Beruflich Dokumente
Kultur Dokumente
FASE 3
PLANEACIÓN Y EJECUCIÓN AUDITORIA
PRESENTADO POR:
GRUPO: 90168_41
CEAD: PALMIRA
TUTOR:
CONTENIDO
INTRODUCCIÓN..........................................................................................................................4
OBJETIVO GENERAL................................................................................................................5
OBJETIVOS ESPECÍFICOS......................................................................................................5
1. PROCESOS QUE SERAN EVALUADOS.........................................................................6
2. EQUIPO AUDITOR...............................................................................................................7
3. INSTRUMENTOS DE RECOLECCION.............................................................................7
3.1. FUENTES DE CONOCIMIENTO....................................................................................7
3.2. FORMATO DE LISTAS DE CHEQUEO.........................................................................9
3.3. FORMATO DE ENTREVISTA........................................................................................10
3.4. FORMATO DE CUESTIONARIO..................................................................................11
4. APLICACIÓN DE INSTRUMENTOS AUDITORIA........................................................12
4.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI......12
4.1.1. FUENTES DE CONOCIMIENTO...............................................................................13
4.1.2. FORMATO DE LISTAS DE CHEQUEO...................................................................14
4.1.3. FORMATO DE ENTREVISTA....................................................................................15
4.1.4. FORMATO DE CUESTIONARIO..............................................................................18
4.1.4.1. PORCENTAJE DE RIESGO...................................................................................19
4.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA...............19
4.2.1. FUENTES DE CONOCIMIENTO...............................................................................20
4.2.2. FORMATO DE LISTAS DE CHEQUEO...................................................................21
4.2.3. FORMATO DE ENTREVISTA....................................................................................22
4.2.4. FORMATO DE CUESTIONARIO..............................................................................24
4.2.4.1. PORCENTAJE DE RIESGO...................................................................................25
4.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS....................................26
4.3.1. FUENTES DE CONOCIMIENTO...............................................................................26
4.3.2. FORMATO DE LISTAS DE CHEQUEO...................................................................27
4.3.3. FORMATO DE ENTREVISTA....................................................................................28
4.3.4. FORMATO DE CUESTIONARIO..............................................................................30
4.3.4.1. PORCENTAJE DE RIESGO...................................................................................31
4.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO...........................................................32
INTRODUCCIÓN
Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de
agrado para los lectores que tengan la oportunidad de leer este documento
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
Seleccionar ítems que serán evaluados y sus objetivos de control, verificando que
estén relacionados con el objetivo de la auditoria.
2. EQUIPO AUDITOR
Auditor Proceso
John Jairo Martinez PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flórez AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo DS12 Administrar el ambiente físico.
Johnny Caicedo DS13 Administración de Operaciones
3. INSTRUMENTOS DE RECOLECCION
Los ítems relacionados a continuación son los que describirán el elemento de auditoría.
RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que
está llevando a cabo el proceso de auditoría.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.
DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis
que se van a realizar para evaluar el proceso especifico que se encuentre en
estudio.
PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de Pruebas mediante uso de
documentos (contratos, software, pruebas para
manuales) o levantar inventarios,
Documento, o persona que comparaciones (compara pruebas de seguridad en
tiene la información que los contenidos de un redes, pruebas de
necesita el auditor manual respecto a lo que seguridad en bases de
dice la teoría que debe datos, pruebas de
contener) comparar (la intrusión, pruebas de
empresa auditada con testeo.
una empresa certificada)
AUDITOR RESPONSABLE:
Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de evaluar
el proceso será quien aplique la lista de verificación de controles o lista de chequeo y
de acuerdo con la respuesta se determina los hallazgos sobre la no existencia de
controles en el proceso.
Lista de chequeo
Fecha: Consecutivo F-CHK 01
proceso
Realizado por:
Aspectos por validar o chequear SI NO
Item 1
Ítem 2
Ítem 3
Ítem n
Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de los
procesos que se van a evaluar, generalmente las entrevistas recogen la opinión de
algunas de las personas que conozcan el proceso y que me puedan responder con
claridad las preguntas que se hayan preparado para la entrevista.
