AUDITORIA DE SISTEMAS

UNIDAD 2: FASE 3

PLANEACIÓN Y EJECUCIÓN AUDITORÍA

TRABAJO GRUPAL

TUTOR:

FRANCISCO NICOLÁS SOLARTE

ESTUDIANTES:

SILVIA BIBIANA AVILA

YULY MARIBEL RODRIGUEZ
JUAN CARLOS VARGAS
DWIGHT FITZGERALD CHOW
LUIS ÁNGEL SALCEDO SANABRIA

GRUPO: 90168_40

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

BOGOTA D.C.
ABRIL DE 2018
 INTRODUCCIÓN

Una auditoría informática es un proceso desarrollado por personal profesional capacitado para
desarrollar dicha labor. Consiste en recoger, agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda los activos de las compañías, mantiene la integridad de los
datos y desarrolla eficazmente los fines de la organización, utilizando eficientemente los recursos
y cumpliendo los estándares internacionales y leyes existentes en cada país.

Cada integrante del grupo de trabajo 40, selecciono uno o dos procesos del Cobit 4.1 que lograban
aplicarse a la empresa seleccionada para la auditoria. Procesos a los que se les especificó un cuadro
de definición de fuentes, que sería el punto de partida para la elaboración de las herramientas de
recolección de información definidas y requeridas para cada proceso, como lo fueron la entrevista,
lista de chequeo y cuestionario.

Con los formatos elaborados y aplicados a personal idóneo dentro de la empresa Microhome Ltda.,
se procedió de manera individual a realizar el análisis correspondiente de los riesgos determinados,
que dejo como resultado para cada proceso una matriz de probabilidad y clasificación en la que se
evidencia claramente cuáles son los riesgos que pueden afectar indiscutiblemente la operación de
la compañía.

Como resultado del trabajo realizado se presenta el siguiente documento escrito, que resume los
aportes consignados en el foro defino para el desarrollo de la fase 3.

OBJETIVOS

1. Diseñar instrumentos de recolección de la información de acuerdo al estándar CobIT

aplicado, para cada proceso elegido y trabajado.

2. Seleccionar y contactar el personal clave dentro de la empresa Microhome Ltda., que pueda
responder a los instrumentos diseñados.

3. Realizar el proceso de análisis y evaluación de riesgos determinados para la empresa

Microhome Ltda., hasta llegar a definir la matriz de riesgos para cada proceso.
 PLANEACIÓN DE AUDITORÍA

ESTUDIANTE PROCESO
DWIGHT FITZGERALD CHOW PO2 Definición de la arquitectura de Información.
DWIGHT FITZGERALD CHOW PO7 Administración de recursos humanos.
YULY MARIBEL RODRIGUEZ AI4 Desarrollo y mantenimiento de procedimientos.
YULY MARIBEL RODRIGUEZ AI6 Administración de los cambios.
SILVIA BIBIANA AVILA DS4 Asegurar el Servicio Continuo.
JUAN CARLOS VARGAS DS6 Educación y entrenamiento de usuarios.
JUAN CARLOS VARGAS DS11 Administración de Datos.
LUIS ÁNGEL SALCEDO S. DS12 Administración de las instalaciones.
 FORMATO ENTREVISTA

ENTIDAD AUDITADA MICROHOME LTDA. PAGINA

1 DE 1
PROCESO AUDITADO Indicadores de funcionamiento del hardware y software
RESPONSABLE DWIGHT CHOW NEWBALL
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Planeación Y PROCESO PO2 Definición de la arquitectura de
Organización (PO) Información.

ENTREVISTADO Yesid Alejandro Martinez

CARGO Ingeniero de soporte en sitio.

1. ¿Se siente satisfecho con el rendimiento del equipo que usa para laborar?
Sí, el equipo funciona bien, tiene un buen desempeño y tiene todos los programas
actualizados y licenciados.

2. ¿Lo capacitaron para el manejo del software que usa actualmente?

Sí, pero solamente la primera vez.

3. ¿Realizan periódicamente mantenimiento a los equipos?

Sí, se realizan mantenimiento cada 2 meses a nivel de software y hardware

4. ¿Cuentan con una mesa de ayuda en caso de que algo le suceda al equipo?
No, no se cuenta con una mesa de ayuda

5. ¿El equipo que usted usa, cuenta con antivirus actualizado?

Sí, cuenta con el Avast activado.

6. ¿Cree usted que la información se encuentra segura en su equipo?

Sí, puesto que toda la información esta encriptada

7. ¿Todos se conectan a la misma red wifi?

Sí, los empleados y los administradores se conectan a la misma red
8. ¿Cambian periódicamente la clave de la red wifi?
No, no la cambian

9. ¿Se realizan respaldos de seguridad de la información?

Sí, se realiza semanalmente.

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

LISTA CHEQUEO
PO2 Definición de la
Planeación Y Organización
DOMINIO PROCESO arquitectura de
(PO)
Información
OBJETIVO DE CONTROL PO2.1 Satisfacer los requerimientos de la organización
Conforme
Nº Aspecto evaluado Observación
SI NO
¿Se cumple con los requisitos
1 solicitados por la organización para su X
buen funcionamiento?
OBJETIVO DE CONTROL PO2.2 Capacitaciones
¿Se realiza frecuentemente
orientaciones y/o capacitaciones sobre
2 X
los posibles cambios en la
organización?
OBJETIVO DE CONTROL PO2.3 Copias de respaldo y reconstrucción
¿Se hacen periódicamente backups de la
3 información guardada en las bases de X
datos de la organización?
OBJETIVO DE CONTROL PO2.4 Satisfacción hardware y software
¿El usuario final se siente satisfecho con
4 el rendimiento de la arquitectura de la X
información de la organización?
 CUESTIONARIO

CUESTIONARIO DE CONTROL: PO2

DOMINIO Planeación Y Organización (PO)
PROCESO PO2 Definición de la arquitectura de Información

PREGUNTA SI NO OBSERVACIONES
¿Los usuarios se sienten satisfechos a nivel de hardware y 5
software, a la hora de manipular los sistemas de
información?
¿Se encuentra documentado la información? 4
¿Se realizan periódicamente capacitaciones en el manejo de 3
TI?
¿Se cuenta con técnicos o mesa de ayuda que den soporte 4
ante cualquier novedad o problema que se presente a nivel
de TI?
¿Se realizan respaldos de seguridad de la información? 4
¿Del 1 al 10 como califica la arquitectura, el rendimiento y 3
la accesibilidad de la información? Justifique su respuesta
TOTALES 20 3
ANÁLISIS DE RIESGOS PROCESO PO2 - DEFINICIÓN DE LA ARQUITECTURA DE
INFORMACIÓN.

