Post on 06-Jul-2018
transcript
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 1/45
DISEÑO Y EJECUCIÓN
JOHN DARWIN ALARCON GIRALDO Código 1.113.643.753
LUIS HERNANDO BENITEZ CRIOLLO Código 1.113.673.589
VIVIANA STEFANY GONZÁLEZ MURIEL Código 1.114.831.465
JONATHAN ORTEGA RUIZ Código 1.115.069.054
DIANA SIRLEY TAPIAS Código 1.114.816.410
Tutor: Francisco Nicolás Solarte
Grupo: 29
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
COLOMBIA
2016
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 2/45
1
Tabla de contenido
Introducción .................................................................................................................................... 2
Objetivos ......................................................................................................................................... 3
Objetivo general .......................................................................................................................... 3
Objetivos específicos................................................................................................................... 3
1. Cuadro de los integrantes y los procesos COBIT seleccionados ............................................. 4
2.
Descripción general sobre la recolección de información ....................................................... 4
2.1. Cuestionarios ........................................................................................................................ 4
2.2. Matriz de probabilidad de impacto....................................................................................... 5
3.
Dominios, procesos, recolección de información y análisis .................................................... 5
3.1. Dominio planear y organizar PO .......................................................................................... 5
3.1.1. Proceso 1 - PO8. Administrar la calidad (Jhon Darwin Alarcón) ................................. 5
3.1.2. Proceso 2 - P09 Evaluar y administrar los riesgos de TI (Jonathan Ortega) ............... 10
3.2. Adquirir e implementar AI ................................................................................................. 13
3.2.1. Proceso 3 - AI3 Adquirir y mantener infraestructura tecnológica (Diana Sirley Tapias)
............................................................................................................................................... 13
3.3. Dominio Entregar Y Dar Soporte DS. ............................................................................... 19
3.3.1. Proceso 4 - DS5 Garantizar la seguridad de los sistemas (Luis Hernando Benítez) ... 19
3.3.2. Proceso 5 - DS12 Administración del ambiente físico (Viviana Stefany González) .. 32
Conclusiones ................................................................................................................................. 41
Referencias .................................................................................................................................... 42
Anexos .......................................................................................................................................... 43
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 3/45
2
Introducción
Un proceso auditoria en una empresa juega un papel muy importante, tanto para identificar las
ventajas y desventajas de los diferentes procesos, así como avanza el tiempo, avanza las mejorasen los procesos, mejoras en el sistema.
En la auditoria se evidencias posibles fallas dentro del sistema de gestión y de las pautas para
hacer la revisión y así hallar soluciones. También se fortalecen los procesos que están bien
estructurados para que no decaigan y no resulten afectados.
El presente documento escrito desarrolla la actividad correspondiente al diseño y ejecución de la
auditoría a la empresa escogida por el grupo colaborativo, en este caso la Empresa Avidesa de
Occidente. En el consolidado se muestra un cuadro con los nombres de los estudiantes que en
este trabajo participaron con el proceso escogido por cada uno, los instrumentos de recolección
de información (cuestionarios, encuestas, listas de chequeo) con sus respectivas respuestas, el
porcentaje de riesgo, análisis de riesgo, matriz de riesgo para cada proceso y guías de prueba. Por
último se tendrán anexos como lo son las fotos de los lugares informáticos de la empresa, todo se
realizó siguiendo el estándar COBIT.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 4/45
3
Objetivos
Objetivo general
Visitar la Empresa Avidesa de Occidente para realizar la ejecución de la auditoría.
Objetivos específicos
Diseñar los formatos de cuestionarios y entrevistas para la realización de la auditoría.
Realizar la ejecución de la auditoría de sistemas a la Empresa Avidesa de Occidente.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 5/45
4
1. Cuadro de los integrantes y los procesos COBIT seleccionados
Cuadro de los integrantes que participaron en la actividad y los procesos COBIT seleccionados
para trabajar según el programa de auditoría.
Nombre del estudiante Proceso seleccionado
Jhon Darwin Alarcón PO8. Administrar la calidad
Jonathan Ruiz PO9. Evaluar y administrar los riesgos de TI
Diana Sirley Tapias AI3. Adquirir y mantener infraestructura
tecnológica
Luis Hernando Benítez DS5. Garantizar la seguridad en los sistemas
Viviana Stefany González DS12. Administración del ambiente físico
2. Descripción general sobre la recolección de información
2.1. Cuestionarios
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en
el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5
significa que es importante que se tenga el control, el auditor debe tratar de dar estas
calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de
riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.
Porcentaje de riesgo. Hace referencia a la probabilidad de que el proceso se vea afectado por las
acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
Pregunta. Espacio donde se indicará la descripción de la consulta de la cual se indagará.
Si – No. Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 6/45
5
71% - 100% = Riesgo Alto
2.2. Matriz de probabilidad de impacto
P R O B A B I L I D A D
Alto61-100%
Medio
31-60%
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
Esta matriz ha sido diseñada con la finalidad de ubicar los riesgos en una escala estándar y saber
qué clase de daño puede causar al presentarse dentro de un proceso auditado. La columna de
probabilidad de ocurrencia indica el porcentaje de riesgo según su resultado y el impacto se
clasifica según el daño que pudiese ocasionar.
3. Dominios, procesos, recolección de información y análisis
A continuación se presentan los formatos de recolección de información diseñados y
diligenciados con respuestas para cada proceso evaluado al igual que los resultados de losanálisis y evaluaciones de riesgos por cada proceso COBIT evaluado.
3.1. Dominio planear y organizar PO
3.1.1. Proceso 1 - PO8. Administrar la calidad (Jhon Darwin Alarcón)
P08.3 Estándares de adquisición y desarrollo.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 7/45
6
P08.5 Mejora continua.
Objetivos de control
Comprobar que se estén llevando a cabo los procesos de calidad bajo los estándares
propuestos.
Evaluar la satisfacción de los usuarios finales del sistema, en cuanto a servicio y niveles
de servicio.
Determinar si el Sistema de Administración de la Calidad se ha implementado y
mantenido apropiadamente.
Identificar las áreas de mejora potencial.
Examinar si la administración del proceso de Gestión de la Calidad satisface los
requerimientos del negocio.
Alcance
El alcance describe todo el Sistema de Administración de la Calidad, procedimientos y normas
de calidad aplicadas al para la implantación del sistema dentro de los procesos de la planeación
estratégica, la información administrativa, mejoramiento del Sistema de Administración y
control de la Calidad, gestión tecnológica.
Encuesta - Administrar la calidad PO8
Respuestas dadas por: Ingeniero Robinson Ruiz, Coordinador de soporte y procesos de calidad de la
empresa Avidesa de Occidente.
1) ¿Existe en la organización un Sistema de Administración de la Calidad que cumpla con los estándares
y prácticas de desarrollo y adquisición para los procesos de TI?
R// Se encuentra en revisión.
2) ¿Se encuentran definidas e implementadas las mediciones para evaluar el cumplimiento efectivo del
Sistema de Administración de la calidad?
R// Si se cuenta con indicadores que permiten evaluar la eficacia del sistema de gestión SGC.3) ¿Se mantiene y comunica regularmente un plan de calidad para la mejora continua?
R// Existen falencias en la comunicación del plan de calidad.
4) ¿Se ha desarrollado un programa de entrenamiento para comunicar y enseñar a todos los empleados
de la organización acerca del tema de calidad?
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 8/45
7
R// Si, existen programas de capacitación y de concientización lo cual ha llevado a la identificación
de mejoras constantes en los proceso involucrados.
5) ¿Se han definido unas perspectivas de calidad dentro de la gestión de proyectos y organización de TI?
R// Si, en la gestión de proyectos se realizan evaluaciones de proveedores, se mide lo planeado vs
ejecutado, se comunica a las partes interesadas los avances, en caso de existir modificaciones en el
proyecto estas son aprobadas por la dirección. La organización DTI está basada en el ciclo del
servicio el cual busca la satisfacción del cliente interno y la mejora continua de los servicios
6) ¿Se realizan encuestas de satisfacción de la calidad por parte de los usuarios?
R// Se solicita certificación por parte del usuario de la satisfacción de los servicios entregados.
7) ¿Las encuestas de satisfacción de calidad llevan hacia un análisis de los procesos de calidad y
posibles mejoras?
R// Si, se encuentra que en muchos servicios habían falencias de comunicación con el cliente y el
responsable de la actividad, lo cual se identificó y se estableció como mejora de proceso, el dialogo
con el cliente para mantenerlo informado de la actividad requerida.
8) ¿Existe un programa bien constituido para la medición de la calidad?
R// Está en proceso de revisión
9) ¿El sistema de administración de la calidad se aplica a todas las actividades de TI?
R// Si, se aplica a cada proceso de las áreas del departamento de TI
Análisis de riesgos
Vulnerabilidades
Falta de un buen sistema de medición organizativa o indicadores.
Falta de planificación estratégica de la empresa.
No hay comunicación asertiva ante la administración de la calidad.
No hay un programa de medición de la calidad.
Amenazas
Actividades que no se complementan No hay procesos engorrosos y a la hora de revisar no hay soporte documental
Equivocaciones de respuesta ante una auditoria
No hay información relevante hacia los mismo usuarios de la empresa
Riesgos
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 9/45
8
Fallo en la metodología de gestión del proceso de cambio organizacional que implica el
desarrollo e implantación de un sistema de gestión de la calidad.
No existirían documentos de soporte.
No sería posible una certificación en la ISO 9001
Si los clientes exigen programa de medición de calidad, no estaría disponible y puede
haber pérdida de clientes
Tabla de riesgos
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Fallo en la metodología de
gestión del proceso decambio organizacional que
implica el desarrollo e
implantación de un sistema
de gestión de la calidad
X X
R2 No existen documentos de
soporte
X X
R3 No sería posible una
certificación en la ISO 9001
X X
R4 Si los clientes exigen
programa de medición de
calidad, no estaría
disponible y puede haber
pérdida de clientes
X X
Matriz de riesgo
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 10/45
9
P R O B A B I L I D A D
Alto
61-100%
R2 R3
Medio
31-60%
R1 R4
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
Esta matriz fue creada para catalogar un riesgo y saber qué clase de falencias existen dentro el
proceso de calidad.
Guía de pruebas
Avidesa De Occidente
ID Guía de Prueba: GP-PO8-1
Dominio: Sistema de administración de la calidad
Proceso Proceso: Establecer un sistema de calidad PO8
Objetivo de Control Sistema de administración de calidad
ID Riesgos Asociados R1,R4
No. Evidencia Descripción
1 Según las respuestas de la encuesta
, no está organizado el Sistema de
Administración de la Calidad que
cumpla con los estándares y
prácticas de desarrollo y
adquisición para los procesos de TI
Al no estar un plan de calidad de forma articulada concisa y
eficaz , existirían deficiencias de credibilidad para la empresa
y los clientes
2 Aún está en revisión programa de
medición de calidad.
La revisión del programa de medición de calidad es importante
ya que traduce como los beneficios obtenidos a partir de una
mejor manera de hacer las cosas y buscar la satisfacción de los
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 11/45
10
clientes, como pueden ser: la reducción de costos, presencia y
permanencia en el mercado y la generación de empleos
Avidesa De Occidente
ID Guía de Prueba: GP-P08
Dominio: Mejora continua
Proceso Proceso: mejora continua
Objetivo de Control - Mejora continua
- Medición, monitoreo y revisión de la calidad
ID Riesgos Asociados R2,R3
No. Evidencia Descripción1 Según el cuestionario existen
falencias en la comunicación del
plan de calidad.
De acuerdo al plan de calidad la idea es contribuir a
desarrollar y perfeccionar la empresa. No se trata únicamente
de aumentar la cifra de ventas sino de crecer en
calidad, innovación, productividad y servicio al cliente, crecer
cualitativamente, en definitiva, es la única forma de asentar el
futuro de la empresa sobre bases sólidas.
2 Según la entrevista de P08 existe
falencia de comunicación, lo cual
perjudica la empresa a la hora de
una auditoria
Si llegase a la empresa a realizarles una pre o una auditoria
entrarías como no conformidades y posiblemente no les
otorgarían el certificado
3.1.2. Proceso 2 - P09 Evaluar y administrar los riesgos de TI (Jonathan Ortega)
P09.1 Marco de trabajo de administración de riesgos
P09.4 Evaluación de riesgos de TI
P09.6 Mantenimiento y monitoreo de un plan de acción de riesgos.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 12/45
11
AVIDESA DE OCCIDENTE
Herramienta Encuesta
# Pregunta Si No No sabe Observaciones
1 ¿La empresa cuenta con un marco de trabajo parala administración de riesgos?
X
(5)
2 ¿Se encuentran identificadas las amenazas a lascuales la empresa puede verse enfrentada, comoinundaciones, incendios, virus, robos, terrorismo,ataques cibernéticos, entre otros?
X
(5)
Se encuentranidentificadas comoincendios, virus yataques cibernéticos
3 ¿Los controles establecidos en la empresaaseguran que los sistemas contemplen los procedimientos necesarios para que lainformación manejada en ellos sea total, exacta,autorizada, mantenida y actualizada?
X
(4)
4 ¿Existe algún tipo de evaluación del riesgo formalque permita la monitorización y control continuode los riesgos de negocio que pueden afectar elrendimiento de la empresa?
X
(5)
5 ¿Se tienen identificados los activos de TI que pueden ser afectados por amenazas y provocar unimpacto negativo en la organización?
X
(5)
Se tieneidentificados y secuenta concontingencias físicasy copias deseguridad de lainformacióncontenida
6 ¿Cuenta con un sistema de cuantificación de loscostos que causan los incidentes?
X
(5)
7 ¿En cuanto a los Sistemas de Información
instalados e implementados en la empresa setienen los controles y procedimientos necesarios para garantizar la seguridad mínima requerida?
X
(4)
8 ¿Existen planes de recuperación y minimizacióndel impacto en los procesos críticos de la empresaque garanticen la continuidad del negocio?
X
(5)
El máximo tiempofuera de línea hasido de 30 minutos
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 13/45
12
9 ¿La empresa tiene un plan de mitigación deriesgos?
X
(5)
Se encuentran enrevisión
10 ¿Cuenta con un sistema de cuantificación de loscostos que causan los incidentes?
X
(5)
Riesgo C1
Porcentaje de riesgo parcial: 19 * 100 / 48 = 39%
Porcentaje de riesgo: 100 - 39 = 61%
Impacto según relevancia del proceso: Riesgo Medio
Vulnerabilidades
No se tiene conocimiento de los controles establecidos en la empresa, por la mayoría del personal.
No se tiene un sistema de cuantificación de los costos causados por incidentes.
La empresa no cuenta con un marco de trabajo para la administración de riesgos.
Amenazas
El desconocimiento de los procesos de prevención, pueden generar malas prácticas en elmanejo de la información.
Mal tratamiento de los riesgos presentados
Mayor costo al enfrentar un riesgo presentado
Riesgos
Virus en la red local de la empresa
Paradas en la continuidad del negocio
Borrado de información causado por virus
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Virus en la red local de laempresa
X X
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 14/45
13
R2 Paradas en la continuidad
del negocio
X X
R3 Borrado de información
causado por virus
X X
Matriz de probabilidad de impacto
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso.
P R O B A B I L I D A D
Alto
61-100%
Medio
31-60%
R1
Bajo
0-30%
R2,R3
Leve Moderado Catastrófico
IMPACTO
3.2. Adquirir e implementar AI
3.2.1. Proceso 3 - AI3 Adquirir y mantener infraestructura tecnológica (Diana Sirley
Tapias)
AI3.1 Plan de adquisición de infraestructura tecnológica
AI3.2 Protección y disponibilidad del recurso de infraestructura.
AI3.3 Mantenimiento d la infraestructura.
Objetivo de control
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 15/45
14
El objetivo es proporcionar infraestructura apropiadas para soportar las diferentes aplicaciones
que son necesarias para el desarrollo académico de los estudiantes, mediante la realización de
una evaluación del desempeño del hardware y software, y la compatibilidad entre los dos
elementos, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y
control del software del sistema, de esta manera reducir la frecuencia y el impacto de fallas de
rendimiento.
Departamento de Tecnología e Información - Empresa Avidesa de Occidente
Cuestionario de Control: C1
Dominio Adquisición e implementación AI
Proceso AI3 Adquisición y mantenimiento de la infraestructura tecnológica
Pregunta Si No Observaciones
¿Se cuenta con un inventario de equipos
de cómputo?
5
¿Con cuanta frecuencia se revisa el
inventario?
5 Semanalmente
Si existe inventario, ¿contiene los
siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características (memoria, procesador,
monitor, disco duro)
5 Toda la información está registrada
incluyendo Sistema operativo y ofimática
¿Se lleva una hoja de vida por equipo? 5 No se lleva para todos los equipos
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 16/45
15
¿La hoja de vida del equipo tiene los
siguientes datos?
Numero de hoja de vida
Número del computadorcorrespondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
5 Para los equipos principales, como servidores
¿Se posee un registro de fallas
detectadas en los equipos?
5 Solo en los servidores
¿En el registro de fallas se tiene en
cuenta con los siguientes datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
5
¿Al momento de presentar una falla en
el equipo, la atención que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
5 La atención es inmediata, en caso de no
poderse arreglar en sitio, se coloca un equipo
de contingencia
¿Se cuenta con servicio de
mantenimiento para todos los equipos?
5 Si, en impresoras se hace el mantenimiento
preventivo y soporte de nivel 1, el
mantenimiento especializado se tiene con un
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 17/45
16
proveedor externo
¿Qué tipo de mantenimiento se lleva a
cabo?
Mantenimiento preventivo
Mantenimiento correctivo
5 Ambos
¿Qué tipo de personas pueden instalar y
desinstalar programas en el
computador?
5 Solos el área de sistemas
¿Al finalizar el horario de trabajo, se
hace una revisión de los equipos?
5
¿El personal que se encarga del
mantenimiento es personal capacitado?
5 Personal altamente capacitado y con
experiencia
¿Se lleva un procedimiento para la
adquisición de nuevos equipos?
5 Desde el proceso de cotización, adquisición,
instalación de software y adecuación en el
sitio
¿La infraestructura tecnológica de los
equipos soporta la instalación dediferentes sistemas operativos?
5
¿Son compatibles software y hardware? 5
¿Se tienen criterios de evaluación para
determinar el rendimiento de los
equipos a adquirir y así elegir el mejor?
5 Se cuenta con varias lista de proveedores
Total 70 15
Riesgo C1
Porcentaje de riesgo parcial: (70 * 100) / 51 = 82,35%
Porcentaje de riesgo: 100 - 82,35 = 17,65
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 18/45
17
Impacto según relevancia del proceso: Riesgo Bajo
Análisis de riesgos
Vulnerabilidades.
No existe una hoja de vida donde se registre el historial de cambios o fallas en el software
o hardware de los equipos.
No existe un registro de fallas detectadas por el personal de TI o empelados de otras áreas
en el funcionamiento normal de los equipos.
No se realiza una inspección a los equipos al terminar la jornada laboral.
Amenazas.
Las modificaciones realizadas sobre el software, actualizaciones del sistema operativo
aplicadas o cambios en archivos sensibles del sistema y la reparación o reemplazo de
piezas de hardware no son correctamente documentadas para su posterior consulta por
parte del equipo de TI. Las tareas de soporte y mantenimiento se dificultan
Las fallas no se documentan oportunamente, dificultando la búsqueda de una solución al
no tener datos importantes como las operaciones realizadas antes de presentarse una falla
o conocer el personal a quien se le presento.
Riesgos.
Errores en el sistema ocasionados por cambios en software o hardware, pérdidas
importantes de tiempo buscando las causas de estos errores, se entorpecen las
operaciones diarias de la empresa y se puede presentar inestabilidad en el sistema al
querer instalar nuevo software o actualizaciones que pueden no ser compatibles con
cambios realizados previamente por otro miembro de equipo de TI y quedaron sin
registrar en una hoja de vida.
