AUDITORIA DE SISTEMAS

CÓDIGO: 90168

UNIDAD 1

FASE 2- PLANEACION DE LA AUDITORIA

PRESENTADO A:

FRANCISCO NICOLAS SOLARTE

ENTREGADO POR:

JHON JAIRO MONTOYA MORENO

WILSON ENRIQUE CORREA

JORGE ALEJANDRO BARRETO

FRANCISCO JAVIER AVENDAÑO

GRUPO:

90168_30

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

INGENIERÍA DE SISTEMAS

CARTAGENA -BOLÍVAR
 INTRODUCCIÓN

Con la realización del presente trabajo se busca apropiarnos de todos los conceptos que abarca la
auditoría interna de sistemas, sus características y todos los procesos que identifican este tipo de
auditorías.

El principal interés en este tema es el de poder afianzar los conocimientos en todo lo relacionado
con la auditoria, poder establecer como prioridad y protección de la información del sistema
computacional y de los recursos informáticos de la empresa, y al final tener un mayor conocimiento
con el fin de velar por la seguridad de la información y estado funcional de los activos informáticos

La auditoría es el proceso de evaluación y verificación de políticas, controles, procedimientos y seguridad

en general, en concordancia con el uso de los recursos tanto técnicos, como tecnológicos, económicos y
humanos dentro de una entidad. En el área de la informática la auditoría aplica una serie de herramientas
de control con el fin de garantizar los servicios tecnológicos de una entidad incluyendo en ellos el
alistamiento de los recursos técnicos y humanos especializados en el área. A partir de lo anterior, la auditoría
informática se identifica como un proceso de seguimiento evaluativo en el cual se hace necesario el aplicar
métodos de identificación, análisis, retroalimentación y modificación de procesos internos vinculados
directamente con el área de tecnología o informática.
 OBJETIVOS

 Seleccionar y describir una empresa como inicio de nuestra actividad de auditoria

 Desarrollar un plan de auditoria evaluando las posibles fallas de seguridad informática al

realizar un análisis de la composición de la empresa seleccionada

 Realizar un programa de auditoria teniendo en cuenta la norma seleccionada (CobIT)

 Realizar el proceso de auditoría guiado completo en el cual se visualicen las fallas en procesos
susceptibles a medida y a reorganización o reorientación.

 Elegir los procesos aplicables del estándar CobIT a la entidad para el plan de auditoría de manera que
se haga evaluable las fallas en los procesos.

 Proyectar pruebas de funcionalidad para el área de tecnología tomando como punto de partida tanto las
fallas en los procesos observados como aquellos elegidos como medición del estándar CobIT.
 INFORME

 Propuestas de empresas para realizar la auditoria de sistemas:

- Empresa OLITEYCA

- Empresa ENUP

- Empresa Universal de Gestiones

 Descripción de la empresa seleccionada:

EMPRESA ENUP
(Departamento de Informática)

Función
El departamento de Informática de la empresa ENUP tiene por misión la gestión eficiente de los
recursos, estructura y servicios tecnológicos institucionales, mediante la administración redes,
soporte técnico, desarrollo de software y seguridad informática los cuales son fundamentales para
los procesos realizados por los usuarios de la empresa.

Estructura Organizacional

Jefe Departamento

Informática

Jefe Sección de Redes Jefe Sección de Soporte Jefe Sección Desarrollo Jefe Sección Seguridad Informática

1.Técnico de Redes 1.Técnico de Soporte

1.Técnico Diseño

Grafico
2.Técnico de Redes 2.Técnico de Soporte

3.Técnico de Soporte
 Cargos y funciones

Jefe Departamento Informática

Encargado de la Planificación, organización, control y ejecución de las actividades propias del

departamento, además de proponer políticas y estrategias que permitan innovar al mejoramiento
de cada uno de los sistemas de la empresa.