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
R1 Todos los equipos de la X X
compañía permiten y
tienen habilitados los
puertos USB.
R2 Deterioro a los X X
componentes de los
equipos principalmente
teclados
R3 Perdida de Información X X
por posibles daños con el
software y Hardware de
los Servidores
R4 Ataques a la integridad X X
de los datos
R5 Virus gusano que oculta X X
y encripta información.
R6 Una mala configuración X X
de los puertos de los
switch para asignar y
direccionar a los
servidores donde se tiene
la información
R7 Problemas de licencias X X
de los softwares
utilizados
R8 No cuenta con un plan de X X
contingencia
R9 No se cuenta con X X
sistemas de respaldo de
la información
 Resultado Matriz de riesgos para hardware.

Alto R3, R5
61-100%

PROBABILIDAD
Medio R2 R1, R4, R7, R8 R6
31-60%
Bajo
0-30%
Leve Moderado Catastrófico

IMPACTO
 FORMATO ENTREVISTA

ENTIDAD AUDITADA MICROHOME LTDA. PAGINA

1 DE 1
PROCESO AUDITADO Administración de recursos humanos
RESPONSABLE DWIGHT CHOW NEWBALL
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Planeación Y PROCESO PO7 Administración de recursos
Organización (PO) humanos.

ENTREVISTADO Nelson Fabio Sierra Gomez

CARGO Director área de recursos humanos.

1. ¿Tiene identificado todas las áreas de la empresa?

Sí, tengo conocimiento de todas las áreas

2. ¿Tiene identificado todo el personal de la empresa?

Sí, tengo conocimiento de todo el personal de la empresa, en la inducción se presentaron.

3. ¿Hacen reuniones o pequeñas integraciones para compartir con el demás personal?

No, no hacen actividades de integración.

4. ¿Siente que tiene mucha carga laboral?

No, creo que todo el personal trabajo correctamente

5. ¿Siente que el horario de atención que manejan es el adecuado?

Sí, pienso que es un justo horario

6. ¿Crees que el personal contratado hace su labor correctamente?

Sí, pienso que todos los contratados laboran efectivamente

7. ¿Se cuenta con plan de contingencia?

No, no se cuenta con un plan de contingencia

8. ¿Se cumplen las políticas, objetivos y metas establecidas por la empresa?

 Se cumplen algunos, otros no

9. ¿Evalúan y le hacen seguimiento los empleados?

No, no se hace un seguimiento y evaluación a los contratados

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

JULIETH VELEZ MORENO DWIGHT CHOW NEWBALL

LISTA CHEQUEO
Planeación Y PO7 Administración de
DOMINIO PROCESO
Organización (PO) recursos humanos
OBJETIVO DE CONTROL PO7.1 Reclutamiento de personal
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se tiene basan en la educación,
1 experiencia y responsabilidad a la hora X
de elegir el personal?
OBJETIVO DE CONTROL PO7.2 Capacitaciones
¿Las capacitaciones, los programas de
educación y entrenamiento estarán
2 dirigidos a incrementar los niveles de X
habilidad técnica y administrativa del
personal?
OBJETIVO DE CONTROL PO7.3 La evaluación objetiva y medible del desempeño
¿Los empleados reciben asesorías o
premios sobre su desempeño o
3 X
conducta cuando estos sean
apropiados?
OBJETIVO DE CONTROL PO7.4 Investigación del personal
¿Se realiza la debida investigación de
4 experiencia y antecedentes del X
personal antes de ser contratado?
 CUESTIONARIO DE CONTROL: PO7
DOMINIO Planeación Y Organización (PO)
PROCESO PO7 Administración de recursos humanos

Pregunta Si No OBSERVACIONES
¿El personal se siente satisfecho y a gusto con lo que hacen? 5
¿Se realizan entrenamientos y capacitaciones para el 4
personal TI?
¿Proceden a realizar la investigación del personal que están 4
contratando?
¿Se asignan roles específicos a al personal TI? 3
¿Se realizan y/o se organizan metas por cumplir y premian 3
al que más rápido las alcance?
¿Se realizan encuestas de satisfacción del personal? 2
¿Cuentan con un buzón de sugerencias? 3
TOTALES 16 8

ANALISIS DE RIESGOS
1. Mucha carga laboral.
2. No se cumplen los objetivos de la empresa
3. Falta de capacitaciones
4. Falta de motivación
5. Recursos limitados para el desarrollo de las actividades
6. Evaluación de desempeño inadecuadas
7. Falta de asignación de roles
8. No cuenta con un plan de contingencia
9. Ambiente de trabajo desfavorable.

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Mucha carga laboral. X X
R2 No se cumplen los X X
objetivos de la empresa
R3 Falta de capacitaciones X X
R4 Falta de motivación X X
R5 Recursos limitados para el X X
desarrollo de las
actividades
R6 Evaluación de desempeño X X
inadecuadas
 R7 Falta de asignación de X X
roles
R8 No cuenta con un plan de X X
contingencia
R9 Ambiente de trabajo X X
desfavorable

Resultado Matriz de riesgos para hardware

Alto R2 R1
61-100%
PROBABILIDAD

Medio R6, R7 R3, R5, R8

31-60%
Bajo R4, R9
0-30%
Leve Moderado Catastrófico

IMPACTO

Esta matriz se usará posteriormente para determinar el tratamiento de los riesgos en cada proceso
CobIT.
 REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
MICROHOME LTDA.
AUDITADA 1 DE 1
PROCESO
Facilitar la operación y el uso
AUDITADO
Silvia Bibiana Ávila, Yuly Maribel Rodriguez, Juan Carlos
RESPONSABLE
Vargas, Dwight FitzGerald Chow y Luis Angel Salcedo
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Adquirir e implementar.
PROCESO Desarrollo y mantenimiento de procedimientos.

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 PETI Revisión de correos
 Documentación y manuales electrónicos para la
de usuario  Alcance del Sistema revisión y aprobación de
 Manuales de usuario final operaciones.
 Documentación y manuales
 Documentación de no Revisión de tutoriales
TI virtuales para capacitación
conformidades.
 Documentación soporte de usuarios.
técnico.

AUDITOR RESPONSABLE:
JULY MARIBEL RODRIGUEZ MARTINEZ
 FORMATO ENTREVISTA

ENTIDAD AUDITADA MICROHOME LTDA. PAGINA

1 DE 1
PROCESO AUDITADO Facilitar la operación y el uso
RESPONSABLE July Maribel Rodríguez Martínez
MATERIAL DE SOPORTE COBIT 4.1
DOMINI Adquirir e implementar PROCESO AI4 Facilitar la Operación y el Uso.
O

ENTREVISTADO Daniela Alejandra Arévalo Villarraga

CARGO Analista de Gestión Calidad y Recursos Humanos

1. ¿Cómo se realizan las transferencias de conocimiento a la gerencia, usuario final y

personal de operaciones y soporte?

Existen reuniones periódicas para cada área donde se realiza la trasferencia de conocimiento
relevante e importante para cada departamento.

2. ¿Qué contienen los archivos de transferencia, llevan un estándar o metodología para estos
documentos?

Entandares como tal no se tienen, se realiza por correo electrónico básicamente.

3. ¿Se realizan evaluación a los entrenamientos y se aplican los correctivos pertinentes a los
manuales de entrenamiento y se documentan?

Si se realizan evaluaciones en los entrenamientos y se tarta un tiempo en aplicar los correctivos a

los manuales de entrenamiento. No se documentan los cambios.

4. ¿Con que frecuencia hacen estas transferencias de conocimiento tienen algún protocolo?

Reuniones periódicas y correos electrónicos internos, no se tiene un protocolo definido.

5. ¿Se tienen manuales de procedimientos enfocados para los usuarios finales?

Son pocos los que se tienen pero si existen.

6. ¿Se cuenta con un documento donde se pueda identificar los aspectos técnicos, la
capacidad de operación y los niveles de servicio del entorno TI?

No se tiene.

Si la respuesta es afirmativa que contiene y quien lo hace.

7. ¿Cómo se garantiza la calidad en el servicio?

La empresa cuenta con Norma ISO 9001. Norma que le ayuda a las organizaciones a cumplir con
las expectativas y necesidades de sus clientes, entre otros beneficios.

Daniela Alejandra Arévalo

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA

LISTA CHEQUEO
AI4. Facilitar la
DOMINIO Adquirir e implementar (AI) PROCESO
operación y el uso
OBJETIVO DE CONTROL AI4.1 Plan para Soluciones de Operación
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
Se transfiere el conocimiento y
1 habilidades al personal de soporte X
Técnico y operaciones.
OBJETIVO DE
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
CONTROL
Se transfiere a la gerencia el
conocimiento de los procesos y se
2 X
incluye las características de
seguridad.
OBJETIVO DE
AI4.3Transferencia de Conocimiento a Usuarios Finales
CONTROL
Se entrenan a los usuarios para
3 que usen los sistemas y X
aplicaciones.
OBJETIVO DE AI4.4 Transferencia de Conocimiento al Personal de Operaciones y
CONTROL Soporte
Se transfiere el conocimiento y
4 habilidades al personal de soporte x
Técnico y operaciones.
 CUESTIONARIO

COORDINACIÓN DE MESA DE SERVICIOS INFORMÁTICOS.

Cuestionario de Control: AI4
DOMINIO Adquirir e implementar
PROCESO AI4:Facilitar la operación y el uso

Pregunta Si No OBSERVACIONES
¿El nivel de satisfacción de los usuarios finales cumple
con los estándares efectividad y eficiencia de en el uso
5
del sistema de aplicaciones en el apoyo de los procesos
del negocio?
¿Se tienen manuales de procedimientos para los usuarios
3
finales?
¿Se realiza entrenamiento y capacitación en el manejo de
4
los SI y TI a los usuarios y se documenta?
¿Se cuenta con la documentación pertinente donde se
pueda identificar descriptivamente los aspectos técnicos, 5
operativos y niveles de servicio del entorno de TI??
¿Se realizan evaluación a los entrenamientos y se aplican
los correctivos pertinentes a los manuales de 4
entrenamiento y se documentan?
¿Los sistemas de información cuentan con
administración de privilegios de usuario y cuenta con un
procedimiento formal para realizar la transferencia del
4
conocimiento a la gerencia de la empresa, a usuarios
finales y personal de operación y soporte con su
respectivo soporte documental?
TOTALES 12 9
 ANÁLISIS DE RIESGOS PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO

Lista de Riesgos:
 Riesgo de interrupción de negocio: No hay documentos pertinentes donde se pueda
identificar descriptivamente los aspectos técnicos, operativos y niveles de servicio del
entorno de TI
 Fraude interno: Los sistemas de información no cuentan con administración de privilegios
de usuario
 Riesgo de eficiencia: No se realiza evaluación a los entrenamientos ni se documentan
 Riesgo en operaciones: No hay procedimientos para realizar transferencia de conocimiento
a la gerencia, usuarios finales y personal de operación y soporte con su respectivo soporte
documental.

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Riesgo de interrupción
R1 x x
de negocio.
R2 Fraude interno x x
R3 Riesgo de eficiencia x x
No se realiza evaluación
R4 a los entrenamientos ni x x
se documentan

Alto R2
61-100%
PROBABILIDAD

Medio
31-60%
Bajo R3 R4,R1
0-30%
Leve Moderado Catastrófico

IMPACTO
 FORMATO ENTREVISTA
REF

PAGINA
ENTIDAD AUDITADA MICROHOME LTDA.
1 DE 1
PROCESO AUDITADO Administración de cambios
RESPONSABLE July Maribel Rodríguez Martínez
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Adquirir e implementar PROCESO AI6 Administrar Cambios

ENTREVISTADO Yesid Alejandro Martinez

CARGO Ingeniero de soporte en sitio

1. ¿Se cuenta con un sistema que realice seguimiento y reporte a las solicitudes de
cambio?

No se cuenta con un sistema que realice seguimiento y reporte a dichas solicitudes.

2. Si la respuesta es afirmativa. ¿Quién es el administrador del sistema?

No se tiene personal a cargo de del administrador del sistema, porque no se tiene el sistema.

3. ¿Cómo se certifica que las solicitudes de cambio son evaluadas, teniendo en cuenta la
operación del sistema y su funcionalidad?

Cuando se requieren realizar un cambio en la estructura IT se genera un escenario de

pruebas por parte de ingeniero de soporte en sitio en horario no laboral, de manera que si
las pruebas son efectivas se aplican, de no serlas se deja la estructura como se tenía
anteriormente.

4. ¿Utilizan algún sistema de versionamiento, en sus proyectos?

Existe un sistema de control de versiones, para los servidores, equipos de cómputo e

impresoras.

5. ¿En qué periodos de tiempo se realizan backups?

Los backup de la información considerada necesaria para la operación de la compañía se

realizan semanalmente. Exactamente los días viernes en horario no laboral.
 6. ¿Qué personas hacen la documentación de la versión final, estos formatos que
contienen?

El ingeniero de soporte en sitio es el encargado. No existe un formato específico.

7. ¿Hay alguna normativa para aquellos procesos que no siguieron los procesos de
cambio?

No se tiene normativa para los procesos de cambio.

Yesid Alejandro Martinez

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

LISTA CHEQUEO
Adquirir e implementar
Dominio Proceso AI6. Administrar cambios
(AI)
Objetivo de control AI6.1 Estándares y procedimientos para cambios
conforme
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
Existe un procedimiento que de manera
estándar, maneje las solicitudes para
1 X
cambios en la infraestructura y
aplicativos
OBJETIVO DE CONTROL AI6.2 Evaluación de impacto, priorización y autorización
Se evalúan las solicitudes de cambio de
2 los sistemas en términos operacionales X
y funcionales
OBJETIVO DE CONTROL AI63. Cambios de emergencia
Se posee un proceso para cambios de
3 X
emergencia
OBJETIVO DE CONTROL AI6. 4 Seguimiento y reporte del estatus de cambio
Se hace seguimiento y se reportan los
4 X
cambios a los interesados
OBJETIVO DE CONTROL AI6.5 Cierre y documentación del cambio
Se posee un plan de revisiones para
5 garantizar la completa implantación de X
cambios
 CUESTIONARIO

Coordinación de mesa de servicios informáticos.

Cuestionario de Control: AI6
Dominio Adquirir e implementar
Proceso AI6:Administrar cambios

Pregunta Si No OBSERVACIONES
¿Las solicitudes de cambio, mantenimiento de sistema y 3
mantenimiento de proveedores se encuentran
estandarizadas?
¿Existen procedimientos para asegurar que las solicitudes 2
de cambio sean evaluadas?
¿Existe parámetros de cambios de emergencia y 4
procedimientos para controlar estos cambios?
¿El personal de mantenimiento tiene tareas específicas y su 4
trabajo es monitorizado?
¿Los cambios son probados antes de la implementación? 5
¿Los procesos son independientes para determinar el acceso 4
o fracaso del cambio?
TOTALES 12 9
 ANÁLISIS DE RIESGOS PROCESO AI6 – ADMINISTRADOR DE CAMBIOS.

Lista de Riesgos:

1. Adopción lenta de los procesos: disminución en el ROI esperado del proyecto ya que no se
cuenta con un sistema que realice seguimiento y reporte a las solicitudes de cambio.
2. Pérdida de clientes por fallas en producción puesto que no hay normativa para aquellos
procesos que no siguieron los procesos de cambio.
3. Aumento en tiempos de producción no existe un procedimiento que, de manera estándar,
maneje las solicitudes para cambios en la infraestructura y aplicativos, además de algún
proceso para cambios de emergencia.
4. Mayor cantidad de problemas en la entrada de un producto al sistema, no se posee un plan
de revisiones para garantizar la completa implantación de cambios.

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Adopción lenta de los
R1 x x
procesos
Pérdida de clientes por
R2 x x
fallas en producción
Aumento en tiempos de
R3 x x
producción
Mayor cantidad de
problemas en la entrada x x
de un producto al sistema

Alto
61-100%
PROBABILIDAD

Medio R3,R4
31-60%
Bajo R1 R2
0-30%
Leve Moderado Catastrófico

IMPACTO
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS Y EJECUCCIÓN DE AUDITORIA.

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA MICROHOME LTDA.
1 DE 1
PROCESO AUDITADO Servicio Continuo
Silvia Bibiana Ávila, Yuly Maribel Rodriguez, Juan Carlos
RESPONSABLE
Vargas, Dwight FitzGerald Chow y Luis Angel Salcedo
MATERIAL DE
COBIT
SOPORTE
DOMINIO Servicios y soporte
PROCESO DS4 Asegurar el Servicio Continuo

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Las pruebas deben
Plan de continuidad probado ejecutarse durante un
y funcional: tiempo en el que las
afectaciones a la operación
persona que tiene la información normal sean mínimas,
 Plan documentado
que necesita el auditor como los fines de semana.
 Procedimientos
Simulando las condiciones
alternativos
del proceso lo más
 Respaldo y recuperación parecidas a la operación
normal

AUDITOR RESPONSABLE:
SILVIA AVILA
 REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA.

PAGINA
ENTIDAD AUDITADA MICROHOME LTDA
1 DE 1
PROCESO AUDITADO Servicio Continuo
RESPONSABLE Silvia Ávila
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Servicios y soporte
PROCESO DS4 Asegurar el Servicio Continuo

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Procedimiento de
recuperación y  Identificar en el formato de Validar que los requerimientos
reanudación de los control el personal que tiene regulatorios y contractuales se
servicios acceso a la información. cumplan a formalidad
 Procedimiento del plan de  Verificar las
continuidad documentaciones,
 Política de acceso a la priorizadas y aprobadas.
información  Validar el contrato formal del
 Formato de control de sitio y hardware del respaldo.
cambios  Planes disponibles que
 Diseño del Centro de contengan todos los
Backup escenarios de desastre.
 Diseño de procedimientos
de Respaldo y
Recuperación
 Definición y
documentación del Plan
de Contingencia
(desarrollo,
 Prueba y actualización)
 FORMATO ENTREVISTA

REF

ENTIDAD AUDITADA MICROHOME LTDA PAGINA

1 DE 1
OBJETIVO Garantizar que la empresa cuente con la documentación completa
AUDITORÍA del proceso de respaldo y recuperación
PROCESO AUDITADO Servicios y soporte
RESPONSABLE Silvia Ávila
MATERIAL DE SOPORTE COBIT 4.1
DOMINI Servicios y soporte PROCESO DS4 Asegurar el Servicio Continuo
O

ENTREVISTADO Yesid Alejandro Martinez

CARGO Ingeniero de soporte en sitio.

1. ¿Actualmente la empresa cuenta con un plan de respuesta y recuperación?

“Como ingeniero encargado de verificar la continuidad de la operación me encargo del tema de

respaldo y recuperación de la información considerada como fundamental para cada una de las
áreas del servicio. Pero un plan de respuesta como tal no existe”

2. ¿Cada cuánto tiempo se prueba el plan de contingencia, recuperación y reanudación de

los servicios?

No se prueba, porque no existe un plan de contingencia. Existe un respaldo programado de la

información considerada indispensable para cada proceso en la compañía.

3. ¿Cuentan con un análisis de posibles escenarios que puedan afectar el proceso normal de
la empresa?

No se realiza un análisis de estos escenarios. Se cuenta con políticas restrictivas por directorio
activo y con una consola de antivirus por aquello de las recientes amenazas generales que afectan
a todo el mundo.

4. ¿Cada cuánto generan el bakup de la información?

Se realiza una backup semanal, exactamente los días viernes se tiene programado para realizar la
tarea.
5. ¿En la empresa se ha presentado algún riesgo para la información? ¿Si es así cuenta con
un análisis de impacto o BIA (Business Impact Analysis) donde se evidencia el tipo de
escenario presentado y las acciones tomadas?

Si, sobre todo en el área comercial donde mucha de la información confidencial con respecto a
propuestas de negocios, precios y bases de datos de clientes y posibles clientes, se ha visto
comprometida, y en un caso especial de un funcionario que ya no está en la compañía se tuvo que
recurrir a un abogado debido a que esta información estaba siendo usada para robar clientes y
ofrecer propuestas de servicios tecnológicos las económicos.

6. ¿Tienen identificado el personal autorizado para garantizar que cada control y análisis
se realice de manera correcta?

La empresa cuenta con una certificación de calidad de servicio, donde cada proceso o subproceso
cuenta con un responsable. Los controles internos actualmente se entran monitoreando desde el
área de recursos humanos, seguridad y calidad.

7. ¿Cuál es el tiempo de tolerancia en dado que se presente algún riesgo?

Tiempos como tal no se tienen definidos.

8. ¿Cuál es su cargo y qué función desempeña en la empresa?

Soy el ingeniero de soporte en sitio, encargado de que la operación de las distintas áreas de la
organización no se vea afectada.

