Fase 5 – Fase de Resultados de la Auditoria

Alexy Amanda Paz – 1085254537

GRUPO
90168_2

Presentado a:
DILSA ENITH TRIANA

Universidad Nacional Abierta y a Distancia UNAD- CEAD Pasto

Escuela de Ciencias Básicas y Tecnología ECBTI
Diciembre de 2017
 TABLA DE CONTENIDO

INTRODUCCION..............................................................................................................4
Objetivos..............................................................................................................................5
1. PO7. ADMINISTRAR LOS RECURSOS HUMANOS DE TI...............................6
1.1 Cuadro de definición de fuentes de conocimiento.............................................6
1.2 Instrumento de Recolección de Información.....................................................7
1.3 Hallazgos...............................................................................................................8
1.4 Análisis y evaluación de riesgos..........................................................................9
1.5 Matriz para medición de probabilidad e impacto de riesgos para el proceso9
2. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS............................10
2.1 Cuadro de definición de fuentes de conocimiento...........................................10
2.2 Instrumento de Recolección de Información...................................................11
2.3 Hallazgos.............................................................................................................13
2.4 Análisis y evaluación de riesgos........................................................................14
2.5 Matriz para medición de probabilidad e impacto de riesgos para el proceso
15
3. DS11. ADMINISTRACIÓN DE DATOS................................................................16
3.1 Cuadro de definición de fuentes de conocimiento...........................................16
3.2 Instrumento de Recolección de Información...................................................17
3.4 Análisis y evaluación de riesgos........................................................................19
3.5 Matriz para medición de probabilidad e impacto de riesgos para el proceso
19
4. DS12. ADMINISTRACIÓN DEL AMBIENTE FÍSICO......................................20
4.1 Cuadro de definición de fuentes de conocimiento...........................................20
4.2 Instrumento de Recolección de Información...................................................21
4.3 Hallazgos.............................................................................................................23
4.4 Análisis y evaluación de riesgos........................................................................24
4.5 Matriz para medición de probabilidad e impacto de riesgos para el proceso
25
CONCLUSIONES............................................................................................................26
BIBLIOGRAFIA...........................................................................................................27

INTRODUCCION

Selección de la empresa; el plan de la auditoría; los dominios procesos y objetivo de

control seleccionados; y luego por cada proceso los instrumentos aplicados, el análisis y
evaluación de los riesgos, la matriz de riesgos, el cuadro de tratamiento de los riesgos, el
cuadro de los hallazgos, y el cuadro de controles y tipo, y el dictamen de auditoría
 1. SELECCIÓN DE LA EMPRESA

Razón Social o Nombre de la empresa: De Todo.com

Actividad económica: Servicios de Internet y Papelería
Ubicación: Barrio Nuevo Sol – San Juan de Pasto.
Organigrama:

Administracion

Area Comercial Area Tecnica

Atencion al
Secretaría Mantenimiento Diseño
cliente

1.1. Cargos Y Funciones

Administración

Administrador:
 Llevar a cabo las actividades necesarias para alcanzar las metas comerciales de la
microempresa.
 Controlar y custodiar los recursos financieros de la microempresa.
 Verificar el correcto funcionamiento operativo de la microempresa.
 Autorizar y liquidar los pagos a funcionarios y proveedores.
Área Comercial

Secretaria:
 Recepción de solicitudes y control de tiempos de entrega del servicio o producto
solicitado.
 Llevar registros contables.
 Generar órdenes de pagos a funcionarios y proveedores.

Atención al cliente:
 Venta de papelería en general.
 Administración de tiempos de internet.

Área Técnica

Mantenimiento:
 Llevar a cabo el mantenimiento de los equipos de cómputo tanto en su parte de
hardware y su parte de software.

Diseño:
 Llevar a cabo las actividades tendientes al diseño gráfico en virtud de las
solicitudes realizadas por el cliente. (Folletos, Afiches, fotografía, video etc.)
 Diseño e implementación de la página web de la microempresa.
 Diseño e implementación de páginas web según requerimientos del cliente.

1.2 Recursos Informáticos y Sistemas de Información

5 Computadores
1 Impresoras
2 Fotocopiadoras.
1 Scanner
1 Servidor
Cableado de red, Modem.
 2. PLAN DE AUDITORIA
Objetivo General. Evaluar el funcionamiento, la eficiencia, la eficacia y seguridad de los
activos informáticos del establecimiento de comercio De Todo.com como parte integral
de sus procesos internos.

Alcance. La auditoría se trabajará sobre los activos informáticos (Hardware, Software y

talento humano) que tiene el establecimiento comercial.

