trabajo colaborativo 2_90168-72.docx
TRANSCRIPT
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
1/23
1
Momento 1 – Intermedio del Trabajo Colaborativo 1:
Vulnerabilidades, Amenazas y Riesgos. lan y rograma Auditoria
!"uleyver Mos#uera $onilla % C&digo: 11.'().*1*
+-tor abio Ar-e Casta/eda % C&digo:1.110.().0Mario Ale2ander oveda 3uta % C&digo: *(.41'.1*5
RA6CI3C7 6IC78A3 378ART9Tutor Curso: 5(1)*'4
;niversidad 6a-ional Abierta y a as e ingenier>aIngenier>a de 3istemas
Auditoria de 3istemas
4(1)
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
2/23
2
Introducción
9l desarrollo de este trabajo es la -ontinua-i&n de la tem=ti-a #ue se est= tratando durante el
-urso, lo -ual ?ermite una identi@i-a-i&n -lara de los riesgos, mediante un an=lisis de riesgos el
-ual tiene -omo resultados los riesgos m=s -r>ti-os #ue tiene la organiza-i&n.
3e e@e-ta una investiga-i&n sobre los di@erentes ?ro-esos y objetivos #ue se desarroll& en el
trabajo uno, su a?li-a-i&n e im?ortan-ia #ue tienen en la organiza-i&n. 3e desarrolla unas
"erramientas ?ara el auditor, en la re-o?ila-i&n de la in@orma-i&n, #ue es muy im?ortante en el
desarrollo de una auditoria in@orm=ti-a.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
3/23
3
Objetivo
9laborar un ?lan de auditor>a ?ara una entidad gubernamental del orden territorial es?e-i@i-ando
los dominios, ?ro-esos y objetivos de -ontrol, adem=s de los -ontroles a?li-ables segn el mar-o
C7$IT B.1.
Objetivos específicos.
• Realizar un an=lisis de riesgo de la organiza-i&n o la em?resa auditable.
• 9laborar una entrevista la -ual eviden-ie los ?osibles riesgos de la organiza-i&n.
• 9laborar un -uestionario el -ual ?ermita observar el ?or-entaje de riesgo del objetivo.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
4/23
4
PLANEAR Y ORGANIZAR
PO !o"unic#r $#s #spir#ciones % $# dirección de &erenci#
8a dire--i&n debe elaborar un mar-o de trabajo de -ontrol em?resarial ?ara TI, y de@inir y
-omuni-ar las ?ol>ti-as. ;n ?rograma de -omuni-a-i&n -ontinua se debe im?lementar ?ara
arti-ular la misi&n, los objetivos de servi-io, las ?ol>ti-as y ?ro-edimientos et-., a?robados y
a?oyados ?or la dire--i&n. 8a -omuni-a-i&n a?oya el logro de los objetivos de TI y asegura la
-on-ien-ia y el entendimiento de los riesgos de nego-io y de TI. 9l ?ro-eso debe garantizar el
-um?limiento de las leyes y reglamentos relevantes
O'(E)I*O+ ,E !ON)ROL
PO.- A"biente de po$ític#s de contro$
a
administrativa y el estudio o?erativo de la em?resa. 9stos elementos in-luyen las
e2?e-tativasre#uerimientos res?e-to a la entrega valor ?roveniente de las inversiones en TI, el
a?etito de riesgo, la integridad, los valores ti-os, la -om?eten-ia del ?ersonal, la rendi-i&n de
-uentas y la res?onsabilidad. 9l ambiente de -ontrol se basa en una -ultura #ue a?oya la entrega
de valor, mientras administra riesgos signi@i-ativos, @omenta la -olabora-i&n entre divisiones y
el trabajo en e#ui?o, ?romueve el -um?limiento y la mejora -ontinua de ?ro-esos, y maneja las
desvia-iones Din-luyendo @allasE de @orma ade-uada.
PO. Ries&o corpor#tivo % "#rco de referenci# de contro$ interno de )I
9laborar y dar mantenimiento a un mar-o de trabajo #ue establez-a el en@o#ue em?resarial
general "a-ia los riesgos y el -ontrol #ue se alinee -on la ?ol>ti-a de TI, el ambiente de -ontrol y
el mar-o de trabajo de riesgo y -ontrol de la em?resa.
PO./ Ad"inistr#ción de po$ític#s p#r# )I.
9laborar y dar mantenimiento a un -onjunto de ?ol>ti-as #ue a?oyen las estrategias de TI. 9stas
?ol>ti-as deben in-luir su inten-i&n, roles y res?onsabilidades, ?ro-esos de e2-e?-i&n, en@o#ue de
-um?limiento y re@eren-ias a ?ro-edimientos, est=ndares y dire-tri-es. 3u relevan-ia se debe
-on@irmar y a?robar en @orma regular.
PO.0 I"p$#nt#ción de po$ític#s de )I
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
5/23
5
Asegurarse #ue las ?ol>ti-as de TI se im?lantan y se -omuni-a a todo el ?ersonal relevante, y se
re@uerzan, de tal @orma #ue estn in-luidas y sean ?arte integral de las o?era-iones em?resariales.
PO.1 !o"unic#ción de $os objetivos % $# dirección de )I
Asegurarse de #ue la -on-ien-ia y el entendimiento de los objetivos y la dire--i&n del nego-io y
de TI se -omuni-an a los interesados a?ro?iados y a los usuarios de toda la organiza-i&n.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
6/23
6
An2$isis de ries&os
N3 ,escripción Prob#bi$id#d I"p#cto'#j#
4edi#
A$t# Leve
4oder#do
!#t#strófico
R-
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
7/23
7
)(G
$ajo
(%(G
R14 R4, R', R5,
R1
8eve Moderado Catastr&@i-
o
IMACT7
Menor im?a-to o ?robabilidad de o-urren-ia
robabilidad y o-urren-ia media
Alta ?robabilidad de o-urren-ia
;or"#to entrevist#
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
8/23
8
EN)RE*I+)A RE;
EN)I,A, A
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
9/23
9
!
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
10/23
10
9l -=l-ulo de este ?or-entaje se "a-e de la siguiente @orma:
Porcent#je de ries&o p#rci#$ @ DTotal 3I K 1((E TotalPorcent#je de ries&o @ 1(( % or-entaje de riesgo ?ar-ial
Porcent#je de ries&o p#rci#$ @ D1' K 1((E B4 L B(,B'Porcent#je de ries&o @ 1(( – B(,B'L 05,04
ara determinar el nivel de riesgo total, se tiene en -uenta la siguiente -ategoriza-i&n:
1G % (G L Riesgo $ajo/- B 69 @ Ries&o 4edio'1G % 1((G L Riesgo Alto
RIE+GO:
Porcent#je de ries&o p#rci#$: ¿40,47
Porcent#je de ries&o @ 05,04I"p#cto se&Cn re$ev#nci# de$ proceso: Riesgo Medio
List# de cDeueo
Hoberna-i&n
%C+ (1
e-"a: 40 Abril 4(1)
Realizado ?or: +-tor abio Ar-e Casta/eda
C"e-N
Mar-o de -ontrol de la TI
ol>ti-as de la TI
O
9strategias de las TI
Administra-i&n de la TI
Te-nolog>a ade-uada O
Revisiones y a-tualiza-iones realizadas
Clara -omuni-a-i&n de la geren-ia
ol>ti-as de seguridad
3eguridad de la in@orma-i&n
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
11/23
11
Prueb# Guí#
Gobern#ciónI, Guí# de Prueb#: GP-
,o"inio ,o"inio: lanear y organizar
ProcesoProceso: 7): Comuni-ar las as?ira-iones y la dire--i&n de geren-ia
Objetivo de !ontro$ 7).1 Ambiente de ?ol>ti-as de -ontrol
7).4 Riesgo -or?orativo y mar-o de re@eren-ia de -ontrol interno de
TI7). Administra-i&n de ?ol>ti-as ?ara TI.
7).B Im?lanta-i&n de ?ol>ti-as de TI
7).0 Comuni-a-i&n de los objetivos y la dire--i&n de TI
I, Ries&os Asoci#dos RB, R1(, R11 6o. Evidenci# ,escripción1 9n el C1 se eviden-io #ue no
"ay un ade-uado manejo de la
in@orma-i&n
ti-as.
6o "ay una revisi&n y a-tualiza-i&n ade-uada de las ?ol>ti-as, y "ay @alen-ias en la -omuni-a-i&n de las
mismas e2istentes
3eguridad de la in@orma-i&n
6o "ay -a?a-ita-i&n del ?ersonal, sobre las ?ol>ti-as de la
seguridad de la in@orma-i&n, y la im?ortan-ia de esta en
el desarrollo de la organiza-i&n
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
12/23
12
Proceso: Ev#$u#r % Ad"inistr#r $os Ries&os de )I
,escripción de$ Proceso
Crear y dar mantenimiento a un mar-o de trabajo de administra-i&n de riesgos. 9l mar-o de
trabajo do-umenta un nivel -omn y a-ordado de riesgos de TI, estrategias de mitiga-i&n y
riesgos residuales. Cual#uier im?a-to ?oten-ial sobre las metas de la organiza-i&n, -ausado ?or
algn evento no ?laneado se debe identi@i-ar, analizar y avaluar. 3e deben ado?tar estrategias de
mitiga-i&n de riesgos ?ara minimizar los riesgos residuales a un nivel a-e?table. 9l resultado de
la evalua-i&n debe ser entendible ?ara los interesados y se debe e2?resar en trminos @inan-ieros,
?ara ?ermitirles alinear los riesgos a un nivel a-e?table de toleran-ia.
Objetivos de !ontro$
PO8.- 4#rco de )r#b#jo de Ad"inistr#ción de Ries&os
9stable-er un mar-o de trabajo de administra-i&n de riesgos de TI #ue est alineado al mar-o de
trabajo de administra-i&n de riesgos de la organiza-i&n.
PO8. Est#b$eci"iento de$ !onteFto de$ Ries&o
9stable-er el -onte2to en el -ual el mar-o de trabajo de evalua-i&n de riesgos se a?li-a ?ara
garantizar resultados a?ro?iados. 9sto in-luye la determina-i&n del -onte2to interno y e2terno de
-ada evalua-i&n de riesgos, la meta de la evalua-i&n y los -riterios -ontra los -uales se evalan
los riesgos.
PO8./ Identific#ción de Eventos
Identi@i-ar eventos Duna amenaza im?ortante y realista #ue e2?lota una vulnerabilidad a?li-able y
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
13/23
13
signi@i-ativaE -on un im?a-to ?oten-ial negativo sobre las metas o las o?era-iones de la em?resa,
in-luyendo as?e-tos de nego-io, regulatorios, legales, te-nol&gi-os, de so-iedad -omer-ial, de
re-ursos "umanos y o?erativos.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
14/23
14
,iseo % #p$ic#ción de instru"entos de reco$ección de infor"#ción Hfor"#to entrevist#scuestion#rios % prueb#sJ
Auditores K !onsu$tores )I
Euipo Auditor9#ui?o B
Euipo Audit#doIn-oder
Proceso !obi)75 9valuar y administrar los riesgos de TI
;ecD#
=err#"ient# Cuestionario
Pre&unt# +i No No s#be Observ#ciones
- 8a em?resa -uenta -on un mar-ode trabajo ?ara la administra-i&n
de riesgosJ
3e en-uentran identi@i-adas lasamenazas a las -uales la em?resa
?uede verse en@rentada
Inunda-iones, in-endios, virus,
robos, terrorismo, ata#ues
-ibernti-os, ?ersonal in-on@orme,
entre otrosJ
/ 8os -ontroles estable-idos en la
em?resa aseguran #ue los sistemas-ontem?len los ?ro-edimientos
ne-esarios ?ara #ue la
in@orma-i&n manejada en ellos sea
total, e2a-ta, autorizada,
mantenida y a-tualizadaJ
0 92iste algn ti?o de evalua-i&ndel riesgo @ormal #ue ?ermita la
monitoriza-i&n y -ontrol -ontinuo
de los riesgos de nego-io #ue ?ueden a@e-tar el rendimiento de
la em?resaJ
1 3e tienen identi@i-ados lo a-tivosde TI #ue ?ueden ser a@e-tados
?or amenazas y ?rovo-ar un
im?a-to negativo en la
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
15/23
15
organiza-i&nJ
Cuenta -on un sistema de-uanti@i-a-i&n de los -ostos #ue
-ausan los in-identesJ
6 9n -uanto a los 3istemas deIn@orma-i&n instalados e
im?lementados en la em?resa se
tienen los -ontroles y
?ro-edimientos ne-esarios ?ara
garantizar la seguridad m>nima
re#ueridaJ
7 92isten ?lanes de re-u?era-i&n yminimiza-i&n del im?a-to en los
?ro-esos -r>ti-os de la em?resa
#ue garanti-en la -ontinuidad del
nego-ioJ
8 8a em?resa tiene un ?lan demitiga-i&n de riesgosJ
-9 Cuenta -on un sistema de-uanti@i-a-i&n de los -ostos #ue
-ausan los in-identesJ
P9- PLAN E+)RA)EGI!O ,E )I
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
16/23
16
8a ?lanea-i&n estratgi-a de TI es indis?ensable ?ara gestionar y dirigir los re-ursos mejorar la
-om?rensi&n de las o?ortunidades y limita-iones de TI, evala el desem?e/o a-tual, identi@i-a la
-a?a-idad y los re#uerimientos de re-ursos "umanos y -lari@i-a el nivel de investiga-i&n #ue se
tiene.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
17/23
17
PO-. A$ine#ción de )I con e$ ne&ocio
9du-ar a los eje-utivos sobre las -a?a-idades te-nol&gi-as a-tuales y sobre el rumbo @uturo,
sobre las o?ortunidades #ue o@re-e TI, y sobre #u debe "a-er el nego-io ?ara -a?italizar esas
o?ortunidades. Asegurarse de #ue el rumbo del nego-io al -ual est= alineado la TI est= bien
entendido. 8as estrategias de nego-io y de TI deben estar integradas, rela-ionando de manera
-lara las metas de la em?resa y las metas de TI y re-ono-iendo las o?ortunidades as> -omo las
limita-iones en la -a?a-idad a-tual, y se deben -omuni-ar de manera am?lia. Identi@i-ar las =reas
en #ue el nego-io DestrategiaE de?ende de @orma -r>ti-a de la TI, y mediar entre los im?erativos
del nego-io y la te-nolog>a, de tal modo #ue se ?uedan estable-er ?rioridades -on-ertadas.
PO-./ Ev#$u#ción de$ dese"peo #ctu#$
9valuar el desem?e/o de los ?lanes e2istentes y de los sistemas de in@orma-i&n en trminos de
su -ontribu-i&n a los objetivos de nego-io, su @un-ionalidad, su estabilidad, su -om?lejidad, sus
-ostos, sus @ortalezas y debilidades.
PO-.0 I) P$#n estr#tM&ico de )I
Crear un ?lan estratgi-o #ue de@ina, en -oo?era-i&n -on los interesados relevantes, -&mo la TI
-ontribuir= a los objetivos estratgi-os de la em?resa DmetasE as> -omo los -ostos y riesgos
rela-ionados. In-luye -&mo la TI dar= so?orte a los ?rogramas de inversi&n @a-ilitados ?or TI y a
la entrega de los servi-ios o?era-ionales.
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
18/23
18
PO-. I) Ad"inistr#ción de$ port#fo$io de )I
Administrar de @orma a-tiva, junto -on el nego-io, el ?orta@olio de ?rogramas de inversi&n de TI
re#uerido ?ara lograr objetivos de nego-io estratgi-os y es?e->@i-os ?or medio de la
identi@i-a-i&n, de@ini-i&n, evalua-i&n, asigna-i&n de ?rioridades, sele--i&n, ini-io,
administra-i&n y -ontrol de los ?rogramas. 9sto in-luye -lari@i-ar los resultados de nego-io
deseados, garantizar #ue los objetivos de los ?rogramas den so?orte al logro de los resultados,
entender el al-an-e -om?leto del es@uerzo re#uerido ?ara lograr los resultados, de@inir una
rendi-i&n de -uentas -lara -on medidas de so?orte, de@inir ?roye-tos dentro del ?rograma,
asignar re-ursos y @inan-iamiento, delegar autoridad, y li-en-iar los ?roye-tos re#ueridos al
momento de lanzar el ?rograma.
;OR4A)O ,E EN)RE*I+)A
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
19/23
19
NO4'RE:
;E!=A:
PREG
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
20/23
20
*. a de inversiones -ono-esJ
14. -on #ue @re-uen-ia tienen reuniones ?ara so-ializar -um?limientos, novedades,
re#uerimientos de los ?rogramas del ?lan estratgi-o ?ara la -ontribu-i&n de la misi&n de
la em?resaJ
A
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
21/23
21
;OR4A)O !
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
22/23
22
!ON!L
-
8/17/2019 Trabajo Colaborativo 2_90168-72.docx
23/23
'I'LIOGRA;IA
8A6 93TRAT9HIC7