AUDITORIA DE SISTEMAS
EVALUACIN FINAL
FASE INDIVIDUAL
CC. 1.115.073.929
Objetivos de control
Comprobar que se estn llevando a cabo los procesos Evaluacin y administrar los riesgos.
Evaluar los riegos que pueden provocar interferencia en el flujo del proceso realizados en el
Centro Cardiolgico del Valle.
Implementar el sistema de administracin de riesgos sugerido.
Identificar las reas de la empresa en las cuales es ms importante la implementacin de
una administracin de riesgos.
Examinar si la administracin de riegos genera mayor satisfaccin y cumple con los
requerimientos esperados.
Alcance
Debido a que el riesgo de TI siempre existe, as haya sido detectado o no el alcance se debe:
Proveer una gua de alto nivel en cmo identificar, analizar y responder a los riesgos
utilizando procesos de COBIT con el uso de escenarios de riesgo.
Se alinea con los principales estndares y marcos de referencia en gestin de riesgos.
Proveer un enlace entre los escenarios de riesgo y los habilitadores de COBIT que puede
ser usado para mitigar el riesgo
Centro Cardiolgico del Valle LTDA
Encuesta realizada a: Jonathan Navia
PO9.1 Marco de trabajo de administracin de riesgos
Preguntas
Existe un marco con las referencias de evaluacin sistemtica de riesgos?
Respuesta: Si
Se ha realizado una evaluacin acerca de los riegos fsicos sobre las
comunicaciones y servidores?
Respuesta: Si y est en proceso de actualizacin.
Realiza y documenta la evaluacin de riesgos de los principales proyectos
correspondientes a los riegos fsicos de las comunicaciones y servidores?
Respuesta: Se encuentra en proceso de implementacin
Los principales proyectos y procesos realizados en el entorno fsico de las
comunicaciones y servidores cuentan con sus correspondientes Matrices de
Administracin de Riesgos?
Respuesta: Se encuentra en proceso de implementacin
los riesgos fsicos derivados de la comunicaciones y servidores cuentan con planes
de recuperacin de desastres?
Respuesta: Si, se cuenta con bases de datos sincronizadas, archivos de respaldo en
una nube propia y se uno de los servidores falla se tiene todo lo necesario en otro
servidor para seguir trabajando en total normalidad.
Las Matrices de Administracin de Riesgos, los planes de contingencia y los
planes de recuperacin de desastres de los principales proyectos fsicos sobre las
comunicaciones y servidores estn actualizados?
Respuesta: Se encuentra en proceso de implementacin
Vulnerabilidades
Amenazas
Riesgos
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Arquitectura de la informacin
R1 Las Matrices de Administracin de X X
Riesgos, los planes de contingencia y
los planes de recuperacin de desastres
de los principales proyectos fsicos
sobre las comunicaciones y servidores
estn actualizados?
R2 Conoce las presiones y exigencias X X
que tiene sus clientes en el mbito de
la seguridad de la informacin?
R3 Conoce los eventos de riesgos X X
identificados como riesgos
provocados por procesos tales como
procedimientos inadecuados o
inexistentes que puedan tener
repercusiones graves?
R4 Se Evala en forma recurrente la X X
probabilidad e impacto de todos los
riesgos identificados?
R5 Se cuenta con un proceso de X X
respuesta a riegos diseado para
asegurar que controles efectivos en
costo mitigan la exposicin en forma
continua?
R6 Se obtiene la aceptacin de las X X
acciones recomendadas de cualquier
riesgo residual?
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico
MODERAD CATASTROFIC
LEVE
O O
ALTO R2 R3, R4, R5
MEDIO R1, R6
BAJO
Tratamiento de hallazgos y definicin de controles
Pregunta Si No OBSERVACION
ES
Existe un marco con las referencias de evaluacin x
sistemtica de riesgos?
Se ha realizado una evaluacin acerca de los riegos x
fsicos sobre las comunicaciones y servidores?
Realiza y documenta la evaluacin de riesgos de los x
principales proyectos correspondientes a los riegos
fsicos de las comunicaciones y servidores?
Los principales proyectos y procesos realizados en el x
entorno fsico de las comunicaciones y servidores
cuentan con sus correspondientes Matrices de
Administracin de Riesgos?
los riesgos fsicos derivados de la comunicaciones y x No muy bien
servidores cuentan con planes de recuperacin de documentado
desastres?
Las Matrices de Administracin de Riesgos, los x
planes de contingencia y los planes de recuperacin de
desastres de los principales proyectos fsicos sobre las
comunicaciones y servidores estn actualizados?
Pregunta Si No OBSERVACION
ES
Existe una metodologa para evaluar los riegos y la x
cual garantice unos resultados apropiados?
Conoce las exigencias legales y reglamentarias, donde x
los riesgos de incumplimiento pueden poner juego la
reputacin de la organizacin?
Conoce las presiones y exigencias que tiene sus x
clientes en el mbito de la seguridad de la informacin?
Conoce la sensibilidad de la informacin que maneja x
sobre los pacientes?
Conoce la sensibilidad de la informacin que maneja x
sobre los clientes IPS?
Conoce la sensibilidad de la informacin que maneja x
sobre el centro cardiolgico del valle?
Pregunta Si No OBSERVACION
ES
Se ha realizado la identificacin previa de los riegos x
generales que afectan al centro cardiolgico del valle?
Conoce los eventos de riesgos identificados como x
riesgos provocados por personas tales como
negligencia, error humano, fraude, sabotaje, error
humano?
Conoce los eventos de riesgos identificados como x
riesgos provocados por procesos tales como
procedimientos inadecuados o inexistentes que puedan
tener repercusiones graves?
Conoce los eventos de riesgos identificados como x
riesgos provocados por tecnologas de informacin
tales como prdidas financieras derivadas de un
sistema de informacin inadecuado?
Conoce los eventos de riesgos identificados como x
riesgo provocados por eventos externos tales como
perdidas de informacin derivadas de eventos como
desastres naturales actos delictivos o fallas de servicios
prestados por terceros?
Centro Cardiolgico del Valle LTDA
Cuestionario de Control: GP-PO9-4
Dominio Evaluacin y administracin de riesgos
Procesos PO9.4 Evaluacin de riesgos de TI
Pregunta Si No OBSERVACION
ES
Se Evala en forma recurrente la probabilidad e x
impacto de todos los riesgos identificados?
Se usan mtodos cualitativos? x
Se usan mtodo cuantitativos? x
Se determina de forma individual la probabilidad e x
impacto asociado a los riesgos inherentes y residuales?
Se determina por categora la probabilidad e impacto x
asociados a los riesgos inherentes y residuales?
Pregunta Si No OBSERVACION
ES
Se cuenta con un proceso de respuesta a riegos x
diseado para asegurar que controles efectivos en
costo mitigan la exposicin en forma continua?
El proceso de respuesta a riegos identifica estrategias x
tales como evitar, reducir, compartir o aceptar riesgos?
El proceso de respuesta a riesgos considera los x
niveles de tolerancia a riesgos?
Pregunta Si No OBSERVACION
ES
Se prioriza las actividades de control a todos los x
niveles para implementar las respuestas a los riegos?
Se obtiene la aceptacin de las acciones x
recomendadas de cualquier riesgo residual?
Se monitorea la ejecucin de planes? x
Se reporta de cualquier desviacin a la alta direccin? x
Dictamen de auditora
Se Conoce las presiones y exigencias que tiene sus clientes IPS en el mbito de la
seguridad de la informacin, pero no todas se han implementado por cuestin de falta de
personal y algunos recursos los cuales piensan ser suplidos.
Se encuentra con un sistema que si no contaba con una metodologa formal para el
manejo de incidencias tenia algunos informes de cmo se deba proceder en algunos
casos en los que se sufri de alteracin o dao de la informacin.
Recomendaciones: