Plan de Auditoria Cajamag

AUDITORÍA DE SISTEMAS
GRUPO: 45
YONATAN MANUEL CARRILLO

VIVIANA MERCADO BENITEZ
CARLOS ALBERTO VEGA
TUTOR:
FRANCISCO NICOLAS SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

INGENIERIA DE SISTEMAS
OCTUBRE DE 2019
INTRODUCCIÓN
La auditoría a las empresas son un conjunto de actividades que se realizan con el

fin de evaluar los procesos internos de una entidad y poder realizar verificación
de la información generada, identificar los posibles problemas que se presentan, y
poder realizar las correcciones que permitan la mejora de los procesos.
El proceso de auditoría informática es relativamente nuevo en comparación con

otras actividades realizadas en las empresas, y por ende se están realizando
ajustes permanentemente a su metodología y aplicación, es necesario el entender
estos procesos con el fin de poderlos aplicar correctamente en nuestro ámbito
profesional.
La aplicación de este proceso en nuestro ámbito profesional, nos permitirá

ampliar nuestro campo de acción al momento de aportar nuestros conocimientos,
esperamos que con este trabajo se abarque toda la información referente al tema
y se tenga un conocimiento general sobre el mismo.
A continuación pretendemos hacer un análisis inicial al proceso de auditoría

informática a la empresa CAJAMAG Sede Ciénaga Magdalena, con el fin de
conocer sus características más relevantes y hacer la búsqueda de los problemas
que se presentan en la empresa con el uso y manejo de los activos informáticos
con la intención de descubrir las vulnerabilidades, amenazas, riesgos posibles
detectados inicialmente y cuáles son los activos informáticos impactados por la
ocurrencia de los riesgos.
OBJETIVOS
 Identificar, conocer y comprender que es la auditoria de sistemas para

determinar las implicaciones y beneficios que adquiere una empresa al
aplicarla.
 Identificar la importancia de realizar el proceso de auditoría en una empresa u

organización.
 Describir de forma general a la empresa CAJAMAG Sede Ciénaga Magdalena y

realizar una descripción general de los sistemas de información existentes y
los procesos asociados a los mismos.
 Elaborar el plan y programa de auditoria para la empresa CAJAMAG Sede

Ciénaga Magdalena.
INFORME DE CONSTRUCIÓN GRUPAL
 LAS PROPUESTAS DE EMPRESA
Yonatan Manuel Carillo: propone la empresa caja de compensación familiar del

Magdalena (CAJAMAG sede ciénaga) la cual cumple con los estándares pedidos y
esta se caracteriza por llevar una auditoria constante de sus activos más allá de
los activos informáticos.
Viviana Mercado Benítez: propone La Institución Educativa Técnica Agropecuaria

Luis Villafañe Pareja, se encuentra ubicada en el corregimiento de Martín Alonso,
municipio de Córdoba, departamento de Bolívar; es una institución pública
conformada por una sede Principal y tres subsedes, cuenta aproximadamente
con 520 estudiantes, un rector, un coordinador, 24 docentes y 4 administrativos.
Su infraestructura en la sede principal está compuesta por la parte
administrativa, 1 sala de informática, 1 Restaurante escolar, 1 sala de profesores
y 12 aulas de clase. La institución no cuenta con una biblioteca, laboratorios y
tampoco tiene conexión a internet.
Carlos Alberto Vega: Propone una empresa pequeña denominada, MACECO SAS,
una empresa donde se maneja el concepto de las 3R y que tratan políticas
sostenibles y responsables con la sociedad uy el medio ambiente.
DESCRIPCIÓN DE LA EMPRESA ELEGIDA – CAJAMAG – SEDE CIENAGA
MAGDALENA
RESEÑA HISTORICA
La Caja de Compensación Familiar del Magdalena Cajamag, es una corporación

privada sin ánimo de lucro, vigilada por la Superintendencia del Subsidio Familiar.
Fue fundada en 1957, como entidad prestadora de servicios para contribuir de

manera significativa en el mejoramiento de la calidad de vida del afiliado su
familia y comunidad magdalenense, en cumplimiento de la Ley 21 de 1982 y 789
de 2002 que rigen el Sistema de Subsidio Familiar de Colombia.
Cajamag en cumplimiento de las políticas para la atención integral y social de los

