ESCUELA DE CIENCIAS BASICAS, TECNOLOGIAS E INGENIERIAS

AUDITORIA DE SISTEMAS

EVALUACIN FINAL

FASE INDIVIDUAL

JONATHAN ANDRES NAVIA

CC. 1.115.073.929

FRANCISCO NICOLAS SOLARTE

DIRECTOR DEL CURSO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

GUADALAJARA DE BUGA
DICIEMBRE DE 2016
Proceso 1 -PO9 Evaluar y administrar los riesgos de TI

PO9.1 Marco de trabajo de administracin de riesgos

PO9.2 Establecimiento del contexto del riesgo
PO9.3 Identificacin de eventos
PO9.4 Evaluacin de riesgos de TI
PO9.5 Respuesta al riesgo
PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos

Objetivos de control

Comprobar que se estn llevando a cabo los procesos Evaluacin y administrar los riesgos.
Evaluar los riegos que pueden provocar interferencia en el flujo del proceso realizados en el
Centro Cardiolgico del Valle.
Implementar el sistema de administracin de riesgos sugerido.
Identificar las reas de la empresa en las cuales es ms importante la implementacin de
una administracin de riesgos.
Examinar si la administracin de riegos genera mayor satisfaccin y cumple con los
requerimientos esperados.

Alcance

A veces se suele confundir la evaluacin y administracin de riesgos con un tipo adicional

de riesgos de la organizacin, pero la verdad es que se encuentran en todos los procesos y
forman parte de cada uno de los tipos de riesgos definidos en la organizacin, en la medida
que los procesos se soportan en tecnologas de informacin para lograr los resultados.

Debido a que el riesgo de TI siempre existe, as haya sido detectado o no el alcance se debe:

Proveer una gua de alto nivel en cmo identificar, analizar y responder a los riesgos
utilizando procesos de COBIT con el uso de escenarios de riesgo.
Se alinea con los principales estndares y marcos de referencia en gestin de riesgos.
Proveer un enlace entre los escenarios de riesgo y los habilitadores de COBIT que puede
ser usado para mitigar el riesgo
 Centro Cardiolgico del Valle LTDA
Encuesta realizada a: Jonathan Navia
PO9.1 Marco de trabajo de administracin de riesgos
Preguntas
Existe un marco con las referencias de evaluacin sistemtica de riesgos?
Respuesta: Si
Se ha realizado una evaluacin acerca de los riegos fsicos sobre las
comunicaciones y servidores?
Respuesta: Si y est en proceso de actualizacin.
Realiza y documenta la evaluacin de riesgos de los principales proyectos
correspondientes a los riegos fsicos de las comunicaciones y servidores?
Respuesta: Se encuentra en proceso de implementacin
Los principales proyectos y procesos realizados en el entorno fsico de las
comunicaciones y servidores cuentan con sus correspondientes Matrices de
Administracin de Riesgos?
Respuesta: Se encuentra en proceso de implementacin
los riesgos fsicos derivados de la comunicaciones y servidores cuentan con planes
de recuperacin de desastres?
Respuesta: Si, se cuenta con bases de datos sincronizadas, archivos de respaldo en
una nube propia y se uno de los servidores falla se tiene todo lo necesario en otro
servidor para seguir trabajando en total normalidad.
Las Matrices de Administracin de Riesgos, los planes de contingencia y los
planes de recuperacin de desastres de los principales proyectos fsicos sobre las
comunicaciones y servidores estn actualizados?
Respuesta: Se encuentra en proceso de implementacin

Centro Cardiolgico del Valle LTDA

Encuesta realizada a: Jonathan Navia
PO9.2 Establecimiento del contexto del riesgo
Preguntas
Existe una metodologa para evaluar los riegos y la cual garantice unos
resultados apropiados?
Respuesta: Se encuentra en proceso de implementacin la metodologa COBIT
Conoce las exigencias legales y reglamentarias, donde los riesgos de
incumplimiento pueden poner juego la reputacin de la organizacin?
Respuesta: Si
Conoce las presiones y exigencias que tiene sus clientes en el mbito de la
seguridad de la informacin?
Respuesta: Si
Conoce la sensibilidad de la informacin que maneja sobre los pacientes?
Respuesta: Si
Conoce la sensibilidad de la informacin que maneja sobre los clientes IPS?
Respuesta: Si
Conoce la sensibilidad de la informacin que maneja sobre el centro cardiolgico
del valle?
Respuesta: Si
 Centro Cardiolgico del Valle LTDA
Encuesta realizada a: Jonathan Navia
PO9.3 Identificacin de eventos
Pregunta
Se ha realizado la identificacin previa de los riegos generales que afectan al
centro cardiolgico del valle?
Respuesta: Si y se encuentra en actualizacin debido a la identificacin de nuevos
riesgos.
Conoce los eventos de riesgos identificados como riesgos provocados por
personas tales como negligencia, error humano, fraude, sabotaje, error humano?
Respuesta: Si
Conoce los eventos de riesgos identificados como riesgos provocados por procesos
tales como procedimientos inadecuados o inexistentes que puedan tener
repercusiones graves?
Respuesta: Si
Conoce los eventos de riesgos identificados como riesgos provocados por
tecnologas de informacin tales como prdidas financieras derivadas de un
sistema de informacin inadecuado?
Respuesta: Si
Conoce los eventos de riesgos identificados como riesgo provocados por eventos
externos tales como perdidas de informacin derivadas de eventos como desastres
naturales actos delictivos o fallas de servicios prestados por terceros?
Respuesta: Si

Centro Cardiolgico del Valle LTDA

Encuesta realizada a: Jonathan Navia
PO9.4 Evaluacin de riesgos de TI
Pregunta
Se Evala en forma recurrente la probabilidad e impacto de todos los riesgos
identificados?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
Se usan mtodos cualitativos?
Respuesta: Se encuentra en proceso de implementacin
Se usan mtodo cuantitativo?
Respuesta: Se encuentra en proceso de implementacin
Se determina de forma individual la probabilidad e impacto asociado a los
riesgos inherentes y residuales?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
Se determina por categora la probabilidad e impacto asociados a los riesgos
inherentes y residuales?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
 Centro Cardiolgico del Valle LTDA
Encuesta realizada a: Jonathan Navia
PO9.5 Respuesta al riesgo
Pregunta
Se cuenta con un proceso de respuesta a riegos diseado para asegurar que
controles efectivos en costo mitigan la exposicin en forma continua?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
El proceso de respuesta a riegos identifica estrategias tales como evitar, reducir,
compartir o aceptar riesgos?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
El proceso de respuesta a riesgos considera los niveles de tolerancia a riesgos?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT

Centro Cardiolgico del Valle LTDA

Encuesta realizada a: Jonathan Navia
PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos
Pregunta
Se prioriza las actividades de control a todos los niveles para implementar las
respuestas a los riegos?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
Se obtiene la aceptacin de las acciones recomendadas de cualquier riesgo
residual?
Respuesta: Si aunque se trata de minimizar a tal grado que sean lo menos
perjudicial posible.
Se monitorea la ejecucin de planes?
Respuesta: Se encuentra en proceso de implementacin de la mano de la
metodologa COBIT
Se reporta de cualquier desviacin a la alta direccin?
Respuesta: Si, para que no hallan inconvenientes las desviaciones e inconvenientes
son reportados.
Anlisis de vulnerabilidades, riesgos y amenazas.

Vulnerabilidades

Las Matrices de Administracin de Riesgos, los planes de contingencia y los planes de

recuperacin de desastres de los principales proyectos fsicos sobre las comunicaciones y
servidores estn no estn actualizados
.

Amenazas

Falta documentacin para el manejo y respuesta ante riesgos.

Falta de preparacin del personal ante una el manejo y respuesta de riesgos inherentes y
residuales.

Riesgos

Se Conocen las presiones y exigencias que tiene sus clientes en el mbito de la

seguridad de la informacin, pero al tratarse de una empresa en crecimiento no todas
pueden suplirse por falta de recurso humano

No se Evala en forma recurrente la probabilidad e impacto de todos los riesgos

identificados solo los ms importantes.
 Valoracin de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Arquitectura de la informacin
R1 Las Matrices de Administracin de X X
Riesgos, los planes de contingencia y
los planes de recuperacin de desastres
de los principales proyectos fsicos
sobre las comunicaciones y servidores
estn actualizados?
R2 Conoce las presiones y exigencias X X
que tiene sus clientes en el mbito de
la seguridad de la informacin?
R3 Conoce los eventos de riesgos X X
identificados como riesgos
provocados por procesos tales como
procedimientos inadecuados o
inexistentes que puedan tener
repercusiones graves?
R4 Se Evala en forma recurrente la X X
probabilidad e impacto de todos los
riesgos identificados?
R5 Se cuenta con un proceso de X X
respuesta a riegos diseado para
asegurar que controles efectivos en
costo mitigan la exposicin en forma
continua?
R6 Se obtiene la aceptacin de las X X
acciones recomendadas de cualquier
riesgo residual?

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico

Matriz de Clasificacin de riesgo

MODERAD CATASTROFIC
LEVE
O O
ALTO R2 R3, R4, R5

MEDIO R1, R6

BAJO
 Tratamiento de hallazgos y definicin de controles

RIESGOS O TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
los planes de PREVENTIVO Debe de verificarse de manera
contingencia y los planes mensual los diferentes componentes
de recuperacin de fsicos para detectar cambios que se
desastres de los hayan realizado en la configuracin
fsica de la red y as poder prevenir de
principales proyectos
manera acertada con la
fsicos sobre las documentacin correspondiente que
comunicaciones y facilite la rpida respuesta ante
servidores deben incidentes.
actualizarse
contantemente.
Deben Conocerse las PREVENTIVO Se debe exigir a los clientes IPS las
presiones y exigencias polticas de seguridad requeridas.
que tiene sus clientes
en el mbito de la
seguridad de la
informacin
Debe Conocerse los PREVENTIVO Control en el manejo de la
eventos de riesgos informacin analizando los procesos e
identificados como identificando procedimientos faltantes
riesgos provocados y mal diseados.
por procesos tales
como procedimientos
inadecuados o
inexistentes que
puedan tener
repercusiones graves
Se debe Evaluar en DETECTIVO Control constante en el manejo de
forma recurrente la incidencias e impacto que puede
probabilidad e impacto tener en el desarrollo normal de los
de todos los riesgos procedimientos del centro
cardiolgico.
identificados
Debe contar con un RECUPERACIO Desarrollo contante de mejores
proceso de respuesta a N formas de respuesta, que aseguren
riegos diseado para de manera rpida y pertinente el buen
asegurar que controles tratamiento de los incidentes que
provoquen costos y exposicin de
efectivos en costo mitigan
informacin y operaciones sensibles
la exposicin en forma para la institucin.
continua?
Se obtiene la aceptacin RECUPERACIO Debe mejorar la forma en que se
de las acciones N asumen y presentan los informes de
recomendadas de seguridad. El riego residual debe ser
cualquier riesgo lo ms mnimo teniendo en cuenta
residual? que debe observarse todas las
posibilidades para hacer que este sea
casi imperceptible

Centro Cardiolgico del Valle LTDA

Cuestionario de Control: GP-PO9-1
Dominio Evaluacin y administracin de riesgos
Procesos PO9.1 Marco de trabajo de administracin de
riesgos

Pregunta Si No OBSERVACION
ES
Existe un marco con las referencias de evaluacin x
sistemtica de riesgos?
Se ha realizado una evaluacin acerca de los riegos x
fsicos sobre las comunicaciones y servidores?
Realiza y documenta la evaluacin de riesgos de los x
principales proyectos correspondientes a los riegos
fsicos de las comunicaciones y servidores?
Los principales proyectos y procesos realizados en el x
entorno fsico de las comunicaciones y servidores
cuentan con sus correspondientes Matrices de
Administracin de Riesgos?
los riesgos fsicos derivados de la comunicaciones y x No muy bien
servidores cuentan con planes de recuperacin de documentado
desastres?
Las Matrices de Administracin de Riesgos, los x
planes de contingencia y los planes de recuperacin de
desastres de los principales proyectos fsicos sobre las
comunicaciones y servidores estn actualizados?

Centro Cardiolgico del Valle LTDA

Cuestionario de Control: GP-PO9-2
Dominio Evaluacin y administracin de riesgos
Procesos PO9.2 Establecimiento del contexto del riesgo

Pregunta Si No OBSERVACION
ES
Existe una metodologa para evaluar los riegos y la x
cual garantice unos resultados apropiados?
Conoce las exigencias legales y reglamentarias, donde x
los riesgos de incumplimiento pueden poner juego la
reputacin de la organizacin?
Conoce las presiones y exigencias que tiene sus x
clientes en el mbito de la seguridad de la informacin?
Conoce la sensibilidad de la informacin que maneja x
sobre los pacientes?
Conoce la sensibilidad de la informacin que maneja x
sobre los clientes IPS?
Conoce la sensibilidad de la informacin que maneja x
sobre el centro cardiolgico del valle?

