Unidad 3: Fase 4 - Ejecución de auditoría

Presentado por:
Álvaro Celis Bedoya. Cod: 1097332975
William Fabian Rodríguez Betancourt. Cod: 1096956729
German Horacio Duarte. Cod: 110185497
Marisol Oviedo Jaime. Cod: 1097957977
Pablo Arturo Riascos. Cod: 1098732710

Presentado a:
Francisco Solarte
Tutor

Universidad Nacional Abierta y A Distancia

UNAD
 Introducción

Este informe se realiza con el fin de dar revisión y evaluación de los controles, sistemas, y
procedimientos de informática de la Fundación Operación Sonrisa Colombia; como a su
vez, de los equipos de cómputo, su utilización, eficiencia y seguridad, por medio de
instrumentos de evaluación y la matriz de riesgos que garantizan la visualización de fallas e
inconvenientes, que desatan los riesgos observados anteriormente en la entidad.
Estos instrumentos tienen como fin, el impulsar al personal de la Fundación a la toma de
acciones que incluyan, el señalamiento de capacitaciones y medidas correctivas
alternativas, que logre una utilización más eficiente y segura de la información, esto servirá
en el proceso en toma de decisiones, además de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
 Objetivos

Objetivo General

Analizar mediante la implementación de instrumentos evaluativos, los riesgos y posibles

acciones a tomar en cuenta para la mitigación o eliminación de los mismos

Objetivos Específicos

1. Evaluar y administrar los riesgos de las TI.

2. Garantizar la seguridad de los sistemas de la Fundación Operación Sonrisa.

3. Establecer una comprensión común del nivel de servicio requerido

4. Determinar posibles acciones a seguir para la disminución de estos riesgos

 Conceptos de Auditoría Informática, Metodología de la Auditoría, Análisis y
evaluación de riesgos informáticos

1. cuadro de los procesos que han sido seleccionados del estándar CobIT

Responsable Domino Proceso Objetivos

Álvaro Javier Dominio DS8  DS8.1 Mesa de Servicios

Celis Bedoya Entregar Y Administrar la  DS8.3 Escalamiento de Incidentes
Dar mesa de  DS8.4 Cierre de Incidentes
Soporte servicios y los
 DS8.5 Análisis de Tendencias
(DS incidentes
William Fabian Dominio DS5 Garantizar  DS5.2 Plan de Seguridad de DS5.3
Rodríguez Entregar Y la seguridad de Administración de Identidad
Dar los sistemas  DS5.4 Administración de Cuentas del
Soporte
Usuario
(DS
 DS5.5 Pruebas, Vigilancia y
Monitoreo de la Seguridad
 DS5.6 Definición de Incidente de
Seguridad
 DS5.7 Protección de la Tecnología de
Seguridad
 DS5.8 Administración de Llaves
Criptográficas
 DS5.9 Prevención, Detección y
Corrección de Software Malicioso
 DS5.10 Seguridad de la Red

Germán Dominio DS7 educar y  DS7.1 Identificación de Necesidades

Horacio Duarte Entregar Y entrenar a los de Entrenamiento y Educación
Dar usuarios  .DS7.3 Evaluación del Entrenamiento
Soporte
Recibido
(DS
 Conceptos de Auditoría Informática, Metodología de la Auditoría, Análisis y
evaluación de riesgos informáticos

2. Formatos diseñados y aplicados para cada uno de los procesos CobIT

seleccionados

 Primer proceso

DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema
experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una
mesa de ayuda que proporcione soporte y asesoría de primera línea.
Objetivos
DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión
del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas,
incidentes reportados, requerimientos de servicio y solicitudes de información. Deben
existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio
acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado
como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del
usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de
manera que los incidentes que no puedan resolverse de forma inmediata sean escalados
apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar
soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de
vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.

DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual de la

resolución de consultas de los usuarios. Cuando se resuelve el incidente la mesa de servicios
debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con
el usuario.

DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de servicios para

permitir a la dependencia medir el desempeño del servicio y los tiempos de respuesta, así
como para identificar tendencias de problemas recurrentes de forma que el servicio pueda
mejorarse de forma continua.
Fuentes de conocimiento: DS8 Administrar la Mesa de Servicio y los Incidentes

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD Fundación Operación Sonrisa Colombia PAGINA

AUDITADA 1 DE 1
PROCESO Administrar la Mesa de Servicio y los Incidentes
AUDITADO
RESPONSABLE Álvaro Javier Celis Bedoya

MATERIAL DE COBIT 4.1

SOPORTE
DOMINIO Entregar Y Dar Soporte (DS)
PROCESO DS8 Administrar la Mesa de Servicio y los Incidentes

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

 Informes de  Identificar el  Aplicación de

control de riesgos manejo de adecuado herramientas a
en ocasiones del sistema Med. utilizar para la
pasadas  Mediante eliminación de
 Charla observación directa dichas fallas.
metodológica con detectar fallas de  Realización de
la persona control y acceso al instrumentos
encargada del área sistema. evaluables que
de sistemas  Determinar maneras detecten el
 Revisión de de solucionar dichas verdadero problema
control fallas presentadas en del sistema
informática en la organización.  Manifestación de
fuentes internas de controles que
la Fundación desarrollen la
eficacia que
necesitamos en la
entidad.
Auditador: Álvaro Javier Celis Bedoya

Entrevista: Administrar la Mesa de Servicio y los Incidentes

ENTREVISTA FUNDACIÓN OPERACIÓN SONRISA COLOMBIA

DOMINIO Entregar Y Dar Soporte PROCESO DS8 Administrar la Mesa
(DS) de Servicio y los
Incidentes
OBJETIVO DE CONTROL DS8.1 Mesa de Servicios
N.º CUESTIONARIO RESPUESTA
1 ¿En la fundación existe alguna área No se encuentra un área específica
encargada de quejas o fallas observadas que atienda los requerimientos
en las TI? referentes a fallas de las TI.
2 ¿se realizan con constancia En la Fundación solo contamos con un
mantenimiento y actualizaciones en el ingeniero de sistemas que asiste cada
sistema que usted maneja? vez que hay un problema, de lo
contrario nadie realiza cambios en los
sistemas.
3 ¿se utilizan día a día por el ingeniero de Como mencioné anteriormente jamás
sistemas innovaciones en el sistema? se evidencian cambios.
4 ¿se cuenta con un libro de registro que Solo se cuenta con un libro que
garantice el control continuo de las TI? contiene pocos datos acerca de las TI,
es decir sus existencias.
5 ¿Se manifiestan reuniones o asambleas Cuando presentó una queja al
que den solución a sus quejas y ingeniero, el trata de solucionarlo,
comentarios respecto a fallas y daños en pero no se realizan reuniones que
el sistema? verifiquen o determinen por qué real
de dicho problema
6 ¿se otorga una rápida solución a sus Algunas veces cuando el daño es leve
requerimientos como usuario? se soluciona rápidamente, en otras
ocasiones puede tardar más de una
semana, deteriorando mi trabajo
diario.