trabajadores afiliados, la familia y la población vulnerable del departamento del
Magdalena, desarrolla programas de recreación, turismo, adulto mayor,
campeonatos deportivos, capacitación, biblioteca, cultura, vivienda, crédito social,
educación, centro de formación musical, atención integral al menor, jornada
escolar complementaria y salud preventiva, en cumplimiento de su misión de
trabajar con sensibilidad social.
Las Cajas de Compensación Familiar como elementos activos dentro del contexto
de la seguridad social, por obligación y vocación, son piezas claves en la lucha
contra la violencia y la búsqueda permanente de la paz y Cajamag reafirma su
compromiso de seguir adelante con el propósito de ofrecerles cada día mejores
servicios.
MISION
Trabajamos con sensibilidad social por el bienestar de nuestros afiliados, sus

familias, población vulnerable y comunidad, con un talento humano
comprometido en la prestación de servicios integrales subsidiados para las
categorías A y B, generando desarrollo en la región con un manejo eficiente de
recursos.
VISION
CAJAMAG en el 2021 en cumplimiento de su misión, será reconocida en el

Magdalena por su aporte a la educación, cultura y recreación con un alto grado de
responsabilidad social sostenibilidad.
VALORES CORPORATIVOS
Sensibilidad social: Conciencia de solidaridad y servicio, identificando los

problemas sociales y económicos de la comunidad, atendiéndolos desde nuestra
labor.
Compromiso: Actitud positiva y responsable por parte del equipo de trabajo de la

caja para el logro de los objetivos, fines y metas, en el cual cada persona aporta
su máxima capacidad con gran sentido de pertenencia.
Eficiencia: Capacidad de obtener los máximos resultados con la menor cantidad

de recursos logrando estabilidad financiera para el desarrollo y sostenibilidad de
la Caja.
Responsabilidad Social: Se trata de un enfoque que se basa en un conjunto

integral de políticas, prácticas y programas centrados en el respeto por la ética,
las personas, las comunidades y el medio ambiente.
Transparencia: Sinceridad en el actuar, en el pensar y en el decir; conducta y

disposición a que la actuación corporativa, en cualquier nivel que sea esté
sometida a normas y reglas claras y conocidas.
PLAN DE AUDITORIA CAJAMAG, SEDE CIÉNAGA
CAJAMAG sede ciénaga es una empresa privada la cual presta servicio de subsidio
a sus afiliados trabajadores como compensación a los aportes que hacen sus
empleadores, esos servicios se reflejan como subsidio en dinero como pago de
cuota monetaria a sus beneficiarios, también ofrecen cursos de capacitación de
artes y oficios como informática, subsidios de vivienda, excursiones y demás, por
ser afiliados se acogen a un descuento según su salario dicho descuentos de los
servicios son hasta del 50% por lo tanto es una empresa que se caracteriza por
manejar numerosos activos informáticos la cual son usados para el servicio de los
afiliados , voy a presentar los activos informáticos de la empresa sede ciénaga
según sus módulos de atención y sala de informática, cámaras de seguridad.
Los empleados de esta sede tienen sus funciones, en esta ocasión de la oficina de
atención al cliente se encuentran varios módulos los cuales tienen sus finalidades
y son las siguientes:
Módulo 1: acá es donde se manejan los procesos de afiliación, reclamos y
entrega de documentos y procesos de pignoración (créditos).
Módulo 2: activación de medios de pagos como daviplata, ahorro a la mano y
Avvillas para el retiro de la cuota monetaria, cambios de medios de pago y
cambios de clave.
Módulo 3: pasadías, excursiones, cursos y actividades culturales.
Oficina principal: acá es donde se encuentra el administrador de la sede para
darle solución a los problemas en ámbitos de trabajo social y administrativos
En el presente plan de auditoria de la sala de sistemas CAJAMAG sede ciénaga,

vamos a identificar cada equipo y evaluar sus características en el ámbito físico
como lógico y determinar en qué condiciones se encuentran para tomar las
medidas necesarias y así evitar futuras incidencias, con esto se consigue llevar a
cabo un seguimiento a los activos informático para que funcionen de manera
correcta.
Activos fijos sala de informática (computadores)
marca Sistema procesado estado arquitectur código