En cuanto al hardware: Se evaluará lo correspondiente a procesos de instalación,

respaldo, utilización, configuración, actualización, mantenimiento de equipos de cómputo,
impresoras, terminales, dispositivos de red.
En cuanto al software: Se evaluará lo correspondiente a procesos de adquisición,
actualización y mantenimiento de software.
En cuanto a la operatividad del sistema: se evaluará los usuarios que administran tanto
la información como la utilización de los equipos de cómputo, impresoras y otros equipos
informáticos.
 3. PROGRAMA DE AUDITORÍA

Para realizar el proceso de auditoría de los activos informáticos del establecimiento de

comercio De Todo.com, se utilizará la metodología COBIT, para ello se han seleccionado
los dominios, procesos y algunos objetivos de control que están en relación directa con el
objetivo y los alcances que han sido definidos en el plan de auditoría.

A continuación se presentan los dominios, procesos y objetivos de control relacionados

directamente con el objetivo y los alcances determinados en el plan de auditoría.

3.1. DOMINIO: PLANEAR Y ORGANIZAR (PO)

PROCESO: PO7. Administrar los Recursos Humanos de TI. Permite analizar
la fuerza de trabajo para la creación y entrega de servicios de TI para el negocio.
Con el análisis de este proceso se busca identificar las prácticas definidas y
aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del
desempeño, la promoción y la terminación. Este proceso es crítico, ya que las
personas son activos muy importantes.
OBJETIVO DE CONTROL: PO7.4 Entrenamiento del Personal de TI.
Proporcionar a los empleados de TI la orientación necesaria al momento de la
contratación y entrenamiento continuo para conservar su conocimiento, aptitudes,
habilidades, controles internos y conciencias sobre la seguridad, al nivel requerido
para alcanzar las metas organizacionales.

3.2. DOMINIO: ENTREGAR Y DAR SOPORTE (DS).

PROCESO: DS5. Garantizar la Seguridad de los Sistemas. Este proceso busca
analizar el establecimiento y mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos de TI dentro del negocio. La
administración de seguridad implica realizar monitoreo de seguridad y pruebas
periódicas así como realizar acciones correctivas sobre las debilidades o incidentes
de seguridad identificados.
OBJETIVO DE CONTROL: DS5.4. Administración de cuentas de usuario.
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y
cierre de cuentas de usuario de administrativos y de los privilegios relacionados,
sean tomados en cuenta por un conjunto de procedimientos de la gerencia de
cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores
 (usuarios privilegiados), usuarios externos e internos, para casos normales y de
emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e
información del negocio deben acordarse contractualmente para todos los tipos de
usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los
privilegios asociados.
OBJETIVO DE CONTROL: DS5.9. Prevención, detección y corrección de
software malioso. Poner medidas preventivas, defectivas y correctivas (en
especial contar con parches de seguridad y control de virus actualizados) toda la
organización para proteger los sistemas de la información y a la tecnología contra
malware (virus, gusanos, spyware, correo basura).
OBJETIVO DE CONTROL: Seguridad de la Red (DS5.10) Uso de técnicas de
seguridad y procedimientos de administración asociados (por ejemplo, firewalls,
dispositivos de seguridad, segmentación de redes, y detección de intrusos) para
autorizar acceso y controlar los flujos de información desde y hacia las redes.

3.3. DOMINIO: ENTREGAR Y DAR SOPORTE (DS).

PROCESO: DS11. Administración de Datos. Una efectiva administración de
datos requiere de la identificación de requerimientos de datos. El proceso de
administración de información también incluye el establecimiento de
procedimientos efectivos para administrar los medios, el respaldo y la
recuperación de datos. Una efectiva administración de datos ayuda a garantizar la
calidad, oportunidad y disponibilidad de la información del negocio.
OBJETIVOS DE CONTROL: DS11.6. Respaldo y Restauración. Definir e
implementar procedimientos de respaldo y restauración de los sistemas,
aplicaciones, datos y documentación en línea con los requerimientos de negocio y
el plan de continuidad.

3.4. DOMINIO: ENTREGAR Y DAR SOPORTE (DS).

PROCESO: DS12. Administración del Ambiente Físico. Considerando que la
protección del equipo de cómputo y del personal, requiere de instalaciones bien
diseñadas y administradas, el análisis de este proceso busca determinar la forma de
administrar el ambiente físico incluye la definición de los requerimientos físicos
del centro de datos (site), la selección de instalaciones apropiadas y el diseño de
procesos efectivos para monitorear factores ambientales y administrar el acceso
físico. La administración efectiva del ambiente físico reduce las interrupciones del
negocio ocasionadas por daños al equipo de cómputo y al personal.
OBJETIVO DE CONTROL: DS12.5 Administración de Instalaciones Físicas.
Administrar las instalaciones, incluyendo el equipo de comunicaciones y de
 suministro de energía, de acuerdo con las leyes y los reglamentos, los
requerimientos técnicos y del negocio, las especificaciones del proveedor y los
lineamientos de seguridad y salud.

