Documente Academic
Documente Profesional
Documente Cultură
AUDITORIA DE SISTEMAS
CÓDIGO: 90168
Presentado a:
FREDY ALEXANDER MOJOCOA
Entregado por:
Derwin L. Martínez Rodríguez
Código: 91513599
Sandra Lorena Millán
Código: 1006903818
Jorge Alexey Campos
Código: 1.121.852.957
Grupo: 90168_30
Tabla de Contenido
Introducción ..................................................................................................................................... 3
Objetivos .......................................................................................................................................... 4
Informe Construcción Grupal. .......................................................................................................... 5
I. Cuadro de procesos estándar CobIT seleccionados .................................................................. 5
II. Formatos diseñados y aplicados para cada uno de los procesos CobIT .................................... 5
Instrumento Recolección de Información - Proceso (PO6) Derwin Martínez ................................. 5
Instrumento Recolección de Información - Proceso (PO9) Jorge Campos ...................................... 9
Instrumento Recolección de Información - Proceso (DS5) Derwin Martínez ............................... 13
Instrumento Recolección de Información - Proceso (DS12) Sandra Millán .................................. 18
III. Análisis y evaluación de riesgos ............................................................................................. 22
IV. Matriz de riesgos General del Proceso .................................................................................... 23
Conclusiones .................................................................................................................................. 24
Lista de referencias......................................................................................................................... 25
III
Introducción
Objetivos
II. Formatos diseñados y aplicados para cada uno de los procesos CobIT
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal - R14
AUDITADO
RESPONSABLE Fernando Toro Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
Comprobar la aplicación de
Riesgos detectados de la controles frente a los
ausencia de un Sistema de riesgos detectados en el
Gestión de Seguridad de la sistema de gestión de
Información. Seguridad de la
Información.
LISTA CHEQUEO
PO6 Comunicar las
DOMINIO Planear y Organizar (PO) PROCESO Aspiraciones y la Dirección de
la Gerencia
OBJETIVO DE CONTROL PO6.1 Ambiente de Políticas y de Control
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Existe políticas y procedimientos de control
para la implementación de sistemas de
seguridad de la información a la cual se
1 X
encuentra expuesta la infraestructura
tecnológica de la empresa L & L Soluciones
WEB?
PO6.2 Riesgo Corporativo y Marco de Referencia de Control
OBJETIVO DE CONTROL
Interno de TI
¿Existe un marco de referencia de Control
Interno para la evaluación ordenada de los
riesgos a los que está expuesta la seguridad
2 X
de la información y la infraestructura
tecnológica de la empresa L & L Soluciones
WEB?
OBJETIVO DE CONTROL PO6.3 Administración de Políticas para TI
¿Existe Direccionamiento de políticas para la
valoración sistemática de los riesgos a los
3 que está expuesta la seguridad de la X
información y la infraestructura tecnológica
de la empresa?
OBJETIVO DE CONTROL PO6.4 Implantación de Políticas de TI
¿Se emplea y se distribuye métodos para la
aplicación de políticas que comprometa al
4 personal de empleados con la seguridad de la X
información y la infraestructura tecnológica
de la empresa?
OBJETIVO DE CONTROL PO6.5 Comunicación de los Objetivos y la Dirección de TI
¿Se maneja objetivos claros que orienten al
empleado a cumplir la trayectoria trazada
5 por la empresa con lineamientos a la X
seguridad de la información e infraestructura
tecnológica?
VIII
Cuestionario: Comunicar las Aspiraciones y la Dirección de la Gerencia
REF
CUESTIONARIO CUANTITATIVO
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal – R14
AUDITADO
RESPONSABLES Fernando Toro
MATERIAL DE
COBIT 4.1
SOPORTE
PO6 Comunicar las
Planear y Organizar
DOMINIO PROCESO Aspiraciones y la Dirección
(PO)
de la Gerencia
OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Existe política y procedimientos de control
para la implementación de sistemas de
1 seguridad de la información a la cual se 2
encuentra expuesta la infraestructura
tecnológica de la empresa?
¿Existe un marco de referencia de Control
Interno para la evaluación ordenada de los
2 riesgos a los que está expuesta la seguridad de 2
la información y la infraestructura
tecnológica de la empresa?
