Asignatura

Auditoria de Sistemas

Semana 8
Proceso de Auditoria

Presentado por:
Jeymy Liceth Chaves ID: 496821
Lorena Pineda Luna ID: 496350
Viviana Rincón Bello ID: 496602

Presentado a:
Eduvina Hernández
NRC: 3317

Cundinamarca, Soacha Junio 04 de 2019

 PROCESO DE AUDITORIA

 Alcance
La auditoría se realizará sobre los sistemas informáticos en
computadoras personales que estén conectados a la red interna de la
empresa.

Objetivo
Tener un panorama actualizado de los sistemas de información en
cuanto a la seguridad física, las políticas de utilización, transferencia de
datos y seguridad de los activos.

Recursos
El número de personas que integraran el equipo de auditoria será de
tres, con un tiempo máximo de ejecución de 3 a 4 semanas.
Etapas de trabajo
1. Recopilación de información básica Una semana antes del
comienzo de la auditoria se envía un cuestionario a los gerentes o
responsables de las distintas áreas de la empresa.
2. El objetivo de este cuestionario es saber los equipos que usan y los
procesos que realizan en ellos. Los gerentes se encargaran de
distribuir este cuestionario a los distintos empleados con acceso a
los computadores, para que también lo completen. De esta
manera, se obtendrá una visión más global del sistema.

