You are on page 1of 61

TRABAJO COLABORATIVO No.

2
AUDITORIA DE SISTEMAS
CODIGO: 90168A

JOANN FERNANDO QUINTERO QUINTERO, cc: 1.065.591.203


JUAN CARLOS ORTIZ, cc:
LEYDI KAROL PEALOZA, cc: 1.121.329.070
MAIRA ALEJANDRA CASTRO, cc: 1.007.316.924
MARYERI GUTIERREZ CLAVIO, cc: 49.698.785

Tutora:
CARMEN EMILIA RUBIO
GRUPO: 90168_42

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


FACULTAD DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
OCTUBRE 20 DE 2015
UNAD
GRUPO:

90168_42

INTRODUCCION

En el presente trabajo queremos dar a conocer la gran importancia que tiene el aplicar las normas
COBIT en una auditoria de sistemas, rigindonos a los procesos implementados en el mismo y
teniendo en cuenta cada uno de los objetivos de control all manejados. Al realizar un estudio
terico de dichos procesos cada integrante del grupo se responsabiliz de desarrollar un anlisis
de la situacin actual por la que atraviesa la empresa SaludCoop IPS seccional Codazzi en su
rea de sistemas en el cual diseamos y aplicamos los instrumentos de recoleccin de
informacin necesarios para los procesos seleccionados: Plan estratgico de TI (PO1),
Adquisicin y mantenimiento de la infraestructura tecnolgica (AI3), Monitorear los procesos
(M1), donde aplicamos los siguientes instrumentos: entrevistas, listas de chequeo, formatos de
visitas etc, los cuales nos sirvieron de base para realizar un anlisis y evaluacin de los riesgos a
los cuales est expuesto el centro de cmputo de esta organizacin.

GRUPO:

90168_42

OBJETIVOS

OBJETIVO GENERAL

Realizar una auditoria informtica para SALUDCOOP IPS seccional Codazzi, en el rea
de sistemas, teniendo en cuenta los procesos y objetivos de control incluidos en el
COBIT, analizando y evaluando los riesgos a los que est sometida esta sede por la falta
de tecnologas de informacin.

OBJETIVOS ESPECIFICOS

Afianzar y fortalecer en el estudiante los conceptos de proceso de anlisis y evaluacin

de riesgos.
Conocer las fases y metodologa a seguir para una auditoria informtica.
Disear instrumentos para llevar a cabo una auditoria de sistemas (formatos de

entrevista, listas de chequeo, cuestionarios, hallazgos etc).


Realizar anlisis y evaluacin de riesgos de a los que est expuesta la sede detectando la

causa que los origina, los recursos afectados y el tratamiento de los mismos.
Conocer la norma COBIT sus procesos, dominios y objetivos que control que lo
conforman aplicndolos en la auditoria de sistemas.

INSTRUMENTOS DE RECOLECCION DE INFORMACION


PROCESO: DEFINICION DE UN PLAN ESTRATEGICO DE TI (PO1)

GRUPO:

90168_42

LISTA DE CHEQUEO No.1


CUESTIONARIO DE CONTROL: C1

ENTIDAD AUDITADA

SaludCoop

PAGINA
1 DE
1

PROCESO AUDITADO
PLAN ESTRATEGICO DE TI
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO (PO) PLANEACION Y
PROCESO
(PO1) DEFINICION DE UN PLAN
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Alineacin de TI con el negocio
PREGUNTA
SI
NO
1. Se ha realizado una planificacin X
estratgica

de

las

TI

en

OBSERVACIONES

la

organizacin?
2. Estn alineadas las estrategias de

TI y del negocio?
3. la empresa est alcanzando un uso

ptimo de sus recursos en cuanto a

La sede no cuenta con los recursos necesarios para


poder dar cumplimiento a cabalidad con lo exigido por

TI se refiere?
4. Todos los funcionarios entienden

los objetivos de las TI

las TI.
Muchos de los funcionarios no tienen conocimiento aun
de lo que significan las TI en el buen desempeo de los

implementados en la sede?
5. Es apropiada la calidad de los

quehaceres diarios de la IPS.


X

sistemas de TI para las necesidades


de la sede?
6. Se entienden y administran los
riesgos

de

las

tecnologas

de

informacin?
7. Se ha realizado algn estudio de
planificacin del posible efecto de
las cargas normales de trabajo y los
GRUPO:

90168_42

Por no tener el conocimiento necesario del significado


de las TI, no miden los riesgos a los que estn expuestos
por el mal uso de las mismas en la sede.

picos sobre los requerimientos tanto


de equipos como de software?

TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE

4
7
MARYERI GUTIERREZ CLAVIJO

LISTA DE CHEQUEO No. 2


CUESTIONARIO DE CONTROL: C2
ENTIDAD

SaludCoop

PAGINA
1 DE 1

AUDITADA
PROCESO

PLAN ESTRATEGICO DE TI

AUDITADO
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO

(PO1) DEFINICION DE UN PLAN

ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Evaluacin del desempeo y la capacidad actual
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con los implementos
X
Tienen sobrecarga de trabajo por falta de los
tecnolgicos suficientes para brindar

implementos necesarios para desarrollar a diario sus

un buen servicio al usuario?

labores, por lo tanto no prestan un buen servicio al


usuario por falta de recursos tecnolgicos.

2. se

han

adoptado

medidas

de

seguridad en el rea de sistemas de

GRUPO:

90168_42

la IPS?
3. Existe

un

programa

de

mantenimiento preventivo para cada

dispositivo de sistema de cmputo?


4. los cambios en los sistemas

informticos son consecuencia de la

La mayora de cambios en el sistema son consecuencia


de la presin ejercida por las necesidades operativas.

planificacin ms que de la presin


por las necesidades operativas?
5. se cuenta con un inventario de
todos los equipos que conforman el

El inventario es llevado por la Auxiliar Administrativo


X

de la Sede.

centro de cmputo?
6. es revisado el inventario de los
activos pertenecientes a las TI?
7. Se cuenta con procedimientos

El inventario de activos lo revisan semestralmente.


X
X

En la sede no se determina el equipo que se va a

definidos para la adquisicin de

adquirir en caso de alguna falla, puesto que quienes

nuevos equipos?

manejan esta informacin son directamente de la


principal de Heon en su regional.

8. La

capacidad

actual

de

almacenamiento y memoria de los


sistemas

de

cmputo

son

las

necesarias para brindar agilidad en


la prestacin de los servicios?

TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE

4
4
8
MARYERI GUTIERREZ CLAVIJO

LISTA DE CHEQUEO No. 3


CUSTIONARIO DE CONTROL: C3
GRUPO:

90168_42

ENTIDAD

SaludCoop

PAGINA
1

AUDITADA
PROCESO

PLAN ESTRATEGICO DE TI

AUDITADO
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO

(PO1) DEFINICION DE UN PLAN

ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Plan estratgico de TI
PREGUNTA
SI
NO
1. Existe definido un plan estratgico
tecnolgico para la empresa?
2. la
organizacin
implementados

X
tiene

procesos

de

planificacin que logren el balance


ptimo entre sus requerimientos, su
capacidad

presupuestaria

oportunidades
tecnologas

que

las

brindan

las

existentes

emergentes?
3. la IPS tiene bien identificados las

necesidades en trminos de TI
asociadas a la visin global?
4. La estructura de la organizacin
informtica es la adecuada para
brindar un servicio de alta calidad?
5. La ips tiene bien definida su

misin, visin, valores, los cuales


ejecuta mediante las tecnologas de
informacin?
6. La
IPS
cuenta

con

una

infraestructura de TI confiable y
segura que mejore la productividad
de la organizacin?
GRUPO:

DE

90168_42

OBSERVACIONES

7. La organizacin tiene establecidos


procedimientos

internos

que

permiten generar mediante el uso


de las TI servicios de calidad?

TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE

4
3
7
MARYERI GUTIERREZ CLAVIJO

ENTREVISTA No. 1
Entidad Auditada: SaludCoop

Fecha: 09 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de


TI

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Oate
rea

Evaluada:

tecnolgicos

GRUPO:

90168_42

Centro

de

servicios

Objetivo de Control: Alineacin de TI con el negocio.

1. Considera usted que los activos disponibles en la IPS son los adecuados para desarrollar
sus quehaceres diarios?

Rta. Para el desarrollo de nuestros quehaceres diarios considero que no contamos con los suficientes
equipos para brindar un buen servicio, puesto que en algunas ocasiones nos toca tomar estrategias entre
los mismos compaeros, haciendo prstamo de los equipos para desarrollar una labor determinada,
contamos con un solo scanner lo que dificulta las tareas que cada funcionario debe realizar con el mismo
y se nos acumula trabajo por este inconveniente. Otro inconveniente que tenemos es que al momento de
que falle algn activo no tenemos como realizar un cambio inmediato dependemos de nuestra regional
Barranquilla para el envio de los mismos, lo que se dificulta porque los envios son bastante tardos ya
que somos muchas ips que dependemos de esa regional, hemos durado sin equipo en una seccin hasta
un mes.

2. Cubre sus necesidades el sistema que utiliza el centro de servicios de cmputo de la sede?
No las cubre ( ) Parcialmente ( ) La mayor parte

(x) Todas ( ) Por qu?

Rta. Para mi pensar el sistema de informacin con el que contamos es muy completo, cubre las
necesidades de los requerimientos de nuestros usuarios, lo que se nos dificulta con el mismo es que se
cae constantemente, lo que genera inconformidad en los usuarios y perdida de tiempo para nosotros
puesto que despus de atendido el usuario debemos ingresar la informacin que quedo por fuera del
sistema, lo que genera en los funcionarios mal ambiente laboral.

3. La tecnologa que utilizan es la adecuada para soportar las actividades de la organizacin?


Rta. En cuanto a la tecnologa los equipos son de buena capacidad pero a nivel de la red contamos con el

GRUPO:

90168_42

servicio de movistar para manejar la intranet el cual es bastante lento y se cae la pgina lo que genera
inconformidad en los usuarios al momento de recibir nuestros servicios

ENTREVISTA No. 2
Entidad Auditada: SaludCoop

Fecha: 13 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de


TI

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Oate
rea

Evaluada:

Centro

tecnolgicos

de

servicios

Objetivo de Control: Evaluacin del desempeo y la


capacidad actual
plan estratgico de ti

1. De qu manera evalan el desempeo y la capacidad de las TI que utilizan en la Ips?

Rta. Nosotros solo informamos a nuestra regional cuando algo anda mal, de esta forma ellos mismos
toman la decisin pertinente, de realizar cambios o arreglos en los equipos, en la red, el software etc.
2. La medicin del desempeo garantiza la efectividad en los procesos productivos y la
calidad del servicio?

Rta. S, porque cuando algo falla el departamento de tecnologa Heon mantiene muy pendiente de
arreglar el caso, si es por cadas de mdulos, red etc., cuando el inconveniente es por hardware ah es

GRUPO:

90168_42

donde tenemos la debilidad que no contamos con un cambio inmediato pero en cuanto nos solucionan el
envio el equipo que llega es bastante til y supera todos los obstculos que anteriormente mostraban
fallas.

3. Cmo considera usted, en general, el servicio proporcionado por el Departamento de


Sistemas de Informacin?

Rta. Bueno!, porque como lo dije anteriormente el hecho de que tengamos que depender de una regional
nos dificulta mucho solucionar inconvenientes que en algunos casos son superficiales pero como en la
sede no contamos con el personal idneo para la solucin de los mismos entonces nos toca esperar
mucho tiempo en algunos casos para poder dar solucin a los obstculos presentados.

ENTREVISTA No. 3
Entidad Auditada: SaludCoop

Fecha: 14 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de


TI

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Oate
rea

Evaluada:

tecnolgicos

GRUPO:

90168_42

Centro

de

servicios

Objetivo de Control: Plan estratgico de TI.

1.

Cules son los componentes que conforman el plan estratgico de TI de la sede?

Rta. Hardware, Software, Usuarios, Datos.

2. Contempla el plan estratgico las ventajas de la nueva tecnologa?

Rta. Pienso que esta es una entidad reconocida por lo que su alta gerencia siempre va en pro del
desarrollo de la misma, entonces considero que este plan si cuenta con las ventajas de la nueva
tecnologa de informacin.

3. Cada cuanto se realiza en la sede, revisin del plan estratgico de TI?

Rta. Cada seis meses de la regional estn enviando un analista de sistemas que se encarga de realizar la
revisin de este plan y observa los riesgos a los cuales estamos expuestos en el momento y se encarga de
realizar cambios y modificaciones al mismo dependiendo de las necesidades del momento.

ANALISIS Y EVALUACION DE RIESGOS

Para el listado de riesgos enumerados a continuacin se realizaron visitas a las instalaciones de la


ips SaludCoop Codazzi, seleccionando el rea de sistemas, adems la aplicacin de instrumentos
como listas de chequeo y cuestionarios al personal involucrado con las TI de la sede.
GRUPO:

90168_42

LISTA DE RIESGOS ENCONTRADOS.

REDES

Falta de seguridad en las redes

Demora en la bsqueda de archivos en la red

Fuga de informacin por posible implantacin de malware

Cada del sistema por obsolencia de los equipos

Perdida de integridad de la informacin por acceso no autorizado

HARDWARE

Deterioro en los activos de la empresa por falta de mantenimiento

Desabastecimiento de hardware

No existen prcticas en los funcionarios de la ips de manejo de copias de seguridad

SOFTWARE

GRUPO:

Cierres inesperados del SO

Perdida y plagio de la informacin manejada en la empresa

90168_42

Falta de depuracin de las aplicaciones que ya no son utilizadas

Mutacin de los virus y traspaso de estos por los mismos usuarios al momento de
conectar USB, discos duros etc.

SEGURIDAD LOGICA

El compartimiento de contraseas podra generar una manipulacin indebida de los datos


por accesos no autorizados

Cadas del sistemas

COMUNICACIONES

Falta de medios de comunicacin como lneas telefnicas

Bloqueo por congestin en las redes de comunicacin

SEGURIDAD FISICA

Falta de personal de vigilancia genera posibles prdidas de los activos de la empresa.

Dao de elementos fsicos (Pc, cmaras, huellero digital )

SERVIDORES
GRUPO:

90168_42

Perdidas econmicas

Perdida de informacin

CUENTAS DE USUARIOS

Acceso de personal no autorizado a la base de datos

Destruccin de informacin confidencial

Perdida de integridad de los datos

VALORACION DE RIESGOS

De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro del rea de sistemas de la IPS
SaludCoop Codazzi, para ello se realiza la siguiente tabla 1 donde se valoran los riesgos para su
posterior clasificacin.

