Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2
AUDITORIA DE SISTEMAS
CODIGO: 90168A
Tutora:
CARMEN EMILIA RUBIO
GRUPO: 90168_42
90168_42
INTRODUCCION
En el presente trabajo queremos dar a conocer la gran importancia que tiene el aplicar las normas
COBIT en una auditoria de sistemas, rigindonos a los procesos implementados en el mismo y
teniendo en cuenta cada uno de los objetivos de control all manejados. Al realizar un estudio
terico de dichos procesos cada integrante del grupo se responsabiliz de desarrollar un anlisis
de la situacin actual por la que atraviesa la empresa SaludCoop IPS seccional Codazzi en su
rea de sistemas en el cual diseamos y aplicamos los instrumentos de recoleccin de
informacin necesarios para los procesos seleccionados: Plan estratgico de TI (PO1),
Adquisicin y mantenimiento de la infraestructura tecnolgica (AI3), Monitorear los procesos
(M1), donde aplicamos los siguientes instrumentos: entrevistas, listas de chequeo, formatos de
visitas etc, los cuales nos sirvieron de base para realizar un anlisis y evaluacin de los riesgos a
los cuales est expuesto el centro de cmputo de esta organizacin.
GRUPO:
90168_42
OBJETIVOS
OBJETIVO GENERAL
Realizar una auditoria informtica para SALUDCOOP IPS seccional Codazzi, en el rea
de sistemas, teniendo en cuenta los procesos y objetivos de control incluidos en el
COBIT, analizando y evaluando los riesgos a los que est sometida esta sede por la falta
de tecnologas de informacin.
OBJETIVOS ESPECIFICOS
de riesgos.
Conocer las fases y metodologa a seguir para una auditoria informtica.
Disear instrumentos para llevar a cabo una auditoria de sistemas (formatos de
causa que los origina, los recursos afectados y el tratamiento de los mismos.
Conocer la norma COBIT sus procesos, dominios y objetivos que control que lo
conforman aplicndolos en la auditoria de sistemas.
GRUPO:
90168_42
ENTIDAD AUDITADA
SaludCoop
PAGINA
1 DE
1
PROCESO AUDITADO
PLAN ESTRATEGICO DE TI
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO (PO) PLANEACION Y
PROCESO
(PO1) DEFINICION DE UN PLAN
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Alineacin de TI con el negocio
PREGUNTA
SI
NO
1. Se ha realizado una planificacin X
estratgica
de
las
TI
en
OBSERVACIONES
la
organizacin?
2. Estn alineadas las estrategias de
TI y del negocio?
3. la empresa est alcanzando un uso
TI se refiere?
4. Todos los funcionarios entienden
las TI.
Muchos de los funcionarios no tienen conocimiento aun
de lo que significan las TI en el buen desempeo de los
implementados en la sede?
5. Es apropiada la calidad de los
de
las
tecnologas
de
informacin?
7. Se ha realizado algn estudio de
planificacin del posible efecto de
las cargas normales de trabajo y los
GRUPO:
90168_42
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
7
MARYERI GUTIERREZ CLAVIJO
SaludCoop
PAGINA
1 DE 1
AUDITADA
PROCESO
PLAN ESTRATEGICO DE TI
AUDITADO
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Evaluacin del desempeo y la capacidad actual
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con los implementos
X
Tienen sobrecarga de trabajo por falta de los
tecnolgicos suficientes para brindar
2. se
han
adoptado
medidas
de
GRUPO:
90168_42
la IPS?
3. Existe
un
programa
de
de la Sede.
centro de cmputo?
6. es revisado el inventario de los
activos pertenecientes a las TI?
7. Se cuenta con procedimientos
nuevos equipos?
8. La
capacidad
actual
de
de
cmputo
son
las
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
4
8
MARYERI GUTIERREZ CLAVIJO
90168_42
ENTIDAD
SaludCoop
PAGINA
1
AUDITADA
PROCESO
PLAN ESTRATEGICO DE TI
AUDITADO
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Plan estratgico de TI
PREGUNTA
SI
NO
1. Existe definido un plan estratgico
tecnolgico para la empresa?