Yesid Alejandro Martinez

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
 ENTREVISTA
DS4 Asegurar el Servicio
DOMINIO Servicios y soporte PROCESO
Continuo
DS 4.9 Almacenamiento de Respaldos Fuera de las
OBJETIVO DE CONTROL
Instalaciones
Nº CUESTIÓN RESPUESTA
1 ¿Existe un contrato con el proveedor que presta NO existe.
el servicio de respaldo?
2 ¿Tiene documentados los activos de Existen un inventario de cada
importancia que mantendrá el servicio en dispositivo de la compañía, servidores,
funcionamiento? Router, Access Point, swiches,
Teléfonos y equipos de escritorio.
3 ¿Después de cada reunión se genera un acta Si se tienen actas de cada reunión.
donde se evidencie los compromisos y temas
tratados?
4 ¿Se tiene identificado al personal crítico en caso Se tiene identificado el personal técnico
de limitaciones del personal? que puede eventualmente responder por
las labores realizadas por otro
funcionario.
5 ¿Existe un plan de riesgos para los servicios No se tiene.
prestados por terceros?
6 ¿Se revisa constantemente que el bakup de la En ocasiones no se realiza.
información se encuentre actualizado?
7 ¿Se conoce el tiempo mínimo de recuperación y Se desconoce, depende de la experiencia
el tiempo máximo donde se determine el daño y conocimiento que tenga la persona
irreversible de la empresa? que este afrontando la dificultad.
8 ¿Se cuenta clasificada la información de crítica No está clasificada de esta manera.
a menos crítica?
 LISTA CHEQUEO
DS4 Asegurar el Servicio
DOMINIO Servicios y soporte PROCESO
Continuo
OBJETIVO DE CONTROL DS4.1 Marco de Trabajo de Continuidad de TI
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se ha documentado, probado y ejecutado
1 x
la recuperación de la información?
OBJETIVO DE CONTROL DS4.2 Planes de Continuidad de TI
¿Cuentan con la capacidad de
2 recuperación de todos los servicios x
críticos?
OBJETIVO DE CONTROL DS4.3 Recursos Críticos de TI
¿Se tiene establecidas las prioridades en
3 x
situaciones de recuperación?
OBJETIVO DE CONTROL DS4.4 Mantenimiento del Plan de Continuidad de TI
¿Los cambios en los procedimientos y las
4 responsabilidades son comunicados de x
forma clara y oportuna?
 FORMATO CUESTIONARIO
MICROHOME LTDA
Cuestionario de Control: C1
Dominio Servicios y soporte
Proceso DS4 Asegurar el Servicio Continuo
Pregunta Si No OBSERVACIONES
¿La empresa cuenta con un Plan de Continuidad
4
TIC?
¿Se cuenta con un inventario de los activos de la
5
empresa?
¿Hay documentación de un plan de crisis? 4
¿Se posee un registro de fallas presentadas? 4 Un documento oficial no.
¿En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
3
Zona afectada
Consumo afectado
Causa
Detalle
¿Al momento de presentar una falla en la
información o activo, hay registro del tiempo de
4
respuesta dependiendo del escenario (Desastre
informático, natural, etc.)?
¿Se cuenta con servicio de mantenimiento para
5
todos activos?
¿Qué tipo de mantenimiento se lleva a cabo? Se realizan los dos únicamente
Mantenimiento preventivo 5 para los servidores, impresoras
Mantenimiento correctivo y equipos de cómputo.
¿A partir de la infraestructura de la empresa hay
3
planes de prueba, mantenimiento y revisión?
¿El personal es capacitado con el fin de
concientizarlos y que sepan reaccionar ante un 4
riesgo?
¿El personal que se encarga del mantenimiento es
5
personal idóneo para este tipo de actividad?
¿Se ha determinado que si en caso de desastre, son
capaces de recuperar dichos activos en el 3
tiempo necesario.?
TOTALES 20 29
 REF
CUESTIONARIO CUANTITATIVO

pagina
Entidad auditada Microhome Ltda.
1 DE 1
PROCESO AUDITADO Servicios y soporte
RESPONSABLES Silvia Ávila
MATERIAL DE SOPORTE COBIT 4.1
Servicios y DS4 Asegurar el Servicio
Dominio Proceso
soporte Continuo
OBJETIVO DE CONTROL DS4.2 Planes de Continuidad de TI
N PREGUNTA SI NO NA REF
1 ¿Se cuenta con un enfoque por activo? 4
2 ¿Se cuenta con un enfoque por proceso? 5
¿Se realiza actualización de los diferentes tipos
3 de riesgos que pueden afectar la infraestructura 4
tecnológica y empresarial?
¿Se realiza seguimiento de los compromisos
4 3
adquiridos en las reuniones?
¿Se realizan simulacros de los diferentes riesgos
5 1
identificados?
¿Tiene clara si la información depende de
6 5
procesos internos o proveedores externos?
TOTAL 10 12
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (10 * 100) / 22 = 45,45 %
Porcentaje de riesgo total = 100 – 45,45 = 54,55 %
PORCENTAJE RIESGO 54,55 % (Riesgo Medio)
 ANÁLISIS DE RIESGOS

RIESGOS:

1. No existe con un plan de contingencia, recuperación y reanudación de los servicios

2. No cuentan con un análisis de diferentes tipos de escenarios que puedan afectar el proceso
normal de la empresa
3. No cuenta con un tiempo de tolerancia frente a un riesgo
4. No se verifica constantemente que el bakup este actualizado
5. No hay establecido un tiempos mínimo de recuperación y un tiempo máximo donde se
determine el daño irreversible de la empresa
6. Los cambios en los procedimientos y las responsabilidades no son comunicados de forma
clara y oportuna
7. No se ha determinado que si en caso de desastre, son capaces de recuperar dichos activos
en el tiempo necesario.
8. No se realizan simulacros de los diferentes riesgos identificados.
9. El registro de las fallas presentadas se encuentra deficiente.
10. Para la infraestructura de la empresa no hay planes de prueba, mantenimiento y revisión
11. No existe un documento donde se evidencia el proceso de recuperación de la información
12. No existe un contrato con el proveedor que presta el servicio de respaldo

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Probabilidad Impacto
Descripción
Baja Media Alta Leve Moderado Catastrófico
R1 No existe con un plan de X X
contingencia, recuperación y
reanudación de los servicios
R2 No cuentan con un análisis de X X
diferentes tipos de escenarios
que puedan afectar el proceso
normal de la empresa
R3 No cuenta con un tiempo de X X
tolerancia frente a un riesgo
R4 No se verifica X X
constantemente que el bakup
este actualizado
R5 No hay establecido un X X
tiempos mínimo de
recuperación y un tiempo
máximo donde se determine
el daño irreversible de la
empresa
R6 Los cambios en los X X
procedimientos y las
responsabilidades no son
comunicados de forma clara
y oportuna
R7 No se ha determinado que si X X
en caso de desastre, son
capaces de recuperar dichos
activos en el tiempo
necesario
R8 No se realizan simulacros de X X
los diferentes riesgos
identificados
R9 El registro de las fallas X X
presentadas se encuentra
deficiente
R10 Para la infraestructura de la X X
empresa no hay planes de
prueba, mantenimiento y
revisión
R11 No existe un documento X X
donde se evidencia el proceso
de recuperación de la
información
R12 No existe un contrato con el X X
proveedor que presta el
servicio de respaldo

Resultado Matriz de riesgos

R10
Alto R11,R12
61-100%
PROBABILIDAD

Medio R6, R4 R3, R5, R8

31-60%

Bajo R9 R1, R2, R7

0-30%
Leve Moderado Catastrófico

IMPACTO
 ACTIVIDAD INDIVIDUAL DEL PROCESO DS6

1. Descripción del proceso

El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de
entrenamiento y desarrollo.