GRUPO:

90168_42

TABLA No.1 VALORACION DE RIESGOS

REDES
PROBABILIDAD

RIESGOS/VALORACION

IMPACTO
L

R1

Falta de seguridad en las redes

R2

Demora en la bsqueda de los archivos en la

red
R3

Fuga

de

informacin

por

posible

implantacin de malware
R4

Cada del sistema por obsolencia de los

equipos
R5

Perdida de integridad de la informacin por


acceso no autorizado

HARDWARE

RIESGOS/VALORACION
R6

Deterioro en los activos de la empresa por


falta de mantenimiento

GRUPO:

90168_42

PROBABILIDAD
A
X

IMPACTO
L

C
X

R7

Desabastecimiento de hardware

R8

No existen prcticas en los funcionarios de la

ips de manejo de copias de seguridad.


SOFTWARE

RIESGOS/VALORACION
R9

Cierres inesperados del SO

R10

Perdida y plagio de la informacin

PROBABILIDAD
A

IMPACTO
L

X
X

manejada en la empresa
R11

Falta de depuracin de las aplicaciones


que ya no son utilizadas

R12

Mutacin de los virus y traspaso de estos

por los mismos usuarios al momento de


conectar USB, discos duros etc

SEGURIDAD LOGICA

RIESGOS/VALORACION
R13

El compartimiento de contraseas podra

PROBABILIDAD
A

IMPACTO
L

generar una manipulacin indebida de los


datos por accesos no autorizados.
R14

Cadas del sistemas

COMUNICACIONES
GRUPO:

90168_42

PROBABILIDAD

RIESGOS/VALORACION
R15

Falta de medios de comunicacin como

IMPACTO

lneas telefnicas
R16

Bloqueo por congestin en las redes de


comunicacin

SEGURIDAD FISICA
PROBABILIDAD

RIESGOS/VALORACION
R17

Falta de personal de vigilancia genera

IMPACTO

C
X

posibles prdidas de los activos de la


empresa.
R18

Dao de elementos fsicos (Pc, cmaras,

huellero digital )

SERVIDORES

RIESGOS/VALORACION
R19

GRUPO:

90168_42

Perdidas econmicas

PROBABILIDAD
A

B
X

IMPACTO
L
X

R20

Perdida de informacin

CUENTAS DE USUARIOS
PROBABILIDAD

RIESGOS/VALORACION
R21

Acceso de personal no autorizado a la base

IMPACTO
L

de datos
R22

Destruccin de informacin confidencial

R23

Perdida de integridad de los datos

PROBABILIDAD
ALTA: A

MEDIA:

IMPACTO
GRUPO:

90168_42

BAJA: B

LEVE: L

MODERADO: M

CATASTROFICO:

MATRIZ DE RIESGOS
De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiz a la IPS
SaludCoop Codazzi, en el rea de sistemas podemos clasificar los riesgos como se muestran en la tabla
2.
LEVE

MODERADO

ALTO

CATASTROFICO
R4-R5-R6-R8-R13-R14R15-R16-R17

MEDIO
BAJO

R7-R9-R12-R18
R1-R2-R3-R10-R11-R19R20-R21-R22-R23

GRUPO:

90168_42

HALLAZGOS.
No. H1

Centro de servicios tecnolgicos


R/PT: P1
Hallazgos de la Auditora
H1
Dominio
PLANEACION Y ORGANIZACIN (PO)
Proceso
PO1 Definicin de un plan estratgico de TI.
Objetivo de Control
Alineacin de TI con el negocio
Riesgos Asociados
R9-R10-R11-R12-R21-R22-R23
Descripcin
El centro de cmputos de la sede SaludCoop IPS Codazzi, no cuenta con los recursos necesarios
para poder dar cumplimiento a cabalidad con lo exigidos por las TI, muchos de los funcionarios
no tienen conocimiento aun del significado de las mismas para el buen desempeo de sus
quehaceres diarios y por esta falta de conocimiento no miden los riesgos a los que estn
expuestos por el mal uso de las TI en la sede.
Recomendacin
El Auxiliar Administrativo debe hacer requerimiento de los activos tecnolgicos que hacen falta
en la IPS para hacer cumplir a cabalidad con lo exigido por el plan estratgico de TI con que
cuentan en la IPS.
Causa
La falta de coordinacin de la IPS y la negligencia de parte de la alta gerencia.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en bajo, en cuanto al impacto es
moderado.

GRUPO:

90168_42

HALLAZGOS
No. H2
Centro de servicios tecnolgicos
R/PT: P1
Hallazgos de la Auditora
H1
Dominio
PLANEACION Y ORGANIZACIN (PO)
Proceso
PO1 Definicin de un plan estratgico de TI.
Objetivo de Control
Evaluacin del desempeo y la capacidad actual
Riesgos Asociados
R4-R5-R6-R8-R13-R14-R15-R16-R17- R7-R9-R12-R18
Descripcin
GRUPO:

90168_42

En el proceso de observacin encontramos que la organizacin no cuenta con un hardware


suficiente para satisfacer las necesidades del cliente, el software es muy completo pero no cuenta
con la red y telecomunicaciones aptas para que este pueda tener un buen desempeo, la
seguridad de los activos destinados para el rea de informtica estn de muy fcil acceso para
personas ajenas a estos.

Recomendacin
El rea administrativa de la sede, debe solicitar a la directiva de su regional los equipos de
cmputo necesarios para brindar un mejor servicio al usuario, aislar los activos tecnolgicos de
terceras personas para que estos no vayan a ser hurtados e implementar medidas de prevencin
con mantenimiento de los mismos para que estos puedan tener una vida til mas larga.
Causa
La falta de coordinacin de la IPS y la negligencia de parte de la alta gerencia.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrofico.

GRUPO:

90168_42

PROCESO: MONITOREAR LOS PROCESOS (M1)


LISTA DE CHEQUEO No. 1
CUESTIONARIO DE CONTROL: C1

ENTIDAD

SaludCoop
1

AUDITADA
PROCESO

Monitoreo de procesos

AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Definicin y recoleccin de datos de monitoreo
PREGUNTA
SI
NO
1. La organizacin utiliza algn X
software para la recoleccin de

GRUPO:

PAGINA
DE
1

90168_42

OBSERVACIONES

datos para el respectivo anlisis?


2. se utilizan herramientas de anlisis

Est basado en herramientas de Analisys Services del

de datos utiliza SaludCoop?


3. La empresa utiliza herramientas

servidor y origen de datos.


Se generan informes en Excel mediante tablas

ofimticas en el anlisis de datos


para la toma de decisiones?
4. La informacin suministrada en la

dinmicas y grficos de Excel con informacin


originada de la base de datos
X

recoleccin de los datos se


encuentra actualizada?
5. la informacin es siniestrada por el
servidor?
6. El
monitoreo

se

hace

Este monitoreo solo se realiza a peticin de la

semanalmente?
7. Se ha planteado alguna estrategia

administracin o gerencia.
Los actuales sistemas resultan eficaces y ya se paga

para recolectar datos mediante otro

licencia de uso

sistema de informacin?

TOTALES
TOTAL CUESTIONARIO

2
7

AUDITOR RESPONSABLE
Joann Quintero Quintero

GRUPO:

90168_42

LISTA DE CHEQUEO No. 2


CUESTIONARIO DE CONTROL: C2

ENTIDAD

SaludCoop
1

AUDITADA
PROCESO

PAGINA
DE
1

Monitoreo de procesos

AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Respaldo y restauracin
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con un plan de X
Se utiliza servidores para copias de seguridad.
prevencin

restauracin

ante

desastres?
2. La IPS cuenta con un servicio
externo

de

respaldo

informacin?
3. La IPS realiza
coipas

de

de

Solo servicios de servidores con tecnologa Intranet

la

peridicamente

seguridad

la

informacin?
4. Se establece la utilidad de discos

raid y servidores de backup para el


respaldo de la informacin?
5. Es consiente la administracin de

GRUPO:

90168_42

un plan estratgico de respaldo y

recuperacin ante desastres?


6. La tecnologa actual de la empresa
es apropiada para el manejo de

Las bases de datos distribuidas permiten que el manejo


X

de la informacin este protegida.

situaciones ante desastres?

TOTALES
TOTAL CUESTIONARIO

1
6

AUDITOR RESPONSABLE
Joann Quintero Quintero

LISTA DE CHEQUEO No. 3


CUESTIONARIO DE CONTROL: C3

GRUPO:

90168_42

ENTIDAD

SaludCoop

PAGINA
1

AUDITADA
PROCESO

DE

Monitoreo de procesos

AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Requerimientos de seguridad para la administracin
PREGUNTA
SI
NO
OBSERVACIONES
1. Existe un plan estratgico de
seguridad de la informacin?
2. Las cuentas de usuario

X
son

definidas por el administrador del

sistemas?
3. Los usuarios tienen restricciones el

manejo de la informacin?
4. Los usuarios que ya no trabajan en

la organizacin tiene la cuenta de


usuario eliminada o inhabilitada?
5. La IPS Invierte dinero en
estrategias de seguridad?
6. La
IPS
cuenta
con

una

X
X

Cuentas con sistemas de Firewall, proteccin antivirus y

infraestructura de TI confiable para


la

seguridad

de

la

red

acceso restringido al servidor.

la

proteccin de la informacin?
7. Recientemente se han adoptado

nueva medidas de seguridad de la

estratgico de seguridad informtica.

informacin?

TOTALES
TOTAL CUESTIONARIO

2
7

AUDITOR RESPONSABLE
Joann Quintero Quintero

GRUPO:

90168_42

No se han realizado nuevos cambios en el plan de

ENTREVISTA No. 1
Entidad Auditada: SaludCoop EPS

Fecha: 17 de Octubre de 2015

Dominio: Monitoreo (M)

Proceso Auditado: Monitoreo de procesos

Nombre del Entrevistado: Joann Quintero

Cargo del Entrevistado: Auxiliar de sistemas

Quintero
rea

Evaluada:

tecnolgicos

Centro

de

servicios

Objetivo de Control: Definicin y recoleccin de datos


de monitoreo

4. Considera usted que la organizacin realiza anlisis con datos actualizados para la toma de
decisiones?

Rta. La generacin de reportes es muy asertiva en el sentido en que la informacin se toma en tiempo
GRUPO:

90168_42

real, facilitando que los datos sean fiables para la toma de decisiones.

5. Considera usted que el personal de la empresa se encuentra capacitado para interpretar los
datos a travs de hojas de clculo? Por qu?

Rta. Pienso que falta ms capacitacin, en cuanto al manejo de tablas dinmicas y grficos. Deberan
programarse capacitaciones donde los usuarios finales puedan reconocer la importancia y uso de estas
herramientas para el tratamiento de la informacin.

6. La tecnologa que utilizan es la adecuada para soportar procesos de recoleccin de datos?

Rta. Aunque podra implementarse otras tecnologas, representara gastos adicionales, puesto que las
herramientas actuales son muy precisas y veraces en el manejo de la informacin.

ENTREVISTA No. 2
Entidad Auditada: SaludCoop

Fecha: 17 de Octubre de 2015

Dominio: Monitoreo (M)

Proceso Auditado: Monitoreo de procesos

GRUPO:

90168_42

Nombre del Entrevistado: Joann Quintero

Cargo del Entrevistado: Auxiliar de sistemas

Quintero
rea

Evaluada:

Centro

de

servicios

Objetivo de Control: Respaldo y restauracin

tecnolgicos

4. Qu otras tecnologas podran implementarse para afrontar situaciones ante desastres?

Rta. Se pueden usar otras tecnologas como el Software de rplica sincrnico, y Backups remotos de
reserva.

5. Cul cree usted que sera el plan de configuracin ms apropiado ante desastres?

Rta. El ms apropiada est basado en la configuracin de servidor: nivel de seguridad, puertos de


comunicacin, cantidad de memoria fsica del servidor y administracin de cuentas de usuario.
Seguidamente se determina la configuracin de las terminales mediante cuentas de usuarios, recursos
compartidos, administracin de software, y redes.
6. Cules cree usted que seran las consecuencias de una falla de conexin si no se contara
con un sistema de respaldo?
Rta. Por ser la informacin uno de los activos ms importantes para la empresa, cualquier interrupcin
de la informacin, ya sea temporal o forma definida, representa una prdida en los procesos y
actividades de la empresa, y genera malestar e inconformidad con los usuarios o clientes.

GRUPO:

90168_42

ENTREVISTA No. 3
Entidad Auditada: SaludCoop

Fecha: 17 de Octubre de 2015

Dominio: Monitoreo (M)

Proceso Auditado: Monitoreo de procesos

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Oate
rea

Evaluada:

tecnolgicos

4.

Centro

de

servicios

Objetivo de Control: Requerimientos de seguridad para


la administracin

Considera usted que el nivel de seguridad de la empresa es ptimo?

Rta. Pienso que debera implementarse una tecnologa ms reciente y sofisticada.

5. Tiene usted conocimientos del plan de seguridad informtica de la organizacin?

Rta. Tengo conocimiento de algunos parmetros y plan estratgico de seguridad informtica, en lo que
respecta a la seguridad de los recursos tecnolgicos y software.

6. Considera usted que la empresa se encuentra protegida para realizar transacciones


bancarias?

GRUPO:

90168_42

Rta. Las transacciones bancarias siempre se realizan desde el mismo equipo, aunque cuenta con su
software de antivirus y herramientas de proteccin de firewall, no considero adecuado realizar siempre
estos procesos en una misma terminal.

GRUPO:

90168_42

ANLISIS Y EVALUACIN DE LOS RIESGOS DETECTADOS

A continuacin, se describen el anlisis y evaluacin de riesgos detectados en el estudio de auditoria.

Nmero del
Dominio

dominio
Cantidad y nmero del objetivo de

Obj. de control

control
Cantidad y nmero de controles por cada

Controles

objetivo
Proporciona informacin sobre la obligatoriedad de implementar o

Orientacin

no el control
Breve descripcin de cada objetivo de control agrupndolos por

Descripcin

dominio
Peso del

PD
NC.D

dominio
Nivel de cumplimiento del dominio
Peso del

PO
NC.O

objetivo
Nivel de cumplimiento del dominio

Escala visual de la valoracin del control


Ms del 70% de

PC
GRUPO:

90168_42

Peso del control

Alto

cumplimiento

Nivel de cumplimiento del

Entre el 30 y 69 % de

NC.C

control

Medio

cumplimiento
Por debajo del

Escala

Escala del cumplimiento del control

Bajo

30%

Indicaciones para usar la plantilla


correctamente:
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales correspondern al valor asignado al nivel de cumplimiento de
cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoracin, el "0" indica que no cumple el control y "100" que lo
cumple satisfactoriamente, recuerde que tambin se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los
controles.

Dominio

Objetivo

s de

Controle
s

Control
1
5

2
1

GRUPO:

90168_42

% de cumplimiento de la norma
Orientaci

Descripcin

POLTICA DE SEGURIDAD

Poltica de Seguridad de la Informacin


Documento de la poltica de seguridad de la

Debe

informacin

Debe

Revisin de la poltica de seguridad de la informacin

11
8

ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD


Organizacin Interna

NC.
PD

NC. D

1,5

27,5

PO

PC

Escal
a

100
100

8,27

NC. O

27,5

100

28,64
72,73

23,64

50

25

25

50

30

30

Comit de la direccin sobre seguridad de la

Dominio

Objetivo
s de

Debe

informacin

9,09

20

20

Debe

Coordinacin de la seguridad de la informacin


Asignacin de responsabilidades para la de seguridad

9,09

35

35

Debe

de la informacin
Proceso de autorizacin para instalaciones de

9,09

Debe

procesamiento de informacin

9,09

60

60

Debe

Acuerdos de confidencialidad

9,09

40

40

Puede

Contacto con autoridades

9,09

25

25

Puede

Contacto con grupos de inters


Revisin independiente de la seguridad de la

9,09

65

65

informacin

9,09

10

10

Puede

Terceras partes
Identificacin de riesgos por el acceso de terceras

Debe

partes

9,09

10

Debe

Temas de seguridad a tratar con clientes

9,09

15

15

Debe

Temas de seguridad en acuerdos con terceras partes

9,09

30

30

Controle
s

Orientaci
n

Descripcin

27,27

NC.
PD

NC. D

3,76

53

PO

NC. O

PC

Escal
a

Control
2

1
7

2
8

3
1

GRUPO:

90168_42

CLASIFICACIN Y CONTROL DE ACTIVOS

100

Responsabilidad sobre los activos

Debe

Inventario de activos

20

50

50

Debe

Propietario de activos

20

65

65

Uso aceptable de los activos

20

70

70

20

25

25

20

55

55

11,1

10

10

Debe

Clasificacin de la informacin

Debe

Guas de clasificacin

Debe

Etiquetado y manejo de la informacin

9
3
1

SEGURIDAD EN EL PERSONAL
Antes del empleo
Debe
Roles y responsabilidades

60

40

6,77

37

16

100

42,8
33,33

12,78

1
11,1
2

Debe

Verificacin

Debe

Trminos y condiciones de empleo

Durante el empleo

33,33

1
11,1

45

45

60

60

20
11,1

Debe

Responsabilidades de la gerencia
Educacin y formacin en seguridad de la

1
11,1

85

85

Debe

informacin

1
11,1

63

63

Debe

Procesos disciplinarios

32

32

Terminacin o cambio del empleo

33,33

10
11,1

Debe

Responsabilidades en la terminacin

1
11,1

15

15

Debe

Devolucin de activos

1
11,1

25

25

Debe

Eliminacin de privilegios de acceso

50

50

Dominio

Objetivo

s de

Controle
s

Orientaci

Descripcin

NC.
PD

NC. D

9,77

49,85

PO

NC. O

PC

Escal
a

Control
9

2
1

GRUPO:

90168_42

13

SEGURIDAD FSICA Y DEL ENTORNO

reas Seguras

1
2

Debe
Debe

Permetro de seguridad fsica


Controles de acceso fsico

100
46,15

17,69
7,69
7,69

25
65

25
65

Debe

Seguridad de oficinas, recintos e instalaciones

7,69

40

40

Debe

Proteccin contra amenazas externas y ambientales

7,69

25

25

Debe

Trabajo de reas seguras

7,69

45

45

Puede

reas de carga, entrega y reas pblicas

7,69

30

30

Seguridad de los Equipos

Debe

Ubicacin y proteccin del equipo

7,69

60

60

Debe

Herramientas de soporte

7,69

60

60

Debe

Seguridad del cableado

7,69

63

63

Debe

Mantenimiento de equipos
Seguridad del equipamiento fuera de las

7,69

45

45

Debe

instalaciones

7,69

80

80

Debe

Seguridad en la reutilizacin o eliminacin de equipos

7,69

35

35

Debe

Movimientos de equipos

7,69

75

75

53,85

32,16

Objetivo
Dominio
s

s de
Control

10

10

Controle

Orientaci

32
4

Descripcin

GESTIN DE COMUNICACIONES Y OPERACIONES


Procedimientos operacionales y responsabilidades

PD

NC. D

PO

NC. O

NC.

PC

C
24,06

Escal
a

100

47,9
12,5

3,78
3,12

GRUPO:

90168_42

Debe

Procedimientos de operacin documentados

5
3,12

45

45

Debe

Control de cambios

5
3,12

20

20

Debe

Separacin de funciones
Separacin de las instalaciones de desarrollo y

5
3,12

20

20

Debe

produccin

36

36

Administracin de servicios de terceras partes

Puede

Entrega de servicios

3,12

48

48

Puede

Monitoreo y revisin de servicios de terceros

3,12

25

25

3
2

Puede
Manejo de cambios a servicios de terceros
Planificacin y aceptacin del sistema

3,12

65

65

9,38

6,25

4,31

3,75

3,12
1

Debe

Planificacin de la capacidad

Debe

Aceptacin del sistema

Proteccin contra software malicioso y mvil

6,25

5
3,12

50

50

70

70

5
3,12

35

35

80

80

3,13

85

85

5
3,12

70

70

35

35

3,59
3,12

Debe

Controles contra software malicioso

Debe

Controles contra cdigo mvil

Copias de seguridad

Debe

Administracin de la seguridad en redes

3,13

2,66

Informacin de copias de seguridad


6,25

3,28
3,12

Debe

Controles de redes

Debe

Seguridad de los servicios de red

Manejo de medios de soporte


Administracin de los medios de computacin

90168_42

5,78
3,12

Debe

removibles

5
3,12

45

45

Debe

Eliminacin de medios

5
3,12

25

25

Debe

Procedimientos para el manejo de la informacin

5
3,12

45

45

Debe

Seguridad de la documentacin del sistema

70

70

Intercambio de informacin
Polticas y procedimientos para el intercambio de

15,63

9,28
3,12

Debe

informacin

6
3,12

60

60

Puede

Acuerdos de intercambio

6
3,12

60

60

Puede

Medios fsicos en transito

70

70

GRUPO:

12,5

3,12
4

Puede

Mensajes electrnicos

Puede

Sistemas de informacin del negocio

Servicios de comercio electrnico

9,38

6
3,12

45

45

62

62

5,32
3,12

Puede

Comercio electrnico

6
3,12

45

45

Puede

Transacciones en lnea

6
3,12

85

85

Puede

Informacin pblicamente disponible

40

40

Monitoreo y supervisin

18,75

6,16
3,12

10

Debe

Logs de auditoria

6
3,12

54

54

Debe

Monitoreo de uso de sistema

6
3,12

20

20

Debe

Proteccin de los logs


Registro de actividades de administrador y operador

6
3,12

32

32

Debe

del sistema

6
3,12

36

36

Debe

Fallas de Login

6
3,12

30

30

Puede

Sincronizacin del reloj

25

25

Objetivo
Dominio
s

s de
Control

11

7
1

GRUPO:

90168_42

Controle

Orientaci

25
1
1

Descripcin
CONTROL DE ACCESOS

Requisitos de negocio para el control de acceso


Debe
Poltica de control de accesos

PD

NC. D

PO

NC. O

NC.

PC

C
18,8

100

29,12
4

1,6
4

40

Escal
a

GRUPO:

90168_42

Administracin de acceso de usuarios

16

Debe

Registro de usuarios

30

Debe

Administracin de privilegios

10

Debe

Administracin de contraseas

30

Debe

Revisin de los derechos de acceso de usuario

Responsabilidades de los usuarios

Debe

Uso de contraseas

10

Puede

Equipos de cmputo de usuario desatendidos

35

Puede

Poltica de escritorios y pantallas limpias

10

Control de acceso a redes

Debe

Poltica de uso de los servicios de red

25

Puede

Autenticacin de usuarios para conexiones externas

20

Puede

Identificacin de equipos en la red

36

Debe

Administracin remota y proteccin de puertos

30

Puede

Segmentacin de redes

20

Debe

Control de conexin a las redes

45

Debe

Control de enrutamiento en la red

40

Control de acceso al sistema operativo

Debe

Procedimientos seguros de Log-on en el sistema

45

Debe

Identificacin y autenticacin de los usuarios

36

Debe

Sistema de administracin de contraseas

40

Puede

Uso de utilidades de sistema

40

Debe

Inactividad de la sesin

20

Puede

Limitacin del tiempo de conexin

35

Control de acceso a las aplicaciones y la informacin

Puede

Restriccin del acceso a la informacin

25

Puede

Aislamiento de sistemas sensibles

15

Ordenadores porttiles y teletrabajo

Puede

Ordenadores porttiles y comunicaciones moviles

45

Puede

Teletrabajo

40

12

28

24

3,04

2,2

8,64

8,64

1,6

3,4

Dominio

Objetivo

s de

Controle
s

Orientaci

Descripcin

PD

NC. D

12,03

28,81

PO

NC. O

PC

NC.

Escal

Control
6

16
1

Requerimientos de seguridad de sistemas de informacin


Anlisis y especificaciones de los requerimientos de

Debe

Procesamiento adecuado en aplicaciones

Debe

12
4

GRUPO:

90168_42

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

100
6,25

1,56

seguridad

6,25

25

25

Validacin de los datos de entrada

6,25

30

30

Puede

Controles de procesamiento interno

6,25

30

30

Puede

Integridad de mensajes

6,25

35

35

Validacin de los datos de salida

6,25

10

10

25

6,56

Puede

Controles criptogrficos

Puede

Poltica de utilizacin de controles criptogrficos

6,25

15

15

Puede

Administracin de llaves

6,25

20

20

Seguridad de los archivos del sistema

Debe

Control del software operacional

6,25

36

36

Puede

Proteccin de los datos de prueba del sistema

6,25

25

25

Debe

Control de acceso al cdigo fuente de las aplicaciones

6,25

60

60

Seguridad en los procesos de desarrollo y soporte

Debe

Procedimientos de control de cambios


Revisin tcnica de los cambios en el sistema

6,25

40

40

Debe

operativo
Restricciones en los cambio a los paquetes de

6,25

40

40

Puede

software

6,25

45

45

Debe

Fugas de informacin

6,25

15

15

Debe

Desarrollo externo de software

6,25

25

25

Gestin de vulnerabilidades tcnicas

Debe

100

10

10

Control de vulnerabilidades tcnicas

12,5

18,75

31,25

6,25

2,19

7,56

10,31

0,63

Dominio
s

Objetivo
s de

Controle
s

Orientaci
n

Descripcin

NC.
PD

NC. D

3,76

28,4

PO

NC. O

PC

Escal
a

Control
GESTIN DE INCIDENTES DE LA SEGURIDAD DE LA
2

1
13

14

GRUPO:

90168_42

INFORMACIN
Notificando eventos de seguridad de la informacin y

debilidades

Debe

Puede
Reportando debilidades de seguridad
Gestin de incidentes y mejoramiento de la seguridad de la

informacin

Debe

2
3
5

GESTIN DE LA CONTINUIDAD DEL NEGOCIO


Aspectos de seguridad de la informacin en la gestin de

continuidad del negocio


Inclusin de seguridad de la informacin en el

Debe

100
40

7
20

10

10

20

25

25

Procedimientos y responsabilidades

20

30

30

Puede

Lecciones aprendidas

20

62

62

Debe

Recoleccin de evidencia

20

15

15

proceso de gestin de la continuidad del negocio

20

20

20

Debe

Continuidad del negocio y anlisis del riesgo


Desarrollo e implementacin de planes de

20

25

25

Debe

continuidad incluyendo seguridad de la informacin


Marco para la planeacin de la continuidad del

20

30

30

Debe

negocio
Prueba, mantenimiento y reevaluacin de los planes

20

30

30

Debe

de continuidad del negocio

20

15

15

Reportando eventos de seguridad de la informacin

60

3,76

21,4

100

24
100

24

Dominio
s

Objetivo
s de

Controle
s

Orientaci

Descripcin

NC.
PD

NC. D

7,52

42,78

PO

NC. O

PC

Escal
a

Control
3

10

CUMPLIMIENTO

Cumplimiento con los requisitos legales

Debe

Identificacin de la legislacin aplicable

10

65

65

Debe

Derechos de propiedad intelectual (dpi)

10

60

60

Debe

Proteccin de los registros de la organizacin


Proteccin de datos y privacidad de la informacin

10

35

35

Debe

personal
Prevencin del uso inadecuado de los recursos de

10

45

45

Debe

procesamiento de informacin

10

20

20

Debe
Regulacin de controles para el uso de criptografa
Cumplimiento con las polticas y estndares de seguridad y

10

25

25

cumplimiento tcnico

Debe

Cumplimiento con las polticas y procedimientos

10

15

15

Debe

Verificacin de la cumplimiento tcnico

10

70

70

Consideraciones de la auditoria de sistemas de informacin

Debe

Controles de auditoria a los sistemas de informacin


Proteccin de las herramientas de auditoria de

10

70

70

Debe

sistemas

10

55

55

15

GRUPO:

90168_42

100
60

20

20

25

8,5

12,5

HALLAZGOS.
No. H1

Centro de servicios tecnolgicos


R/PT: P1
Hallazgos de la Auditora
H1
Dominio
MONITOREO (M)
Proceso
M1 MONITOREAR LOS PROCESOS
Objetivo de Control
Definicin y recoleccin de datos de monitoreo
Riesgos Asociados
R12 R13 R18
Descripcin
SaludCoop IPS no cuenta con un sistema de vigilancia sobre las transacciones de usuario en el manejo
de la informacin.
Recomendacin
Implementar un sistema de informacin que permita analizar el comportamiento de los usuarios en el
sistema.
Causa
La falta de toma de medidas para la implementacin del sistrema
Nivel del Riesgo
La probabilidad del nivel de riesgo es medio e impacto moderado

HALLAZGOS
No. H2

Centro de servicios tecnolgicos


R/PT: P1
Hallazgos de la Auditora
H1
Dominio
MONITOREO (M)
Proceso
M1 MONITOREAR LOS PROCESOS
Objetivo de Control
Respaldo y restauracin
Riesgos Asociados
R7-R8-R9-R10
Descripcin
La empresa no cuenta con un sistema contra incendios. Por otra parte, los usuarios no estn capacitados
GRUPO:

90168_42

para el manejo de extintores y se carece de sistemas de sensores de humo y extractor de calor

Recomendacin
Tomar las medidas necesarias para la implementacin de estos sistemas para reaccionar ante situaciones
y siniestros y catstrofes.
Causa
Negligencia por parte del rea administrativa
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es catastrfico.

HALLAZGOS
No. H3

Centro de servicios tecnolgicos


R/PT: P1
Hallazgos de la Auditora
H1
Dominio
MONITOREO (M)
Proceso
M1 MONITOREAR LOS PROCESOS
Objetivo de Control
Requerimientos de seguridad para la administracin
Riesgos Asociados
R12-R13
Descripcin
No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de
cmputo, y no se lleva un registro detallado de los usuarios que hacen uso de los equipos
Recomendacin
Asumir el nivel de seguridad que exige la empresa y proponer estrategias de seguridad
Causa
Negligencia por parte del rea administrativa y ajustar plan de polticas de seguridad informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, y el impacto es moderado.

GRUPO:

90168_42

PROCESO: ADQUISICION Y MANTENIMIENTO DE LA INFRAESTRUCTURA


TECNOLOGICA (AI3)
LISTA DE CHEQUEO No. 1

Mediante la realizacin de esta lista de chequeo o verificacin determinaremos qu se debe


realizar para alcanzar las metas e identificar las falencias dentro de la entidad seleccionada en el
trabajo anterior.

FECHA DE DILIGENCIAMIENTO: 17/10/2015


EMPRESA:

SALUCOOP

PROCESO :
Mantenimiento Preventivo Para Hardware
TIPO TCNICA:
Lista De Verificacin O Chequeo
AUDITOR:
Leidy Pealoza Almanza
METODO DE AUDITORIA : COBIT
DOMINIO:
Adquision E Implantacin
PROCESO:
AI3: Adquisicin y mantenimiento de la infraestructura tecnolgica
DESCRIPCIN
CUMPLE
OBSERVACINES
SI NO N/
A
8. La Gerencia de la funcin de
servicios de informacin conoce la
importancia de adquirir y mantener
la infraestructura tecnolgica?
9. SALUCOOP cuenta con

GRUPO:

90168_42

las

herramientas y personal calificado


para

brindar

soporte

en

la

infraestructura tecnolgica?
10. Existe una programacin concisa
para el mantenimiento?
X
11. la entidad cuenta con un plan para
reducir la frecuencia y el impacto

de fallas de rendimiento?
12. Se realiza una evaluacin del
desempeo

del

software?
13. Se realiza

hardware
de

las

Al momento de realizar entrega de los

responsabilidades que se tienen al

ordenadores verbalmente se explica el uso que

utilizar

entrega

componentes

de

debe drsele a estos.

Se cuenta con este pero no se ejecuta

infraestructura tecnolgica?
14. Se estableci un plan para adquirir
y

dar

mantenimiento

la

infraestructura tecnolgica?
15. se realiza una revisin peridica
de las necesidades de la entidad,
administracin

de

parches

estrategias de actualizacin, riesgos,


evaluacin de vulnerabilidades y
requerimientos de seguridad?

GRUPO:

90168_42

16. los

cambios

en

los

sistemas

informticos son consecuencia de la

planificacin ms que de la presin


por las necesidades operativas?
17. Se hacen revisiones peridicas
para evaluar si se est alineado con
las necesidades de la entidad,

evaluacin de vulnerabilidades y
requerimientos de seguridad?
18. Se

toman

eventualidades

acciones
que

frente
afecten

a
la

Se corrige solamente la eventualidad presentada


X

infraestructura tecnolgica?
19. Existe entre los funcionarios de la

Dentro de entidad se realizan capacitaciones a

empresa la nocin de que la

cargo del personal de sistema enfocadas a la

infraestructura de TI es importante

importancia delas tics en el mundo laboral y

y se apoya en algunas prcticas

cotidiano

formales?

SI

N/

O
3

A
0

TABLA DERESULTADOS

GRUPO:

90168_42

PORCENTAJE DE RIESGO: En cuanto a la probabilidad de ocurrencia est clasificado en


medio, en cuanto al impacto es moderado

LISTA DE CHEQUEO No. 2

Asistencia y adquisicin de tecnologa en SALUDCOOP


Auditor: Juan Carlos Ortiz Leon
Dominio
Adquisicin e Implementacin
Proceso
Adquisicin y mantenimiento de la infraestructura tecnolgica
Objetivo de Control
Ayudar en el mejoramiento de los procesos desempeados en la
empresa SALUDCOOP
Cuestionario
Pregunta
SI
1-Existe algn sistema para el control de horarios del

NO
x

personal administrativo?

OBSERVACION
El control se lleva
de forma manual
prestndose as
para
incumplimientos de
horarios

2-Se lleva un control de los equipos en garanta, para que x


a la finalizacin de sta, se integren a algn programa de
mantenimiento?
3-Cuentan con equipos actualizados para manejar la x
informacin de los usuarios?
4-Se realizan con frecuencia mantenimiento a los equipos? x
5-Se cuenta con redes estables para el trfico de x
informacin gil y seguro?
6-Se posee equipos sistematizados para determinar la

GRUPO:

90168_42

calidad de atencin brindada por el personal asistencial de


la empresa?
7-Se realizan capacitaciones sobre tecnologa a los

usuarios de la empresa?
8-Se realizan capacitaciones sobre tecnologa al personal x
que labora en la empresa?
9-La gerencia le da prioridad a las tecnologas

implementadas para mejorar los procesos?


10-Se destina una buena parte del presupuesto para

inversin en tecnologa de punta con el objetivo de mejorar


la atencin?

11-La plataforma en la que interactan los usuarios es x


clara y estable a nivel funcional?
Hay que mejorar en
aspectos de control
por medio de la
adquisicin de
6
Total resultados

equipos
tecnolgicos
acordes a la entidad
prestadora de

GRUPO:

90168_42

servicios

ANALISIS Y EVALUACION DEL RIESGO


AUDITOR RESPONSABLE: LEIDY PEALOZA ALMANZA

FALLA

No existe una programacin concisa para el mantenimiento.

IDENTIFICADA
No existe una programacin especfica para la identificacin de
OBSERVACIN

riesgos de software y hardware de todos los equipos y herramientas


tecnolgicas con que cuenta la entidad SALUCOOP.
Al no contar con la programacin de los mantenimientos no se

RIESGO
IDENTIFICADO
CAUSA
RECOMENDACIN

GRUPO:

90168_42

tiene

control

ni

se

identifican

esas

fallas,

amenazas

vulnerabilidades.
Falta de planeacin.
Calendarizacin de los mantenimientos de hardware y software.

la entidad no cuenta con un plan para reducir la frecuencia y el


FALLA

impacto de fallas de rendimiento

IDENTIFICADA
Al no existir el plan de reduccin de fallas, rendimiento
OBSERVACIN

identificacin de los riesgos, las irregularidades de los equipos


queda a consideracin del criterio de los usuarios
Al no tener claro este plan es imposible saber si las fallas

RIESGO
IDENTIFICADO

reportadas son generadas por los equipos oh es falta de


conocimiento por parte de los usuarios.
Falta de realizar planes de actualizacin de equipos y de

CAUSA

mantenimiento preventivo.
programar los mantenimientos y cambios por lo menos dos veces al

RECOMENDACIN

ao, las actualizaciones de cambio o repotenciacin de equipos se


deben presupuestar para las vigencias futura

No se realiza una evaluacin del desempeo del hardware y


FALLA

software

IDENTIFICADA
Cuando no se cuenta con controles especficos se generan grandes
OBSERVACIN

cantidades de datos que muchas veces no se sabe cmo interpretar


y esto interrumpe el desarrollo del sistema
Perdida de la confianza en el sistema con que se cuenta dentro de la

GRUPO:

90168_42

RIESGO

entidad SALUCOOP

IDENTIFICADO
CAUSA

Falta de recursos, falta de verificacin y seguimiento


Aplicar una matriz de convergencia que permita comparar el

RECOMENDACIN

desempeo del sistema, definiendo los procedimientos para


identificar los recursos crticos y riesgos potenciales.