4. INTRUMENTOS APLICADOS

DOMINIO PROCESO OBJETIVO INSTRUMENTO

PO. PLANEAR Y PO7. Administrar los PO7.4 Entrenamiento del Cuestionario
ORGANIZAR Recursos Humanos de TI Personal de TI
ENTREGAR Y DS5. Garantizar la Seguridad DS5.4. Administración de Cuestionario
DAR SOPORTE de los Sistemas cuentas de usuario
(DS). DS5.9. Prevención,
detección y corrección de
software malioso
DS5.10. Seguridad de la
Red
ENTREGAR Y DS11. Administración de DS11.6. Respaldo y Cuestionario
DAR SOPORTE Datos Restauración
(DS).
ENTREGAR Y DS12. Administración del DS12.5 Administración de Cuestionario
DAR SOPORTE Ambiente Físico Instalaciones Físicas.
(DS).

Cuestionario de Control: C1
Dominio PLANEAR Y ORGANIZAR (PO)
Proceso PO7. Administrar los Recursos Humanos de TI
Objetivo de Control PO7.4 Entrenamiento del Personal de TI
Pregunta Si No OBSERVACIONES
¿Tienen definido por escrito un procedimiento para la 4 Si bien el administrador
contratación de personal en el negocio? puede describir el
procedimiento para la
contratación, este no está
definido en forma escrita.
¿Se han evaluado las habilidades y conocimientos que 5
deben tener los empleados para trabajar en el negocio?
¿Se encuentran establecidas y delimitadas por escrito, 5 Estas no están definidas en
las Responsabilidades del personal técnico y forma escrita.
administrativo?
¿Existen planes de capacitación al personal contratado? 5 No existen
¿El desempeño del trabajo realizado por el personal es 5 Mensualmente
evaluado y revisado periódicamente?
¿Se han realizado estudios al personal para determinar 5 No se han realizado
necesidades de capacitación?
TOTALES 10 19
Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%

Porcentaje de riesgo = 100 – 35.7= 65.6%

Riesgo: MEDIO

Cuestionario de Control: C2
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS5. Garantizar la Seguridad de los Sistemas
DS5.4. Administración de cuentas de usuario
OBJETIVOS DE
DS5.9. Prevención, detección y corrección de software malioso
CONTROL
DS5.10. Seguridad de la Red
Pregunta Si No OBSERVACIONES
¿La empresa cuenta con un administrador de sistemas 5
que lleve un control de usuarios que hacen uso de los
diferentes dispositivos de cómputo?
¿Se cuentan con procedimientos para la creación, 3
modificación y eliminación de perfiles de usuario en
los equipos de la empresa?
¿Se identifica usuarios y sus privilegios de acceso, 5
sistema operativo, sistema de gestión de bases de datos
y aplicaciones?
¿Se restringe y controla la asignación y el uso de 5
privilegios a los usuarios de los equipos de cómputo?
¿Se ha determinado algún mecanismo de seguridad para 5
que el usuario no acceda al sistema operativo de los
equipos?
¿Existen políticas de restricción para el acceso a los 5
programas y archivos por parte de usuarios clientes?
¿Los usuarios clientes tienen restringido el acceso a 5
las partes más delicadas de las aplicaciones instaladas
en el equipo?
¿Existen normas o procesos que no permitan hacer 5 Están congelados los
Modificaciones en la configuración de los equipos o equipos al reiniciar vuelve
intentarlo? a su estado original.
¿Los equipos que contienen la información prioritaria 5 El servidor esta con clave
del negocio, tienen acceso restringido? de administrador.
¿Se han implantado claves o password para garantizar el 5
acceso al servidor a personal autorizado?
¿Se tiene control y registro de cada una de las personas 4
que hacen uso del servidor?
¿Cuenta con licencias de software? 5
¿Existen políticas para el cumplimiento con licencias de 5
software y prohibición del uso de software No
autorizado?
¿Se hacen revisiones periódicas y sorpresivas del 5 Mensualmente
contenido del disco para verificar la instalación de
aplicaciones no relacionadas con el objeto económico
de la empresa?
¿Se tienen instalados y actualizados Antivirus? 5 AVG antivirus
¿Existen Firewalls dentro de la empresa? 5
¿Existen Planes de Contingencia para recuperarse ante 5
ataques de virus?
¿Se tienen instalados antimalware en los equipos? 4 El antivirus contiene el
servicio.
¿Cuenta con dispositivo firewall físico para protección 5
y aseguramiento de la red?
¿Las direcciones IP ́S de los equipos de cómputo son 5 Automática DCP
implementadas de forma fija?
¿La red cuenta con los equipos y aplicaciones 5
(protección) necesarias para tener una mayor
resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que 5
garanticen el buen funcionamiento de la red?
¿La cantidad de dispositivos Access Point es la 5
adecuada en función del número de usuarios que se
conectan?
¿Los enlaces de la red se testean frecuentemente? 5
TOTALES 54 62
Porcentaje de riesgo parcial = (54 * 100) / 116 = 46.5%