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Heidy Dayana Gordillo
Recepcionista
Lista chequeo: Administrar la Mesa de Servicio y los Incidentes
LISTA CHEQUEO

DOMINIO Entregar Y Dar Soporte PROCESO DS8 Administrar la Mesa

(DS) de Servicio y los
Incidentes

OBJETIVO DE CONTROL DS8.1 Mesa de Servicios

Nº ASPECTO EVALUADO CONFOR OBSERVACIÓN

ME
SI NO
1 ¿Existe una mesa de ayuda, que x
identifique y de solución a sus
inconvenientes identificados en el
sistema MED?
OBJETIVO DE DS8.3 Escalamiento de Incidentes
CONTROL
2 ¿se realiza un análisis periódico de la X
red de conexión al sistema?
OBJETIVO DE DS8.4 Cierre de Incidentes
CONTROL
3 ¿poseen métodos de ayuda, para la x
solución de incidentes en las TI?
OBJETIVO DE DS8.5 Análisis de Tendencias
CONTROL
4 ¿se utiliza tecnología que permita x
hacer de su trabajo uno más fácil y
adecuado?

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Heidy Dayana Gordillo
Recepcionista
Cuestionario: Administrar la Mesa de Servicio y los Incidentes

CUESTIONARIO CUANTITATIVO FUNDACIÓN REF

OPERACIÓN SONRISA COLOMBIA

ENTIDAD Operación Sonrisa Colombia PAGINA

AUDITADA 1 DE 1
PROCESO Administrar la Mesa de Servicio y los Incidentes
AUDITADO
RESPONSABLES Álvaro Javier Celis Bedoya
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar Y Dar PROCESO DS8 Administrar la Mesa
Soporte (DS) de Servicio y los
Incidentes

OBJETIVO DE CONTROL DS8.1 Mesa de Servicios

N PREGUNTA SI NO NA REF
1 ¿Existen libros de control que garanticen el 2
sano proceso de la TI?
2 ¿Maneja con constancia folletos o libros de 4
ayuda, que le permitan saber el adecuado
funcionamiento del sistema?
3 ¿se realiza continuamente revisión de la red 4
y su conexión eficaz al sistema?
4 ¿se cuenta con un grupo de ayuda que atienda 3
sus necesidades en cuanto a las TI?
5 ¿Cuentan con soluciones rápidas a cada una 3
de las dificultades observadas?
6 ¿el hardware y software es reconocido por 2
altas máquinas tecnológicas, que hagan
eficaz su trabajo?
7 ¿cada uno de los usuarios que trabajan el 4
sistema Med, posee su contraseña segura sin
temor a ser jaqueada por entes ajenos a la
fundación?
TOTAL 14 8
TOTAL, CUESTIONARIO 22
Porcentaje de riesgo parcial = (14*100) /22=63,63
Porcentaje de riesgo total = 100-63,63=33,33%
PORCENTAJE RIESGO 36,63% (Riesgo Medio)
 Auditador Persona Auditada
Álvaro Javier Celis Bedoya Heidy Dayana Gordillo
Recepcionista

 Segundo proceso

DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información

e infraestructura de TI con el fin de minimizar el impacto causado por violaciones o
debilidades de seguridad de la TI. Los objetivos de control que se evaluarán son los
siguientes:
Objetivos
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia, riesgos y
cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en
las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los
servicios, personal, software y hardware. Comunicar las políticas y procedimientos de
seguridad a los interesados y a los usuarios.
DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos
y temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas,
desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el
usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos
de acceso del usuario al sistema y los datos están en línea con las necesidades del módulo
definidas y documentadas y que los requerimientos de trabajo están adjuntos a las
identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e implementado por la
persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso
se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para establecer la identificación del
usuario, realizar la autenticación y habilitar los derechos de acceso.
DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los
privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos. Debe
incluirse un procedimiento de aprobación que describa al responsable de los datos o del
sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos
los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e
internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al
acceso a los sistemas e información del módulo deben acordarse contractualmente para
todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y
los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la
implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La
seguridad en TI debe ser re-acreditada periódicamente para garantizar que se mantiene el
nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo
permite la detección oportuna de actividades inusuales o anormales que pueden requerir
atención.
DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para atender
casos de incidentes, mediante el uso de una plataforma centralizada con suficiente
experiencia y equipada con instalaciones de comunicación rápidas y seguras. Igualmente
establecer las responsabilidades y procedimientos para el manejo de incidentes
DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología
relacionada con la seguridad sea resistente al sabotaje y no revele documentación de
seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de
transacciones (datos, password, llaves criptográficas) es enviada y recibida por canales
confiables (trustedpaths), mediante encriptamiento de sistemas y usuarios.
DS5.9 Prevención, Detección y Corrección de Software Malicioso Garantizar
procedimientos para el manejo y corrección de problemas ocasionados por software
malicioso generalmente en el caso de virus
DS5.10 Seguridad de la Red: En la Universidad al existir conexión a la red de internet se
debe implementar el uso de técnicas de seguridad y procedimientos de administración
asociados como firewalls, para proteger los recursos informáticos y dispositivos de
seguridad.
Fuentes de información: Garantizar la Seguridad de los Sistemas

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD Fundación Operación Sonrisa Colombia PAGINA

AUDITADA 1 DE 1
PROCESO Garantizar la seguridad de los sistemas
AUDITADO
RESPONSABLE William Fabian Rodríguez

MATERIAL DE COBIT 4.1

SOPORTE
DOMINIO Entregar Y Dar Soporte
PROCESO DS5 Garantizar la seguridad de los sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Entrevista al encargado  Verificación de la  Revisar los perfiles de
de la parte de los seguridad de la usuarios que tienen
sistemas de plataforma del registro. acceso a la plataforma.
Verificar si en el  Medición
información de la  de
resultados de
fundación. contenido de la resolución eficiencia de controles
SGSI, se encuentra individuales de los
 Resolución sistema descrita las actividades y empleados
gestión seguridad de la riesgos sobre la
información administración de
 Registro de incidentes información
de seguridad  Verificación de la
detectados en el seguridad de la
sistema plataforma.

Auditor: Álvaro Javier Celis Bedoya

Entrevista: Garantizar la Seguridad de los Sistemas

ENTREVISTA
DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la
(DS) Seguridad de los Sistemas
OBJETIVO DE CONTROL
N.º CUESTIÓN RESPUESTA
1 ¿Se realiza un plan de seguridad sobre No se cuenta con un plan de
los riesgos y se da cumplimiento a este? seguridad sobre los riesgos
2 ¿Mantiene suficientes registros (logs) de Realmente se desconoce el uso de
la actividad de red aprobada? estos logs.
3 ¿Existen pruebas, vigilancia y monitoreo No existen dichas pruebas
de la seguridad?
4 ¿Ha comprobado que no existan parches El personal encargado del área de
de seguridad del software y recibe sistemas realiza el mantenimiento de
regularmente las actualizaciones de los equipos y los actualiza, pero esto
seguridad / vulnerabilidades del software no es regularmente.
que utiliza en la red?
5 ¿Existen técnicas y procedimientos de No se cuenta con dichas técnicas
administración, asociados para autorizar
acceso y controlar los flujos de
información desde y hacia internet?
6 ¿Se realizan pruebas de resistencia a No se han realizado dichas pruebas.
sabotaje?
7 Se comunica las políticas de seguridad a No se comunica
los interesados y a los usuarios.

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Jessica Neme Ruiz
Recepcionista
Lista chequeo: Garantizar la Seguridad de los Sistemas

LISTA CHEQUEO

DOMINIO Entregar Y Dar Soporte PROCESO DS5 Garantizar la

(DS) Seguridad de los Sistemas
OBJETIVO DE DS5.2 PLAN DE SEGURIDAD DE TI
CONTROL
N.º ASPECTO EVALUADO CONFOR OBSERVACIÓN
ME
SI NO
1 Se realiza un plan de seguridad sobre x
los riesgos y se da cumplimiento a este
2 Se comunica las políticas de seguridad x
a los interesados y a los usuarios.
OBJETIVO DE DS5.3 Administración de Identidad
CONTROL
3 Existe proceso de autenticación para x
los usuarios internos (Doctores,
auxiliares, etc.) que solicitan acceso al
sistema de información.
OBJETIVO DE DS5.4 Administración de Cuentas del Usuario
CONTROL
4 Existe un procedimiento para la x
emisión, suspensión, modificación y
cierre de cuentas de usuarios.

OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

CONTROL
5 Se realizan periódicamente pruebas de x
monitoreo a la seguridad del acceso al
sistema de información.

OBJETIVO DE DS5.6 Definición de Incidente de Seguridad

CONTROL
6 Se realiza monitoreo de los incidentes x
que se presentan en el sistema de
información.
OBJETIVO DE DS5.7 Protección de la Tecnología de Seguridad
CONTROL
7 Se realizan pruebas de resistencia al x
sabotaje
OBJETIVO DE DS5.9 Prevención, detección y corrección de software
CONTROL malicioso
8 Existen medidas preventivas, x
detectivas y correctivas contra
software malicioso como virus
informático.

OBJETIVO DE DS5.10 Seguridad de la Red

CONTROL
9 Existen controles para la información x
que se envía y recibe desde internet.

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Jessica Neme Ruiz
Recepcionista
Cuestionario: Garantizar la Seguridad de los Sistemas

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Fundación Operación Sonrisa PAGINA

AUDITADA 1 DE 1
PROCESO DS5 Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLES William Rodríguez-Álvaro Celis
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar PROCESO DS5 Garantizar la
Soporte (DS) Seguridad de los Sistemas

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 Se realiza un plan de seguridad sobre los 5
riesgos y se da cumplimiento a este
2 Se comunica las políticas de seguridad a los 5
interesados y a los usuarios.
3 Existe proceso de autenticación para los 3
usuarios internos (Doctores, auxiliares, etc.)
que solicitan acceso al sistema de
información.
4 Existe un repositorio central con la 3
información de usuarios y sus permisos de
acceso al sistema de información de la
fundación.
5 Existe un procedimiento para la emisión, 3
suspensión, modificación y cierre de cuentas
de usuarios.
6 Se realizan periódicamente pruebas de 4 SEMESTRAL
monitoreo a la seguridad del acceso al
sistema de información.
7 Se realiza monitoreo de los incidentes que se 5
presentan en el sistema de información.
8 Se realizan pruebas de resistencia al sabotaje 3
9 Se ha comprobado que no existan parches 5
de seguridad del software y recibe
regularmente las actualizaciones de
seguridad / vulnerabilidades del software que
utiliza en la red
 10 Se permite la ejecución de la consola del 4
sistema (o línea de comandos) sólo a usuarios
autorizados
11 Existen controles para la información que se 3
envía y recibe desde internet.
TOTAL 17 26
TOTAL, CUESTIONARIO 43
Porcentaje de riesgo parcial = (17 * 100) / 43=42,92%
Porcentaje de riesgo = 100 – 42,92=57,08%
PORCENTAJE RIESGO 57,08 % (Riesgo Medio)

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Jessica Neme Ruiz
Recepcionista

Tercer Proceso
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios
de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades
de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este
proceso incluye la definición y ejecución de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento
incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la
productividad y el cumplimiento de los controles clave tales como las medidas de seguridad
de los usuarios. Para ello se tomarán en cuenta los siguientes objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y
actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de
empleados, que incluya:
o Implementar procedimientos junto con el plan a largo plazo.
o Valores sistémicos (valores éticos, cultura de control y seguridad, etc.)
o Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)
o Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales
necesarias.
o Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.
DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el
contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y
retención del conocimiento, costo y valor. Los resultados de esta evaluación deben
contribuir en la definición futura de los planes de estudio y de las sesiones de
entrenamiento.
Fuentes de conocimiento: DS7 educar y entrenar a los usuarios

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD Fundación Operación Sonrisa Colombia PAGINA

AUDITADA 1 DE 1
PROCESO Administrar la Mesa de Servicio y los Incidentes
AUDITADO
RESPONSABLE German Horacio Duarte Espinosa

MATERIAL DE COBIT 4.1

SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO DS7 educar y entrenar a los usuarios

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

 Desconocimiento  Tener este material  Dar a conocer en la

de los diferentes disponible en la web web de la compañía
procesos que oficial de la todos los
tiene la empresa empresa reglamentos y
 Una mala  Enseñanza previa e normas de la
manipulación del inducción del uso entidad.
software y del software  Enseñanza por
posterío corporativo. medio de las
confusión del  Introducción plataformas ya
mismo general de la escogidas para la
 Revisar el empresa. enseñanza
conocimiento con  Enseñanza total de la
respecto a la empresa.
 entidad por parte
del usuario final

Auditador: Álvaro Javier Celis Bedoya

Entrevista: DS7 educar y entrenar a los usuarios

ENTREVISTA
DOMINIO Planear y Organizar (PO) PROCESO DS7 educar y entrenar a
los usuarios
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
1 ¿Qué tanto conoce usted la empresa y sus Desconozco la mayoría de
reglamentos? reglamentos internos de la empresa.
2 ¿de uno a diez que tan capaz se siente 7 a veces creo que es fácil, pero hay
para manejar el software de la empresa? unas partes en las cuales me gustaría
que lo modificasen.
3 ¿se siente inconforme con el software Si ya que hay pestañas las cuales las
implementado? desconozco y hay algunas las cuales
se me dificultan.
4 ¿Qué le cambiaria o que le agregaría o Que se sectorice que sea no que sea
quitaría al software, y que ítem le parece global es decir ciertos ítems activos
poco usado y más usado justificar para cada área administrativa
respuesta?
5 ¿le gustaría ser capacitado e instruido en Si claro ya que así incrementaría mi
los procesos más difíciles que tiene su nivel de productividad para la
trabajo? empresa mejoraría y centraría mis
esfuerzos y conocimientos

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Claudia Orozco
Recepcionista
Lista chequeo: DS7 educar y entrenar a los usuarios

LISTA CHEQUEO

DOMINIO Planear y Organizar (PO) PROCESO DS7 educar y entrenar a

los usuarios
OBJETIVO DE CONTROL DS7 educar y entrenar a los usuarios
Nº ASPECTO EVALUADO CONFOR OBSERVACIÓN
ME
SI NO
1 ¿capacidades de parte del usuario por x
medio de la manipulación del software
corporativo?
OBJETIVO DE DS7.1: Identificación de necesidades de entrenamiento y
CONTROL educación
2 ¿Se realiza la evaluación de los riesgos x
que pueden afectar la infraestructura
tecnológica mediante la utilización de
una metodología?
OBJETIVO DE DS7.3 Evaluación del entrenamiento recibido:
CONTROL
3 ¿Se realiza actualización de los x
diferentes conocimientos que tengan
los usuarios finales?

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Claudia Orozco
Recepcionista
Cuestionario: DS7 educar y entrenar a los usuarios

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Fundación Operación Sonrisa Colombia PAGINA

AUDITADA 1 DE 1
PROCESO Educar y entrenar a los usuarios
AUDITADO
RESPONSABLES German Horacio Duarte Espinosa
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar PROCESO DS7 educar y entrenar a
(PO) los usuarios

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿está usted totalmente satisfecho por la 5
auditoría realizada para el mejoramiento y
corrección de cualquier falencia informática?
2 ¿cree usted que hace falta o quedo algún tema 4
o ítem sin resolver?
3 ¿se necesita una actualización tanto del 2
software como de la página web
perteneciente a la entidad?
4 ¿Se utilizan métodos cualitativos o 5
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar los
datos de la empresa?
5 ¿Existe un plan de acción para mitigar los 2
riesgos de la pérdida o hurto de la
información?
6 ¿Se monitorea el plan de acción? 4
TOTAL 14 8
TOTAL, CUESTIONARIO 22
Porcentaje de riesgo parcial = (14 * 100) / 22 = 63.63%
Porcentaje de riesgo total = 100 – 63.63 = 33.3%
PORCENTAJE RIESGO 33,2% (Riesgo medio)

Auditador Persona Auditada

Álvaro Javier Celis Bedoya Claudia Orozco
Recepcionista
 Análisis y evaluación de riesgos y la matriz de riesgos resultante

Cuadro de Vulnerabilidades, Amenaza y Riesgos Consolidado

Aportes William
Vulnerabilidad Amenazas Riesgo Categoría
N°
1 Algunos equipos no Inicio de sesión de cualquier persona puede Seguridad
cuentan con personal no autorizado tener acceso a la Lógica
contraseñas de inicio información almacenada
de sesión en los equipos
2 Falta de conocimiento Errores de usuario Personal sin capacitación Manejo y
en temas de seguridad control de
informática. personal
3 Ausencia de Interceptación de los Alta probabilidad de ser Seguridad lógica
certificados de datos ya que no se víctima de un ataque de
seguridad cuenta con un cifrado phishing
seguro
4 Fallas en el suministro Bajas de voltaje y No existe unos ups, en
de energía poca concientización caso de un apagón solo Hardware
por parte del personal se cuenta con los
administrativo. estabilizadores de los
computadores
5 No existen Desastres naturales No existen planes de Seguridad lógica
procedimientos para la debido a movimiento contingencia en caso de
administración de la telúricos pérdidas de información
información y copias de seguridad.
6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad lógica
para recuperación de seguridad de manera
información periódica de la
información sensible en
medios externos.
7 Pobre documentación Desinformación sobre Los procesos realizados Manejo y
de procesos las acciones y recursos no se encuentran control de
informáticos que se llevan acabo totalmente documentados personal
ni estandarizado, esto
genera problemas al
momento de rotar el
personal y realizar la
capacitación del mismo.
8 No hay control sobre Usuarios Robo de bases de datos, Hardware
los dispositivos de malintencionados contraseñas etc.
almacenamiento
externo
9 Poca o inexistente Atentados a las El empleado o trabajador Manejo y
seguridad en las áreas instalaciones de la puede ser una víctima control de
de recaudos empresa (vandalismo) directa o indirecta de una personal
electrónicos agresión externa en
contra de la Empresa.

10 Control y monitoreo Utilización de los Existe un mínimo control Redes

regular en el acceso a recursos del sistema de acceso a direcciones
Internet para fines no previstos de internet por parte del
administrador, lo que
hace insegura a la red de
datos
11 Software licenciado Software dañino, Solo se cuenta con el Software
por medios ilegales o malware y cantidad de antivirus del S.O y este
dudosa reputación adware(Publicidad no es muy seguro
engañosa)
12 Sistema operativo Fallas del sistema Actualmente el sistema Seguridad lógica
desactualizado operativo no tiene
soporte y se encuentra
desactualizado algunas
aplicaciones ya no son
compatibles con este
sistema
13 No existe un firewall Acceso a puertas Ya que su configuración Seguridad lógica
activo o su traseras no es la correcta, tiende a
configuración es mala tener múltiples puertos
abiertos los cuales sirven
de acceso a los atacantes
14 Fallos en la red LAN Mala configuración de Se presentan fallas en las Redes
la seguridad de los comunicaciones
dispositivos de red originadas por la mala
tales como routers, instalación o
switches. configuración de estas
15 No Hay revisión Los virus y malwares Daño de los equipos, Seguridad lógica
permanente de los están en constante perdida de información y
equipos actualización las demás consecuencias
que se pueden presentar
Aportes Pablo
16 Base de datos Suplantación de Se encuentran activas Seguridad
vulnerable a ataques identidad cuentas de usuario de lógica
cibernéticos. personal que ya no labora
en la empresa.
17 Mala documentación Desastres naturales No existen planes de Seguridad
del código de sistema. debido a movimiento contingencia en caso de lógica
telúricos pérdidas de información
y copias de seguridad.
18 Respaldo de sistema Desastres naturales No se realizan copias de Software
no está optimizado. seguridad de manera
periódica de la
información sensible en
medios externos.
19 No existe control de Intercepción No se utiliza ningún Hardware
acceso a la Modificación sistema de cifrado de
información. discos en el servidor o en
los equipos
20 No hay claridad en la Intercepción Los sistemas de Perdida
información relevante. Modificación información disponibles
no cifran los datos
cuando se están
almacenando o
transmitiendo
21 Falta de conocimiento Errores de usuario El personal no cuenta con Redes y
de los usuarios en el programas de comunicación
tema de seguridad capacitación y formación
informática y de la en seguridad informática
información y de la información.
22 Acceso no autorizado Acceso físico a los Los servidores y equipos Equipos de
al área de sistemas recursos del sistema del área de sistemas no se protección
encuentran bajo algún eléctrica
armario cerrado o en
alguna oficina con acceso
restringido.
23 Acceso no autorizado Entrada o Accesos no No se tiene Seguridad
a las áreas restringidas autorizados implementado un sistema física
de identificación
empleados, visitantes,
acompañantes y registro
de visitantes.
24 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el física
acceso a internet.
25 No existe sistema de Atentados a las El empleado o trabajador Bases de datos
vigilancia y personal instalaciones de la puede ser una víctima
empresa (vandalismo) directa o indirecta de una
 suficiente para agresión externa en
vigilancia interna. contra de la Empresa.

26 No se hace revisión de Accesos No Al no contar con VPN, Personal

virus, troyanos y espías autorizados al sistema no analiza el tráfico por
en la VPN a través del VPN IPSec, L”TP, PPTP
uso de sistema de y SSL en busca de
usuario remoto (acceso software
remoto) malintencionado, correo
no deseado, contenidos
inapropiados e
intusiones.
27 Falta de capacitación Fallas en la Falta de actualización y Personal
del personal del área configuración de los configuración adecuada
informática. equipos del equipo por parte del
personal del área de
sistemas

28 El cableado Daños de las Algunos de los Software

estructurado no cumple comunicaciones. segmentos de la red se
con las normas encuentran a la
intemperie lo que puede
causar manipulación de
red, daños a la red,
rupturas y su transmisión
de datos presentan caídas
de paquetes de
información.
29 No se controla los No existe perfiles de Modificación sin Hardware
permisos y privilegios usuario en el sistema autorización de los datos,
de los usuarios o de software instalado
en el sistema, incluyendo
borrado de archivos.

30 Fallos en la red LAN Mala configuración de Existen fallas en la Sistema de

la seguridad de los seguridad y las información
dispositivos de red comunicaciones
tales como routers, originadas por la
switches. inadecuada configuración
de los dispositivos de la
red.

Aportes German
31 La licencia del firewall Cualquiera puede Alta probabilidad de Seguridad lógica
esta caducada ingresar con facilidad cambio de
información
confidencial
32 Los estudiantes Daño al software Pérdida total de la Seguridad lógica
manipulan mal los usado o al mismo información y
equipos de computo S:O software afectado
33 Software sin El S.O no se puede Al no ser un software Software
licenciamiento legal actualizar para que el legal tiende a ser
“software pirata” mismo corrija errores vulnerado
activados por medios y contrarreste
de cracks defectos de los
usuarios
34 Mal uso a los cuchillas El constante uso de Hace que se dispare, Hardware
o bien llamados los breakers hace que ocasionando el corto
breakers desgaste el protector de flujo de corriente
que traen de fabrica eléctrica y posterior
perdida de
información en las
salas de informática
35 Temblor, incendio o Caer, quemar o Daño en los activos Perdida
inundación inundar cualquier de la empresa tales
zona en la como computadores,
universidad impresoras, cámaras,
servidor, y demás.
36 Mal estructurado de Rompimiento del Perdida contante de Redes y
redes y cableado cable, una mala comunicación con comunicación
demasiado viejo comunicación internet y con los
demás equipos que
este compartiendo
información
37 Las ups están obsoletas Posiblemente se Daño al hardware y Equipos de
ya que son viejas y quemaría las fuentes costos adicionales ya protección eléctrica
obsoletas debido a que de poder o inclusive que hay que
la universidad ha las main boards de reemplazar por
venido dotando con los equipos nuevos equipos
más
equipos de computo
38 Daño a las puertas y Las puertas de Al robo o daño a los Seguridad física
sus cerrojos madera y sus cerrojos equipos de cómputo,
de marca xxx ya que la seguridad
es muy débil
39 No se cuenta con los En caso de un Daño total o parcial a Seguridad física
apropiados extintores siniestro en este caso los equipos de
en las salas de incendio si se usa los cómputo y medios
informática extintores dañaría la audiovisuales
 integridad de los
equipos
40 No hay en si un disco Perdida de Pérdida parcial o total Bases de datos
duro externo para información de información
hacer y transferir los confidencial y
back up de requerida por la
información al empresa
personal
administrativo saliente
41 Personal de aseo o Derrame de líquidos Daño total de la Personal
estudiantes, o o grasa a los maquina en la main
profesores por mal computadores board o daño al
manejo pueden averiar portátiles o de mesa teclado
los equipos
42 Mala manipulación de Perdida por Daño o perdida de las Personal
los medios descuidos del cámaras o baterías
audiovisuales como estudiante y el
cámaras fotográficas, docente encargado
video beam
43 El antivirus es pirata Virus constantes en Daño y creación de Software
las maquinas accesos directos en el
pc y el pen drive
44 El rack de En los bajones de luz Daño y/o perdida de Hardware
comunicación puede afectar el información del
principal no posee una funcionamiento y servidor
protección adecuada vida útil de la
maquina
45 Ciertos estudiantes Daño o borrado de Borrado o una mala Sistema de
pueden ingresar al información con configuración por información
servidor principal respecto a docentes o parte de un
software para su estudiante, colocando
instalación a los clave hastra la bios
equipos de la maquina
Aportes Álvaro

46 Falta de capacitación Negligencias pérdida de la  Software

informática al personal humanas: El hecho integridad de los  Usuarios.
de la fundación de que los empleados datos
no posean amplio
conocimiento de los
sistemas que se
manejan en la
Fundación desata
consigo una serie de
problemas
 identificados en
procesos contables y
jurídicos de la
entidad.
47 Software Daños internos en Pérdida de  Software
Desactualizado programas información o
importantes, confusión sistemática
identificados a
procesos relevantes
en la fundación.
48 Cuentas de usuarios Variabilidad de datos secuencia errónea de  Redes y
mal configuradas erróneos o los archivos a comunicaciones
equivocados en integrar en la
procesos empresa.
administrativos
49 Contraseñas fáciles de Robo de información Violación de la  Software
investigar privada de la privacidad  Usuarios.
fundación
50 Mala ubicación de la Desastres naturales: Perdidas económicas  Usuarios.
entidad Es inevitable Caída de la Red,  Personal
considerar este Pérdida de datos.  Seguridad física
aspecto como una  Seguridad lógica
amenaza propia de la
empresa, tomando
como referencia
terremotos y/o
temblores que
coloquen en peligro
los sistemas
informativos de la
organización.
51 Falta de elocuencia en Programas dañinos: Fallas constantes en  Sistema de
la administración de En muchas ocasiones el sistema información
programas no aptos. por el hecho de Procesos contables  Sistemas
querer implementar equivocados operativos
en la entidad Virus  Bases de datos
programas que Información errónea, Hardware, redes y
faciliten procesos daños en el Hardware comunicaciones
administrativos, no y software.
se tiene en cuenta el
hecho, de los
cambios que este
puede producir en un
sistema; verificando
de tal forma su
capacidad y
 características que lo
hagan apto para el
sistema existente
52 Desconocimiento de Fraude en las Problemas fiscales o  Sistema de
información de operaciones jurídicos información
normas, a los usuarios, sistemáticas: el  Software
por los responsables hecho de que una  Bases de datos
de informática. persona no conozca
lo que se debe o no
hacer con el sistema
en este caso (ADCI
Y MED), puede
provocar trámites
falsos en la
fundación
53 Ausencia de copias de Robo de la Destrucción de  Sistema de
seguridad o copias de información: Las información información
seguridad privacidades de los confidencial  Comunicaciones
incompletas. datos puede quedar ausencia de Usuarios.
en peligro ante la credibilidad
actividad de los entes falta de integridad en
informáticos, que los datos
buscan debilidades divulgación de
en las aplicaciones procesos
para poder robar confidenciales
contraseñas y facilidad de robo de
acceder a la información por
ordenadores y entes externos a la
servidores de forma entidad.
inmediata.
54 Red y cableado mal Cables revueltos Cortos circuitos que  Personal
instalada dañen los  Software
computadores e  Usuarios.
instalaciones de la  Seguridad física
fundación  Seguridad lógica
55 Falta de Falla sistemática Mal funcionamiento  Software
mantenimiento en constante existencial de  Redes y
computadores sistemas de comunicaciones
información
56 Humedad, polvo y Equipos Expuestos a Incendios  Personal
contaminación en entes perjudiciales organizacionales  Software
instalaciones causando aceleración Pérdida de datos y  Usuarios.
o lentitud de su redes  Seguridad física
sistema, fallas  Seguridad lógica
mecánicas
 57 Defectos en la sistema impreciso Inconsistencias en  Bases de datos
fabricación o bases de datos, mal Hardware, redes y
configuración de los funcionamiento del comunicaciones
equipos de la empresa hardware
58 Manejo de redes Manejo erróneo de Plagio de  Redes y
sociales inadecuado información información comunicaciones
 Usuarios.

59 Entrada de usuarios Utilización de Cambio de  Software

ajenos, a sistemas importantes información, que  Usuarios.
computadores en la fundación afecte la  Bases de datos
funcionabilidad de Hardware, redes y
los sistemas comunicaciones

60 Ausencia de soporte Integración continua Fallas peligrosas en  Software

técnico permanente de errores no el sistema interno del  Usuarios.
solucionados a PC por falta de  Personal
tiempo mantenimiento  Seguridad física

Marisol Oviedo Jaimes

61 Exceso de Privilegios Se da confianza en exceso Se puede perder la
a los empleados, tales Integridad de los clientes,
como contraseñas de y administradores.
seguridad y del Sistema de
información.
62 Cuentas de usuario mal Se puede acceder sin Genera impactos con
configuradas autorización a los sistemas pérdidas o daños de los
informáticos. clientes o de los sistemas
informáticos.
63 El desconocimiento y falta de Pérdida de credibilidad. Robo de información.
socialización de las normas y
políticas a los empleados y
usuarios, por los
administradores responsables
directos.
64 Las contraseñas compartidas, Los funcionarios pueden Uso inadecuado de los
son constantes. aprovecharse, para cometer recursos de computo.
delitos.
65 No hay control en los cambios Se pueden presentar Perdidas económicas, de
de programas. diversas interrupciones a la información y de datos.
hora de presentar el
servicio a los clientes,
hacienda más lento el
trabajo.
66 Es muy poca la seguridad física Los mismos usuarios,
a la hora de acceder a las
instalaciones de computo.
67 Solo depende de un proveedor
para el servicio técnico externo en el hardware.
del computador.
68 Solo hay el hardware obsoleto,
pero no cuenta con repuestos
ya sea para equipos de cómputo
o para las impresoras.
69 Falta de copias de seguridad, o
las que hay están incompletas
70 Ausencia de contraseñas y de
seguridad en archivos ya sean
digitales o físicos.
71 Se presenta una alta
complejidad en el aumento
continuo de la tecnología.
72 No hay una debida protección
del Sistema o del computador.
73 No hay conocimiento acerca de Pueden fallar el Sistema, o
la instalación de programas que simplemente no funcionar.
son necesarios.
74 Falta de revisión continua en el
cableado, y en el hardware de
cada equipo.
empleados etc., pueden
acceder sin una
autorización a la
información.
Falta de garantía y daños
Se presentan daños,
dejando fuera de servicio el
negocio, o hacienda más
lento el trabajo y la
atención al cliente.
Se pueden presentar
problemas legales y
críticos.
Se pueden presentar
Hackers, los cuales están
atentos para actuar.
Acciones indebidas y mal
uso, debido a la ignorancia
en cuanto a nuevos
programas y tecnologías.
Memorias y equipos de
cómputo infectados,
generando una cadena, y
así alargando la cadena de
virus.
Se pueden presentar
desastres naturales o del
establecimiento.
Acceso ilegal, fraude de
información.
Se pueden dañar los
equipos, y no hay una
atención inmediata y
confiable.
Se presentan perdidas
económicas, del hardware
y pueden fallar los
equipos.
Ocasiona la Perdida de
información valiosa,
confidencial de la
empresa.
Perder información o a
que se la roben,
ocasionando daños graves
que atenten contra un ser
humano.
Crear información
errónea, la cual no es
acorde generando
pérdidas en la
confiabilidad y
económicas del
establecimiento.
Contraer virus en los
quipos, hacienda más
lento el servicio, dañando
el sistema y generando
interrupciones.
La falta de disposición de
aplicaciones que son
importantes para el
funcionamiento correcto.
Mayores posibilidades de
incendio, corto circuito,
etc.
 75 Software desactualizado Errores y bloqueos de los Errores críticos de los
equipos. computadores.
Inseguridad e
inestabilidad.

Primer Proceso

DS8 Administrar la mesa de servicios y los incidentes

Riesgos Iniciales:
1. Personal sin capacitación en temas de seguridad informática.
2. No existen planes de contingencia en caso de pérdidas de información y copias de
seguridad.
3. No se realizan copias de seguridad de manera periódica de la información sensible en
medios externos
4. Actualmente el sistema operativo no tiene soporte y se encuentra desactualizado algunas
aplicaciones ya no son compatibles con este sistema
5. Falta de actualización y configuración adecuada del equipo por parte del personal del
área de sistemas
6. Pérdida total de la información y software afectado
7. Pérdida de información o confusión sistemática
8. Perdidas económicas, Caída de la Red, Pérdida de datos
9. Fallas constantes en el sistema
10. Fallas peligrosas en el sistema interno del PC por falta de mantenimiento

Riesgos Con La Aplicación De Instrumentos

11. Ausencia de personal encargado de las TI.
12. Desactualización del sistema Med
13. Escases de propuestas innovadoras que contribuyan al buen funcionamiento del sistema
14. Falta de documentos de control que evidencien cambios y fallas de las TI
15. No se evidencian planes de contingencia a las fallas observadas a diario
16. Ausencia de análisis periódico de la red de conexión al sistema
17. Poca utilización de máquinas avanzadas que ayuden a la eficacia del trabajo diario
18. Falta de capacitación a cada uno de los usuarios directos al sistema
19. Insuficiente eficacia y rapidez en la solución de fallas por parte del personal que atiende
algunas veces las TI.
Análisis Y Evaluación De Riesgos

N° Descripción Impacto Probabilidad

R1 Personal sin capacitación en temas de seguridad informática. 4 3
R2 No existen planes de contingencia en caso de pérdidas de 4 4
información y copias de seguridad.
R3 No se realizan copias de seguridad de manera periódica de la 5 3
información sensible en medios externos
R4 Actualmente el sistema operativo no tiene soporte y se 5 5
encuentra desactualizado algunas aplicaciones ya no son
compatibles con este sistema
R5 Falta de actualización y configuración adecuada del equipo 4 4
por parte del personal del área de sistemas
R6 Pérdida total de la información y software afectado 5 4
R7 Pérdida de información o confusión sistemática 4 4
R8 Perdidas económicas, Caída de la Red, Pérdida de datos 5 4
R9 Fallas constantes en el sistema 4 4
R10 Fallas peligrosas en el sistema interno del PC por falta de 4 4
mantenimiento
R11 Ausencia de personal encargado de las TI. 5 4
R12 Desactualización del sistema Med 5 3
R13 Escases de propuestas innovadoras que contribuyan al buen 5 3
funcionamiento del sistema
R14 Falta de documentos de control que evidencien cambios y 4 3
fallas de las TI
R15 No se evidencian planes de contingencia a las fallas 4 4
observadas a diario
R16 Ausencia de análisis periódico de la red de conexión al 4 3
sistema
R17 Poca utilización de máquinas avanzadas que ayuden a la 4 3
eficacia del trabajo diario
R18 Falta de capacitación a cada uno de los usuarios directos al 4 4
sistema
R19 Insuficiente eficacia y rapidez en la solución de fallas por 4 4
parte del personal que tiende algunas veces las TI.
Matriz Para Medición De Probabilidad E Impacto De Riesgos

Resultado Matriz De Riesgos

Evaluación Y Medidas De Respuesta

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2)

R1, R14,
Posible (3) R3, R12, R13
R16, R17
R2, R5,
R7, R9,
Probable (4) R6, R8
R10, R15,
R18, R19
Casi Seguro (5) R11 R4

E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

Teniendo en cuenta los resultados de la matriz de riesgos podemos observar el grado

extremo de peligro en el que se encuentra la fundación ya que todos los riesgos
identificados se determinan en el área roja es decir zona de riesgo extremo.
Para esto es importante tomar las siguientes acciones que ayudarán a mitigar dichos
riesgos:
1. Proponer una mesa de ayuda o de servicios informáticos, que esté dispuesta a buscar y
proponer métodos de solución rápida a dichos problemas que podrían desatarse.
2. Esa mesa de ayuda a su vez debe poseer expertos en las TI, que día a día estén
revisando los sistemas de información, en este caso el MED, en cuanto a
actualizaciones y cambios.
3. Realizar capacitación a los usuarios encargados del sistema, para evitar mal
funcionamiento y datos erróneos de pacientes.

4. Proponer ideas que contribuyan a la búsqueda de sistemas de red más eficaces, que
hagan del trabajo diario uno menos complejo.
5. Realizar por parte del personal encargado de las TI, copias de seguridad, que garanticen
la integridad de los datos reales.
Cada una de estas acciones harán de la Fundación, una entidad reconocida por sus avances
tecnológicos y colaboración a su personal de trabajo, en cuanto a la facilidad de ejercicio
laboral y personal.

Segundo Proceso

DS5 Garantizar la seguridad de los sistemas

Riesgos Iniciales:
1. Actualmente el sistema operativo no tiene soporte y se encuentra desactualizado algunas
aplicaciones ya no son compatibles con este sistema
2. Se encuentran activas cuentas de usuario de personal que ya no labora en la empresa.
3. Se presentan fallas en las comunicaciones originadas por la mala instalación o
configuración de estas
4. No se realizan copias de seguridad de manera periódica de la información sensible en
medios externos.
5. Existen fallas en la seguridad y las comunicaciones originadas por la inadecuada
configuración de los dispositivos de la red.
6. Existe un mínimo control de acceso a direcciones de internet por parte del administrador,
lo que hace insegura a la red de datos
Riesgos Con La Aplicación De Instrumentos

7. No se cuenta con un plan de seguridad sobre los riesgos

8. No hay registros (logs) de la actividad de red aprobada
9. No existen pruebas, vigilancia y monitoreo de la seguridad
10. No se realizan pruebas de resistencia contra el sabotaje
11. No se comunica las políticas de seguridad a los interesados y a los usuarios.

Análisis Y Evaluación De Riesgos

N° Descripción Impacto Probabilidad
R1 Actualmente el sistema operativo no tiene soporte y se 4 3
encuentra desactualizado algunas aplicaciones ya no son
compatibles con este sistema
R2 Se encuentran activas cuentas de usuario de personal que 3 2
ya no labora en la empresa.
R3 Se presentan fallas en las comunicaciones originadas por 3 3
la mala instalación o configuración de estas
R4 No se realizan copias de seguridad de manera periódica de 5 3
la información sensible en medios externos.
R5 Existen fallas en la seguridad y las comunicaciones 3 3
originadas por la inadecuada configuración de los
dispositivos de la red.
R6 Existe un mínimo control de acceso a direcciones de 3 2
internet por parte del administrador, lo que hace insegura
a la red de datos
R7 No se cuenta con un plan de seguridad sobre los riesgos 4 3
R8 No hay registros (logs) de la actividad de red aprobada 3 2
R9 No existen pruebas, vigilancia y monitoreo de la seguridad 3 2
R10 No se realizan pruebas de resistencia contra el sabotaje 4 3
R11 No se comunica las políticas de seguridad a los interesados 3 3
y a los usuarios.
Matriz Para Medición De Probabilidad E Impacto De Riesgos

Resultado Matriz De Riesgos

Evaluación Y Medidas De Respuesta

IMPACTO
PROBABILIDAD Insignificante Catastrófico
Menor (2) Moderado (3) Mayor (4)
(1) (5)

Raro (1)

R2,
Improbable (2)
R6,R8,R9

Posible (3) R3,R5,R11 R1,R7,R10 R4

Probable (4)

Casi Seguro (5)

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

Como se puede ver en la matriz de riesgos resultante tenemos 4 riesgos moderados con una
probabilidad de que dichos eventos ocurran en algún momento en la fundación operación
sonrisa y 3 riesgos moderados con una probabilidad un poco más alta y se deben reducir los
riesgos y evitar, compartir o transferir;
También vemos otros 3 riesgos con un impacto mayor que se pueden presentar en algún
momento y un riesgo mucho mayor relacionado con que no se realizan copias de seguridad
de manera periódica de la información sensible en medios externos y esto puede ser
catastrófico ya que se trabaja con información sensible y puede ocurrir en cualquier
momento.

Tercer Proceso
DS7 educar y entrenar a los usuarios

Riesgos Iniciales

1. Los empleados no están totalmente capacitados en el uso del software corporativo.

2. Los empleados no cuentan con un entrenamiento básico para el uso de la plataforma.
3. Los empleados desconocen los reglamentos corporativos de la empresa.
4. Los empleados no tienen una educación en un plan de contingencia, ni manejan códigos
básicos en indispensables en diferentes eventos de siniestro, me explico si hay una
inundación se debe difundir un código general y que se entienda como delfín en cartera
quiere decir que hay una inundación y así sucesivamente.
5. No hay una comunicación constante y verbal la cual se pierde por diferentes factores los
cuales la principal es la vergüenza del no saber algo.

Riesgos Con La Implementación De Instrumentos

6. No se ha Implementado un programa efectivo de entrenamiento para lograr un uso

efectivo de la tecnología.
7. No se ha implementado procedimientos de estudio y retroalimentación a largo plazo
8. No hay enseñanza y retroalimentación de nuevo software para ser más efectivo y practico
en cada área de trabajo o sector predeterminado.
9. No hay procesos de estudio, los empleados no adquirirán nuevas habilidades y destrezas
correspondientes a las nuevas necesidades y requerimientos de la empresa “más
eficiencia”.
10. El personal no está conforme y tiene muchas quejas y reclamos por el software
corporativo.
11. El personal no tiene el entrenamiento e instrucción requerido para ejecutar procesos
difíciles en cada dependencia.
Análisis Y Evaluación De Riesgos
N° Descripción Impacto Probabilidad
R1 Los empleados no están totalmente capacitados en el uso del 5 5
software corporativo.
R2 Los empleados no cuentan con un entrenamiento básico para el 4 3
uso de la plataforma.
R3 Los empleados desconocen los reglamentos corporativos de la 4 3
empresa.
R4 Los empleados no tienen una educación en un plan de 3 4
contingencia, ni manejan códigos básicos en indispensables en
diferentes eventos de siniestro, me explico si hay una
inundación se debe difundir un código general y que se entienda
como delfín en cartera quiere decir que hay hay una inundación
y así sucesivamente.
R5 No hay una comunicación constante y verbal la cual se pierde 2 3
por diferentes factores los cuales la principal es la vergüenza del
no saber algo.
R6 No se ha Implementado un programa efectivo de entrenamiento 3 4
para lograr un uso efectivo de la tecnología.
R7 No se ha implementado procedimientos de estudio y 3 3
retroalimentación a largo plazo.
R8 No hay enseñanza y retroalimentación de nuevo software para 4 3
ser más efectivo y practico en cada área de trabajo o sector
predeterminado.
R9 No hay procesos de estudio, los empleados no adquirirán nuevas 3 3
habilidades y destrezas correspondientes a las nuevas
necesidades y requerimientos de la empresa “más eficiencia”.
R10 El personal no está conforme y tiene muchas quejas y reclamos 2 2
por el software corporativo.
R11 El personal no tiene el entrenamiento e instrucción requerido 4 4
para ejecutar procesos difíciles en cada dependencia.
Matriz Para Medición De Probabilidad E Impacto De Riesgos

Resultado Matriz De Riesgos

Evaluación Y Medidas De Respuesta

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (3)
(1) (5) (0)
Raro (0)
Improbable (2) R2, R9
Posible (3) R7, R11 R1, R5, R8 R6,
Probable (4) R10 R3, R4,
Casi Seguro (5)

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo

A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

Tomando en cuenta estos resultados se pueden observar zonas de riesgo moderado, riesgo
alto, y riesgo extremo, por esto es indispensable tomar medidas urgentes de capacitación y
entrenamiento a usuarios, los cuales pueden ser el ente directo que afecta al sistema,
sumando las fallas anexas, para lo cual es indispensable tomar medidas de acceso que
garanticen el sano progreso de la organización en sus TI.
 Conclusiones

 En una auditoria se debe evaluar los equipos de cómputo, de un sistema

o procedimiento específico, además habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información.

 La auditoría hecha a la fundación operación Sonrisa, fue de vital importancia para el

buen desempeño de los sistemas de información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

 Se llevo a cabo el diligenciamiento de cada uno de los instrumentos de evaluación,

listas de chequeo, cuestionarios y análisis de riesgo, logrando llegar a importantes
resultados.
 Referencias bibliográficas

1. http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-
para.html

2. ISACA. (2016). Cobit 4.1 en español. Recuperado de

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

3. Soy, C. (agosto, 2003). La auditoría de la información, componente clave de la

gestión estratégica de la información. El Profesional De La Información,
Vol. 12, núm. (4), pp. 261-268. http://eprints.rclis.org/15630/

4. Hernández, E. (2000). Auditoría en informática. Guadalajara, México: Editorial

CECSA.