Para la entrevista se debe determinar primero los temas sobre los cuales va a girar la
entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con la
intención de descubrir más riesgos de los que ya se han encontrado en las visitas
realizadas a la empresa auditada
ENTREVISTADO
CARGO
PREGUNTAS ENTREVISTA
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el
valor mínimo considerado de poca importancia y cinco el máximo considerado de
mucha importancia.
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha Consecutivo
Dominio
Proceso Auditado
Pregunta Si No Observaciones
Pregunta 1
Pregunta 2
Pregunta 3
Pregunta n
Totales
De acuerdo con el proceso liderado por el auditor John Jairo Martinez se procede a la
aplicación de instrumentos para recolección de información.
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
1 DE 1
PROCESO AUDITADO Estructura organizacional y procesos de TI
RESPONSABLE John Jairo Martinez Torres
MATERIAL DE SOPORTE COBIT
DOMINIO Planear y organizar
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
Normas y políticas
Pruebas mediante solicitud de
establecidas por la
documentación relacionada con
compañía con el ánimo
Entrevista a los la estructura organizacional,
de mantener una
Ingenieros Elizabeth actas de comité o reuniones del
estructura organizacional
Narváez Lopera y área de sistemas de la empresa,
en el área de TI y que
Jorge Barco Gómez procedimientos de pasos a seguir
existan medios para
quienes son los antes eventos en el área de
preservar la información y
encargados del área sistemas, manuales de funciones
evitar eventos que
informática. o definición de roles y
puedan vulnerar los
responsabilidades del personal
sistemas y causar
de TI
afectaciones
AUDITOR RESPONSABLE:
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 01
proceso Estructura organizacional y procesos de TI
Realizado por: John Jairo Martinez Torres
Aspectos por validar o chequear SI NO
Hay una estructura organizacional interna de TI X
El área de TI es flexible y adaptable a las necesidades de Cajascol X
Hay manuales de función del personal de TI X
El área de TI está relacionada con los requerimientos de los usuarios X
Se generan estrategias alineadas con los objetivos de Cajascol X
Existen planes de contingencia ante eventos o fallas X
El personal de TI tiene roles definidos X
Existe algún procedimiento ante la ocurrencia de eventos X
Se monitorean los riesgos relacionados con el área de TI X
Hay personal responsable de mantener la seguridad de la información X
Hay personal responsable de mantener la seguridad física X
La gerencia se involucra en los procesos de TI X
Se hace monitoreo a los usuarios y al modo de uso de los equipos X
Se hace supervisión para el buen funcionamiento de los equipos X
La empresa destina recursos para planes de monitoreo X
Existen indicadores claves de desempeño X
Los usuarios de sistemas tienen claro su alcance en el uso de sistemas X
Hay planes de respaldo para operaciones realizadas por los usuarios X
Se tienen identificados los procesos críticos X
Existen manuales de aplicativos creados X
PREGUNTAS ENTREVISTA
PREGUNTAS ENTREVISTA
PREGUNTAS ENTREVISTA
14. ¿Se tienen identificados los procesos críticos realizados por los usuarios de aplicaciones
informáticas?
Se tienen identificados dichos procesos
15. ¿Existen manuales de aplicativos creados por terceros o desarrollados internamente?
No en todos los casos
16. ¿Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas?
La verdad si tenemos esa falencia
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-01
Dominio Planear y Organizar
Proceso Auditado P04. Definir los Procesos, Organización y relaciones de TI
Pregunta Si No Observaciones
¿La estructura organizacional de TI es flexible y
4
adaptable a las necesidades de la empresa?
¿Se han implementado procesos para revisar la
5
estructura organizacional del área de TI?
¿Existe documentación relacionada con las funciones
5
del personal de TI?
¿El área de TI conoce y ajusta los requerimientos del
2
personal de Cajascol?
¿El área de TI genera estrategias para satisfacer los
1
objetivos del negocio?
¿El área de TI tiene planes de contingencia para la
2
continuidad del negocio?
¿Existe algún procedimiento ante la ocurrencia de
3
eventos relacionados con los sistemas?
¿Hay personal responsable de mantener la seguridad
2
de la información?
¿Hay personal encargado de mantener la seguridad
3
física de los equipos e infraestructura de sistemas?
¿la alta gerencia se involucra en la administración de
2
los sistemas de información?
¿Se hace monitoreo a los usuarios y al modo de uso
5
de los equipos?