2. Objetivos de control

2.1 Evaluar cuales son los métodos para capacitar los usuarios con el sistema información o
tecnológico.

3. Instrumentos de recolección Educación y entrenamiento de usuarios

3.1. Cuestionario: Educación y entrenamiento de usuarios.

Información del cuestionario:

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en

el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa
que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más
objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.
 CUESTIONARIO CUANTITATIVO REF

ENTIDAD AUDITADA MICROHOME LTDA. PAGINA

1 DE 1
PROCESO AUDITADO Educación y entrenamiento de usuarios.
RESPONSABLES Juan Carlos Vargas
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Servicios y PROCESO DS6 Educación y
soporte. entrenamiento de usuarios.
OBJETIVO DE CONTROL Validar la importancia del entrenamiento al usuario
N PREGUNTA SI NO NA REF
1 ¿Usted realiza presentación sobre el manejo de 4
las herramientas tecnológicas?
2 ¿Realiza sensibilización a Través de pancartas 2
sobre manejo adecuado de las herramientas
tecnológicas??
3 ¿Usted conoce el nivel de conocimiento que 4
tienes sus usuarios sobre los riesgos que puede
ocurrir un mal manejo de la tecnología?
4 ¿Para usted es importante la seguridad de la 4
información que maneja sus usuarios?
5 ¿Usted monitorea el comportamiento del uso de 4
las herramientas tecnológicas?
TOTAL 6 12
TOTAL CUESTIONARIO 18

PORCENTAJE RIESGO RIESGO PARCIAL = (6 * 100) /18 =

33.3%
RIESGO = 100 – 33.3 = 66.6%
3.2. Entrevista: Educación y entrenamiento de usuarios.

ENTREVISTA
DS6 Educación y
DOMINIO Entregar y Dar Soporte PROCESO
entrenamiento de usuarios.
Evaluar cuales son los métodos para capacitar los
OBJETIVO DE CONTROL
usuarios con el sistema información o tecnológico.
Nº CUESTIÓN RESPUESTA
1 ¿Qué estrategia utiliza para capacitar a En el momento no se realiza una
usuario sobre el manejo de las herramientas estrategia fuerte en relación en el manejo
de tecnología? de las herramientas tecnológicas

2 ¿Maneja alguna publicación o eventos para Se realiza alguna breve publicación en el

hablar de los riesgos tecnológicos? papel tapiz en los pc.
3 ¿Realizan periódicamente capacitaciones Se realiza solo cuando la persona es
del manejo adecuado de las herramientas de nueva en la empresa.
tecnología?
4 ¿Maneja personal capacitado para realizar No tenemos el personal capacitado para
entrenamientos sobre el manejo adecuado aquello.
de las herramientas de tecnología?
5 ¿Ha tenido algún problema de riesgo Se ha tenido problema acceso no
tecnológico por falta de capacitación? autorizado.

4. Análisis y evaluación de riesgos

4.1 Riesgos.

4.1.1 Falta de capacitación y falta de conciencia de seguridad en los trabajadores para las
actividades de rutina diarias.
4.1.2 Realizar presentación sobre los riesgos del mal uso de la tecnología
4.1.3 Evaluar el conocimiento de sus empleados sobre seguridad en la empresa.
4.1.4 No se realizar periódicamente una campaña sobre el manejo y seguridad de las
herramientas tecnológicas
4.1.5 Falta de capacitar personas que lideren el proceso de publicación o eventos donde
involucren el manejo adecuado de las herramientas tecnológicas.
 4.2 Evaluación del Riesgos.

4.2.1 Análisis y evaluación de riesgos

N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Falta de capacitación y x x
falta de conciencia de
seguridad en los
trabajadores para las
actividades de rutina
diarias.
R2 Realizar presentación x x
sobre los riesgos del mal
uso de la tecnología
R3 Evaluar el conocimiento x x
de sus empleados sobre
seguridad en la empresa
R4 No se realizar x x
periódicamente una
campaña sobre el manejo
y seguridad de las
herramientas
tecnológicas
R5 Falta de capacitar x x
personas que lideren el
proceso de publicación o
eventos donde
involucren el manejo
adecuado de las
herramientas
tecnológicas.

4.2.3 Matriz para medición de probabilidad e impacto de riesgos

R4
Alto
PROBABILIDAD

Medio R1 R2
R5

Bajo R3

Leve Moderado Catastrófico

IMPACTO
 Desarrollo de la actividad individual para el proceso DS11

1. Descripción del proceso.

El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su
entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles
generales y de aplicación sobre las operaciones de TI.

2. Objetivo de Control.

2.1 Verificar que vulnerabilidades puede tener la empresa con la administración de los datos
2.2 Evaluar qué sistema se seguridad tiene actualmente para proteger los datos

3. Instrumento de recolección administración de datos.

3. 1. Cuestionario: Administración de Datos

Información del cuestionario:

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en

el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa
que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más
objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.

REF
CUESTIONARIO CUANTITATIVO
ENTIDAD Microhome Ltda. PAGINA
AUDITADA 1 DE 1
PROCESO
Administración de Datos
AUDITADO
RESPONSABLES Juan Carlos Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
DS11 Administración de
DOMINIO Servicios y soporte. PROCESO
Datos

OBJETIVO DE CONTROL Verificar la administración de los datos

N PREGUNTA SI NO NA REF
1 ¿Sus datos están protegidos de alguna amenaza? 3
2 ¿Sus datos son administrables? 3
 ¿Tiene un control acceso a la información de los
3 1
datos?
¿La información de los datos está disponible las
4 3
24 horas?
¿Cuenta usted con algún tipo de respaldo de sus
5 4
datos?
6 ¿Se monitorea la información almacenada? 4
TOTAL 9 9
TOTAL CUESTIONARIO 18

RIESGO PARCIAL = (9 * 100) /18 =

PORCENTAJE RIESGO 50%
RIESGO = 100 – 50 = 50%

3.2. Entrevista: Administración de Datos

ENTREVISTA
DS11 Administración de
DOMINIO Entregar y Dar Soporte PROCESO
Datos
Evaluar qué sistema se seguridad tiene actualmente para
OBJETIVO DE CONTROL
proteger los datos
Nº PREGUNTA RESPUESTA
1 ¿Cómo protege sus datos actualmente? Se tiene permisos asignados a la
información
2 ¿Cuenta con sistema de seguridad para Tenemos un software de antivirus
proteger sus datos?
3 ¿Dónde almacena sus datos? Los datos están en un servidor y una base
de datos
4 ¿Quiénes administran la información de sus Cada usuario administra su información
datos?
5 ¿Quiénes tiene acceso a los datos? Como esta dado permisos para acceder
la información desde un directorio
activo
6 ¿Cuenta con el tema de respaldo de sus No
datos?
7 ¿Tiene registro de control de documentos o No
de base datos donde le informe donde esta
almacenado la información?
8 ¿Maneja alguna información en la nube? No
9 ¿Comparte su información con terceros? Si
 4. Análisis y Evaluación de Riesgo

4.1 Riesgos.

4.1.1 Existen carpetas con información confidencial a las que se puede acceder desde
cualquier equipo PC o portátil que tenga acceso a la red cableada o inalámbrica de la
compañía.
4.1.2 No existe respaldo de sus datos
4.1.3 No tener plan de contingencia entre servidores
4.1.4 No tiene registro de la ubicación en la relación a la documentación de sus datos
4.1.5 No controla la información dada a los terceros.
4.1.6 El acceso a la información no es seguro, se tiene un control por el directorio activo,
pero no es confiable.

4.2 Evaluación del Riesgo.

4.2.1 Análisis y evaluación de riesgos.

N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Existen carpetas con x x
información
confidencial a las que
se puede acceder desde
cualquier equipo PC …
R2 No existe respaldo de x x
sus datos
R3 No tener plan de x x
contingencia entre
servidores
R4 No tiene registro de la x x
ubicación en la
relación a la
documentación de sus
datos
R5 No controla la x x
información dada a los
terceros.
R6 El acceso a la x x
información no es
seguro, se tiene un
control por el
directorio activo, pero
no es confiable.
4.2.3 Matriz para medición de probabilidad e impacto de riesgos

R1 R2
Alto

PROBABILIDAD
Medio R3 R5

Bajo R5 R4 R6

Leve Moderado Catastrófico

IMPACTO
 CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, REF

PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA MICROHOME LTDA.
1 DE 1
PROCESO AUDITADO Administración de las instalaciones
Silvia Bibiana Ávila, Yuly Maribel Rodriguez, Juan Carlos
RESPONSABLE
Vargas, Dwight FitzGerald Chow y Luis Angel Salcedo.
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar soporte
PROCESO Ds12 administración del ambiente físico.

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Plan de Seguridad Verificar que el plan de emergencias Comprobar el
Laboral. contenga las siguientes normas: cumplimiento de los
lineamientos
 Plan de emergencias.  SEÑALIZACIÓN (rutas, salidas, establecidos en el plan
 Política de seguridad elementos, planos, anuncios, etc.) de políticas e
física.  INSTALACIONES EN GENERAL instructivos orientados
(eléctricas, locativas, estructuras, al manejo de
 Instructivo de seguridad emergencias,
etc.)
para el ingreso a las  EQUIPOS CONTRA INCENDIOS seguridad física y
instalaciones de (extintores, gabinetes, detectores, control de acceso a las
personal (funcionarios, etc.) instalaciones y áreas
contratistas,  ALARMAS (sirenas, timbres, críticas en la empresa
proveedores y pulsadores, campanas, etc.) Microhome Ltda.
visitantes)  REDES CONTRA INCENDIO
(detectores, gabinetes, rociadores,
 Reportes de incidentes siamesas, etc.)
de seguridad.
 Políticas de seguridad  Verificar los procedimientos
para el control de acceso definidos de control de acceso del
físico de equipos. personal (funcionarios, contratistas,
proveedores y visitantes)
 Formatos de control de
acceso.  Verificar si existe software y
hardware especializado para el
control de acceso como torniquetes
para tarjetas magnéticas
y/biométricos.

AUDITOR RESPONSABLE:
Luis Ángel Salcedo Sanabria.
 REF
ENTREVISTADO Nelson Fabio Sierra Gomez
CARGO Director área de recursos humanos.

ENTREVISTA
DS12 Administración del
DOMINIO Entregar y Dar Soporte PROCESO
Ambiente Físico.
OBJETIVO DE CONTROL DS12.1 Selección y diseño del centro de datos.
Nº CUESTIÓN RESPUESTA
¿Cuentan con plan de prevención en caso de Si se tiene un plan de prevención de
1
emergencias? emergencias.
¿Existen políticas de seguridad de la Existen cláusulas de seguridad de la
2
información? información para los trabajadores.
No se realizan frecuenten
¿El personal conoce métodos y capacitaciones al personal con
3 procedimientos que ayuden a ser frente a las respecto al tema, lo que sí se hace es
emergencias o riesgos por desastres? participar en los simulacros distritales
y nacionales.
OBJETIVO DE CONTROL DS12.2 Medidas de seguridad física:
Nº CUESTIÓN RESPUESTA
¿Las áreas de trabajo se encuentran
4 No están debidamente delimitadas.
delimitadas o seleccionadas?
¿Existe un control de las pérdidas de
5 No existe.
información dentro de Microhome Ltda.?
¿Están documentadas y publicadas las Están documentadas pero no están
6
políticas de seguridad? publicadas.
OBJETIVO DE CONTROL DS12.3 Acceso Físico
Nº CUESTIÓN RESPUESTA
¿Se cuenta con señalamiento que ayuden a No se cuenta con ese señalamiento,
7 identificar zonas restringidas, donde solo los empleados conocen a que áreas
personal autorizado pueda ingresar? pueden ingresar y a cuáles no.
¿Existe un señalamiento que obligue al Si, en recepción es necesario que el
8 registro de la persona para el acceso a las personal que no pertenece a la
instalaciones? organización sea registrado.
¿Las zonas donde existe alto voltaje se
9 No están señalizadas.
encuentran señalizadas?
¿Cuenta con señalamientos de rutas de
10 Si se cuenta con esta señalización.
evacuación?
 OBJETIVO DE CONTROL DS12.4 Protección contra factores ambientales
Nº CUESTIÓN RESPUESTA
¿Cuenta con extintores dentro de la Existe un extintor en cada piso de la
11
organización? empresa. Exactamente tres.
12 ¿Cuenta con alarmas de incendios? No se cuenta con estas alarmas.
OBJETIVO DE CONTROL DS12.5 Administración de instalaciones físicas:
Nº CUESTIÓN RESPUESTA
Sí, pero frecuentemente se dañan las
13 ¿Cuenta con cámaras de seguridad? cámaras, debido a que ya son muy
viejas.
¿Cuentan con las herramientas necesarias
Se cuenta con las herramientas
14 para dar el mantenimiento a los equipos del
necesarias.
centro de datos?
¿Las instalaciones cuentan con la
Existen áreas donde la iluminación es
15 iluminación adecuada que permita a los
defectuosa.
trabajadores desempeñar su trabajo?
¿Cuenta con políticas de seguridad de los
equipos respecto al uso de alimentos,
16 No se tienen definidas esas políticas.
líquidos o cualquier tipo de sustancia que
dañe los equipos? ¿Cuáles?
 LISTA CHEQUEO
Ds12 administración del
DOMINIO Entregar y Dar soporte PROCESO
ambiente físico.
OBJETIVO DE CONTROL DS12.1 Selección y Diseño del centro de datos.
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
Los procesos auditados
¿Existe algún respaldo para los datos en la norma ISO 9001
1 x
físicos? son respaldados de
manera digital.
¿Existe algún respaldo para los datos Se realiza un backup
2 x
electrónicos? semanal.
¿Existe orden en la manera como se
3 x
almacena los datos?
OBJETIVO DE
DS12.2 Medidas de Seguridad Física.
CONTROL
Muchos AZ con
¿Se controla el acceso a los espacios donde
4 x información no están
está la información?
seguros.
¿Existe protección física a servidores e
5 x
instalaciones de la organización?
¿Cuenta con cámaras de seguridad en toda En ocasiones se dañan
6 x
la organización? las cámaras.
¿Cuenta con botiquín de primeros auxilios
7 con el material mínimo para realizar una x
atención de primeros auxilios?
OBJETIVO DE
DS12.3 Acceso Físico.
CONTROL
¿Es ordenada la manera como son
8 x
ocupados los espacios físicos?
¿Se tiene un plan de evacuación en la Se tiene pero no se
9 empresa? ¿Y se ha dado a Conocer a todos x realizan capacitaciones
los empleados? periódicas.
¿El personal se encuentra satisfecho con el
10 x
ambiente físico de la empresa?
¿Existe un Instructivo de seguridad para el
ingreso a las instalaciones de personal
11 x
(funcionarios, contratistas, proveedores y
visitantes)?
¿Se documenta la entrega-recepción a la
organización por parte de los empleados
12 x
que dejan de formar parte de la
organización?
OBJETIVO DE
DS12.4 Protección Contra Factores Ambientales.
CONTROL
 ¿Las instalaciones de la organización están
13 preparadas para un desastre natural x
(terremotos, maremotos, incendios)?
¿Las instalaciones tienen salidas de
14 x
emergencia?
¿El personal conoce métodos y
Conocen punto de
15 procedimientos que ayuden a ser frente a x
evacuación únicamente.
las emergencias o riesgos por desastres?
OBJETIVO DE
DS12.5 Administración de Instalaciones Físicas.
CONTROL
¿Se maneja una planta de energía de UPS de dos horas,
16 reserva por si la electricidad prestada por x únicamente para centro
el proveedor falla? de datos.
¿El estado de las instalaciones es el
17 x
adecuado?
¿Existe un control o una administración
18 x
para la planta física?
¿Las áreas de trabajo se encuentran
19 x
delimitadas o seccionadas?
Cuestionario: Evaluar la administración del ambiente físico de Microhome Ltda.

REF
CUESTIONARIO CUANTITATIVO
Pagina
Entidad auditada MICROHOME LTDA.
1 DE 1
Proceso auditado Administración del Ambiente Físico.
Responsables Luis Angel Salcedo Sanabria
Material de soporte COBIT 4.1
DS12 Administración del
DOMINIO Entregar y Dar Soporte PROCESO
Ambiente Físico.
OBJETIVO DE CONTROL DS12.1, DS12.2, DS12.3, DS12.4, DS12.5.
N PREGUNTA SI NO NA REF
¿El centro de datos de la organización está
diseñado para enfrentar riesgos asociados con
1 4
desastres naturales y riesgos causados por el
hombre?
En la organización se tiene implementado un
Sistema de Gestión de Seguridad y Salud en el
2 Trabajo (SG-SST) en el que se hable 4
concretamente del manejo y diseño del centro de
datos.
¿Las medidas de seguridad física de la compañía
incluyen, un esquema perimetral de seguridad,
3 4
zonas de seguridad, ubicación de equipos
críticos y áreas de envió recepción?
¿Se establecen responsabilidades sobre el
monitoreo y los procedimientos de reporte y de
4 4
resolución de incidentes de seguridad física, a
las áreas y/o personal a cargo?
¿Se tienen definidos instructivos de seguridad
para el ingreso a las instalaciones de personal
5 3
(funcionarios, contratistas, proveedores y
visitantes)?
¿Cuentan con medidas de contingencia en caso
6 4
de riesgos a causa de factores ambientales?
¿Existen medidas que cumplan con los
lineamientos de seguridad y salud? (Por
7 4
ejemplo, un sistema ininterrumpido de potencia
por si falla la energía)
TOTAL 12 15
Porcentaje de riesgo parcial = (12 * 100) / 27 = 44,4%
Porcentaje de riesgo total = 100 – 44,4 = 55,6%
PORCENTAJE RIESGO 55,6% (RIESGO MEDIO)
Rta: El proceso aplicado tiene un riesgo medio.
ANÁLISIS DE RIESGOS PROCESO DS12 - ADMINISTRACIÓN DEL AMBIENTE
FÍSICO.

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Degradación y pérdida de
vida útil de los servidores
R1 y componentes eléctricos X X
en el centro de cómputo.
Robo de e discos duros
R2 externos que almacenan X X
Backup de los servidores.
Robo de partes de los
R3 equipos de cómputo en el X X
área de laboratorio.
Perdida o daño de
información física (AZ,
R4 carpetas y todo lo X X
correspondiente a
papelería física)
Daño o pérdida total de
R5 equipos, e infraestructura X X
eléctrica.
Ingreso de personal ajeno
R6 a la compañía a áreas no X X
autorizadas.
Insatisfacción por parte
de los empleados
R7 respecto a determinadas X X
áreas en las instalaciones
físicas.
Pérdida total o parcial de
información confidencial
R8 y sensible para la X X
compañía.
Sustracción,
modificación y
divulgación
R9 modificación de X X
información confidencial
y sensible para la
compañía.
Accidentes laborales,
riesgos visuales y
R10 oculares en el personal X X
técnico, por zonas con
mala iluminación.
 MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS

Alto
R3 R1 R8,R9
61-100%

PROBABILIDAD
Medio
R6 R5 R2
31-60%
Bajo
R7 R4 R10
0-30%
Leve Moderado Catastrófico
IMPACTO

Resultados de la matriz para la medición de probabilidades e impacto de riesgo para el proceso

DS12 Administración del Ambiente Físico.
 CONCLUSIONES

1. De acuerdo a los procesos Cobit seleccionados, se diseñan instrumentos de recolección de

información tales como entrevistas, listas de chequeo y cuestionarios.

2. Personal clave dentro de la compañía Microhome Ltda., respondió los instrumentos

diseñados para cada proceso Cobit elegido trabajo individualmente.

3. Se realiza el proceso de análisis y evaluación de riesgos determinados para la empresa

Microhome Ltda., determinado y definiendo una matriz de riesgos para cada proceso Cobit
abordado.

4. Es indispensable que se trabajen los temas con tiempo y compromiso, para no tener que
estar corriendo hasta última hora en la elaboración de las actividades.

REFERENCIAS BIBLIOGRÁFICAS

Tamayo, A. Auditoría de sistemas una visión práctica. (2001). Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%
ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid – España: Editorial
Ra-Ma
ISACA. (2016). Cobit 4.1 en español. Recuperado de http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de
http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn
=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage
=&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1
tica&atitle=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1ti
ca&aulast=Derrien%2C%20Yann&id=DOI: