Unidad 3: Fase 4 - Resultados de la auditoría

Auditoria de sistemas

Estudiante:
Franklin Alexis Jimenez Ome Código: 1082779163
Álvaro Iván cárdenas rodríguez Código:

Tutor:
Francisco Nicolás Solarte

Grupo: 49

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería
28 de Noviembre de 2019
|
 Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditoría de sistemas en la universidad nacional abierta
y a distancia UNAD.
En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del
curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo
durante el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estándar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, así como los
hallazgos y los controles propuestos para dichos riesgos.

|
Objetivos

Objetivo general

Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de

sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la
empresa

Objetivos específicos

✓ Analizar la matriz de riesgos de cada proceso del estándar COBIT

abordado, para generar su cuadro de tratamiento de riesgos.
✓ Diseñar el cuadro de hallazgos para cada uno de los procesos del
estándar COBIT abordados.
✓ Determinar los controles propuestos para cada uno de los riesgos
encontrados en los procesos del estándar COBIT abordados.

|
1 Cuadro de tratamiento de riesgos del proceso: Educar y Entrenar a los
Usuarios

Antes que nada, debemos recordar la matriz de riesgos detectados para el

proceso Educar y Entrenar a los Usuarios:

Probabilida
Impacto
N° Descripción d
B M A L M C
No se capacita al personal en temas relacionados
R1 X X
con la seguridad informática
Falta de capacitación y sensibilización del personal
R2 X X
del área de sistemas
No existe un control sobre los insumos y recursos
informáticos que la empresa compra, lo cual permite
R3 que estos sean utilizados para tareas diferentes a X X
las previstas, haciendo que éstos se acaben de una
manera más rápida
Los empleados no usan VPN para conectarse a la
R4 X X
red de la empresa
Uso indebido del correo electrónico para el envío de
R5 información a personal externo o para el registro en X X
foros y redes sociales.
Algunos de los empleados conectan dispositivos
personales no seguros a la red de la empresa lo
R6 X X
que puede generar huecos de seguridad dando
cabida a la entrada de piratas cibernéticos

Descripción Riesgo Tratamiento Riesgo

 N°
No se capacita al personal en temas relacionados con
R1 la seguridad informática Transferir

Falta de capacitación y sensibilización del personal del

R2 área de sistemas Controlarlo

No existe un control sobre los insumos y recursos

informáticos que la empresa compra, lo cual permite
R3 que estos sean utilizados para tareas diferentes a las Aceptarlo
previstas, haciendo que éstos se acaben de una
manera más rápida
Los empleados no usan VPN para conectarse a la red
R4 de la empresa Controlarlo

Uso indebido del correo electrónico para el envío de

R5 información a personal externo o para el registro en Controlarlo
foros y redes sociales.
Algunos de los empleados conectan dispositivos
personales no seguros a la red de la empresa lo que
R6 Controlarlo
puede generar huecos de seguridad dando cabida a la
entrada de piratas cibernéticos

2 Hallazgos del proceso.

REF
HALLAZGO 1
HHDN_01

PROCESO Capacitación a empleados acerca del PÁGINA

AUDITADO uso seguro de las herramientas TIC. 1 DE 1

RESPONSABLE Víctor Julio Martínez Barrios

MATERIAL DE
COBIT
SOPORTE
ENTREGAR Y DAR DS7: Educar y Entrenar
DOMINIO PROCESO
SOPORTE a los Usuarios
|

DESCRIPCIÓN:
 ✓ Se encuentra que la empresa no cuenta con un plan de capacitaciones
enfocadas en ayudarle a sus empleados a reconocer los
comportamientos seguros e inseguros cuando hacen uso de las
herramientas informáticas tanto de la empresa como externas.
✓ Se detecta que los empleados no usan VPN para acceder desde redes
diferentes a la interna, a repositorios que contienen información privada
de la empresa y sus clientes.