¿Existen procesos de negocio que no reciben soporte
2
por parte del área de TI?
¿Existen y se implantan procesos de mejora en el
2
área de TI?
¿Se tiene alguna métrica de los niveles de
5
satisfacción de los usuarios de sistemas?
¿Se hacen reuniones o comités para tratar temas
5
relacionados con el área de TI?
Totales 14 34
RIESGO:
Se presentará la aplicación del proceso AI3 concerniente con que las organizaciones
deben contar con procesos para adquirir, implementar y actualizar la infraestructura
tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger
la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la
disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte
tecnológico continuo para las aplicaciones del negocio.
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
1 DE 1
PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura
RESPONSABLE Wilder Alejandro Flórez González
MATERIAL DE SOPORTE COBIT
DOMINIO Adquirir e Implementar
PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica
AUDITOR RESPONSABLE:
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 02
proceso Adquisición y mantenimiento de la infraestructura
Realizado por: Wilder Alejandro Flórez González
PREGUNTAS ENTREVISTA
1. ¿Cuáles son los pasos que sigue para solicitar un equipo de cómputo?
Se debe sustentar la necesidad de la compra, solicitar 2 cotizaciones y esperar aprobación de
la gerencia
2. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y software?
No se realiza mantenimiento preventivo al hardware, al software se le realiza
mantenimiento por lo menos una vez cada mes
3. ¿Registra todo lo realizado en el mantenimiento en su respectiva bitácora?
No existe una bitácora como tal, se envía un correo al usuario con los servicios que se le
prestaron durante el mantenimiento
4. ¿Con que frecuencia se capacita el personal encargado de realizar el mantenimiento de
los dispositivos tecnológicos?
La empresa no considero a TI en sus planes de capacitación
5. ¿Existe un control de los requerimientos y solicitudes de que se realizan al área?
No existe
CAJASCOL S.A.S 2 DE 2
PREGUNTAS ENTREVISTA
6. ¿Cuáles son las medidas que se emplean para el control interno y seguridad de la
infraestructura tecnológica?
Se tienen restricciones para algunos usuarios y se modificó el host de los equipos para que
no puedan acceder a cierto tipo de páginas.
7. ¿Se realizan capacitaciones a los colaboradores que usan la infraestructura tecnológica?
¿y con qué frecuencia?
Las capacitaciones que se han brindado solo han sido en las implementaciones de nuevas
aplicaciones.
8. ¿Cree usted que la infraestructura tecnológica responde a todas las necesidades de la
empresa?
No, la empresa tiene equipos de más de 8 años funcionando en áreas críticas y eso hace que
la incidencia de errores y fallas sea frecuente.
9. ¿La empresa cuenta con equipos de cómputo en rentados? Si su respuesta es afirmativa
¿esta empresa está conformada legalmente?
La empresa no alquila equipos de cómputo, aunque tiene en alquiler 2 UPS para el servidor
y la regulada del área administrativa
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-02
Dominio Adquirir e implementar
Proceso Auditado AI3 Adquirir y mantener infraestructura tecnológica
Pregunta Si No Observaciones
¿Existe un plan para adquirir la infraestructura
5
tecnológica?
¿Se implementa el plan para adquirir la
4
infraestructura tecnológica?
¿Se consulta al área de compras para la adquisición
5
de infraestructura tecnológica?
¿Se evalúan los costos de la viabilidad comercial de
5
los distintos proveedores?
¿Se implementan medidas de control interno,
seguridad durante el mantenimiento de software y 2
hardware?
¿Se realiza el respectivo monitoreo a los diferentes
recursos de infraestructura?
5
Totales 15 33
RIESGO:
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
2 DE 2
PROCESO AUDITADO Administración e integridad de los sistemas.
RESPONSABLE Katherine Zapata Mosquera
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Realizar pruebas de seguridad
Verificar que los permisos sobre la red de datos.
de acceso asignados a los Verificar que la
usuarios correspondan a su solicitud, establecimiento,
perfil de usuario. emisión, suspensión,
Validar que los procesos de modificación y cierre de
Entrevista a los
administración de cuentas de usuario, se
Ingenieros Elizabeth
seguridad, administración registran en un log del sistema
Narvaez Lopera y
de cuentas de usuarios, o un log de auditoria.
