TC4 90168 56

AUDITORIA DE SISTEMAS
TRABAJO COLABORATIVO 4
PRESENTADO POR:
ALEXSANDER DIAZ GUALDRON COD: 13957813
LEIDY VIVIANA RUIZ SAAVEDRA COD: 1101755181
JAVIER FELIPE MARQUEZ PEREZ COD: 981229006620
GRUPO: 90168_56
PRESENTADO A
MARCO ANTONIO LOPEZ OSPINA
TUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DICIEMBRE 13 DE 2016
CEAD VELZ
INTRODUCCION
El trabajo final integra todas y cada una de las actividades desarrolladas durante el proceso
de construccin del conocimiento en el curso auditoria de sistemas, resultado del anlisis y
teniendo en cuenta cada uno de las distintas fases desarrolladas. El trabajo se orienta a la
aplicabilidad de los estudios en auditoria de sistemas, aproximndonos a la identificacin
de la necesidad de realizar planes de auditoria, esencialmente retomando los marcos
referenciales de la compaa COOPSERVIVELEZ , en el cual se toman algunos aspectos
de la misma, dando a conocer la seleccin de controles COBIT que parte desde la
estructura del mismo en dominios, procesos y objetivos de control, lo cual deriva la
caracterizacin del negocio y por consiguiente el dictamen del negocio con sus respectivos
hallazgos y controles recomendados.
OBJETIVOS
Objetivo general
Sintetizar plan de auditora para una empresa orientada en TI integrando las

actividades desarrolladas, especificando controles de informacin, los dominios,
procesos y objetivos de control, en el marco COBIT 4.1.
Objetivos especficos
Identificar el plan de tratamiento de la auditoria de acuerdo al nivel de hallazgos y

riesgos detectados
Plantar una solucin sobre los problemas encontrados en la auditoria.
1 Seleccin de la empresa
SINTESIS DEL PROCESO
Cada participante presenta una empresa orientado a la prestacin de servicios tic, donde
realiza un diagnstico para hallar amenazas vulnerabilidades y riegos. Al igual traza la
propuesta del plan de auditoria a seguir.
Seguidamente se selecciona la compaa COOPSERVIVELEZ es un organismo

cooperativo privado.
Objeto : Prestar actividades especializada de Ahorro y Crdito y Crdito para sus asociados
y para la comunidad en general el recaudo de servicios pblicos, mediante convenio con
diferentes Empresas.
Referente TIC En la actualidad han aumentado los puestos de trabajo como la adquisicin
por parte de la empresa de equipos de cmputo y redes de datos, situacin que ha hecho que
la entidad requiera de una mayor supervisin de sus procesos informticos.
OBJETIVOS DE LA AUDITORIA
Llevar a cabo un plan de auditoria con el fin de realizar una revisin exhaustiva a
cerca de las redes informticas y fsicas disponibles en la entidad financiera
COOPSERVIVELEZ.
Realizar la construccin y planificacin detallada de cada uno de los procesos de la

auditoria a implementar.
Brindar recomendaciones con respecto a la confidencialidad y seguridad de la informacin

y de los datos internos que se manejan en la empresa.
Ejecutar cada uno de los procesos planteados adecuadamente con el fin de lograr resultados
integrales.
Ofrecer soluciones asertivas sobre los procesos inadecuados encontrados, para lograr el
mejoramiento de las deficiencias encontradas dentro de la entidad financiera.
Evaluar y controlar los sistemas informticos con el fin de verificar si sus procesos son
correctos.
2 el plan de la auditora
PLAN DE AUDITORIA
Antecedentes
COOPSERVIVELEZ es un organismo cooperativo de primer grado, de derecho

privado, sin nimo de lucro, con actividad especializada de Ahorro y Crdito, debidamente
autorizada por Superintendencia de la Economa Solidaria segn Resolucin 1554 del 22 de
diciembre de 2000, para ejercer esta actividad. Cuenta con sedes propias y la
infraestructura tcnica, tecnolgica y recurso humano suficientes para el desarrollo de sus
actividades. La entidad igualmente se halla inscrita al FOGACOOP.
COOPSERVIVELEZ presta en la actualidad como su nombre lo indica los servicios

de Ahorro y Crdito para sus asociados y para la comunidad en general el recaudo de
servicios pblicos, mediante convenio con diferentes Empresas. Igualmente por convenio
con entidades del sector Cooperativo como Coofuneraria Los Olivos y Seguros La Equidad,
se presta los servicios de seguros a nuestros asociados, servicios que presta a travs de seis
oficinas ubicadas en los municipios de Vlez, Bolvar, Chipata, Landzuri, Cimitarra y en
el Corregimiento de Alto Jordn.
En la actualidad han aumentado los puestos de trabajo como la adquisicin por parte
de la empresa de equipos de cmputo y redes de datos, situacin que ha hecho que la
entidad requiera de una mayor supervisin de sus procesos informticos.
Objetivos
Objetivo general
Llevar a cabo un plan de auditoria con el fin de realizar una revisin exhaustiva a
cerca de las redes informticas y fsicas disponibles en la entidad financiera
COOPSERVIVELEZ.
Objetivos especficos
Realizar la construccin y planificacin detallada de cada uno de los procesos de la

auditoria a implementar.
Brindar recomendaciones con respecto a la confidencialidad y seguridad de la
informacin y de los datos internos que se manejan en la empresa.
Ejecutar cada uno de los procesos planteados adecuadamente con el fin de lograr
resultados integrales.
Ofrecer soluciones asertivas sobre los procesos inadecuados encontrados, para
lograr el mejoramiento de las deficiencias encontradas dentro de la entidad
financiera.
Evaluar y controlar los sistemas informticos con el fin de verificar si sus procesos
son correctos.
Alcance y delimitacin
El presente plan de auditoria informtica para la cooperativa COOPSERVIVELEZ

pretende realizar una evaluacin general de los procesos informticos y de su seguridad
fsica con el fin de salvaguardar y proteger los bienes tangibles e intangibles que la entidad
posee en cuanto a infraestructura tecnolgica, para permitir una mayor conservacin de los
bienes fsicos e informticos.
Instalaciones fsicas a evaluar:
Redes elctricas
Redes de datos
Equipos informticos
Control de acceso y seguridad fsica al cuarto de comunicaciones.
Recursos lgicos informticos a evaluar:
legalidad del software

bakup de la informacin
monitoreo de la red de datos
actualizacin de software.
Administracin del sistema.
Metodologa:
1. Investigacin preliminar: se pretende realizar una visita a la compaa con el fin de

indagar y entrevistar a cada uno de sus colaboradores acerca de los procesos
informticos que se ejecutan en la actualidad y conocer el punto de vista que tienen
acerca del mobiliario informtico y tecnolgico con el que cuenta la empresa.
2. Recolectar informacin: creacin de entrevistas, checklist , cuestionarios, pruebas,

seleccin de estndar a aplicar, cronograma de actividades.
3. Aplicacin de instrumentos: realizar las entrevistas pertinentes a los funcionarios de

la empresa que manejan los recursos informticos, de igual manera se aplicara el
checklist que permitan identificar las falencias que presentan los recursos
informticos de la compaa, aplicar los cuestionarios que permitan la identificacin
de riesgos que afecten las TIC de la empresa.
4. Ejecucin de las pruebas: se realiza la ejecucin de pruebas para hallar las fallas en
el sistema informtico y los procesos internos de la entidad financiera.
5. Realizar el proceso de anlisis y evaluacin de riesgos: se lleva a cabo la realizacin

del cuadro de vulnerabilidades, amenazas y riesgos que se encuentran presentes en
la empresa, realizar la elaboracin del mapa o matriz de riesgos.
6. Tratamiento de riesgos: se definen las soluciones encontradas para aplicarlas en la

entidad, definir el tratamiento de los riesgos segn lo hallado en la matriz de
riesgos, se propone una serie de controles de acuerdo a la norma de buenas prcticas
aplicada.
7. Dictamen de la auditora: determinar el grado de excelencia que la empresa aplica

en cada uno de sus procesos, para hallar el nivel evolutivo de la entidad en cuanto a
sus procesos internos y de desarrollo.
8. Informe final de auditora: se elaborara y entregara un informe final a la gerencia de

la empresa presentando las dificultades encontradas en el proceso de auditora,
entregando evidencia fsica de los problemas encontrados, que permitan generar
recomendaciones para ser aplicadas segn el criterio de la organizacin.
Recursos
Humano: para llevar a cabo este proceso de auditoria informtica se contara con
cinco ingenieros de sistemas especializados en estndares informticos.
Fsicos: instalaciones internas de COOPSERVIVELEZ y dems sucursales, centro

de cmputo de cada puesto de trabajo, cuarto de comunicaciones.
Tecnolgicos: equipos de cmputo e impresin, software, dispositivos de datos
como router, Access point, swicht, rack de datos.
Recursos econmicos:
ITEM CANTIDAD VALOR VALOR

UNITARIO TOTAL
Computador 3 $2.456.000 $7.368.000
Cmara fotogrfica 3 $565.000 $1.695.000
tester de cable utp 3 $120.000 $360.000
multmetro 3 $96.000 $288.000
papelera y tiles de 1 $35.000 $35.000
oficina
Gastos Generales 1 $560.000 $560.000
(Cafetera, imprevistos,
transportes etc.)
pago de honorarios 5 $1.200.000 $6.000.000
mensuales se requiere de 5
ingenieros por un periodo
de 3 meses
TOTAL DE GASTOS $5.032.000 $16.306.000

Cronograma de actividades
CRONOGRAMA DE ACTIVIDADES
PLAN DE AUDITORIA COOPSERVIVELEZ
DURACI N DE LA EJECUCI N DEL PLAN DE AUDITO RIA EN MESES
MESES Y SEMANAS
N ACTIVIDAD
1 2 3
semana semana semana semana semana semana semana semana semana semana semana semana
1 2 3 4 1 2 3 4 1 2 3 4
1 Definicion plan de auditoria x
entrevista con la gerencia de la

2 x
empresa a auditar
entrevista con los empleados de
3 x
cada una de las sedes
4 aplicacin del modelo de auditoria x
5 recopilacion de la informacion x
6 verificacion del hadware x
7 verificacion del software x
verificacion de la red de datos y

8 x
electrica
evaluacion de cumplimiento de
9 x
objetivos
10 analisis de resultados x x
11 redaccion de informe final x
12 entrega resultados auditoria x
3 los dominios procesos y objetivo de control seleccionados
Dominio:
PLANEAR Y ORGANIZAR
Procesos:
P01 Definir un Plan Estratgico de TI.
Las prioridades del negocio en la actualidad es llegar a cada uno de los clientes de
manera acertada utilizando las TI y vencer la brecha digital que existe en la actualidad, pues
el mercado actual gira entorno a las tecnologas de la informacin y comunicacin, siendo
as se plantea gestionar y dirigir todos los recursos de TI en lnea con la estrategia y
prioridades del negocio. La funcin de TI y los interesados del negocio son responsables de
asegurar que el valor ptimo se consigue desde los proyectos y el portafolio de servicios. El
plan estratgico mejora la comprensin de los interesados clave de las oportunidades y
limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos
de recursos humanos, y clarifica el nivel de investigacin requerido. La estrategia de
negocio y prioridades se reflejarn en portafolios y se ejecutarn por los planes estratgicos
de TI, que especifican objetivos concisos, planes de accin y tareas que estn comprendidas
y aceptadas tanto por el negocio como por TI.
Objetivos de control:
PO1.2 Alineacin de TI con el Negocio

Es necesario Educar para evolucionar a los ejecutivos de la compaa
COOPSERVIVELEZ sobre las capacidades tecnolgicas actuales y las
oportunidades que ofrece, Es importante que la empresa comprenda y entienda que
es de vital necesidad que se tenga una alineacin TI, se debe focalizar las metas
claras de la empresa para que estas sean visibles y ejecutables, de tal modo que se
puedan establecer prioridades concertadas.
PO1.3 Evaluacin del Desempeo y la Capacidad Actual

Se debe evaluar a la entidad financiera sobre los planes y procesos internos de los
sistemas financieros e informticos donde reposa la informacin de los clientes,
adems se debe contar con un profesional en ingeniera de sistemas encargado de
planear dirigir, controlar, asesorar y asegurar los procesos informticos de la
empresa
Procesos:
P03. Determinar la Direccin Tecnolgica.
Se debe enfocar a la empresa COOPSERVIVELEZ en cuanto a la creacin de un plan

de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre
expectativas reales y los beneficios de lo que la tecnologa puede ofrecer en esta compaa,
debido a que la empresa ha crecido ha aumentado el volumen de sus activos informticos,
por tal motivo se debe contar con una mesa de ayuda encargada de abarcar aspectos como
arquitectura de sistemas, direccin tecnolgica, planes de adquisicin, estndares,
estrategias de migracin y contingencias, esto permite contar con una respuesta oportuna en
tiempo real sobre mejoras tecnolgicas que se deben implementar para que el negocio baya
a la vanguardia en los ltimos estndares de las TI.
La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar

soporte al negocio, por ello es fundamental el ejercicio del diseo e implementacin de
infraestructura tecnolgica y de un comit de arquitectura que trace y administre
expectativas coherentes y concisas con el lineamiento que se exigen, de manera que se
minimicen riesgos para la compaa.
Objetivos de control:
PO3.1 Planeacin de la Direccin Tecnolgica
En consecuencia se escoge una direccin tecnolgica a trabajar para que esta sea
materializada, junto con la arquitectura de sistemas de negocio, concertando que
tecnologas tienen el potencial de crear oportunidades de negocio, debe abarcar
aspectos de contingencia de los componentes de la infraestructura.
Es necesario el exhaustivo anlisis de las tecnologas existentes y emergentes, al

mismo tiempo la toma de decisiones referidas a plantear cual sera la direccin
tecnolgica ms apropiada para poder materializar la estrategia TI y la arquitectura
de sistemas de la compaa. Es primordial la identificacin de las tecnologas son
las que renen el potencial de oportunidades de negocio. Este ejercicio deriva en un
plan que debe contener arquitectura de sistemas, la direccin tecnolgica y
estrategias de migracin de aspectos de contingencia de los componentes de la
infraestructura.
PO3.2 Plan de la infraestructura tecnolgica
Es fuerte la creacin y mantenimiento de un plan de infraestructura tecnolgica que
est de acuerdo con los planes estratgicos y tcticos de TI. Este plan para que aloje
resultados favorables para el negocio, se centra en la direccin tecnolgica e incluye
acuerdos para contingencias y la marcacin de la ruta de adquisicin de equipos,
aplicaciones y recursos tecnolgicos, ha de tener muy presente el ambiente
competitivo, las economas de escala para inversiones. La urgente necesidad que
traza necesidades personal con fuertes competencias digitales, tecnolgicas y
comunicacionales, en diversos recursos y sistemas de informacin y con la
capacidad de plantear planes de mejora y avance pertinente de las plataformas y sus
aplicaciones
PO3.4 Estndares Tecnolgicos

Dar soluciones tecnolgicas oportunas para la entidad financiera que sean efectivas
y seguras, brindar asesora sobre todos los productos e infraestructura tecnolgica
actual, adems se medir el cumplimiento de estos estndares y directrices, que
permitan mitigar y controlar riesgos que pongan en peligro la seguridad de la
empresa.
4 por cada proceso los instrumentos aplicados
Proceso Cobit: P01: Definir un plan estratgico de TI
Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de

desempeo y la capacidad actual
ENTREVISTA
1. los empleados realizan el borrado de la informacin de aos anteriores con o sin
autorizacin de un supervisor
2. Cul es el procedimiento que se realiza para la destruccin de la informacin de
manera fsica como cartas oficios cds , tirillas del sistema
3. Los empleados de la compaa estn capacitados o cuentan con conocimientos en
las tics
4. La empresa cuenta con planes de recuperacin de la informacin por fallas en los
sistemas de computo
5. el personal con el que se cuenta es idneo y esta consiente y apto sobre los
posibles cambios que pueden ocurrir en la entidad
6. a la hora de ingresar la informacin de registro de las transacciones financieras, el
funcionario est totalmente lucido y consiente del procedimiento que realiza en
cuanto al registro de informacin
7. Los activos informticos cuentan con una pliza en caso de algn dao fsico,
prdida o robo
8. Los funcionarios cuentan con los estudios conocimientos adecuados para ejercer el
cargo asignado
9. La red informtica cuenta con un sistema de antivirus legal
10. con que frecuencia se realiza el bakup de la informacin importante de la empresa.
CUESTIONARIO
1. Es necesario capacitar al personal de la empresa sobre las nuevas tecnologas
si______ no______
2. Dentro de la entidad se han desarrollado evaluaciones de desempeo
si______ no______
3. usted conoce los planes y procesos internos del sistema financiero de la empresa
si______ no______
4. la empresa cuenta con un profesional en ingeniera de sistemas
si______ no______
5. como considera usted el servicio ofrecido por la empresa
excelente______
bueno______
regular______
malo______
deficiente______
6. cree usted que la empresa o negocio necesita de las tecnologas actuales
si______ no______
7. el cuarto de comunicaciones cuenta con sensores de humedad
si______ no______
8. conoce usted el proceso para el apagado correcto de un equipo de computo
si______ no______
9. conoce el riesgo de navegar por portales web de dudosa reputacin
si______ no______
10. conoce usted las prioridades de la empresa en la actualidad
si______ no______
LISTA DE CHEQUEO COOPSERVIVELEZ
Cuestionario de control LC1
Dominio Planear y Organizar
Proceso P01: Definir un plan estratgico de TI
Objetivo de control P01.2: Alineacin de TI con el negocio
Objetivo de control P01.3: Evaluacin de desempeo y la
capacidad actual
FECHA DE
CUMPLIMIENTO REALIZACIN
REQUERIMIENTOS A EVALUAR DE LOS
REQUERIMIENTOS
SI NO
los empleados de la empresa cuentan con capacitacin en las tics
La empresa cuenta con planes de recuperacin de la informacin por

fallas en los sistemas de computo
La red informtica cuenta con un sistema de antivirus legal
Los activos informticos cuentan con una pliza en caso de algn

dao fsico, prdida o robo
se realiza el bakup de la informacin importante de la empresa
el cuarto de comunicaciones cuenta con sensores de humedad
los empleados cumplen las normas y leyes de la empresa

el personal est capacitado adecuadamente contra desastres naturales
hay polticas claras sobre el uso y riesgos de internet

se realizan bakup de informacin peridicamente
Funciona correctamente la red de datos disponible en la entidad.
la informacin confidencial est debidamente resguardada
son adecuados los procesos de servicio ofrecidos por la empresa
Observaciones
Firma del ingeniero Auditor Firma Gerente de la empresa
Proceso Cobit: P03: Determinar la direccin tecnolgica
Objetivos de control: P03.1: planeacin de la direccin tecnolgica, P03.4: Estndares

tecnolgicos.
ENTREVISTA
1. Est permitido a los empleados de la empresa conectar los dispositivos como

telfonos mviles, tabletas a la red de datos de la compaa
2. La informacin relevante de la compaa con qu tipo de seguridad y
confidencialidad se maneja
3. Porque no se cuenta con el servicio de un guarda de seguridad que realice la labor
de vigilancia
4. cuantas personas manejan o conocen la clave de la caja de seguridad
5. con que periodo se realizan simulacros de evacuacin ante desastres naturales
6. las instalaciones son antissmicas
7. con que periodo se realizan mantenimiento de los sistemas de computo
8. el personal encargado de realizar el soporte tcnico a los equipos cuenta con
estudio profesional
9. Por qu no se cuenta con una planta elctrica en caso de ausencia de energa
elctrica
10. los empleados cumplen a satisfaccin con las normas y leyes que rigen la
empresa.
CUESTIONARIO
1. existe en la empresa un plan de infraestructura tecnolgica
si______ no______
2. se cuenta con un inventario actualizado de los activos informticos de la empresa

si______ no______
3. la empresa cuenta con una mesa de ayuda encargada de realizar soporte tcnico a
los equipos informticos
si______ no______
4. conoce usted la funcin de los servicios de informacin
si______ no______
5. existen planes de contingencia en caso de desastres naturales
si______ no______
6. que piensa sobre dar solucionas tecnolgicas oportunas para la compaa
De acuerdo______
En desacuerdo ______
Totalmente de acuerdo______
7. las tomas de corriente de los equipos de cmputo cuentan con polo a tierra
si______ no______
8. sabe usted a que se refiere el termino Phishing
si______ no______
9. permite que se recuerde la contrasea de su correo electrnico en el equipo donde