REF_PT:
Cuestionario de control: C1 (Anexo 1)

CONSECUENCIAS:
✓ La falta de capacitación de los empleados en temas relacionados con los
comportamientos seguros e inseguros respecto al uso de las
herramientas TIC, puede ocasionar serios problemas de seguridad para
la empresa, ya que se corre el riesgo de que los empleados sean víctimas
de un sinnúmero de amenazas externas a las que diariamente están
expuestos, que buscan la obtención ilegal de información confidencial,
tanto de las personas como de las empresas para las que laboran.
✓ Al no garantizarse la seguridad en las conexiones de los empleados a
través del uso de VPN, se abre una puerta a personas malintencionadas
para que tengan acceso a información de la empresa y sus clientes,
poniendo en alto riesgo el desarrollo de las actividades de la compañía.

RIESGO:
|
Probabilidad de ocurrencia: 100%
Impacto según relevancia del proceso: Alto.
RECOMENDACIONES:
✓ Implementar un programa de capacitación para los empleados de la
empresa, en el que se busque mantenerlos conscientes de los riesgos a
los que están expuestos cuando hacen uso de las herramientas TIC y
ayudarlos a reconocerlos para evitar posibles afectaciones a nivel
personal y/o profesional, aminorando así el riesgo de pérdida o
divulgación de información de ellos y de la empresa.
✓ Implementar el uso de VPN para asegurar las conexiones de los
empleados a los repositorios de información de la empresa, cuando no
estén conectados a la red interna.

|
3 Cuadro de controles propuestos del proceso:

Riesgos o hallazgos Tipo de Soluciones o controles

encontrados control
Falta de capacitación PREVENTIVO Construir un plan de capacitaciones
y sensibilización del periódicas para el personal de sistemas en
personal del área de las que se actualicen los conocimientos de
sistemas los mismos.
CORRECTIVO Capacitar al personal de sistemas en el
manejo adecuado de las herramientas que
se usan en la empresa. Si no se cuenta en
la empresa con el personal idóneo para
esta capacitación puede contratarse un
tercero que lo haga.
Los empleados no CORRECTIVO Implementar el uso de una VPN en todas
usan VPN para las conexiones de los empleados de la
conectarse a la red empresa a los repositorios de información
de la empresa de la misma.
Uso indebido del PREVENTIVO Exponer a los empleados los riesgos a los
correo electrónico que se exponen y exponen a la empresa,
para el envío de al utilizar la cuenta de correo electrónico
información a empresarial para tratar asuntos diferentes
personal externo o a los laborales.
para el registro en
foros y redes sociales DETECTIVO Instalación de herramienta de software de
análisis de contenido de correo electrónico
que permita el monitoreo en tiempo real
del uso dado a el correo electrónico
empresarial por parte de los empleados.
CORRECTIVO Tomar acciones disciplinarias sobre los
empleados que usen la cuenta de correo
empresarial para tratar temas diferentes a
los laborales. En caso de detectarse que
se ha comprometido la cuenta de correo
del empleado deshabilitar la misma.
Algunos de los PREVENTIVO Ejercer controles de seguridad para la
empleados conectan conexión de dispositivos no permitidos a la
dispositivos red de la empresa.
personales no
seguros a la red de la
empresa lo que |
puede generar
huecos de seguridad
dando cabida a la
entrada de piratas
cibernéticos

Análisis y evaluación de riesgos:

N° Descripción Probabilidad Impacto

Baj Medi Alt Lev Moderad Catastrófi
a a a e o co
R1 Falta de un plan x x
estratégico
R2 Falta de conocimiento x x
de la importancia de
un plan estratégico
de TI
R3 Falta de un plan de X X
desarrollos de
aplicaciones para
toma de decisiones
R4 Falta de un manual x X
de aplicaciones
donde se registre el
uso y la confiabilidad
de los datos de la
empresa.
R5 Falta de un plan para X x
la adquisición de
recurso tecnológicos
R6 falta de personal x x
especializado para
dar asesorías sobre
las tecnologías

R7 Falta de un modelo X x
de información
empresarial.
R8 Falta de un plan de x x
infraestructura de TI.
R9 Falta de unos X X
estándares
Tecnológicos. |
R10 Falta de un monitoreo x X
de las evoluciones
Tecnológicas.
R11 Falta de herramientas x X
para la clasificación
TI.
R12 Falta de definición de X X
responsabilidades y
roles del personal.