¿Existe Direccionamiento de políticas para la
valoración sistemática de los riesgos a los que
3 está expuesta la seguridad de la información 2
y la infraestructura tecnológica de la
empresa?
¿Se emplea y se distribuye métodos para la
aplicación de políticas que comprometa al
4 personal de empleados con la seguridad de la 3
información y la infraestructura tecnológica
de la empresa?
¿Se maneja objetivos claros que orienten al
empleado a cumplir la trayectoria trazada por
5 4
la empresa con lineamientos a la seguridad de
la información e infraestructura tecnológica?
TOTAL 7 6 0
TOTAL CUESTIONARIO 13
IX
Alto
61-100%
PROBABILIDAD Medio
R14
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal
AUDITADO
RESPONSABLE Fernando Toro Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO9 Evaluar y administrar los riesgos de TI
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal
AUDITADO
RESPONSABLES Fernando Toro
MATERIAL DE
COBIT 4.1
SOPORTE
Planear y Organizar PO9 Evaluar y administrar
DOMINIO PROCESO
(PO) los riesgos de TI
OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Cuentan con métodos para realizar las
evaluación sistemática de los riesgos a los
1 4
que la empresa L & L Soluciones WEB está
expuesta en su infraestructura tecnológica?
XII
¿Realizan evaluaciones periódicas de los
2 3
riesgos que pueden afectar a la empresa?
¿Existe Direccionamiento de políticas para
la valoración sistemática de los riesgos a
3 los que está expuesta la seguridad de la 3
información y la infraestructura
tecnológica de la empresa?
¿Utilizan métodos cualitativos o
cuantitativos que medan la probabilidad y
4 los impactos de los riesgos que puedan 3
afectar a la empresa L & L Soluciones
WEB?
¿Cuentan con un plan de acción para
5 3
reducir los riesgos de forma segura?
TOTAL 13 3 0
TOTAL CUESTIONARIO 16
Porcentaje de riesgo parcial = (13 * 100) / 16 = 81,25
Porcentaje de riesgo total = 100 – 81,25 = 18,75
Alto
61-100%
PROBABILIDAD
Medio
31-60%
Bajo
R2
0-30%
Leve Moderado Catastrófico
IMPACTO
XIII
Instrumento Recolección de Información - Proceso (DS5) Derwin Martínez
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal R12
AUDITADO
RESPONSABLE Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y dar Soporte (DS)
PROCESO DS5 Garantizar la Seguridad de los Sistemas
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal - R12
AUDITADO
RESPONSABLES Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
Entregar y dar Soporte DS5 Garantizar la Seguridad de
DOMINIO PROCESO
(DS) los Sistemas
OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Se adoptan las medidas de seguridad
1 necesarias para el departamento de 4
Sistemas?
XVII
¿Se registran acciones y procedimientos de
seguridad de tal forma no se vea expuesta
2 2
la seguridad de la información y la
infraestructura tecnológica?
¿Son registradas y controladas las visitas o
acceso al departamento de cómputo de
3 3
personas ajenas a la dirección de
informática?
¿Se emplea controles de acceso a los
archivos, programas y equipos empleados
4 4
por los programadores, analistas y
operadores?
¿Se realiza seguimiento y vigilancia al
personal, equipos y sistemas del
departamento de informática con el fin de
5 3
mantener control y no se vea expuesta la
seguridad de la información y la
infraestructura tecnológica?
¿Se dispone de un plan que prevea incidentes
de seguridad contra eventos que atente contra
6 la confidencialidad, integridad, 4
disponibilidad de la información y de los
recursos de la empresa?
¿Se cuenta con medidas de protección de la
reserva digital para evitar el acceso no
7 autorizado a los datos, los cuales pueden 3
encontrarse en ordenadores, bases de datos,
sitios web operados por la empresa?
¿Se dispone con políticas de uso de
controles criptográficos y regulación de
8 4
llaves dentro del departamento de
informática?
¿Se implantan controles de detección,
prevención y recuperación contra software
9 4
maliciosos y procedimientos para la
concientizar a personal?
¿Se desarrolla técnicas para proteger los
equipos informáticos conectados a la red
10 3
frente a daños accidentales o
intencionados?