Porcentaje de riesgo = 100 – 46.5= 53.5%

Riesgo: MEDIO

Cuestionario de Control: C3
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS11. Administración de Datos
OBJETIVOS DE
DS11.6. Respaldo y Restauración
CONTROL
Pregunta Si No OBSERVACIONES
¿Existen políticas implementadas en la empresa para el 5
respaldo de información?
¿Se realizan periódicamente backups de la información 5
del servidor y de los demás equipos de cómputo?
¿Se guardan copias periódicas de los archivos que 5 En otra partición del disco
permita reanudar un proceso a partir de una fecha duro, disco duro externo
determinada?
¿Se cuenta con copias de los archivos en lugar distinto 5 Disco duro externo
al de la computadora?
¿El personal técnico está entrenado para recuperar o 5
restaurar información en caso de destrucción de
archivos?
¿Se tienen implementados controles de detección, 5
prevención y recuperación contra el software malicioso?
¿Se realizan auditorias periódicas a los medios de 5
almacenamiento?
TOTALES 20 15
Porcentaje de riesgo parcial = (20 * 100) / 35 = 57.14%

Porcentaje de riesgo = 100 -57.14= 42.8%

Riesgo: MEDIO

Cuestionario de Control: C4
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS12. Administración del Ambiente Físico
OBJETIVOS DE
DS12.5 Administración de Instalaciones Físicas.
CONTROL
Pregunta Si No OBSERVACIONES
¿Se tiene una distribución del espacio adecuada, de 5
forma tal que facilite el trabajo y no existan
distracciones?
¿Existe suficiente espacio dentro de las instalaciones de 5
forma que permita una circulación fluida de personal y
clientes?
¿Existen señalizaciones adecuadas en las salidas de 3
emergencia y se tienen establecidas rutas de
evacuación?
¿Existen lugares de acceso restringido? 5
¿Se cuenta con sistemas de seguridad para impedir el 5
paso a lugares de acceso restringido?
¿Se tienen sistemas de seguridad para evitar que se 5
sustraiga equipo de las instalaciones?
¿Se tiene un registro de las personas que ingresan a las 5
instalaciones?
¿Se registra el acceso al servidor de personas ajenas a la 5
dirección administrativa y técnica?
¿Existe un control que prohíba Mover, desconectar y/o 5
conectar equipo de cómputo sin autorización?
¿Se cuenta con suficientes carteles en lugares visibles 5
que recuerdan estas prohibiciones?
¿Existen inventarios de hardware, equipos y periféricos 5
asociados y del software instalado?
¿Los equipos se encuentran instalados en áreas con 5
temperaturas adecuadas para su funcionamiento?
¿Se cuenta con sistemas de emergencia como son 5
detectores de humo, alarmas, u otro tipo de censores?
¿Se tienen medios adecuados para extinción de fuego? 5
¿Se tienen protecciones contra corto circuito? 5
¿Los interruptores de energía y cables de red están 5
debidamente protegidos, etiquetados y sin obstáculos
para alcanzarlos?
¿Se han instalado equipos que protejan la información y 5 Reguladores
los dispositivos en caso de variación de voltaje como:
reguladores de voltaje, supresores pico, UPS,
generadores de energía?
¿Se cuenta con servicio de mantenimiento para todos 5
los equipos?
¿El cableado estructurado del interior del edificio viaja 5
dentro de canaleta o ducto?
¿Las terminaciones del cable de red están correctamente 5
configuradas en base al código de colores de los pares
trenzados?
¿Con cuanta frecuencia se limpian las instalaciones? 5 Todos los días
¿Se cuenta con instalación con tierra física para todos 5 Polo a tierra
los equipos?
¿Se tiene un cronograma de mantenimiento preventivo 5
y correctivos para los equipos?
TOTALES 50 63
Porcentaje de riesgo parcial = 50 * 100) / 113 = 44.24%

Porcentaje de riesgo = 100 -44.24= 55.7%

Riesgo: MEDIO
 5. ANALISIS Y EVALUACION DE RIESGOS

Partiendo de las tablas de evaluación de los riesgos detectados anteriormente en el

trabajo colaborativo 2 para cada uno de los procesos evaluados, se ha consolidado
y organizado de acuerdo a los activos de la empresa.
N° RIESGOS/VALORACION Probabilida Impacto
d
A M B L M C
Personal del Área
R1 El personal de la empresa no cuenta con un plan de x x
capacitación.
R2 No existen manuales de procedimientos para el x x
personal de la empresa.
Seguridad Lógica
R3 Perdida y manipulación de datos x x
Hardware
R4 Equipos con bajo rendimiento x x
Software
R5 Imposibilidad de restaurar el sistema x x
R6 Daños al sistema operativo x x
R7 Transmisión y ataque de virus informáticos x x
Seguridad Física
R8 Robo de equipos informáticos x x
R9 Incendios y cortos circuitos. x x
Infraestructura
R1 Daños al sistema eléctrico del equipo de cómputo x x
0
R1 Acceso de personal no autorizado a zonas x x
1 restringidas.
R1 Acceso no autorizado al servidor, intromisiones de x x
2 otros usuarios al equipo
R1 Imposibilidad para detectar movimientos x x
3 fraudulentos a los equipos de cómputo
 Redes
R1 Lento Rendimiento de la red. x x
4
R1 Acceso y manipulación a redes privadas x x
5
R1 Caída de la red x x
6
Documentación
R1 Imposibilidad de identificar y cuantificar el hardware x x
7 y software disponible de la empresa. No existen
inventarios

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

6. MATRIZ DE CLASIFICACIÓN DE RIESGO

LEVE MODERADO CATASTRÓFICO

ALTO R1, R18 R7

MEDI R2,R10,R11,R14,R1 R3,R5,R6,R7,R8,R9,R12,R13,R14,R15,R17

O 6
BAJO R4

7. TRATAMIENTO DEL RIESGO

ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 El personal de la empresa no cuenta con un plan Controlarlo
de capacitación
R2 No existen manuales de procedimientos para el Controlarlo
personal de la empresa.
R3 Perdida y manipulación de datos Controlarlo
R4 Equipos con bajo rendimiento Aceptarlo
R5 Imposibilidad de restaurar el sistema Controlarlo
R6 Daños al sistema operativo Controlarlo
R7 Transmisión y ataque de virus informáticos Controlarlo
 R8 Robo de equipos informáticos Controlarlo
R9 Incendios y cortos circuitos. Controlarlo
R10 Daños al sistema eléctrico del equipo de Controlarlo
cómputo
R11 Acceso de personal no autorizado a zonas Controlarlo
restringidas.
R12 Acceso no autorizado al servidor, intromisiones Controlarlo
de otros usuarios al equipo
R13 Imposibilidad para detectar movimientos Controlarlo
fraudulentos a los equipos de cómputo
R14 Lento Rendimiento de la red. Controlarlo
R15 Acceso y manipulación a redes privadas Controlarlo
R16 Caída de la red Controlarlo
R17 Imposibilidad de identificar y cuantificar el Controlarlo
hardware y software disponible de la empresa

8. HALLAZGOS DE LA AUDITORIA

Partimos de la “matriz de riesgos” del trabajo colaborativo 2, identificando los riesgos de

mayor impacto y probabilidad en cada proceso, con esta información diligenciamos los
formatos de hallazgo, las consecuencias que trae a la organización.

8.1 Hallazgos proceso: PO7. Administrar los Recursos Humanos de TI

REF
HALLAZGO
H.PO7-1

PROCESO Funcionamiento del aspecto físico de la red PÁGINA

AUDITADO de datos 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
PO. PLANEAR
PROCES PO7. Administrar los
DOMINIO Y
O Recursos Humanos de TI
ORGANIZAR
DESCRIPCIÓN DEL HALLAZGO:

 Los procedimientos para contratación del personal como las responsabilidades

del personal que trabaja en la empresa no se encuentran descritas en
documentos oficiales (Manuales, Protocolos, Normas, etc).
  No se han realizado planes de capacitación ni estudios al personal para
determinar las necesidades de capacitación.