REF

HALLAZGO R2

AI3 Adquirir y Mantener Infraestructura PÁGINA

PROCESO AUDITADO
Tecnológica 1 DE 1

RESPONSABLE Alvaro Iván cardenas rodríguez

MATERIAL DE SOPORTE COBIT

AI3 Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica

DESCRIPCIÓN HALLAZGO:

No renovar o dejar vencer el contrato con la empresa de

mantenimiento

CAUSAS: SE IDENTIFICA QUE POR PROCESOS ADMINISTRATIVOS O PROSUPUSTALES SE PUEDE

MATERIALIZAR ESTE RIEGO DEVIDO A QUE SI NO SE GARANTIZA EL PROSUPUESTO Y NO SE
HACE EL REQUIRIMIENTO DE DICHO CONTRATO CON ANTES EL SUFICIENTE RIEMPO SE CORRE
EL RIESGO DE VENCERSE.

|
CONSECUENCIAS: que los equipos quedarían sin mantenimiento y esto puede llegar a tener
problemas en los equipos.
VALORACIÓN DEL RIESGO:

Mayor 4

Improbable 2

RECOMENDACIONES: Implementar alarmas automáticas de la fechas de

renovación para que el ingeniero TI, gestione la actualización del dicho
contrato

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

REF

HALLAZGO R1

AI3Adquirir y Mantener Infraestructura PÁGINA

PROCESO AUDITADO
Tecnológica 1 DE 1
|
RESPONSABLE Alvaro Iván cardenas rodríguez

MATERIAL DE SOPORTE COBIT

 AI3 Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica

DESCRIPCIÓN HALLAZGO: Se identifica falencias en el antivirus, pues es el

que viene por defecto con Windows y hay riesgo de que falle.

CAUSAS:

Se genere que los equipos se pongan lentos, se borren documentos tanto de la empresa como
de personal.

CONSECUENCIAS:

Que el antivirus de Windows tenga una falla se dañe los equipos, se generen perdida de
documentos.

VALORACIÓN DEL RIESGO:

Improbable 2

Catastrófico 5

RECOMENDACIONES:

Adquirir un antivirus centralizado donde se pueda tener mayor control en

las actualizaciones.

|
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

REF

HALLAZGO R3

AI3 Adquirir y Mantener Infraestructura PÁGINA

PROCESO AUDITADO
Tecnológica 1 DE 1

RESPONSABLE Alvaro Iván cardenas rodríguez

MATERIAL DE SOPORTE COBIT

AI3 Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica

DESCRIPCIÓN HALLAZGO:

No se cuenta con un inventario de los equipos.

CAUSAS: |

No se tiene control de los activos tecnológicos mediante un inventario.

CONSECUENCIAS:

Se puede identificar la pérdida de un activo tecnológico y dificulta llevar el control dichos

activos.

VALORACIÓN DEL RIESGO:

Menor 2

Posible 3

RECOMENDACIONES:

Hacer el inventario actual de la infraestructura tecnológica.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

|
 REF

HALLAZGO R4

AI3Adquirir y Mantener Infraestructura PÁGINA

PROCESO AUDITADO
Tecnológica 1 DE 1

RESPONSABLE Alvaro Iván cardenas rodríguez

MATERIAL DE SOPORTE COBIT

AI3Adquirir y
Mantener AI3.3Mantenimiento
DOMINIO PROCESO
Infraestructura de la Infraestructura
Tecnológica

DESCRIPCIÓN HALLAZGO:

Que los equipos por falta de mantenimiento entren a obsolescencia

CAUSAS:

Identifico con varios equipos con mucho software y por ese motivo se ponen lentos.

