Académique Documents
Professionnel Documents
Culture Documents
Presentado a: Francisco
Nicolas Solarte Auditoria
de Sistemas Grupo:
90168_29
OBJETIVOS ESPECFICOS:
ENTIDAD PAGINA
Alcalda de Sevilla
AUDITADA 1 DE 1
PROCESO
Software Aplicativo
AUDITADO
RESPONSABLE Javier Andrs Castaeda Hernndez
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e Implementar (AI)
PROCESO AI2 Adquirir y Mantener Software Aplicativo:
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Actualizar
documento sobre
Verificar la el manejo del
Existencia de los software
Documentos que den aplicativo.
documentos
constancia del requeridos para la
software aplicativo. auditora. Medir los
conocimientos del
Entrevista con la Entrevista sobre los personal
persona encargada del software encargado del
soporte Tecnolgico. aplicativos con los manejo del
que cuenta la software
Alcalda.
Ver los Software Realizar pruebas
aplicativos con los que Revisin de los
Software sobre los riesgos
cuenta la Alcalda de que pueden
Aplicativos sus
Sevilla ocasionar estos
licencias y
actualizaciones. software a la
Alcalda de
Sevilla.
5
AUDITOR RESPONSABLE:
Javier Andrs Castaeda Hernndez
1.1 Entrevista.
ENTREVISTA
Cree que cuentan con el software necesario Si, el software que se utiliza es el
2
para llevar a cabo las tareas solicitadas? apropiado para realizar las tareas
necesarias en cada proceso.
Existe un anlisis entre diferentes software Si, cada software fue analizado
4 aplicativo, como costo, funciones, soporte y antes de adquirirlo observando sus
consultora? funciones, costos y uso que se
realizar para cada proceso
OCTAVIO ENRIQUE FONG
Entrevistado: Contratista enlace TIC municipio
de Sevilla Valle
6
1.2 3.2 Lista chequeo: Definir un Plan Estratgico de TI
LISTA CHEQUEO
AI2 ADQUIRIR Y
ADQUIRIR E MANTENER
DOMINIO PROCESO SOFTWARE
IMPLEMENTAR (AI)
APLICATIVO.
conforme
N ASPECTO EVALUADO Observacin
SI NO
El documento se
encuentra
El documento del software aplicativo se desactualizado por
1 x
encuentra actualizado? falta de capacitacin
para realizar el
proceso.
Mucho Software no se
El software aplicativo se encuentra con todas encuentra actualizado y
3 x
las actualizaciones necesarias? mucho no se encuentra
licenciado.
Entidad pagina
Alcalda de Sevilla
auditada 1 1
proceso
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.
auditado
Responsable Javier Andrs Castaeda Hernndez
Material de COBIT 4.1
soporte
Adquirir e AI2 Adquirir y Mantener
Dominio proceso
Implementar (AI) Software Aplicativo.
N pregunta SI NO NA REF
Se aplica una capacitacin para el uso del
1 5
software aplicativo de cada proceso?
Cunto demora la Solucin en un dao de
2 software? 4 de 1 a 5 das
Inmediata
Perdida de datos
Uso de software que no Manipulacin
esenciales para el
5 cuenta con soportes por parte de
funcionamiento de la
tcnico. terceros
empresa
Probabilidad Impacto
N Descripcin
Baja Media Alta Leve Moderado Catastrfico
R1 Clonacin o Robo
x x
de Informacin
Daos en Los
R2 x x
Documentos
Falta de soporte en
R3 x x
caso de algn fallo
Perdida de datos
esenciales para el
R4 x x
funcionamiento de
la empresa
Ausencia de
licencias en
R5 x x
sistemas de
monitoreo
Amenazas de virus
y personas
R6 externas x x
manipulacin
archivos
10
Alto
R5 R3,R6
61-100%
PROBABILIDAD
Medio
R1,R2
31-60%
Bajo
R4
0-30%
ENTIDAD PAGINA
Alcalda de Sevilla Valle del Cauca
AUDITADA 1 DE 1
PROCESO
Funcionamiento del aspecto fsico de la red de datos
AUDITADO
RESPONSABLE Juan Camilo Castro Medina
MATERIAL DE
COBIT
SOPORTE
DOMINIO Entregar y dar soporte (DS)
PROCESO Garantizar la continuidad del servicio
AUDITOR RESPONSABLE:
ENTREVISTA
Empresa Alcaldia de Sevilla Valle Proceso Garantizar la continuidad
auditada del Cauca auditado del servicio
Responsable Juan Camilo Castro Medina
DS4: Garantizar la
DOMINIO Entregar y dar soporte (DS) PROCESO
continuidad del servicio
OBJETIVO DE CONTROL
N CUESTIONARIO RESPUESTA
Respecto al manejo y control del Porque muchas de las personas que
personal Por qu hay ausencia en la trabajan en la alcalda son contratistas y el
socializacin y capacitacin del personal lo cambian constantemente.
