REF

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE FC01

ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Cajascol S.A.S
1 DE 1
PROCESO AUDITADO Administración e integridad de los sistemas.
RESPONSABLE Katherine Zapata Mosquera
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
 Verificar que los  Realizar pruebas de
permisos de acceso seguridad sobre la red de
asignados a los usuarios datos.
correspondan a su  Verificar que la
perfil de usuario. solicitud, establecimiento,
 Validar que los emisión, suspensión,
procesos de modificación y cierre de
administración de cuentas de usuario, se
Entrevista a los Ingenieros
seguridad, registran en un log del
Elizabeth Narvaez Lopera y administración de sistema o un log de
Jorge Barco Gómez quienes cuentas de usuarios, auditoria.
son los encargados del área medidas de seguridad  Verificar el correcto
informática. física, mantenimiento funcionamiento de los
preventivo del mecanismos de
Hardware se autenticación utilizados.
encuentren  Verificar que se mantiene
documentadas. el nivel de seguridad
 Verificar la existencia aprobado.
de los registros de  Verificar la instalación de
monitoreo de seguridad controles físicos y
y pruebas periódicas. ambientales.

AUDITOR RESPONSABLE:
Katherine Zapata Mosquera

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4

 LISTA CHEQUEO
DS5 Garantizar la Seguridad
DOMINIO Entregar y Dar Soporte (DS) PROCESO
de los Sistemas
OBJETIVO DE CONTROL DS5.3 Administración de Identidad
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
Existe proceso de autenticación para los
1 usuarios internos que solicitan acceso al
sistema de información.
El proceso de autenticación para los
2
usuarios se encuentra documentada.
Existe un repositorio central con la
información de usuarios y sus permisos
3
de acceso al sistema de información de
la institución.
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario
Existe un procedimiento para la emisión,
4 suspensión, modificación y cierre de
cuentas de usuarios.
Existe un procedimiento de aprobación,
donde se describa al responsable
5
encargado de otorgar los privilegios de
acceso.
Los procedimientos de emisión,
suspensión, modificación, cierre y
6 aprobación se están aplicación a los
usuarios internos y externos (incluyendo
administradores).
Se están realizando revisiones regulares
7 de la gestión de todas las cuentas y los
privilegios asociados.
OBJETIVO DE CONTROL DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
Se realizan periódicamente pruebas de
8 monitoreo a la seguridad del acceso al
sistema de información.
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
Existen controles para la información
9
que se envía y recibe desde internet.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4

 PAGINA
ENTIDAD AUDITADA Cajascol S.A.S
1 DE 1
OBJETIVO AUDITORÍA
PROCESO AUDITADO Administración e integridad de los sistemas.
RESPONSABLE Katherine Zapata Mosquera
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas

ENTREVISTADO
CARGO

1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el sistema de
información?

2. ¿Cómo se está realizando y registrando el monitoreo de seguridad?

3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles?

4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros
usuarios?

5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol?

6. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios?

7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol?

8. ¿Cómo el manejo de las incidencias de seguridad?

9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las

cuentas?

10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y

controlar los flujos de información desde y hacia internet?

Firma del Entrevistado Firma del Auditor Responsable

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4

 REF

HALLAZGO

PÁGINA
PROCESO AUDITADO Administración e integridad de los sistemas.
1 DE 1

RESPONSABLE Katherine Zapata Mosquera

MATERIAL DE SOPORTE COBIT 4.1

Entregar y Dar DS5 Garantizar la Seguridad
DOMINIO PROCESO
Soporte de los Sistemas

DESCRIPCIÓN: Se debe incluir el Dónde, Cuando, Hallazgo y Comportamiento esperado.

REF_PT:

CONSECUENCIAS:

RIESGO:

RECOMENDACIONES:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4

 FORMATO CUESTIONARIO
Administración e integridad de los sistemas.
Cuestionario de Control: C1
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas

Pregunta Si No OBSERVACIONES
Al momento de suministrar los datos de acceso al sistema,
¿se informa el rol y las responsabilidades de seguridad?
¿El sistema cuenta con mecanismo de autenticación?,
¿Cuál?
¿Los derechos de acceso del usuario se están solicitando por
la gerencia del usuario?
Los derechos de acceso del usuario solicitados, ¿están
siendo aprobados por el responsable del sistema?
Los derechos de acceso del usuarios solicitados y aprobados,
¿están siendo implementados por el responsable de
seguridad del sistema?
¿Las identidades y los derechos de acceso se almacenan en
un repositorio central?
¿Actualmente se está aprobando todas las acciones
realizadas por la gerencia de cuentas de usuario?
¿El procedimiento de la gerencia de cuentas de usuarios, se
aplica a todos los usuarios, incluyendo administradores,
usuarios externos e internos?
¿Actualmente se está probando y monitoreando la
implementación de la seguridad en TI?
¿Existen controles para la información que se envía y recibe
de Internet?
TOTALES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 4