Es importante también reconocer y entrevistarse con los responsables

del área de sistemas de la empresa para conocer con mayor profundidad
el hardware y el software utilizado. En las entrevistas incluirán:
 Jefe de TI
 Administrador de red
 Analista TI
 INFORME LISTA DE VERIFICACION
ITEM PREGUNTA/ACTIVIDAD/REGISTRO
1 Establecer el avance en cuanto al
procedimiento documentado
a)de asignación de responsabilidad que
garantice TI y los datos están y se
mantienen seguros
2 b)Que la red informática y archivos estén
seguros y solo personal autorizado tiene
acceso a sistemas y archivos
3 c)Que se garantice la integridad de los
archivos cuando se almacenan en
ubicaciones compartidas
4 d)Que cubra gestión de contraseñas y
modo suspensión (rutinas de seguridad)
5 e)Las copias de seguridad y recuperación
de datos
6 Plan documentado de recuperación del
sistema informático en caso de fallas del
sistema que incluya verificaciones
periódicas.
7 4.2Sofware Backup, preguntar que el
sistema (software) se está utilizando para
copiar la información de servidores y la de
estaciones de trabajo y que los centraliza
HALLAZGO
El área cuenta con un documento en
construcción que incluye 20 temas, hasta
el momento se lleva documentado 9/20
(48% de avance). Todo el proceso será
mantenido a parir del mes de septiembre
con ayuda del pasante que asigne el
área.
El capítulo 10 del manual de tecnología
de la información incluye aspectos
relacionados con las normas de
información Company y accesos a
internet donde se busca aclara el manejo
de estas ubicaciones y funcionalidades
como el internet. Con respecto a
accesos en el capítulo se mencionan
permisos a aplicativos, gestión de
contraseñas, perfiles entre otros.
La carpeta company está documentada
como tema 10 en el manual de
tecnologías de información
Capitulo 10, incluye gestión de
contraseñas y se tiene planeado el tema
de modo suspensión, este último aún no
se ha escrito, pero se tiene planteado
para su elaboración.
El manual TI en el tema 9, sobre
respaldo de la información, involucra el
concepto de backups haciendo
referencia al procedimiento de P.SIS 01
Se tiene establecido en el tema 18 como
plan de contingencia, para este aspecto
se está llevando a cabo con el
Administrador de Red quien lo hará
basado en la norma de continuidad de
TI, para que estén alineadas a un
estándar internacional.
Se utiliza el software CobianBackup 11
Gravity en versión de uso libre (gratuito)
para administrar los backups. El
repositorio está configurado con
 en un repositorio particular-Deben usar
Cobian software libre.
8 2 Alcance Verificar que el respaldo
anterior incluya la copia de la sede de
Ecuador.
9 4.3.1.1 Backups de Servidores - Backup
tipo 1 Verificar que los backups se realicen a manera que se va llenando la NAS. La
todos los días al Servidor de Copias.
Verificar la existencia de las copias en
discos BluRay.
10 4.3.2 Backup Usuarios - Tipo 2 Se hace
Backup de Usuarios una vez a la semana.
(excepto portátiles)
11 4.3.2.1 Verificar con el Auxiliar de
Recepción, Asistente de Planeación y Jefe Asistente de Planeación (Daniel Camilo),
de Compras, que el Administrador de Red ni Auxiliar de Recepción (Lorena). Se
haya Informado sobre la finalidad de la
carpeta Backup.
12 Verificar que se tengan las últimas dos
copias de Backup de Usuarios en el
Servidor.
13 Verificar como se esta manejando el
Backup de Portátiles, solicitar listado de
permisos de red, en cuanto a servidores
están respaldados físicamente con UPS
y regulación de voltaje que protege el
hardware. Se reviso programación de
Backup de ING-PRY-AS"
correspondiente a la Asistente de
especificaciones y muestras que se
realiza el día sábado. Se observa el
repositorio NAS Colombia con 7 carpetas
de área, en estas se encuentran los
respectivos backups de usuarios
Por medio de la NAS que maneja el área
de sistemas en Ecuador, se deja allí
respaldo del Backup de usuarios. Sin
embargo no se verifica
Saturar el sistema, los discos se queman
última creación de disco fue a inicios de
esta semana y se envió copia a Punto de
Venta como lo evidencia el correo del 9
de Mayo de 2018 enviado a Liliana
Romero Administradora del PV. Se
Revisa la existencia de los discos BK01-
577 BDS, 580 SAGI y 583 BDS los
cuales incluyen fechas de respaldo
(desde hasta)
Ok, cumple
No se tiene evidencia de la notificación a
observa la divulgación a Jefe de
Compras por medio de Acta de Entrega
de equipo de computo del 30/10/2017
debidamente firmado y con la aclaración
a pie de página sobre la carpeta del
backup.
Se observa que se generan los dos
últimos archivos de usuario. Y se cuenta
con excepciones para archivos de audio
que no son incluidos en el backup
Se lleva listado Control Backup de
usuarios por parte del Administrador de
 personal con portátiles asignados y
verificar sus Backups y que tan antiguos
son.
14 4.5 Verificación de la Información Verificar
el archivo de Excel que lleva el
administrador de Red para verificar los 2
backups de usuarios semanalmente.
Preguntar como valida que la información
que tiene el Backup es laboral.
15 Determinar como el Analista TI, sabe
cuántos archivos DBF y BAK debe haber
en el Backup de servidores y verificar que
se registre la verificación en el formato
F.SIS.001.2 Seguimiento Backups.
16 4. Solicitar la carpeta de Solicitudes de
Desarrollo F.SIS.002.8, seleccionar 3
casos cerrados aleatorios (uno de nuevo
desarrollo y dos de modificaciones) y
verificar que estén completa y
correctamente diligenciados
(Cumplimiento BPD).
17 4.6Verificar que los 3 casos seleccionados
estén aprobados por un Gerente o el Jefe
de Sistemas
18 4.8Verificar que al terminar los desarrollos
se hayan enviado los correos informativos
al mismo y que la fecha de esa
notificación coincida con la fecha de
entrega en el formato
19 Preguntar porque no hay conexión del el
Instructivo de Solicitud de Desarrollos
hacia el Instructivo de Verificación y
Validación del software.
20 4.2Verificar el diligenciamiento de la
Red, en donde se tiene el inventario de
los usuarios con portátil, incluye la última
fecha de backup, tamaño del backup y
disco externo en donde se graba.
Se cuenta con archivo de Excel control
backup de usuarios hoja Usuarios donde
se puede observar que por medio de
"OK" se garantiza que el Backup haya
sido realizado, sin embargo de acuerdo
al área este no corresponde al archivo
mencionado en el procedimiento sino
que debería corresponder al F.SIS.001
ya que el Excel es un control interno.
No se hace en ecuador ni para usuarios
ni para Servidores. En Colombia si se
realiza ejemplo: 9 de mayo verificación a
8 discos Blue Ray determinados como
Backup buenos. Colombia Cumple.
Cumplen 1203 modificación solicitada y
aprobada por Gloria Angulo el 30 de abril
de 2018 y 1204 Nuevo Desarrollo
solicitado y aprobado por Jose Alejandro
Arango el 2 de mayo. En el caso de
solicitud 1206 modificación solicitada y
aprobada por Yenny Barrera el 3 de
mayo de 2018 se observa que no hay
fecha de entrega diligenciada y en el
numeral 2 estructura de datos no se
anularon los espacios en blanco que
quedaron (5 filas en 6 columnas sin
usar).
Cumplen 1203, 1204 y 1206
No se encontró correo de notificación de
entrega del desarrollo de la Solicitud
#1203. En el caso de la 1204 se observa
correo enviado el 8de mayo pero caso
entregado en formato el 4 de mayo
Porque el primer documento que nació
fue el de solicitud de desarrollo y
posteriormente nació el de validación
que si referenciaba a el de desarrollo.
Ok, cumple.
 pagina 2 del formato de Solicitud de
Desarrollo en Sistemas F.SIS.002.8 para
los 3 casos seleccionados
21 Evidenciar que se solicite al Jefe de Se solicita via mail, 1203 cumple, 1204
Sistemas los archivos fuente con la una inconsistencia fuentes solicitadas el
relación de la SD que van a trabajar. 7 de mayo pero el desarrollo se había ya
Evidenciar que se hayan hecho los entregado (4 de mayo) sin embargo al
cambios en los archivos fuente del revisar la información del correo del
sistema. Analista TI, se observa que fue enviado
en las fechas establecidas Cumple. 1206
cumple.
22 Preguntar como que da evidenciado que Se registran las pruebas en el numeral 4
las pruebas en los archivos modificados del formato de Solicitud de desarrollo, en
han sido corridas en el ambiente de los casos revisados se describe la
pruebas. Que pruebas se hicieron? Qué revisión genera que se llevo a cabo en
resultados tuvieron? ambiente de pruebas
23 4.3Como dejan evidencia de las pruebas No se puede observar en los casos
cruzadas en la validación con respecto a analizados contra que fuentes de
otras fuentes de información?, que información adicional se realizaron las
registran sobre esto en el formato Solicitud pruebas cruzadas
de Desarrollo en Sistemas F.SIS.002.8?
Que otras fuentes de información fueron
usadas y que fue lo que se comparo?
24 Solicitar las Solicitudes de Servicios TI No se está llevando a cabo el proceso
F.SIS.005.1 que tengan en el área. establecido.
25 Qué pasa cuando la Solicitud no es No se está llevando a cabo el proceso
autorizada? Que sucede con el establecido.
documento? Se le notifica al solicitante la
no autorización de la Solicitud? El
instructivo no lo determina
26 Que sucede si el Gerente Financiero no No se está llevando a cabo el proceso
esta disponible para autorizar una establecido.
Solicitud?, no existe un suplente
27 Que evidencia queda de la ejecución o No se está llevando a cabo el proceso
realización de la Solicitud?, quien la establecido.
ejecuto? Cuando se ejecuto? Que sucede
si no se pudo realizar la solicitud
completa?
28 Como se notifica al Usuario solicitante que No se está llevando a cabo el proceso
la Solicitud fue ejecutada, que evidencia establecido.
queda?
29 GH preguntar si se notifico a sistemas las Se han recibido las notificaciones
salidas de Adriana Mendivelso Abr 13 6:04 correctamente en los casos revisados.
pm, Augusto Ferneys abril 3 01:1 1pm,
 preguntar por los correos electrónicos de
las ultimas notificaciones que han recibido
en sistemas(Jefe TI y Administrador de
Red) sobre retiro de personal
30 Solicitar el checklist de entrega de puestos
que se utilizo para cancelarlos accesos
que tenia la persona.
31 Verificar que se hayan cancelado los
permisos en Administrador de Red:
dominio y correo; Analista TI: aplicativos
de la empresa. Como se entrara la
Analista TI del retiro de la persona? No
está copia da en el correo de notificación.
32 Que evidencia queda de la notificación al
Jefe de Sistemas sobre la ejecución de la
cancelación de los permisos del usuario
retirado?
33 Verificar que no hayan pasado 4 horas
hábiles para la cancelación de los
permisos, contados desde la notificación
de GH.
34 Solicitar la carpeta en donde el Jefe TI
archiva los Checklist de entrega de
puestos y preguntar en qué consiste la
validación que hace el Jefe TI.
35 Si la persona retirada, tenía a su cargo
equipos o hardware de TI, como controlan
su correcta entrega? Como saber que
elementos tenia asignados?, mouse,
portátil, cable adaptador de video, etc.
Se observa aplicación de checklist para
Augusto Abril 30 y Adriana Mendivelso
abril 16 Cumple.
Se entera mediante copia del correo que
se envía desde la Jefe de Sistemas
Se observo que en uno de los dos casos
revisados no hubo retroalimentación al
jefe de sistemas sobre la ejecución de la
cancelación de permisos.
Se observa que en el caso de Augusto
se corrió el proceso en 49 minutos luego
de la notificación.
No se está entregando al Jefe TI el
checklist de entrega de puesto por lo
tanto no hay validación. Se observa que
la información esta archivada en medio
magnético en la unidad Drive de Google
del usuario del Jefe de TI.
Se lleva el checklist de entrega después
toque incluye hardware y equipos que se
le ha entregado al usuario,
 INFORME DE AUDITORIA

