I

AUDITORIA DE SISTEMAS
CÓDIGO: 90168

FASE DE PLANEACIÓN DE LA AUDITORÍA

Presentado a:
FREDY ALEXANDER MOJOCOA

Entregado por:
Derwin L. Martínez Rodríguez
Código: 91513599
Sandra Lorena Millán
Código: 1006903818
Jorge Alexey Campos
Código: 1.121.852.957

Grupo: 90168_30

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
NOVIEMBRE DE 2017
VILLAVICENCIO
 II

Tabla de Contenido

Introducción ..................................................................................................................................... 3
Objetivos .......................................................................................................................................... 4
Informe Construcción Grupal. .......................................................................................................... 5
I. Cuadro de procesos estándar CobIT seleccionados .................................................................. 5
II. Formatos diseñados y aplicados para cada uno de los procesos CobIT .................................... 5
Instrumento Recolección de Información - Proceso (PO6) Derwin Martínez ................................. 5
Instrumento Recolección de Información - Proceso (PO9) Jorge Campos ...................................... 9
Instrumento Recolección de Información - Proceso (DS5) Derwin Martínez ............................... 13
Instrumento Recolección de Información - Proceso (DS12) Sandra Millán .................................. 18
III. Análisis y evaluación de riesgos ............................................................................................. 22
IV. Matriz de riesgos General del Proceso .................................................................................... 23
Conclusiones .................................................................................................................................. 24
Lista de referencias......................................................................................................................... 25
 III

Introducción

En el desarrollo de la Unidad 2 Fase 3, busca que se logre identificar y reconocer

diferentes instrumentos de recolección de la información, aplicando los estándares CobIT, de tal
manera llegar a la comprensión y poder desarrollar el proceso de análisis y evaluación de riesgos
informáticos.
Con el fin de generar una buena práctica a través de estrategias de aprendizaje basadas en
problemas, afianzando los conocimientos y generar una mejor dinámica de trabajo tanto
individual como grupal, de tal manera se contribuya satisfactoriamente al desarrollo de la
actividad en relación a la Planeación y Ejecución de una auditoría.
 IV

Objetivos

Identificar y diseñar los instrumentos de recolección de la información de acuerdo al

estándar CobIT, para el planeamiento y ejecución de una la auditoria.

Desarrollar y aprende a realizar el proceso de análisis y evaluación de riesgos hasta llegar a

definir la matriz de riesgos.

Fortalecer la capacidad para responder a los instrumentos diseñados y de esta manera

generar su aplicación a la auditoria planeada.
 V
Informe Construcción Grupal.

I. Cuadro de procesos estándar CobIT seleccionados

No. Nombre y Apellido Proceso CobIT

1 Derwin Martínez Rodríguez
2 Jorge Alexey Campos
3 Sandra Lorena Millán
 PO6 Comunicar las directrices y aspiraciones gerenciales.
 DS5 Garantizar la Seguridad de Sistemas
 DS2 Administrar los Servicios de Terceros
 PO9 Evaluar y administrar los riesgos de TI
 DS12 Administración del Ambiente

II. Formatos diseñados y aplicados para cada uno de los procesos CobIT

Instrumento Recolección de Información - Proceso (PO6) Derwin Martínez

Fuentes de conocimiento: PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal - R14
AUDITADO
RESPONSABLE Fernando Toro Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
 Documento de la política  Verificar la existencia de  Comprobación de los
de seguridad de la procesos de auditoría a la efectos en la eficiencia y
información. seguridad informática y de eficacia de los controles
la información. existentes.
 Sistema de control
interno.  Verificar la existencia de  Aplicación de los controles
controles adecuados para para la implementación de
 Documento de Manual la implementación de políticas y Sistema de
de riesgos. políticas y procedimientos Seguridad de la
en el Sistema de Información.
Seguridad.
 VI

 Comprobar la aplicación de
 Riesgos detectados de la controles frente a los
ausencia de un Sistema de riesgos detectados en el
Gestión de Seguridad de la sistema de gestión de
Información. Seguridad de la
Información.

