tc2 auditoria de sistemas

8/17/2019 tc2 auditoria de sistemas

http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 1/45

DISEÑO Y EJECUCIÓN

JOHN DARWIN ALARCON GIRALDO Código 1.113.643.753

LUIS HERNANDO BENITEZ CRIOLLO Código 1.113.673.589

VIVIANA STEFANY GONZÁLEZ MURIEL Código 1.114.831.465

JONATHAN ORTEGA RUIZ Código 1.115.069.054

DIANA SIRLEY TAPIAS Código 1.114.816.410

Tutor: Francisco Nicolás Solarte

Grupo: 29

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

COLOMBIA

2016



1

Tabla de contenido

Introducción .................................................................................................................................... 2

Objetivos ......................................................................................................................................... 3

Objetivo general .......................................................................................................................... 3

Objetivos específicos................................................................................................................... 3

1. Cuadro de los integrantes y los procesos COBIT seleccionados ............................................. 4

2.

Descripción general sobre la recolección de información ....................................................... 4

2.1. Cuestionarios ........................................................................................................................ 4

2.2. Matriz de probabilidad de impacto....................................................................................... 5

3.

Dominios, procesos, recolección de información y análisis .................................................... 5

3.1. Dominio planear y organizar PO .......................................................................................... 5

3.1.1. Proceso 1 - PO8. Administrar la calidad (Jhon Darwin Alarcón) ................................. 5

3.1.2. Proceso 2 - P09 Evaluar y administrar los riesgos de TI (Jonathan Ortega) ............... 10

3.2. Adquirir e implementar AI ................................................................................................. 13

3.2.1. Proceso 3 - AI3 Adquirir y mantener infraestructura tecnológica (Diana Sirley Tapias)

............................................................................................................................................... 13

3.3. Dominio Entregar Y Dar Soporte DS. ............................................................................... 19

3.3.1. Proceso 4 - DS5 Garantizar la seguridad de los sistemas (Luis Hernando Benítez) ... 19

3.3.2. Proceso 5 - DS12 Administración del ambiente físico (Viviana Stefany González) .. 32

Conclusiones ................................................................................................................................. 41

Referencias .................................................................................................................................... 42

Anexos .......................................................................................................................................... 43



2

Introducción

Un proceso auditoria en una empresa juega un papel muy importante, tanto para identificar las

ventajas y desventajas de los diferentes procesos, así como avanza el tiempo, avanza las mejorasen los procesos, mejoras en el sistema.

En la auditoria se evidencias posibles fallas dentro del sistema de gestión y de las pautas para

hacer la revisión y así hallar soluciones. También se fortalecen los procesos que están bien

estructurados para que no decaigan y no resulten afectados.

El presente documento escrito desarrolla la actividad correspondiente al diseño y ejecución de la

auditoría a la empresa escogida por el grupo colaborativo, en este caso la Empresa Avidesa de

Occidente. En el consolidado se muestra un cuadro con los nombres de los estudiantes que en

este trabajo participaron con el proceso escogido por cada uno, los instrumentos de recolección

de información (cuestionarios, encuestas, listas de chequeo) con sus respectivas respuestas, el

porcentaje de riesgo, análisis de riesgo, matriz de riesgo para cada proceso y guías de prueba. Por

último se tendrán anexos como lo son las fotos de los lugares informáticos de la empresa, todo se

realizó siguiendo el estándar COBIT.



3

Objetivos

Objetivo general

Visitar la Empresa Avidesa de Occidente para realizar la ejecución de la auditoría.

Objetivos específicos

Diseñar los formatos de cuestionarios y entrevistas para la realización de la auditoría.

Realizar la ejecución de la auditoría de sistemas a la Empresa Avidesa de Occidente.



4

1. Cuadro de los integrantes y los procesos COBIT seleccionados

Cuadro de los integrantes que participaron en la actividad y los procesos COBIT seleccionados

para trabajar según el programa de auditoría.

Nombre del estudiante Proceso seleccionado

Jhon Darwin Alarcón PO8. Administrar la calidad

Jonathan Ruiz PO9. Evaluar y administrar los riesgos de TI

Diana Sirley Tapias AI3. Adquirir y mantener infraestructura

tecnológica

Luis Hernando Benítez DS5. Garantizar la seguridad en los sistemas

Viviana Stefany González DS12. Administración del ambiente físico

2. Descripción general sobre la recolección de información

2.1. Cuestionarios

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en

el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5

significa que es importante que se tenga el control, el auditor debe tratar de dar estas

calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de

riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo

considerado de poca importancia y cinco el máximo considerado de mucha importancia.

Porcentaje de riesgo. Hace referencia a la probabilidad de que el proceso se vea afectado por las

acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de

riesgo tiene el proceso de salir perjudicado.

Pregunta. Espacio donde se indicará la descripción de la consulta de la cual se indagará.

Si – No. Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio



5

71% - 100% = Riesgo Alto

2.2. Matriz de probabilidad de impacto

P R O B A B I L I D A D

Alto61-100%

Medio

31-60%

Bajo

0-30%

Leve Moderado Catastrófico

IMPACTO

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media

Alta probabilidad de ocurrencia

Esta matriz ha sido diseñada con la finalidad de ubicar los riesgos en una escala estándar y saber

qué clase de daño puede causar al presentarse dentro de un proceso auditado. La columna de

probabilidad de ocurrencia indica el porcentaje de riesgo según su resultado y el impacto se

clasifica según el daño que pudiese ocasionar.

3. Dominios, procesos, recolección de información y análisis

A continuación se presentan los formatos de recolección de información diseñados y

diligenciados con respuestas para cada proceso evaluado al igual que los resultados de losanálisis y evaluaciones de riesgos por cada proceso COBIT evaluado.

3.1. Dominio planear y organizar PO

3.1.1. Proceso 1 - PO8. Administrar la calidad (Jhon Darwin Alarcón)

P08.3 Estándares de adquisición y desarrollo.



6

P08.5 Mejora continua.

Objetivos de control

Comprobar que se estén llevando a cabo los procesos de calidad bajo los estándares

propuestos.

Evaluar la satisfacción de los usuarios finales del sistema, en cuanto a servicio y niveles

de servicio.

Determinar si el Sistema de Administración de la Calidad se ha implementado y

mantenido apropiadamente.

Identificar las áreas de mejora potencial.

Examinar si la administración del proceso de Gestión de la Calidad satisface los

requerimientos del negocio.

Alcance

El alcance describe todo el Sistema de Administración de la Calidad, procedimientos y normas

de calidad aplicadas al para la implantación del sistema dentro de los procesos de la planeación

estratégica, la información administrativa, mejoramiento del Sistema de Administración y

control de la Calidad, gestión tecnológica.

Encuesta - Administrar la calidad PO8

Respuestas dadas por: Ingeniero Robinson Ruiz, Coordinador de soporte y procesos de calidad de la

empresa Avidesa de Occidente.

1) ¿Existe en la organización un Sistema de Administración de la Calidad que cumpla con los estándares

y prácticas de desarrollo y adquisición para los procesos de TI?

R// Se encuentra en revisión.

2) ¿Se encuentran definidas e implementadas las mediciones para evaluar el cumplimiento efectivo del

Sistema de Administración de la calidad?

R// Si se cuenta con indicadores que permiten evaluar la eficacia del sistema de gestión SGC.3) ¿Se mantiene y comunica regularmente un plan de calidad para la mejora continua?

R// Existen falencias en la comunicación del plan de calidad.

4) ¿Se ha desarrollado un programa de entrenamiento para comunicar y enseñar a todos los empleados

de la organización acerca del tema de calidad?



7

R// Si, existen programas de capacitación y de concientización lo cual ha llevado a la identificación

de mejoras constantes en los proceso involucrados.

5) ¿Se han definido unas perspectivas de calidad dentro de la gestión de proyectos y organización de TI?

R// Si, en la gestión de proyectos se realizan evaluaciones de proveedores, se mide lo planeado vs

ejecutado, se comunica a las partes interesadas los avances, en caso de existir modificaciones en el

proyecto estas son aprobadas por la dirección. La organización DTI está basada en el ciclo del

servicio el cual busca la satisfacción del cliente interno y la mejora continua de los servicios

6) ¿Se realizan encuestas de satisfacción de la calidad por parte de los usuarios?

R// Se solicita certificación por parte del usuario de la satisfacción de los servicios entregados.

7) ¿Las encuestas de satisfacción de calidad llevan hacia un análisis de los procesos de calidad y

posibles mejoras?

R// Si, se encuentra que en muchos servicios habían falencias de comunicación con el cliente y el

responsable de la actividad, lo cual se identificó y se estableció como mejora de proceso, el dialogo

con el cliente para mantenerlo informado de la actividad requerida.

8) ¿Existe un programa bien constituido para la medición de la calidad?

R// Está en proceso de revisión

9) ¿El sistema de administración de la calidad se aplica a todas las actividades de TI?

R// Si, se aplica a cada proceso de las áreas del departamento de TI

Análisis de riesgos

Vulnerabilidades

Falta de un buen sistema de medición organizativa o indicadores.

Falta de planificación estratégica de la empresa.

No hay comunicación asertiva ante la administración de la calidad.

No hay un programa de medición de la calidad.

Amenazas

Actividades que no se complementan No hay procesos engorrosos y a la hora de revisar no hay soporte documental

Equivocaciones de respuesta ante una auditoria

No hay información relevante hacia los mismo usuarios de la empresa

Riesgos



8

Fallo en la metodología de gestión del proceso de cambio organizacional que implica el

desarrollo e implantación de un sistema de gestión de la calidad.

No existirían documentos de soporte.

No sería posible una certificación en la ISO 9001

Si los clientes exigen programa de medición de calidad, no estaría disponible y puede

haber pérdida de clientes

Tabla de riesgos

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico

R1 Fallo en la metodología de

gestión del proceso decambio organizacional que

implica el desarrollo e

implantación de un sistema

de gestión de la calidad

X X

R2 No existen documentos de

soporte

X X

R3 No sería posible una

certificación en la ISO 9001

X X

R4 Si los clientes exigen

programa de medición de

calidad, no estaría

disponible y puede haber

pérdida de clientes

X X

Matriz de riesgo



9


Alto

61-100%

R2 R3

Medio

31-60%

R1 R4

Bajo

0-30%


IMPACTO

Esta matriz fue creada para catalogar un riesgo y saber qué clase de falencias existen dentro el

proceso de calidad.

Guía de pruebas

Avidesa De Occidente

ID Guía de Prueba: GP-PO8-1

Dominio: Sistema de administración de la calidad

Proceso Proceso: Establecer un sistema de calidad PO8

Objetivo de Control Sistema de administración de calidad

ID Riesgos Asociados R1,R4

No. Evidencia Descripción

1 Según las respuestas de la encuesta

, no está organizado el Sistema de

Administración de la Calidad que

cumpla con los estándares y

prácticas de desarrollo y

adquisición para los procesos de TI

Al no estar un plan de calidad de forma articulada concisa y

eficaz , existirían deficiencias de credibilidad para la empresa

y los clientes

2 Aún está en revisión programa de

medición de calidad.

La revisión del programa de medición de calidad es importante

ya que traduce como los beneficios obtenidos a partir de una

mejor manera de hacer las cosas y buscar la satisfacción de los



10

clientes, como pueden ser: la reducción de costos, presencia y

permanencia en el mercado y la generación de empleos


ID Guía de Prueba: GP-P08

Dominio: Mejora continua

Proceso Proceso: mejora continua

Objetivo de Control - Mejora continua

- Medición, monitoreo y revisión de la calidad


No. Evidencia Descripción1 Según el cuestionario existen

falencias en la comunicación del

plan de calidad.

De acuerdo al plan de calidad la idea es contribuir a

desarrollar y perfeccionar la empresa. No se trata únicamente

de aumentar la cifra de ventas sino de crecer en

calidad, innovación, productividad y servicio al cliente, crecer

cualitativamente, en definitiva, es la única forma de asentar el

futuro de la empresa sobre bases sólidas.

2 Según la entrevista de P08 existe

falencia de comunicación, lo cual

perjudica la empresa a la hora de

una auditoria

Si llegase a la empresa a realizarles una pre o una auditoria

entrarías como no conformidades y posiblemente no les

otorgarían el certificado

3.1.2. Proceso 2 - P09 Evaluar y administrar los riesgos de TI (Jonathan Ortega)

P09.1 Marco de trabajo de administración de riesgos

P09.4 Evaluación de riesgos de TI

P09.6 Mantenimiento y monitoreo de un plan de acción de riesgos.

http://www.monografias.com/trabajos12/evintven/evintven.shtml

http://www.monografias.com/trabajos34/innovacion-y-competitividad/innovacion-y-competitividad.shtml

http://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtml

http://www.monografias.com/trabajos11/sercli/sercli.shtml

http://www.monografias.com/trabajos11/sercli/sercli.shtml

http://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtml

http://www.monografias.com/trabajos34/innovacion-y-competitividad/innovacion-y-competitividad.shtml

http://www.monografias.com/trabajos12/evintven/evintven.shtml



11

AVIDESA DE OCCIDENTE

Herramienta Encuesta

# Pregunta Si No No sabe Observaciones

1 ¿La empresa cuenta con un marco de trabajo parala administración de riesgos?

X

(5)

2 ¿Se encuentran identificadas las amenazas a lascuales la empresa puede verse enfrentada, comoinundaciones, incendios, virus, robos, terrorismo,ataques cibernéticos, entre otros?

X

(5)

Se encuentranidentificadas comoincendios, virus yataques cibernéticos

3 ¿Los controles establecidos en la empresaaseguran que los sistemas contemplen los procedimientos necesarios para que lainformación manejada en ellos sea total, exacta,autorizada, mantenida y actualizada?

X

(4)

4 ¿Existe algún tipo de evaluación del riesgo formalque permita la monitorización y control continuode los riesgos de negocio que pueden afectar elrendimiento de la empresa?

X

(5)

5 ¿Se tienen identificados los activos de TI que pueden ser afectados por amenazas y provocar unimpacto negativo en la organización?

X

(5)

Se tieneidentificados y secuenta concontingencias físicasy copias deseguridad de lainformacióncontenida

6 ¿Cuenta con un sistema de cuantificación de loscostos que causan los incidentes?

X

(5)

7 ¿En cuanto a los Sistemas de Información

instalados e implementados en la empresa setienen los controles y procedimientos necesarios para garantizar la seguridad mínima requerida?

X

(4)

8 ¿Existen planes de recuperación y minimizacióndel impacto en los procesos críticos de la empresaque garanticen la continuidad del negocio?

X

(5)

El máximo tiempofuera de línea hasido de 30 minutos



12

9 ¿La empresa tiene un plan de mitigación deriesgos?

X

(5)

Se encuentran enrevisión

10 ¿Cuenta con un sistema de cuantificación de loscostos que causan los incidentes?

X

(5)

Riesgo C1

Porcentaje de riesgo parcial: 19 * 100 / 48 = 39%

Porcentaje de riesgo: 100 - 39 = 61%

Impacto según relevancia del proceso: Riesgo Medio

Vulnerabilidades

No se tiene conocimiento de los controles establecidos en la empresa, por la mayoría del personal.

No se tiene un sistema de cuantificación de los costos causados por incidentes.

La empresa no cuenta con un marco de trabajo para la administración de riesgos.

Amenazas

El desconocimiento de los procesos de prevención, pueden generar malas prácticas en elmanejo de la información.

Mal tratamiento de los riesgos presentados

Mayor costo al enfrentar un riesgo presentado

Riesgos

Virus en la red local de la empresa

Paradas en la continuidad del negocio

Borrado de información causado por virus



R1 Virus en la red local de laempresa

X X



13

R2 Paradas en la continuidad

del negocio

X X

R3 Borrado de información

causado por virus

X X

Matriz de probabilidad de impacto

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso.


Alto

61-100%

Medio

31-60%

R1

Bajo

0-30%

R2,R3


IMPACTO

3.2. Adquirir e implementar AI

3.2.1. Proceso 3 - AI3 Adquirir y mantener infraestructura tecnológica (Diana Sirley

Tapias)

AI3.1 Plan de adquisición de infraestructura tecnológica

AI3.2 Protección y disponibilidad del recurso de infraestructura.

AI3.3 Mantenimiento d la infraestructura.

Objetivo de control



14

El objetivo es proporcionar infraestructura apropiadas para soportar las diferentes aplicaciones

que son necesarias para el desarrollo académico de los estudiantes, mediante la realización de

una evaluación del desempeño del hardware y software, y la compatibilidad entre los dos

elementos, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y

control del software del sistema, de esta manera reducir la frecuencia y el impacto de fallas de

rendimiento.

Departamento de Tecnología e Información - Empresa Avidesa de Occidente

Cuestionario de Control: C1

Dominio Adquisición e implementación AI

Proceso AI3 Adquisición y mantenimiento de la infraestructura tecnológica

Pregunta Si No Observaciones

¿Se cuenta con un inventario de equipos

de cómputo?

5

¿Con cuanta frecuencia se revisa el

inventario?

5 Semanalmente

Si existe inventario, ¿contiene los

siguientes ítems?

Número del computador

Fecha

Ubicación

Responsable

Características (memoria, procesador,

monitor, disco duro)

5 Toda la información está registrada

incluyendo Sistema operativo y ofimática

¿Se lleva una hoja de vida por equipo? 5 No se lleva para todos los equipos



15

¿La hoja de vida del equipo tiene los

siguientes datos?

Numero de hoja de vida

Número del computadorcorrespondiente

Falla reportada

Diagnóstico del encargado

Solución que se le dio

5 Para los equipos principales, como servidores

¿Se posee un registro de fallas

detectadas en los equipos?

5 Solo en los servidores

¿En el registro de fallas se tiene en

cuenta con los siguientes datos?

Fecha

Hora

Número de registro

Número del computador

Encargado

5

¿Al momento de presentar una falla en

el equipo, la atención que se presta es?

Inmediata

De una a 24 horas

De un día a 5 días

Más de 5 días

5 La atención es inmediata, en caso de no

poderse arreglar en sitio, se coloca un equipo

de contingencia

¿Se cuenta con servicio de

mantenimiento para todos los equipos?

5 Si, en impresoras se hace el mantenimiento

preventivo y soporte de nivel 1, el

mantenimiento especializado se tiene con un



16

proveedor externo

¿Qué tipo de mantenimiento se lleva a

cabo?

Mantenimiento preventivo

Mantenimiento correctivo

5 Ambos

¿Qué tipo de personas pueden instalar y

desinstalar programas en el

computador?

5 Solos el área de sistemas

¿Al finalizar el horario de trabajo, se

hace una revisión de los equipos?

5

¿El personal que se encarga del

mantenimiento es personal capacitado?

5 Personal altamente capacitado y con

experiencia

¿Se lleva un procedimiento para la

adquisición de nuevos equipos?

5 Desde el proceso de cotización, adquisición,

instalación de software y adecuación en el

sitio

¿La infraestructura tecnológica de los

equipos soporta la instalación dediferentes sistemas operativos?

5

¿Son compatibles software y hardware? 5

¿Se tienen criterios de evaluación para

determinar el rendimiento de los

equipos a adquirir y así elegir el mejor?

5 Se cuenta con varias lista de proveedores

Total 70 15

Riesgo C1

Porcentaje de riesgo parcial: (70 * 100) / 51 = 82,35%

Porcentaje de riesgo: 100 - 82,35 = 17,65



17

Impacto según relevancia del proceso: Riesgo Bajo


Vulnerabilidades.

No existe una hoja de vida donde se registre el historial de cambios o fallas en el software

o hardware de los equipos.

No existe un registro de fallas detectadas por el personal de TI o empelados de otras áreas

en el funcionamiento normal de los equipos.

No se realiza una inspección a los equipos al terminar la jornada laboral.

Amenazas.

Las modificaciones realizadas sobre el software, actualizaciones del sistema operativo

aplicadas o cambios en archivos sensibles del sistema y la reparación o reemplazo de

piezas de hardware no son correctamente documentadas para su posterior consulta por

parte del equipo de TI. Las tareas de soporte y mantenimiento se dificultan

Las fallas no se documentan oportunamente, dificultando la búsqueda de una solución al

no tener datos importantes como las operaciones realizadas antes de presentarse una falla

o conocer el personal a quien se le presento.

Riesgos.

Errores en el sistema ocasionados por cambios en software o hardware, pérdidas

importantes de tiempo buscando las causas de estos errores, se entorpecen las

operaciones diarias de la empresa y se puede presentar inestabilidad en el sistema al

querer instalar nuevo software o actualizaciones que pueden no ser compatibles con

cambios realizados previamente por otro miembro de equipo de TI y quedaron sin

registrar en una hoja de vida.

Los procesos para hallar una solución a las fallas se tardan mucho tiempo, se entorpecen

las otras labores diarias del equipo de TI y se dificulta hacer seguimiento a las soluciones

aplicadas para detectar a tiempo posibles nuevas fallas que afecten el equipo y los

sistemas de la red empresarial.



18

Tabla de riesgos



R1 Errores en el sistema e

inestabilidades difíciles de

resolver al aplicar cambios

que no son registrados en

una hoja de vida

X X

R2 Fallas que son difíciles de

resolver por falta de correcta

documentación

X X

Matriz de probabilidad de impacto

P R O B A B I L

I D A D

Alto

61-100%

R1

Medio

31-60%

R2

Bajo

0-30%


IMPACTO

Guía de prueba


ID Guía de Prueba: AI3

Dominio: Adquisición e implementación AI

Proceso Proceso: AI3 Adquisición y mantenimiento de la infraestructura tecnológica



19

Objetivo de Control Sistema de administración de calidad



1 Según las respuestas de la encuesta

no se está llevando hoja de vida

para todos los equipos.

Al no llevar un control de calidad de forma organizada,

existirían deficiencias de friabilidad para la empresa y los

clientes.

2 Se realiza registro de fallas solo

para servidores, pero sin seguir un

proceso adecuado para todos los

equipos.

Según lo expuesto no se presenta un control preventivo, para

todos los equipos, lo cual indica que no tienen forma de hacer

mantenimientos preventivos.

3.3. Dominio Entregar Y Dar Soporte DS.

3.3.1. Proceso 4 - DS5 Garantizar la seguridad de los sistemas (Luis Hernando Benítez)

DS5.2 Plan De Seguridad en TI.

DS5.3 Administración de Identidad.

DS5.4 Administración de cuentas de usuario

DS5.9 Prevención, detección y corrección del software malicioso.

Objetivo de control

Administrar, mantener y ejecutar planes de seguridad que permitan al modelo de negocio una

ejecución eficiente, reduciendo al máximo los riesgos y vulnerabilidades en sus sistemas

informáticos, especialmente en el departamento de TI.

A través de una evaluación del contenido y diseño del plan de seguridad en TI y los mecanismos

de identificación, así como la gestión de la seguridad y las cuentas de empleados y visitantes

combinadas con el soporte brindado a toda la empresa por parte de TI en aspectos de prevención

y corrección se busca establecer en qué medida tanto las características como su implementación

cumplen de forma eficaz con las proyecciones y requerimientos de seguridad en la

infraestructura de software y hardware de la empresa Avidesa de Occidente.

Departamento de Tecnología e Información – Avidesa de occidente

Cuestionario de control: C-DS5-1



20

Dominio: Entregar y dar soporte

Proceso: DS5 Garantizar la seguridad de los sistemas

Objetivo de control: Revisión y evaluación del plan de seguridad TI

en la empresa (5.2 Plan de seguridad de TI)

Cuestionario

Pregunta SI NO N.A Observaciones

¿La empresa cuenta con un plan de seguridad en TI? 4

Aspectos del plan de seguridad en TI y Conocimiento por parte del personal

¿Los empleados del área de TI conocen ampliamente

el plan de seguridad en TI?

3

¿El plan de seguridad de TI tiene en cuenta los riesgos

y requisitos de negocio?

4

¿El plan de seguridad de TI tiene en cuenta toda la

infraestructura de hardware?

5 Especialmente en los

servidores

¿El plan de seguridad de TI tiene en cuenta todo el

software sensible utilizado en las operaciones diarias?

4

¿El plan de seguridad de TI considera otros aspectos

de seguridad como el acceso a áreas restringidas?

4 El acceso está restringido

para todo el personal no

autorizado

¿El plan de seguridad de TI es conocido y aplicado por los encargados de la seguridad física?

3

¿Se consideran inversiones en software o hardware

dentro del plan?

4

Revisión del plan de seguridad en TI

¿El plan de seguridad en TI se revisa periódicamente

con el fin de actualizarlo?

3

¿La revisión del plan de seguridad en TI es realizada

por un equipo gerencial en conjunto con encargadosde la seguridad?

5

Ante fallas en la seguridad presentadas fuera de la

revisión ¿Se registra inmediatamente en el plan de

seguridad de TI los nuevos mecanismos de

protección?

4



21

¿Los cambios son comunicados inmediatamente a los

interesados y usuarios?

4

¿El plan de seguridad en TI es accesible para ser

consultado por todos los miembros de la empresa en

algún lugar como internet o dentro de la empresa?

5

Total 42 10

Preguntas complementarias (respuesta libre)

¿Cuándo fue la última vez que se revisó en

conjunto el Plan de seguridad en TI?

La última revisión se realizó abril del 2014

¿Qué aspecto considera que se debe mejorar del

Plan de seguridad en TI?

La divulgación del mismo, el plan es poco conocido

por el personal encargado

¿Cuál es el intervalo de tiempo para revisar el

plan de seguridad en TI?

Debería hacerse anualmente

Riesgo CDS5-1

Porcentaje de Riesgo Parcial: (42*100)/52 = 80.76%

Porcentaje de Riesgo: 100% - 80.76% = 19.74%



Cuestionario de control: CDS5-2



Objetivo de control: Administración de la identidad de usuarios y

accesos a zonas restringidas (DS5.3

Administración de identidad)

Cuestionario


¿Se definen claramente las zonas comunes y las zonas

con solo personal autorizado?

3 Las zonas con ingreso no

autorizado están bien

señaladas

¿Existen mecanismos de identificación en la empresa? 5



22

¿Se tiene una cultura de seguridad, que permita a los

empleados conocer los riesgos de revelar o dejar al

alcance sus datos o tarjetas de acceso?

5 Se dan capacitaciones

constantes sobre este tema

Características de los mecanismos de identificación

¿Se implementan mecanismos de identificación

ideales para abrir puertas y tener acceso a las zonas

restringidas?

5 El acceso está restringido

por llaves y

sistemas de seguridad

¿Se cuenta con mecanismos de autenticación seguros

(inicio de sesión) implementados para acceder a todos

los equipos de software la empresa?

5 Contraseñas encriptadas

¿Los mecanismos de identificación que permiten

acceso a zonas restringidas almacenan un registro de

accesos?

5 Solo por las cámaras de

seguridad

Vigilancia para la identificación

¿Hay cámaras de video que sirven de apoyo para

verificar la identidad de quienes desean acceder a

zonas restringidas?

5 Existen, pero solo para

grabación, no se usan para

verificar el acceso

¿Hay personal de vigilancia en zonas de acceso

restringido?

3

¿Existe personal encargado exclusivamente de estar

atento a las cámaras de seguridad?

4

Total 23 17

Preguntas Complementarias (respuesta libre)

¿Cuáles son los mecanismos de identificación

implementados? (software y hardware)

Biometría y contraseñas

¿Qué zonas considera deben ser las más custodiadas

ante personal no autorizado?

La sala de servidores

¿Considera que esas zonas cuentan con los suficientes

mecanismos para controlar el acceso no autorizado?,

¿Por qué?

Si, para acceder a la sala de servidores se debe

pasar por dos puertas controladas por el personal

de DTI

Cómo empleado del área de seguridad o TI: ¿Que

mejoras implementaría o que áreas considera están

fallando en la identificación de usuarios y control de

Una propuesta presentada es la biometría para

abrir las puertas de acceso restringido, es un

proyecto en proceso



23

acceso?

Riesgo CDS5-2

Porcentaje de Riesgo Parcial: (23*100)/40 = 57.5%Porcentaje de Riesgo: 100% - 57.5% = 42.5%



Cuestionario de control: CDS5-3



Objetivo de control: Gestión de las cuentas de usuario, permisos,

emisión de nuevas credenciales y respaldo

(DS5.4 Administración de cuentas de usuario)

Cuestionario


¿La solicitud y generación de cuentas y permisos de

usuario es administrada por organismos de gerencia?

5 Por el área de auditoria

¿La suspensión o eliminación de cuentas de

empleados o personal externo se realiza de forma ágil

y rápida?

5 La eliminación de cuentas

hace parte del paz y salvo

del colaborador retirado

¿El acceso a la creación y gestión de las cuentas de

usuario está bien restringido a personal autorizado y

es necesario la aprobación explícita a través de

mecanismos de autenticación por parte del área de

gerencia?

5 La aprobación se hace por

parte de auditoría interna, y

la gestión se hace por parte

de personal autorizado

¿Cuándo un empleado ya no hace parte de la empresa

su cuenta se suspende o elimina dentro de las

próximas 24 horas siguientes a su desvinculación

laboral?

5

¿Se tienen claramente definidos los permisos

específicos para cada tipo de usuario en aspectos de

5 Todos los permisos están

marcados por perfiles



24

acceso a las funciones del software y el acceso a las

áreas restringidas?

¿Todos los empleados de la empresa están

debidamente registrados en los sistemas de

identificación?

5

¿Se tienen cuentas especiales para casos de

emergencia o visitas autorizadas que permitan el

acceso a determinado software o área restringida por

tiempo determinado?

5

¿Se conserva toda la información de usuarios y

permisos en una base de datos centralizada y segura?

5

¿Las cuentas de usuario y los permisos otorgados son

revisados periódicamente por la gerencia y el personal

de seguridad?

5 Se hacen revisiones por

parte de auditoría interna

¿Se hace un respaldo regular de la base de datos de

usuario y los permisos asignados?

5 Diariamente, varias veces

al día

¿Los permisos otorgados son indicados para cada tipo

de usuario? Es decir ni más ni menos de lo

exclusivamente necesario

5 Correcto los permisos son

asignados por perfiles

Total 50 5


¿Cuándo se revisaron por última vez todos los

permisos y las cuentas de usuario?

Enero de 2016

¿Cuándo se realizó el ultimo respaldo de las cuentas y

permisos de usuario?

Se hace a diario

¿Alguna vez un empleado ha tenido que pedir a otro

que le dé acceso a un área o funcionalidad que el ya

debería tener habilitada con sus credenciales de

acceso?

Se ha presentado el caso, pero con cada revisión

este evento ocurre con menos frecuencia

¿Se cuenta con planes de contingencia si acaso falla el

hardware de identificación? (lectores de huellas,

lectores de tarjetas, identificación facial)

Si, se tienen equipos de contingencia de cada

equipo



25

Riesgo CDS5-3

Porcentaje de Riesgo Parcial: (50*100)/55 = 90.9%

Porcentaje de Riesgo: 100% - 90.9% = 9.1%



Cuestionario de control: CSD5-4

Dominio: Entregar Y Dar Soporte

Proceso: DS5 Garantizar La Seguridad De Los Sistemas

Objetivo de control: Evaluación de medidas preventivas y correctivas

contra software malicioso (DS5.9 Prevención,

detección y corrección del software malicioso)Cuestionario


¿Los servidores cuentan con software de protección

especialmente diseñado para empresas?

5

¿El software antivirus cuenta con un sistema de

firewall funcional?

5

¿Todos los equipos de la empresa cuentan con

protección antivirus?

5

¿Todo el software antivirus se encuentra actualizado

con las ultimas firmas de seguridad?

5

¿Los dispositivos móviles como Smartphones de

carácter empresarial también cuentan con protección

antivirus?

5

¿Se cuenta con una clara política acerca de los

dispositivos y medios de almacenamiento externo que

pueden ser conectados a los equipos?

5

¿Se realizan análisis de virus en todos los equipos de

manera regular y constante?

5 Diariamente

¿Todos los equipos se encuentran actualizados con los

últimos parches del proveedor del Sistema Operativo?

5 Algunos equipos aun

cuentan con Windows XP

¿El software de terceros se encuentra actualizado? 5 Solo se cuenta con tres



26

software de terceros y estos

están actualizados al día

¿Se realizan inspecciones generales de forma

periódica y constante teniendo en cuenta análisis de

virus, revisión de actualizaciones de sistema y

aplicaciones?

5

¿Se ha educado a los usuarios sobre las normas

básicas para evitar infecciones por virus en los

equipos empresariales?

5

Totales 45 10


¿Cada cuánto tiempo se realizan análisis de virus en

toda la empresa?

El usuario lo hace diariamente, y DTI

semanalmente

¿Cada cuánto tiempo el personal encargarlo realiza

una inspección general de todos los sistemas?

Mensualmente

¿El software antivirus instalado en los equipos de la

empresa es gratuito o licenciado?

Ambos

Riesgo CDS5-4

Porcentaje de Riesgo Parcial: (45*100)/55 = 81.8%Porcentaje de Riesgo: 100% - 81.8% = 18.2%



Vulnerabilidades

El plan de seguridad de TI no está siendo desarrollado en conjunto con la gerencia y los

departamentos de seguridad informática.

El plan de seguridad de TI no está disponible en ningún lugar accesible por los miembros

de la empresa (internet o áreas comunes).



27

El plan de seguridad de TI no ha sido revisado desde el año 2014 (dos años sin

revisiones)

No se almacena un historial de los accesos con credenciales a áreas restringidas.

No existe vigilancia permanente de las cámaras de seguridad.

No existe personal de vigilancia en zonas de acceso restringido.

No existen cuentas especiales para visitas autorizadas.

No se implementa ningún tipo de seguridad en Smartphones de carácter empresarial.

Existen equipos con sistemas operativos desfasados.

Existen antivirus gratuitos en equipos empresariales

Amenazas

Aspectos e ítems importantes sobre los requerimientos del modelo de negocio, planes de

crecimiento, adquisición y de personal que no son oportunamente reflejados en el plan de

seguridad de TI.

Desconocimiento del plan de seguridad de TI por parte de empleados que manejan

información, datos y permisos sensibles para el modelo de negocio de la empresa.

Plan de seguridad desactualizado, aumentando la probabilidad de ocurrencia de riesgos

negativos para la empresa.

No se tiene detalle de cuales fueron exactamente las credenciales (combinación de

usuario y contraseña o tarjeta de seguridad) y la hora en la que se accedió a determinada

zona o abrió una puerta

Imposibilidad de tomar medidas de contingencia y seguridad cuando se detectan intrusosen el área restringida al no existir vigilancia en tiempo real de las cámaras.

Intrusos, software espía y código malicioso ejecutándose en Smartphones con acceso a la

red empresarial y a los archivos sensibles.



28

Equipos desactualizados vulnerables a virus, intrusos, fallos comunes del sistema,

inestabilidad, falta de compatibilidad con el nuevo software/hardware y agujeros muy

graves de seguridad.

Protección ante virus insuficiente, red y datos más vulnerables que otros equipos con

antivirus de pago, agujeros de seguridad en la red empresarial.

Riesgos

Procesos de adquisición de equipos y cambios en los requerimientos de negocio que se

presentan de manera desarticulada con el plan de seguridad en TI generando

complicaciones en el área y afectaciones en las labores de manera temporal.

Mal manejo de información por parte de los empleados, datos de acceso o archivossensibles manejado sin las normas de seguridad básicas contempladas en el plan de

seguridad de TI, acciones que representan fallas de seguridad y permiten el acceso de

intrusos a la información de la empresa.

Fallas en la seguridad que no han sido solucionadas y consignadas en los últimos años en

el plan de seguridad de TI, intrusos, espías con intenciones maliciosas pueden

aprovecharlo y extraer información o causar daños en los sistemas de TI.

Personas ajenas a la empresa ingresando con credenciales de empleados (suplantación)

con fines maliciosos para realizar hurtos de equipos o información de la empresa, los

procesos de investigación ante eventualidades se dificultan al no tener información de

acceso concreta.

Personas ajenas a la empresa o al área restringida pueden forcejar cerraduras, intentar

alterar sistemas de acceso o realizar hurtos ante un descuido de los empleados dado que

no existe vigilancia por cámara ni ningún personal de seguridad en estas áreas.

Agujeros de seguridad, malware, software espía que son aprovechados por personas

inescrupulosas que los instalan en los dispositivos móviles de empleados para extraer

información, arruinar los sistemas, obtener datos específicos de identidad de clientes y

números de cuenta que son fácilmente accesibles por conexiones WiFi de los dispositivos

móviles infectados a los servidores.



29

Intrusos que acceden a la red desde equipos con sistemas operativos desactualizados,

virus y malware abundante que ataca a equipos desactualizados causando daños a la

información, fallas de estabilidad y problemas de compatibilidad que entorpecen las

tareas diarias.

Virus, spyware, Keyloggers, seguridad firewall fácilmente vulnerable y protección de

antivirus ineficaz, las herramientas antivirus gratuitas son mucho menos eficientes y

útiles que una de pago especializada en equipos de empresa.

Tabla de riesgos



R1 Procesos internos en la

empresa en desarticulación

con el plan de seguridad de TI

X X

R2 Malos prácticas de seguridad

por parte de empleados al

desconocer en plan d

seguridad en TI

X X

R3 Fallas de seguridad conocidas

y aprovechadas por intrusos

por desactualización del plan

de seguridad en TI

X X

R4 Ingresos a equipos y zonas

restringidas mediante

suplantación

X X

R5 Forcejeo de cerraduras e

intentos de saboteo en zonas

sin vigilancia

X X

R6 Smartphones infectados con

acceso a la red empresarial

X X

R7 Sistemas operativos

desactualizados con agujeros

X X



30

graves de seguridad y puertas

a intrusos

R8 Antivirus poco eficientes

fácilmente vulnerables por

intrusos

X X

Matriz probabilidad de impacto



Alto

61-100%

R1 R2 R6,R7

Medio

31-60%

R3,R8

Bajo

0-30%

R4 R5


IMPACTO

Guías de pruebas


ID Guía de Prueba: GP-DS5-1

Dominio: Entregar y Dar Soporte

Proceso Proceso: Garantizar la seguridad de los sistemas DS5Objetivo de Control - DS5.2 Plan de seguridad de TI

ID Riesgos Asociados R1,R2,R3


1 Según el cuestionario C-DS5-1 el

plan de seguridad TI no se realiza

Al no realizar un plan de seguridad de TI de forma articulada

con la gerencia se presenta una desarticulación que puede



31

en conjunto con personal de

gerencia

resultar entorpeciendo los procesos de seguridad más adelante.

Por ejemplo compra de nuevos equipos o sistemas de

detección, entre otros.

2 No se realiza una revisión del plan

de seguridad en TI desde el año

2014 (cuestionario C-DS5-1

pregunta abierta)

La revisión del plan de seguridad en Ti es importante para

mantener un nivel óptimo de seguridad en el área de TI y en

general en toda la empresa, no revisarlo en largos periodos de

tiempo deja fallas de seguridad sin documentarse y

comunicarse de manera eficaz

3 Según el cuestionario C-DS5-1 el

plan de seguridad de TI no es

accesible por los empleados

No se evidencia un plan para difundir ampliamente y de

manera constante el plan de seguridad de TI entre los

empleados.




Proceso Proceso: Garantizar la seguridad de los sistemas DS5

Objetivo de Control - DS5.3 Administración de identidad

- DS5.4 Administración de cuentas de usuario


No. Evidencia Descripción1 Según el cuestionario C-DS5-2 no

se cuenta con un historial de

accesos

Solo las cámaras de seguridad hacen un registro parcial de

quienes acceden a las zonas restringidas previa autenticación,

sin embargo no se almacena cuales credenciales fueron

ingresadas

2 No hay un centro de vigilancia Las cámaras de seguridad solo son para la grabación, nadie las

vigila en tiempo real.

3 El sistema Biometrico aún no se

implementa totalmente

Se evidencia la existencia de zonas sin mecanismos para

acceso biométrico, estas deben implementarse rápidamente.4 No hay cuentas especiales para

casos de visitas

Para caso especiales como visitas por parte de auditores u

organismos de vigilancia no se tienen cuentas asignadas, se

otorga acceso con credenciales de empleados



32




Proceso Proceso: Garantizar la seguridad de los sistemas DS5

Objetivo de Control- DS5.9 Prevención, detección y corrección del software malicioso

ID Riesgos Asociados R6,R7,R8


1 Dispositivos móviles sin

protección antivirus o cifrado

(cuestionario CSDS5-4)

Los dispositivos móviles son vulnerables y al conectarse a la

red empresarial crean agujeros de seguridad para toda la

infraestructura de Avidesa de Occidente

2 Equipos con Windows XP (año

2001)

Microsoft termino con el soporte a este SO, muchos programas

también, su utilización representa un gran riesgo para la

seguridad de los sistemas

3 Antivirus gratuitos en equipos

empresariales

La protección ofrecida por antivirus gratuitos es limitada, se

requiere protección profesional.

3.3.2. Proceso 5 - DS12 Administración del ambiente físico (Viviana Stefany González)

DS12.2 Medidas de seguridad físico.

DS12.3 Acceso controlado a locales.

DS12.4 Protección contra factores ambientales.

Objetivo de control

Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de DTI contra

los peligros naturales (fuego, polvo, calor excesivo) o fallas humanas, con la instalación de

controles físicos y ambientales y el control de acceso a personal no autorizado al departamento.


Cuestionario de Control: DS12 - C1

Dominio Entregar y dar soporte DS

Proceso DS12: Administración del ambiente físico



33

Objetivo de control: Control de acceso a personal, protección del ambiente físico y medidas de

seguridad físicas (DS12.2 Medidas de seguridad físico, DS12.3 Acceso

controlado a locales, DS12.4 Protección contra factores ambientales.)


¿El departamento cuenta con acceso

restringido para el personal?

5 El ingreso solo es permitido desde dentro

del departamento

¿Existen cámaras de seguridad dentro del

departamento?

5 Vigilando la entrada y el cuarto de

servidores

¿Cuenta el departamento de DTI con un

sistema contra incendios?

5 Es vigilado por el departamento de salud

ocupacional

¿Dentro del departamento se cuenta consistemas como lo son detectores de humo,

alarmas u otro tipo de sensores?

5 Detectores de humo, alarmas detemperatura en el cuarto de servidores

¿Se tienen medios adecuados para la

extinción de fuego en los centros de

cómputo?

5 Extintores para sistemas eléctricos

¿Se ha presentado frecuentemente un

apagón de energía?

4 Es muy esporádico y se cuenta con un

sistema de planta eléctrica, para dartiempo de apagar los equipos

correctamente

¿Se tienen sistemas de seguridad para

evitar que se sustraigan los equipos de las

instalaciones?

5 Se cuenta con vigilancia por cámaras y

personal

¿El cableado eléctrico se encuentra a la

vista del personal?

4

¿Se hace uso de un sistema de ventilación? 4 Aire acondicionado

¿Existen prohibiciones para fumar,

consumir alimentos y bebidas?

4 Estas prácticas están prohibidas en todas

las oficinas



34

¿Existen cajas o caja de breakers de los

circuitos en el departamento?

5

Total 43 8

Riesgo DS12 - C1


Porcentaje de riesgo: 100 – 84,31 = 15,69%






Objetivo de control Escolta de visitantes (DS12.3 Acceso controlado a locales)


¿Las instalaciones del departamentofueron diseñadas o adaptadas

específicamente para funcionar como un

centro de cómputo?

4 La estructura física no fue diseñada para este propósito

¿Se tiene una distribución del espacio

adecuada, de forma tal que facilite el

trabajo y no existan distracciones?

4 Las oficinas están bien distribuidas por áreas

de trabajo.

¿Existen lugares de acceso restringido? 5 Cuartos de servidores, oficinas de gerencia,cuartos con materiales de manejo complicado

¿Se cuenta con sistemas de seguridad

para impedir el paso a lugares de acceso

restringido?

5 Bloqueos en puertas



35

¿Existen señalizaciones adecuadas en

las salidas de emergencia y se tienen

establecidas rutas de evacuación?

5 Manejados por el departamento de salud

ocupacional y la brigada de rescate

¿Se cuenta con iluminación adecuada y

con iluminación de emergencia en casos

de contingencia?

4 Plantas eléctricas

¿Se tienen sistemas de seguridad para

evitar que se sustraiga equipo de las

instalaciones?

