S

1. Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los riesgos de
TI
LISTA CHEQUEO
DOMINIO Planear y Organizar (PO) PROCESO
PO9 Evaluar y administrar los
riesgos de TI
OBJETIVO DE CONTROL PO9.1 Marco de trabajo de administración de riesgos:
Nº ASPECTO EVALUADO
CONFORME
OBSERVACIÓN
SI NO
1
¿Existe un marco de referencia para la
evaluación sistemática de los riesgos a los que
está expuesta la infraestructura tecnológica de
la institución?
x
OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo:
2
¿Se realiza la evaluación de los riesgos que
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
x
OBJETIVO DE CONTROL PO9.3 Identificación de eventos:
3
¿Se realiza actualización de los diferentes
tipos de riesgos que pueden afectar la
infraestructura tecnológica?
x
OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI:
4
¿Se utilizan métodos cualitativos o
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar la
infraestructura tecnológica?
x
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:
5
¿Existe un plan de acción para mitigar los
riesgos de la infraestructura tecnológica de
forma segura?
x
OBJETIVO DE CONTROL PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:
6
¿Se monitorea el plan de acción en contra de
los riesgos de la infraestructura tecnológica? x
Lista chequeo aplicado al proceso AI3 estándar CobIT: Adquirir y mantener infraestructura tecnológica

2. LISTA CHEQUEO
DOMINIO Adquirir e implementar (AI) PROCESO
AI3 Adquirir y mantener
infraestructura tecnológica
OBJETIVO DE CONTROL AI3.1 Plan de adquisición de infraestructura tecnológica
Nº ASPECTO EVALUADO
CONFORME
OBSERVACIÓN
SI NO
1
¿Cuentan con un plan de adquisición, para
adquirir, implementar y mantener recursos de
Infraestructura Tecnológica?
x
2
¿El plan considera extensiones futuras para
adiciones de capacidad, costos de transición,
riesgos tecnológicos y vida útil de la inversión
para actualizaciones de tecnología?
x
3
¿La institución cuenta con un inventario de
infraestructura tecnológica? x
4
¿En el inventario se registran los equipos
informáticos existentes? (marca, modelo,
ubicación, fecha de adquisición, capacidad,
etc.)
x
OBJETIVO DE CONTROL AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
5
¿Se registra el uso, se mantiene un control y
seguridad sobre el hardware y software? x
6
¿Existen normas de control interno donde se
garantice la protección de los recursos para su
disponibilidad e integridad?
x
7 ¿Cuentan con un manual de funciones?
x PERO NO LO CUMPLEN
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura.
8
¿Cuentan con un plan de mantenimiento de la
infraestructura tecnológica?
x
9
¿Dentro del plan de mantenimiento se
garantiza el control de cambios?
x
10
¿Software (Microsoft office, antivirus, sistema
operativo, aplicativos) licenciado y
actualizado?
x En algunos casos
11
¿Se hace mantenimiento periódicamente a la
infraestructura? (computador sobremesa,
computador portátil, extintores, servidores,
cableado red, impresoras, enrutadores,
reguladores, etc.)
x Algunos equipos carecen de
mantenimiento
12
¿Se realizan revisiones a los PCs con el fin de
detectar software malicioso?
x
13 ¿Los equipos se encuentran operando? x Algunos equipos no se
encuentran operando