Jorge Barco Gómez
medidas de seguridad Verificar el correcto
quienes son los
física, mantenimiento funcionamiento de los
encargados del área
preventivo del Hardware se mecanismos de autenticación
informática.
encuentren documentadas. utilizados.
Verificar la existencia de los Verificar que se mantiene el
registros de monitoreo de nivel de seguridad aprobado.
seguridad y pruebas Verificar la instalación de
periódicas. controles físicos y
ambientales.
AUDITOR RESPONSABLE:
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 03
proceso Garantizar la Seguridad de los Sistemas
Realizado por: Katherine Zapata Mosquera
N° Aspectos por validar o chequear Conforme
Objetivo de control DS5.3 Administración de Identidad SI NO
Existe proceso de autenticación para los usuarios internos que
1
solicitan acceso al sistema de información. X
El proceso de autenticación para los usuarios se encuentra
2
documentada. X
Existe un repositorio central con la información de usuarios y sus
3
permisos de acceso al sistema de información de la institución. X
Objetivo de control DS5.4 Administración de Cuentas del Usuario SI NO
Existe un procedimiento para la emisión, suspensión, modificación
4
y cierre de cuentas de usuarios. X
Existe un procedimiento de aprobación, donde se describa al
5
responsable encargado de otorgar los privilegios de acceso. X
Los procedimientos de emisión, suspensión, modificación, cierre y
6 aprobación se están aplicación a los usuarios internos y externos X
(incluyendo administradores).
Se están realizando revisiones regulares de la gestión de todas las
7
cuentas y los privilegios asociados. X
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Objetivo de control SI NO
Seguridad
Se realizan periódicamente pruebas de monitoreo a la seguridad
8
del acceso al sistema de información. X
Objetivo de control DS5.10 Seguridad de la Red SI NO
Existen controles para la información que se envía y recibe desde
9
internet. X
PREGUNTAS ENTREVISTA
PREGUNTAS ENTREVISTA
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-03
Dominio Entregar y Dar Soporte
Proceso Auditado DS5 Garantizar la Seguridad de los Sistemas
Pregunta Si No Observaciones
Al momento de suministrar los datos de acceso al
sistema, ¿se informa el rol y las responsabilidades de 2
seguridad?
¿Los derechos de acceso del usuario se están
solicitando por la gerencia del usuario?
5
RIESGO:
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
1 DE 1
PROCESO AUDITADO Administrar el Ambiente Físico
RESPONSABLE Jairo Angulo Castillo
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte
PROCESO DS12 Administrar el Ambiente Físico
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
comprobar la existencia
Entrevista a los de documentos respecto a
Medición de resultados de la
Ingenieros los manuales de riesgos,
eficacia y eficacia de los
Elizabeth Narváez sistemas de control
controles existentes.
Lopera y Jorge interno, manuales de
Comprobar la aplicación de
Barco Gómez convivencia,
controles frente a los riesgos
quienes son los Riesgos y
y Vulnerabilidades
encargados del Vulnerabilidades
detectados.
área informática. detectados frente a su
tratamiento.
AUDITOR RESPONSABLE:
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 04
proceso Administrar el Ambiente Físico
Realizado por: Jairo Angulo Castillo
N° Aspectos por validar o chequear Conforme
Objetivo de DS12.1 Selección y Diseño del Centro de
SI NO
control Datos
¿Las instalaciones donde funciona el área de sistemas (cubículos
1
y oficinas), fueron diseñadas o adaptadas para su funcionamiento? X
Objetivo de
DS12.2 Medidas de Seguridad Física SI NO
control
¿Se utilizan métodos cualitativos o cuantitativos para medir la
probabilidad e impacto de los riesgos que pueden afectar la
2
infraestructura donde funciona la empresa especialmente en el X
área de sistemas?
Objetivo de
DS12.3 Acceso Físico SI NO
control
¿Se tienen lugares de acceso restringido donde se poseen
3
mecanismos de seguridad para el acceso a estos lugares? X
Objetivo de DS12.4 Protección Contra Factores
SI NO
control Ambientales
¿Existe un plan de acción para mitigar los riesgos de la
4
infraestructura ante algún suceso ambiental? X
Objetivo de DS12.5 Administración de Instalaciones
SI NO
control Físicas
¿Existe un plan o manual donde se describa las funciones en la
5
seguridad de instalaciones? X
PREGUNTAS ENTREVISTA
PREGUNTAS ENTREVISTA
7. ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las
instalaciones?