operativo r a
1 Hp Windows 10 Core i5 excelent 64 bits 43000802
prodesk e -15
prodesk e -16
3 Hp Windows 10 Core i5 bueno 64 bits 43000802
prodesk -17
prodesk -18
prodesk -19
6 Hp Windows 10 Core i5 regular 64 bits 43000802
prodesk -20
prodesk -21
prodesk e -22
prodesk -23
0 prodesk -24
1 Hp Windows 10 Core i5 malo 64 bits 43000802
1 prodesk -25
1 Hp Windows 10 Core i5 malo 64 bits 43000802
2 prodesk -26
En el siguiente cuadro encontramos el análisis de la sala de informática con sus
necesidades, software, amenazas y vulnerabilidades.
Equipo uno código # 43000802-15

No Vulnerabilidad Amenazas Riesgo Categoría
Uso de software no Difusión de Falta de Software
licenciado en la software dañino actualización de
empresa los antivirus, ya
1 que son copias
ilegales que no
permiten su
actualización.
No existe control de Intercepción No se utiliza Seguridad
acceso a la Modificación ningún sistema lógica
información de cifrado de
2 discos en el
servidor o en los
equipos
Robo de información Falta de control Falta de Seguridad
de acceso en controles y lógica
3 internet restricciones
para el acceso a
internet.
Fallas en el Bajas de voltaje Solo existe unos Hardware
suministro de energía y poca ups la cual se
concientización tiene para el
por parte del servidor Hp
personal Proliant Ml110
4 administrativo. G6, en caso de
un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo dos código # 43000802-16
1 Vulnerabilidad Amenazas Riesgo Categoría
1 que son copias
ilegales que no
permiten su
actualización.
administrativo. G6, en caso de
2 un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo Tres código # 43000802-17

No existe un firewall Accesos No La no Seguridad
activo. autorizados aplicabilidad en lógica
Firewall – saber
qué puertos se
deben bloquear o
permitir, la
1 forma de
interactuar con
ella o es
propietario de
ella, quien tiene
acceso a la
consola de
control.
un bajón de
energía, no
alcanza a
soportar con la
2 conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo Cuatro código # 43000802-18

Fallas en el Bajas de voltaje
Solo existe unos Hardware
suministro de energía y pocaups la cual se
concientizacióntiene para el
administrativo.G6, en caso de
un bajón de
energía, no
alcanza a
soportar con la
1 conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Firewall – saber
qué puertos se
deben bloquear o
permitir, la
forma de
2 interactuar con
ella o es
propietario de
ella, quien tiene
acceso a la
consola de
control.
Equipo Cinco código # 43000802-19

suministro de energía y poca
ups la cual se
concientización
tiene para el
administrativo.
G6, en caso de
un bajón de
energía, no
1 alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
2 licenciado en la software dañino actualización de
que son copias
ilegales que no
permiten su
actualización.
Equipo Seis código # 43000802-20
No se controla los No existe Modificación sin Seguridad
permisos y privilegios perfiles de autorización de lógica
de los usuarios usuario en el los datos, o de
1 sistema software
instalado en el
sistema,
incluyendo
borrado de
archivos.
2 Fallas en el Bajas de voltaje Solo existe unos Hardware

un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo Siete código # 43000802-21

un bajón de
1 energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
2 No se controla los No existe Modificación sin Seguridad
sistema software
instalado en el
sistema,
incluyendo
borrado de
archivos.
Equipo Ocho código # 43000802-22

sistema software
instalado en el
sistema,
incluyendo
borrado de
archivos.
1
Ausencia de planes Desastres No se realizan Seguridad
para recuperación de naturales copias de lógica
información seguridad de
manera periódica
de la información
2
sensible en
medios externos.
Equipo Nueve código # 43000802-23
suministro de energía y pocaups la cual se
concientizacióntiene para el
administrativo.G6, en caso de
un bajón de
energía, no
alcanza a
soportar con la
1 conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Firewall – saber
qué puertos se
deben bloquear o
permitir, la
forma de
2 interactuar con
ella o es
propietario de
ella, quien tiene
acceso a la
consola de
control.
Equipo Diez código # 43000802-24

licenciado en la software actualización de
empresa dañino los antivirus, ya
1 que son copias
ilegales que no
permiten su
actualización.
2 discos en el
servidor o en los
equipos
Robo de información Falta de Falta de Seguridad
control de controles y lógica
3 acceso en restricciones
internet para el acceso a
internet.
Fallas en el suministro Bajas de Solo existe unos Hardware
de energía voltaje y poca ups la cual se
un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo Once código # 43000802-25