Función:
 Proponer y participar en el diseño de soluciones asociadas a los requerimientos de la empresa.
 Delegar adecuadamente tareas para el cumplimiento de los objetivos a cada una de las
secciones que conforman el departamento.
 Coordinar con el grupo de trabajo la elaboración de proyectos para el mejoramiento de
procesos de la empresa.

Jefe Sección Seguridad Informática

El jefe de la sección de seguridad informática es el encargado de proteger los sistemas contra

posibles ataques informáticos que puedan poner en riesgo la operación normal de la empresa
desde el punto de vista de la seguridad de la información.

Función:
 Proteger los sistemas informáticos de la Empresa ante posibles amenazas
 Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la
información.
 Mantener los usuarios, passwords y accesos a los sistemas por parte de los usuarios de la
Empresa
 Desarrollar e implementar el Plan de Seguridad.

Jefe Sección Desarrollo

El jefe de sección de Desarrollo es el encargado de realizar y diseñar sistemas de información

requeridos por la empresa.

Función:
 Manejar y controlar las licencias de software.
 Es el responsable de la elaboración y mantenimiento de los sistemas.
 Elabora estudios para la elección y adquisición de software.
 Generar la documentación técnica y manuales de cada sistema.
 Técnico Diseño Grafico

El Técnico de diseño gráfico es el encargado de crear conceptos visuales que comuniquen ideas,
mensajes o elementos para los sistemas de información con los que cuenta la empresa.

Función:
 Desarrollo de diseños para la página web de forma atractiva y distribuida de forma correcta
para la creación de páginas de calidad.

Jefe Sección de Soporte

El jefe de Sección de Soporte Técnico es el encargado de la administración del personal, equipos,

repuestos, herramientas y actividades mediante planes de trabajo para brindar un apoyo técnico a
las diferentes incidencias informáticas realizadas por los usuarios de la empresa.

Funciones:
 brindar asesoría y capacitaciones sobre el correcto uso de los computadores a los usuarios de
la empresa.
 Administra y asigna a los técnicos de soporte las incidencias informáticas realizadas por los
usuarios.
 Colabora en la elaboración de programas de adquisición de bienes informáticos para la
empresa.

Técnico de Soporte

El técnico de soporte es el encargado y actúa como mediador para resolver los diferentes
inconvenientes informáticos que presenten los usuarios de la empresa.

Función:
 Es el encargado de dar mantenimiento preventivo a los computadores
 Es el encargado de hacer las instalaciones de Hardware y Software a los computadores
 Es el encargado de hacer revisiones y reparaciones a los computadores
 Cambiar claves de acceso de los usuarios del servidor de dominio
 Jefe Sección de Redes

El jefe de la sección de redes es en encargado de la planificación, instalación y propuestas para el

mejoramiento de las redes de telecomunicaciones y cableado estructurado de la empresa, además
es el responsable del establecimiento y comunicación en red de los equipos de la empresa.

Función:
 Manejo del inventario de equipos de red y servidores.
 Es el encargado de investigar y proponer soluciones de redes y comunicación
 Es el encargado de la gestión de direccionamiento IP
 Administrar el sistema de antivirus y las herramientas asociadas a éste.

Técnico de Redes

El técnico de Redes es el encargado y actúa como mediador para resolver los diferentes
inconvenientes qué presenten los usuarios en la red.

Función:
 Supervisar cableados y el buen funcionamiento de todos los aparatos involucrados en la red y
conectividad
 Realizar el mantenimiento a la red, como además del chequeo de virus, cableados, conexiones,
hardware relacionado con la red.
 Realizar acciones correctivas en caso de fallas en la red.
 Documentar fallas y correcciones.
 Servicios departamento de informática

Seguridad Informática

Desarrollo de Software

Soporte Técnico

Redes y telecomunicaciones

Sistemas informáticos del departamento de sistemas

A continuación, se realizará una descripción de los sistemas informáticos con los que cuenta la
empresa ENUP y la sección responsable de esté en el departamento de sistemas.

Sección Desarrollo

 Página WEB Institucional

 Servidor de correo institucional

Sección Soporte

 Plataforma de gestión de incidencias “TIQUETS”

Sección Redes Sección Seguridad Informática

 Servidor de Dominio
 Servidor de Antivirus
 Firewall
 Servidor de Cámaras de Vigilancia
 Servidores de Backups
 Activos informáticos del departamento

Jefe Departamento

 01 computador Portátil
 01 impresora
 01 IPAD

Sección Desarrollo

 02 computadores
 01 impresora
 04 carteleras digitales
 01 UPS

Sección Soporte

 04 computadores
 01 computador portátil
 01 impresora
 01 UPS

Sección Redes Sección Seguridad Informática

 04 computadores
 01 Videobeam
 01 impresora
 01 UPS
 01 firewall (Datacenter)
 05 servidores (Datacenter)
 02 rack
 Plan de Auditoria

Objetivo General de la Auditoria:

Realizar la auditoria a los mecanismos de seguridad informática establecidos por el departamento

de sistemas, evaluando los controles de acceso a instalaciones donde se ubica la infraestructura
tecnológica que soporta los sistemas de información de la empresa, así como las actividades
propias y controles de seguridad informática en los equipos de cómputo con los que cuenta la
empresa ENUP para prevenir incidentes informáticos.

Objetivos Específicos:

Objetivo 1:
Conocer los controles de seguridad informática en los equipos de cómputo y políticas de seguridad
de acceso en zonas restringidas en donde se ubica la infraestructura tecnológica que soportan los
sistemas de información de la empresa por parte de los empleados para analizar las
vulnerabilidades y amenazas que originan los riesgos para la empresa mediante visitas a la empresa
y entrevistas con los usuarios.

Objetivo 2:
Elaborar el plan de auditoría diseñando los formatos para la recolección de información, y
diseñando el plan de pruebas a ejecutar, la selección del CobIT como estándar de buenas prácticas
que será aplicado presentando los recursos y personal necesario para llevarla a cabo la auditoria.

Objetivo 3:
Aplicar los instrumentos de recolección de información que fueron diseñados para encontrar los
riesgos existentes teniendo en cuenta el modelo estándar de auditoria CobIT como herramienta de
apoyo en el proceso de inspección de los equipos de cómputo y acceso a la infraestructura
tecnológica de la empresa, para realizar el análisis y evaluación de riesgos hasta llegar a la matriz
riesgos donde se mostrara la probabilidad e impacto de los riesgos encontrados.

Objetivo 4:
Llevar a cabo un dictamen final de la auditoria para los procesos que van a ser evaluados y
presentar informe de resultados de la auditoria determinando las actividades de mejora para ser
presentadas a la empresa auditada.
Objetivo 5:
Analizar los servicios suministrados por el proceso de Mesa de Servicios enfocándose en las fallas
inquiridas por los agentes desde la primera interacción con el cliente hasta la entrega de solución de los
diferentes requerimientos e incidentes.
Objetivo 6:
Elaborar un plan de auditoría enfocado en la resolución de fallas y reestructuración de procesos tanto a
nivel de adquisición de planta tecnológica como en la atención por parte de Mesa de Servicios, tomando en
cuenta los estándares de calidad ofrecidos por el diseño de instrumentos de recolección de información y
pruebas de calidad sumadas a la auditoría.
Objetivo 7:
Implementar los instrumentos de recolección de información y pruebas de calidad a los procesos de
adquisición de planta tecnológica y atención de requerimiento e incidentes y demás servicios por parte de
Mesa de Servicios, identificando las falencias de cada proceso de manera que pueda proyectarse las
amenazas o fallas que se presentan en el día a día de la operación.
Objetivo 8:
Proyectar un dictamen de auditoría de acuerdo al nivel de evolución de los procesos evaluados determinado
las acciones para que sean abordadas las fallas, amenazas y riesgos potenciales tanto a nivel de adquisición
de planta tecnológica como los servicios prestados por la Mesa.

