El documento presenta una lista de verificación para evaluar el proceso de gestión de riesgos de TI de una organización. La lista verifica si la organización tiene un marco de trabajo para evaluar sistemáticamente los riesgos de infraestructura tecnológica, identifica eventos de riesgo y evalúa la probabilidad e impacto de los riesgos. También verifica si la organización tiene un plan de acción para mitigar riesgos de forma segura y monitorea el plan de acción contra riesgos.

1. Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los riesgos de
TI
LISTA CHEQUEO
DOMINIO Planear y Organizar (PO) PROCESO
PO9 Evaluar y administrar los
riesgos de TI
OBJETIVO DE CONTROL PO9.1 Marco de trabajo de administración de riesgos:
Nº ASPECTO EVALUADO
CONFORME
OBSERVACIÓN
SI NO
1
¿Existe un marco de referencia para la
evaluación sistemática de los riesgos a los que
está expuesta la infraestructura tecnológica de
la institución?
x
OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo:
2
¿Se realiza la evaluación de los riesgos que
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
x
OBJETIVO DE CONTROL PO9.3 Identificación de eventos:
3
¿Se realiza actualización de los diferentes
tipos de riesgos que pueden afectar la
infraestructura tecnológica?
x
OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI:
4
¿Se utilizan métodos cualitativos o
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar la
infraestructura tecnológica?
x
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:
5
¿Existe un plan de acción para mitigar los
riesgos de la infraestructura tecnológica de
forma segura?
x
OBJETIVO DE CONTROL PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:
6
¿Se monitorea el plan de acción en contra de
los riesgos de la infraestructura tecnológica? x
Lista chequeo aplicado al proceso AI3 estándar CobIT: Adquirir y mantener infraestructura tecnológica

2. LISTA CHEQUEO
DOMINIO Adquirir e implementar (AI) PROCESO
AI3 Adquirir y mantener
infraestructura tecnológica
OBJETIVO DE CONTROL AI3.1 Plan de adquisición de infraestructura tecnológica
Nº ASPECTO EVALUADO
CONFORME
OBSERVACIÓN
SI NO
1
¿Cuentan con un plan de adquisición, para
adquirir, implementar y mantener recursos de
Infraestructura Tecnológica?
x
2
¿El plan considera extensiones futuras para
adiciones de capacidad, costos de transición,
riesgos tecnológicos y vida útil de la inversión
para actualizaciones de tecnología?
x
3
¿La institución cuenta con un inventario de
infraestructura tecnológica? x
4
¿En el inventario se registran los equipos
informáticos existentes? (marca, modelo,
ubicación, fecha de adquisición, capacidad,
etc.)
x
OBJETIVO DE CONTROL AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
5
¿Se registra el uso, se mantiene un control y
seguridad sobre el hardware y software? x
6
¿Existen normas de control interno donde se
garantice la protección de los recursos para su
disponibilidad e integridad?
x
7 ¿Cuentan con un manual de funciones?
x PERO NO LO CUMPLEN
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura.
8
¿Cuentan con un plan de mantenimiento de la
infraestructura tecnológica?
x
9
¿Dentro del plan de mantenimiento se
garantiza el control de cambios?
x
10
¿Software (Microsoft office, antivirus, sistema
operativo, aplicativos) licenciado y
actualizado?
x En algunos casos
11
¿Se hace mantenimiento periódicamente a la
infraestructura? (computador sobremesa,
computador portátil, extintores, servidores,
cableado red, impresoras, enrutadores,
reguladores, etc.)
x Algunos equipos carecen de
mantenimiento
12
¿Se realizan revisiones a los PCs con el fin de
detectar software malicioso?
x
13 ¿Los equipos se encuentran operando? x Algunos equipos no se
encuentran operando