1 que son copias
ilegales que no
permiten su
actualización.
2 discos en el
servidor o en los
equipos
para el acceso a
internet.
un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo Doce código # 43000802-26

licenciado en la software actualización de
empresa dañino los antivirus, ya
1 que son copias
ilegales que no
permiten su
actualización.
2 discos en el
servidor o en los
equipos
para el acceso a
internet.
un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Área de atención al usuario
Equipo Módulo 1 código atención al cliente

Fuga de información Mal uso del Uso indebido del Seguridad
correo correo de lógica
institucional, electrónico para
ya que no se el envío de
1
utiliza solo información a
para personal externo
comunicación
laboral.
Falta de conocimiento Errores de El personal no Talento
2 de los usuarios en el usuario cuenta con Humano -
tema de seguridad programas de usuarios
informática y de la capacitación y
información formación en
seguridad
informática y de
la información.
Falta de activación del Errores y fallas No trabajar software
paquete de office en el programa adecuadamente
3
atrasando
trabajo
Equipo Módulo 2 atención al cliente

1 de los usuarios usuario en el los datos, o de
sistema software
instalado en el
sistema,
incluyendo
borrado de
archivos.
Equipo Módulo 3 atención al cliente

1 de los usuarios usuario en el los datos, o de
sistema software
instalado en el
sistema,
incluyendo
borrado de
archivos.
2 Fallas en el Bajas de voltaje Solo existe unos Hardware

un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
Equipo oficina principal

1 concientización tiene para el
un bajón de
energía, no
alcanza a
soportar con la
conectividad de
todos los
computadores e
impresoras
multifuncionales
de la empresa
2 No existen Desastres No existen Seguridad
procedimientos para naturales planes de lógica
la administración de debido a contingencia en
la información movimiento caso de pérdidas
telúricos de información y
copias de
seguridad.
Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en
la empresa CAJAMAG agrupados por categorías
N Vulnerabilidad Amenazas Riesgo Categoría

°
1 Uso de software Difusión de Falta de actualización Software
no licenciado en software dañino de los antivirus, ya
la empresa que son copias
ilegales que no
permiten su
actualización.
2 Desastres naturales No existen planes de Seguridad
No existen debido a contingencia en caso lógica
procedimientos movimiento de pérdidas de
para la telúricos información y copias
administración de de seguridad.
la información
3 Intercepción No se utiliza ningún Seguridad
No existe control Modificación sistema de cifrado de lógica
de acceso a la discos en el servidor
información o en los equipos
4 Robo de Falta de control de Falta de controles y Seguridad
información acceso en internet restricciones para el lógica
acceso a internet.
5 Bajas de voltaje y Solo existe una ups Hardware

Fallas en el poca la cual se tiene para
suministro de concientización por el servidor Hp
energía parte del personal Proliant Ml110 G6, en
administrativo. caso de un bajón de
energía, no alcanza a
soportar con la
conectividad de todos
los computadores e
impresoras
multifuncionales de
la empresa
6 Accesos No La no aplicabilidad en Seguridad
No existe un autorizados Firewall – saber qué lógica
firewall activo. puertos se deben
bloquear o permitir,
la forma de
interactuar con ella o
es propietario de ella,
quien tiene acceso a
la consola de control.
7 No se controla los No existe perfiles Modificación sin Seguridad
permisos y de usuario en el autorización de los lógica
privilegios de los sistema datos, o de software
usuarios instalado en el
sistema, incluyendo
borrado de archivos.
8 Ausencia de Desastres naturales No se realizan copias Seguridad

planes para de seguridad de lógica
recuperación de manera periódica de
información la información
sensible en medios
externos.
9 Fuga de Mal uso del correo Uso indebido del Seguridad
información institucional, ya correo de electrónico lógica
que no se utiliza para el envío de
solo para información a
comunicación personal externo
laboral.
10 Falta de Errores de usuario El personal no cuenta Talento
conocimiento de con programas de Humano -
los usuarios en el capacitación y usuarios
tema de formación en
seguridad seguridad informática
informática y de y de la información.
la información
11 Falta de Errores y fallas en No trabajar software
activación del el programa adecuadamente
paquete de office atrasando trabajo
En el cuadro anterior se puede evidenciar que los activos informáticos más
impactados por los problemas detectados inicialmente son: la seguridad lógica, el
talento humano, el software y Hardware.
Objetivo General de la auditoria
 Evaluar la seguridad lógica, el talento humano (empleados, seguridad,

usuarios, empleados área informática), el software instalado y el hardware en
la empresa CAJAMAG Sede Ciénaga Magdalena. Evaluar y conceptuar sobre
control de tecnología relacionada a los diversos procesos operacionales,
misionales y de apoyo de la Contraloría General de la Republica Gerencia
Departamental Colegiada Valle del Cauca, en base a lineamientos y
orientaciones establecidos en el estándar COBIT.
Objetivos específicos
 Objetivo 1: Conocer la seguridad lógica, el talento humano contratado por la

empresa, el software instalado, y el hardware para conocer los problemas
existentes, analizando las vulnerabilidades y amenazas que originan los
riesgos con el propósito de obtener soluciones viables.
 Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se

desarrollan en la auditoria y la asignación de los recursos para cada actividad
en el tiempo, elaborar los instrumentos de recolección de información que
permitan conocer otros riesgos que no han sido detectados inicialmente,
diseñar las pruebas que permitan evidenciar los riesgos, y determinar del
estándar CobIT cuales de los procesos tienen relación directa con el objetivo
general y que serán evaluados.
 Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de

información que se han diseñado para encontrar los riesgos existentes para
los procesos de CobIT relacionados directamente con los activos a evaluar, y
aplicar las listas de chequeo para verificar los controles existentes (seguridad
lógica, el talento humano (empleados, seguridad, usuarios, empleados área
informática), el software instalado y el hardware, posteriormente hacer el
análisis y evaluación de riesgos para determinar las posibles causas que
originan los riesgos y valorar los riesgos por probabilidad e impacto para
buscar las mejores soluciones que permitan mitigarlos.
 Objetivo 4: Determinar los hallazgos encontrados con sus respectivas

pruebas, elaborar el dictamen de la auditoría para cada proceso de CobIT
evaluado que permita medir el nivel de madurez de la empresa, y elaborar el
informe final de los hallazgos encontrados y las recomendaciones de solución
de esos problemas en la empresa.
Alcances de la auditoria
De la seguridad lógica:
Licenciar software que sea ilegal, comprar sus respectivas licencias para un mejor
funcionamiento y así cumplir con los estándares de calidad ya que es una
empresa legalmente constituida y puede ser sancionada.
Del talento humano:
Lograr que el personal este altamente calificado en la empresa de cajamag sede

ciénaga, para cumplir con los procesos a cabalidad por lo tanto este seria uno de
los puntos principales y a su vez con el personal capacitado se prestara un mejor
servicio hacia los afiliados que buscan un servicio de calidad.
De la seguridad física se evaluará:
En este aspecto se evaluará el personal de seguridad privada para que manejen

bien los procesos de entrada y salida del personal afiliado ya que los equipos de
cómputo pueden ser sustraídos por personal no autorizado ya sea para robo de
información o robo de equipos y también se observa que las cámaras de
seguridad no funcionan específicamente las del exterior.
De la red de datos se evaluará los siguientes aspectos:
Se debe mejorar las conexiones de redes ya que estas no cumplen con los
estándares de calidad, los cables están desordenados y eso puede con un tropiezo
de una persona o algo ajeno corte el fluido de red, ocasionando un mal servicio y
molestias a los afiliados.
Metodología de la Auditoria
Para el cumplimiento de los objetivos planteados en la auditoría, se realizarán las
siguientes actividades:
Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los
objetivos planteados, esta se basará y orientará en el estándar COBIT versión
4.1, para la evaluación del hardware de equipos de cómputo, red física, equipos
de protección eléctrica, y seguridad física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los
componentes que motivan esta auditoria con el ánimo evaluar que la planeación y
organización, la adquisición e implementación, la entrega de los servicios
requeridos, el monitoreo y evaluación y demás acciones pertinentes, están en
línea con los objetivos evaluadores de la auditoria, así como también que estos
estén en concordancia con los principios de eficiencia y eficacia.
De acuerdo con lo anterior la auditoria estará conformada por las siguientes fases
y actividades correspondientes:
Fase de la auditoria
Fase Nombre de la fase Actividades
1 Planeación y Solicitud informe de equipos de cómputo,
programación 1 red física, equipos de protección eléctrica, y
seguridad física.
2 Análisis de la información suministrada
3 Diseño del plan de Visitas
4 Mesa de trabajo
Visitas e inspección de las infraestructuras
5
de telecomunicaciones y eléctrica.
Evaluación de la planeación y organización
5.1 de las infraestructuras de
telecomunicaciones y eléctrica.
Evaluación la adquisición e implementación
Ejecución de la 5.2 de las infraestructuras de
2
auditoria telecomunicaciones y eléctrica.
Evaluación la entrega de los servicios
5.3 requeridos de las infraestructuras de
telecomunicaciones y eléctrica.
Evaluación el monitoreo y evaluación de las
5.4 infraestructuras de telecomunicaciones y
eléctrica.
Análisis preliminar de la información
6
recolectada en el desarrollo de la auditoria.
Informe y plan de 7 Mesa de trabajo