2. la
organizacin
implementados
X
tiene
procesos
de
presupuestaria
oportunidades
tecnologas
que
las
brindan
las
existentes
emergentes?
3. la IPS tiene bien identificados las
necesidades en trminos de TI
asociadas a la visin global?
4. La estructura de la organizacin
informtica es la adecuada para
brindar un servicio de alta calidad?
5. La ips tiene bien definida su
con
una
infraestructura de TI confiable y
segura que mejore la productividad
de la organizacin?
GRUPO:
DE
90168_42
OBSERVACIONES
internos
que
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
3
7
MARYERI GUTIERREZ CLAVIJO
ENTREVISTA No. 1
Entidad Auditada: SaludCoop
Oate
rea
Evaluada:
tecnolgicos
GRUPO:
90168_42
Centro
de
servicios
1. Considera usted que los activos disponibles en la IPS son los adecuados para desarrollar
sus quehaceres diarios?
Rta. Para el desarrollo de nuestros quehaceres diarios considero que no contamos con los suficientes
equipos para brindar un buen servicio, puesto que en algunas ocasiones nos toca tomar estrategias entre
los mismos compaeros, haciendo prstamo de los equipos para desarrollar una labor determinada,
contamos con un solo scanner lo que dificulta las tareas que cada funcionario debe realizar con el mismo
y se nos acumula trabajo por este inconveniente. Otro inconveniente que tenemos es que al momento de
que falle algn activo no tenemos como realizar un cambio inmediato dependemos de nuestra regional
Barranquilla para el envio de los mismos, lo que se dificulta porque los envios son bastante tardos ya
que somos muchas ips que dependemos de esa regional, hemos durado sin equipo en una seccin hasta
un mes.
2. Cubre sus necesidades el sistema que utiliza el centro de servicios de cmputo de la sede?
No las cubre ( ) Parcialmente ( ) La mayor parte
Rta. Para mi pensar el sistema de informacin con el que contamos es muy completo, cubre las
necesidades de los requerimientos de nuestros usuarios, lo que se nos dificulta con el mismo es que se
cae constantemente, lo que genera inconformidad en los usuarios y perdida de tiempo para nosotros
puesto que despus de atendido el usuario debemos ingresar la informacin que quedo por fuera del
sistema, lo que genera en los funcionarios mal ambiente laboral.
GRUPO:
90168_42
servicio de movistar para manejar la intranet el cual es bastante lento y se cae la pgina lo que genera
inconformidad en los usuarios al momento de recibir nuestros servicios
ENTREVISTA No. 2
Entidad Auditada: SaludCoop
Oate
rea
Evaluada:
Centro
tecnolgicos
de
servicios
Rta. Nosotros solo informamos a nuestra regional cuando algo anda mal, de esta forma ellos mismos
toman la decisin pertinente, de realizar cambios o arreglos en los equipos, en la red, el software etc.
2. La medicin del desempeo garantiza la efectividad en los procesos productivos y la
calidad del servicio?
Rta. S, porque cuando algo falla el departamento de tecnologa Heon mantiene muy pendiente de
arreglar el caso, si es por cadas de mdulos, red etc., cuando el inconveniente es por hardware ah es
GRUPO:
90168_42
donde tenemos la debilidad que no contamos con un cambio inmediato pero en cuanto nos solucionan el
envio el equipo que llega es bastante til y supera todos los obstculos que anteriormente mostraban
fallas.
Rta. Bueno!, porque como lo dije anteriormente el hecho de que tengamos que depender de una regional
nos dificulta mucho solucionar inconvenientes que en algunos casos son superficiales pero como en la
sede no contamos con el personal idneo para la solucin de los mismos entonces nos toca esperar
mucho tiempo en algunos casos para poder dar solucin a los obstculos presentados.
ENTREVISTA No. 3
Entidad Auditada: SaludCoop
Oate
rea
Evaluada:
tecnolgicos
GRUPO:
90168_42
Centro
de
servicios
1.
Rta. Pienso que esta es una entidad reconocida por lo que su alta gerencia siempre va en pro del
desarrollo de la misma, entonces considero que este plan si cuenta con las ventajas de la nueva
tecnologa de informacin.