REF_PT: Cuestionario de Control: C1

CONSECUENCIAS:
El no contar con manuales normas o políticas claras dentro de la empresa trae como
consecuencia no garantizar con el cumplimiento eficiente del objeto económico de la
misma para su crecimiento y consolidación, no permite definir ni orientar el quehacer
del funcionario dentro de la empresa y soportar las acciones que se hagan diariamente.
Por otra parte el no contar con un plan de capacitación permanente trae como
consecuencia deficiencias de los procesos, baja calidad del servicio, incumplimiento a
la normatividad legal vigente, por su parte los empleados no tendrán un entendimiento
claro sobre sus responsabilidades o deberes, tendrán dificultades para adaptarse y
entender el trabajo que se les encomienda, provocando desmotivación y posiblemente
rotación o cambio de personal lo que implica gastos económicos a la empresa.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Establecer manuales de procedimientos para el personal de la empresa.
Realizar estudios sobre las necesidades de capacitación del personal para realizar un
plan de capacitación que permita mejorar el rendimiento y la eficiencia del personal
en la ejecución de sus deberes.

8.2 Hallazgos Proceso: DS5. Garantizar la Seguridad de los Sistemas

REF
HALLAZGO
H-DS5-1

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS5. Garantizar la Seguridad
DOMINIO
SOPORTE O de los Sistemas
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se cuentan con procedimientos para la creación, modificación y eliminación de

perfiles de usuario en los equipos de la empresa, no existen los controles suficientes
para que un usuario tenga acceso restringido a los sistemas

No se lleva control del acceso de personal diferente al autorizado que hacen uso del
servidor, no se cuentan con licencias software, no se tienen instalados firewall, no se
garantiza la seguridad de los sistemas a través de la red.

REF_PT: Cuestionario de Control: C2

CONSECUENCIAS:
No contar con los controles suficientes para que un usuario tenga acceso a los
sistemas puede traer como consecuencia el acceso no autorizado a información, daño
o manipulación, o robo de la misma.
No contar con las licencias de software, puede traer problemas ante alguna auditoría
por parte de las autoridades encargadas de velar contra la piratería.

La falta de políticas con relación a seguridad de la información trae como

consecuencia la interrupción en el servicio causadas por virus y ataques informáticos,
accesos indebidos a la información vital de empresa y perdida de confidencialidad de
datos y privacidad de clientes y usuarios.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
 Definir un procedimiento claro sobre la creación, modificación, eliminación y
 privilegios de cuentas de usuarios.

 Se recomienda mantener toda la legalidad necesaria en cuento a licencias.

 Establecer políticas y procedimientos para administrar y monitorear la

seguridad de información de la empresa.

8.3 Hallazgos Proceso: DS11. Administración de Datos

REF
HALLAZGO
H-DS11-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS11. Administración de
DOMINIO
SOPORTE O Datos
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se encontraron normas y políticas para el resguardo de la información de la

empresa.

REF_PT: Cuestionario de Control: C3

CONSECUENCIAS:
No contar con una protección esencial para los datos críticos almacenados en los
equipos trae como consecuencia la pérdida definitiva de la información e interrupción
del servicio.

RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
  Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir e implementar procedimientos de respaldo y restauración de los sistemas e
información crítica de la empresa.
Establecer un cronograma para realizar copias de seguridad y contar con un lugar
externo para su almacenamiento.

8.4 Hallazgos Proceso: DS12. Administración del Ambiente Físico

REF
HALLAZGO
H-DS12-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS12. Administración del
DOMINIO
SOPORTE O Ambiente Físico
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No existen señalizaciones adecuadas de las salidas de emergencia.

No se tienen establecidas rutas de evacuación
No se cuenta con algún sistema de seguridad que impida el paso a lugares de acceso
restringido
No se lleva registro de las personas que ingresan a las instalaciones ni a los sistemas
No se cuenta con elementos de seguridad para impedir que se sustraigan los equipos o
dispositivos periféricos y además no se cuenta con inventario de hardware
No se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u
otro tipo de censores, los interruptores de energía y cables de red no están debidamente
protegidos, etiquetados y sin obstáculos para alcanzarlos
No se cuenta con un cronograma de mantenimiento preventivo y correctivos para los
equipos.
REF_PT: Cuestionario de Control: C4

CONSECUENCIAS:
Al no contar con algún sistema de seguridad que impida el paso a lugares de acceso
restringido, los usuarios, clientes u otras personas pueden sustraer los equipos de
cómputo o dispositivos periféricos así como también sustraer la información que ellos
contengan y considerando que no se lleva un inventario del hardware y el software
sería muy difícil identificar estas pérdidas causando deterioro en el activo patrimonial
de la empresa. Dada que los interruptores de energía y cables de red no están
protegidos puede causar inconvenientes con las corrientes eléctricas y al no tener
sistemas de seguridad como detectores de humo, alarmas o extintores se pueden
causar graves pérdidas o daños a la infraestructura física como también a los mismos
usuarios y personal de la empresa. De igual forma si un cable de red está en mal
estado, normalmente la transmisión de datos es lenta.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir políticas y estrategias para mantener un ambiente físico adecuado para
proteger los activos de tecnológicos de la empresa contra acceso, daño o robo.
Realizar de forma inmediata el inventario de hardware y software de la empresa.