3
acción 8 Consolidación del informe de auditoria
Entrega y exposición del informe de
9
auditoría a la gerencia.
1. Investigación preliminar: visitas a la empresa CAJAMAG Sede Ciénaga

Magdalena para determinar el estado actual de la organización, entrevistas con
administradores y usuarios de las redes para determinar posibles fallas,
entrevistas con administrador y usuarios para determinar la opinión frente al
hardware existente y obsolescencia de equipos.
2. Recolectar información: acceso al formato de auditoria para verificar la
existencia del activo.
3. Aplicación de instrumentos: entrevista a la administradora de la sede
brindándome información necesaria
4. Ejecución de las pruebas: se ejecutó una prueba de red a la sala de
informática y esta no respondió ya que el switch que alimenta esta sala esta
deteriorado.
Recursos Humanos
Apellidos y Nombres Roles en la Auditoria

Yonatan Manuel Carillo Líder Auditor
Viviana Mercado Benítez Auditor Junior
Carlos Alberto Vega Auditor Junior
Recursos físicos: la auditoría se llevará a cabo en la empresa CAJAMAG Sede

Ciénaga Magdalena específicamente en el área de las TICs.
Recursos tecnológicos: equipos de cómputo, cámara digital, cámara fotográfica
para pruebas que servirán de evidencia, software para pruebas de auditoría sobre
escaneo y tráfico en la red.
Recursos económicos:
elementos costos Totales

Salario ejecutivo 3.000.000 3.000.000
supervisor
Salarios auditores 1.500.000 4.500.000
(utilitarios) tres 1.000.000 1.000.000
computadores
portátiles
Viáticos para visitas 600.000 1.200.000
Total 9.700.000
Toda auditoría realizada tiene un coste tanto en tiempo como en términos

económicos, esto depende de la entidad, empresa u organización a auditar, para
este caso y por ser la Contraloría General de la República en su Gerencia
Departamental Colegiada del Valle del Cauca. Se requerirán 18 días hábiles,
acciones que comenzarán a realizarse desde el día 16 de abril al 11 de mayo del
presente año, se ha realizado el plan de trabajo para tratar de utilizar solo los
días planificados en un principio y para tratar de realizar la auditoria de una
forma más llevadera. El coste presentado en la anterior tabla es basado en la
infraestructura y los requerimientos de la entidad. Además de la intensidad
horaria necesaria para llevar a cabo la auditoria.
En la anterior tabla de presupuestos de consideró:
 El salario del Ejecutivo Superior y los auditores, corresponde a los

honorarios que reciben los auditores implicados en realizar el
procedimiento teniendo en cuenta los cargos y responsabilidades de cada
auditor.
 Los utilitarios que son los equipos necesarios para llevar a cabo las debidas
revisiones y conclusiones que se puedan sacar del procedimiento. Se
maneja un equipo por auditor porque cada uno tiene a su cargo distintos
sectores de la empresa.
 Los viáticos pueden parecer un poco elevados, pero se consideran justos
puesto que los implicados en el proceso no todos pertenecen a la región en
la cual se encuentra ubicada la entidad auditada.
Aplicación del COBIT 4.1 a la empresa cajamag sede ciénaga.
Los objetivos de control que se evaluaran son los siguientes:
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la

existencia de un diccionario de datos del sistema en la dependencia y las
actualizaciones que se hayan realizado al mismo en las actualizaciones del
sistema de acuerdo con los nuevos requerimientos.
PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de

referencia de los datos, clasificándolos por categorías, y con la definición de
normas y políticas de acceso a dichos datos.
PO2.4 Administración de la integridad de datos: Los desarrolladores de la

aplicación deben garantizar la integridad y consistencia de los datos almacenados
mediante la creación de procesos y procedimientos.
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la
información, los roles, las funciones y responsabilidades, permitiendo el buen
funcionamiento de servicios que satisfagan los objetivos de la Institución.
Los objetivos de control que se evaluarán son los siguientes:
PO4.6 Establecer roles y responsabilidades: Evaluar el comportamiento de los

roles y las responsabilidades definidas para el personal de TI, el área informática
(administradores de la red. administrador de sistema, supervisor de los
indicadores de cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la
responsabilidad para el desempleo de la función de aseguramiento de la calidad
(QA) proporcionando el grupo QA del área informática los controles y la
experiencia para comunicarlos. Además, se debe asegurar que la ubicación
organizacional, la responsabilidad y el tamaño del grupo de QA satisfacen los
requerimientos de la dependencia.
De este dominio se ha seleccionado los siguientes procesos y objetivos de

control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar

disponibles de acuerdo con los requerimientos de la dependencia. Este proceso
cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos
y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo
con los estándares. Esto permite apoyar la operatividad de la dependencia de
forma apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación

de diseño de alto nivel para la adquisición de software, teniendo en cuenta las
directivas tecnológicas y la arquitectura de información dentro de la dependencia.
Tener aprobadas las especificaciones de diseño por la dependencia para
garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas técnicas o lógicas durante el
desarrollo o mantenimiento.
AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos

técnicos del software de aplicación. Definir el criterio de aceptación de los
requerimientos. Aprobar los requerimientos para garantizar que corresponden al
diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias
significativas técnicas o lógicas durante el desarrollo o mantenimiento.
DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la

dependencia se garantice la continuidad de los servicios de TI, para ello es
importante desarrollar, mantener y probar planes de continuidad y así asegurar el
mínimo impacto en caso de una interrupción de servicios TI, esto se logra con el
desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con
entrenamiento y pruebas de los planes de contingencia de TI y guardando copias
de los planes de contingencia.
DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de

continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias de la dependencia y
considerar los requerimientos de resistencia, respuesta y recuperación para
diferentes niveles de prioridad.
DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,

establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario
y de los privilegios relacionados, sean tomados en cuenta por un conjunto de
procedimientos. Debe incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los derechos
y obligaciones relativos al acceso a los sistemas e información del módulo deben
acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de

matrícula necesitan ser evaluados regularmente a través del tiempo para verificar
su calidad y suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad, por tal se evaluará el siguiente proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e

incrementar los niveles de confianza entre la organización, empleados y clientes
con respecto a las operaciones eficientes y efectivas dentro del módulo.
ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar

sus causas raíz subyacentes para establecer acciones correctivas necesarias y
verificar si los resultados de los controles son reportados y analizados
rápidamente, para evitar errores e inconsistencias y que sean corregidos a
tiempo.
CONCLUSIONES
La auditoría es una herramienta que nos permite revisar y evaluar uno o varios
procesos con el ánimo de corregir un error y proponer soluciones para mitigar sus
causas.
Lo ideal para una organización es practicar auditorias informativas en sus

múltiples dependencias y procesos, por lo menos terminada cada vigencia ya que
le permite conocer el estado real de sus procesos y propender a la mejora de
estos.
COBIT es un marco de referencia con el cual se puede comparar los controles de

tecnologías de información con el fin de mejorarlos.
COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y

fortalecer la seguridad de la información en las organizaciones.
BIBLIOGRAFÍA
• Fundamentos Informáticos
Universidad de Cádiz, Servicio de Publicaciones, 1996
• Informática
Instituto Hidrográfico de la Marina, Servicio de Publicaciones de la
Armada, 1990
• Llacer Rubio, Enrique; Informática y Empresa
Editado por la Caja Rural Provincial de Sevilla, 1983
• Santodomingo, Adolfo; Introducción a la informática
Editorial Ariel S.A., 1997
• Thorin, Marc; La Auditoría Informática: métodos, reglas, normas
Ed. Masson, S.A., 1989
Estándar COBIT 4.1
IT Governance Institute. All rights reserved. www.itgi.org, 2007