Rta. Cada seis meses de la regional estn enviando un analista de sistemas que se encarga de realizar la
revisin de este plan y observa los riesgos a los cuales estamos expuestos en el momento y se encarga de
realizar cambios y modificaciones al mismo dependiendo de las necesidades del momento.
90168_42
REDES
HARDWARE
Desabastecimiento de hardware
SOFTWARE
GRUPO:
90168_42
Mutacin de los virus y traspaso de estos por los mismos usuarios al momento de
conectar USB, discos duros etc.
SEGURIDAD LOGICA
COMUNICACIONES
SEGURIDAD FISICA
SERVIDORES
GRUPO:
90168_42
Perdidas econmicas
Perdida de informacin
CUENTAS DE USUARIOS
VALORACION DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro del rea de sistemas de la IPS
SaludCoop Codazzi, para ello se realiza la siguiente tabla 1 donde se valoran los riesgos para su
posterior clasificacin.
GRUPO:
90168_42
REDES
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
R1
R2
red
R3
Fuga
de
informacin
por
posible
implantacin de malware
R4
equipos
R5
HARDWARE
RIESGOS/VALORACION
R6
GRUPO:
90168_42
PROBABILIDAD
A
X
IMPACTO
L
C
X
R7
Desabastecimiento de hardware
R8
RIESGOS/VALORACION
R9
R10
PROBABILIDAD
A
IMPACTO
L
X
X
manejada en la empresa
R11
R12
SEGURIDAD LOGICA
RIESGOS/VALORACION
R13
PROBABILIDAD
A
IMPACTO
L
COMUNICACIONES
GRUPO:
90168_42
PROBABILIDAD
RIESGOS/VALORACION
R15
IMPACTO
lneas telefnicas
R16
SEGURIDAD FISICA
PROBABILIDAD
RIESGOS/VALORACION
R17
IMPACTO
C
X
huellero digital )
SERVIDORES
RIESGOS/VALORACION
R19
GRUPO:
90168_42
Perdidas econmicas
PROBABILIDAD
A
B
X
IMPACTO
L
X
R20
Perdida de informacin
CUENTAS DE USUARIOS
PROBABILIDAD
RIESGOS/VALORACION
R21
IMPACTO
L
de datos
R22
R23
PROBABILIDAD
ALTA: A
MEDIA:
IMPACTO
GRUPO:
90168_42
BAJA: B
LEVE: L
MODERADO: M
CATASTROFICO:
MATRIZ DE RIESGOS
De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiz a la IPS
SaludCoop Codazzi, en el rea de sistemas podemos clasificar los riesgos como se muestran en la tabla
2.
LEVE
MODERADO
ALTO
CATASTROFICO
R4-R5-R6-R8-R13-R14R15-R16-R17
MEDIO
BAJO
R7-R9-R12-R18
R1-R2-R3-R10-R11-R19R20-R21-R22-R23
GRUPO:
90168_42
HALLAZGOS.
No. H1
GRUPO:
90168_42
HALLAZGOS
No. H2
Centro de servicios tecnolgicos
R/PT: P1
Hallazgos de la Auditora
H1
Dominio
PLANEACION Y ORGANIZACIN (PO)
Proceso
PO1 Definicin de un plan estratgico de TI.
Objetivo de Control
Evaluacin del desempeo y la capacidad actual
Riesgos Asociados
R4-R5-R6-R8-R13-R14-R15-R16-R17- R7-R9-R12-R18
Descripcin
GRUPO:
90168_42
Recomendacin
El rea administrativa de la sede, debe solicitar a la directiva de su regional los equipos de
cmputo necesarios para brindar un mejor servicio al usuario, aislar los activos tecnolgicos de
terceras personas para que estos no vayan a ser hurtados e implementar medidas de prevencin
con mantenimiento de los mismos para que estos puedan tener una vida til mas larga.
Causa
La falta de coordinacin de la IPS y la negligencia de parte de la alta gerencia.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrofico.
GRUPO:
90168_42
ENTIDAD
SaludCoop
1
AUDITADA
PROCESO
Monitoreo de procesos
AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Definicin y recoleccin de datos de monitoreo
PREGUNTA
SI
NO
1. La organizacin utiliza algn X
software para la recoleccin de
GRUPO:
PAGINA
DE
1
90168_42
OBSERVACIONES
se
hace
semanalmente?