4 Se cuenta con vigilancia por cámaras y

personal

¿Se cuenta con suficientes carteles en

lugares visibles que recuerdan estas

prohibiciones?

3 Existen pocos

¿Con cuanta frecuencia se limpian las

instalaciones?

4 Diariamente

Total 31 7

Riesgo DS12 - C2








Objetivo de control Controles ambientales, suministro ininterrumpido de energía (DS12.2 Medidas

de seguridad físico, DS12.4 Protección contra factores ambientales)



36


¿Se cuenta con instalación con tierra

física para todos los equipos?

5 Para todos los equipos

¿La instalación eléctrica se realizóespecíficamente para el centro de

cómputo?

4 La instalación eléctrica se hizo pensando enla planta de producción

¿El tablero de distribución está en la

sala, visible y accesible?

5 No se encuentra visible

¿El tablero considera espacio para

futuras ampliaciones de hasta de un

30% (Considerando que se dispone deespacio físico para la instalación de más

equipos)?

4 Se consideran futuras ampliaciones tanto de

la planta como de las oficinas

¿Los ventiladores y aire acondicionado

están conectados en la misma

instalación de los equipos a la planta de

emergencia?

4 La planta de emergencia es únicamente para

los equipos

¿Se cuenta con interruptores generales? 5

¿Se tienen protecciones contra corto

circuito?

5 Sistema regulado

¿Se tiene implementado algún tipo de

equipo de energía auxiliar?

5 Plantas eléctricas

¿Se cuenta con planta de emergencia? 5

¿Se tienen conectadas algunas lámparasdel centro de cómputo a la planta de

emergencia?

4 Solo equipos de cómputo

Total 29 17



37

Riesgo DS12 - C3





Para el listado de riesgos que se enumerarán a continuación se realizó primeramente los

respectivos cuestionarios para que el compañero que trabaja en la empresa las pudiera responder

teniendo en cuenta las visitas a las instalaciones de la empresa y por supuesto lo que él ha

observado sobre todo en la parte de informática.

Vulnerabilidades

Las instalaciones del departamento (espacio físico e instalaciones eléctricas) no fueron

diseñadas o adaptadas específicamente para funcionar como un centro de cómputo.

Insuficiencia de carteles en lugares visibles que recuerden que no se pueden sustraer

equipos de las instalaciones.

El tablero de distribución no se encuentra visible ni accesible.

Amenazas

Fallo del cableado en el departamento y/o existencia de espacios no aptos para los

computadores y servidores.

Sustracción de equipos de cómputo sin autorización dentro del departamento.

Falla de la parte eléctrica en el departamento y posibles daños internos en los equipos de

cómputo

Fallo en los dispositivos de conexión, control, maniobra, protección, medida,

señalización y distribución de los circuitos eléctricos del departamento.Riesgos

Daños en la parte física y lógica del computador y una inadecuada distribución de los

equipos de cómputo en el lugar.

Robos de los equipos de cómputo del departamento.



38

Ocurrencia de apagones forzados a pesar de contar con una planta externa los cuales

pueden causar daños en los equipos de cómputo.

Fallos en las instalaciones eléctricas del departamento y asistencia no inmediata por la no

accesibilidad del tablero.



R1 Daños en la parte física y

lógica del computador y

una inadecuada distribución

de los equipos de cómputo

en el lugar.

X X

R2 Robos de los equipos de

cómputo del departamento.

X X

R3 Ocurrencia de apagones

forzados a pesar de contar

con una planta externa los

cuales pueden causar daños

en los equipos de cómputo.

X X

R4 Fallos en las instalaciones

eléctricas del departamentoy asistencia no inmediata

por la no accesibilidad del

tablero

X X

Matriz probabilidad de impacto




39


Alto

61-100%

Medio

31-60%

R3, R4 R1

Bajo

0-30%

R2


IMPACTO




Proceso Proceso: Administración del ambiente físico DS12

Objetivo de Control - DS12.2 Medidas de seguridad físico.

- DS12.4 Protección contra factores ambientales.

ID Riesgos Asociados R1, R3, R4


1 Según el cuestionario DS12-C2

las instalaciones no fueron

diseñadas para trabajar como

centro de cómputo

Las instalaciones fueron diseñadas para trabajar como otro

centro y no de cómputo lo que podría ocasionar daños en la

estructura física y lógica del computador por una inadecuada

distribución de los equipos de cómputo en el lugar.

2 Según el cuestionario DS12-C3

las instalaciones eléctricas no se

realizaron específicamente para el

centro de cómputo

La parte de instalaciones eléctricas se hizo pensando solamente

en la planta de producción en la cual puede que existan

apagones forzados a pesar de contar con una planta externa los

cuales pueden causar daños en los equipos de cómputo.



40

3 El tablero de distribución no está

en la sala, visible y accesible

Este tablero no se encuentra visible por lo tanto se hace

imposible acceder a él. Pueden causar daños los dispositivos

de conexión, control, maniobra, protección, medida,

señalización y distribución de los circuitos eléctricos del

departamento por supuesto fallos en las instalaciones eléctricasdel departamento y asistencia no inmediata por la no

accesibilidad este




Proceso Proceso: Administración del ambiente físico DS12

Objetivo de Control - DS12.3 Acceso controlado a locales.

ID Riesgos Asociados R2


1 Según el cuestionario DS12-C2 no

se cuenta con suficientes cartelesen lugares visibles que recuerdan

la prohibición para evitar que se

sustraiga equipo de las

instalaciones

Los carteles de restricción en el departamento son muy pocos y

pueden causar el robo de equipos de cómputo sin autorizacióndentro del departamento



41

Conclusiones

La auditoria es la indicada para evaluar de manera profunda, una determinada organización a

través de su sistema de información, de aquí su importancia y relevancia.

El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un

procesamiento electrónico. También debe estar preparado para enfrentar sistemas

computarizados en los cuales se encuentra la información necesaria para auditar.

La auditoria de sistemas está dirigida a evaluar los sistemas y procedimientos de uso en una

empresa, con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el

sistema de procesamiento de información como parte de la evaluación de control interno; así

como para identificar aspectos susceptibles de mejorarse o eliminarse.



42

Referencias

COBIT 4.1. (2007). IT Governance Institute. Recuperado el 20 de Febrero de 2016, de

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

Muñoz Razo, C. (2002). Auditoria en sistemas computacionales. Mexico: Pearson Educación.

Recuperado el 14 de Febrero de 2016, de

http://www.academia.edu/7123101/Auditoria_en_Sistemas_Computacionales



43

Anexos



44

Documents

tc2 auditoria de sistemas