Fecha Informe Fecha

Añ Mes Dí
Financiera & Administrativa - Sistemas
Auditoria o a
20 5 31
Duración de la
18
auditoria 20 5 31
Sistemas - Tecnología de la Información 18
OBJETIVO DE LA Hor Día
AUDITORIA 3,5 as s
Realizar seguimiento al funcionamiento del Sistema de Gestión de la Compañía con base en la
normas ISO 9001:2015 e ISO 15378:2015 y los procesos establecidos y documentados en el
área.
ALCANCE DE LA
AUDITORIA
Aplica para los procesos de control de sistemas informáticos software y hardware de la compañ
con base en las normas referenciadas en el Objetivo de la Auditoria y los procedimientos del
área.

Adicionalmente verificación de cumplimiento de requisitos 7.1.3 de la norma ISO 9001:2015 y

4.2.1.1 - 6.5.4 - 7.5.2.7 - 7.5.2.8 - 7.5.2.9 de la norma ISO 15378:2015.
AUDITADOS
NOMBRE CAR NOMBRE CAR
GO GO
Yenny Esperanza Jefe TI ---- ----
Barrera
Daniel Camilo Administrador de ---- ----
Velasquez Red
Gloria Astrid Escobar Analista TI ---- ----
---- ---- ---- ----
ASPECTOS POSITIVOS ASPECTOS POR MEJORAR
* Dentro del manual de seguridad, se tiene No Aplica.
planteado el tema de educación de usuarios
y campañas vía correo demostrando el
interés del área no solo por determinar
sistemas de bloqueo y seguridad en equipos
y software sino también en guiar a los
usuarios al correcto uso de la Tecnología de
la Información.
* Cordialidad y honestidad de los auditados
al reconocer los incumplimientos
encontrados durante la auditoria.