7. Se ha planteado alguna estrategia
administracin o gerencia.
Los actuales sistemas resultan eficaces y ya se paga
licencia de uso
sistema de informacin?
TOTALES
TOTAL CUESTIONARIO
2
7
AUDITOR RESPONSABLE
Joann Quintero Quintero
GRUPO:
90168_42
ENTIDAD
SaludCoop
1
AUDITADA
PROCESO
PAGINA
DE
1
Monitoreo de procesos
AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Respaldo y restauracin
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con un plan de X
Se utiliza servidores para copias de seguridad.
prevencin
restauracin
ante
desastres?
2. La IPS cuenta con un servicio
externo
de
respaldo
informacin?
3. La IPS realiza
coipas
de
de
la
peridicamente
seguridad
la
informacin?
4. Se establece la utilidad de discos
GRUPO:
90168_42
TOTALES
TOTAL CUESTIONARIO
1
6
AUDITOR RESPONSABLE
Joann Quintero Quintero
GRUPO:
90168_42
ENTIDAD
SaludCoop
PAGINA
1
AUDITADA
PROCESO
DE
Monitoreo de procesos
AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Requerimientos de seguridad para la administracin
PREGUNTA
SI
NO
OBSERVACIONES
1. Existe un plan estratgico de
seguridad de la informacin?
2. Las cuentas de usuario
X
son
sistemas?
3. Los usuarios tienen restricciones el
manejo de la informacin?
4. Los usuarios que ya no trabajan en
una
X
X
seguridad
de
la
red
la
proteccin de la informacin?
7. Recientemente se han adoptado
informacin?
TOTALES
TOTAL CUESTIONARIO
2
7
AUDITOR RESPONSABLE
Joann Quintero Quintero
GRUPO:
90168_42
ENTREVISTA No. 1
Entidad Auditada: SaludCoop EPS
Quintero
rea
Evaluada:
tecnolgicos
Centro
de
servicios
4. Considera usted que la organizacin realiza anlisis con datos actualizados para la toma de
decisiones?
Rta. La generacin de reportes es muy asertiva en el sentido en que la informacin se toma en tiempo
GRUPO:
90168_42
real, facilitando que los datos sean fiables para la toma de decisiones.
5. Considera usted que el personal de la empresa se encuentra capacitado para interpretar los
datos a travs de hojas de clculo? Por qu?
Rta. Pienso que falta ms capacitacin, en cuanto al manejo de tablas dinmicas y grficos. Deberan
programarse capacitaciones donde los usuarios finales puedan reconocer la importancia y uso de estas
herramientas para el tratamiento de la informacin.
Rta. Aunque podra implementarse otras tecnologas, representara gastos adicionales, puesto que las
herramientas actuales son muy precisas y veraces en el manejo de la informacin.
ENTREVISTA No. 2
Entidad Auditada: SaludCoop
GRUPO:
90168_42
Quintero
rea
Evaluada:
Centro
de
servicios
tecnolgicos
Rta. Se pueden usar otras tecnologas como el Software de rplica sincrnico, y Backups remotos de
reserva.
5. Cul cree usted que sera el plan de configuracin ms apropiado ante desastres?
GRUPO:
90168_42
ENTREVISTA No. 3
Entidad Auditada: SaludCoop
Oate
rea
Evaluada:
tecnolgicos
4.
Centro
de
servicios
Rta. Tengo conocimiento de algunos parmetros y plan estratgico de seguridad informtica, en lo que
respecta a la seguridad de los recursos tecnolgicos y software.
GRUPO:
90168_42
Rta. Las transacciones bancarias siempre se realizan desde el mismo equipo, aunque cuenta con su
software de antivirus y herramientas de proteccin de firewall, no considero adecuado realizar siempre
estos procesos en una misma terminal.