Entrevista: PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

ENTREVISTA
PO6 Comunicar las Aspiraciones
DOMINIO Planear y Organizar (PO) PROCESO
y la Dirección de la Gerencia
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿La empresa cuenta con políticas y
La empresa no cuenta con políticas y
procedimientos de control para la
1 procedimientos establecidos para el control
seguridad de la información y la
de la información e infraestructura.
infraestructura tecnológica?
¿La empresa cuenta o maneja un marco de
Control Interno para la evaluación En la empresa no se ejecuta procedimiento
2 vinculada con los riesgos a los que está alguno que tenga que ver con evaluación
expuesta la seguridad de la información y de control interno.
la infraestructura tecnológica?
¿La empresa utiliza procesos de gestión de
calidad cuantitativos para medir la
No se realizan mediciones de probabilidad
probabilidad e impacto de los riesgos a los
3 de impacto en la administración de
que se ve afectada la seguridad de la
políticas.
información y la infraestructura
tecnológica?
¿La empresa emplea métodos para el
Si se emplea por parte de la empresa
cumplimiento de las políticas y
procedimientos para el control de la
4 procedimientos de control para la
seguridad de la información e
seguridad de la información y la
infraestructura.
infraestructura?
¿Se notifican objetivos claros que alineen
al empleado a cumplir el camino diseñado Se trasmiten objetivos y direccionamiento
5 por la empresa en el manejo de la trazados por la empresa tanto empleados
seguridad de la información e como clientes.
infraestructura tecnológica?

Lista chequeo: Comunicar las Aspiraciones y la Dirección de la Gerencia

 VII

LISTA CHEQUEO
PO6 Comunicar las
DOMINIO Planear y Organizar (PO) PROCESO Aspiraciones y la Dirección de
la Gerencia
OBJETIVO DE CONTROL PO6.1 Ambiente de Políticas y de Control
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Existe políticas y procedimientos de control
para la implementación de sistemas de
seguridad de la información a la cual se
1 X
encuentra expuesta la infraestructura
tecnológica de la empresa L & L Soluciones
WEB?
PO6.2 Riesgo Corporativo y Marco de Referencia de Control
OBJETIVO DE CONTROL
Interno de TI
¿Existe un marco de referencia de Control
Interno para la evaluación ordenada de los
riesgos a los que está expuesta la seguridad
2 X
de la información y la infraestructura
tecnológica de la empresa L & L Soluciones
WEB?
OBJETIVO DE CONTROL PO6.3 Administración de Políticas para TI
¿Existe Direccionamiento de políticas para la
valoración sistemática de los riesgos a los
3 que está expuesta la seguridad de la X
información y la infraestructura tecnológica
de la empresa?
OBJETIVO DE CONTROL PO6.4 Implantación de Políticas de TI
¿Se emplea y se distribuye métodos para la
aplicación de políticas que comprometa al
4 personal de empleados con la seguridad de la X
información y la infraestructura tecnológica
de la empresa?
OBJETIVO DE CONTROL PO6.5 Comunicación de los Objetivos y la Dirección de TI
¿Se maneja objetivos claros que orienten al
empleado a cumplir la trayectoria trazada
5 por la empresa con lineamientos a la X
seguridad de la información e infraestructura
tecnológica?
 VIII
Cuestionario: Comunicar las Aspiraciones y la Dirección de la Gerencia
REF
CUESTIONARIO CUANTITATIVO

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal – R14
AUDITADO
RESPONSABLES Fernando Toro
MATERIAL DE
COBIT 4.1
SOPORTE
PO6 Comunicar las
Planear y Organizar
DOMINIO PROCESO Aspiraciones y la Dirección
(PO)
de la Gerencia

OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Existe política y procedimientos de control
para la implementación de sistemas de
1 seguridad de la información a la cual se 2
encuentra expuesta la infraestructura
tecnológica de la empresa?
¿Existe un marco de referencia de Control
Interno para la evaluación ordenada de los
2 riesgos a los que está expuesta la seguridad de 2
la información y la infraestructura
tecnológica de la empresa?
¿Existe Direccionamiento de políticas para la
valoración sistemática de los riesgos a los que
3 está expuesta la seguridad de la información 2
y la infraestructura tecnológica de la
empresa?
¿Se emplea y se distribuye métodos para la
aplicación de políticas que comprometa al
4 personal de empleados con la seguridad de la 3
información y la infraestructura tecnológica
de la empresa?
¿Se maneja objetivos claros que orienten al
empleado a cumplir la trayectoria trazada por
5 4
la empresa con lineamientos a la seguridad de
la información e infraestructura tecnológica?
TOTAL 7 6 0
TOTAL CUESTIONARIO 13
 IX

Porcentaje de riesgo parcial = (7 * 100) / 13 = 53,85

Porcentaje de riesgo total = 100 – 53,85 = 46,15

PORCENTAJE RIESGO 46,15% (Riesgo Medio)

Alto
61-100%
PROBABILIDAD Medio
R14
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO

Instrumento Recolección de Información - Proceso (PO9) Jorge Campos

Fuentes de conocimiento: PO9 Evaluar y administrar los riesgos de TI

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal
AUDITADO
RESPONSABLE Fernando Toro Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO9 Evaluar y administrar los riesgos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
 Documento de la política de  Verificar la existencia de  Comprobación de los efectos
seguridad de la información. procesos de auditoría a la en la eficiencia y eficacia de los
seguridad informática y de la controles existentes.
 Sistema de control interno. información.
 Aplicación de los controles para
 Documento de Manual de  Verificar la existencia de la implementación de políticas
riesgos. controles adecuados para la y Sistema de Seguridad de la
implementación de políticas y Información.
procedimientos en el Sistema
 X
de Seguridad.  Comprobar la aplicación de
controles frente a los riesgos
 Riesgos detectados de la detectados en el sistema de
ausencia de un Sistema de gestión de Seguridad de la
Gestión de Seguridad de la Información.
Información.

Entrevista: Evaluar y administrar los riesgos de TI

ENTREVISTA
PO9 Evaluar y administrar los
DOMINIO Planear y Organizar (PO) PROCESO
riesgos de TI
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
Se emplean diferentes métodos ya bien
¿Utilizan métodos para medir la
sea accidentales (medios reguladores de
1 probabilidad que un riesgo puede ocasionar
voltaje) y para malintencionados (las
en la infraestructura tecnológica?
contraseñas de usuario)
¿La empresa cuenta con procesos y
Si emplea diferentes métodos para para
2 métodos para administrar los riesgos
administración de los riesgos informáticos
informáticos?
Si emplea diferentes métodos para
¿Mediante una metodología realizan detección, prevención y recuperación
evaluaciones de los riesgos que pueden contra software maliciosos como
3
afectar la infraestructura tecnológica de la antivirus, Backup de la información en la
empresa? nube y restricción de páginas no
deseables.
¿Existe un control de mitigación de
No se cuenta con un control establecido
riesgos que afecte la infraestructura
4 para mitigar el riesgo de la infraestructura
tecnológica de la empresa ya que son
en relación a eventualidades accidentales.
frecuentes las amenazas?
¿Realizan con frecuencia monitoreo de Si se realizan procesos de monitoreo para
5
riesgos? prevenir riesgos informáticos.

Lista chequeo: Evaluar y administrar los riesgos de TI

LISTA CHEQUEO
PO9 Evaluar y administrar
DOMINIO Planear y Organizar (PO) PROCESO
los riesgos de TI
OBJETIVO DE CONTROL PO9 Evaluar y administrar los riesgos de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Cuentan con métodos para realizar las
evaluación sistemática de los riesgos a los
1 que la empresa L & L Soluciones WEB X
está expuesta en su infraestructura
tecnológica?
 XI

OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo

¿Realizan evaluaciones periódicas de los
2 X
riesgos que pueden afectar a la empresa?
OBJETIVO DE CONTROL PO9.3 Identificación de eventos
¿Existe Direccionamiento de políticas
para la valoración sistemática de los
riesgos a los que está expuesta la
3 X
seguridad de la información y la
infraestructura tecnológica de la
empresa?
OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI
¿Utilizan métodos cualitativos o
cuantitativos que medan la probabilidad
4 y los impactos de los riesgos que puedan X
afectar a la empresa L & L Soluciones
WEB?
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos
¿Cuentan con un plan de acción para
5 X
reducir los riesgos de forma segura?

Cuestionario: Evaluar y administrar los riesgos de TI

REF
CUESTIONARIO CUANTITATIVO

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal
AUDITADO
RESPONSABLES Fernando Toro
MATERIAL DE
COBIT 4.1
SOPORTE
Planear y Organizar PO9 Evaluar y administrar
DOMINIO PROCESO
(PO) los riesgos de TI

OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Cuentan con métodos para realizar las
evaluación sistemática de los riesgos a los
1 4
que la empresa L & L Soluciones WEB está
expuesta en su infraestructura tecnológica?
 XII
¿Realizan evaluaciones periódicas de los
2 3
riesgos que pueden afectar a la empresa?
¿Existe Direccionamiento de políticas para
la valoración sistemática de los riesgos a
3 los que está expuesta la seguridad de la 3
información y la infraestructura
tecnológica de la empresa?
¿Utilizan métodos cualitativos o
cuantitativos que medan la probabilidad y
4 los impactos de los riesgos que puedan 3
afectar a la empresa L & L Soluciones
WEB?
¿Cuentan con un plan de acción para
5 3
reducir los riesgos de forma segura?
TOTAL 13 3 0
TOTAL CUESTIONARIO 16
Porcentaje de riesgo parcial = (13 * 100) / 16 = 81,25
Porcentaje de riesgo total = 100 – 81,25 = 18,75

PORCENTAJE RIESGO 18,75% (Riesgo Bajo)

Alto
61-100%
PROBABILIDAD

Medio
31-60%
Bajo
R2
0-30%
Leve Moderado Catastrófico
IMPACTO
 XIII
Instrumento Recolección de Información - Proceso (DS5) Derwin Martínez

Fuentes de conocimiento: DS5 Garantizar la Seguridad de los Sistemas

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal R12
AUDITADO
RESPONSABLE Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y dar Soporte (DS)
PROCESO DS5 Garantizar la Seguridad de los Sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
 Documento de la política  Organización y  Revisión de las políticas y
de seguridad de la cualificación del personal Normas sobre seguridad
información. de Seguridad. Física.

 Gestión de seguridad de  Verificar el ambiente de  Verificar la seguridad de

la información. trabajo personal, datos, hardware,
software e instalaciones
 Gestión de seguridad de  Verificación y análisis de
la información y la los Planes y  Seguridad, utilidad,
operación del servicio. procedimientos confianza, privacidad y
disponibilidad en el
 Verificación de los Sistemas ambiente informático.
técnicos de Seguridad y
Protección.

Entrevista: Garantizar la Seguridad de los Sistemas

ENTREVISTA
DS5 Garantizar la Seguridad de
DOMINIO Entregar y dar Soporte (DS) PROCESO
los Sistemas
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿La empresa adopta medidas de
seguridad necesarias para la seguridad de
1 Solo se adopta contraseñas en los equipos
la información y la infraestructura
tecnológica el departamento de Sistemas?
 XIV
¿La empresa inspecciona tareas y
procedimientos de seguridad de tal forma
Se realizan procedimientos semestrales de
2 no se vea expuesta la seguridad de la
seguridad en la información y equipos.
información y la infraestructura
tecnológica?
¿El departamento de sistemas rastrea e
interviene el acceso sobre el área de No se maneja rastreo e intervención al
3
cómputo, de personas ajenas a la personal que ingresa al área de sistemas.
dirección de informática?
¿La empresa recurre a controles de
acceso a los archivos, programas y Los controles se llevan directamente por el
4
equipos empleados por el personal personal operario de los equipos.
comprometido en la zona de informática?
¿Hay establecido un seguimiento de
vigilancia al personal y equipos del área
No se emplea ningún tipo de seguimiento
5 de informática con el fin de conservar un
tanto personal como de equipos.
control en la seguridad de la información
y la infraestructura tecnológica?
¿La empresa cuenta con un plan para No se existe plan para prever incidentes con
prever incidentes con eventos que atente eventos que atente contra la
6
contra la confidencialidad, integridad, confidencialidad, integridad, disponibilidad
disponibilidad de la información? de la información.
¿La sección de informática desarrolla
medidas de protección para evitar el
acceso no autorizado a los datos, que se Se emplea contraseñas para acceso de datos
7
encuentran en ordenadores, bases de ordenadores y sitios web.
datos y sitios web empleado por la
empresa?
¿La empresa orienta políticas para el uso
de controles de llaves criptográficas en el
8 No se emplea políticas de criptografía.
sistema de información y la
infraestructura tecnológica?
¿El departamento de informática
Si emplea diferentes métodos para
desarrolla instauran controles de
detección, prevención y recuperación contra
detección, prevención y recuperación
9 software maliciosos como antivirus, Backup
contra software maliciosos y
de la información en la nube y restricción
procedimientos para la concientizar al
de páginas no deseables.
personal?
¿El departamento de informática
Se emplean diferentes métodos ya bien sea
despliega métodos para preservar los
accidentales (medios reguladores de voltaje)
10 equipos informáticos conectados a la red
y para malintencionados (las contraseñas de
frente a daños accidentales o
usuario)
intencionados?
 XV
Lista chequeo: Garantizar la Seguridad de los Sistemas
LISTA CHEQUEO
Entregar y dar Soporte DS5 Garantizar la Seguridad de
DOMINIO PROCESO
(DS) los Sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se adoptan las medidas de seguridad
1 necesarias para el departamento de X
Sistemas?
OBJETIVO DE CONTROL DS5.2 Plan de Seguridad de TI
¿Se registran acciones y procedimientos
de seguridad de tal forma no se vea
2 X
expuesta la seguridad de la información
y la infraestructura tecnológica?
OBJETIVO DE CONTROL DS5.3 Administración de Identidad
¿Son registradas y controladas las visitas
o acceso al departamento de cómputo de
3 X
personas ajenas a la dirección de
informática?
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario
¿Se emplea controles de acceso a los
archivos, programas y equipos
4 X
empleados por los programadores,
analistas y operadores?
OBJETIVO DE CONTROL DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
¿Se realiza seguimiento y vigilancia al
personal y equipos del departamento de
5 informática para mantener control y no X
exponer la seguridad de la información
y la infraestructura tecnológica?
OBJETIVO DE CONTROL DS5.6 Definición de Incidente de Seguridad
¿Se dispone de un plan que prevea
incidentes de seguridad contra eventos
que atente contra la confidencialidad,
6 X
integridad, disponibilidad de la
información y de los recursos de la
empresa?
OBJETIVO DE CONTROL DS5.7 Protección de la Tecnología de Seguridad
 XVI
¿Se cuenta con medidas de protección
de la reserva digital para evitar el acceso
no autorizado a los datos, los cuales
7 X
pueden encontrarse en ordenadores,
bases de datos, sitios web operados por
la empresa?
OBJETIVO DE CONTROL DS5.8 Administración de Llaves Criptográficas
¿Se dispone con políticas de uso de
controles criptográficos y regulación de
8 X
llaves dentro del departamento de
informática?
DS5.9 Prevención, Detección y Corrección de Software
OBJETIVO DE CONTROL
Malicioso
¿Se implantan controles de detección,
prevención y recuperación contra
9 X
software maliciosos y procedimientos
para la concientizar a personal?
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
¿Se desarrolla técnicas para proteger los
equipos informáticos conectados a la red
10 X
frente a daños accidentales o
intencionados?

Cuestionario: Garantizar la Seguridad de los Sistemas

REF
CUESTIONARIO CUANTITATIVO

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Manejo y control de personal - R12
AUDITADO
RESPONSABLES Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
Entregar y dar Soporte DS5 Garantizar la Seguridad de
DOMINIO PROCESO
(DS) los Sistemas

OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
¿Se adoptan las medidas de seguridad
1 necesarias para el departamento de 4
Sistemas?
 XVII
¿Se registran acciones y procedimientos de
seguridad de tal forma no se vea expuesta
2 2
la seguridad de la información y la
infraestructura tecnológica?
¿Son registradas y controladas las visitas o
acceso al departamento de cómputo de
3 3
personas ajenas a la dirección de
informática?
¿Se emplea controles de acceso a los
archivos, programas y equipos empleados
4 4
por los programadores, analistas y
operadores?
¿Se realiza seguimiento y vigilancia al
personal, equipos y sistemas del
departamento de informática con el fin de
5 3
mantener control y no se vea expuesta la
seguridad de la información y la
infraestructura tecnológica?
¿Se dispone de un plan que prevea incidentes
de seguridad contra eventos que atente contra
6 la confidencialidad, integridad, 4
disponibilidad de la información y de los
recursos de la empresa?
¿Se cuenta con medidas de protección de la
reserva digital para evitar el acceso no
7 autorizado a los datos, los cuales pueden 3
encontrarse en ordenadores, bases de datos,
sitios web operados por la empresa?
¿Se dispone con políticas de uso de
controles criptográficos y regulación de
8 4
llaves dentro del departamento de
informática?
¿Se implantan controles de detección,
prevención y recuperación contra software
9 4
maliciosos y procedimientos para la
concientizar a personal?
¿Se desarrolla técnicas para proteger los
equipos informáticos conectados a la red
10 3
frente a daños accidentales o
intencionados?
TOTAL 20 14 0
TOTAL CUESTIONARIO 34
Porcentaje de riesgo parcial = (20 * 100) / 34 = 58,82
Porcentaje de riesgo total = 100 – 58,82 = 41,18

PORCENTAJE RIESGO 41,18% (Riesgo Medio)

 XVIII

Alto
61-100%

PROBABILIDAD
Medio
R12
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO

Instrumento Recolección de Información - Proceso (DS12) Sandra Millán

Fuentes de conocimiento: Administración del Ambiente Físico

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Seguridad Lógica – R6
AUDITADO
RESPONSABLE Víctor Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y dar Soporte (DS)
PROCESO DS12 Administración del Ambiente Físico

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
 Gestión de seguridad de la  Identificar los riesgos para  Determinar los riesgos
información. emitir un análisis y evaluación iniciales en general y
de los mismos, para proponer el objetivo de la
 Gestión de seguridad de la determinar cómo se está auditoría de acuerdo a los
información y la presentando el riesgo, las resultados, si se observa que
operación del servicio. posibles causas que lo los problemas se originan en
originan, en que procesos se la infraestructura tecnológica
presentan y quien es el entonces la auditoría deberá
personal involucrado en cada orientarse hacia el análisis de
uno de ellos. dicha infraestructura.
 XIX
Entrevista: Administración del Ambiente Físico
ENTREVISTA
DS12 Administración del
DOMINIO Entregar y dar Soporte (DS) PROCESO
Ambiente Físico
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿La empresa cuenta con el personal El área de sistemas cuenta con el personal
1 suficiente para el desempeño de su acorde a los cargos estipulados por la
trabajo? empresa.
¿Cuántos Mantenimiento se les han El mantenimiento a los equipos se les aplica
2
realizado a los equipos? una vez por semestre.
¿Con que periodo se les da Los mantenimientos a los sectores eléctricos
3 mantenimiento a las instalaciones y se les generan esporádicamente y de acuerdo
suministros de energía? a las necesidades sugeridas.
¿Qué nivel de conocimientos tiene en el El conocimiento el son las necesarias a base
4
manejo de un Computador? de la funciones y cargo desempeñado.
En cuanto al mantenimiento físico se le
¿Cada cuánto cree que se le debe realizar
5 genera de 3 a 4 veces al año y sobre el
revisión y actualización de su PC?
software 1 a 2 veces al año
Por momento no se tiene planes de
¿Se cuenta con procedimientos definidos
6 adquisición de nuevos equipo para la
para la adquisición de nuevos equipos?
empresa.
¿Conoce y ha hecho uso de la Si además se emplea los manuales virtuales
7
información del equipo? para el conocimiento de los equipos.
¿Los trabajadores están capacitados para
No se han realizado capacitaciones de
8 tomar medidas en caso de una
personal de ninguna índole.
emergencia?
Se cuenta con personal que posee excelentes
¿Los trabajadores están capacitados para
9 actitudes y aptitudes para desempeñarse en
el manejo de los equipos?
las labores de la empresa.

Lista chequeo: Administración del Ambiente Físico

LISTA CHEQUEO
Entregar y dar Soporte DS12 Administración del
DOMINIO PROCESO
(DS) Ambiente Físico
OBJETIVO DE CONTROL DS12.1 Selección y Diseño del Centro de Datos
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
En el departamento de sistemas los
equipo empleados manejan programas o
1 X
software sencillos y fácil de emplear
para la manipulación de los operadores
OBJETIVO DE CONTROL DS12.2 Medidas de Seguridad Física
 XX
¿Se cuenta con sistemas de emergencia
2 como son detectores de humo, alarmas, X
u otro tipo de censores?
OBJETIVO DE CONTROL DS12.3 Acceso Físico
¿Existe suficiente espacio dentro de las
3 instalaciones de forma que permita una X
circulación fluida
OBJETIVO DE CONTROL DS12.4 Protección Contra Factores Ambientales
¿Dentro del departamento de sistemas
existen materiales inflamables que puedan
4 causar algún tipo de daño a los equipos, X
estructuras tecnológicas y medio ambiente
de la empresa?
OBJETIVO DE CONTROL DS12.5 Administración de Instalaciones Físicas
¿Son funcionales los muebles instalados
dentro del departamento de sistemas para
5 X
la labor que se cumple tales como
archivadores, mesas de trabajo y equipos?

Cuestionario: Administración del Ambiente Físico

REF
CUESTIONARIO CUANTITATIVO

ENTIDAD PAGINA
L & L Soluciones WEB
AUDITADA 1 DE 1
PROCESO
Seguridad Lógica – R6
AUDITADO
RESPONSABLES Luisa Lucia Toro Fuentes
MATERIAL DE
COBIT 4.1
SOPORTE
Entregar y dar Soporte DS12 Administración del
DOMINIO PROCESO
(DS) Ambiente Físico

OBJETIVO DE CONTROL
Nº PREGUNTA SI NO NA REF
Se emplean programas, sistemas o software
1 sencillos y fácil de operar por parte del 4
personal de empleados acorde a su función
El departamento de sistemas se encuentra
2 dotado con sistemas de contra incendio, 3
alarmas de robo u otro tipo sensores.
 XXI
El departamento de sistemas cuenta con el
espacio suficiente acorde a su labor y
3 4
funciones que debe cumplir dentro de la
empresa.
Dentro del departamento de sistemas
manejan o se encuentra algún tipo de
material químico que pueda causar algún
4 1
tipo de daño a los equipos, estructuras
tecnológicas y medio ambiente de la
empresa.
Los muebles, equipos y herramientas que
se encuentran dentro del departamento de
5 sistemas son adecuados para la labor o 4
misión que debe cumplir el área de
auditada.
TOTAL 12 4 0
TOTAL CUESTIONARIO 16
Porcentaje de riesgo parcial = (12* 100) / 17 = 75,00
Porcentaje de riesgo total = 100 – 75,00 = 25,00