9. CONTROLES DEL RIESGO

 RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
El personal de la CORRECTIVO Realizar estudios sobre las necesidades de
empresa no cuenta con capacitación del personal.
un plan de capacitación
Elaborar un plan de capacitación para el
personal e acuerdo a las necesidades
observadas en el estudio previo.
No se cuenta con CORRECTIVO Elaborar manuales de procedimientos para
manuales de el personal de la empresa
procedimientos
Perdida y manipulación CORRECTIVO Adquirir software licenciado.
de datos
Adquisición de antivirus licenciados con el
fin de minimizar el riesgo de infecciones y
malware en los equipos de cómputo de la
empresa.

Realizar copias de seguridad.

PREVENTIVO Definir una política adecuada de copias de
seguridad.

Definir un procedimiento sobre la creación,

modificación, eliminación y privilegios de
cuentas de usuarios.

Elaborar un plan de contingencia para el

respaldo de la información (backup) y para
la recuperación del sistema.

Establecer un cronograma para realizar

copias de seguridad y contar con un lugar
externo para su almacenamiento.

Establecer políticas y procedimientos para

administrar y monitorear la seguridad de
información de la empresa.
DETECTIVO Llevar un registro de intentos de acceso no
autorizados
Imposibilidad de PREVENTIVO Definir e implementar procedimientos
 RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
restaurar el sistema de respaldo y restauración de los sistemas e
información crítica de la empresa.
Daños al sistema PREVENTIVO Establecer mecanismos de seguridad para
operativo que el usuario no acceda al sistema
operativo de los equipos

Realizar las actualizaciones

correspondientes al S.O.

Instalar antivirus licenciado y configurarlo

correctamente

Instalar sistema UPS para garantizar la

seguridad física del sistema informático
Transmisión y ataque de CORRECTIVO Adquisición de antivirus licenciados con el
virus informáticos fin de minimizar el riesgo de infecciones y
malware en los equipos de cómputo de la
empresa.

Llevar el control de los medios de

almacenamiento utilizados.
PREVENTIVO Instalar sistemas de detección de software
malicioso al utilizar medios de
almacenamiento externos.
Robo de equipos CORRECTIVO Delimitar y controlar el acceso a las
informáticos instalaciones físicas

PREVENTIVO Llevar inventario de hardware de la

empresa.

Adquirir elementos para la detección de

accesos tales como cámaras de vigilancia de
circuito cerrado o alarmas.
Incendios y cortos CORRECTIVO Adquirir elementos para la detección fuego.
circuitos.
Instalar tomas de tierra o filtros reguladores
de tensión
 RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
Proteger y aislar el cableado y la toma de
energía.
PREVENTIVO Elaborar planes de contingencia con el fin
de estar preparados en el momento de un
eventual siniestro, tales como señalizaciones
de las salidas de emergencia, rutas de
evacuación, utilización de extintores etc.

Capacitar al personal para acatar los planes

de contingencia establecidos para eventuales
siniestros.
Daños al sistema PREVENTIVO Adquirir un Sistema de Alimentación
eléctrico del equipo de Ininterrumpida para proteger a los equipos
cómputo de fallos de energía
Acceso de personal no CORRECTIVO Delimitar el espacio físico de la empresa y
autorizado a zonas controlar el acceso a las instalaciones
restringidas. físicas.

Llevar registro de las personas que ingresan

a las instalaciones
Acceso no autorizado al PREVENTIVO Uso de software para el control de acceso de
servidor, intromisiones tal manera que únicamente se autorice el
de otros usuarios al acceso según los privilegios del usuario.
equipo
Llevar registro del acceso al servidor
Imposibilidad para CORRECTIVO Implementación de un registro diario del uso
detectar movimientos de los equipos.
fraudulentos a los
equipos de cómputo
Lento Rendimiento de la PREVENTIVO Testear frecuentemente la red.
red.
Acceso y manipulación a CORRECTIVO Adquisición de sistema de firewall, u otro
redes privadas sistema de protección necesarias para tener
una mayor resguardo de intrusos activos
(hackers) que puedan acceder a la red.
Caída de la red PREVENTIVO Definir planes de contingencia y
continuidad que garanticen el buen
funcionamiento de la red.
 RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS

Testear frecuentemente la red.

Imposibilidad de CORRECTIVO Elaborar el inventario de hardware y
identificar y cuantificar software de la empresa.
el hardware y software Elaborar un cronograma de mantenimiento
disponible de la empresa preventivo y correctivos para los equipos
 10. DICTAMEN FINAL

10.1 PROCESO COBIT: PO7. Administrar los Recursos Humanos de TI

a) Objetivo de la Auditoria:
Evaluar los procesos de contratación y entrenamiento de personal.

b) Dictamen
Se califica un nivel de madurez 1 INICIAL por cuanto la empresa lleva a cabo
este proceso de forma informal e intuitiva de acuerdo a las necesidades específicas
del momento, el proceso de inducción es informal y no se lleva a cabo
entrenamientos o capacitaciones adicionales al personal, sin embargo la
administración reconoce la necesidad de contar con una eficiente administración
de recursos humanos y se está desarrollando la conciencia con respecto al impacto
que tienen los cambios rápidos del mercado y de la tecnología.

c) Hallazgos que soportan el dictamen

 Si bien la empresa tiene claro su quehacer comercial y en el proceso de

contratación se tiene en cuenta el perfil de cada cargo, no se encuentran
documentados los procesos de reclutamiento ni tampoco se tienen definidas las
funciones o procesos en los que participa cada empleado de la empresa. Los
procedimientos para contratación del personal como las responsabilidades del
personal que trabaja en la empresa no se encuentran descritas en documentos
oficiales (Manuales, Protocolos, Normas, etc).

 No se llevan a cabo capacitaciones posteriores a la inducción inicial al personal.

 No se han realizado planes de capacitación ni estudios al personal para determinar

las necesidades de capacitación.

d) Recomendaciones:

 Elaborar manuales de procedimientos para: contratación de personal, procesos de

inducción y capacitación al personal.
 Elaborar el manual de funciones y procedimientos de los empleados de la empresa.
 Socializar la documentación elaborada con el personal de la empresa.
 Realizar estudios sobre las necesidades de capacitación del personal
 Elaborar planes de capacitación semestral para los empleados.

10.2 DS5. Garantizar la Seguridad de los Sistemas

e) Objetivo de la Auditoria:
Evaluar los procesos de administración de cuentas de usuario, Prevención,
detección y corrección de software malioso y Seguridad de la Red

f) Dictamen
Se califica un nivel de madurez 2 REPETIBLE pero intuitivo por cuanto la
empresa tiene conciencia sobre la importancia de la seguridad considerando que se
procura ejercer algunos controles de usuarios que hacen uso de los diferentes
dispositivos de cómputo, se ha llevado un proceso de identificación de usuarios y
se han determinado sus privilegios de acceso tanto a los sistema operativos,
sistema de gestión de bases de datos y aplicaciones, se procura restringir y
controlar la asignación y el uso de ciertos privilegios a los usuarios de los equipos
de cómputo, se han determinado de forma informal las políticas de restricción para
el acceso a los programas y archivos por parte de usuarios clientes, han instalado
herramientas para evitar en los posible modificaciones en la configuración de los
equipos, se han implantado claves o password para garantizar el acceso al servidor,
se hacen revisiones periódicas y sorpresivas del contenido del disco para verificar
la instalación de aplicaciones no relacionadas con el objeto económico de la
empresa, se tienen instalados y actualizados Antivirus entre otros, no obstante
estos procesos no son continuamente revisados, analizados.

g) Hallazgos que soportan el dictamen

 No se cuentan con procedimientos para la creación, modificación y eliminación

de perfiles de usuario en los equipos de la empresa, no existen los controles
suficientes para que un usuario tenga acceso restringido a los sistema

 No se lleva control del acceso de personal diferente al autorizado que hacen uso
del servidor, no se cuentan con licencias software, no se tienen instalados firewall,
no se garantiza la seguridad de los sistemas a través de la red.

h) Recomendaciones:
 Elaborar manuales de procedimientos para: contratación de personal, procesos de
inducción y capacitación al personal.
 Elaborar el manual de funciones y procedimientos de los empleados de la empresa.
 Socializar la documentación elaborada con el personal de la empresa.
 Realizar estudios sobre las necesidades de capacitación del personal
 Elaborar planes de capacitación semestral para los empleados.