DESARROLLO FASE 4:

EJECUCIN: HALLAZGOS DE LA AUDITORIA, TRATAMIENTO DE RIESGOS,

CONTROLES

PRESENTADO POR:

JEFERSON STEVE GONZALEZ CODIGO: 1061753337

EVELIO CRISTANCHO CODIGO: 91352139

SIRLEY VASQUEZ CODIGO:

LUIS EDUARDO QUIGUANAS CODIGO: 1114884585

JHOAN STALING SEVILLANO CODIGO:

PRESENTADO A:

VANESSA CAROLINA GUTIERREZ

TUTORA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS

NOVIEMBRE DE 2017

POPAYN
 INTRODUCCION

La auditora de sistemas es muy importante para las empresas que quieren tener un control frente

a las diferentes actividades que se realizan, en este caso las que son referentes a los sistemas y

seguridad de los datos, en grupo colaborativo se est trabajando el banco mundo mujer la cual es

una empresa donde se maneja mucha informacin ajena y que debe tener un cuidado especial en

cuanto a seguridad.
 OBJETIVOS

Identificar los riesgos en la empresa, teniendo en cuenta el anlisis.

Conocer sobre los riesgos ms relevantes que se presentaron.

Analizar las posibles soluciones a los riesgos presentados en la empresa.

Recopilar los resultados del grupo.

 INFORME DE CONSTRUCCIN GRUPAL

EVELIO CRISTANCHO:

Cuadro de tratamiento de riesgos teniendo en cuenta los resultados de la matriz de riesgos

entregada anteriormente en el anlisis y evaluacin de riesgos para cada proceso evaluado.

N Descripcin Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrfico

R1 Fuga de informacin X X

R2 Modificacin de datos X X

R3 Perdida de informacin X X

R4 Manipulacin no X X

autorizada de datos

R5 Interrupcin de procesos X X

R6 Imagen negativa de la X X

organizacin

R7 Robo de informacin por X X

medio de Hackers

R8 Perdida de X X

documentacin por
 agentes internos o

externos

R9 Colapso de servicios X X

importantes para la

empresa

R10 Perdida de datos X X

importantes al no llegar al

destino trazado

R11 Programas sin ejecutar X X

normalmente, retrasos en

el trabajo.

Resultado Matriz de riesgos para hardware:

R4, R7 R4,R7,R10

Alto

61-100%
PROBABILIDAD

Medio R1,R2,R3,R6,R8R9,R10

31-60%

Bajo R5,R11

0-30%
 Leve Moderado Catastrfico

IMPACTO

Cuadro de tratamiento de riesgos

ID. Descripcin Riesgo Tratamiento

Riesgo Riesgo

R1 Fuga de informacin Controlarlo

R2 Modificacin de datos Controlado

R3 Manipulacin no autorizada de datos Controlarlo

R4 Interrupcin de procesos Transferido

R5 Imagen negativa de la organizacin Controlado

R6 Robo de informacin por medio de Hackers Controlado

R7 Perdida de documentacin por agentes internos o externos Controlado

R8 Colapso de servicios importantes para la empresa Controlarlo

R9 Perdida de datos importantes al no llegar al destino trazado Transferido

R10 Programas sin ejecutar normalmente, retrasos en el trabajo. Eliminarlo

Diseo y diligenciamiento de los formatos de hallazgos para los riesgos encontrados, teniendo en
 cuenta el cuadro de tratamiento de los

riesgos donde se muestra los de mayor probabilidad e impacto.

RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL

ENCONTRADOS

Fuga de informacin CORRECTIVO Realizar una inspeccin en los equipos

para que no estn al descubierto, adems

proteger con contrasea carpetas y

archivos.

Modificacin de datos DETECTIVO Capacitar a los empleados para que

tengan un instructivo de renombramiento

de archivos y realizar un sistemas de

recuperacin por si se pierde informacin.

Manipulacin no PREVENTIVO Control en el la manipulacin de datos

autorizada de datos por parte de los empleados autorizados.

Interrupcin de procesos CORRECTIVO Verificar que todas las instalaciones de

cableado al igual que equipo este

correctamente para evitar interrupcin de

proceso.

Imagen negativa de la CORRECTIVO Realizar un contrato de confidencialidad

organizacin con la empresa para evitar que problemas

lleguen a usuarios y clientes.

Robo de informacin por PREVENTIVO Utilizar los equipos solo para uso

medio de Hackers exclusivo de la empresa, deshabilitar

puertos y unidades de DVD con fin de

evitar que se instalen programas

peligrosos.

Perdida de documentacin PREVENTIVO Realizar un plan de organizacin de

por agentes internos o archivo donde haya un espacio solo para

externos manipulacin de documentos.

Colapso de servicios PREVENTIVO Almacenar la informacin de la empresa

importantes para la de manera automtica a travs de la

empresa programacin de copias en un servidor de

respaldo.

Perdida de datos PREVENTIVO Capacitar a los empleados responsables

importantes al no llegar al de ese sector para que tengan opciones al

destino trazado no encontrar el destino u persona.

Programas sin ejecutar CORRECTIVO Eliminar programas que no son utilizados

normalmente, retrasos en que ocupan memoria y disco, con el fin de

el trabajo. optimizar el rendimiento de los equipos.

SIRLEY VASQUEZ:

Matriz de Riesgos

probabilidad Impacto

RIESGOS/VALORACION A M B L M C

OBJETIVO DE CONTROL -ESTRUCTURA DEL BANCO

R1 La iluminacin es adecuada X X

R2 cuenta con zonas de seguridad y refugio X X

R3 suficiente espacio dentro de las instalaciones de forma

X X
que permita una circulacin fluida

OBJETIVO DE CONTROL - DAO FSICO

R3 Existe proteccin de los activos de la organizacin X X

R4 Se tiene un plan de contingencia en caso de que falle

X X
algn equipo

R5 Se tiene contrato con empresas externas para el

X X
mantenimiento

R6 Falta de monitoreo de las instalaciones fsicas. X X

R7 No existe instalacin de sistema elctrico regulado X X

R8 No existe sistema de proteccin en cadas de energa X X

R9 No existe tablero circuito elctrico por dependencia X X

OBJETIVO DE CONTROL - ACCIONES NO AUTORIZADAS

R10 Inexistencia de un control de cambio de configuracin. X X

R11 Falta de un equipo de auditoria. X X

R12 Falta de un procedimiento formal para el registro X X

R13 Error en eleccin del personal responsable por seguridad

X X
de la informacin.

R14 No hay sistemas de vigilancia para detectar posibles

X X
movimientos fraudulentos a los equipos

OBJETIVO DE CONTROL - MANEJO Y CONTROL DE HARDWARE

R15 control de los equipos X X

R16 cuenta con servicio de mantenimiento externo X X

OBJETIVO DE CONTROL - FALLAS TCNICAS

R17 Falta de rutina de sustitucin peridica. X X

R18 Mantenimiento Insuficiente o Instalacin defectuosa de la

X X
informacin.

R19 Falta de realizacin de pruebas del Software. X X

R20 Abastecimiento de energa inestable.

OBJETIVO DE CONTROL - EVENTO NATURAL

R21 Se lleva historial de error y perdidas de las cuentas del

X X
banco .

R22 Localizacin en reas susceptibles a inundaciones o

X X
incendios.

R23 Antigedad del sistema X X

R24 Los usuarios no son capacitados en el uso adecuado de
X X
extintores

R25 No existen sistemas de censores de humo X X

R26 No existen sistemas Extractores de calor X X

Probabilidad Impacto

A: Alta L: Leve

M: Media M: Moderado

B: Baja C: Catastrfico

CONSECUENCIAS - IMPACTO
PROBABILIDAD
L = Leve M= Moderado C= Catastrfico

A = Alta R25 R26 R4 R10

R3 R5 R6 R8 R13

M = Media R14 R17 R20 R22

R23

R1 R12 R14 R15 R2 R7 R9 R11 R21

B = Baja
R16 R18 R19 R24
Extremo Los riesgos extremos deben ponerse en conocimiento de los

directivos y ser objeto de seguimiento permanente.

Alto Los riesgos altos requieren la atencin del presidente /Director

General /Director Ejecutivo

Moderado Los riesgos moderados deben ser objeto de seguimiento adecuado

por parte de los niveles medios de Direccin.

