Documente Academic
Documente Profesional
Documente Cultură
Auditoria de sistemas
Estudiante:
Franklin Alexis Jimenez Ome Código: 1082779163
Álvaro Iván cárdenas rodríguez Código:
Tutor:
Francisco Nicolás Solarte
Grupo: 49
|
Objetivos
Objetivo general
Objetivos específicos
|
1 Cuadro de tratamiento de riesgos del proceso: Educar y Entrenar a los
Usuarios
Probabilida
Impacto
N° Descripción d
B M A L M C
No se capacita al personal en temas relacionados
R1 X X
con la seguridad informática
Falta de capacitación y sensibilización del personal
R2 X X
del área de sistemas
No existe un control sobre los insumos y recursos
informáticos que la empresa compra, lo cual permite
R3 que estos sean utilizados para tareas diferentes a X X
las previstas, haciendo que éstos se acaben de una
manera más rápida
Los empleados no usan VPN para conectarse a la
R4 X X
red de la empresa
Uso indebido del correo electrónico para el envío de
R5 información a personal externo o para el registro en X X
foros y redes sociales.
Algunos de los empleados conectan dispositivos
personales no seguros a la red de la empresa lo
R6 X X
que puede generar huecos de seguridad dando
cabida a la entrada de piratas cibernéticos
REF
HALLAZGO 1
HHDN_01
MATERIAL DE
COBIT
SOPORTE
ENTREGAR Y DAR DS7: Educar y Entrenar
DOMINIO PROCESO
SOPORTE a los Usuarios
|
DESCRIPCIÓN:
✓ Se encuentra que la empresa no cuenta con un plan de capacitaciones
enfocadas en ayudarle a sus empleados a reconocer los
comportamientos seguros e inseguros cuando hacen uso de las
herramientas informáticas tanto de la empresa como externas.
✓ Se detecta que los empleados no usan VPN para acceder desde redes
diferentes a la interna, a repositorios que contienen información privada
de la empresa y sus clientes.
REF_PT:
Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS:
✓ La falta de capacitación de los empleados en temas relacionados con los
comportamientos seguros e inseguros respecto al uso de las
herramientas TIC, puede ocasionar serios problemas de seguridad para
la empresa, ya que se corre el riesgo de que los empleados sean víctimas
de un sinnúmero de amenazas externas a las que diariamente están
expuestos, que buscan la obtención ilegal de información confidencial,
tanto de las personas como de las empresas para las que laboran.
✓ Al no garantizarse la seguridad en las conexiones de los empleados a
través del uso de VPN, se abre una puerta a personas malintencionadas
para que tengan acceso a información de la empresa y sus clientes,
poniendo en alto riesgo el desarrollo de las actividades de la compañía.
RIESGO:
|
Probabilidad de ocurrencia: 100%
Impacto según relevancia del proceso: Alto.
RECOMENDACIONES:
✓ Implementar un programa de capacitación para los empleados de la
empresa, en el que se busque mantenerlos conscientes de los riesgos a
los que están expuestos cuando hacen uso de las herramientas TIC y
ayudarlos a reconocerlos para evitar posibles afectaciones a nivel
personal y/o profesional, aminorando así el riesgo de pérdida o
divulgación de información de ellos y de la empresa.
✓ Implementar el uso de VPN para asegurar las conexiones de los
empleados a los repositorios de información de la empresa, cuando no
estén conectados a la red interna.
|
3 Cuadro de controles propuestos del proceso:
R7 Falta de un modelo X x
de información
empresarial.
R8 Falta de un plan de x x
infraestructura de TI.
R9 Falta de unos X X
estándares
Tecnológicos. |
R10 Falta de un monitoreo x X
de las evoluciones
Tecnológicas.
R11 Falta de herramientas x X
para la clasificación
TI.
R12 Falta de definición de X X
responsabilidades y
roles del personal.
REF
HALLAZGO R2
AI3 Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica
DESCRIPCIÓN HALLAZGO:
|
CONSECUENCIAS: que los equipos quedarían sin mantenimiento y esto puede llegar a tener
problemas en los equipos.
VALORACIÓN DEL RIESGO:
Mayor 4
Improbable 2
REF
HALLAZGO R1
CAUSAS:
Se genere que los equipos se pongan lentos, se borren documentos tanto de la empresa como
de personal.
CONSECUENCIAS:
Que el antivirus de Windows tenga una falla se dañe los equipos, se generen perdida de
documentos.
Improbable 2
Catastrófico 5
RECOMENDACIONES:
|
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
REF
HALLAZGO R3
AI3 Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica
DESCRIPCIÓN HALLAZGO:
CAUSAS: |
Menor 2
Posible 3
RECOMENDACIONES:
|
REF
HALLAZGO R4
AI3Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica
DESCRIPCIÓN HALLAZGO:
CAUSAS:
Identifico con varios equipos con mucho software y por ese motivo se ponen lentos.
CONSECUENCIAS:
Moderado 3
Raro 1
|
RECOMENDACIONES:
Dictamen
b. Dictamen:
CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratégico de TI.
OBJETIVO DE CONTROL PO1.1 Administración del Valor de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Cuentan con un plan
1 estratégico de TI la X
empresa?
¿Conoce la necesidad
la empresa de contar
2 X
con un plan estratégico
de TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Información.
PO2.1 Modelo de Arquitectura de Información
OBJETIVO DE CONTROL
Empresarial
¿Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de
la empresa?
¿Existe algún manual
|
de aplicaciones o
4 x
actividades donde se
registre el uso y la
confiabilidad de los
datos de la empresa?
¿Cuentan con una base
5 x
de datos la empresa?
¿Cuentan con un
inventario de todos los
6 x
componentes de la
infraestructura de TI?
¿Existe un plan para la
7 adquisición de recurso x
tecnológico?
PROCESO P03. Determinar la
DOMINIO Planear y Organizar
Dirección Tecnológica.
OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica
¿Cuenta la empresa
con asesorías de
8 personal especializado x
con respecto a las
tecnologías?
Atentamente;
_______________________ _____________________________
|
Conclusiones
|
Referencias bibliográficas