TOTAL 20 14 0
TOTAL CUESTIONARIO 34
Porcentaje de riesgo parcial = (20 * 100) / 34 = 58,82
Porcentaje de riesgo total = 100 – 58,82 = 41,18
Alto
61-100%
PROBABILIDAD
Medio
R12
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Seguridad Lógica – R6
AUDITADO
RESPONSABLE Víctor Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y dar Soporte (DS)
PROCESO DS12 Administración del Ambiente Físico
ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Seguridad Lógica – R6
AUDITADO
RESPONSABLES Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
Entregar y dar Soporte DS12 Administración del
DOMINIO PROCESO
(DS) Ambiente Físico
OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
Se emplean programas, sistemas o software
1 sencillos y fácil de operar por parte del 4
personal de empleados acorde a su función
El departamento de sistemas se encuentra
2 dotado con sistemas de contra incendio, 3
alarmas de robo u otro tipo sensores.
XXI
El departamento de sistemas cuenta con el
espacio suficiente acorde a su labor y
3 4
funciones que debe cumplir dentro de la
empresa.
Dentro del departamento de sistemas
manejan o se encuentra algún tipo de
material químico que pueda causar algún
4 1
tipo de daño a los equipos, estructuras
tecnológicas y medio ambiente de la
empresa.
Los muebles, equipos y herramientas que
se encuentran dentro del departamento de
5 sistemas son adecuados para la labor o 4
misión que debe cumplir el área de
auditada.
TOTAL 12 4 0
TOTAL CUESTIONARIO 16
Porcentaje de riesgo parcial = (12* 100) / 17 = 75,00
Porcentaje de riesgo total = 100 – 75,00 = 25,00
Alto
61-100%
PROBABILIDAD
Medio
31-60%
Bajo
R6
0-30%
Leve Moderado Catastrófico
IMPACTO
XXII
III. Análisis y evaluación de riesgos
Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Falta de actualización de los
R1 antivirus, ya que son copias ilegales X X
que no permiten su actualización.
Alteración o pérdida de la
R2 información registrada en base de X X
datos o equipos.
Solo existe una UPS la cual se tiene
para el servidor, en caso de un bajón
de energía, no alcanza a soportar con
R3 la conectividad de todos los
X X
computadores e impresoras
multifuncionales de la empresa.
No existe control de acceso a
direcciones de internet por parte del
R4 X X
administrador, lo que hace inseguro a
la red de datos.
Algunos de los segmentos de la red
se encuentran a la intemperie lo que
puede causar manipulación de red,
R5 X X
daños a la red, rupturas y su
transmisión de datos presentan caídas
de paquetes de información.
No se realizan copias de seguridad
de manera periódica de la
R6 información sensible en medios
X X
externos.
Falta de controles y restricciones
R7 X X
para el acceso a internet.
Al no contar con VPN, no analiza el
tráfico por VPN IPSec, L”TP, PPTP
R8 y SSL en busca de software X X
malintencionado, correo no deseado,
contenidos inapropiados.
La no aplicabilidad en Firewall –
saber qué puertos se deben bloquear
o permitir, la forma de interactuar
R9 X X
con ella o es propietario de ella,
quien tiene acceso a la consola de
control.
No existen planes de contingencia en
R10 caso de pérdidas de información y X X
copias de seguridad.
El personal no cuenta con programas
de capacitación y formación en
R11 X X
seguridad informática y de la
información.
XXIII
Los servidores y equipos del área de
sistemas no se encuentran bajo algún
R12 armario cerrado o en alguna oficina
X X
con acceso restringido.
No se tiene implementado un sistema
de identificación de empleados,
R13 X X
visitantes, acompañantes y registro
de visitantes.
No existe un proceso de auditoría a la
seguridad informática y de la
información que garantice el sistema
R14 de control adecuado para la X X
implementación de políticas y
procedimientos en el Sistema de
Seguridad.
El empleado o trabajador puede ser
una víctima directa o indirecta de una
R15 X X
agresión externa en contra de la
Empresa.
Alto
61- R8
100%
R1, R9,
PROBABILIDAD
Medio
R11, R12, R7, R13
31-60%
R14
Bajo R4, R6, R2, R3, R5,
0-30% R10 R15
IMPACTO
XXIV
Conclusiones
Lista de referencias