Bajo Los riesgos bajos deben ser objeto de seguimiento por parte de los

supervisores

Determinar el tratamiento de los riesgos (aceptarlo, transferirlo, eliminarlo, controlarlo).

Riesgo Descripcin Riesgo Tratamiento Riesgo

R1 La iluminacin es adecuada seguimiento permanente

R2 cuenta con zonas de seguridad y refugio Controlarlo

R9 No existe tablero circuito elctrico por Seguimiento adecuado

dependencia

R11 Falta de un equipo de auditoria. seguimiento

R6 Falta de monitoreo de las instalaciones fsicas. tencin

R14 No hay sistemas de vigilancia para detectar seguimiento

posibles movimientos fraudulentos a los equipos

R18 Mantenimiento Insuficiente o Instalacin Seguimiento

 defectuosa de la informacin.

R16 cuenta con servicio de mantenimiento externo Aceptarlo

R23 Antigedad del sistema seguimiento adecuado

Cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna

adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperacin).

RIESGOS o HALLAZGOS TIPO DE

SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL

Uso inadecuado de los Capacitar al personal de la organizacin

reguladores correctivo sobre la forma de utilizar y optimizar los

recursos.

La iluminacin es adecuada Dar a entender la importancia de lo que es

correctivo
la iluminacin

cuenta con zonas de Concientizar al personal para que en un

preventivo
seguridad y refugio acto de catstrofe sepa a donde dirigirse.

Existe proteccin de los De no ser as contratar empresas externas

preventivo
activos de la organizacin aseguradoras.

Error en eleccin del Realizar un estudio si es viable, y contratar

personal responsable por correctivo una persona especializada para tal fin.

seguridad de la informacin.

Falta de un procedimiento Carnetizar al personal as se tendr un

correctivo
formal para el registro mejor control y registro.

Falta de realizacin de preventivo Se debe traer o contratar una empresa

pruebas del Software. externa para realizar las pruebas

No se cuenta con planes de Elaborar y capacitar al personal sobre

contingencia en caso de una planes de contingencia con el fin de estar

catstrofe o siniestro para preventivo preparados en el momento de un eventual

salvaguardar la siniestro.

infraestructura.

Existe solo un sitio de Pegar carteleras informativas sobre el o los

preventivo
refugio. sitios de refugio.

preventivo

Formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos

encontrados en el proceso teniendo como base los resultados de la matriz de riesgos

Tabla Hallazgo 1

REF

HALLAZGO 1
HHDN_O1
PROCESO PGINA
Recursos humanos
AUDITADO 1 DE 1

RESPONSABLE Sirley Vasquez Alvarez

MATERIAL DE
COBIT
SOPORTE

PO7 Administrar

DOMINIO Planificar y Organizar PROCESO Recursos Humanos

de TI

DESCRIPCIN:

La gerencia no implementa procesos para garantizar que la organizacin cuente con

una fuerza de trabajo posicionada de forma apropiada, que tenga las habilidades

necesarias para alcanzar las metas organizacionales

No se realizan evaluaciones de desempeo al personal trimestralmente.

Se debe hacer peridicamente evaluaciones al personal para una mejor atencin al usuario
REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01

CONSECUENCIAS:

Al no evaluar peridicamente a los empleados no podremos saber si se est laborando

correctamente y una mala atencin al usurario.

Al no implementar una organizacin de trabajo no se logra alcanzar las metas

RIESGO:

Probabilidad de ocurrencia: = 28.57%

Impacto segn relevancia del proceso: Bajo

RECOMENDACIONES:
 Conformar un grupo determinado de funcionarios que evalen y estudien el desempeo

peridicamente de los empleados de los empleados.

El encargado del rea de recursos humanos debe realizar un plan de mejoramiento y

gestionar recursos para lograr con xito las metas propuestas en el banco.

JEFERSON GONZALEZ:

Anlisis Y Evaluacin De Riesgos:

N Descripcin Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrfico

R1 Perdida de informacin X X

confidencial por acceso

no autorizado
R2 Retraso en la prestacin X X

de servicios de T.I

R3 Prdida de credibilidad. X X

R4 Destruccin de X X

informacin confidencial

R5 Errores del personal en el X X

manejo de programacin

R6 No realizacin de copias X X

de seguridad al no seguir

estos protocolos

generando perdidas

R7 Daos irreparables al X X

sistema por ingreso de

personal no autorizado y

mal intencionado.

R8 El personal no cuenta con X X

 programas de

capacitacin y formacin

R9 Entrada de intrusos al X X

lugar de computo.

Resultado Matriz de riesgos para hardware:

R4

Alto

61-100%

Medio R2, R5, R6, R7, R8 R1

31-60%
PROBABILIDAD

Bajo R3 R9

0-30%

Leve Moderado Catastrfico

IMPACTO
 Se debe tener en cuenta el resultado de la matriz de riesgos del proceso trabajado, y debe

determinar el tratamiento de los riesgos (aceptarlo, transferirlo, ejercer controles):

ID. Descripcin Riesgo Tratamiento Riesgo

Riesgo

R1 Perdida de informacin confidencial por acceso no Controlarlo

autorizado

R2 Retraso en la prestacin de servicios de T.I Aceptarlo

R3 Prdida de credibilidad. Aceptarlo

R4 Destruccin de informacin confidencial Eliminarlo

R5 Errores del personal en el manejo de programacin Controlarlo

R6 No realizacin de copias de seguridad y al no Controlarlo

seguir estos protocolos genera prdidas

R7 Daos irreparables al sistema por ingreso de Controlarlo

personal no autorizado y mal intencionado.

R8 El personal no cuenta con programas de Controlarlo

capacitacin y formacin

R9 Entrada de intrusos al lugar de computo. Controlarlo

Elaborar un cuadro mostrando los riesgos en una columna, y otra con los controles propuestos y

el tipo (preventivo, detectivo, correctivo, o de recuperacin) propuestos para minimizar el

impacto y probabilidad de ocurrencia.

Una vez se haya definido los riesgos a los cuales se les debe ejercer controles, se pasan al cuadro

definiendo el control o controles y el tipo que deben implementarse para poder controlarlo.

En cuanto a los tipos de control estos pueden ser preventivos, detectivos, correctivos y de

recuperacin, los controles preventivos servirn para prevenir que los riesgos se concreten y

ocasionen daos, los controles detectivos se utilizan para detectar el momento exacto en que est

concretndose los riesgos y los controles correctivos se implementan una vez haya concretado el

riesgo y haya ocasionado los daos. Para un riesgo se pueden definir uno o varios controles, por

ejemplo, un riesgo puede definirse controles preventivos y correctivos, o preventivos solamente,

o preventivos y detectivos y correctivos.

 RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL

ENCONTRADOS

Perdida de informacin PREVENTIVOS Realizar un estudio si es viable dejar el

confidencial por acceso no privilegio de administrador en todos los

autorizado equipos o por el contrario si se puede crear

una cuenta diferente que contenga los

privilegios necesarios para elaborar las tareas

pertinentes con cada cargo.

Retraso en la prestacin de PREVENTIVO Mejorar los servicios que tengan que ver con

servicios de T.I la prestacin de servicios de T.I

Prdida de credibilidad. PREVENTIVO Elaborar polticas de administracin y

organizacin de la informacin, para

garantizar fidelidad, lealtad y credibilidad

Destruccin de informacin PREVENTIVO Activar y actualizar antivirus que permitan

confidencial proteger el software y su informacin

confidencial.

Errores del personal en el PREVENTIVO Creacin de cuentas de usuario por cada

manejo de programacin empleado.

No realizacin de copias de DETECTIVO Realizar capacitaciones de los protocolos de

seguridad y al no seguir copias de seguridad, ya que la no realizacin

estos protocolos genera de estas podra ser catastrfico. Adems,

prdidas insertar en el software del banco una

actualizacin que permita tambin realizar

copias automticamente.

Daos irreparables al PREVENTIVO Creacin de cuentas de usuario por cada

sistema por ingreso de empleado. Y mejorar la seguridad del

personal no autorizado y software y de las instalaciones del banco.

mal intencionado.

El personal no cuenta con DETECTIVO Capacitar al personal de la organizacin

programas de capacitacin y sobre la forma de utilizar la plataforma del

formacin banco. Si no existe la persona indicada en la

empresa para dar la asesora, se podra

contratar con una entidad externa (Ingeniero

de Sistemas).

HALLAZGOS:
 REF

HALLAZGO

PROCESO PGINA
Recursos Humanos de TI
AUDITADO 1 DE 1

RESPONSABLE Jeferson Gonzalez

MATERIAL DE
COBIT
SOPORTE

PO7 Administrar

DOMINIO Planificar y Organizar PROCESO Recursos Humanos

de TI

DESCRIPCIN:

El proceso PO7 abarca todo lo relacionado a la gestin de los recursos humanos de las

tecnologas de la informacin: contratacin, competencias del personal, roles, planes de

formacin, evaluacin del desempeo de los empleados. Adems, su objetivo es maximizar las

contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de

negocio, a travs de tcnicas slidas para administracin de personal.

REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01

CONSECUENCIAS:

Al no llevar a cabo un buen desempeo de este proceso, la empresa podra tener riesgos

importantes dentro de su personal que podran afectar totalmente el movimiento y desempeo

del personal, software, hardware y clientela.

RIESGO:

Porcentaje de riesgo = 28.57%

Impacto segn relevancia del proceso: Riesgo Bajo

Aunque es bajo el riesgo, de igual forma si se presenta ocasionara: Descontrol en el manejo

por parte del personal de las plataformas del software, pocas capacitaciones al personal sobre el

uso de las plataformas y sus actualizaciones.

RECOMENDACIONES:

Mejorar las capacitaciones de recurso humano sobre el software actualizado para minimizar

riesgos en el mismo.

Actualizar cuentas de usuario y limites de acceso.

LUIS EDUARDO QUIGUANAS:

Matriz De Riego Proceso Po9 Evaluar Y Administrar Los Riegos De Ti.

ANALISIS Y EVALUACION DE RIESGO PO9

PROBABILIDAD IMPACTO

No. DESCRIPCION BAJ MEDI ALT LEV MODERA CATASTROFI

A A A E DO CO

MARCO DE TRABAJO
PO9.
ADMINISTRACCION
1
DEL RIESGO

Se llena registro de lista de

chequeo de estado

R.1 instalaciones elctricas, x x

cableado y equipos de

cmputo.

ESTABLECIMIENTO
PO9.
DEL CONTESTO DE
2
RIESGO

Se cuenta con software

R.2 x x
licenciado?

R.3 Se cuenta con un x x

 antivirus para la LAN?

PO9. IDENTIFICAION DE

3 EVENTOS

Se cuenta con un sistema

R.4 de respaldo de archivos x x

baskup?

PO9. EVALUACIONNDE

4 RIESGO

Se cuenta con hoja de

registro de reporte de

fallas y daos de equipos x x

de cmputo, red elctrica,

R.5 red de datos?

PO9. RESPUESTA A LOS

5 RIESGOS

Se verifican las copias de

R.6 los archivos y con qu x x

frecuencia se hacen?

Se cuenta con un Proxy

de control de navegacin a
R.7 x x
Internet y conque

frecuencia se verifica su
 funcionamiento?

MONITOREO DE
PO9.
PLAN DE ACCION DE
6
RIESGO

Se realizan reunin de
R.8 x x
indicadores?

Se cuenta con redes

elctricas reguladas y con x x

R.9 respaldo?

Existen Polticas de

control de acceso a la red

R.10 x x
por parte de los

servidores?

LEVE MODERADO CATASTROFICO

ALTA 61 -
PROBABILIDAD

R1,R2,R3,R4,R6,R7,R9,R10
100 %

MEDIA 31-
R5,R8
60 %
 BAJA 0 - 30

IMPACTO

Tratamiento De Los Riesgos:

 TRATAMIENTO

PROPUESTO

ID. DEL ( Aceptarlo, Eliminarlo,

RIESGOS DESCRIPCION DEL RIESGO Transferirlo, Controlarlo)

Se llena registro de lista de chequeo de estado

R1 instalaciones elctricas, cableado Controlarlo

R2 Se cuenta con software licenciado? Controlarlo

R3 Se cuenta con un antivirus para la LAN? controlarlo

Se cuenta con un sistema de respaldo de

R4 archivos Backus? Transferirlo

Se verifican las copias de los archivos y con qu

R6 frecuencia se hacen? controlarlo

Se cuenta con un Proxy de control de

navegacin a Internet y conque frecuencia se

R7 verifica su funcionamiento? Transferirlo

Se cuenta con redes elctricas reguladas y con

R9 respaldo? Controlarlo

Existen Polticas de control de acceso a la red

R10 por parte de los servidores? Controlarlo

REF
HALLAZGO
HHDN_O1
PROCESO PO9 EVALUAR Y ADMINISTRAR LOS PGINA

AUDITADO RIEGOS DE TI DE

RESPONSABLE JEFE DE SISTEMAS

MATERIAL DE
COBIT
SOPORTE

(PO9) EVALUAR

Planear y Organizar Y ADMINISTRAR

DOMINIO PROCESO
(PO) LOS RIEGOS DE

TI

DESCRIPCIN:

No se llevan registros de lista de chequeo de estado instalaciones elctricas, cableado.

No se cuenta con software licenciado

No se cuenta con un antivirus para la LAN

No se cuenta con un sistema de respaldo de archivos Backup

No se verifican las copias de los archivos y con qu frecuencia se hacen

No se cuenta con un Proxy de control de navegacin a Internet y conque frecuencia se

verifica su funcionamiento.

No se cuenta con redes elctricas reguladas y con respaldo

 No Existen Polticas de control de acceso a la red por parte de los servidores

REF_PT:

CUESTIONARIOS_CHDN/

E_AUDIO/A_CHDN_

CONSECUENCIAS:

Al no contar con licenciamiento de software se est incurriendo en un delito de piratera

de software.

Al no contar con un antivirus se est expuesto a ataques a la red por parte de virus y de

individuos externos.

Al no contar con un sistema de respaldo de archivos se corre el riesgo de prdida total

de archivos importantes de la empresa como archivos de contabilidad etc. No se

verifican las copias de los archivos y con qu frecuencia se hacen

Al no contar con un Proxy de control de navegacin se corre el riesgo de ser atacados

por hacker, el ancho de banda ser reducido y el personal tendr ingreso a pginas sin
 restriccin como Facebook, entre otras en horario laboral.

Al no contar con polticas de acceso a los servicios del servidor cualquier persona

que tenga acceso a la red interna podr ingresar a nuestro servidor y ocasionar

daos como perdida de informacin o des configuracin.

RIESGO:

Probabilidad de ocurrencia: = 100%

Impacto segn relevancia del proceso: Alto

RECOMENDACIONES:

Implementar formatos de lista de chequeo, y revistas peridicas al estado de las redes

elctricas y de datos por parte del personal tcnico de la empresa.

Se realizara la compra de licencias de software para los equipos de cmputo de la

compaa.

Se realizara la compra de un antivirus para la instalacin y control de los equipos de la

red local.
 Se implementara un formato de chequeo y revistas peridicas para verificar el respaldo

de los archivos de la compaa por parte del personal de sistemas.

Se realizara implementacin de polos a tierras para las redes elctricas, y se instalaran

UPS a los equipos de cmputo.

Capacitacin al personal de sistemas e implementacin de polticas de seguridad en los

servidores para el acceso a los recursos.

TIPO DE
RIESGO SOLUCION PROPUESTA
CONTROL

Implementar formatos de lista

Se llena registro de lista de
chequeo de estado instalaciones
elctricas, cableado UTP.
de chequeo, y revistas
peridicas al estado de las
Controlarlo
redes elctricas y de datos por
parte del personal tcnico de la

empresa.

Se realizara la compra de

Se cuenta con software licencias de software para los

Controlarlo
licenciado? equipos de cmputo de la

compaa.

Se cuenta con un antivirus para
la LAN?
Se verifican las copias de los
archivos y con qu frecuencia se
hacen?
Se cuenta con redes elctricas
reguladas y con respaldo?
Existen Polticas de control de
acceso a la red por parte de los
servidores?
Se realizara la compra de un
antivirus para la instalacin y
Controlarlo
control de los equipos de la red
local.
Se implementara un formato
de chequeo y revistas
peridicas para verificar el
Controlarlo
respaldo de los archivos de la
compaa por parte del
personal de sistemas.
Se realizara implementacin de
polos a tierras para las redes
Controlarlo
elctricas, y se instalaran UPS
a los equipos de cmputo.
Capacitacin al personal de
sistemas e implementacin de
Controlarlo polticas de seguridad en los
servidores para el acceso a los
recursos.
 JHOAN STALING SEVILLANO:

Matriz de Riesgos

probabilidad impacto

RIESGOS/VALORACION A M B L M C

OBJETIVO DE CONTROL DE SEGURIDAD FISICA

R1 Existe seguridad para los vehculos de transporte? X X

R2 Existe plan de contingencia en caso de catstrofes en la

X X
empresa?

R3 Existe suficiente personal de seguridad para la proteccin

X X
de las personas del banco?

R4 Existe control para el ingreso a las zonas no autorizadas

X X
en la empresa?

R5 Falta de carnetizacin al personal de la empresa? X X

R6 La alarma de emergencia acta de manera adecuada? X X

R7 La sealizacin de evacuacin es entendible? X X

R8 Se tiene un registro de control para el personal que

X X
ingresa a la empresa (Horarios)?

R9 Es claro el sistema organizacional que se maneja en la

X X
empresa?

R10 Existe formato de sugerencias del personal que labora en

X X
la empresa?
 Probabilidad Impacto

A: Alta L: Leve

M: Media M: Moderado

B: Baja C: Catastrfico

R8 R1,R7

Alto

61-100%

Medio R6 R3,R9 R2

31-60%
PROBABILIDAD

Bajo R4,R10 R5

0-30%

Leve Moderado Catastrfico

IMPACTO

Tratamiento De Los Riesgos:

ID. DEL DESCRIPCION DEL RIESGO TRATAMIENTO

RIESGOS PROPUESTO

( Aceptarlo, Eliminarlo,
 Existe seguridad para los vehculos de

R1 transporte? Transferirlo

Existe plan de contingencia en caso de

R2 catstrofes en la empresa? Controlarlo (o Mitigarlo)

Existe suficiente personal de seguridad para la

R3 proteccin de las personas del banco? Transferirlo

Existe control para el ingreso a las zonas no

R4 autorizadas en la empresa? Controlarlo (o Mitigarlo)

R5 Falta de carnetizacin al personal de la empresa? Aceptarlo (o Asumirlo)

La alarma de emergencia acta de manera

R6 adecuada? Transferirlo

R7 La sealizacin de evacuacin es entendible? Controlarlo (o Mitigarlo)

Se tiene un registro de control para el personal

R8 que ingresa a la empresa (Horarios)? Controlarlo (o Mitigarlo)

Es claro el sistema organizacional que se maneja

R9 en la empresa? Aceptarlo (o Asumirlo)

Existe formato de sugerencias del personal que

R10 labora en la empresa? Transferirlo

REF
HALLAZGO
HHDN_O1
PROCESO PGINA
PO8 ADMINISTRAR LA CALIDAD
AUDITADO DE

- JEFE DE PERSONAL
RESPONSABLE
- GERENTE GENERAL

MATERIAL DE
COBIT
SOPORTE

PO8.1 Sistema de PO8

DOMINIO administracin de PROCESO ADMINISTRAR

calidad LA CALIDAD

DESCRIPCIN:

No Existe un plan de contingencia en caso de ocurrir una catstrofe en la empresa.

No Existe control para el ingreso a las zonas no autorizadas en la empresa.

No es entendible(Comprensible)La sealizacin de evacuacin en la empresa.

No se lleva un registro de control para el personal (Trabajadores) que ingresan a la

empresa (Horarios)
CONSECUENCIAS:

Al no contar tener un plan de contingencia en caso de catstrofes, el personal de la

empresa puede tener gran probabilidad de perder o la vida o quedar lesionados por

algn evento no planeado.

Al no contar con un control de acceso a las zonas restringidas por parte del personal de

la empresa, puede haber hurto de dinero o de equipos en las sedes.

Al no contar sealizacin de evacuacin en la empresa, en caso de sismos o incendios,

el personal no sabra qu accin tomar y en cuales lugares podra estar seguro.

Al no contar un sistema que lleve el control de ingreso y salida de los trabajadores a la

empresa, se puede correr el riesgo de que en las salidas de un trabajador de la empresa

sufra un accidente, y ninguna persona se entere de que el trabajador est fuera de la

empresa.

RIESGO:

Probabilidad de ocurrencia:= 80%

Impacto segn relevancia del proceso: Alto

RECOMENDACIONES:

Implementar un plan de contingencia, cmo una brigada de la empresa, en caso de que

lleguen a ocurrir catstrofes, ests puedan auxiliar a las personas que las necesiten.

Capacitar a un personal en casos de primeros auxilios.

Implementar Claves de acceso a Zonas privadas de la empresa (Por ejemplo bveda),

para que no puedan ingresar trabajadores que no posean autorizacin.

Marcar las zonas de evacuacin con seales entendibles para los trabajadores en caso de

Incendio o temblores.

Implementar un huellero que marque la salida y entrada de cada trabajador, con el fin

de controlar el monitoreo de cada uno de ellos.

RIESGOS o HALLAZGOS TIPO DE

SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL

Indicar al personal que no se cuenta con

Existe seguridad para los Preventivo una persona externa que cuide los vehculos

vehculos de transporte? de transporte fuera de la empresa. Por

 consiguiente es mejor pagar parqueadero.

Existe plan de contingencia Implementar el plan de contingencia en la

en caso de catstrofes en la Correctivo empresa en caso de catstrofes.

empresa?

Existe suficiente personal de Contratar ms personal de seguridad para

seguridad para la proteccin Preventivo que los usuarios y trabajadores se sientan

de las personas del banco? seguros en las sedes.

Existe control para el ingreso Capacitar a algn personal seleccionado,

a las zonas no autorizadas en Correctivo con el fin de brindarles claves de acceso

la empresa? para acceder a las zonas restringidas.

Carnetizar al personal de la empresa para

Falta de carnetizacin al Correctivo mejorar el control y comunicacin con

personal de la empresa? ellos.

Contratar un proveedor de seguridad, con

La alarma de emergencia Preventivo alarma avanzada que no lance eventos

acta de manera adecuada? fallidos de emergencia.

Sealizar las zonas de evacuacin con

La sealizacin de Correctivo Flechas que sean claras para los

evacuacin es entendible? trabajadores y usuarios.

Se tiene un registro de Se deber implementar un sistema de

control para el personal que Correctivo control, con el fin de tener visibilidad de la

ingresa a la empresa ubicacin de los trabajadores de la empresa.

(Horarios)?

Es claro el sistema Disear una cartelera con la informacin

organizacional que se maneja Correctivo organizacional de la empresa para que los

en la empresa? trabajadores puedan consultarla.

Existe formato de Crear un buzn de sugerencias para que los

sugerencias del personal que Correctivo usuarios puedan realizar una realimentacin

labora en la empresa? de la atencin de la empresa.

 CONCLUSIONES

Teniendo en cuenta los formatos sobre los hallazgos encontrados dentro de la empresa se pudo

evidenciar que un banco debe tener mucho cuidado con la seguridad informtica, los antivirus y

otros programas para la gestin de sistemas son importantes para lograr tener estable las redes de

comunicacin.

El anlisis sobre los hallazgos encontrados es importante para responder a la eventualidad con la

solucin correcta, muchas veces el proceder mal permite que el dao sea grave, es por eso que es

de vital importancia tener conocimiento veraz sobre lo que sucede.

La buena realizacin de una auditoria de sistemas y de un anlisis de los riesgos existentes y

posibles, hace que se pueda manejar un plan preventivo y correctivo en cualquier aspecto que

haya fallas y con la realizacin de este trabajo podemos evidenciarlo.

 BIBLIOGRAFIA

Castello, R. J. (2015). Auditoria en entornos informticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin de

tecnologas de la informacin. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780

Solarte, F. N. J. (30 de noviembre de 2011). Auditora informtica y de sistemas. Recuperado de

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html