Centro Cardiolgico del Valle LTDA

Cuestionario de Control: GP-PO9-3
Dominio Evaluacin y administracin de riesgos
Procesos PO9.3 Identificacin de eventos

Pregunta Si No OBSERVACION
ES
Se ha realizado la identificacin previa de los riegos x
generales que afectan al centro cardiolgico del valle?
Conoce los eventos de riesgos identificados como x
riesgos provocados por personas tales como
negligencia, error humano, fraude, sabotaje, error
humano?
Conoce los eventos de riesgos identificados como x
riesgos provocados por procesos tales como
procedimientos inadecuados o inexistentes que puedan
tener repercusiones graves?
Conoce los eventos de riesgos identificados como x
riesgos provocados por tecnologas de informacin
tales como prdidas financieras derivadas de un
sistema de informacin inadecuado?
Conoce los eventos de riesgos identificados como x
riesgo provocados por eventos externos tales como
perdidas de informacin derivadas de eventos como
desastres naturales actos delictivos o fallas de servicios
prestados por terceros?
 Centro Cardiolgico del Valle LTDA
Cuestionario de Control: GP-PO9-4
Dominio Evaluacin y administracin de riesgos
Procesos PO9.4 Evaluacin de riesgos de TI

Pregunta Si No OBSERVACION
ES
Se Evala en forma recurrente la probabilidad e x
impacto de todos los riesgos identificados?
Se usan mtodos cualitativos? x
Se usan mtodo cuantitativos? x
Se determina de forma individual la probabilidad e x
impacto asociado a los riesgos inherentes y residuales?
Se determina por categora la probabilidad e impacto x
asociados a los riesgos inherentes y residuales?

Centro Cardiolgico del Valle LTDA

Cuestionario de Control: GP-PO9-5
Dominio Evaluacin y administracin de riesgos
Procesos PO9.5 Respuesta al riesgo

Pregunta Si No OBSERVACION
ES
Se cuenta con un proceso de respuesta a riegos x
diseado para asegurar que controles efectivos en
costo mitigan la exposicin en forma continua?
El proceso de respuesta a riegos identifica estrategias x
tales como evitar, reducir, compartir o aceptar riesgos?
El proceso de respuesta a riesgos considera los x
niveles de tolerancia a riesgos?

Centro Cardiolgico del Valle LTDA

Cuestionario de Control: GP-PO9-6
Dominio Evaluacin y administracin de riesgos
Procesos PO9.6 Mantenimiento y monitoreo de un plan de
accin de riesgos

Pregunta Si No OBSERVACION
ES
Se prioriza las actividades de control a todos los x
niveles para implementar las respuestas a los riegos?
Se obtiene la aceptacin de las acciones x
recomendadas de cualquier riesgo residual?
Se monitorea la ejecucin de planes? x
 Se reporta de cualquier desviacin a la alta direccin? x

Dictamen de auditora

PO9 Evaluar y administrar los riesgos de TI

Teniendo en cuenta las recomendaciones y aclaraciones hechas por parte de la junta

directiva del centro cardiolgico del Valle LTDA. Al grupo auditor, se presentan a
continuacin los resultados definitivos de la auditoria y algunas recomendaciones de
mejoramiento para cada proceso COBIT auditado.

Dictamen: Se califica un nivel de madurez 3 DEFINIDO, teniendo en cuenta que los

procesos que se adelantan en el centro cardiolgico del Valle LTDA, al igual que la
organizacin y relaciones del sistema de evaluacin y administracin los riesgos, por
cuanto se ha evidenciado la bsqueda del mejoramiento continuo en cada uno de los
procedimientos y procesos que adelanta la organizacin.

Hallazgos que soportan el dictamen:

Se Conoce las presiones y exigencias que tiene sus clientes IPS en el mbito de la
seguridad de la informacin, pero no todas se han implementado por cuestin de falta de
personal y algunos recursos los cuales piensan ser suplidos.

Los planes de contingencia y recuperacin de la informacin que se tienen no se

encuentran actualizados.

Se encuentra con un sistema que si no contaba con una metodologa formal para el
manejo de incidencias tenia algunos informes de cmo se deba proceder en algunos
casos en los que se sufri de alteracin o dao de la informacin.

Recomendaciones:

El centro cardiolgico en plan de mejorar sus procesos en el manejo de evaluacin y

administracin de los riesgos piensa involucrarse an ms en la identificacin y
documentacin de todos sus procesos y caminos alternos que puedan ocasionar de
alguna manera perdida de informacin.

Debe seguirse implementando la metodologa COBIT y actualizar contantemente la

documentacin con el fin de mejorar y adaptar el modelo de negocios a un estndar de
seguridad que puede brindar seguridad a los pacientes e IPS que confan en el manejo
correcto de la informacin.

Los principales proyectos fsicos sobre las comunicaciones y servidores deben

actualizarse contantemente.