ANALISIS Y EVALUACION DEL RIESGO


AUDITOR RESPONSABLE: JUAN CARLOS ORTIZ

GRUPO:

90168_42

Probabilidad
A
M B

Riesgos / Valoracin

Impacto
L M C

Manejo y Control de Personal


No existe un control confiable en el cumplimiento de horarios
R1
del personal que labora en la empresa
La gerencia no le da prioridad a las tecnologas Que se puedan

implementadas para mejorar los procesos


No Se realizan capacitaciones sobre tecnologa a los usuarios

de la empresa

empresa
Se destina una buena parte del presupuesto para inversin en

tecnologa de punta con el objetivo de mejorar la atencin

R2
R3

Asistencia al hardware y software


No se posee equipos sistematizados para determinar la
R4 calidad de atencin brindada por el personal asistencial de la

R5

GRUPO:

Probabilidad

Impacto

Alta: A

Catastrfico: C

Media: M

Moderado: M

Baja: B

Leve: L

90168_42

HALLAZGOS No. 1
AUDITOR RESPONSABLE: JUAN CARLOS ORTIZ

GRUPO:

90168_42

Asistencia y adquisicin de tecnologa en SALUDCOOP


Hallazgos de la Auditora
Dominio
Adquisicin e Implementacin
Proceso
Adquisicin y mantenimiento de la infraestructura tecnolgica
Objetivo de Control
Ayudar en el mejoramiento de los procesos desempeados en la
empresa SALUDCOOP
R1, R2, R3, R4, R5.
Descripcin
En las instalaciones de la empresa saludCoop se presenta una situacin que llama la
Riesgos Asociados

atencin debido que los resultados arrojados en la lista de chequeo aplicada, no son los
mejores comenzando porque no hay un control en el cumplimiento de horarios de los
empleados, lo cual se ve reflejado en la oportuna atencin brindada a los usuario, como
tambin la falta de capacitacin a los mismos y destinar un poco mas de presupuesto
para adquisicin de equipos que contribuyan al eficaz desarrollo de las labores.
Recomendacin
La administracin debe centrar mas su atencin en el desarrollo de sus procesos tanto a
nivel de personal interno como la de sus usuarios los cuales son el motor esa entidad y
deben de recibir un trato de acuerdo a sus necesidades de manera satisfactoria.
Causa
La poca inversin de recursos econmicos y la falta de planeacin por parte de los
encargados de esta parte de la administracin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado

PROCESO: ADMINISTRAR INSTALACIONES


AUDITOR RESPONSABLE: MAIRA ALEJANDRA CASTRO OCHOA
LISTA DE CHEQUEO No. 1
GRUPO:

90168_42

EMPRESA

SALUDCOOP

PAGINA

METODO AUDITORIA
AUDITORA
DOMINIO
PROCESO
OBJETIVO DE CONTROL

COBIT
MAIRA ALEJANDRA CASTRO OCHOA
SERVICIOS Y SOPORTE (DS)
ADMINISTRAR INSTALACIONES (DS12)

PREGUNTA

SI

DE

OBSERVACION

O
1

La

entidad

cuenta

con

los

instrumentos preventivos en caso de

En algunos de los casos, como el extintor en


caso de incendio

emergencia o peligros naturales?


2

Existe restricciones de personal no


autorizado,

en

los

lugares

restringidos?
3

Se

le

realizan

capacitaciones

peridicas a los funcionarios sobre la

seguridad informtica?
4

Adecuado manejo de canaletas de

cableado?

Se presenta desorganizacin entre el cableado


tanto elctrico como de red, los cuales puede
ocasionar corto circuito

Es adecuada la habitacin donde

opera el centro de cmputo?


6

Buen

funcionamiento

en

los

programas utilizados por la empresa?

Existe desactualizaciones e incompatibilidades


de

los

programas

manejados

por

el

funcionarios, que ocasionan la demora en las


consultas

GRUPO:

90168_42

RESULTAD
O

SI

NO

TOTAL

HALLAZGOS No. 1
AUDITOR RESPONSABLE: MAIRA ALEJANDRA CASTRO OCHOA
CENTRO DE SERVICIOS TECNOLOGICOS

R/PT:P1

HALLAZGOS DE LA AUDITORIA

H1

Dominio

ENTREGA DE SERVVIOS Y SOPORTES

Proceso

ADMINISTACION DE INSTALACIONES (DS12)

Objetivo de control

SUMINISTROS DE ENERGIA

Riesgos Asociados

R1, R2, R3, R4, R5, R6


DESCRIPCION

Observando la empresa en general, se presenta desorganizacin en el cableado tirado en


el suelo, revueltos tanto el cableado elctrico, como el de red, as como su mal ubicacin
GRUPO:

90168_42

en el establecimiento.
RECOMENDACION
El comit administrativo de la empresa debe invertir y realizar las adecuaciones
necesarias para que se organice las fallas presentadas.
CAUSA
Falta de conocimientos de los funcionarios a quienes se le asigno dicha labor.
NIVEL DEL RIESGO
De acuerdo a la probabilidad est clasificado como medio

CONCLUSION
La auditora de sistemas hoy en da es de vital importancia para el buen desenvolvimiento
general de una organizacin con visin de futuro, porque si no se proveen los mecanismos de
control adecuados para su buen funcionamiento, seguridad y respaldo de la informacin esta se
ver sumida a riesgos lgicos, fsicos y humanos que conllevan a fraudes no solamente
econmicos sino de informacin, generando prdidas que pueden llevar a la desintegracin de la
empresa.
Con el trabajo anterior se logr que cada uno de los estudiantes pusiera en prctica lo aprendido
durante la unidad estudiada, adems de realizar un estudio a fondo de la norma Cobit que nos
ayud a analizar, recolectar informacin, identificar y detectar riesgos y hallazgos, para lograr
organizar y poner en prctica los aspectos a seguir para la realizacin de una auditoria
informtica.

GRUPO:

90168_42

WEB GRAFIA

GRUPO:

COBIT (Objetivos de Control para la Informacin y Tecnologas Relacionadas). (en


lnea)
Disponible
en:
http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-informaciony-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y
relacionadas.shtml#ixzz3p9R6xOMDhttp://www.monografias.com/trabajos93/cobitobjetivo-contro-tecnologia-informacion-y-relacionadas/cobit-objetivo-contro-tecnologiainformacion-y-relacionadas.shtml#ixzz3p6o1ksbQ. 17 de Octubre de 2015.
Normas
COBIT.
(en
lnea).
Disponible
en:
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml. 15
de Octubre de 2015.
Auditoria
informtica
y
de
sistemas.
(En
lnea).
Disponible
en:
http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-parala.html. 24 de Septiembre de 2015.
Tcnicas de auditoria para recoleccin de informacin. (en lnea). Disponible en:
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_26_tcnicas_de_auditoria_p
ara_recoleccin_de_informacin.html. Octubre 8 de 2015.
Como elaborar una lista de chequeo?. (en lnea) Disponible en:
https://www.combarranquilla.co/public_html/_files/intranet/sgc/auditorias/lista_chequeo
_auditoria.pdf. 11 de Octubre de 2015.

90168_42