Plan de Auditoria Cajamag

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Plan de Auditoria Cajamag

Hochgeladen von

Copyright:

Verfügbare Formate

AUDITORÍA DE SISTEMAS

YONATAN MANUEL CARRILLO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

La auditoría a las empresas son un conjunto de actividades que se realizan con el

El proceso de auditoría informática es relativamente nuevo en comparación con

La aplicación de este proceso en nuestro ámbito profesional, nos permitirá

A continuación pretendemos hacer un análisis inicial al proceso de auditoría

 Identificar, conocer y comprender que es la auditoria de sistemas para

 Identificar la importancia de realizar el proceso de auditoría en una empresa u

 Describir de forma general a la empresa CAJAMAG Sede Ciénaga Magdalena y

 Elaborar el plan y programa de auditoria para la empresa CAJAMAG Sede

 LAS PROPUESTAS DE EMPRESA

Yonatan Manuel Carillo: propone la empresa caja de compensación familiar del

Viviana Mercado Benítez: propone La Institución Educativa Técnica Agropecuaria

La Caja de Compensación Familiar del Magdalena Cajamag, es una corporación

Fue fundada en 1957, como entidad prestadora de servicios para contribuir de

Cajamag en cumplimiento de las políticas para la atención integral y social de los

Trabajamos con sensibilidad social por el bienestar de nuestros afiliados, sus

CAJAMAG en el 2021 en cumplimiento de su misión, será reconocida en el

Sensibilidad social: Conciencia de solidaridad y servicio, identificando los

Compromiso: Actitud positiva y responsable por parte del equipo de trabajo de la

Eficiencia: Capacidad de obtener los máximos resultados con la menor cantidad

Responsabilidad Social: Se trata de un enfoque que se basa en un conjunto

Transparencia: Sinceridad en el actuar, en el pensar y en el decir; conducta y

En el presente plan de auditoria de la sala de sistemas CAJAMAG sede ciénaga,

marca Sistema procesado estado arquitectur código

Equipo uno código # 43000802-15

Equipo Tres código # 43000802-17

Equipo Cuatro código # 43000802-18

Equipo Cinco código # 43000802-19

2 Fallas en el Bajas de voltaje Solo existe unos Hardware

Equipo Siete código # 43000802-21

Equipo Ocho código # 43000802-22

Equipo Diez código # 43000802-24

Equipo Once código # 43000802-25

Equipo Doce código # 43000802-26

Área de atención al usuario

Equipo Módulo 1 código atención al cliente

Equipo Módulo 2 atención al cliente

Equipo Módulo 3 atención al cliente

2 Fallas en el Bajas de voltaje Solo existe unos Hardware

Equipo oficina principal

N Vulnerabilidad Amenazas Riesgo Categoría

5 Bajas de voltaje y Solo existe una ups Hardware

8 Ausencia de Desastres naturales No se realizan copias Seguridad

Objetivo General de la auditoria

 Evaluar la seguridad lógica, el talento humano (empleados, seguridad,

 Objetivo 1: Conocer la seguridad lógica, el talento humano contratado por la

 Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se

 Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de

 Objetivo 4: Determinar los hallazgos encontrados con sus respectivas

Del talento humano:

Lograr que el personal este altamente calificado en la empresa de cajamag sede

De la seguridad física se evaluará:

En este aspecto se evaluará el personal de seguridad privada para que manejen

Informe y plan de 7 Mesa de trabajo

1. Investigación preliminar: visitas a la empresa CAJAMAG Sede Ciénaga

Apellidos y Nombres Roles en la Auditoria

Recursos físicos: la auditoría se llevará a cabo en la empresa CAJAMAG Sede

elementos costos Totales

Toda auditoría realizada tiene un coste tanto en tiempo como en términos

 El salario del Ejecutivo Superior y los auditores, corresponde a los

Los objetivos de control que se evaluaran son los siguientes: