Trabajo Colaborativo 2_90168-72.docx

8/17/2019 Trabajo Colaborativo 2_90168-72.docx

1/23

1

Momento 1 – Intermedio del Trabajo Colaborativo 1:

Vulnerabilidades, Amenazas y Riesgos. lan y rograma Auditoria

!"uleyver Mos#uera $onilla % C&digo: 11.'().*1*

+-tor abio Ar-e Casta/eda % C&digo:1.110.().0Mario Ale2ander oveda 3uta % C&digo: *(.41'.1*5

RA6CI3C7 6IC78A3 378ART9Tutor Curso: 5(1)*'4

;niversidad 6a-ional Abierta y a as e ingenier>aIngenier>a de 3istemas

Auditoria de 3istemas

4(1)


2/23

2

Introducción

9l desarrollo de este trabajo es la -ontinua-i&n de la tem=ti-a #ue se est= tratando durante el

-urso, lo -ual ?ermite una identi@i-a-i&n -lara de los riesgos, mediante un an=lisis de riesgos el

-ual tiene -omo resultados los riesgos m=s -r>ti-os #ue tiene la organiza-i&n.

3e e@e-ta una investiga-i&n sobre los di@erentes ?ro-esos y objetivos #ue se desarroll& en el

trabajo uno, su a?li-a-i&n e im?ortan-ia #ue tienen en la organiza-i&n. 3e desarrolla unas

"erramientas ?ara el auditor, en la re-o?ila-i&n de la in@orma-i&n, #ue es muy im?ortante en el

desarrollo de una auditoria in@orm=ti-a.


3/23

3

Objetivo

9laborar un ?lan de auditor>a ?ara una entidad gubernamental del orden territorial es?e-i@i-ando

los dominios, ?ro-esos y objetivos de -ontrol, adem=s de los -ontroles a?li-ables segn el mar-o

C7$IT B.1.

Objetivos específicos.

• Realizar un an=lisis de riesgo de la organiza-i&n o la em?resa auditable.

• 9laborar una entrevista la -ual eviden-ie los ?osibles riesgos de la organiza-i&n.

• 9laborar un -uestionario el -ual ?ermita observar el ?or-entaje de riesgo del objetivo.


4/23

4

PLANEAR Y ORGANIZAR

PO !o"unic#r $#s #spir#ciones % $# dirección de &erenci#

8a dire--i&n debe elaborar un mar-o de trabajo de -ontrol em?resarial ?ara TI, y de@inir y

-omuni-ar las ?ol>ti-as. ;n ?rograma de -omuni-a-i&n -ontinua se debe im?lementar ?ara

arti-ular la misi&n, los objetivos de servi-io, las ?ol>ti-as y ?ro-edimientos et-., a?robados y

a?oyados ?or la dire--i&n. 8a -omuni-a-i&n a?oya el logro de los objetivos de TI y asegura la

-on-ien-ia y el entendimiento de los riesgos de nego-io y de TI. 9l ?ro-eso debe garantizar el

-um?limiento de las leyes y reglamentos relevantes

O'(E)I*O+ ,E !ON)ROL

PO.- A"biente de po$ític#s de contro$

a

administrativa y el estudio o?erativo de la em?resa. 9stos elementos in-luyen las

e2?e-tativasre#uerimientos res?e-to a la entrega valor ?roveniente de las inversiones en TI, el

a?etito de riesgo, la integridad, los valores ti-os, la -om?eten-ia del ?ersonal, la rendi-i&n de

-uentas y la res?onsabilidad. 9l ambiente de -ontrol se basa en una -ultura #ue a?oya la entrega

de valor, mientras administra riesgos signi@i-ativos, @omenta la -olabora-i&n entre divisiones y

el trabajo en e#ui?o, ?romueve el -um?limiento y la mejora -ontinua de ?ro-esos, y maneja las

desvia-iones Din-luyendo @allasE de @orma ade-uada.

PO. Ries&o corpor#tivo % "#rco de referenci# de contro$ interno de )I

9laborar y dar mantenimiento a un mar-o de trabajo #ue establez-a el en@o#ue em?resarial

general "a-ia los riesgos y el -ontrol #ue se alinee -on la ?ol>ti-a de TI, el ambiente de -ontrol y

el mar-o de trabajo de riesgo y -ontrol de la em?resa.

PO./ Ad"inistr#ción de po$ític#s p#r# )I.