REPORTE DE
 HALLAZGOS
TIP Cons Rein
IT DESCRIP O
EM CIÓN N O ecu d
C tivo n
SA a
GI d
No se tiene evidencia de la notificación al Asistente de
Planeación (Daniel Torres), ni Auxiliar de Recepción
(Lorena Suarez) sobre el uso y finalidad de la carpeta
Backup, asi como también se evidencio que el
1 procedimiento no tiene alcance en su ejecución real a la X
sede de Ecuador ni para usuarios ni para Servidores ya
que no cuentan con la evidencia; todo lo anterior incumple
lo establecido en el numeral 4.3.2.1 del procedimiento de
Backups P.SIS.001.17 y el numeral 7.5.2.9 sobre
Protección de Registros Electrónicos de la norma ISO
15378:2015, generando el riesgo de pérdida de
información en los equipos de estos
usuarios.
Se cuenta con archivo de Excel control Backup de
usuarios hoja Usuarios, donde se puede observar que por
medio de un "OK" se garantiza que se verifico que el
2 Backup ha sido realizado, dicho documento tiene registro X
de todos los equipos e incluye unos pendientes “P”, que
están incluso desde el mes de enero, aparentando que
dicho Backup no fue realizado. Adicionalmente el área
argumenta que ese archivo no es al que querían referirse
en el procedimiento sino que debería remitir al formato
F.SIS.001 ya que el Excel es un control interno se
observa si una inconsistencia en el procedimiento de
Backusp que puede afectar posteriormente el numeral
7.5.2.9
En el caso de la Solicitud de Desarrollo # 1206
modificación solicitada y aprobada por Yenny Barrera el 3
de mayo de 2018 se observa que no hay fecha de entrega
diligenciada en el formato, adicionalmente, en el numeral
2 Estructura de Datos no se anularon los espacios en
3 blanco que quedaron (5 filas en 6 columnas sin usar) X
incumpliendo con las Buenas Practicas de
Documentación establecidas por la Compañía en el
procedimiento de Control de Registros P.ISO.003.9
afectando la trazabilidad. Adicionalmente, no se encontró
correo de notificación de entrega del desarrollo de la
Solicitud # 1203 al usuario solicitante, incumpliendo lo
establecido en el instructivo I.SIS.001.8 Solicitud
 Desarrollo en Sistemas afectando igualmente la
trazabilidad del proceso.
No se puede observar en los casos analizados evidencias
acerca de contra que fuentes de información adicional
fueron realizadas las pruebas cruzadas que se mencionan
4 en el procedimiento I.SIS.002.3A Verificación y Validación X
de Software, de esta manera no es posible saber si el
cruce se realizó o no incumpliendo el procedimiento en sí
y lo establecido en la norma ISO 15378 # 7.5.2.7 y 7.5.2.8
con el objetivo de
garantizar la integridad de la información.
No se está llevando a cabo el proceso establecido en el
documento I.SIS.006.1 Solicitud de Servicios TI.
5 Generando incumplimiento a todo el documento y el X
riesgo de no tener una metodología unificada en los
servicios de Tecnología de la Información que asegure la
estandarización.
Se observó que en uno de los dos casos revisados en la
muestra, no hubo retroalimentación al Jefe de Sistemas
sobre la ejecución de la cancelación de permisos,
6 adicionalmente no se está entregando al Jefe TI el X
Checklist de Entrega de Puesto por lo tanto no hay
validación, incumpliendo lo establecido en el instructivo
I.SIS.007.1 Cancelación de
Permisos para Usuarios y generando el riesgo de
afectación de la integridad y seguridad de la información.
Total 4 2
 NC: No Conformidad O: Oportunidad de Mejora

AUDITOR AUDITOR ASISTENTE AUDITADO

PRINCIPAL
NOMB Lorena Pineda Viviana ---- Yenny Barrera
RE: Luna Rincon
CARG Jefe Sistema de Aux ---- Jefe TI
O: Gestión Auditoria
- ----
FIRMA: -
-
-

Recibe SG: Andrés Sánchez. Año M D

es ía
Fecha de Recibo SG:
2019 06 03
 Identificación del riesgo Calificacion del riesgo Valoracion del Riesgo

EVA LUA CION GRA DO DE

EFICA CIA VA LORA CION DEL
A CTIVO RIESGO CA USA S CONSECUENCIA S PROBA BILIDA D IMPA CTO DEL RIESGO EXPOSICION
CONTROL CONTROL
(RESIDUA L)

D A T O S / IN F O R M A C Iò N
Perdida o
corrupcion de
1 20 20 MEDIO 4,00 5,00
datos
sistematizados
Perdida de la
Afectacion de la informacion y
Insuficiencia en el
integridad de los posibles ataques a
aseguramiento de 2 15 30 BAJO 2,00 15,00
datos la integridad de los
la base de datos
datos

Niveles de la
seguridad de la
2 18 36 BAJO 2,00 18,00
informacion
inadecuada

Uso del software

por usuarios no 1 15 15 MEDIO 4,00 3,75
autorizados
Control de acceso
inadecuado, Uso
SOFTW ARE

Manipulacion de impropio no
equipo controlado, 1 30 30 BAJO 2,00 15,00
Afectacion del
contraseñas no
Software, ataque, informatico
protegidas, claves,
mala
certificados,
administracion,
administracion
degradacion
Exposicion de deficiente de
3 16 25 MEDIO 1,00 25,00
contraseña contraseñas,
corrupcion de datos
.