GRUPO:
90168_42
Nmero del
Dominio
dominio
Cantidad y nmero del objetivo de
Obj. de control
control
Cantidad y nmero de controles por cada
Controles
objetivo
Proporciona informacin sobre la obligatoriedad de implementar o
Orientacin
no el control
Breve descripcin de cada objetivo de control agrupndolos por
Descripcin
dominio
Peso del
PD
NC.D
dominio
Nivel de cumplimiento del dominio
Peso del
PO
NC.O
objetivo
Nivel de cumplimiento del dominio
PC
GRUPO:
90168_42
Alto
cumplimiento
Entre el 30 y 69 % de
NC.C
control
Medio
cumplimiento
Por debajo del
Escala
Bajo
30%
Dominio
Objetivo
s de
Controle
s
Control
1
5
2
1
GRUPO:
90168_42
% de cumplimiento de la norma
Orientaci
Descripcin
POLTICA DE SEGURIDAD
Debe
informacin
Debe
11
8
NC.
PD
NC. D
1,5
27,5
PO
PC
Escal
a
100
100
8,27
NC. O
27,5
100
28,64
72,73
23,64
50
25
25
50
30
30
Dominio
Objetivo
s de
Debe
informacin
9,09
20
20
Debe
9,09
35
35
Debe
de la informacin
Proceso de autorizacin para instalaciones de
9,09
Debe
procesamiento de informacin
9,09
60
60
Debe
Acuerdos de confidencialidad
9,09
40
40
Puede
9,09
25
25
Puede
9,09
65
65
informacin
9,09
10
10
Puede
Terceras partes
Identificacin de riesgos por el acceso de terceras
Debe
partes
9,09
10
Debe
9,09
15
15
Debe
9,09
30
30
Controle
s
Orientaci
n
Descripcin
27,27
NC.
PD
NC. D
3,76
53
PO
NC. O
PC
Escal
a
Control
2
1
7
2
8
3
1
GRUPO:
90168_42
100
Debe
Inventario de activos
20
50
50
Debe
Propietario de activos
20
65
65
20
70
70
20
25
25
20
55
55
11,1
10
10
Debe
Clasificacin de la informacin
Debe
Guas de clasificacin
Debe
9
3
1
SEGURIDAD EN EL PERSONAL
Antes del empleo
Debe
Roles y responsabilidades
60
40
6,77
37
16
100
42,8
33,33
12,78
1
11,1
2
Debe
Verificacin
Debe
Durante el empleo
33,33
1
11,1
45
45
60
60
20
11,1
Debe
Responsabilidades de la gerencia
Educacin y formacin en seguridad de la
1
11,1
85
85
Debe
informacin
1
11,1
63
63
Debe
Procesos disciplinarios
32
32
33,33
10
11,1
Debe
Responsabilidades en la terminacin
1
11,1
15
15
Debe
Devolucin de activos
1
11,1
25
25
Debe
50
50
Dominio
Objetivo
s de
Controle
s
Orientaci
Descripcin
NC.
PD
NC. D
9,77
49,85
PO
NC. O
PC
Escal
a
Control
9
2
1
GRUPO:
90168_42
13
reas Seguras
1
2
Debe
Debe
100
46,15
17,69
7,69
7,69
25
65
25
65
Debe
7,69
40
40
Debe
7,69
25
25
Debe
7,69
45
45
Puede
7,69
30
30
Debe
7,69
60
60
Debe
Herramientas de soporte
7,69
60
60
Debe
7,69
63
63
Debe
Mantenimiento de equipos
Seguridad del equipamiento fuera de las
7,69
45
45
Debe
instalaciones
7,69
80
80
Debe
7,69
35
35
Debe
Movimientos de equipos
7,69
75
75
53,85
32,16
Objetivo
Dominio
s
s de
Control
10
10
Controle
Orientaci
32
4
Descripcin
PD
NC. D
PO
NC. O
NC.
