fase4

2. Cuadro de controles: RIESGOS o TIPO DE HALLAZGOS CONTROL ENCONTRADOS No existe un manual de CORRECTIVO riesgos No est

Views 184 Downloads 7 File size 604KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
fase4
fase4

64 42 504KB Read more

Fase4
Fase4

CALCULO MULTIVARIADO 203057A_611 Unidad3 Presentado a: GABRIELA INES LEGUIZAMON SIERRA Entregado por: Nestor Alirio Ca

73 0 994KB Read more

Fase4
Fase4

27 1 625KB Read more

Grupo413 Fase4
Grupo413 Fase4

11 0 248KB Read more

Fase4 Telematica
Fase4 Telematica

56 2 673KB Read more

Fase4-LeidySoler
Fase4-LeidySoler

45 1 1MB Read more

M22S2A4 Fase4
M22S2A4 Fase4

1 0 218KB Read more

Fase4 Grupo05
Fase4 Grupo05

0 0 1MB Read more

Apendice-Fase4
Apendice-Fase4

78 0 424KB Read more

Grupo17 Fase4
Grupo17 Fase4

6 0 1MB Read more

Citation preview

2. Cuadro de controles: RIESGOS o TIPO DE HALLAZGOS CONTROL ENCONTRADOS No existe un manual de CORRECTIVO riesgos No esta implementado ningún manual de trabajo donde se evalúen los posibles riesgos.

CORRECTIVO

Ausencia de un plan de acción debidamente estructurado por el área de informática.

CORRECTIVO

No se llevan controles periódicos donde se usen métodos cuantitativo y cualitativos.

CORRECTIVO

No se tienen en cuenta los CORRECTIVO comunicados de seguridad informática enviados por el jefe de sistemas No se evidencia un apoyo CORRECTIVO eficaz por parte de la junta directiva para la correcta evaluación de riesgo.

No existe documentación de los incidentes asociados a los riesgos donde se pueda evaluar de acuerdo con su nivel e importancia.

CORRECTIVO

SOLUCIONES O CONTROLES

Crear un manual de riesgos donde exista toda la documentación técnica correspondiente. Elaborar e implementar un manual de trabajo.

El área de informática debe crear un plan de acción debidamente estructurado para estar preparados y saber que hacer al momento de presentarse una situación que afecte la organización. Realizar y conservar todas las documentaciones de identificaciones de riesgos , para que periódicamente se apliquen métodos cuantitativos y cualitativos . El área de informática debe solicitar respaldo a la junta directiva ,para que le den la importancia que el jefe de sistemas envía de prevención. Debe explicarse a la junta directiva la importancia de tener una correcta organización del área de informática para poder mitigar los riesgos que pueden presentarse ocasionando daños en la organización. Se recomienda que se documenten todos los incidentes , para su correcta clasificación.

1.Formatos de hallazgos para cada riesgo.

REF HALLAZGO 1- PARA R1 H1

Marco de trabajo de Administración de Riesgos

PROCESO AUDITADO RESPONSABLE

Maira Alejandra Franco

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y Organizar PROCESO (PO)

PÁGINA 1

DE

1

PO9 Evaluación de riesgos

DESCRIPCIÓN HALLAZGO: No existe un manual de riesgos. Ausencia de controles y manuales por parte del área de informática que no permiten implementar control sobre los posibles riesgos. CAUSAS: Falta de estructuración del área de informática. CONSECUENCIAS:  

Al no existir un manual de riesgos la empresa no sabrá como actuar frente a situaciones de vulnerabilidad. Aumento de probabilidad de que una amenaza se materialice y afecte el correcto funcionamiento de la organización.

VALORACIÓN DEL RIESGO:  

Probabilidad de ocurrencia: 68% Impacto según relevancia del proceso: Alto

RECOMENDACIONES:  

Crear y dar mantenimiento a un manual de riesgos. Capacitar al asistente de sistemas , para que después de creado el manual de riesgos el sea el responsable de darle el correcto mantenimiento.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT): Cuestionarios y entrevistas.

REF HALLAZGO - PARA R2

Marco de trabajo de Administración de Riesgos

PROCESO AUDITADO RESPONSABLE

Maira Alejandra Franco

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y Organizar PROCESO (PO)

H2

PÁGINA 1

DE

1

PO9 Evaluación de riesgos

DESCRIPCIÓN HALLAZGO: No esta implementado ningún manual de trabajo donde se evalúen los posibles riesgos. Ausencia de controles y manuales por parte del área de informática que no permiten implementar control sobre los posibles riesgos. CAUSAS: Falta de estructuración del área de informática. CONSECUENCIAS: 



Al no existir un marco de trabajo para la correcta administración de riesgos, es difícil identificar los posibles riesgos y por ende no se puede implementar un plan de acción para la mitigación de estos. Aumento de probabilidad de que una amenaza se materialice y afecte el correcto funcionamiento de la organización.

VALORACIÓN DEL RIESGO:  

Probabilidad de ocurrencia: 75% Impacto según relevancia del proceso: Alto

RECOMENDACIONES: 

Organizar y definir funciones dentro de área de informática, para que de esta manera se pueda implementar y crear un marco de trabajo.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO: Cuestionarios y entrevistas.

REF HALLAZGO - PARA R3

Mantenimiento y monitoreo de un plan de acción de riesgos.

PROCESO AUDITADO RESPONSABLE

Maira Alejandra Franco

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y Organizar PROCESO (PO)

H3

PÁGINA 1

DE

1

PO9 Evaluación de riesgos

DESCRIPCIÓN HALLAZGO: Ausencia de un plan de acción debidamente estructurado por el área de informática. CAUSAS: Falta de estructuración del área de informática. CONSECUENCIAS:  

Manejo inadecuado de situaciones donde existen riesgos que afectan el correcto funcionamiento de TI. Aumento de probabilidad de que una amenaza se materialice y afecte el correcto funcionamiento de la organización.

VALORACIÓN DEL RIESGO:  

Probabilidad de ocurrencia: 75% Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 

Llevar un control , documentando los incidentes para que de esta manera se logre la identificación y clasificación de riesgos por su nivel de importancia. Después de implementar el control y la documentación es necesario implementar un plan de acción según la clasificación de riesgos.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO: Cuestionarios y entrevistas.

REF HALLAZGO - PARA R4

H4

PÁGINA PROCESO AUDITADO

Evaluación de los riesgos de TI 1

RESPONSABLE

Maira Alejandra Franco

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y Organizar PROCESO (PO)

DE

1

PO9 Evaluación de riesgos

DESCRIPCIÓN HALLAZGO: No se llevan controles periódicos donde se usen métodos cuantitativo y cualitativos. CAUSAS: CONSECUENCIAS:  

Por la ausencia de estos controles en la empresa no se pueden identificar y evaluar la probabilidad de impacto a través de los métodos cuantitativos y cualitativos. Aumento de probabilidad de que una amenaza se materialice y afecte el correcto funcionamiento de la organización.

VALORACIÓN DEL RIESGO: 

Probabilidad de ocurrencia: 70%



Impacto según relevancia del proceso: Alto

RECOMENDACIONES: 

Elaborar procedimientos para la evaluación de riesgos identificados aplicando los correcto métodos para medir su nivel de impacto.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO: Cuestionarios y entrevistas.

Resultado Matriz de riesgos

PROBABILIDAD

R1, R2, R4 Alto 61-100% Medio 31-60%

R7

R5, R6

R3

Moderado

Catastrófico

Bajo 0-30% Leve

IMPACTO Tabla de tratamiento de riesgos encontrados :

ID. Riesgo R1

Descripción Riesgo

Tratamiento Riesgo

No existe un manual de riesgos.

Controlarlo

R2

No esta implementado ningún manual de trabajo donde se evalúen los posibles riesgos.

Controlarlo

R3

Ausencia de un plan de acción debidamente estructurado por el área de informática.

Controlarlo

R4

No se llevan controles periódicos donde se usen métodos cuantitativo y cualitativos.

R5

No se tienen en cuenta los comunicados de Aceptarlo seguridad informática enviados por el jefe de sistemas. No se evidencia un apoyo eficaz por parte de la Aceptarlo junta directiva para la correcta evaluación de riesgo

R6

No existe documentación de los incidentes asociados a los riesgos donde se pueda evaluar de acuerdo a su nivel e importancia.

R7

Controlarlo

Aceptarlo

3.Dictamen: a. Objetivo de la Auditoria: Revisar y evaluar los riesgos de TI midiendo su nivel de impacto en la organización. b. Dictamen: Se estableció un nivel de madurez 1 INICAL donde el estudio y la evaluación de los riesgos son informales, ya que no existe un manual de trabajo de administración de riesgos. Por ende, cuando se presenta alguno problema no se le da el correcto manejo y quien resulta resolviendo y mitigando el riesgo es el jefe de sistemas, quien no cuenta con el suficiente apoyo de la junta directiva para minimizar los riesgos que pueden afectar la organización.

c. Hallazgos que soportan el Dictamen: 

No se cuenta con un marco de trabajo de administración de riesgos , lo que deriva a varios problemas y ausencia de controles , los riesgos son tratados a medida que ocurren sin su correcta clasificación y no hay una documentación de las acciones tomadas para la mitigación de estos.



Por falta de una correcta estructura organización del área de informática la empresa se ve afectada y con una alta probabilidad de riesgo ,ya que no se le da la prioridad necesaria.

d. Recomendaciones:



Establecer una estructura organizacional del área de informática donde se establezcan y se deleguen las diferentes creaciones de controles necesarios para el correcto funcionamiento y mitigación de riesgos , como lo son : crear Marco de trabajo de administración de riesgos, realizar un control periódico que almacene la identificación de riesgos, implementar un plan de acción de riesgos.



Para reducir el impacto sobre los efectos y consecuencias probables se sugiere elaborar toda la documentación técnica correspondiente a los controles implementados , estableciendo normas y procedimientos para el correcto desarrollo y mantenimiento.



Documentar todos los incidentes relacionados a riesgos y clasificarlos de acuerdo con su nivel de importancia , es decir riesgos críticos y residuales , teniendo como finalidad un correcto monitoreo y de esta manera aplicar el plan de acción de riesgos.