Alcances de la Auditoria

La auditoría se trabajará sobre los controles de seguridad informática establecidos para el manejo
de los equipos de cómputo de la empresa, así como también los controles establecidos para el
acceso a las instalaciones que albergan la infraestructura tecnológica que soporta los sistemas de
información, evaluando los siguientes aspectos:

Controles de seguridad en los equipos computo:

- Registro del equipo en el inventario de la empresa

- Permisos de navegación en sitios web autorizados
- Antivirus, software y licenciamiento en los equipos de computo
- Uso de dispositivos de almacenamiento de información
- Permisos de usuario a la configuración del equipo
- Conocimiento de las políticas de seguridad informática de la empresa por parte de los
empleados
- Inventario de hardware y equipos tecnológicos.
- Mantenimiento preventivo y correctivo de equipos de cómputo.
- Hojas de vida de los equipos de cómputo.
- Mantenimiento preventivo y correctivo de impresoras y escáner.
- Hojas de vida de las impresoras y escáner
- Programas de mantenimiento de planta tecnol

Acceso a instalaciones físicas:

- Personal autorizado
- Bitácora de ingreso a las instalaciones
- Sistemas de seguridad de acceso y vigilancia establecidos
- Inventario de Hardware
- Sistemas Contraincendios
- Conocimiento de Políticas de acceso a las instalaciones por parte de los empleados
autorizados

Metodología

Investigación preliminar

Conocer el funcionamiento de los parámetros de seguridad establecidos por la empresa para el

acceso seguro a instalaciones restringidas que albergan dispositivos informáticos y las políticas
establecidas por el departamento de Informática con relación a la seguridad informática en los
equipos de computo como uno de los activos principales de la empresa, por el cual se realizaran
las siguientes actividades:

 Entrevista inicial con el jefe de departamento de sistemas y jefe de sección de seguridad

informática de la empresa para conocer los parámetros o lineamientos establecidos tanto de
acceso a instalaciones de equipos de sistemas como los controles a los equipos de cómputo y
la documentación pertinente que soporte la información suministrada.

 Entrevista con los empleados que tiene acceso a las instalaciones que albergan equipos de
sistemas para indicar sobre el conocimiento de las políticas establecidas para el acceso.
 Entrevista con los empleados que utilizan equipos de cómputo para indagar sobre las políticas
de seguridad en cuanto a uso de estos activos informáticos

Recolectar información:

Diseño de formatos para la recolección de información, y diseño del plan de pruebas, además de
la selección del CobIT como estándar de buenas prácticas que será aplicado presentando los
recursos y personal necesario para llevarla a cabo la auditoria

Los formatos de recolección de información son los siguientes:

 Formato de entrevistas

 Formatos de listas de chequeo

 Formatos de cuestionario

Aplicación de instrumentos:

 Aplicación de entrevista al jefe de departamento de sistemas y jefe de sección de seguridad

informática de la empresa para conocer los parámetros o lineamientos establecidos tanto de
acceso a instalaciones de equipos de sistemas como los controles a los equipos de cómputo y
la documentación pertinente que soporte la información suministrada
 Aplicación de Entrevista a los empleados que tiene acceso a las instalaciones que albergan
equipos de sistemas para indicar sobre el conocimiento de las políticas establecidas para el
acceso.
 Aplicación de cuestionarios a los empleados que utilizan equipos de cómputo para indagar
sobre las políticas de seguridad en cuanto a uso de estos activos informáticos
 Aplicar una lista de chequeo en las instalaciones que alberguen los equipos de sistemas para
verificar el estado de seguridad que poseen.
 Aplicar una lista de chequeo en los equipos de cómputo con el fin de encontrar posibles
vulnerabilidades y amenazas que atenten contra el buen funcionamiento de la empresa.
Ejecución de las pruebas:
Ejecutar las pruebas para determinar las vulnerabilidades en los controles de acceso a instalaciones
que albergan equipos de sistemas y ejecución de pruebas a los equipos informáticos comprobando
las políticas de seguridad y que los equipos correspondan a los inventarios con la realidad.

Realizar el proceso de análisis y evaluación de riesgos:

Elaborar el cuadro de vulnerabilidades y amenazas a que se ven enfrentados, determinar los riesgos
a que se ven expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de riesgos.

Tratamiento de riesgos:
Determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer controles de
acuerdo a la norma de buenas prácticas aplicadas, definir las posibles soluciones

Dictamen de la auditoría:
Determinar el grado de madurez de la empresa en el manejo de cada uno de los procesos evaluados,
medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.

Informe final de auditoría:

Elaboración del informe técnico de auditoría, elaboración del informe ejecutivo final.

Recursos para el Desarrollo

Recursos humanos:
La auditoría se llevará a cabo por el personal idóneo en seguridad informática.

Nombre del Personal Cargo

Jhon Jairo Montoya Moreno Auditor Líder
Francisco Javier Avendaño Auditor 1
Wilson Enrique Correa Auditor 2
Jorge Alejandro Barreto Auditor 3

Recursos Físicos:
La auditoría se llevará a cabo en el departamento de sistemas, Instalaciones que alberguen la
infraestructura tecnológica que soporta los sistemas de información y las oficinas que posean
equipos de cómputo de la empresa ENUP en la ciudad de Cali-Colombia.

Recursos tecnológicos:
Los recursos tecnológicos que se emplearán para realizar la auditoria:

Computador portátil
Cámara digital para captura de evidencia
Cámara de video para realización de entrevistas
Dispositivos de almacenamiento de información
Software antivirus para seguridad en los equipos
video Beam
Internet institucional

Recursos económicos:

Ítem Cantidad Subtotal

Computador portátil 2 $3.000.000
Cámara Digital 1 $400.000
Cámara de Video 1 $400.000
Dispositivos de almacenamiento 3 $250.000
Video Beam 1 $800.000
Útiles y papelería 1 $100.000

Total $4.95.0000
 Cronograma de Actividades

Actividad Semana 1 Semana 2 Semana 3

1 2 3 4 1 2 3 4 1 2 3 4
Fase Investigación Preliminar
Planeación
de la Determinación de Áreas a
Auditoria criticas a auditar
Aplicación de instrumentos de
recolección de información
Fase Evaluación de Riesgos
Ejecución
auditoria Ejecución de Pruebas

Obtención de evidencias
Dictamen y determinación
Fase de hallazgos
Resultados Definición de Controles y
de la soluciones al hallazgo
auditoria Elaboración del informe
final de auditoria
 Nombre proceso: P09 EVALUAR Y ADMINISTRAR
LOS RIESGOS DE TI
Dominio: PLANEAR Y ORGANIZAR
Tipo de instrumento ENTREVISTA
DESCRIPCION

 ¿Se tiene claro y se han identificado los riesgos del sistema y los procesos que
deben ser aplicados
R/ si se conocen y se entienden los riesgos.

 ¿se están aplicando los procesos de disminución de riesgo a medida que se

identifican?
R/ si conforme se encuentran se van implementando las correcciones necesarias

 Se han considerado desarrollar un plan de estudio sobre los ya hechos de los

riesgos, con el fin de monitorear que no se repitan.
R/ no se había considerado, pero al ver la pregunta se ha considerado la
necesidad de hacerlo

 ¿se consultan regularmente expertos de manera externa en temas relacionados a

las fallas para obtener otras opiniones?
R/si se hace cuando ya se identifican en los estudios realizados.

 ¿tienen una manera de evaluar las estrategias utilizadas para la solución de los
riesgos de la organización?
R/ si se tienen constantes sistemas de evaluación de los procesos aplicados.

AI5: Adquirir Recursos de TI:

Establece los estándares a nivel interno de la organización para la adquisición de TI,
instalaciones, hardware y software, administrando de forma correcta los contratos con los
proveedores de forma que se garantice el cubrimiento de las responsabilidades y obligaciones de
tipo legal, financieras, organizacionales, de desempeño y de seguridad. Los objetivos de control
son los siguientes:

AI5.1 Control de Adquisición: Establecer parámetros de adquisición del plan de compras de la

entidad en cuanto al desarrollo de proyectos formativos orientados a la consecución de estas
herramientas.
AI5.2 Administración de Contratos con Proveedores: Realizar la debida licitación o proceso
de contratación legal en el cual se especifiquen los proponentes y/o proveedores de cada uno
de los servicios requeridos por la subsede.

AI5.3 Selección de Proveedores: Ejecutar un plan de contratación y/o licitación para la

escogencia de proveedores en el cual se especifique cada uno de los procesos en contratación,
los medios de selección y los parámetros a cumplir para la debida escogencia de los mismos.

AI5.4 Adquisición de Recursos TI: Poner en conocimiento de la comunidad el plan de compras

a nivel tecnológico de la entidad, en donde se establecen los recursos necesarios de acuerdo al
área ya sea formativa y/o administrativa y el portafolio de servicios de la entidad.
DOMINIO ENTREGAR Y DAR SOPORTE:

Hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin
de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados
como controles de aplicación. Los procesos y objetivos de control son los siguientes:

DS1:Definir y Administrar los Niveles de Servicio

Establece una comprensión común del nivel de servicio requerido, mediante el establecimiento de
convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se
medirá la cantidad y la calidad del servicio. Los objetivos de control son:

DS1.2 Definición de Servicios: Esquematizar los servicios ofrecidos por la Mesa reconociendo
cada uno de los niveles, especialistas y conductos de atención.

DS1.3 Acuerdos de Niveles de Servicio: Definir los niveles para la prestación de cada uno de
los servicios implementados por la Mesa.

DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio: Crear estándares de
calidad para cada uno de los ítems de servicio de acuerdo a los niveles establecidos para Mesa.
 CONCLUSIONES

Una auditoria de sistemas siempre es aplicable y necesaria para cualquier tipo de empresa.

La auditoría informática va enfocada desde el aspecto más pequeño hasta la estructura más grande
en el área de sistemas.

Aplicando el plan de auditoría se contribuye a obtener mejores resultados para la funcionalidad de

la empresa
El reconocimiento de las fallas en los procesos permite que la operación pueda modificarse y
Por ende enriquecer la entidad en cuanto a eficacia y calidad.
El proceso de auditoría informática se enfoca en el reconocimiento de amenazas en las
Actividades del área de sistemas.
La identificación estructural de una organización hace que el proceso de auditoría se facilite en
Cuanto muestra cada ítem a ser evaluado y el cómo iniciar el transcurso de evaluación.
Posterior al reconocimiento de la estructura organizacional es claro que se inicia el proceso de
Auditoría direccionada a uno o varios de los servicios de la entidad.
El plan de auditoría incluye tanto objetivos como alcance determinando así el camino a seguir
Con el fin de evaluar uno o más procesos organizacionales.
 REFERENCIAS BIBLIOGRÁFICAS

Francisco S. (2012). Programas de auditoria y Plan de auditoria. Auditoria Informática de sistemas.

Recuperado de:http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-cobit.html

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=3176647&t
m=1543338969122

Alonso T. (2001) Auditoria de Sistemas, una visión práctica. Universidad Nacional de Colombia.
(pp. 14 -15) Recuperado de:
https://books.google.com.co/books?id=HdtpS3UBCuMC&pg=PA67&dq=auditoria+informatica
&hl=es419&sa=X&ved=0ahUKEwjRs7L4gq_gAhVrtlkKHYPmBsAQ6AEIRTAF#v=onepage
&q&f=false

Franklin, E. B. (2007). Auditoria administrativa: gestión estratégica del cambio. Pearson

educación.

Fincowsky, E. B. F., & Benjamín, E. (2001). Auditoría administrativa. McGraw-Hill.

López, R. G. (2003). Generalidades en la Auditoría. Edición electrónica, Texto completo en

www. eumed. net/cursecon/libreria/rgl-genaud.