PC
C
24,06
Escal
a
100
47,9
12,5
3,78
3,12
GRUPO:
90168_42
Debe
5
3,12
45
45
Debe
Control de cambios
5
3,12
20
20
Debe
Separacin de funciones
Separacin de las instalaciones de desarrollo y
5
3,12
20
20
Debe
produccin
36
36
Puede
Entrega de servicios
3,12
48
48
Puede
3,12
25
25
3
2
Puede
Manejo de cambios a servicios de terceros
Planificacin y aceptacin del sistema
3,12
65
65
9,38
6,25
4,31
3,75
3,12
1
Debe
Planificacin de la capacidad
Debe
6,25
5
3,12
50
50
70
70
5
3,12
35
35
80
80
3,13
85
85
5
3,12
70
70
35
35
3,59
3,12
Debe
Debe
Copias de seguridad
Debe
3,13
2,66
3,28
3,12
Debe
Controles de redes
Debe
90168_42
5,78
3,12
Debe
removibles
5
3,12
45
45
Debe
Eliminacin de medios
5
3,12
25
25
Debe
5
3,12
45
45
Debe
70
70
Intercambio de informacin
Polticas y procedimientos para el intercambio de
15,63
9,28
3,12
Debe
informacin
6
3,12
60
60
Puede
Acuerdos de intercambio
6
3,12
60
60
Puede
70
70
GRUPO:
12,5
3,12
4
Puede
Mensajes electrnicos
Puede
9,38
6
3,12
45
45
62
62
5,32
3,12
Puede
Comercio electrnico
6
3,12
45
45
Puede
Transacciones en lnea
6
3,12
85
85
Puede
40
40
Monitoreo y supervisin
18,75
6,16
3,12
10
Debe
Logs de auditoria
6
3,12
54
54
Debe
6
3,12
20
20
Debe
6
3,12
32
32
Debe
del sistema
6
3,12
36
36
Debe
Fallas de Login
6
3,12
30
30
Puede
25
25
Objetivo
Dominio
s
s de
Control
11
7
1
GRUPO:
90168_42
Controle
Orientaci
25
1
1
Descripcin
CONTROL DE ACCESOS
PD
NC. D
PO
NC. O
NC.
PC
C
18,8
100
29,12
4
1,6
4
40
Escal
a
GRUPO:
90168_42
16
Debe
Registro de usuarios
30
Debe
Administracin de privilegios
10
Debe
Administracin de contraseas
30
Debe
Debe
Uso de contraseas
10
Puede
35
Puede
10
Debe
25
Puede
20
Puede
36
Debe
30
Puede
Segmentacin de redes
20
Debe
45
Debe
40
Debe
45
Debe
36
Debe
40
Puede
40
Debe
Inactividad de la sesin
20
Puede
35
Puede
25
Puede
15
Puede
45
Puede
Teletrabajo
40
12
28
24
3,04
2,2
8,64
8,64
1,6
3,4
Dominio
Objetivo
s de
Controle
s
Orientaci
Descripcin
PD
NC. D
12,03
28,81
PO
NC. O
PC
NC.
Escal
Control
6
16
1
Debe
Debe
12
4
GRUPO:
90168_42
100
6,25
1,56
seguridad
6,25
25
25
6,25
30
30
Puede
6,25
30
30
Puede
Integridad de mensajes
6,25
35
35
6,25
10
10
25
6,56
Puede
Controles criptogrficos
Puede
6,25
15
15
Puede
Administracin de llaves
6,25
20
20
Debe
6,25
36
36
Puede
6,25
25
25
Debe
6,25
60
60
Debe
6,25
40
40
Debe
operativo
Restricciones en los cambio a los paquetes de
6,25
40
40
Puede
software
6,25
45
45
Debe
Fugas de informacin
6,25
15
15
Debe
6,25
25
25
Debe
100
10
10
12,5
18,75
31,25
6,25
2,19
7,56
10,31
0,63
Dominio
s
Objetivo
s de
Controle
s
Orientaci
n
Descripcin
NC.
PD
NC. D
3,76
28,4
PO
NC. O
PC
Escal
a
Control
GESTIN DE INCIDENTES DE LA SEGURIDAD DE LA
2
1
13
14
GRUPO:
90168_42
INFORMACIN
Notificando eventos de seguridad de la informacin y
debilidades
Debe
Puede
Reportando debilidades de seguridad
Gestin de incidentes y mejoramiento de la seguridad de la
informacin
Debe
2
3
5
Debe
100
40
7
20
10
10
20
25
25
Procedimientos y responsabilidades
20
30
30
Puede
Lecciones aprendidas
20
62
62
Debe
Recoleccin de evidencia
20
15
15
20
20
20
Debe
20
25
25
Debe
20
30
30
Debe
negocio
Prueba, mantenimiento y reevaluacin de los planes
20
30
30
Debe
20
15
15
60
3,76
21,4
100
24
100
24
Dominio
s
Objetivo
s de
Controle
s
Orientaci
Descripcin
NC.
PD
NC. D
7,52
42,78
PO
NC. O
PC
Escal
a
Control
3
10
CUMPLIMIENTO
Debe
10
65
65
Debe
10
60
60
Debe
10
35
35
Debe
personal
Prevencin del uso inadecuado de los recursos de
10
45
45
Debe
procesamiento de informacin
10
20
20
Debe
Regulacin de controles para el uso de criptografa
Cumplimiento con las polticas y estndares de seguridad y
10
25
25
cumplimiento tcnico
Debe
10
15
15
Debe
10
70
70
Debe
10
70
70
Debe
sistemas
10
55
55
15
GRUPO:
90168_42
100
60
20
20
25
8,5
12,5
HALLAZGOS.
No. H1
HALLAZGOS
No. H2
90168_42
Recomendacin
Tomar las medidas necesarias para la implementacin de estos sistemas para reaccionar ante situaciones
y siniestros y catstrofes.
Causa
Negligencia por parte del rea administrativa
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es catastrfico.
HALLAZGOS
No. H3
GRUPO:
90168_42
SALUCOOP
PROCESO :
Mantenimiento Preventivo Para Hardware
TIPO TCNICA:
Lista De Verificacin O Chequeo
AUDITOR:
Leidy Pealoza Almanza
METODO DE AUDITORIA : COBIT
DOMINIO:
Adquision E Implantacin
PROCESO:
AI3: Adquisicin y mantenimiento de la infraestructura tecnolgica
DESCRIPCIN
CUMPLE
OBSERVACINES
SI NO N/
A
8. La Gerencia de la funcin de
servicios de informacin conoce la
importancia de adquirir y mantener
la infraestructura tecnolgica?
9. SALUCOOP cuenta con
GRUPO:
90168_42
las
brindar
soporte
en
la
infraestructura tecnolgica?
10. Existe una programacin concisa
para el mantenimiento?
X
11. la entidad cuenta con un plan para
reducir la frecuencia y el impacto
de fallas de rendimiento?
12. Se realiza una evaluacin del
desempeo
del
software?
13. Se realiza
hardware
de
las
utilizar
entrega
componentes
de
infraestructura tecnolgica?
14. Se estableci un plan para adquirir
y
dar
mantenimiento
la
infraestructura tecnolgica?
15. se realiza una revisin peridica
de las necesidades de la entidad,
administracin
de
parches
GRUPO:
90168_42
16. los
cambios
en
los
sistemas
evaluacin de vulnerabilidades y
requerimientos de seguridad?
18. Se
toman
eventualidades
acciones
que
frente
afecten
a
la
infraestructura tecnolgica?
19. Existe entre los funcionarios de la
infraestructura de TI es importante
cotidiano
formales?
SI
N/
O
3
A
0
TABLA DERESULTADOS
GRUPO:
90168_42
NO
x
personal administrativo?
OBSERVACION
El control se lleva
de forma manual
prestndose as
para
incumplimientos de
horarios
GRUPO:
90168_42
usuarios de la empresa?
8-Se realizan capacitaciones sobre tecnologa al personal x
que labora en la empresa?
9-La gerencia le da prioridad a las tecnologas
equipos
tecnolgicos
acordes a la entidad
prestadora de
GRUPO:
90168_42
servicios
FALLA
IDENTIFICADA
No existe una programacin especfica para la identificacin de
OBSERVACIN
RIESGO
IDENTIFICADO
CAUSA
RECOMENDACIN
GRUPO:
90168_42
tiene
control
ni
se
identifican
esas
fallas,
amenazas
vulnerabilidades.
Falta de planeacin.
Calendarizacin de los mantenimientos de hardware y software.