CONSECUENCIAS:

Los equipos se ponen lentos.

VALORACIÓN DEL RIESGO:

Moderado 3

Raro 1
|
RECOMENDACIONES:

Verificar que la empresa contratista del mantenimiento realice los

mantenimientos programados y actualice los equipos que quedan con
configuraciones de hardware de bajas especificaciones técnicas.

Dictamen

PROCESO COBIT:AI3: ADQUIRIR Y MANTENER INFRAESTRUCTURA

TECNOLÓGICA

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto

sobre el proceso de mantenimiento

b. Dictamen:

Se estableció un nivel de madurez 2 REPETIBLE pues este proceso de

mantenimiento se hace semestral, y aunque esta tercerizado con una
empresa especializada, se hace el análisis y la evaluación de este proceso,
identificando algunos riesgos los cuales no están documentados ni
evidenciados en anteriores auditorias.
En la condición actual la UNAD traslada los riegos de este proceso, sin
embargo, se identifica que falta monitoreo a los diferentes procesos de este
dominio.

Hallazgos que soportan el Dictamen:

• La falta de documentación de este proceso no permite indagar a fondo y tener

controlados los diferentes parámetros de mantenimiento, así como también
el control de software y hardware se utiliza en la institución

• No se encontró una política claramente documentada para el manejo de

riesgos que presentan nivel de criticidad medio o moderado al proceso de
mantenimiento tales como: un plan de mantenimiento de la empresa
contratista identificando la estrategia que se utiliza para estos
mantenimientos como tampoco fechas precisas de dicho mantenimiento
también se identificaron falencias en la actualización de software y
debilidades en el antivirus institucional.
|
 c. Recomendaciones:

• Capacitar al personal encargado de auditar el sistema, sobre la

identificación de riesgos, medición e implementación de controles, enfoca
controles a la identidad que hace el mantenimiento.

• Hacer el inventario actual de la infraestructura tecnológica.

• Verificar que la empresa contratista del mantenimiento realice los
mantenimientos programados y actualice los equipos que quedan con
configuraciones de hardware de bajas especificaciones técnicas.
• Adquirir un antivirus centralizado donde se pueda tener mayor control
en las actualizaciones
• Implementar alarmas automáticas de la fechas de renovación para
que el ingeniero TI, gestione la actualización del dicho contrato.

CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratégico de TI.
OBJETIVO DE CONTROL PO1.1 Administración del Valor de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Cuentan con un plan
1 estratégico de TI la X
empresa?
¿Conoce la necesidad
la empresa de contar
2 X
con un plan estratégico
de TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Información.
PO2.1 Modelo de Arquitectura de Información
OBJETIVO DE CONTROL
Empresarial
¿Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de
la empresa?
¿Existe algún manual
|
de aplicaciones o
4 x
actividades donde se
registre el uso y la
 confiabilidad de los
datos de la empresa?
¿Cuentan con una base
5 x
de datos la empresa?
¿Cuentan con un
inventario de todos los
6 x
componentes de la
infraestructura de TI?
¿Existe un plan para la
7 adquisición de recurso x
tecnológico?
PROCESO P03. Determinar la
DOMINIO Planear y Organizar
Dirección Tecnológica.
OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica
¿Cuenta la empresa
con asesorías de
8 personal especializado x
con respecto a las
tecnologías?

Atentamente;

_______________________ _____________________________

Franklin Alexis Jmenez Álvaro Iván cárdenas rodríguez

Auditor Auditor

|
 Conclusiones

Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la

tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos
detectados en cada proceso de la empresa y ayudar en la toma de decisiones
respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,
detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el
desarrollo de las actividades de la empresa.

|
 Referencias bibliográficas

Astello, R. J. (2015). Auditoria en entornos informáticos. Recuperado

de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Administración

informática: análisis y evaluación de tecnologías de la información. (pp.
17-109). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.actio
n?ppg=32&docID=3227836&tm=1543339680777

Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23477