usted labora
si______ no______
10. realiza la descarga de software que podra poner en riesgo la informacin de la

empresa
si______ no______
LISTA DE CHEQUEO COOPSERVIVELEZ

Cuestionario de control LC2
Dominio Planear y Organizar
Proceso P03: Determinar la direccin tecnolgica
Objetivo de control P03.1: planeacin de la direccin
tecnolgica
Objetivo de control P03.4: Estndares tecnolgicos
tem a evaluar cumple no cumple observaciones
la informacin confidencial de la
empresa se encuentra
resguardada de robo perdida o
dao
existen polticas de seguridad

informtica en la compaa
existen listas de controles sobre

los procesos financieros internos
cuenta con planes de contingencia

en caso de un incidente
la compaa cuenta con un plan

que permita realizar los bakup de
la informacin
la empresa cuenta con un sistema

de control y acceso al cuarto de
comunicaciones
se lleva una bitcora de las

actividades que realiza los
administradores del sistema
se cuenta con polticas para el

manejo de internet
se realizan simulacros que
permitan llevar a cabo la
evacuacin de las instalaciones en
caso de inundaciones terremotos
incendios
se cuenta con extintor, camilla y

botiqun de primeros auxilios
Proceso Cobit: P03: Determinar la direccin tecnolgica
Objetivos de control: P03.3: Monitoreo de tendencias y regulaciones futuras, P03.4:

Estndares tecnolgicos.
ENTREVISTA
Existe un responsable encargado de la verificacin de que los equipos funcionen

conforme las necesidades del usuario?
Se tiene control adecuado sobre sistemas y programas que estn en operacin?

Puede el operador modificar los datos de entrada de los equipos?
Cul es el tipo de controles que se tiene sobre archivos magnticos, de datos que
aseguren la utilizacin de la informacin registrada?
Cul es la estrategia y tipos de controles del acceso a la documentacin de
programas o aplicaciones rutinarias?
Cules son los instructivos que se les proveen a las personas que intervienen en la
operacin rutinaria de los sistemas?
Existen instructivos de operacin para cada aplicacin, que identifique sistemas,
programas, etiquetas de archivo de salida, fechas de creacin y expiracin?
Cul es la periodicidad de actualizacin de procedimientos y equipos?
Existe un control que asegure la justificacin de los procesos en el computador?
Cules son los programas que se manejan para el mantenimiento preventivo para
cada equipo?
Se tienen identificados en los equipos los archivos con informacin confidencial y
cuenta con claves de acceso?
Con que periodicidad se borran archivos de los dispositivos de almacenamiento
cundo estos se desechan?
Quienes realizan la entrega de documentos de salida y en que formatos son
entregados?
Se manejan controles de salida, copias de archivos en otros equipos y qu tipo
de confidencialidad tienen estos equipos?
Se lleva un registro de utilizacin de equipos, con qu periodicidad, al igual que de
los sistemas en lnea, de manera que se mida la eficiencia de los mismos?
CUESTIONARIO
Se controla el uso de los equipos de cmputo fuera del SI NO

horario de atencin
Puede alguien ingresar sin autorizacin a los equipos
Se mantiene libertad absoluta para descarga de archivos y
programas
Se presenta afectacin constante por virus
Existen equipos con alta periodicidad para restriccin de
su uso por daos
Existen bajas de paquetes de archivos de datos que
resguarda informacin solicitada por el usuario
Se genera entrenamiento constante a los operadores de los
equipos sobre actualizaciones o innovaciones
tecnolgicas
Existe el registro de todos los procesos realizados en los
equipos
Se verifica la existencia de pasword para garantizar la
operacin de los equipos
Se permite la utilizacin de dispositivos ajenos al centro
Existe la `posibilidad de recuperacin de datos ante fallas
del sistema
Se genera libertad para descarga de aplicaciones y
programas
Se verifica la informacin proveniente de equipos
externos
Existen privilegios o niveles de seguridad de acceso
suficientes
Se realizan peridicamente copias de seguridad
LISTA DE CHEQUEO COMPAIA COOPSERVIVELEZ
CUESTIONARIO DE CONTROL LC3

DOMINIO Planear y organizar
PROCESO P03: Determinar direccin tecnolgica
OBJETIVO DE CONTROL P03.3: Monitoreo de tendencias y

regulaciones futuras
OBJETIVO DE CONTROL P03.4 Estndares tecnolgicos
REQUERIMIENTOS A EVALUAR CUMPLIMIENTO DE FECHA
LOS REQUERIMIENTOS
EJECUCIN
SI NO
Existencia de registro de los sistemas en operacin
Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del

usuario
Existen formatos y reportes generados peridicamente.
Existencia de los estudios de viabilidad y caractersticas de

los equipos actuales
Existencia de proyectos sobre ampliacin de equipos, su

actualizacin
Existencia de contratos de compra y mantenimientos de

equipo y sistemas.
Evidencia de diversos convenios de respaldo.

Existen contratos de seguros orientados al equipamiento.
Existe hoja de vida de cada equipo con sus caractersticas
esenciales.
Existencia de plizas de seguro empresarial
Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del

usuario
OBSERVACIN
5 el anlisis, evaluacin de los riesgos y la matriz de riesgos.
Vulnerabilidades
Robos o hurtos dentro de la empresa.

software no actualizado en algunos equipos de cmputo, versin de sistema operativo
Windows xp.
Limitacin en las tecnologas de seguridad.
Ausencia de correccin en errores cometidos.
Radiaciones electromagnticas.
Movimientos ssmicos repentinos.
Poca eficiencia en el servicio al cliente.
Falta de soporte tcnico. Falta de atencin hacia las restricciones internas.
Personal no confiable.
Desorganizacin del cableado.
Libertad de uso inadecuado en los sistemas internos de la empresa.
Ausencia de monitorizacin constante de la seguridad de la empresa.
Amenazas
Incursin de hackers.
Software malicioso
Uso de ingeniera social para adquirir informacin.
Presencia de scam es decir la utilizacin de estafas a travs de los medios tecnolgicos.
Fallos elctricos.
Virus en los pcs.
Ausencia de capacitacin para los empleados sobre el manejo adecuado de los medios
tecnolgicos.
Filtracin de datos por utilizacin inadecuada.
Uso desmedido de las redes sociales.
Descarga inadecuada de software no autorizado y potencialmente daino.
Desconocimiento del sistema masivo de prevencin de riesgos.
Desconocimiento o desinformacin de los riesgos en la web que pueden afectar los
procedimientos internos de la empresa.
Presencia de Phishing.
Riesgos
Perdida de informacin confidencial por procedimientos incorrectos.

Mala utilizacin de Las herramientas de seguridad informtica.
Falta confidencialidad de la informacin interna de la empresa.
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en general.
Falta de proteccin fsica para los equipos presentes en la empresa en caso de daos
potenciales.
Falta de tcnicas de recuperacin de informacin prdida.
Malos manejos en el registro de informacin.
Falta de adaptacin al cambio por parte del personal de trabajo.
Ingreso errneo de informacin de los usuarios en las bases de datos.
Personal a cargo inadecuado.
Falta de control del fluido elctrico.
Falta de actualizacin para los aplicativos y herramientas utilizadas por la empresa.
Falta de bakup de informacin importante.
Evaluacin de riesgos
PROBABILIDAD IMPACTO
N Descripcin Baja Media Alta Leve Moderado Catastrfico
R1 Perdida de x
informacin
confidencial por x
procedimientos
incorrectos.
R2 Mala utilizacin de
Las herramientas de x x
seguridad
informtica.
R3 Falta
confidencialidad de
la informacin x x
interna de la
empresa.
R4 Ausencia de
antivirus adecuado
que regule y proteja
el sistema x x
informtico en
general
R5 Falta de proteccin
fsica para los
equipos presentes en x x
la empresa en caso
de daos potenciales
R6 Falta de tcnicas de
recuperacin de
informacin prdida. x x
R7 Malos manejos en el
registro de
informacin. x x
R8 Falta de adaptacin
al cambio por parte x
del personal de x
trabajo.
R9 Ingreso errneo de
informacin de los
usuarios en las bases x x
de datos.
R10 Personal a cargo

inadecuado. x x
R11 Falta de control del

fluido elctrico. x x
R12 Falta de actualizacin

para los aplicativos y
herramientas x x
utilizadas por la
empresa.
R13 Falta de bakup de
informacin x x
importante.
Matriz de riesgos
Alto
61-100% R1,R3,R4,R5,R13
Medio
31-60% R2,R6,R10,R11,R12
Probabilidad Bajo
0-30% R7,R8,R9
leve moderado catastrfico
impacto
Vulnerabilidades:
1. Descuido de puesto de trabajo

2. los equipos de cmputo no cuentan con guayas de seguridad
3. no se cuenta con un manual de poltica de seguridad informtica y de datos
personales
4. reciclaje inadecuado de documentacin interna de la empresa
5. no se cuenta con sensores de humo
6. los equipos informticos no cuentan con sellos de seguridad que impidan la apertura
por parte de los empleados de los dispositivos
7. los computadores no cuentan con contraseas de inicio , cuando se encienden
8. los computadores ,impresoras, escneres, etc.; de la empresa no se encuentran
contramarcados con etiquetas para activos fijos, que permitan una identificacin de
la compaa
9. no se ha realizado un estudio de Auditoria informtica a la empresa para detectar
vulnerabilidades, amenazas y riesgos informticos
10. ausencia de clima organizacional
11. Deficiente instalacin de redes de cableado y energa.
12. Existen cables dispuestos al ingreso del sitio a la vista del pbico
13. Puestos de trabajo rotatorios sin asignacin fija
Amenazas:
1. Fallas en la utilizacin de los sistemas