Se tienen cámaras de seguridad y se hace revisión en portería por empleados de seguridad
privada.
8. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales?
De manera frecuente ya que al trabajar con material reciclado y una caldera de carbón, los
controles de la CVC son altos, así que mensualmente se hacen dichas previsiones.
9. ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales?
Si.
10. ¿Se tiene un registro de las personas que ingresan a las instalaciones?
Si, en portería llevan una bitácora de control de visitantes a administración y también a
vehículos de empresas transportadoras.
PAGINA
CUESTIONARIO DE CONTROL
1 DE 1
Fecha 26 de octubre de 2018 Consecutivo FCT-03
Dominio Entregar y Dar Soporte
Proceso Auditado DS12 Administrar el Ambiente Físico
Pregunta Si No Observaciones
¿La organización cuenta con políticas y
procedimientos formales respecto al ingreso de 5
personas que no pertenezcan a la misma?
¿Existe un marco de referencia para la evaluación
sistemática de los riesgos a los que está expuesta la 3
infraestructura física de la institución?
¿Se cuenta con los suficientes equipos para la
mitigación de incendios?
5
¿Existen normas de control interno donde se evalúe y
garantice la protección de las instalaciones para su 4
disponibilidad e integridad?
¿Se realiza actualización de los diferentes tipos de
2
riesgos que pueden afectar la infraestructura física?
¿Se utilizan métodos cualitativos o cuantitativos para
medir la probabilidad e impacto de los riesgos que 2
pueden afectar la infraestructura física?
¿Se promueve e incentiva la seguridad en la
institución?
4
¿La organización cuenta con políticas y
procedimientos formales respecto a la contratación de 2
terceros?
¿Existe un plan de acción para el mantenimiento de la
2
infraestructura física?
¿Se realiza evaluación a la seguridad de
instalaciones ante un posible suceso terrorista o 2
natural?
Los controles existentes son suficientes para decir
que la empresa es segura
5
Totales 12 24
RIESGO:
Con la realización de la auditoria se busca si Cajascol cumple con asegurar que las
actividades de soporte de TI se lleven de una manera ordenada, a través de un
cronograma de actividades de soporte que se debe registrar y completar en cuanto al
logro de las actividades. Se debe establecer y documentar procedimientos para las
diferentes actividades de TI, los cuales se revisarán periódicamente garantizando su
cumplimiento
PAGINA
ENTIDAD AUDITADA CAJASCOL S.A.S
1 DE 1
PROCESO AUDITADO Mantenimiento de equipos
RESPONSABLE Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte
PROCESO DS13 Administración de Operaciones
Lista de chequeo
Fecha: 26 de octubre de 2018 Consecutivo F-CHK 05
proceso DS13 Administración de Operaciones
Realizado por: Jhonny Caicedo Velarde
N° Aspectos por validar o chequear SI NO
1 El equipo de cómputo y/o impresora se encuentran en una base firme. X
2 El monitor funciona correctamente. X
3 El mouse funciona correctamente. X
4 El teclado funciona correctamente. X
5 El cableado eléctrico está protegido X
6 El equipo se encuentra conectado a corriente asistida. X
7 Los tomacorrientes se encuentran plenamente identificados. X
8 Los equipos de cómputo tienen todas sus partes. X
9 El antivirus se encuentra actualizado. X
10 El software actual se encuentra actualizado. X
11 El equipo se encuentra en buen estado de limpieza. X
12 La impresora se encuentra conectada por fuera de la corriente asistida. X
13 El área donde se encuentra el equipo se encuentra ventilada. X
14 Existe hardware y/o otros equipos conectados al equipo de cómputo. X
PREGUNTAS ENTREVISTA
CAJASCOL S.A.S 2 DE 2
PREGUNTAS ENTREVISTA
PAGINA
CUESTIONARIO DE CONTROL
1 DE 2
Fecha 26 de octubre de 2018 Consecutivo FCT-05
Dominio Entregar y Dar Soporte
Proceso Auditado DS13 Administración de Operaciones
Pregunta Si No Observaciones
¿Se cuenta con un inventario de equipos de
3
cómputo?