1 personal con relacin a los sistemas
de informacin que se administran
en la entidad?
Existen procedimientos o procesos Cada oficina o secretaria de la alcalda de
de creacin de copias de seguridad Sevilla tiene la responsabilidad de
de la informacin? resguardar la informacin no hay poltica
2 o seguimiento a las copias de seguridad de
la informacin.
13
Qu nivel de conocimientos tiene Poseemos conocimiento necesario para
para aplicar los planes para realizar procesos de recuperacin con
recuperacin de la informacin, si software gratuito no somos s especialistas
los hay? en estos temas ya que muchas veces se
3 articulan estos con las entidades
departamentales y nacionales que se
encargan de administrar y dar soporte de
manera peridica a los municipios con
respecto a los sistemas de informacin.
Lleva un registro de los visitantes No, en la sede administrativa, no hay un
en las reas de restringidas o acceso registro de los visitantes que estn en las
no autorizado? instalaciones y el servidor se encuentra en
4
la secretaria de hacienda donde hay acceso
al a comunidad tambin.
LISTA CHEQUEO
Entregar y dar soporte DS4. Garantizar la
DOMINIO PROCESO
(DS) continuidad del servicio
OBJETIVO DE CONTROL DS4.2. Planes de continuidad TI:
CONFOR
N ASPECTO EVALUADO ME OBSERVACIN
SI NO
14
Se cuentan con pautas y
procedimientos de manera
Se cuenta con un plan de articulada con los entes
1 X departamentales y
contingencia en caso de desastres?
nacionales como lo son las
mesas de ayuda
Se han definido roles y
responsabilidades dentro del cuida de
2 X
la buena administracin de la
informacin?
OBJETIVO DE
DS4.3 Recursos crticos de TI
CONTROL
Existe sistema de polticas y
1 procedimientos de seguridad de la X
informacin?
El Resultado obtenido indica que el riesgo es bajo, de igual manera se deben realizar
diferente mejoras y supervisin a diferentes procesos con el fin que la administracin y
actualizacin de la informacin no tenga percances dentro del ente territorial.
16
ANLISIS DE RIESGOS
Proceso CobIT seleccionado realizado por Juan Camilo Castro Medina.
Empresa: Alcalda de Sevilla Valle
RIESGOS:
1. La informacin contenida en los sistemas de informacin de la alcalda se puede
perder al carecer de polticas de aseguramiento a travs de copias de respaldo de la
informacin.
2. Se debe fortalecer la creacin y socializacin de un sistema de gestin de la
seguridad de la informacin SGSI.
3. Falta de actualizacin y configuracin adecuada del equipo servidor por parte del
personal del rea de sistemas.
4. No se realiza un proceso de auditora a la seguridad informtica.
5. Prdida de informacin o el dao de los documentos generados.
6. Perdida de informacin por no realizar adecuadamente las copias de seguridad.
7. No hay un plan de contingencia con un segundo servidor de respaldo,
vulnerabilidad del servidor frente a usuarios y personal no autorizado.
8. Posible prdida en la trasmisin de algunos paquetes de datos.
9. Se puede ocasionar daos de carcter elctrico en los equipos de cmputo como
sobre cargas y cortos elctricos.
IMPACTO
17
R4 No se realiza un proceso de X X
auditora a la seguridad
informtica.
R5 Prdida de informacin o el X X
dao de los documentos
generados.