IDENTIFICADA
Al no existir el plan de reduccin de fallas, rendimiento
OBSERVACIN
RIESGO
IDENTIFICADO
CAUSA
mantenimiento preventivo.
programar los mantenimientos y cambios por lo menos dos veces al
RECOMENDACIN
software
IDENTIFICADA
Cuando no se cuenta con controles especficos se generan grandes
OBSERVACIN
GRUPO:
90168_42
RIESGO
entidad SALUCOOP
IDENTIFICADO
CAUSA
RECOMENDACIN
GRUPO:
90168_42
Probabilidad
A
M B
Riesgos / Valoracin
Impacto
L M C
de la empresa
empresa
Se destina una buena parte del presupuesto para inversin en
R2
R3
R5
GRUPO:
Probabilidad
Impacto
Alta: A
Catastrfico: C
Media: M
Moderado: M
Baja: B
Leve: L
90168_42
HALLAZGOS No. 1
AUDITOR RESPONSABLE: JUAN CARLOS ORTIZ
GRUPO:
90168_42
atencin debido que los resultados arrojados en la lista de chequeo aplicada, no son los
mejores comenzando porque no hay un control en el cumplimiento de horarios de los
empleados, lo cual se ve reflejado en la oportuna atencin brindada a los usuario, como
tambin la falta de capacitacin a los mismos y destinar un poco mas de presupuesto
para adquisicin de equipos que contribuyan al eficaz desarrollo de las labores.
Recomendacin
La administracin debe centrar mas su atencin en el desarrollo de sus procesos tanto a
nivel de personal interno como la de sus usuarios los cuales son el motor esa entidad y
deben de recibir un trato de acuerdo a sus necesidades de manera satisfactoria.
Causa
La poca inversin de recursos econmicos y la falta de planeacin por parte de los
encargados de esta parte de la administracin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado
90168_42
EMPRESA
SALUDCOOP
PAGINA
METODO AUDITORIA
AUDITORA
DOMINIO
PROCESO
OBJETIVO DE CONTROL
COBIT
MAIRA ALEJANDRA CASTRO OCHOA
SERVICIOS Y SOPORTE (DS)
ADMINISTRAR INSTALACIONES (DS12)
PREGUNTA
SI
DE
OBSERVACION
O
1
La
entidad
cuenta
con
los
en
los
lugares
restringidos?
3
Se
le
realizan
capacitaciones
seguridad informtica?
4
cableado?
Buen
funcionamiento
en
los
los
programas
manejados
por
el
GRUPO:
90168_42
RESULTAD
O
SI
NO
TOTAL
HALLAZGOS No. 1
AUDITOR RESPONSABLE: MAIRA ALEJANDRA CASTRO OCHOA
CENTRO DE SERVICIOS TECNOLOGICOS
R/PT:P1
HALLAZGOS DE LA AUDITORIA
H1
Dominio
Proceso
Objetivo de control
SUMINISTROS DE ENERGIA
Riesgos Asociados
90168_42
en el establecimiento.
RECOMENDACION
El comit administrativo de la empresa debe invertir y realizar las adecuaciones
necesarias para que se organice las fallas presentadas.
CAUSA
Falta de conocimientos de los funcionarios a quienes se le asigno dicha labor.
NIVEL DEL RIESGO
De acuerdo a la probabilidad est clasificado como medio
CONCLUSION
La auditora de sistemas hoy en da es de vital importancia para el buen desenvolvimiento
general de una organizacin con visin de futuro, porque si no se proveen los mecanismos de
control adecuados para su buen funcionamiento, seguridad y respaldo de la informacin esta se
ver sumida a riesgos lgicos, fsicos y humanos que conllevan a fraudes no solamente
econmicos sino de informacin, generando prdidas que pueden llevar a la desintegracin de la
empresa.
Con el trabajo anterior se logr que cada uno de los estudiantes pusiera en prctica lo aprendido
durante la unidad estudiada, adems de realizar un estudio a fondo de la norma Cobit que nos
ayud a analizar, recolectar informacin, identificar y detectar riesgos y hallazgos, para lograr
organizar y poner en prctica los aspectos a seguir para la realizacin de una auditoria
informtica.
GRUPO:
90168_42
WEB GRAFIA
GRUPO:
90168_42