2. no se cuenta con sensores de humedad , que permita medir los niveles de humedad
en los cuartos de comunicaciones
3. consumo de bebidas cerca a los equipos de computo
4. fuga de datos en CD/DVD, que no son destruidos de manera adecuada
5. no se cuenta con un experto en seguridad informtica
6. apagado incorrecto de los equipos de computo
7. la empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
8. divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
9. algunos empleados dejan abiertos los correos electrnicos cuando al iniciar seccin
permite que se recuerden los datos en el equipo
10. No hay garante de seguridad en dispositivos y equipamiento
11. Cristalizacin de los cables por la disposicin al sol y el agua
12. Ambiente laboral afectado por ubicacin de elementos requeridos para las tareas
asignadas
Riesgos:
1. Presencia masiva de dispositivos mviles en la red que pueden perjudicar el libre

funcionamiento del sistema interno
2. no cumplimiento de las leyes y normas que rigen a la compaa
3. Falta de vigilancia, es decir un empleado que realice la labor de vigilancia en el da
y noche.
4. ausencia de un reforzamiento especial y ms adecuado en las instalaciones donde
se encuentran las cantidades de dinero
5. falta de control para la reduccin de costos innecesarios para la compaa
6. Falta de revisin diaria a los procesos del personal subordinado por parte del
gerente de la entidad.
7. No todos los equipos informticos son alimentados mediante UPS
8. desconocimiento sobre los procesos de evacuacin sobre riesgos y desastres
naturales
9. No cuentan an con una planta elctrica en caso de bajonazos y cortes de luz
10. falta de determinacin si se deben efectuar cambios en el manejo de la informacin
11. Colapso en cualquier momento de la red
12. Interferencia en la red.
13. Inseguridad de cada uno de los trabajadores.
Evaluacin de Riesgo
Probabilidad Impacto
N Descripcin Baja Media Alta Leve Moderado Catastrfico
Presencia
masiva de
dispositivos
x x
mviles en la red
que pueden
R14 perjudicar el libre
no cumplimiento
de las leyes y x x
R15 normas que rigen
Falta de
vigilancia, es
decir un x x
empleado que
R16 realice la labor de
ausencia de un
reforzamiento
especial y ms
x x
adecuado en las
instalaciones
R17 donde se
falta de control
para la reduccin
x x
de costos
R18 innecesarios para
Falta de revisin
diaria a los
x x
procesos del
R19 personal
No todos los
equipos
x x
informticos son
R20 alimentados
desconocimiento
sobre los
x x
procesos de
R21 evacuacin sobre
No cuentan an
con una planta
x x
elctrica en caso
R22 de bajonazos y
falta de
determinacin si s
x x
e deben efectuar
R23 cambios en el ma
Colapso en
cualquier x x
momento de la red
R24
Interferencia en la
x x
R25 red
Inseguridad de
cada uno de los x x
R26 trabajadores
Matriz de Riesgo
Alto R14, R16,

61-100% R17,R20,R21,R22
Medio
31-60% R15,R18,R25
Probabilidad Bajo
0-30% R19,R23,R24,R26
leve moderado catastrfico
impacto
6 el cuadro de tratamiento de los riesgos, el cuadro de los hallazgos, y el cuadro de

controles y tipo.
ID. DESCRIPCIN RIESGO TRATAMIENTO RIESGO

Riesgo
R1 Perdida de informacin confidencial por CONTROLARLO
procedimientos incorrectos.
R2 Mala utilizacin de Las herramientas de TRANSFERIRLO
seguridad informtica.
R3 Falta confidencialidad de la informacin CONTROLARLO
interna de la empresa.
R4 Ausencia de antivirus adecuado que regule y CONTROLARLO
proteja el sistema informtico en general
R5 Falta de proteccin fsica para los equipos CONTROLARLO
presentes en la empresa en caso de daos
potenciales
R6 Falta de tcnicas de recuperacin de TRANSFERIRLO
informacin prdida.
R7 Malos manejos en el registro de informacin. ACEPTARLO
R8 Falta de adaptacin al cambio por parte del ACEPTARLO
personal de trabajo.
R9 Ingreso errneo de informacin de los ACEPTARLO
usuarios en las bases de datos.
R10 Personal a cargo inadecuado. CONTROLARLO
R11 Falta de control del fluido elctrico. TRANSFERIRLO
R12 Falta de actualizacin para los aplicativos y CONTROLARLO
herramientas utilizadas por la empresa.
R13 Falta de bakup de informacin importante. CONTROLARLO
R14 Presencia masiva de dispositivos mviles en la red CONTROLARLO
que pueden perjudicar el libre funcionamiento del
sistema interno
R15 no cumplimiento de las leyes y normas que rigen a la CONTROLARLO
compaa
R16 Falta de vigilancia, es decir un empleado que realice TRANSFERIRLO
la labor de vigilancia en el da y noche
R17 ausencia de un reforzamiento especial y ms CONTROLARLO
adecuado en las instalaciones donde se encuentran las
cantidades de dinero
R18 falta de control para la reduccin de costos CONTROLARLO
innecesarios para la compaa
R19 Falta de revisin diaria a los procesos del personal ACEPTARLO
subordinado por parte del gerente de la entidad.
R20 No todos los equipos informticos son alimentados CONTROLARLO
mediante UPS
R21 desconocimiento sobre los procesos de evacuacin TRANSFERIRLO
sobre riesgos y desastres naturales
R22 No cuentan an con una planta elctrica en caso de CONTROLARLO
bajonazos y cortes de luz
R23 falta de determinacin si se deben efectuar cambios ACEPTARLO
en el manejo de la informacin
R24 Colapso en cualquier momento de la red ACEPTARLO
R25 Interferencia en la red CONTROLARLO
R26 Inseguridad de cada uno de los trabajadores ACEPTARLO
REF
HALLAZGO
COOPSERVIVELEZ
1
HHDN_O1
PROCESO Perdida de informacin confidencial por PGINA

AUDITADO procedimientos incorrectos. 1 DE 1
Leidy Viviana Ruiz Saavedra, Alexsander Daz Gualdrn,

RESPONSABLE
Javier Felipe Mrquez Prez, Arturo Andrey puentes.
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
DOMINIO PROCESO estratgico de TI
(PO)
(PO1)
DESCRIPCIN:
El personal de trabajo no cuenta con la capacitacin indicada.

No existen indicaciones especiales sobre el cuidado con la informacin
importante de la empresa.
La ausencia de mecanismos de control previo a la usabilidad de los equipos y
ausencia de mecanismo de seguridad en la informacin confidencial
No se tiene identificados en los equipos los archivos con informacin
confidencial y al igual no cuentan con claves de acceso
Esto es debido a la falta de una capacitacin sobre el cuidado con la informacin

confidencial.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir ningn tipo de capacitacin para los empleados se corre el riesgo de

prdida de informacin.
Al no contar con conocimientos sobre el manejo de informacin confidencial se

incurre en malos procesos y errores que pueden llegar a ser graves.
RIESGO:
Probabilidad de ocurrencia:= 100%
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Asignar al ingeniero de soporte el trmite de levantamiento de hijas de vida de

equipos, con sus respectivas claves de proteccin a la informacin confidencial y
su respectivo manejo, unido a escenarios de capacitacin permanente y continua
en la usabilidad de equipos.
Capacitar al personal de la organizacin sobre la forma de utilizacin los

recursos confidenciales. Para evitar cualquier prdida importante de informacin.
Contratar con un experto sobre el tema para que este realice las capacitaciones.
REF
HALLAZGO
COOPSERVIVELEZ
2
HHDN_O2
PROCESO Mala utilizacin de Las herramientas de PGINA

AUDITADO seguridad informtica. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
El personal de trabajo no utiliza adecuadamente las herramientas de seguridad
informtica.
No existen indicaciones especiales sobre la utilizacin de las herramientas
informticas.
Se observa que pueden ingresar a los equipos sin autorizacin previa
No se generan preguntas claves que permitan identificar el nivel de conocimientos
sobre el dominio de herramientas telemticas.
Esto es debido a la falta de conocimiento sobre el manejo de las herramientas

informticas.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir ningn tipo de manual especial sobre la utilizacin de las

herramientas informticas se pueden presentar problemas.
Errores en los procesos internos de la empresa.

Daos en los equipos que requieren constante evaluacin, formateo e instalacin de
programas.
Desgaste administrativo y pedidas financieras por inactividad de equipos.
RIESGO:
Probabilidad de ocurrencia:= 31 60%
Impacto segn relevancia del proceso:Medio
RECOMENDACIONES:
Transferir a una empresa especializada en seguridad informtica, para que haga la
labor de seguimiento y constatacin de la seguridad informtica de la empresa.
Brindar capacitacin sobre estas herramientas informticas por parte de la empresa

contratada.
Otorgar privilegios de administrador al encargado del aula, de manera que se

encargue de permitir acceso a diversos programas de personas que tengan
conocimiento de los mismos, o en su defecto realizar induccin y acompaamiento
con el fin de evitar daos en equipos.
REF
HALLAZGO
COOPSERVIVELEZ
3
HHDN_O3
PROCESO Falta confidencialidad de la informacin PGINA

AUDITADO interna de la empresa. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
El personal de trabajo no es cuidadoso con la informacin confidencial que

maneja.
No existen restricciones sobre el manejo de la informacin confidencial.
Existe demasiada libertad de ingreso de personal sin restriccin.
No se delimitan funciones ni formas de acceso a la informacin de la empresa.
Esto es debido a la falta de conocimiento sobre los cuidados que se deben tener con la
informacin confidencial.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Fuga de informacin importante de la empresa

Perdida de informacin por malos manejos.
RIESGO:
Impacto segn relevancia del proceso:Alto
RECOMENDACIONES:
Concientizar al personal sobre el uso adecuado de la informacin privada de la

empresa as como sus correos corporativos.
Brindar capacitacin sobre el manejo de la informacin confidencial.

Redefinir las funciones asignadas a cada uno de los funcionarios, de manera que no
se tenga acceso en extrema libertad a informacin confidencial.
REF
HALLAZGO
COOPSERVIVELEZ
4
HHDN_O4
PROCESO Ausencia de antivirus adecuado que regule y PGINA

AUDITADO proteja el sistema informtico en general. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Ausencia de un antivirus licenciado.

No cuenta con una proteccin eficiente.
No hay garanta de proteccin de equipos
Descuido del administrador e ingeniero de soporte en la usabilidad e instalacin de
antivirus.
Esto es debido a la falta de conocimiento sobre la seguridad que debe tener la empresa en
cuanto a un antivirus.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Contaminacin de virus por falta de proteccin.