Perdida de
1 17 18 MEDIO 1,00 18,00
confidencialidad
C O M U N IC A C IO N E S P E R S O N A L

Falta de
definicion del Manejo inadecuado
perfil, privilegios y de la informacion, 2 20 20 ALTO 1,00 20,00
Personal restricciones del ejecuccion de
inadecuado que personal procesos
opere, desarrolle
Falta de erradamente, virus
y administre el
definicion de ejecuccion no
sistema
politica y autorizada de 2 25 25 ALTO 1,00 25,00
seguridad programas
corporativa

Lineas de
comunicación no 3 10 30 BAJO 2,00 15,00
Intercepcion de protegidas
informacion por
No disponibilidad
personas no
de red e infiltracion
autorizadas, con
de las
fallas en la
comunicaciones
disponibilidad del proteccion
servicio inadecuada de 2 15 30 BAJO 2,00 15,00
trafico sensible

EFICACIA DEL CONTROL VALORACION DEL RIESGO

ALTO 4 NIVEL DE RIESGO INHERENTE CALIFICACION
MEDIO 3 EXTREMO 41 A 75
BAJO 2 ALTO 21 A 40
INEXISTENTE 1 MODERADO 11 A 20
BAJO 1 A 10
P r o b a b ilid a d d e

Valor Descripción VALORACION DEL RIESGO

o c u r r e n c ia

1 Baja, no hay historial y es raro que la amenazas ocurra. NIVEL DE RIESGO RESIDUAL CALIFICACION

2 Media, se han presentado casos y puede ocurrrir la amenaza. EXTREMO 41 A 75

Alta, se han presentado suficientes casos y la amenaza seguramente

3 ocurrirá. ALTO 21 A 40

MODERADO 11 A 20
BAJO 1 A 10
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3
BAJO 2
NULO 1
 EFICACIA DEL CONTROL VALORACION DEL RIESGO
ALTO 4 NIVEL DE RIESGO INHERENTE CALIFICACION
MEDIO 3 EXTREMO 41 A 75
BAJO 2 ALTO 21 A 40
INEXISTENTE 1 MODERADO 11 A 20
BAJO 1 A 10

Valor Descripción VALORACION DEL RIESGO

1 Baja, no hay historial y es raro que la amenazas ocurra. NIVEL DE RIESGO RESIDUAL CALIFICACION
Probabilidad de
ocurrencia

2 Media, se han presentado casos y puede ocurrrir la amenaza. EXTREMO 41 A 75

Alta, se han presentado suficientes casos y la amenaza seguramente

3 ocurrirá. ALTO 21 A 40

MODERADO 11 A 20
BAJO 1 A 10
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3
BAJO 2
NULO 1
 ANALISIS DE AUDITORIA

De acuerdo a los hallazgos encontrados en la compañía INTECPLAST S.A.S. y

teniendo en cuenta el área auditada Sistemas- Tecnología de la información,
podemos evidenciar que existen algunas falencias por parte del personal a cargo
en diferentes aspectos, el primero es que no se están notificando los procesos
determinados para el mejoramiento o el control del riesgo en cuanto a Backup de
la información se trata, de igual manera no está haciendo el procedimiento desde
hace algún tiempo, según lo evidencia el registro , estos pasos que son muy
sencillos y no por eso menos importantes. Si estos pasos no se tienen en cuenta
se está incumpliendo en lo establecido en los numerales 4.3.2.1 del procedimiento
de Backup P.SIS. 001.17 y el numeral 7.5.2.9 sobre protección de registros
electrónicos de la norma ISO 15378:2015 lo cual conlleva a la perdida de
información.

Por otro lado hay formatos de entrega sin diligenciar y renglones en blanco sin
anular, lo cual incumple con buenas prácticas de documentación establecidas lo
cual afecta la trazabilidad en la compañía.
Por lo anteriormente mencionado podemos evidenciar que se están omitiendo
medidas establecidas en la empresa a lo cual se recomienda tener en cuenta los
procedimientos a seguir guiándose por las normas ya establecidas, sin omitir
ninguna de ellas para evitar futuros inconvenientes.