Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TRABAJO COLABORATIVO 2
PRESENTADO POR:
ALEXSANDER DIAZ GUALDRON
LEIDY VIVIANA RUIZ SAAVEDRA
JAVIER FELIPE MARQUEZ
GRUPO: 90168_56
PRESENTADO A
MARCO ANTONIO LOPEZ OSPINA
TUTOR
INTRODUCCION
OBJETIVOS
Objetivo general
Disear y ejecutar el plan de auditora para la empresa COOPSERVIVELEZ
especificando las vulnerabilidades, amenazas y riesgos segn los procesos COBIT
seleccionados y los respectivos objetivos de control.
Objetivos especficos
Analizar y evaluar los riesgos para el proceso CobIT seleccionado.
Disear y aplicar los instrumentos de recoleccin de informacin segn el proceso
seleccionado como entrevistas, cuestionarios y listas de chequeo.
NOMBRE
ESTUDIANTE
PROCESO COBIT
ESCOGIDO
LEIDY VIVIANA
RUIZ SAAVEDRA
ALEXSANDER
DIAZ
GUALDRON
JAVIER FELIPE
MRQUEZ
PEREZ
P03: Determinar la
direccin tecnolgica
P03: Determinar la
direccin tecnolgica
OBJETIVOS DE CONTROL
P01.2: Alineacin de TI con el
negocio
P01.3: Evaluacin de
desempeo y la capacidad
actual
P03.1: planeacin de la
direccin tecnolgica
P03.4: Estndares tecnolgicos
P03.3: Monitoreo de tendencias
y regulaciones futuras
P03.4 Estndares tecnolgicos
2. Los formatos que cada estudiante diseo ordenados por proceso CobIT para la
recoleccin de informacin.
Leidy Viviana Ruiz Saavedra
Proceso Cobit: P01: Definir un plan estratgico de TI
Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de
desempeo y la capacidad actual
ENTREVISTA
CUESTIONARIO
bueno______
regular______
malo______
deficiente______
6. cree usted que la empresa o negocio necesita de las tecnologas actuales
si______ no______
7. el cuarto de comunicaciones cuenta con sensores de humedad
si______ no______
8. conoce usted el proceso para el apagado correcto de un equipo de computo
si______ no______
9. conoce el riesgo de navegar por portales web de dudosa reputacin
si______ no______
10. conoce usted las prioridades de la empresa en la actualidad
si______ no______
LC1
Planear y Organizar
P01: Definir un plan estratgico de TI
P01.2: Alineacin de TI con el negocio
P01.3: Evaluacin de desempeo y la
capacidad actual
REQUERIMIENTOS A EVALUAR
CUMPLIMIENTO
DE LOS
REQUERIMIENTOS
SI
FECHA DE
REALIZACIN
NO
Observaciones
ENTREVISTA
1. Est permitido a los empleados de la empresa conectar los dispositivos como
telfonos mviles, tabletas a la red de datos de la compaa
2. La informacin relevante de la compaa con qu tipo de seguridad y
confidencialidad se maneja
3. Porque no se cuenta con el servicio de un guarda de seguridad que realice la labor
de vigilancia
4. cuantas personas manejan o conocen la clave de la caja de seguridad
5. con que periodo se realizan simulacros de evacuacin ante desastres naturales
6. las instalaciones son antissmicas
7. con que periodo se realizan mantenimiento de los sistemas de computo
8. el personal encargado de realizar el soporte tcnico a los equipos cuenta con
estudio profesional
9. Por qu no se cuenta con una planta elctrica en caso de ausencia de energa
elctrica
10. los empleados cumplen a satisfaccin con las normas y leyes que rigen la
empresa.
CUESTIONARIO
si______ no______
5. existen planes de contingencia en caso de desastres naturales
si______ no______
6. que piensa sobre dar solucionas tecnolgicas oportunas para la compaa
De acuerdo______
En desacuerdo ______
Totalmente de acuerdo______
7. las tomas de corriente de los equipos de cmputo cuentan con polo a tierra
si______ no______
8. sabe usted a que se refiere el termino Phishing
si______ no______
9. permite que se recuerde la contrasea de su correo electrnico en el equipo donde
usted labora
si______ no______
10. realiza la descarga de software que podra poner en riesgo la informacin de la
empresa
si______ no______
la informacin confidencial de la
empresa se encuentra
resguardada de robo perdida o
dao
existen polticas de seguridad
informtica en la compaa
existen listas de controles sobre
los procesos financieros internos
cuenta con planes de contingencia
en caso de un incidente
ENTREVISTA
Cul es el tipo de controles que se tiene sobre archivos magnticos, de datos que
aseguren la utilizacin de la informacin registrada?
Cules son los instructivos que se les proveen a las personas que intervienen en la
operacin rutinaria de los sistemas?
Cules son los programas que se manejan para el mantenimiento preventivo para
cada equipo?
CUESTIONARIO
SI
NO
LC3
Planear y organizar
P03: Determinar direccin tecnolgica
P03.3: Monitoreo de tendencias y
regulaciones futuras
P03.4 Estndares tecnolgicos
CUMPLIMIENTO DE
FECHA
LOS REQUERIMIENTOS EJECUCIN
SI
NO
Vulnerabilidades
Robos o hurtos dentro de la empresa.
software no actualizado en algunos equipos de cmputo, versin de sistema operativo
Windows xp.
Limitacin en las tecnologas de seguridad.
Ausencia de correccin en errores cometidos.
Radiaciones electromagnticas.
Amenazas
Incursin de hackers.
Software malicioso
Uso de ingeniera social para adquirir informacin.
Presencia de scam es decir la utilizacin de estafas a travs de los medios tecnolgicos.
Fallos elctricos.
Virus en los pcs.
Ausencia de capacitacin para los empleados sobre el manejo adecuado de los medios
tecnolgicos.
Filtracin de datos por utilizacin inadecuada.
Uso desmedido de las redes sociales.
Descarga inadecuada de software no autorizado y potencialmente daino.
Desconocimiento del sistema masivo de prevencin de riesgos.
Desconocimiento o desinformacin de los riesgos en la web que pueden afectar los
Riesgos
Alto
61-100%
Probabilid
ad
Medio
31-60%
Bajo
0-30%
Zona de
riego
moderado
zona de
riesgo
tolerante
zona de
riesgo
aceptable
leve
Zona de
zona de
riesgo
riego
importante inaceptable
zona de
Zona de
riesgo
riesgo
moderado
importante
zona de
Zona de
riesgo
riego
tolerante
moderado
moderado catastrfico
impacto
Evaluacin de riesgos
N
R1
Descripcin
Perdida de
informacin
confidencial por
procedimientos
incorrectos.
PROBABILIDAD
Baja
Media
Alta
Lev
e
IMPACTO
Moderado
Catastrfico
x
x
R2
R3
R4
R5
R6
R7
R8
R9
R10
R11
Mala utilizacin de
Las herramientas de
seguridad
informtica.
Falta
confidencialidad de
la informacin
interna de la
empresa.
Ausencia de
antivirus adecuado
que regule y proteja
el sistema
informtico en
general
Falta de proteccin
fsica para los
equipos presentes en
la empresa en caso
de daos potenciales
Falta de tcnicas de
recuperacin de
informacin prdida.
Malos manejos en el
registro de
informacin.
Falta de adaptacin
al cambio por parte
del personal de
trabajo.
Ingreso errneo de
informacin de los
usuarios en las bases
de datos.
x
x
Personal a cargo
inadecuado.
R12
R13
R1,R3,R4,R5,
R13
x
R7,R8,R9
leve
R2,R6,R10,R11
,R12
x
moderado
catastrfico
impacto
Matriz de riesgos
Escala de probabilidad:
Bajo: Cuando el riesgo se presenta espordicamente 1 0 2 veces en el ao
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que
se presenten errores todo los das o varias veces en una hora, por lo tanto la medicin de be
hacerse de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, tambin hay
que tener en cuenta si se est evaluado el rea informtica, sus activos de hardware, el
personal o uno de los sistemas especficamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organizacin
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrfico: Cuando se paraliza completamente la actividad en la organizacin
9
10
11
12
13
Amenazas:
1
2
Riesgos:
1
2
3
4
5
6
7
8
9
10
11
12
13
Alto
61-100%
Probabilida
d
Medio
31-60%
Bajo
0-30%
Zona de
riego
moderado
zona de
riesgo
tolerante
zona de
riesgo
aceptable
leve
Zona de
riesgo
importante
zona de
riesgo
moderado
zona de
riesgo
tolerante
moderado
impacto
Evaluacin de Riesgo
zona de riego
inaceptable
Zona de riesgo
importante
Zona de riego
moderado
catastrfico
Matriz de Riesgo
R14, R16,
R17,R20,R21,
R22
Alto
61-100%
Probabilida
d
Medio
31-60%
Bajo
0-30%
R15,R18,R25
R19,R23,R24,
R26
leve
moderado
catastrfico
impacto
Vulnerabilidades
Amenazas
1
2
3
4
5
6
7
8
9
10
Riesgos
14
15
16
17
18
19
20
21
22
23
EVALUACION DE RIESGOS
Descripcin
R1
R2
R3
R4
PROBABILIDAD
Baja Media Alt
a
X
IMPACTO
Lev Moderado
e
X
X
Catastrfico
R5
Alto
Medio
31-60%
R6
R10, R9
Falta de actualizacin
los aplicativos y
Probabilidpara
Bajo
herramientas
ad
0-30%
R4
leve
R7
R1,R2,R3,R5,R
7.R8
moderado
catastrfico
impacto
R8
R9
R1
0
Matriz de riesgos
CONCLUSIONES
REFERENCIAS BIBLIOGRAFICAS
las
profesiones
de
consultor
auditor.
Recuperado
el
21
de
octubre
de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1351
Brun R. (Agosto 2003). Herramientas de auditoria. Recuperado el 21 de octubre de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1352
Muoz Razo Carlos. (2000). Auditoria en Sistemas computacionales. Mxico. Editorial
Pearson Educacin. Recuperado el 21 de septiembre de: http://books.google.es/books?
id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage&q&f=false