Bloqueos por virus maliciosos o hackers.
Daos en programas y fuentes de informacin.
RIESGO:
RECOMENDACIONES:
Elaborar polticas de seguridad en la red interna, lo cual generara beneficios para

la empresa evitando posibles daos masivos en la red por falta de antivirus.
Lograr la instalacin de un antivirus licenciado para todos los equipos de la

empresa.
Asignar en el presupuesto de la empresa los recursos para la adquisicin de virus
licenciados y pertinentes segn nuevas afectaciones.
REF
HALLAZGO
COOPSERVIVELEZ
5
HHDN_O5
Falta de proteccin fsica para los equipos PGINA

PROCESO
presentes en la empresa en caso de daos
AUDITADO 1 DE 1
potenciales.

RESPONSABLE
MATERIAL DE COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Ausencia de proteccin especial para los equipos de cmputo.

No cuenta con una infraestructura adecuada para los equipos de cmputo.
Esto es debido a la falta de seguridad fsica para los equipos de la empresa.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Obstruccin de los equipos de computo

Daos fsicos en los equipos de cmputo.
RIESGO:
RECOMENDACIONES:
Es importante ejercer una proteccin especial con los equipos de cmputo para
evitar prdidas mayores, aislndolos y recubrindoles especialmente para evitar
daos potenciales.
Realizar una proteccin efectiva sobre los equipos de cmputo con recubrimientos
especiales para las computadoras.
REF
HALLAZGO
COOPSERVIVELEZ
6
HHDN_O6
PROCESO Falta de tcnicas de recuperacin de PGINA

AUDITADO informacin prdida. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Ausencia de tcnicas para recuperar la informacin perdida

Falta de herramientas de recuperacin de informacin.
Problemas generados a usuarios
Falta de credibilidad en la empresa y en su seguridad
Esto es debido a la falta de herramientas y mtodos para recuperar la informacin.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Perdida de informacin importante para la empresa.
RIESGO:
RECOMENDACIONES:
En caso de prdida de informacin importante, se transferir la recuperacin de

archivos a entidades idneas y capacitadas para esta labor.
REF
HALLAZGO
COOPSERVIVELEZ
7
HHDN_O7
PROCESO Malos manejos en el registro de PGINA

AUDITADO informacin. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Errores en el registro de la informacin.

Mala digitacin por parte de los empleados.
Se registra informacin sin atender un protocolo de almacenamiento de la misma.
Existe confusin a la hora de determinar la bsqueda de informacin registrada
Esto es debido a la de atencin cuando se est en el puesto de trabajo.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Datos errneos en las bases de datos
Problemas a la hora de consultar los datos importantes de los clientes de la entidad.
Tiempos extensos en ajustes o bsqueda de informacin.
Duplicidad de trabajo para obtener informacin apropiada.
RIESGO:
Impacto segn relevancia del proceso:Bajo
RECOMENDACIONES:
En este tipo de riesgo se aceptara este error, pero se corregir inmediatamente

despus del hallazgo.
Capacitar a todo el personal en el registro adecuado de la informacin, realizar
monitoreo permanente para detectar necesidades de retroalimentacin.
REF
HALLAZGO
COOPSERVIVELEZ
8
HHDN_O8
PROCESO Falta de adaptacin al cambio por parte del PGINA

AUDITADO personal de trabajo. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Falta de adaptacin de los empleados de la empresa a los cambios de la misma.

Personal no idneo para el cargo ejecutado.
Esto es debido al personal no apto para laborar en la entidad.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Detenimiento en el desarrollo de los procesos de la empresa.
Obstruccin a la labor en el puesto de trabajo por desconocimiento del trabajo a

realizar.
RIESGO:
RECOMENDACIONES:
Se aceptara la falta de adaptacin al cambio, pero si persiste la incompatibilidad se

cambiara el personal por personas ms capacitadas e idneas.
REF
HALLAZGO
COOPSERVIVELEZ
9
HHDN_O9
PROCESO Ingreso errneo de informacin de los PGINA

AUDITADO usuarios en las bases de datos. 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Ingreso errneo de la informacin de cada usuario de la empresa.

No se tiene en cuanta niveles de prevencin para el manejo apropiado de bases de
datos
No se mantiene competencias digitales para el manejo de bases de datos.
Esto es debido al ingreso equivocado de la informacin principal de los usuarios en las

bases de datos.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Obstruccin de informacin importante a la hora de consultar las bases de datos.
Perdida de informacin por datos errneos.
RIESGO:
RECOMENDACIONES:
Se aceptara, pero se remediara este tipo de situacin inmediatamente, corrigiendo

el error ingresando los datos correctamente.
Se ingresara detenidamente y con atencin la informacin de los usuarios en las
bases de datos de la empresa.
REF
HALLAZGO
COOPSERVIVELEZ
10
HHDN_1O
PROCESO PGINA
Personal a cargo inadecuado.
AUDITADO 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
El personal no cumple con los requerimientos de la empresa.
Esto es debido a errores en la seleccin del personal de trabajo.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Mala ejecucin en el cargo a desempear.
Prdida de tiempo por parte de la compaa con personal sin capacidad intelectual.
RIESGO:
RECOMENDACIONES:
Se debe cambiar al personal que no est apto para desempear el cargo al que haya
sido sujeto.
REF
HALLAZGO
COOPSERVIVELEZ
11
HHDN_11
PROCESO PGINA
Falta de control del fluido elctrico.
AUDITADO 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO Definir un plan

Planear y Organizar PROCESO
estratgico de TI
(PO) (PO1)
DESCRIPCIN:
Falta de control debido a errores del fluido elctrico.
Esto es debido a bajonazos y perdida de luz por parte de fallas en el sistema elctrico.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Obstruccin en el desarrollo de todos los procesos de la entidad.
Prdida de tiempo por parte de la compaa.
RIESGO:
RECOMENDACIONES:
Se transferir a la empresa encargada del fluido elctrico, para que remedie la

situacin sin demora.
Hacer uso de una planta elctrica disponible para la empresa.
HALLAZGO COOPSERVIVELEZ REF

12
HHDN_12
PGINA
PROCESO Falta de actualizacin para los aplicativos y
AUDITADO herramientas utilizadas por la empresa.
1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Falta de actualizacin para los aplicativos y herramientas utilizadas por la

empresa.
No se mantiene una revisin permanente de los equipos.
No existen hojas de vida de los equipos actualizadas.
Esto es debido al descuido en cuanto a actualizaciones de las herramientas que la empresa

utiliza.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Demoras en los procesos por software obsoleto.
Sobrecarga en los pcs de la empresa por temporales que no han sido removidos.
Equipos que cesan su actividad y por ende se afectan los ingresos a la empresa.
Carga laboral afectada por contantes reparaciones a equipos.
RIESGO:
RECOMENDACIONES:
Realizar un estudio si es viable o no los aplicativos utilizados por la empresa, para

evaluar cuales de estos tienen la posibilidad de renovacin para mejorar el
funcionamiento interno de la red corporativa.
La actualizacin permanente de los equipos debe estar asignada dentro del manual
de funciones de cada trabajador en este caso le compete al ingeniero de soporte.
REF
HALLAZGO
COOPSERVIVELEZ
13
HHDN_13
PROCESO PGINA
AUDITADO Falta de bakup de informacin importante. 1 DE 1
RESPONSABLE Leidy Viviana Ruiz Saavedra, Alexsander Daz Gualdrn,

MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
(PO)
(PO1)
DESCRIPCIN:
Falta de bakup de informacin importante para la empresa.

La empresa no cuenta con un soporte que guarde su informacin en caso de un
incidente que hace que esta se pierda.
No se visualiza acompaamiento continuo en las formas de almacenar
informacin.
Esto es debido a la ausencia de copias de seguridad.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Perdida de informacin.
Daos a los proceso administrativos de la empresa.
Afectacin a los diversos usuario de le empresa.
Saturacin en los discos de almacenamiento.
RIESGO:
Impacto segn relevancia del proceso:Alta
RECOMENDACIONES:
Se debe supervisar diariamente que se realicen los respectivos bakup de

informacin, para estar seguros de que todo est siendo debidamente almacenado y
protegido.
Destinar un equipo que sirva como fuente de registro de informacin, el cual no sea
de acceso al pbico y que exista un responsable del manejo del mismo.
REF
HALLAZGO
COOPSERVIVELEZ
14
HHDN_14
Presencia masiva de dispositivos mviles en PGINA

PROCESO
la red que pueden perjudicar el libre
AUDITADO 1 DE 1
funcionamiento del sistema interno

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
DOMINIO PROCESO direccin
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Los empleados de la empresa conectan los dispositivos como telfonos

inteligentes, tablets a la red de la compaa, lo utilizan para navegar o manejar
informacin que nada tiene que ver con la empresa, al tener conocimiento de la
clave inalmbrica se ha filtrado hacia los particulares quienes deciden conectarse a
la red de computo sin ninguna autorizacin, adems no se realiza el monitoreo a la
red para conocer la cantidad de equipos de cmputo conectados.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Como no existen polticas de seguridad informtica, encaminadas a evitar este tipo de

percance como es el de conectar dispositivos ajenos a la red de la empresa, existe la
posibilidad de que se pueda en ellos sustraer informacin confidencial y relevante que
pone en peligro la seguridad de la compaa, y volverla vulnerable a ataques informticos
No existe un monitoreo de la red de datos de la empresa.
RIESGO:

RECOMENDACIONES:
Crear un manual de polticas de seguridad informticas para implementar en la empresa,

adems de capacitar a sus empleados y educarlos para que no comenten estos errores que
colocan en peligro la seguridad de la empresa.
Implementar desde la oficina del rea informtica, un seguimiento a travs de un software

que permita identificar, controlar los equipos de cmputo conectados a la red de datos
REF
HALLAZGO
COOPSERVIVELEZ
15
HHDN_15
PROCESO no cumplimiento de las leyes y normas que PGINA

AUDITADO rigen a la compaa 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Los empleados de la compaa no cumplen las normas y leyes que permitan el

buen uso de los recursos informticos, pues en ocasiones permiten a sus familiares
hacer el uso de los computadores de la empresa
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no cumplir con las normas y leyes de la empresa y se permite el ingreso por parte de
personal ajeno a la compaa se puede prestar para robo, perdida de informacin
manipulacin de los equipos de computo
No se controla por parte de la empresa el uso de los equipos de cmputo por parte de
personal ajeno a la misma.
RIESGO:

Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
No permitir el uso de los recursos informticos a personal ajeno, explicar a cada uno de
sus colaboradores el peligro que existe, capacitar a sus empleados en temas como la
seguridad informtica
REF
HALLAZGO
COOPSERVIVELEZ
16
HHDN_16
Falta de vigilancia, es decir un empleado PGINA
PROCESO
que realice la labor de vigilancia en el da y
AUDITADO 1 DE 1
noche.

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
La empresa no cuenta con personal de vigilancia, como un guarda de seguridad

inscrito a una compaa de vigilancia que realice de manera fsica vigilancia a la
seguridad fsica de la empresa
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir personal encargado de realizar la vigilancia de la seguridad fsica de la

empresa, donde este se puede percatar en tiempo real de situaciones como presencia de
personal ajeno a la empresa que suplanten a los funcionarios y realicen el robo a las
personas que lleguen a realizar retiro o consignacin de dinero.
RIESGO:

RECOMENDACIONES:
Contractar con una empresa de seguridad y vigilancia el servicio de guarda de seguridad

para que realice presencia en las oficinas las 24 horas del da, que resguarden la seguridad
fsica de la empresa y del personal que trabaja y visita las instalaciones.
REF
HALLAZGO
COOPSERVIVELEZ
17
HHDN_17
ausencia de un reforzamiento especial y ms PGINA

PROCESO
adecuado en las instalaciones donde se
AUDITADO 1 DE 1
encuentran las cantidades de dinero

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO Determinar la
Planear y Organizar PROCESO
direccin
(PO) tecnolgica (PO3)
DESCRIPCIN:
No se cuenta con puertas seguras en las instalaciones de la empresa donde se

encuentra el dinero de la compaa, en la actualidad existen puertas de madera y
con chapas convencionales.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir puertas de acceso seguras, la delincuencia puede aprovechar esta debilidad

de seguridad para perpetrar robos en la empresa, que ponen en riesgo la seguridad de sus
funcionarios y visitantes.
RIESGO:

RECOMENDACIONES:
Instalar puertas de acceso seguras, con chapas robustas y sistemas de autenticacin

biomtricos
REF
HALLAZGO
COOPSERVIVELEZ
18
HHDN_18
PROCESO falta de control para la reduccin de costos PGINA

AUDITADO innecesarios para la compaa 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
falta de control para la reduccin de costos innecesarios para la compaa como

gastos ocasionados por sistemas de iluminacin obsoletos.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
En la actualidad el sistema de iluminacin de la empresa es obsoleto pues maneja lmpara

fluorecentes y bombillos en mercurio, que presentan un peligro para las personas y el
medio ambiente, ademas de que el consumo en kilowatios aumenta el costo en el servicio
de energa electrica
RIESGO:

Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Realizar la instalacin de un nuevo sistema de iluminacin, con tecnologa led y paneles

solares que permitan reducir el costo en el servicio de energa elctrica y no contaminen
el medio ambiente.
REF
HALLAZGO
COOPSERVIVELEZ
19
HHDN_19
Falta de revisin diaria a los procesos del PGINA
PROCESO
personal subordinado por parte del gerente
AUDITADO 1 DE 1
de la entidad.

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Falta de revisin diaria a los procesos del personal subordinado por parte del
gerente de la entidad, que permita realizar auditoria a los procesos de la empresa
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir un manual de funciones, al personal de la empresa no se les asigna las

funciones correctas y se incurre en que se comentan errores en procesos.
RIESGO:

Impacto segn relevancia del proceso: Bajo
RECOMENDACIONES:
Elaborar un manual de funciones avalado en este caso por el ministerio del trabajo y la
proteccin social, que permita asignar tareas especficas y directas a cada uno de los
empleados de la empresa.
REF
HALLAZGO
COOPSERVIVELEZ
20
HHDN_20
PROCESO No todos los equipos informticos son PGINA

AUDITADO alimentados mediante UPS 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Los computadores de la empresa no estn conectados a una ups que permita

protegerlos ante fallos elctricos
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no contar con ups que proteja los computadores de fallas electicas, se puede presentar
daos en los equipos de manera accidental ocasionando el dao en sus sistemas de
almacenamiento perdiendo informacin de la empresa, o dao total .
RIESGO:

RECOMENDACIONES:
Realizar la compra e instalacin de una ups que proteja los equipos de cmputo de la
empresa Coopservivelez.
REF
HALLAZGO
COOPSERVIVELEZ
21
HHDN_21
desconocimiento sobre los procesos de PGINA

PROCESO
evacuacin sobre riesgos y desastres
AUDITADO 1 DE 1
naturales
RESPONSABLE Leidy Viviana Ruiz Saavedra, Alexsander Daz Gualdrn,

MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
La empresa no tiene demarcacin de las rutas de evacuacin en caso de desastres

naturales
Los empleados no se han capacitado acerca del tema de evacuacin
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir el sistema de gestin del riesgo de seguridad en el trabajo, por parte del
personal de la empresa se omite por parte de la compaa la demarcacin de rutas de
evacuacin en caso de desastres naturales el riesgo de prdidas humanas aumenta.
RIESGO:

RECOMENDACIONES:
Implementar la demarcacin de las rutas de evacuacin, realizar peridicamente los
simulacros que permitan preparar al personal de la empresa en caso de desastres naturales,
llevar a cabo el plan de gestin de riesgo y seguridad en el trabajo.
REF
HALLAZGO
COOPSERVIVELEZ
22
HHDN_22
PROCESO No cuentan an con una planta elctrica en PGINA

AUDITADO caso de bajonazos y cortes de luz 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
La empresa no cuenta con una planta elctrica que realice el cambio de manera
automtica en caso de fallo elctrico
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no contar con una planta de energa elctrica que realice de manera automtica el
suministro de energa en caso de falla elctrica, los equipos de cmputo se apagan de
manera inadecuada, ocasionando dao en estos en ocasiones.
RIESGO:

RECOMENDACIONES:
Comprar e instalar una planta elctrica que permita solucionar los cortes de energa
presentados y proteja los dispositivos de cmputo.
REF
HALLAZGO
COOPSERVIVELEZ
23
HHDN_23
PROCESO falta de determinacin si se deben efectuar PGINA

AUDITADO cambios en el manejo de la informacin 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
falta de determinacin si se deben efectuar cambios en el manejo de la

informacin que puede ocasionar fuga y perdida de datos de la empresa
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Fuga de informacin reservada de la empresa pues no se desplaza de manera segura

dentro de la empresa, lo que permite a personal ajeno sustraerla y manipularla y
aprovecharse para cometer actos ilcitos.
RIESGO:

Impacto segn relevancia del proceso: Leve
RECOMENDACIONES:
Realizar el manejo de la informacin reservada de la manera ms adecuada, no dejando

los documentos a la mano de terceros.
REF
HALLAZGO
COOPSERVIVELEZ
24
HHDN_24
PROCESO PGINA
Colapso en cualquier momento de la red
AUDITADO 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Colapso de la red de computo por fallas en los dispositivos.
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
La red de computo sufre de colapso y los equipos de cmputo no pueden trabajar de

manera eficiente retardando los procesos de la compaa
RIESGO:

RECOMENDACIONES:
Contratar e implementar un plan de auditoria a la red de computo que permita corregir el

colapso de la red de datos
REF
HALLAZGO
COOPSERVIVELEZ
25
HHDN_25
PROCESO PGINA
Interferencia en la red
AUDITADO 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planear y Organizar PROCESO Determinar la

(PO) direccin
tecnolgica (PO3)
DESCRIPCIN:
Interferencia en la red de computo de la empresa por deterioro en el cableado
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al tener la red de computo deterioro en el cableado los equipos de cmputo dejan de

funcionar en red .
RIESGO:

Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Realizar un cambio en el cableado de datos en los puntos donde se realice la interferencia

de la seal por parte de personal que tenga los conocimientos en datos
HALLAZGO COOPSERVIVELEZ REF

26
HHDN_26
PROCESO PGINA
Inseguridad de cada uno de los trabajadores
AUDITADO 1 DE 1

RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
Determinar la
Planear y Organizar
(PO)
tecnolgica (PO3)
DESCRIPCIN:
Los trabajadores de la compaa son inseguros en el momento de la toma de

decisiones pues no se cuenta con un manual de funciones
REF_PT:
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
Se le recomienda a la compaa capacitar a sus empleados acerca de cada una de sus

funciones de acuerdo al manual de funciones que se debe crear esto con el fin de que cada
uno de sus colaboradores tenga presente las funciones que debe desarrollar en cada uno de
sus cargos
RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
Perdida de informacin CORRECTIVO Capacitar al personal de la organizacin
confidencial por sobre la forma de utiliza los recursos
procedimientos confidenciales. Para evitar cualquier
incorrectos. prdida importante de informacin.
Falta confidencialidad de CORRECTIVO Concientizar al personal sobre el uso
la informacin interna de adecuado de la informacin privada de la
la empresa. empresa as como sus correos
corporativos.
Ausencia de antivirus PREVENTIVO Elaborar polticas de seguridad en la red
adecuado que regule y interna, lo cual generara beneficios para
proteja el sistema la empresa evitando posibles daos
informtico en general masivos en la red por falta de antivirus.
Falta de proteccin fsica CORRECTIVO Es importante ejercer una proteccin
para los equipos presentes especial con los equipos de cmputo para
en la empresa en caso de evitar prdidas mayores, aislndolos y
daos potenciales recubrindoles especialmente para evitar
daos potenciales.
Personal a cargo CORRECTIVO Se debe cambiar al personal que no est
inadecuado. apto para desempear el cargo al que haya
sido sujeto.
Falta de actualizacin CORRECTIVO Realizar un estudio si es viable o no los
para los aplicativos y aplicativos utilizados por la empresa, para
herramientas utilizadas evaluar cuales de estos tienen la
por la empresa. posibilidad de renovacin para mejorar el
funcionamiento interno de la red
corporativa.
Falta de bakup de PREVENTIVO Se debe supervisar diariamente que se
informacin importante. realicen los respectivos bakup de
informacin, para estar seguros de que
todo est siendo debidamente almacenado
y protegido.
Presencia masiva de CORRECTIVO Se realiza control a esta actividad por
dispositivos mviles en la parte del rea de sistemas, por medio de
red que pueden perjudicar una capacitacin a los empleados
el libre funcionamiento del explicando los peligros que conlleva la
sistema interno conexin de dispositivos ajemos a la
empresa.
no cumplimiento de las CORRECTIVO A travs de la oficina jurdica se citara a
leyes y normas que rigen a los empleados para explicarles como
la compaa cumplir las leyes y normas en la empresa.
ausencia de un CORRECTIVO Se contactara con una empresa de
reforzamiento especial y seguridad la cual corrija este riesgo a
ms adecuado en las travs de la instalacin de una caja fuerte
instalaciones donde se segura sensores de movimientos internos y
encuentran las cantidades externos y n circuito de tv monitoreado las
de dinero 24 horas al da por parte de una empresa
de vigilancia privada.
falta de control para la CORRECTIVO Se creara un grupo interdisciplinario que
reduccin de costos identifique los gastos si son necesarios o
innecesarios para la innecesarios para la compaa.
compaa
No todos los equipos PREVENTIVO Es necesario realizar la compra de una ups
informticos son que regule la energa a los dispositivos de
alimentados mediante cmputo.
UPS
No cuentan an con una PREVENTIVO Se realizara la compra e instalacin de una
planta elctrica en caso de planta elctrica.
bajonazos y cortes de luz
Interferencia en la red CORRECTIVO Se realizara mantenimiento correctivo a la
red de datos.
7 EL DICTAMEN DE AUDITORA
Cuando se realiz el plan de auditoria para la empresa COOPSERVIVELEZ, se inici

tomando en cuenta y como base sus dificultades y debilidades, realizando una inspeccin
tcnica en cuanto a sus sistemas de informacin interno, sus procesos administrativos y de
servicios financieros, para este proceso se realiz una inspeccin mediante la ejecucin de
listas de chequeo y encuestas, en donde se hallaron los resultados posteriores a la
realizacin de las listas de chequeo y encuestas, se encontr un porcentaje de valoracin
media debido a las fallas encontradas en el sistema de desarrollo administrativo y de
seguridad de la empresa, hay bastantes tems que no cumplen a satisfaccin con todo con lo
que una entidad financiera debe contar como es una seguridad eficaz en todo sentido
administrativo, de sistemas y laboralmente, se debe re direccionar la empresa con avances
tecnolgicos eficientes y que le permitan a la entidad lograr la escalabilidad deseada, la
gerencia adecuada y con visin para el futuro es un factor importante que la empresa debe
ejecutar para que supere los riesgos hallados en el plan de auditoria, se deben realizar
cambios efectivos para garantizar y confirmar la realizacin de la auditoria para mejorar
todos los aspectos negativos de la entidad financiera COOPSERVIVELEZ.
Dominio:
PLANEAR Y ORGANIZAR
Procesos:
P01 Definir un Plan Estratgico de TI.
1 objetivo de la auditoria: realizar una inspeccin sobre todos los procesos realizados en la
entidad corporativa as como las labores realizadas por el personal a cargo.
2 Dictamen: para este proceso se califica un nivel de madurez 2 repetible, teniendo en

cuanta los niveles segn el Cobit 4.1, ya que en la entidad, no se cuenta con planes de
recuperacin de informacin ni tampoco hay un manejo correcto y eficiente de las tics, es
decir se est trabajando medianamente con las herramientas tecnolgicas que se tienen en la
empresa.
3 Hallazgos que soportan la informacin:
Los activos informticos no cuentan con alguna pliza para los mismos
No hay capacitacin sobre las tics.
No existen sensores de humedad en el cuarto de comunicaciones.
Las normas y leyes no se cumplen ni son veraces en la empresa.
No existen polticas sobre el uso adecuado del internet y los peligros que se pueden
hallar al utilizarlo indebidamente.
Algunos de los servicios ofrecidos por la entidad no son adecuados.
Existe ausencia de los procedimientos vitales a la hora de un desastre natural.
4 recomendaciones:
Generar plizas que aseguren los activos informticos eficazmente ante robos y
prdidas repentinas de los mismos.
Se debe capacitar al personal de la entidad sobre las tecnologas de la informacin
esto es de importancia para el desarrollo integral de la empresa.
Realizar la compra e instalacin de sensores de humedad que disminuyen riesgos
potenciales para la empresa.
Hacer valer el cumplimiento de las normas y leyes establecidas por la empresa.
Reglamentar debidamente el uso del internet con polticas claras sobre el manejo del
mismo monitoreando los procesos realizados por cada trabajador.
Ofrecer servicios que sean adecuados y cumplan con los requerimientos del cliente.
Capacitar al personal sobre la importancia de la supervivencia en caso de algn
desastre natural, realizando capacitaciones trimestrales sobre los desastres naturales,
para prevenir posibles riesgos.
Dominio:
PLANEAR Y ORGANIZAR
Procesos:
P03 Determinar la direccin tecnolgica.
1 objetivo de la auditoria: llevar a cabo un proceso de Auditoria Informtica, en la Empresa

Financiera Coopservivlez, que permita identificar y corregir los problemas que pongan en
riesgo la compaa en el uso de los recursos informticos.
2 Dictamen: para este proceso se califica un nivel de madurez 1 inicial, pues en esta
entidad los procesos son espontneos, pues se presentan sin que exista una influencia
externa esto quiere decir que los empleados de la empresa lo realizan conociendo el peligro
que por ejemplo existe al dejar a un particular a la compaa hacer uso de los recursos
informticos.
3 Hallazgos que soportan la informacin:
La compaa financiera Coopservivlez, no cuenta con polticas de seguridad

informtica
No existen controles sobre los procesos financieros internos en la empresa.
No cuenta con planes de contingencia en caso de ocurrir algn percance que ponga
en riesgo el recurso humano y tecnolgico.
No cuenta con un control de acceso al cuarto de comunicaciones.
No se cuenta con un control hacia sus empleados que permita navegar en sitios de
internet seguros
No se han realizado simulacros en caso de emergencias como incendio,
inundaciones, terremotos.
4 recomendaciones:
Realizar simulacros que permitan a la entidad financiera estar preparados en caso de

emergencias, solicitar apoyo a la unidad Nacional de Gestin del Riesgo
Se debe capacitar al personal de la empresa con respecto a cmo navegar en internet
desde los computadores de la compaa.
Elaborar las polticas de seguridad informtica .
Realizar planes de contingencia en caso de ocurrir un desastre tecnolgico o
humanos.
Realizar control sobre los procesos financieros internos en la empresa, solicitando la
asesora por parte de una entidad experta en el tema como lo es el Banco de la
Republica de Colombia.
HALLAZGOS Y RECOMENDACIONES
Dentro de los requerimientos evaluados podemos establecer la no evidencia de
registros de informacin de los proceso de acceso a equipos, a la informacin
existente en ellos y a las entradas y salidas de la informacin. La empresa de igual
forma es vulnerable a la perdida de informacin, pues no existe ninguna validacin
de usuario en las PC, por lo tanto se navega en equipos con plena libertad.
No se cuenta con sistemas alternos en caso de fallos, lo que pone en riesgo la
informacin confidencial de la empresa, la no existencia de servidores con mayores
requerimientos alternos es un garante para la seguridad lgica de la empresa.
No existe un control tangible de quienes ingresan y salen del rea para diversos
usuarios, no se maneja as un control o base de autorizacin para el ingreso a
diversos equipos, falta as el registro de control de acceso y salida de los usuarios.
Los manuales tcnicos, no se hallan actualizados, ni estn al alcance de los usuarios
que acceden a los equipos, por lo tanto no se prev soporte para quienes deseen
indagar sobre diversas tcnicas o tecnologas a aplicar en determinado caso. Esto
hace que se presenten serias fallas y daos en los equipos, que los colocan en riesgo
alto y fuera de servicio afectando enormemente el cumplimiento de los propsitos
de la compaa.
No se evidenci la existencia de contratos de compra, seguros para el equipamiento,
no registro de hojas de variada de cada uno de ellos, lo que impide de una parte que
se garantice seguridad ante posibles daos y al igual de desconocen las
caractersticas esenciales de cada uno de los equipos, para evidenciar su capacidad,
programas existentes que permitiran un asertivo acceso y plena seguridad para la
compaa, minimizando riesgos y gastos.
Los formatos que contienen informacin relevante para la empresa y que alojan
informacin primordial sobre acceso, usabilidad, tiempos, son incipientes, no se
actualizan peridicamente, lo que no se convierte en un insumo importante cuando
se requiera informacin relevante ante un dao, perdida de informacin, instalacin,
descarga de aplicaciones o ingreso de informacin. Es decir no hay una fuente
segura para la empresa en soporte para proceder.
No se verifica la adquisicin de antivirus o software actualizados que garanticen
seguridad tanto a equipos, informacin, datos de confidencialidad, permitiendo
constantemente que los equipos se afecten y por ende perdida de informacin. As
no se visualiza garanta de acceso a equipos y no se visualiza un plan de compran a
diversos plazos que permita visualizar la posibilidad de mantener al da la seguridad
en los equipos.
RECOMEDACIONES
Con el desarrollo del plan de auditoria se puede inferir que las estrategias TI requieren de
un re direccionamiento para que puedan contribuir al logro de los objetivos del negocio.
La compaa se ve afectada en el uso ptimo de los recursos por los frecuentes riesgos y
hallazgos detectados. Cabe aqu plantear a la gerencia debe re direccionar la estructura
organizacional y tecnolgica que se convierta en soporte y apalancamiento para cumplir la
misin institucional y sus objetivos.

Aunque la a implementacin de COBIT 4.1 no es tarea fcil, se hace necesario la
comprensin conceptual y el anlisis costo-beneficio de manera que se orienten recursos
para poder implementarla y realizar su respectivo control permanentemente. Es un proyecto
que requiere ser manejado por la compaa en aras de superar los riegos que la afectan en la
actualidad.
Se hace necesario asignar la responsabilidad a una persona que gerencia este proceso de
manera que supervise cada una de las etapas de este. Pero inicialmente este ha de realizar
su plan de implementacin el cual ha de trazar los recursos requeridos y los tiempos de
cada fase.
Es fundamental la capacitacin de todo el personal sobre COBIT 4.1 garante de xito de su
desarrollo en la empresa.
Aunque la compaa posee diversos controles que estn operando efectivamente tambin
existen procesos de alto nivel del rea de TI que son crticos para la misma.
Se hace necesario la actualizacin de la poltica de sistemas para requerir que cada cambio
de emergencia sea ejecutado acorde al procedimiento, por lo tanto la existencia de
procedimientos, formatos, facilitan el monitoreo y control.
Dentro de los controles recomendados especialmente plantemos:
En el PO1 Definicin de un plan Estratgico
Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y
los requerimientos de TI de negocio, para asegurar sus logros futuros.

Exige a la alta gerencia la responsabilidad de desarrollar e implementar planes a largo y
corto plazo que satisfagan la misin y las metas generales de la organizacin.
Los cambios organizacionales, para asegurar que asegurar que se establezca un proceso
para modificar oportunamente cargos, puestos de trabajo, necesidades tecnolgicas
pertinentes y cambios en las condiciones de la TI
PO3 Determinacin de la direccin tecnolgica
Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente,
satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un
plan de infraestructura tecnolgica, lo cual requiere:
Revisar que la capacidad de adecuacin y evolucin de la infraestructura actual, concuerde
con los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar
aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de
usabilidad, accesibilidad y seguridad.
Un constante monitoreo de desarrollos tecnolgicos, programas, software, para ser
tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura
tecnolgica.
Estructurar de manera pertinente planes de adquisicin, los cuales debern reflejar las
necesidades identificadas en el plan de infraestructura tecnolgica.

8 finalmente anexar el informe final de los hallazgos y controles recomendados.
HALLASGOS Y CONTROLES RECOMEDADOS.
Con el desarrollo del plan de auditoria se puede inferir que las estrategias TI requieren de
un re direccionamiento para que puedan contribuir al logro de los objetivos del negocio.
La compaa se ve afectada en el uso ptimo de los recursos por los frecuentes riesgos y
hallazgos detectados. Cabe aqu plantear a la gerencia debe re direccionar la estructura
organizacional y tecnolgica que se convierta en soporte y apalancamiento para cumplir la
misin institucional y sus objetivos.
Aunque la a implementacin de COBIT 4.1 no es tarea fcil, se hace necesario la

comprensin conceptual y el anlisis costo-beneficio de manera que se orienten recursos
para poder implementarla y realizar su respectivo control permanentemente. Es un proyecto
que requiere ser manejado por la compaa en aras de superar los riegos que la afectan en la
actualidad.
Se hace necesario asignar la responsabilidad a una persona que gerencia este proceso de
manera que supervise cada una de las etapas de este. Pero inicialmente este ha de realizar
su plan de implementacin el cual ha de trazar los recursos requeridos y los tiempos de
cada fase.
Es fundamental la capacitacin de todo el personal sobre COBIT 4.1 garante de xito de su

desarrollo en la empresa.
Aunque la compaa posee diversos controles que estn operando efectivamente tambin
existen procesos de alto nivel del rea de TI que son crticos para la misma.
Se hace necesario la actualizacin de la poltica de sistemas para requerir que cada cambio
de emergencia sea ejecutado acorde al procedimiento, por lo tanto la existencia de
procedimientos, formatos, facilitan el monitoreo y control.
Dentro de los controles recomendados especialmente plantemos:
En el PO1 Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y
los requerimientos de TI de negocio, para asegurar sus logros futuros.
Exige a la alta gerencia la responsabilidad de desarrollar e implementar planes a largo y

corto plazo que satisfagan la misin y las metas generales de la organizacin.
Los cambios organizacionales, para asegurar que asegurar que se establezca un proceso
para modificar oportunamente cargos, puestos de trabajo, necesidades tecnolgicas
pertinentes y cambios en las condiciones de la TI
PO3 Determinacin de la direccin tecnolgica
Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente,

satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un
plan de infraestructura tecnolgica, lo cual requiere:
Revisar que la capacidad de adecuacin y evolucin de la infraestructura actual, concuerde

con los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar
aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de
usabilidad, accesibilidad y seguridad.
Un constante monitoreo de desarrollos tecnolgicos, programas, software, para ser

tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura
tecnolgica.
Estructurar de manera pertinente planes de adquisicin, los cuales debern reflejar las
necesidades identificadas en el plan de infraestructura tecnolgica.
.
CONCLUSIONES
Con el proyecto del plan de auditoria ejecutado se afianzo el conocimiento en cuanto a la

forma de realizar correctamente una auditoria para una empresa como
COOPSERVIVELEZ fue muy importante aprender a trabajar con los procesos Cobit y los
tipos de control necesarios para solucionar los riesgos inicialmente encontrados.
ANEXO 1
Cuestionario
1. Es necesario capacitar al personal de la empresa sobre las nuevas tecnologas
si______ no______
2. Dentro de la entidad se han desarrollado evaluaciones de desempeo
si______ no______
3. usted conoce los planes y procesos internos del sistema financiero de la empresa
si______ no______
4. la empresa cuenta con un profesional en ingeniera de sistemas
si______ no______
5. como considera usted el servicio ofrecido por la empresa
excelente______
bueno______
regular______
malo______
deficiente______
6. cree usted que la empresa o negocio necesita de las tecnologas actuales
si______ no______
7. el cuarto de comunicaciones cuenta con sensores de humedad
si______ no______
8. conoce usted el proceso para el apagado correcto de un equipo de computo

si______ no______
9. conoce el riesgo de navegar por portales web de dudosa reputacin
si______ no______
10. conoce usted las prioridades de la empresa en la actualidad
si______ no______
ANEXO 2
La Entidad financiera carece de un guarda del servicio de guarda de seguridad
No se cuenta con la sealizacin de evacuacin que indique las rutas en caso de

emergencia adems de no adelantar los simulacros en caso de emergencia
Puerta de acceso al cuarto a la bveda sin control de seguridad como chapa, cmara de
seguridad que permita evidenciar el ingreso.
Equipos de cmputo con sistema operativo Windows xp.

Desorden en el cableado elctrico y de datos.

TC4 90168 56

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

TC4 90168 56

Caricato da

Copyright:

Formati disponibili

AUDITORIA DE SISTEMAS

ALEXSANDER DIAZ GUALDRON COD: 13957813

LEIDY VIVIANA RUIZ SAAVEDRA COD: 1101755181

JAVIER FELIPE MARQUEZ PEREZ COD: 981229006620

MARCO ANTONIO LOPEZ OSPINA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Sintetizar plan de auditora para una empresa orientada en TI integrando las

Identificar el plan de tratamiento de la auditoria de acuerdo al nivel de hallazgos y

SINTESIS DEL PROCESO

Seguidamente se selecciona la compaa COOPSERVIVELEZ es un organismo

Realizar la construccin y planificacin detallada de cada uno de los procesos de la

Brindar recomendaciones con respecto a la confidencialidad y seguridad de la informacin

COOPSERVIVELEZ es un organismo cooperativo de primer grado, de derecho

COOPSERVIVELEZ presta en la actualidad como su nombre lo indica los servicios

Realizar la construccin y planificacin detallada de cada uno de los procesos de la

El presente plan de auditoria informtica para la cooperativa COOPSERVIVELEZ

Recursos lgicos informticos a evaluar:

legalidad del software

1. Investigacin preliminar: se pretende realizar una visita a la compaa con el fin de

2. Recolectar informacin: creacin de entrevistas, checklist , cuestionarios, pruebas,

3. Aplicacin de instrumentos: realizar las entrevistas pertinentes a los funcionarios de

5. Realizar el proceso de anlisis y evaluacin de riesgos: se lleva a cabo la realizacin

6. Tratamiento de riesgos: se definen las soluciones encontradas para aplicarlas en la

7. Dictamen de la auditora: determinar el grado de excelencia que la empresa aplica

8. Informe final de auditora: se elaborara y entregara un informe final a la gerencia de

Fsicos: instalaciones internas de COOPSERVIVELEZ y dems sucursales, centro

ITEM CANTIDAD VALOR VALOR

TOTAL DE GASTOS $5.032.000 $16.306.000

PLAN DE AUDITORIA COOPSERVIVELEZ

DURACI N DE LA EJECUCI N DEL PLAN DE AUDITO RIA EN MESES

1 Definicion plan de auditoria x

entrevista con la gerencia de la

4 aplicacin del modelo de auditoria x

6 verificacion del hadware x

7 verificacion del software x

verificacion de la red de datos y

11 redaccion de informe final x

12 entrega resultados auditoria x

3 los dominios procesos y objetivo de control seleccionados

P01 Definir un Plan Estratgico de TI.

PO1.2 Alineacin de TI con el Negocio

PO1.3 Evaluacin del Desempeo y la Capacidad Actual

P03. Determinar la Direccin Tecnolgica.

Se debe enfocar a la empresa COOPSERVIVELEZ en cuanto a la creacin de un plan

La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar

PO3.1 Planeacin de la Direccin Tecnolgica

Es necesario el exhaustivo anlisis de las tecnologas existentes y emergentes, al

PO3.4 Estndares Tecnolgicos

4 por cada proceso los instrumentos aplicados

Proceso Cobit: P01: Definir un plan estratgico de TI

Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de

1. Es necesario capacitar al personal de la empresa sobre las nuevas tecnologas

2. Dentro de la entidad se han desarrollado evaluaciones de desempeo

4. la empresa cuenta con un profesional en ingeniera de sistemas

5. como considera usted el servicio ofrecido por la empresa

6. cree usted que la empresa o negocio necesita de las tecnologas actuales

7. el cuarto de comunicaciones cuenta con sensores de humedad

8. conoce usted el proceso para el apagado correcto de un equipo de computo

9. conoce el riesgo de navegar por portales web de dudosa reputacin

10. conoce usted las prioridades de la empresa en la actualidad

La empresa cuenta con planes de recuperacin de la informacin por

La red informtica cuenta con un sistema de antivirus legal

Los activos informticos cuentan con una pliza en caso de algn