¿Si existe inventario contiene los siguientes
ítems?
Número del computador
Fecha
Ubicación 5
Responsable
Características (memoria, procesador, monitor,
disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos?
Numero de hoja de vida
Número del computador correspondiente
5
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los
5
equipos?
¿La temperatura a la que trabajan los equipos es
3
la adecuada?
¿Al momento de presentar una falla en el equipo,
2
la atención que se presta es oportuna?
¿Se realizan pruebas de funcionamiento a los
equipos de respaldo como UPS y planta 2
eléctrica?
¿se realizan estas pruebas periódicamente? 4
¿Es calificado el personal que realiza las
5
pruebas?
¿Existe proveedores para el mantenimiento de 5
los equipos?
PAGINA
CUESTIONARIO DE CONTROL
2 DE 2
Fecha 26 de octubre de 2018 Consecutivo FCT-05
Dominio Entregar y Dar Soporte
Proceso Auditado DS13 Administración de Operaciones
Pregunta Si No Observaciones
¿Se cuenta con planos eléctricos actualizados? 2
¿Se lleva un procedimiento para la adquisición
5
de nuevos equipos?
¿La infraestructura tecnológica de los equipos
soporta la instalación de diferentes sistemas 4
operativos?
¿Existe políticas de backup de la información? 2
Totales 19 33
RIESGO:
Se tomarán las siguientes pautas al momento del análisis, se construye las escalas de
medición del impacto y la probabilidad de ocurrencia de los riesgos, hay que tener en
cuenta que puede haber una valoración cuantitativa y cualitativa y que deben
describirse los valores correspondientes tal y como aparece en las siguientes matrices:
IMPACTO
NIVE
DESCRIPTOR DESCRIPCIÓN
L
Si el hecho llegara a presentarse, tendría
1 Insignificante
consecuencias o efectos mínimos sobre la entidad
Si el hecho llegara a presentarse, tendría bajo
2 Menor
impacto o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría medianas
3 Moderado
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría altas
4 Mayor
consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría
desastrosas consecuencias o efectos sobre la
entidad
PROBABILIDAD
NIVE
DESCRIPTOR DESCRIPCIÓN
L FRECUENCIA
El evento puede ocurrir sólo en No se ha presentado en los
1 Raro
circunstancias excepcionales últimos 5 años
El evento puede ocurrir en Se ha presentado al menos 1
2 Improbable
algún momento vez en los últimos 5 años
El evento puede ocurrir en Se ha presentado al menos de 1
3 Posible
algún momento vez en los últimos 2 años
El evento probablemente
Se ha presentado al menos 1
4 Probable ocurrirá en la mayoría de las
vez en el último año
circunstancias
Se espera que el evento ocurra
Se ha presentado más de 1 vez
5 Casi Seguro en la mayoría de las
al año
circunstancias
Con las escalas de medición se construye la matriz de riesgos general que se aplica
para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
IMPACTO
PROBABILIDAD Insignificante = 1
Menor = 2
Raro = 1
Moderado = 3
Improbable = 2
Posible = 3
Mayor = 4
Probable = 4
Catastrófico = 5
Casi Seguro = 5
16. Existen procesos de negocio que no reciben soporte por parte del área de TI
17. No se hacen reuniones o comités para tratar temas relacionados con el área de TI
IMPACTO
PROBABILIDA
D Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
R10, R12,
Casi Seguro (5) R5 R15
R13
IMPACTO
PROBABILIDA
D Insignificant Moderado Catastrófico
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1)
Improbable (2)
En este proceso se analizarán los riesgos relacionados con la seguridad lógica, como
temas de acceso y credenciales de usuarios, procedimientos para creación de cuentas
y privilegios de acceso de cada una, también se abordan los riesgos relacionados con
el monitoreo de cuentas y la seguridad con la información que se envía y recibe vía
internet
informática y de la información.
7. Eliminar información importante y perdida de la confidencialidad.
8. Acceso a la red de la organización.
9. Perdida de confidencialidad e integralidad de la información.
IMPACTO
PROBABILIDA
D Insignificant Moderado Catastrófico
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1)
Improbable (2)
En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se
proteja tanto al personal como a los equipos de peligros naturales o siniestros también
se tratara de analizar si los puestos de trabajo cumplen con las normas de seguridad
obligatorias y si en los colaboradores existe una cultura de que promueva e incentive la
seguridad propia y de la empresa.
