también se sugiere hacer levantamiento de información de todos los equipos y archivar
de forma segura.
6.5.3. ZONA DE RIESGO ALTA
N° Descripción
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información
R1
confiable y oportuna
R4 Perder trazabilidad e historia en los registros de la empresa
R5 Retraso en las actividades a desarrollar

El personal no cuenta con programas de capacitación y formación en seguridad

R6
R8 No existen manuales de función del personal de Sistemas
R9 El área de TI no está relacionada con las necesidades de los usuarios
R18 Perdida de la trazabilidad e historia en los registros de la empresa
R19 Equipos tecnológicos sin funcionamiento por un determinado tiempo
R26 Controles mínimos para la adquisición de nueva infraestructura tecnológica
R27 No se cuenta con el correspondiente registro de los mantenimientos ejecutados
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una
R31
R36 Las PQRS no se han gestionadas debidamente.
R41 Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
R43 No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
R44 Instalaciones propensas a inundación o derrumbe
R45 Desorientación ante daños de la infraestructura en suceso ambiental
R50 Demora en solucionar fallas de equipos por falta de identificación de cableado.
R52 Daño de equipos por ausencia de ventilación.
R54 Posible de daño de equipos por mala señalización de las fuentes de energía.
R57 No se lleva control de los mantenimientos realizados.
Es preocupante que el 32.8% de los riesgos estén en la zona de riesgo alta, esto indica
que la empresa debe tomar acciones para mitigar o transferir los riegos hallados, a
continuación, se proponen algunas acciones que podrían llevar a reducir el impacto o
probabilidad de los riesgos.
 Capacitar al personal de TI en temas de seguridad informática

 Definir roles y construir manuales de funciones al personal de TI
 Enfocar al área de TI a las necesidades de los usuarios y de la organización
 Hacer planes de contingencia para evitar tener usuarios sin equipos, se podría
comprar un equipo de cómputo y una impresora de repuesto
 Se debe hacer un análisis de los equipos actuales, definir cuales están obsoletos y
definir con el área de compras y gerencia adquisición de nuevos equipos.
 Retomar plan de mantenimiento preventivo y documentarlos al momento de
ejecutarlos.
 Pedir a los desarrolladores de las aplicaciones más filtros de seguridad para que
los usuarios no eliminen registros ni los ingresen de manera errónea.

 Dados los puntos ciegos que se encuentran no el área de la empresa, se propone

cambiar las cámaras que no están funcionando y añadir nuevas cámaras en sitios
críticos, aunque podría considerarse reacomodar las cámaras existentes.
 Actualizar planes de emergencias y hacer simulacros para conocer la respuesta del
personal ante algún suceso imprevisto.
 Dados los riesgos de infraestructura, se propone eliminar el servidor físico en las
instalaciones y mudar este a un espacio en la nube, o tener un disco espejo en la
nube del servidor.
 Hacer un levantamiento de topología de red e identificar los puntos tanto en los
puntos de pared como los que llegan al rack del servidor.
 Reubicar equipos que se encuentran en zonas no apropiadas o comprar aires
acondicionados para los equipos que se encuentran en las zonas de Recycups,
bascula, almacén y oficina de terminados
 Llevar la red de energía regulada a todos los puntos donde haya equipos de
cómputo, también concientizar al personal que esta red de energía es solo para
equipos informáticos y que no le den otros usos.
6.5.4. ZONA DE RIESGO EXTREMO
N° Descripción
R2 destrucción de las edificaciones y sus activos
R3 Descarga apertura o instalación de programas o documentos infectados.
R7 Acceso a información confidencial.
R10 No existen planes de contingencia ante eventos o fallas
R11 No hay procedimientos ante la ocurrencia de eventos
R12 No se hace monitoreo a los usuarios y al modo de uso de los equipos

R13 No existen manuales de desarrollo hechos en la empresa.

No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área
R14
de TI
R15 Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
R20 No se considera al área de TI en los planes de capacitación
R21 Inexistencia del plan anual de mantenimiento
R22 Falta de mantenimiento preventivo al hardware
R23 Desconocimiento del plan para adquirir la infraestructura tecnológica
R24 Recursos de la infraestructura tecnológica no monitoreados.
R25 Infraestructura tecnológica obsoleta.
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático
R28
(spam, phishing, botnets)
R29 Perdida de integralidad, Alteración de la información
R30 Perdida de información, modificación o eliminación de cuentas de usuario.
Instalación de virus en el sistema, multas y problemas legales por no tener software
R32
legalizado.
R33 Eliminar información importante y perdida de la confidencialidad.
R34 Acceso a la red de la organización.
R35 Facilidad en hurto de información confidencial.
R37 Realización de actividades no conformes con lo indicado por la empresa.
N° Descripción
R38 Material propenso a incendios
R39 Acceso no autorizado a las diferentes áreas
R42 Robo del servidor o manipulación de este
R46 falta de controles en la seguridad de la empresa
R47 carencia plan de acción para el mantenimiento de la infraestructura física
R48 Carencia promoción e incentivos para la seguridad en la institución
No hay como detectar de forma temprana humo, incendio, inundaciones mediante
R49
equipos tecnológicos para la prevención y evacuación.
R51 Fallas en el suministro de energía.
R53 Daño de elementos importantes en los equipos por ausencia de energía asistida.

R56 Fallas de equipos por falta de mantenimientos preventivos.

R58 No se controla el mantenimiento preventivo a los equipos de respaldo.
R60 No existen planes de contingencia al momento de falla de un equipo.
R61 No se tiene control de los mantenimientos correctivos de los equipos.
El 59% de los riesgos estén en la zona de riesgo extrema, esto indica que la empresa
debe tomar acciones de manera inmediata para mitigar o transferir los riegos hallados,
a continuación, se proponen algunas acciones que podrían llevar a reducir el impacto o
probabilidad de los riesgos.
 Limitar los permisos a los usuarios a si se evitara que descarguen o instalen

programas que podrían llegar a ser perjudiciales para la empresa
 Proteger y resguardar la información confidencial de la empresa, haciendo copia de
seguridad y limitando el acceso solo a aquellos funcionarios autorizados.
 Hacer de manera urgente un plan de contingencia de fallas, como comprar equipos
de repuesto.
 Comprar una aplicación de consola para monitorear las acciones de los usuarios
desde el servidor.
 Hacer manuales de los aplicativos que funcionan actualmente en la empresa, para
que la información pueda transferirse y no quedar el conocimiento en uno o dos
empleados.
 Se debe contratar otra persona para el área de sistemas y no depender
exclusivamente de un solo funcionario, también deben establecerse los roles y
hacer manuales de funciones para cada persona del área de TI.
 Incluir el área de TI en los planes de capacitación, ta que es importante que estas
personas estén enteradas de nuevas amenazas y nuevas tendencias que podrían
ayudar a cumplir los objetivos de la compañía.
 Retomar plan de mantenimiento preventivo y documentarlos al momento de
ejecutarlos.
 Para detectar de manera temprana emergencias se deben instalar detectores de
humo y alarmas que se activen ante determinados eventos y así poder reaccionar
ante sucesos imprevistos.

7. CONCLUSIONES
Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos
necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general
de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de
auditoria y los procesos a evaluar.
Con la ejecución de la auditoria se encuentran los auditores y auditados con una

realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por
ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos
encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no
se tenía en cuenta el área de TI como un área importante de la empresa, cuando
realmente es una de las más importantes, ya que muchos funcionarios y puestos
dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI,
funcionen de manera adecuada

8. REFERENCIAS BIBLIOGRAFICAS
INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de

https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg
Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de

Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa
it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de

Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf
Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT.

Recuperado el 25 de Septiembre de 2018, de
http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-cobit.html?
view=sidebar
Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE

PLANEACIÓN. Recuperado el 25 de Octubre de 2018, de
http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-
auditoria.html?view=sidebar
Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS.

Recuperado el 23 de octubre de 2018, de http://
http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html

Fase 3 - 90168 - 41

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Fase 3 - 90168 - 41

Hochgeladen von

Copyright:

Verfügbare Formate

AUDITORIA DE SISTEMAS

KATHERINE ZAPATA MOSQUERA COD: 11135236544

FRANCISCO NICOLAS SOLARTE SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 1/70.

4.4.1. FUENTES DE CONOCIMIENTO...............................................................................32

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 2/70.

5.5. DS13 ADMINISTRACIÓN DE OPERACIONES.........................................................54

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 3/70.

En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos

Un plan de auditoria a los sistemas informáticos de una empresa es imprescindible

En el presente trabajo se pretende ejecutar un plan de auditoria para la empresa

En la parte final del documento se presentan las referencias bibliográficas exploratorias

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4/70.

Elaborar un plan de auditoria en sistemas que permita evaluar la infraestructura

Describir las vulnerabilidades, amenazas y riesgos informáticos de la empresa

Realizar plan de auditoria incluyendo, objetivos, alcance, metodología, recursos y

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 5/70.

1. PROCESOS QUE SERAN EVALUADOS

A continuación, se listan los procesos y objetivos de control que serán evaluados en la

Proceso OBJETIVOS DE CONTROL

AI3.1 Plan de Adquisición de Infraestructura Tecnológica

DS5 Garantizar la Seguridad de los Sistemas

DS12.1 Selección y Diseño del Centro de Datos

DS13 DS13.1 Procedimientos e instrucciones de operación.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 6/70.

A continuación, se relaciona el equipo auditor y los procesos que administrara en el

Para el desarrollo de la auditoria y recolección de información se utilizarán instrumentos

3.1. FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas

REF: Se refiere al ID del elemento, se manejará el consecutivo FC-X

ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se

PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 7/70.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 8/70.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE

CUADRO DE DEFINICION DE FUENTES DE REF

3.2. FORMATO DE LISTAS DE CHEQUEO

Las listas de chequeo se usan para la verificación de la existencia de controles en el

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 9/70.

3.3. FORMATO DE ENTREVISTA

Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya que

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 10/70.

EMPRESA AUDITADA PAGINA

Firma del entrevistador Firma del Entrevistado

3.4. FORMATO DE CUESTIONARIO

Similar a la lista de chequeo, pero se da una valoración o calificación l a escala de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 11/70.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se

PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

4. APLICACIÓN DE INSTRUMENTOS AUDITORIA

Una vez definidos los instrumentos se procede a realizar el ejercicio de la auditoria en

Líder Equipo Auditor Encargados auditoria Cajascol S.A.S

4.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 12/70.

4.1.1. FUENTES DE CONOCIMIENTO

CUADRO DE DEFINICION DE FUENTES DE REF

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES