Momento 1 – Intermedio del Trabajo Colaborativo 1: Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria
Enviado por luisao94suarez • 5 de Diciembre de 2017 • Ensayo • 3.316 Palabras (14 Páginas) • 464 Visitas
Momento 1 – Intermedio del Trabajo Colaborativo 1:
Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria
Yhuleyver Mosquera Bonilla - Código: 11.706.818
Héctor Fabio Arce Castañeda - Código:1.115.063.533
Mario Alexander Poveda Suta - Código: 80.217.189
FRANCISCO NICOLAS SOLARTE
Tutor Curso: 90168_72
Universidad Nacional Abierta y a Distancia – UNAD
Escuela de ciencias básicas tecnologías e ingeniería
Ingeniería de Sistemas
Auditoria de Sistemas
2016
Introducción
El desarrollo de este trabajo es la continuación de la temática que se está tratando durante el curso, lo cual permite una identificación clara de los riesgos, mediante un análisis de riesgos el cual tiene como resultados los riesgos más críticos que tiene la organización.
Se efectúa una investigación sobre los diferentes procesos y objetivos que se desarrolló en el trabajo uno, su aplicación e importancia que tienen en la organización. Se desarrolla unas herramientas para el auditor, en la recopilación de la información, que es muy importante en el desarrollo de una auditoria informática.
Objetivo
Elaborar un plan de auditoría para una entidad gubernamental del orden territorial especificando los dominios, procesos y objetivos de control, además de los controles aplicables según el marco COBIT 4.1.
Objetivos específicos.
- Realizar un análisis de riesgo de la organización o la empresa auditable.
- Elaborar una entrevista la cual evidencie los posibles riesgos de la organización.
- Elaborar un cuestionario el cual permita observar el porcentaje de riesgo del objetivo.
PLANEAR Y ORGANIZAR
PO6 Comunicar las aspiraciones y la dirección de gerencia
La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la conciencia y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes
OBJETIVOS DE CONTROL
PO6.1 Ambiente de políticas de control
Definir los elementos de un ambiente de control para TI. Alineados con la filosofía administrativa y el estudio operativo de la empresa. Estos elementos incluyen las expectativas/requerimientos respecto a la entrega valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras administra riesgos significativos, fomenta la colaboración entre divisiones y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo fallas) de forma adecuada.
PO6.2 Riesgo corporativo y marco de referencia de control interno de TI
Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y el control que se alinee con la política de TI, el ambiente de control y el marco de trabajo de riesgo y control de la empresa.
PO6.3 Administración de políticas para TI.
Elaborar y dar mantenimiento a un conjunto de políticas que apoyen las estrategias de TI. Estas políticas deben incluir su intención, roles y responsabilidades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Su relevancia se debe confirmar y aprobar en forma regular.
PO6.4 Implantación de políticas de TI
Asegurarse que las políticas de TI se implantan y se comunica a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales.
PO6.5 Comunicación de los objetivos y la dirección de TI
Asegurarse de que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a los interesados apropiados y a los usuarios de toda la organización.
Análisis de riesgos
N° | Descripción | Probabilidad | Impacto | ||||
Baja | Media | Alta | Leve | Moderado | Catastrófico | ||
R1 | Daños dispositivos | X | X | ||||
R2 | Pérdida total dispositivos | X | X | ||||
R3 | Extracción de información | X | X | ||||
R4 | Procedimientos incorrectos, del talento humano | X | X | ||||
R5 | Robo de información o destrucción de la misma | X | X | ||||
R6 | Daño de la red | X | X | ||||
R7 | Destrucción de la información por un virus | X | X | ||||
R8 | Accesos no autorizados a la red | X | X | ||||
R9 | Costos elevados de mantenimiento, por falta de sistemas de seguridad | X | X | ||||
R10 | Poco control en el manejo de la información | X | X | ||||
R11 | Personal mal informado | X | X | ||||
R12 | Retraso en las actividades de la empresa | X | X | ||||
R13 | Hardware obsoleto | X | X |
...