9laborar y dar mantenimiento a un -onjunto de ?ol>ti-as #ue a?oyen las estrategias de TI. 9stas

?ol>ti-as deben in-luir su inten-i&n, roles y res?onsabilidades, ?ro-esos de e2-e?-i&n, en@o#ue de

-um?limiento y re@eren-ias a ?ro-edimientos, est=ndares y dire-tri-es. 3u relevan-ia se debe

-on@irmar y a?robar en @orma regular.

PO.0 I"p$#nt#ción de po$ític#s de )I


5/23

5

Asegurarse #ue las ?ol>ti-as de TI se im?lantan y se -omuni-a a todo el ?ersonal relevante, y se

re@uerzan, de tal @orma #ue estn in-luidas y sean ?arte integral de las o?era-iones em?resariales.

PO.1 !o"unic#ción de $os objetivos % $# dirección de )I

Asegurarse de #ue la -on-ien-ia y el entendimiento de los objetivos y la dire--i&n del nego-io y

de TI se -omuni-an a los interesados a?ro?iados y a los usuarios de toda la organiza-i&n.


6/23

6

An2$isis de ries&os

N3 ,escripción Prob#bi$id#d I"p#cto'#j#

4edi#

A$t# Leve

4oder#do

!#t#strófico

R-


7/23

7

)(G

$ajo

(%(G

R14 R4, R', R5,

R1

8eve Moderado Catastr&@i-

o

IMACT7

Menor im?a-to o ?robabilidad de o-urren-ia

robabilidad y o-urren-ia media

Alta ?robabilidad de o-urren-ia

;or"#to entrevist#


8/23

8

EN)RE*I+)A RE;

EN)I,A, A


9/23

9

!


10/23

10

9l -=l-ulo de este ?or-entaje se "a-e de la siguiente @orma:

Porcent#je de ries&o p#rci#$ @ DTotal 3I K 1((E TotalPorcent#je de ries&o @ 1(( % or-entaje de riesgo ?ar-ial

Porcent#je de ries&o p#rci#$ @ D1' K 1((E B4 L B(,B'Porcent#je de ries&o @ 1(( – B(,B'L 05,04

ara determinar el nivel de riesgo total, se tiene en -uenta la siguiente -ategoriza-i&n:

1G % (G L Riesgo $ajo/- B 69 @ Ries&o 4edio'1G % 1((G L Riesgo Alto

RIE+GO:

Porcent#je de ries&o p#rci#$: ¿40,47

Porcent#je de ries&o @ 05,04I"p#cto se&Cn re$ev#nci# de$ proceso: Riesgo Medio

List# de cDeueo

Hoberna-i&n

%C+ (1

e-"a: 40 Abril 4(1)

Realizado ?or: +-tor abio Ar-e Casta/eda

C"e-N

Mar-o de -ontrol de la TI

ol>ti-as de la TI

O

9strategias de las TI

Administra-i&n de la TI

Te-nolog>a ade-uada O

Revisiones y a-tualiza-iones realizadas

Clara -omuni-a-i&n de la geren-ia

ol>ti-as de seguridad

3eguridad de la in@orma-i&n


11/23

11

Prueb# Guí#

Gobern#ciónI, Guí# de Prueb#: GP-

,o"inio ,o"inio: lanear y organizar

ProcesoProceso: 7): Comuni-ar las as?ira-iones y la dire--i&n de geren-ia

Objetivo de !ontro$ 7).1 Ambiente de ?ol>ti-as de -ontrol

7).4 Riesgo -or?orativo y mar-o de re@eren-ia de -ontrol interno de

TI7). Administra-i&n de ?ol>ti-as ?ara TI.

7).B Im?lanta-i&n de ?ol>ti-as de TI

7).0 Comuni-a-i&n de los objetivos y la dire--i&n de TI

I, Ries&os Asoci#dos RB, R1(, R11 6o. Evidenci# ,escripción1 9n el C1 se eviden-io #ue no

"ay un ade-uado manejo de la

in@orma-i&n

ti-as.