R6 Perdida de informacin por X X
no realizar adecuadamente
las copias de seguridad.
R7 No hay un plan de X X
contingencia con un segundo
servidor de respaldo,
vulnerabilidad del servidor
frente a usuarios y personal
no autorizado.
R8 Posible prdida en la X X
trasmisin de algunos
paquetes de datos.
18
R9 Se puede ocasionar daos de X X
carcter elctrico en los
equipos de cmputo como
sobre cargas y cortos
elctricos.
R7 R1,R3,R4,R6
Alto
61-100%
Medio R2,R9 R5
31-60%
PROBABILIDAD
Bajo R8
0-30%
Leve Moderado Catastrfico
IMPACTO
REF
HALLAZGO
DESCRIPCIN:
En la alcalda de Sevilla valle del cauca, la poltica de seguridad informtica no est en
su totalidad aplicada, faltan ms actualizaciones y configuracin por parte del sistema de
gestin del ente territorial, para ser ejecutada en el rea de sistemas.
Los empleados del rea de sistemas carecen de un correcto conocimiento en el tema de
seguridad informtica y manejo del software.
Las copias de seguridad de las bases de datos se realizan por empresas privadas y los
funcionarios como tambin contratistas no realizan este proceso.
CONSECUENCIAS:
Perdida de informacin que pueden acarrear sanciones.
Mala administracin de los sistemas de informacin.
Vulnerabilidad a ataques informticos.
Omisin de procesos administrativos por parte del personal
RIESGO:
La probabilidad de ocurrencia est clasificada en alto
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Definir de forma clara cuales son las polticas de seguridad de la informacin que deben
seguir los usuarios del rea de sistemas, de acuerdo al uso que se haga del mismo.
Realizar capacitaciones trimestrales, para socializar las polticas de la seguridad
informtica definidas para cada tipo de usuario que acceden al sistema y de las
actualizaciones para un mejor manejo del software.
Se deben realizar copias de seguridad peridicas de la informacin administrada y de los
sistemas de gestin que se utiliza en el ente territorial.
20
Fuentes de conocimiento: AI3 Adquirir y Mantener Infraestructura Tecnolgica:
Realizado Por Eduard Aristizabal
ENTIDAD PAGINA
Alcalda de Sevilla
AUDITADA 1 DE 1
PROCESO Administracin de la informacin
AUDITADO
RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e implementar
PROCESO AI3 Adquirir y Mantener Infraestructura Tecnolgica:
AUDITOR RESPONSABLE:
Eduard Aristizabal
22
LISTA DE CHEQUEO
LUGAR ALCALDIA DE SEVILLA
CODIGO FORM_CHK_001
FECHA 30 OCTUBRE DEL 2017
REALIZADO Eduard Fernando Aristizabal Giraldo
POR
CUMPLE
ITEM
SI PARCIALMENTE NO
AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
El plan de adquisicin tecnolgica se alinea con el plan de
X
infraestructura tecnolgica
AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
. El plan considera extensiones futuras para adiciones de
capacidad, costos de transicin, riesgos tecnolgicos y vida til X
de la inversin para actualizaciones de tecnologa
. Se reducen costos al racionalizar y estandarizar los componentes
X
de la infraestructura y con el uso de la automatizacin.
AI3.3 Mantenimiento de la infraestructura
Se estableci un plan para adquirir y dar mantenimiento a la
X
infraestructura tecnolgica
Se desarrollo una estrategia y un plan de mantenimiento de la
X
infraestructura y de control de los cambios
El proceso de adquisicin y mantenimiento de la infraestructura
tecnolgica est estrechamente en lnea con las aplicaciones
X
crticas del negocio.
ENTREVISTA
ENTIDAD ALCALDIA DE SEVILLA VALLE PAGINA
AUDITADA 1 D 1
E
OBJETIVO
AUDITORA
RESPONSABLE Eduard Fernando Aristizabal
MATERIAL DE SOPORTE COBIT AI3 Adquirir y Mantener Infraestructura
Tecnolgica:
DOMINIO Adquirir e implementar PROCESO
Entrevistado Cargo
Octavio Enrique Fong Contratista enlace TIC
Cuestionario Respuesta
Defina brevemente el plan de En la organizacin se busca tener una red donde se
infraestructura tecnolgica establecido puedan conectar todos los equipos a la red, cada
en la organizacin? uno tenga una red elctrica regulada que proteja los
equipos
Qu medidas se utilizan para el control En la organizacin se encuentran con control
interno y de seguridad de la acceso de huella y solo entra personal autorizado a
infraestructura? los cuartos de telecomunicaciones y los servidores
Entrevistado Cargo
Octavio Enrique Fong Contratista enlace TIC
Cuestionario Respuesta
Todo el personal est capacitado con todo el personal de sistemas est capacitado y tiene
respecto al uso de los diferentes los conocimientos para el manejo de la
componentes de la infraestructura infraestructura como son hardware y software
tecnolgica? Se consideran posibles tenindose la necesidad l capacitara a los usuarios
cuando sea necesario
24
capacitaciones para el personal en caso
ser necesario
Las acciones que se toman frente a cualquier
Qu acciones se toman frente a eventualidad realizando backup diariamente en los
eventualidades que afecten la servidores y en la nube de toda la informacion que
infraestructura tecnolgica? se maneja
Qu mtodo de estandarizacin de los Mediante manual de mantenimientos y manejo de
componentes de infraestructura los componentes de la empresa
tecnolgica se utiliza en la organizacin?
R8 Instalacin de X X
programas no
deseados, robo de
informacin
R9 Manipulacin de los
dispositivos personal X X
ajeno a sistemas
R10 Proteccin elctrica X X
(ups, red regulada)
R11 Respuesta ante alguna X X
falla de los
dispositivos
Matriz de Riesgos
Medio
31-60% R2, R3, R6 R6, R11
Bajo
0-30% R1, R5, R10 R7, R8, R9
IMPACTO
Zona de Zona de
riesgo Riesgo
Leve,
Zona de Moderado
riesgo
29
Tabla Hallazgos
REF
HALLAZGO 1
DESCRIPCIN:
Equipos de la infraestructura tecnolgica de la empresa obsoletos presentan
fallas constantes (switch y equipos de cmputo)
CONSECUENCIAS:
Atraso en las tareas de los usuarios
Perdida de informacion
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado
30
RECOMENDACIONES:
Actualizar y realizar el cambio de los equipos que llegaron a su vida til o repararlos
segn sea necesario
REF
HALLAZGO 2
PROCESO PGINA
Adquirir e implementar
AUDITADO 1 DE 1
RESPONSABLE Eduard Aristizabal
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:
DESCRIPCIN:
Se evidencia que el servidor en el cual se almacena el sistema de informacin
que a hoy suple las necesidades de la empresa, se encuentran tambin otros 2
sistemas de informacin los cuales son una ERP y un sistema nuevo que a hoy
se encuentra en pruebas, por ende, se ven afectadas algunas operaciones que se
realizan en estos, continuas cadas de los sistemas y una muy pobre rapidez en
el manejo de estos.
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Distribuir los sistemas de informacin en los diferentes servidores asignados al
rea de informtica.
Comprar ms espacio de almacenamiento para cada uno de los servidores.
Asignar un servidor de pruebas para almacenar all los sistemas que se estn
desarrollando.
REF
HALLAZGO 3
DESCRIPCIN:
No se cuenta con un personal directamente encargado de las reas de
informtica, tanto de los servidores y salas de trabajo como tambin de la sala
en la que se encuentran todas las reservas de piezas y partes relacionadas con el
hardware, por ende, se puede dar paso a que all se encuentren personas no
autorizadas y peor an personal no perteneciente al rea de informtica.
CONSECUENCIAS:
Perdida de piezas importantes para el uso de los equipos informticos, causando
as una prdida de dinero y tiempo al momento de presentarse daos y no
encontrar posibles repuestos para suplirlos.
Extravi de informacin valiosa y confidencial, como documentos u objetos en
los que se almacena informacin (USB, CD),
Dao de equipos o servidores a causa de personas mal intencionadas o sin el
conocimiento suficiente para manipularlos.
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Catastrfico
33
RECOMENDACIONES:
Realizar inventario de todas las piezas que se encuentran en la sala de hardware
y destinar solo a un personal capacitado y especfico para su manipulacin.
Colocar carteles los cuales informen del acceso restringido a las salas
pertenecientes al rea de informtica y asignar un encargado de llaves el cual
ser el responsable de abrir y cerrar cada una de ellas.
REF
HALLAZGO 4
DESCRIPCIN:
No existen perfiles ya establecidos para cada uno de los cargos, para as
determinar los permisos y accesos que van a llegar a tener cada uno de estos,
por ende, se obliga a los usuarios usar una mesa de ayuda por la cual deben
realizar las solicitudes de acceso a algunas funcionalidades que para ellos se
encuentran restringidas
34
CONSECUENCIAS:
Entorpecimiento en el desarrollo de las actividades debido a la demora en el
trmite de las solicitudes realizadas a la mesa de ayuda
Permisos de acceso a usuarios sin las facultades suficientes para tenerlos
RIESGO:
Probabilidad de ocurrencia: = 31% 60%
Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Realizar un estudio de cargos y las acciones que las personas asociadas a este
deben realizar para as asignar perfiles de acuerdo a cada uno de los cargos con
sus respetivos permisos.
35
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Equipos de la infraestructura .
tecnolgica de la empresa Actualizar y realizar el cambio de los
obsoletos presentan fallas equipos que llegaron a su vida til o
constantes (switch y equipos CORRECTIVO repararlos segn sea necesario
de cmputo
REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD PAGINA
Alcalda de Sevilla-Valle del Cauca
AUDITADA 1 DE 1
PROCESO Evaluar el proceso del Software utilizado en la Alcalda de
AUDITADO Sevilla
RESPONSABLE Edgar Adrin Ortiz Parra
36
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO1 Definir un Plan Estratgico de TI
Riesgos detectados en
Documento de Manual mala aplicacin del Realizar continuos
de riesgos. Sistema de Seguridad de controles frente a los
la Informacin. riesgos detectados en el
sistema de Seguridad de
la Informacin.
37
Entrevista: PO1 Definir un Plan Estratgico de TI
ENTREVISTA
OBJETIVO DE CONTROL
N CUESTIONARIO RESPUESTA
Aprovechamiento al mximo de los
Cul es el enfoque estratgico actual en
1 recursos existentes y adquirir algunos
cuanto a los sistemas informticos de la
equipos nuevos.
Alcalda de Sevilla?
La Alcalda cuenta con un plan para No existe ningn tipo de control, tanto
3
evitar el hurto de informacin? al personal que labora como al
visitante.
LISTA CHEQUEO
PO1 Definir un Plan
DOMINIO Planear y Organizar (PO) PROCESO Estratgico de TI
Es verdaderamente
necesaria, ya que la
informacin que maneja
Crees que hace falta capacitacin para el X la base de datos es muy
3 personal del rea informtica? importante para dar
cumplimiento a los
requerimientos del
gobierno.
39
REF
CUESTIONARIO CUANTITATIVO
ENTIDAD PAGINA
Alcalda de Sevilla- Valle del Cauca
AUDITADA 1 DE 1
PROCESO
AUDITADO Evaluar el proceso del Software utilizado en la empresa
RESPONSABLES Edgar Adrin Ortiz Parra
MATERIAL DE
COBIT 4.1
SOPORTE
Planear y Organizar PO1 Definir un Plan
DOMINIO PROCESO
(PO) Estratgico de TI
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
El funcionamiento de la red interna, es
1 1 2
constante?
Existe Control Interno para la evaluacin
2 ordenada de los riesgos a los que est 2 4
expuesta la seguridad de la informacin?
Existe control en la adquisicin de
3 licencias del software que manejan la 1 3
informacin de la empresa?
Se realiza capacitacin constante al
4 personal, sobre la correcta administracin 4
de los recursos informticos?
Existen planes de contingencia en caso de
5 prdidas de informacin y copias de 5
seguridad?
TOTAL 4 18
TOTAL, CUESTIONARIO 22
Porcentaje de riesgo parcial = (4 * 100) / 22 = 18.18
Porcentaje de riesgo total = 100 18.18 = 81.8