PORCENTAJE RIESGO 25,00 % (Riesgo Bajo)

Alto
61-100%
PROBABILIDAD

Medio
31-60%
Bajo
R6
0-30%
Leve Moderado Catastrófico
IMPACTO
 XXII
III. Análisis y evaluación de riesgos

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Falta de actualización de los
R1 antivirus, ya que son copias ilegales X X
que no permiten su actualización.
Alteración o pérdida de la
R2 información registrada en base de X X
datos o equipos.
Solo existe una UPS la cual se tiene
para el servidor, en caso de un bajón
de energía, no alcanza a soportar con
R3 la conectividad de todos los
X X
computadores e impresoras
multifuncionales de la empresa.
No existe control de acceso a
direcciones de internet por parte del
R4 X X
administrador, lo que hace inseguro a
la red de datos.
Algunos de los segmentos de la red
se encuentran a la intemperie lo que
puede causar manipulación de red,
R5 X X
daños a la red, rupturas y su
transmisión de datos presentan caídas
de paquetes de información.
No se realizan copias de seguridad
de manera periódica de la
R6 información sensible en medios
X X
externos.
Falta de controles y restricciones
R7 X X
para el acceso a internet.
Al no contar con VPN, no analiza el
tráfico por VPN IPSec, L”TP, PPTP
R8 y SSL en busca de software X X
malintencionado, correo no deseado,
contenidos inapropiados.
La no aplicabilidad en Firewall –
saber qué puertos se deben bloquear
o permitir, la forma de interactuar
R9 X X
con ella o es propietario de ella,
quien tiene acceso a la consola de
control.
No existen planes de contingencia en
R10 caso de pérdidas de información y X X
copias de seguridad.
El personal no cuenta con programas
de capacitación y formación en
R11 X X
seguridad informática y de la
información.
 XXIII
Los servidores y equipos del área de
sistemas no se encuentran bajo algún
R12 armario cerrado o en alguna oficina
X X
con acceso restringido.
No se tiene implementado un sistema
de identificación de empleados,
R13 X X
visitantes, acompañantes y registro
de visitantes.
No existe un proceso de auditoría a la
seguridad informática y de la
información que garantice el sistema
R14 de control adecuado para la X X
implementación de políticas y
procedimientos en el Sistema de
Seguridad.
El empleado o trabajador puede ser
una víctima directa o indirecta de una
R15 X X
agresión externa en contra de la
Empresa.

IV. Matriz de riesgos General del Proceso

Alto
61- R8
100%
R1, R9,
PROBABILIDAD

Medio
R11, R12, R7, R13
31-60%
R14
Bajo R4, R6, R2, R3, R5,
0-30% R10 R15

Leve Moderado Catastrófico

IMPACTO
 XXIV

Conclusiones

El factor trascendental en la fase individual y colaborativa del contenido de la Unidad 2

Fase 4 de Auditoria de Sistemas es la asimilación y reconocimiento de cada uno de los
instrumentos de recolección de información establecidos por el estándar CobIT en el cual se
logró comprender el proceso de análisis y evaluación de riesgos informáticos.
De tal modo generando una buena práctica a través de estrategias de aprendizaje basadas
en problemas, afianzando los conocimientos y formando una sobresaliente dinámica de trabajo
tanto individual como grupal, contribuyendo satisfactoriamente al desarrollo de la actividad en
relación a la Planeación y Ejecución de una auditoría.
 XXV

Lista de referencias

Solarte, F. N. (13 de Febrero de 2012). blogspot. Recuperado de

http://auditordesistemas.blogspot.com.co/2012/02/programa-de-auditoria-
cobit.html?view=classic