6o "ay una revisi&n y a-tualiza-i&n ade-uada de las ?ol>ti-as, y "ay @alen-ias en la -omuni-a-i&n de las

mismas e2istentes

3eguridad de la in@orma-i&n

6o "ay -a?a-ita-i&n del ?ersonal, sobre las ?ol>ti-as de la

seguridad de la in@orma-i&n, y la im?ortan-ia de esta en

el desarrollo de la organiza-i&n


12/23

12

Proceso: Ev#$u#r % Ad"inistr#r $os Ries&os de )I

,escripción de$ Proceso

Crear y dar mantenimiento a un mar-o de trabajo de administra-i&n de riesgos. 9l mar-o de

trabajo do-umenta un nivel -omn y a-ordado de riesgos de TI, estrategias de mitiga-i&n y

riesgos residuales. Cual#uier im?a-to ?oten-ial sobre las metas de la organiza-i&n, -ausado ?or

algn evento no ?laneado se debe identi@i-ar, analizar y avaluar. 3e deben ado?tar estrategias de

mitiga-i&n de riesgos ?ara minimizar los riesgos residuales a un nivel a-e?table. 9l resultado de

la evalua-i&n debe ser entendible ?ara los interesados y se debe e2?resar en trminos @inan-ieros,

?ara ?ermitirles alinear los riesgos a un nivel a-e?table de toleran-ia.

Objetivos de !ontro$

PO8.- 4#rco de )r#b#jo de Ad"inistr#ción de Ries&os

9stable-er un mar-o de trabajo de administra-i&n de riesgos de TI #ue est alineado al mar-o de

trabajo de administra-i&n de riesgos de la organiza-i&n.

PO8. Est#b$eci"iento de$ !onteFto de$ Ries&o

9stable-er el -onte2to en el -ual el mar-o de trabajo de evalua-i&n de riesgos se a?li-a ?ara

garantizar resultados a?ro?iados. 9sto in-luye la determina-i&n del -onte2to interno y e2terno de

-ada evalua-i&n de riesgos, la meta de la evalua-i&n y los -riterios -ontra los -uales se evalan

los riesgos.

PO8./ Identific#ción de Eventos

Identi@i-ar eventos Duna amenaza im?ortante y realista #ue e2?lota una vulnerabilidad a?li-able y


13/23

13

signi@i-ativaE -on un im?a-to ?oten-ial negativo sobre las metas o las o?era-iones de la em?resa,

in-luyendo as?e-tos de nego-io, regulatorios, legales, te-nol&gi-os, de so-iedad -omer-ial, de

re-ursos "umanos y o?erativos.


14/23

14

,iseo % #p$ic#ción de instru"entos de reco$ección de infor"#ción Hfor"#to entrevist#scuestion#rios % prueb#sJ

Auditores K !onsu$tores )I

Euipo Auditor9#ui?o B

Euipo Audit#doIn-oder

Proceso !obi)75 9valuar y administrar los riesgos de TI

;ecD#

=err#"ient# Cuestionario

Pre&unt# +i No No s#be Observ#ciones

- 8a em?resa -uenta -on un mar-ode trabajo ?ara la administra-i&n

de riesgosJ

3e en-uentran identi@i-adas lasamenazas a las -uales la em?resa

?uede verse en@rentada

Inunda-iones, in-endios, virus,

robos, terrorismo, ata#ues

-ibernti-os, ?ersonal in-on@orme,

entre otrosJ

/ 8os -ontroles estable-idos en la

em?resa aseguran #ue los sistemas-ontem?len los ?ro-edimientos

ne-esarios ?ara #ue la

in@orma-i&n manejada en ellos sea

total, e2a-ta, autorizada,

mantenida y a-tualizadaJ

0 92iste algn ti?o de evalua-i&ndel riesgo @ormal #ue ?ermita la

monitoriza-i&n y -ontrol -ontinuo

de los riesgos de nego-io #ue ?ueden a@e-tar el rendimiento de

la em?resaJ

1 3e tienen identi@i-ados lo a-tivosde TI #ue ?ueden ser a@e-tados

?or amenazas y ?rovo-ar un

im?a-to negativo en la


15/23

15

organiza-i&nJ

Cuenta -on un sistema de-uanti@i-a-i&n de los -ostos #ue

-ausan los in-identesJ

6 9n -uanto a los 3istemas deIn@orma-i&n instalados e

im?lementados en la em?resa se

tienen los -ontroles y

?ro-edimientos ne-esarios ?ara

garantizar la seguridad m>nima

re#ueridaJ

7 92isten ?lanes de re-u?era-i&n yminimiza-i&n del im?a-to en los

?ro-esos -r>ti-os de la em?resa

#ue garanti-en la -ontinuidad del

nego-ioJ

8 8a em?resa tiene un ?lan demitiga-i&n de riesgosJ

-9 Cuenta -on un sistema de-uanti@i-a-i&n de los -ostos #ue

-ausan los in-identesJ

P9- PLAN E+)RA)EGI!O ,E )I


16/23

16

8a ?lanea-i&n estratgi-a de TI es indis?ensable ?ara gestionar y dirigir los re-ursos mejorar la

-om?rensi&n de las o?ortunidades y limita-iones de TI, evala el desem?e/o a-tual, identi@i-a la

-a?a-idad y los re#uerimientos de re-ursos "umanos y -lari@i-a el nivel de investiga-i&n #ue se

tiene.


17/23

17

PO-. A$ine#ción de )I con e$ ne&ocio

9du-ar a los eje-utivos sobre las -a?a-idades te-nol&gi-as a-tuales y sobre el rumbo @uturo,

sobre las o?ortunidades #ue o@re-e TI, y sobre #u debe "a-er el nego-io ?ara -a?italizar esas

o?ortunidades. Asegurarse de #ue el rumbo del nego-io al -ual est= alineado la TI est= bien

entendido. 8as estrategias de nego-io y de TI deben estar integradas, rela-ionando de manera

-lara las metas de la em?resa y las metas de TI y re-ono-iendo las o?ortunidades as> -omo las

limita-iones en la -a?a-idad a-tual, y se deben -omuni-ar de manera am?lia. Identi@i-ar las =reas

en #ue el nego-io DestrategiaE de?ende de @orma -r>ti-a de la TI, y mediar entre los im?erativos

del nego-io y la te-nolog>a, de tal modo #ue se ?uedan estable-er ?rioridades -on-ertadas.

PO-./ Ev#$u#ción de$ dese"peo #ctu#$

9valuar el desem?e/o de los ?lanes e2istentes y de los sistemas de in@orma-i&n en trminos de

su -ontribu-i&n a los objetivos de nego-io, su @un-ionalidad, su estabilidad, su -om?lejidad, sus

-ostos, sus @ortalezas y debilidades.

PO-.0 I) P$#n estr#tM&ico de )I

Crear un ?lan estratgi-o #ue de@ina, en -oo?era-i&n -on los interesados relevantes, -&mo la TI

-ontribuir= a los objetivos estratgi-os de la em?resa DmetasE as> -omo los -ostos y riesgos

rela-ionados. In-luye -&mo la TI dar= so?orte a los ?rogramas de inversi&n @a-ilitados ?or TI y a

la entrega de los servi-ios o?era-ionales.


18/23

18

PO-. I) Ad"inistr#ción de$ port#fo$io de )I

Administrar de @orma a-tiva, junto -on el nego-io, el ?orta@olio de ?rogramas de inversi&n de TI

re#uerido ?ara lograr objetivos de nego-io estratgi-os y es?e->@i-os ?or medio de la

identi@i-a-i&n, de@ini-i&n, evalua-i&n, asigna-i&n de ?rioridades, sele--i&n, ini-io,

administra-i&n y -ontrol de los ?rogramas. 9sto in-luye -lari@i-ar los resultados de nego-io

deseados, garantizar #ue los objetivos de los ?rogramas den so?orte al logro de los resultados,

entender el al-an-e -om?leto del es@uerzo re#uerido ?ara lograr los resultados, de@inir una

rendi-i&n de -uentas -lara -on medidas de so?orte, de@inir ?roye-tos dentro del ?rograma,

asignar re-ursos y @inan-iamiento, delegar autoridad, y li-en-iar los ?roye-tos re#ueridos al

momento de lanzar el ?rograma.

;OR4A)O ,E EN)RE*I+)A


19/23

19

NO4'RE:

;E!=A:

PREG


20/23

20

*. a de inversiones -ono-esJ

14. -on #ue @re-uen-ia tienen reuniones ?ara so-ializar -um?limientos, novedades,

re#uerimientos de los ?rogramas del ?lan estratgi-o ?ara la -ontribu-i&n de la misi&n de

la em?resaJ

A


21/23

21

;OR4A)O !


22/23

22

!ON!L


23/23

'I'LIOGRA;IA

8A6 93TRAT9HIC7

Documents

Trabajo Colaborativo 2_90168-72.docx