Raro (1) R8
Improbable (2) R3
Impact
N° Descripción Probabilidad
o
Demora en solucionar fallas de equipos por falta de
R1 2 5
identificación de cableado.
R2 Fallas en el suministro de energía. 4 4
R3 Daño de equipos por ausencia de ventilación. 3 3
Daño de elementos importantes en los equipos por
R4 5 4
ausencia de energía asistida.
Posible de daño de equipos por mala señalización de las
R5 3 3
fuentes de energía.
R6 Desactualización de Software. 2 2
R7 Fallas de equipos por falta de mantenimientos preventivos. 4 5
R8 No se lleva control de los mantenimientos realizados. 3 3
No se controla el mantenimiento preventivo a los equipos
R9 4 4
de respaldo.
No existe la documentación completa de todos los equipos
R1
existentes, referentes a manuales y demás documentos 3 2
0
que puedan dar información sobre los equipos.
No existen planes de contingencia al momento de falla de
R11 4 5
un equipo.
R1 No se tiene control de los mantenimientos correctivos de
4 3
2 los equipos.
Para poder emitir un reporte formal a la empresa Cajascol, el equipo auditor considero
agrupar todos los riesgos en un solo análisis y presentar algunas posibles acciones que
mitiguen el impacto o disminuya la probabilidad de ocurrencia de los riesgos.
R16,
Improbable (2) R17
R59 R2
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en
cada caso.
N° Descripción
R16 Existen procesos de negocio que no reciben soporte por parte del área de TI
R17 No se hacen reuniones o comités para tratar temas relacionados con el área de TI
R55 Desactualización de Software.
Los riesgos enunciados son de impacto menor y podrían asumirse por la empresa,
aunque sería recomendable hacer reuniones para tratar temas de TI e involucrar a la
gerencia en dichos comités, también podría revisarse el tema de actualizar software
N° Descripción
R40 Personas poco cuidadosas
No existe la documentación completa de todos los equipos existentes, referentes a
R59
manuales y demás documentos que puedan dar información sobre los equipos.
Aunque los riesgos no se de mayor impacto si podrían llegar a serlo, por tal motivo se
recomienda hacer inducción a los usuarios acerca del manejo de equipos y aplicativos,
también se sugiere hacer levantamiento de información de todos los equipos y archivar
de forma segura.
N° Descripción
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información
R1
confiable y oportuna
R4 Perder trazabilidad e historia en los registros de la empresa
R5 Retraso en las actividades a desarrollar
Es preocupante que el 32.8% de los riesgos estén en la zona de riesgo alta, esto indica
que la empresa debe tomar acciones para mitigar o transferir los riegos hallados, a
continuación, se proponen algunas acciones que podrían llevar a reducir el impacto o
probabilidad de los riesgos.
N° Descripción
R2 destrucción de las edificaciones y sus activos
R3 Descarga apertura o instalación de programas o documentos infectados.
R7 Acceso a información confidencial.
R10 No existen planes de contingencia ante eventos o fallas
R11 No hay procedimientos ante la ocurrencia de eventos
R12 No se hace monitoreo a los usuarios y al modo de uso de los equipos
N° Descripción
R38 Material propenso a incendios
R39 Acceso no autorizado a las diferentes áreas
R42 Robo del servidor o manipulación de este
R46 falta de controles en la seguridad de la empresa
R47 carencia plan de acción para el mantenimiento de la infraestructura física
R48 Carencia promoción e incentivos para la seguridad en la institución
No hay como detectar de forma temprana humo, incendio, inundaciones mediante
R49
equipos tecnológicos para la prevención y evacuación.
R51 Fallas en el suministro de energía.
R53 Daño de elementos importantes en los equipos por ausencia de energía asistida.
El 59% de los riesgos estén en la zona de riesgo extrema, esto indica que la empresa
debe tomar acciones de manera inmediata para mitigar o transferir los riegos hallados,
a continuación, se proponen algunas acciones que podrían llevar a reducir el impacto o
probabilidad de los riesgos.
7. CONCLUSIONES
Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos
necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general
de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de
auditoria y los procesos a evaluar.
8. REFERENCIAS BIBLIOGRAFICAS