Los procesos para hallar una solución a las fallas se tardan mucho tiempo, se entorpecen
las otras labores diarias del equipo de TI y se dificulta hacer seguimiento a las soluciones
aplicadas para detectar a tiempo posibles nuevas fallas que afecten el equipo y los
sistemas de la red empresarial.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 19/45
18
Tabla de riesgos
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Errores en el sistema e
inestabilidades difíciles de
resolver al aplicar cambios
que no son registrados en
una hoja de vida
X X
R2 Fallas que son difíciles de
resolver por falta de correcta
documentación
X X
Matriz de probabilidad de impacto
P R O B A B I L
I D A D
Alto
61-100%
R1
Medio
31-60%
R2
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
Guía de prueba
Avidesa De Occidente
ID Guía de Prueba: AI3
Dominio: Adquisición e implementación AI
Proceso Proceso: AI3 Adquisición y mantenimiento de la infraestructura tecnológica
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 20/45
19
Objetivo de Control Sistema de administración de calidad
ID Riesgos Asociados R1,R2
No. Evidencia Descripción
1 Según las respuestas de la encuesta
no se está llevando hoja de vida
para todos los equipos.
Al no llevar un control de calidad de forma organizada,
existirían deficiencias de friabilidad para la empresa y los
clientes.
2 Se realiza registro de fallas solo
para servidores, pero sin seguir un
proceso adecuado para todos los
equipos.
Según lo expuesto no se presenta un control preventivo, para
todos los equipos, lo cual indica que no tienen forma de hacer
mantenimientos preventivos.
3.3. Dominio Entregar Y Dar Soporte DS.
3.3.1. Proceso 4 - DS5 Garantizar la seguridad de los sistemas (Luis Hernando Benítez)
DS5.2 Plan De Seguridad en TI.
DS5.3 Administración de Identidad.
DS5.4 Administración de cuentas de usuario
DS5.9 Prevención, detección y corrección del software malicioso.
Objetivo de control
Administrar, mantener y ejecutar planes de seguridad que permitan al modelo de negocio una
ejecución eficiente, reduciendo al máximo los riesgos y vulnerabilidades en sus sistemas
informáticos, especialmente en el departamento de TI.
A través de una evaluación del contenido y diseño del plan de seguridad en TI y los mecanismos
de identificación, así como la gestión de la seguridad y las cuentas de empleados y visitantes
combinadas con el soporte brindado a toda la empresa por parte de TI en aspectos de prevención
y corrección se busca establecer en qué medida tanto las características como su implementación
cumplen de forma eficaz con las proyecciones y requerimientos de seguridad en la
infraestructura de software y hardware de la empresa Avidesa de Occidente.
Departamento de Tecnología e Información – Avidesa de occidente
Cuestionario de control: C-DS5-1
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 21/45
20
Dominio: Entregar y dar soporte
Proceso: DS5 Garantizar la seguridad de los sistemas
Objetivo de control: Revisión y evaluación del plan de seguridad TI
en la empresa (5.2 Plan de seguridad de TI)
Cuestionario
Pregunta SI NO N.A Observaciones
¿La empresa cuenta con un plan de seguridad en TI? 4
Aspectos del plan de seguridad en TI y Conocimiento por parte del personal
¿Los empleados del área de TI conocen ampliamente
el plan de seguridad en TI?
3
¿El plan de seguridad de TI tiene en cuenta los riesgos
y requisitos de negocio?
4
¿El plan de seguridad de TI tiene en cuenta toda la
infraestructura de hardware?
5 Especialmente en los
servidores
¿El plan de seguridad de TI tiene en cuenta todo el
software sensible utilizado en las operaciones diarias?
4
¿El plan de seguridad de TI considera otros aspectos
de seguridad como el acceso a áreas restringidas?
4 El acceso está restringido
para todo el personal no
autorizado
¿El plan de seguridad de TI es conocido y aplicado por los encargados de la seguridad física?
3
¿Se consideran inversiones en software o hardware
dentro del plan?
4
Revisión del plan de seguridad en TI
¿El plan de seguridad en TI se revisa periódicamente
con el fin de actualizarlo?
3
¿La revisión del plan de seguridad en TI es realizada
por un equipo gerencial en conjunto con encargadosde la seguridad?
5
Ante fallas en la seguridad presentadas fuera de la
revisión ¿Se registra inmediatamente en el plan de
seguridad de TI los nuevos mecanismos de
protección?
4
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 22/45
21
¿Los cambios son comunicados inmediatamente a los
interesados y usuarios?
4
¿El plan de seguridad en TI es accesible para ser
consultado por todos los miembros de la empresa en
algún lugar como internet o dentro de la empresa?
5
Total 42 10
Preguntas complementarias (respuesta libre)
¿Cuándo fue la última vez que se revisó en
conjunto el Plan de seguridad en TI?
La última revisión se realizó abril del 2014
¿Qué aspecto considera que se debe mejorar del
Plan de seguridad en TI?
La divulgación del mismo, el plan es poco conocido
por el personal encargado
¿Cuál es el intervalo de tiempo para revisar el
plan de seguridad en TI?
Debería hacerse anualmente
Riesgo CDS5-1
Porcentaje de Riesgo Parcial: (42*100)/52 = 80.76%
Porcentaje de Riesgo: 100% - 80.76% = 19.74%
Impacto según relevancia del proceso: Riesgo Bajo
Departamento de Tecnología e Información – Avidesa de occidente
Cuestionario de control: CDS5-2
Dominio: Entregar y dar soporte
Proceso: DS5 Garantizar la seguridad de los sistemas
Objetivo de control: Administración de la identidad de usuarios y
accesos a zonas restringidas (DS5.3
Administración de identidad)
Cuestionario
Pregunta SI NO N.A Observaciones
¿Se definen claramente las zonas comunes y las zonas
con solo personal autorizado?
3 Las zonas con ingreso no
autorizado están bien
señaladas
¿Existen mecanismos de identificación en la empresa? 5
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 23/45
22
¿Se tiene una cultura de seguridad, que permita a los
empleados conocer los riesgos de revelar o dejar al
alcance sus datos o tarjetas de acceso?
5 Se dan capacitaciones
constantes sobre este tema
Características de los mecanismos de identificación
¿Se implementan mecanismos de identificación
ideales para abrir puertas y tener acceso a las zonas
restringidas?
5 El acceso está restringido
por llaves y
sistemas de seguridad
¿Se cuenta con mecanismos de autenticación seguros
(inicio de sesión) implementados para acceder a todos
los equipos de software la empresa?
5 Contraseñas encriptadas
¿Los mecanismos de identificación que permiten
acceso a zonas restringidas almacenan un registro de
accesos?
5 Solo por las cámaras de
seguridad
Vigilancia para la identificación
¿Hay cámaras de video que sirven de apoyo para
verificar la identidad de quienes desean acceder a
zonas restringidas?
5 Existen, pero solo para
grabación, no se usan para
verificar el acceso
¿Hay personal de vigilancia en zonas de acceso
restringido?
3
¿Existe personal encargado exclusivamente de estar
atento a las cámaras de seguridad?
4
Total 23 17
Preguntas Complementarias (respuesta libre)
¿Cuáles son los mecanismos de identificación
implementados? (software y hardware)
Biometría y contraseñas
¿Qué zonas considera deben ser las más custodiadas
ante personal no autorizado?
La sala de servidores
¿Considera que esas zonas cuentan con los suficientes
mecanismos para controlar el acceso no autorizado?,
¿Por qué?
Si, para acceder a la sala de servidores se debe
pasar por dos puertas controladas por el personal
de DTI
Cómo empleado del área de seguridad o TI: ¿Que
mejoras implementaría o que áreas considera están
fallando en la identificación de usuarios y control de
Una propuesta presentada es la biometría para
abrir las puertas de acceso restringido, es un
proyecto en proceso
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 24/45
23
acceso?
Riesgo CDS5-2
Porcentaje de Riesgo Parcial: (23*100)/40 = 57.5%Porcentaje de Riesgo: 100% - 57.5% = 42.5%
Impacto según relevancia del proceso: Riesgo Medio
Departamento de Tecnología e Información – Avidesa de occidente
Cuestionario de control: CDS5-3
Dominio: Entregar y dar soporte
Proceso: DS5 Garantizar la seguridad de los sistemas
Objetivo de control: Gestión de las cuentas de usuario, permisos,
emisión de nuevas credenciales y respaldo
(DS5.4 Administración de cuentas de usuario)
Cuestionario
Pregunta SI NO N.A Observaciones
¿La solicitud y generación de cuentas y permisos de
usuario es administrada por organismos de gerencia?
5 Por el área de auditoria
¿La suspensión o eliminación de cuentas de
empleados o personal externo se realiza de forma ágil
y rápida?
5 La eliminación de cuentas
hace parte del paz y salvo
del colaborador retirado
¿El acceso a la creación y gestión de las cuentas de
usuario está bien restringido a personal autorizado y
es necesario la aprobación explícita a través de
mecanismos de autenticación por parte del área de
gerencia?
5 La aprobación se hace por
parte de auditoría interna, y
la gestión se hace por parte
de personal autorizado
¿Cuándo un empleado ya no hace parte de la empresa
su cuenta se suspende o elimina dentro de las
próximas 24 horas siguientes a su desvinculación
laboral?
5
¿Se tienen claramente definidos los permisos
específicos para cada tipo de usuario en aspectos de
5 Todos los permisos están
marcados por perfiles
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 25/45
24
acceso a las funciones del software y el acceso a las
áreas restringidas?
¿Todos los empleados de la empresa están
debidamente registrados en los sistemas de
identificación?
5
¿Se tienen cuentas especiales para casos de
emergencia o visitas autorizadas que permitan el
acceso a determinado software o área restringida por
tiempo determinado?
5
¿Se conserva toda la información de usuarios y
permisos en una base de datos centralizada y segura?
5
¿Las cuentas de usuario y los permisos otorgados son
revisados periódicamente por la gerencia y el personal
de seguridad?
5 Se hacen revisiones por
parte de auditoría interna
¿Se hace un respaldo regular de la base de datos de
usuario y los permisos asignados?
5 Diariamente, varias veces
al día
¿Los permisos otorgados son indicados para cada tipo
de usuario? Es decir ni más ni menos de lo
exclusivamente necesario
5 Correcto los permisos son
asignados por perfiles
Total 50 5
Preguntas Complementarias (respuesta libre)
¿Cuándo se revisaron por última vez todos los
permisos y las cuentas de usuario?
Enero de 2016
¿Cuándo se realizó el ultimo respaldo de las cuentas y
permisos de usuario?
Se hace a diario
¿Alguna vez un empleado ha tenido que pedir a otro
que le dé acceso a un área o funcionalidad que el ya
debería tener habilitada con sus credenciales de
acceso?
Se ha presentado el caso, pero con cada revisión
este evento ocurre con menos frecuencia
¿Se cuenta con planes de contingencia si acaso falla el
hardware de identificación? (lectores de huellas,
lectores de tarjetas, identificación facial)
Si, se tienen equipos de contingencia de cada
equipo
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 26/45
25
Riesgo CDS5-3
Porcentaje de Riesgo Parcial: (50*100)/55 = 90.9%
Porcentaje de Riesgo: 100% - 90.9% = 9.1%
Impacto según relevancia del proceso: Riesgo Bajo
Departamento de Tecnología e Información – Avidesa de occidente
Cuestionario de control: CSD5-4
Dominio: Entregar Y Dar Soporte
Proceso: DS5 Garantizar La Seguridad De Los Sistemas
Objetivo de control: Evaluación de medidas preventivas y correctivas
contra software malicioso (DS5.9 Prevención,
detección y corrección del software malicioso)Cuestionario
Pregunta SI NO N.A Observaciones
¿Los servidores cuentan con software de protección
especialmente diseñado para empresas?
5
¿El software antivirus cuenta con un sistema de
firewall funcional?
5
¿Todos los equipos de la empresa cuentan con
protección antivirus?
5
¿Todo el software antivirus se encuentra actualizado
con las ultimas firmas de seguridad?
5
¿Los dispositivos móviles como Smartphones de
carácter empresarial también cuentan con protección
antivirus?
5
¿Se cuenta con una clara política acerca de los
dispositivos y medios de almacenamiento externo que
pueden ser conectados a los equipos?
5
¿Se realizan análisis de virus en todos los equipos de
manera regular y constante?
5 Diariamente
¿Todos los equipos se encuentran actualizados con los
últimos parches del proveedor del Sistema Operativo?
5 Algunos equipos aun
cuentan con Windows XP
¿El software de terceros se encuentra actualizado? 5 Solo se cuenta con tres
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 27/45
26
software de terceros y estos
están actualizados al día
¿Se realizan inspecciones generales de forma
periódica y constante teniendo en cuenta análisis de
virus, revisión de actualizaciones de sistema y
aplicaciones?
5
¿Se ha educado a los usuarios sobre las normas
básicas para evitar infecciones por virus en los
equipos empresariales?
5
Totales 45 10
Preguntas Complementarias (respuesta libre)
¿Cada cuánto tiempo se realizan análisis de virus en
toda la empresa?
El usuario lo hace diariamente, y DTI
semanalmente
¿Cada cuánto tiempo el personal encargarlo realiza
una inspección general de todos los sistemas?
Mensualmente
¿El software antivirus instalado en los equipos de la
empresa es gratuito o licenciado?
Ambos
Riesgo CDS5-4
Porcentaje de Riesgo Parcial: (45*100)/55 = 81.8%Porcentaje de Riesgo: 100% - 81.8% = 18.2%
Impacto según relevancia del proceso: Riesgo Bajo
Análisis de riesgos
Vulnerabilidades
El plan de seguridad de TI no está siendo desarrollado en conjunto con la gerencia y los
departamentos de seguridad informática.
El plan de seguridad de TI no está disponible en ningún lugar accesible por los miembros
de la empresa (internet o áreas comunes).
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 28/45
27
El plan de seguridad de TI no ha sido revisado desde el año 2014 (dos años sin
revisiones)
No se almacena un historial de los accesos con credenciales a áreas restringidas.
No existe vigilancia permanente de las cámaras de seguridad.
No existe personal de vigilancia en zonas de acceso restringido.
No existen cuentas especiales para visitas autorizadas.
No se implementa ningún tipo de seguridad en Smartphones de carácter empresarial.
Existen equipos con sistemas operativos desfasados.
Existen antivirus gratuitos en equipos empresariales
Amenazas
Aspectos e ítems importantes sobre los requerimientos del modelo de negocio, planes de
crecimiento, adquisición y de personal que no son oportunamente reflejados en el plan de
seguridad de TI.
Desconocimiento del plan de seguridad de TI por parte de empleados que manejan
información, datos y permisos sensibles para el modelo de negocio de la empresa.
Plan de seguridad desactualizado, aumentando la probabilidad de ocurrencia de riesgos
negativos para la empresa.
No se tiene detalle de cuales fueron exactamente las credenciales (combinación de
usuario y contraseña o tarjeta de seguridad) y la hora en la que se accedió a determinada
zona o abrió una puerta
Imposibilidad de tomar medidas de contingencia y seguridad cuando se detectan intrusosen el área restringida al no existir vigilancia en tiempo real de las cámaras.
Intrusos, software espía y código malicioso ejecutándose en Smartphones con acceso a la
red empresarial y a los archivos sensibles.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 29/45
28
Equipos desactualizados vulnerables a virus, intrusos, fallos comunes del sistema,
inestabilidad, falta de compatibilidad con el nuevo software/hardware y agujeros muy
graves de seguridad.
Protección ante virus insuficiente, red y datos más vulnerables que otros equipos con
antivirus de pago, agujeros de seguridad en la red empresarial.
Riesgos
Procesos de adquisición de equipos y cambios en los requerimientos de negocio que se
presentan de manera desarticulada con el plan de seguridad en TI generando
complicaciones en el área y afectaciones en las labores de manera temporal.
Mal manejo de información por parte de los empleados, datos de acceso o archivossensibles manejado sin las normas de seguridad básicas contempladas en el plan de
seguridad de TI, acciones que representan fallas de seguridad y permiten el acceso de
intrusos a la información de la empresa.
Fallas en la seguridad que no han sido solucionadas y consignadas en los últimos años en
el plan de seguridad de TI, intrusos, espías con intenciones maliciosas pueden
aprovecharlo y extraer información o causar daños en los sistemas de TI.
Personas ajenas a la empresa ingresando con credenciales de empleados (suplantación)
con fines maliciosos para realizar hurtos de equipos o información de la empresa, los
procesos de investigación ante eventualidades se dificultan al no tener información de
acceso concreta.
Personas ajenas a la empresa o al área restringida pueden forcejar cerraduras, intentar
alterar sistemas de acceso o realizar hurtos ante un descuido de los empleados dado que
no existe vigilancia por cámara ni ningún personal de seguridad en estas áreas.
Agujeros de seguridad, malware, software espía que son aprovechados por personas
inescrupulosas que los instalan en los dispositivos móviles de empleados para extraer
información, arruinar los sistemas, obtener datos específicos de identidad de clientes y
números de cuenta que son fácilmente accesibles por conexiones WiFi de los dispositivos
móviles infectados a los servidores.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 30/45
29
Intrusos que acceden a la red desde equipos con sistemas operativos desactualizados,
virus y malware abundante que ataca a equipos desactualizados causando daños a la
información, fallas de estabilidad y problemas de compatibilidad que entorpecen las
tareas diarias.
Virus, spyware, Keyloggers, seguridad firewall fácilmente vulnerable y protección de
antivirus ineficaz, las herramientas antivirus gratuitas son mucho menos eficientes y
útiles que una de pago especializada en equipos de empresa.
Tabla de riesgos
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Procesos internos en la
empresa en desarticulación
con el plan de seguridad de TI
X X
R2 Malos prácticas de seguridad
por parte de empleados al
desconocer en plan d
seguridad en TI
X X
R3 Fallas de seguridad conocidas
y aprovechadas por intrusos
por desactualización del plan
de seguridad en TI
X X
R4 Ingresos a equipos y zonas
restringidas mediante
suplantación
X X
R5 Forcejeo de cerraduras e
intentos de saboteo en zonas
sin vigilancia
X X
R6 Smartphones infectados con
acceso a la red empresarial
X X
R7 Sistemas operativos
desactualizados con agujeros
X X
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 31/45
30
graves de seguridad y puertas
a intrusos
R8 Antivirus poco eficientes
fácilmente vulnerables por
intrusos
X X
Matriz probabilidad de impacto
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso.
P R O B A B I L I D A D
Alto
61-100%
R1 R2 R6,R7
Medio
31-60%
R3,R8
Bajo
0-30%
R4 R5
Leve Moderado Catastrófico
IMPACTO
Guías de pruebas
Avidesa De Occidente
ID Guía de Prueba: GP-DS5-1
Dominio: Entregar y Dar Soporte
Proceso Proceso: Garantizar la seguridad de los sistemas DS5Objetivo de Control - DS5.2 Plan de seguridad de TI
ID Riesgos Asociados R1,R2,R3
No. Evidencia Descripción
1 Según el cuestionario C-DS5-1 el
plan de seguridad TI no se realiza
Al no realizar un plan de seguridad de TI de forma articulada
con la gerencia se presenta una desarticulación que puede
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 32/45
31
en conjunto con personal de
gerencia
resultar entorpeciendo los procesos de seguridad más adelante.
Por ejemplo compra de nuevos equipos o sistemas de
detección, entre otros.
2 No se realiza una revisión del plan
de seguridad en TI desde el año
2014 (cuestionario C-DS5-1
pregunta abierta)
La revisión del plan de seguridad en Ti es importante para
mantener un nivel óptimo de seguridad en el área de TI y en
general en toda la empresa, no revisarlo en largos periodos de
tiempo deja fallas de seguridad sin documentarse y
comunicarse de manera eficaz
3 Según el cuestionario C-DS5-1 el
plan de seguridad de TI no es
accesible por los empleados
No se evidencia un plan para difundir ampliamente y de
manera constante el plan de seguridad de TI entre los
empleados.
Avidesa De Occidente
ID Guía de Prueba: GP-DS5-2
Dominio: Entregar y Dar Soporte
Proceso Proceso: Garantizar la seguridad de los sistemas DS5
Objetivo de Control - DS5.3 Administración de identidad
- DS5.4 Administración de cuentas de usuario
ID Riesgos Asociados R4,R5
No. Evidencia Descripción1 Según el cuestionario C-DS5-2 no
se cuenta con un historial de
accesos
Solo las cámaras de seguridad hacen un registro parcial de
quienes acceden a las zonas restringidas previa autenticación,
sin embargo no se almacena cuales credenciales fueron
ingresadas
2 No hay un centro de vigilancia Las cámaras de seguridad solo son para la grabación, nadie las
vigila en tiempo real.
3 El sistema Biometrico aún no se
implementa totalmente
Se evidencia la existencia de zonas sin mecanismos para
acceso biométrico, estas deben implementarse rápidamente.4 No hay cuentas especiales para
casos de visitas
Para caso especiales como visitas por parte de auditores u
organismos de vigilancia no se tienen cuentas asignadas, se
otorga acceso con credenciales de empleados
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 33/45
32
Avidesa De Occidente
ID Guía de Prueba: GP-DS5-3
Dominio: Entregar y Dar Soporte
Proceso Proceso: Garantizar la seguridad de los sistemas DS5
Objetivo de Control- DS5.9 Prevención, detección y corrección del software malicioso
ID Riesgos Asociados R6,R7,R8
No. Evidencia Descripción
1 Dispositivos móviles sin
protección antivirus o cifrado
(cuestionario CSDS5-4)
Los dispositivos móviles son vulnerables y al conectarse a la
red empresarial crean agujeros de seguridad para toda la
infraestructura de Avidesa de Occidente
2 Equipos con Windows XP (año
2001)
Microsoft termino con el soporte a este SO, muchos programas
también, su utilización representa un gran riesgo para la
seguridad de los sistemas
3 Antivirus gratuitos en equipos
empresariales
La protección ofrecida por antivirus gratuitos es limitada, se
requiere protección profesional.
3.3.2. Proceso 5 - DS12 Administración del ambiente físico (Viviana Stefany González)
DS12.2 Medidas de seguridad físico.
DS12.3 Acceso controlado a locales.
DS12.4 Protección contra factores ambientales.
Objetivo de control
Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de DTI contra
los peligros naturales (fuego, polvo, calor excesivo) o fallas humanas, con la instalación de
controles físicos y ambientales y el control de acceso a personal no autorizado al departamento.
Departamento de Tecnología e Información - Empresa Avidesa de Occidente
Cuestionario de Control: DS12 - C1
Dominio Entregar y dar soporte DS
Proceso DS12: Administración del ambiente físico
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 34/45
33
Objetivo de control: Control de acceso a personal, protección del ambiente físico y medidas de
seguridad físicas (DS12.2 Medidas de seguridad físico, DS12.3 Acceso
controlado a locales, DS12.4 Protección contra factores ambientales.)
Pregunta Si No Observaciones
¿El departamento cuenta con acceso
restringido para el personal?
5 El ingreso solo es permitido desde dentro
del departamento
¿Existen cámaras de seguridad dentro del
departamento?
5 Vigilando la entrada y el cuarto de
servidores
¿Cuenta el departamento de DTI con un
sistema contra incendios?
5 Es vigilado por el departamento de salud
ocupacional
¿Dentro del departamento se cuenta consistemas como lo son detectores de humo,
alarmas u otro tipo de sensores?
5 Detectores de humo, alarmas detemperatura en el cuarto de servidores
¿Se tienen medios adecuados para la
extinción de fuego en los centros de
cómputo?
5 Extintores para sistemas eléctricos
¿Se ha presentado frecuentemente un
apagón de energía?
4 Es muy esporádico y se cuenta con un
sistema de planta eléctrica, para dartiempo de apagar los equipos
correctamente
¿Se tienen sistemas de seguridad para
evitar que se sustraigan los equipos de las
instalaciones?
5 Se cuenta con vigilancia por cámaras y
personal
¿El cableado eléctrico se encuentra a la
vista del personal?
4
¿Se hace uso de un sistema de ventilación? 4 Aire acondicionado
¿Existen prohibiciones para fumar,
consumir alimentos y bebidas?
4 Estas prácticas están prohibidas en todas
las oficinas
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 35/45
34
¿Existen cajas o caja de breakers de los
circuitos en el departamento?
5
Total 43 8
Riesgo DS12 - C1
Porcentaje de riesgo parcial: (43 * 100) / 51 = 84,31%
Porcentaje de riesgo: 100 – 84,31 = 15,69%
Impacto según relevancia del proceso: Riesgo Bajo
Departamento de Tecnología e Información - Empresa Avidesa de Occidente
Cuestionario de Control: DS12 - C2
Dominio Entregar y dar soporte DS
Proceso DS12: Administración del ambiente físico
Objetivo de control Escolta de visitantes (DS12.3 Acceso controlado a locales)
Pregunta Si No Observaciones
¿Las instalaciones del departamentofueron diseñadas o adaptadas
específicamente para funcionar como un
centro de cómputo?
4 La estructura física no fue diseñada para este propósito
¿Se tiene una distribución del espacio
adecuada, de forma tal que facilite el
trabajo y no existan distracciones?
4 Las oficinas están bien distribuidas por áreas
de trabajo.
¿Existen lugares de acceso restringido? 5 Cuartos de servidores, oficinas de gerencia,cuartos con materiales de manejo complicado
¿Se cuenta con sistemas de seguridad
para impedir el paso a lugares de acceso
restringido?
5 Bloqueos en puertas
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 36/45
35
¿Existen señalizaciones adecuadas en
las salidas de emergencia y se tienen
establecidas rutas de evacuación?
5 Manejados por el departamento de salud
ocupacional y la brigada de rescate
¿Se cuenta con iluminación adecuada y
con iluminación de emergencia en casos
de contingencia?
4 Plantas eléctricas
¿Se tienen sistemas de seguridad para
evitar que se sustraiga equipo de las
instalaciones?
4 Se cuenta con vigilancia por cámaras y
personal
¿Se cuenta con suficientes carteles en
lugares visibles que recuerdan estas
prohibiciones?
3 Existen pocos
¿Con cuanta frecuencia se limpian las
instalaciones?
4 Diariamente
Total 31 7
Riesgo DS12 - C2
Porcentaje de riesgo parcial: (31 * 100) / 38 = 81,57%
Porcentaje de riesgo: 100 – 81,57 = 18,43%
Impacto según relevancia del proceso: Riesgo Bajo
Departamento de Tecnología e Información - Empresa Avidesa de Occidente
Cuestionario de Control: DS12 - C3
Dominio Entregar y dar soporte DS
Proceso DS12: Administración del ambiente físico
Objetivo de control Controles ambientales, suministro ininterrumpido de energía (DS12.2 Medidas
de seguridad físico, DS12.4 Protección contra factores ambientales)
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 37/45
36
Pregunta Si No Observaciones
¿Se cuenta con instalación con tierra
física para todos los equipos?
5 Para todos los equipos
¿La instalación eléctrica se realizóespecíficamente para el centro de
cómputo?
4 La instalación eléctrica se hizo pensando enla planta de producción
¿El tablero de distribución está en la
sala, visible y accesible?
5 No se encuentra visible
¿El tablero considera espacio para
futuras ampliaciones de hasta de un
30% (Considerando que se dispone deespacio físico para la instalación de más
equipos)?
4 Se consideran futuras ampliaciones tanto de
la planta como de las oficinas
¿Los ventiladores y aire acondicionado
están conectados en la misma
instalación de los equipos a la planta de
emergencia?
4 La planta de emergencia es únicamente para
los equipos
¿Se cuenta con interruptores generales? 5
¿Se tienen protecciones contra corto
circuito?
5 Sistema regulado
¿Se tiene implementado algún tipo de
equipo de energía auxiliar?
5 Plantas eléctricas
¿Se cuenta con planta de emergencia? 5
¿Se tienen conectadas algunas lámparasdel centro de cómputo a la planta de
emergencia?
4 Solo equipos de cómputo
Total 29 17
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 38/45
37
Riesgo DS12 - C3
Porcentaje de riesgo parcial: (29 * 100) / 46 = 63,04%
Porcentaje de riesgo: 100 – 63,04 = 36,96%
Impacto según relevancia del proceso: Riesgo Medio
Análisis de riesgos
Para el listado de riesgos que se enumerarán a continuación se realizó primeramente los
respectivos cuestionarios para que el compañero que trabaja en la empresa las pudiera responder
teniendo en cuenta las visitas a las instalaciones de la empresa y por supuesto lo que él ha
observado sobre todo en la parte de informática.
Vulnerabilidades
Las instalaciones del departamento (espacio físico e instalaciones eléctricas) no fueron
diseñadas o adaptadas específicamente para funcionar como un centro de cómputo.
Insuficiencia de carteles en lugares visibles que recuerden que no se pueden sustraer
equipos de las instalaciones.
El tablero de distribución no se encuentra visible ni accesible.
Amenazas
Fallo del cableado en el departamento y/o existencia de espacios no aptos para los
computadores y servidores.
Sustracción de equipos de cómputo sin autorización dentro del departamento.
Falla de la parte eléctrica en el departamento y posibles daños internos en los equipos de
cómputo
Fallo en los dispositivos de conexión, control, maniobra, protección, medida,
señalización y distribución de los circuitos eléctricos del departamento.Riesgos
Daños en la parte física y lógica del computador y una inadecuada distribución de los
equipos de cómputo en el lugar.
Robos de los equipos de cómputo del departamento.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 39/45
38
Ocurrencia de apagones forzados a pesar de contar con una planta externa los cuales
pueden causar daños en los equipos de cómputo.
Fallos en las instalaciones eléctricas del departamento y asistencia no inmediata por la no
accesibilidad del tablero.
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Daños en la parte física y
lógica del computador y
una inadecuada distribución
de los equipos de cómputo
en el lugar.
X X
R2 Robos de los equipos de
cómputo del departamento.
X X
R3 Ocurrencia de apagones
forzados a pesar de contar
con una planta externa los
cuales pueden causar daños
en los equipos de cómputo.
X X
R4 Fallos en las instalaciones
eléctricas del departamentoy asistencia no inmediata
por la no accesibilidad del
tablero
X X
Matriz probabilidad de impacto
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 40/45
39
P R O B A B I L I D A D
Alto
61-100%
Medio
31-60%
R3, R4 R1
Bajo
0-30%
R2
Leve Moderado Catastrófico
IMPACTO
Avidesa De Occidente
ID Guía de Prueba: GP-DS12-1
Dominio: Entregar y dar soporte
Proceso Proceso: Administración del ambiente físico DS12
Objetivo de Control - DS12.2 Medidas de seguridad físico.
- DS12.4 Protección contra factores ambientales.
ID Riesgos Asociados R1, R3, R4
No. Evidencia Descripción
1 Según el cuestionario DS12-C2
las instalaciones no fueron
diseñadas para trabajar como
centro de cómputo
Las instalaciones fueron diseñadas para trabajar como otro
centro y no de cómputo lo que podría ocasionar daños en la
estructura física y lógica del computador por una inadecuada
distribución de los equipos de cómputo en el lugar.
2 Según el cuestionario DS12-C3
las instalaciones eléctricas no se
realizaron específicamente para el
centro de cómputo
La parte de instalaciones eléctricas se hizo pensando solamente
en la planta de producción en la cual puede que existan
apagones forzados a pesar de contar con una planta externa los
cuales pueden causar daños en los equipos de cómputo.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 41/45
40
3 El tablero de distribución no está
en la sala, visible y accesible
Este tablero no se encuentra visible por lo tanto se hace
imposible acceder a él. Pueden causar daños los dispositivos
de conexión, control, maniobra, protección, medida,
señalización y distribución de los circuitos eléctricos del
departamento por supuesto fallos en las instalaciones eléctricasdel departamento y asistencia no inmediata por la no
accesibilidad este
Avidesa De Occidente
ID Guía de Prueba: GP-DS12-1
Dominio: Entregar y dar soporte
Proceso Proceso: Administración del ambiente físico DS12
Objetivo de Control - DS12.3 Acceso controlado a locales.
ID Riesgos Asociados R2
No. Evidencia Descripción
1 Según el cuestionario DS12-C2 no
se cuenta con suficientes cartelesen lugares visibles que recuerdan
la prohibición para evitar que se
sustraiga equipo de las
instalaciones
Los carteles de restricción en el departamento son muy pocos y
pueden causar el robo de equipos de cómputo sin autorizacióndentro del departamento
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 42/45
41
Conclusiones
La auditoria es la indicada para evaluar de manera profunda, una determinada organización a
través de su sistema de información, de aquí su importancia y relevancia.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrónico. También debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la información necesaria para auditar.
La auditoria de sistemas está dirigida a evaluar los sistemas y procedimientos de uso en una
empresa, con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el
sistema de procesamiento de información como parte de la evaluación de control interno; así
como para identificar aspectos susceptibles de mejorarse o eliminarse.
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 43/45
42
Referencias
COBIT 4.1. (2007). IT Governance Institute. Recuperado el 20 de Febrero de 2016, de
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Muñoz Razo, C. (2002). Auditoria en sistemas computacionales. Mexico: Pearson Educación.
Recuperado el 14 de Febrero de 2016, de
http://www.academia.edu/7123101/Auditoria_en_Sistemas_Computacionales
8/17/2019 tc2 auditoria de sistemas
http://slidepdf.com/reader/full/tc2-auditoria-de-sistemas 44/45
43
Anexos