TC2 90168 42

TRABAJO COLABORATIVO No.
2
AUDITORIA DE SISTEMAS
CODIGO: 90168A
JOANN FERNANDO QUINTERO QUINTERO, cc: 1.065.591.203

JUAN CARLOS ORTIZ, cc:
LEYDI KAROL PEALOZA, cc: 1.121.329.070
MAIRA ALEJANDRA CASTRO, cc: 1.007.316.924
MARYERI GUTIERREZ CLAVIO, cc: 49.698.785
Tutora:
CARMEN EMILIA RUBIO
GRUPO: 90168_42
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

FACULTAD DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
OCTUBRE 20 DE 2015
UNAD
GRUPO:
90168_42
INTRODUCCION
En el presente trabajo queremos dar a conocer la gran importancia que tiene el aplicar las normas
COBIT en una auditoria de sistemas, rigindonos a los procesos implementados en el mismo y
teniendo en cuenta cada uno de los objetivos de control all manejados. Al realizar un estudio
terico de dichos procesos cada integrante del grupo se responsabiliz de desarrollar un anlisis
de la situacin actual por la que atraviesa la empresa SaludCoop IPS seccional Codazzi en su
rea de sistemas en el cual diseamos y aplicamos los instrumentos de recoleccin de
informacin necesarios para los procesos seleccionados: Plan estratgico de TI (PO1),
Adquisicin y mantenimiento de la infraestructura tecnolgica (AI3), Monitorear los procesos
(M1), donde aplicamos los siguientes instrumentos: entrevistas, listas de chequeo, formatos de
visitas etc, los cuales nos sirvieron de base para realizar un anlisis y evaluacin de los riesgos a
los cuales est expuesto el centro de cmputo de esta organizacin.
GRUPO:
90168_42
OBJETIVOS
OBJETIVO GENERAL
Realizar una auditoria informtica para SALUDCOOP IPS seccional Codazzi, en el rea
de sistemas, teniendo en cuenta los procesos y objetivos de control incluidos en el
COBIT, analizando y evaluando los riesgos a los que est sometida esta sede por la falta
de tecnologas de informacin.
OBJETIVOS ESPECIFICOS
Afianzar y fortalecer en el estudiante los conceptos de proceso de anlisis y evaluacin
de riesgos.
Conocer las fases y metodologa a seguir para una auditoria informtica.
Disear instrumentos para llevar a cabo una auditoria de sistemas (formatos de
entrevista, listas de chequeo, cuestionarios, hallazgos etc).

Realizar anlisis y evaluacin de riesgos de a los que est expuesta la sede detectando la
causa que los origina, los recursos afectados y el tratamiento de los mismos.
Conocer la norma COBIT sus procesos, dominios y objetivos que control que lo
conforman aplicndolos en la auditoria de sistemas.
INSTRUMENTOS DE RECOLECCION DE INFORMACION

PROCESO: DEFINICION DE UN PLAN ESTRATEGICO DE TI (PO1)
GRUPO:
90168_42
LISTA DE CHEQUEO No.1

CUESTIONARIO DE CONTROL: C1
ENTIDAD AUDITADA
SaludCoop
PAGINA
1 DE
1
PROCESO AUDITADO
PLAN ESTRATEGICO DE TI
RESPONSABLE
MARYERI GUTIERREZ CLAVIJO
MATERIAL DE SOPORTE
COBIT
DOMINIO (PO) PLANEACION Y
PROCESO
(PO1) DEFINICION DE UN PLAN
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Alineacin de TI con el negocio
PREGUNTA
SI
NO
1. Se ha realizado una planificacin X
estratgica
de
las
TI
en
OBSERVACIONES
la
organizacin?
2. Estn alineadas las estrategias de
TI y del negocio?
3. la empresa est alcanzando un uso
ptimo de sus recursos en cuanto a
La sede no cuenta con los recursos necesarios para

poder dar cumplimiento a cabalidad con lo exigido por
TI se refiere?
4. Todos los funcionarios entienden
los objetivos de las TI
las TI.
Muchos de los funcionarios no tienen conocimiento aun
de lo que significan las TI en el buen desempeo de los
implementados en la sede?
5. Es apropiada la calidad de los
quehaceres diarios de la IPS.

X
sistemas de TI para las necesidades

de la sede?
6. Se entienden y administran los
riesgos
de
las
tecnologas
de
informacin?
7. Se ha realizado algn estudio de
planificacin del posible efecto de
las cargas normales de trabajo y los
GRUPO:
90168_42
Por no tener el conocimiento necesario del significado

de las TI, no miden los riesgos a los que estn expuestos
por el mal uso de las mismas en la sede.
picos sobre los requerimientos tanto

de equipos como de software?
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
7
LISTA DE CHEQUEO No. 2

ENTIDAD
SaludCoop
PAGINA
1 DE 1
AUDITADA
PROCESO
AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Evaluacin del desempeo y la capacidad actual
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con los implementos
X
Tienen sobrecarga de trabajo por falta de los
tecnolgicos suficientes para brindar
implementos necesarios para desarrollar a diario sus
un buen servicio al usuario?
labores, por lo tanto no prestan un buen servicio al

usuario por falta de recursos tecnolgicos.
2. se
han
adoptado
medidas
de
seguridad en el rea de sistemas de
GRUPO:
90168_42
la IPS?
3. Existe
un
programa
de
mantenimiento preventivo para cada
dispositivo de sistema de cmputo?

4. los cambios en los sistemas
informticos son consecuencia de la
La mayora de cambios en el sistema son consecuencia

de la presin ejercida por las necesidades operativas.
planificacin ms que de la presin

por las necesidades operativas?
5. se cuenta con un inventario de
todos los equipos que conforman el
El inventario es llevado por la Auxiliar Administrativo

X
de la Sede.
centro de cmputo?
6. es revisado el inventario de los
activos pertenecientes a las TI?
7. Se cuenta con procedimientos
El inventario de activos lo revisan semestralmente.

X
X
En la sede no se determina el equipo que se va a
definidos para la adquisicin de
adquirir en caso de alguna falla, puesto que quienes
nuevos equipos?
manejan esta informacin son directamente de la

principal de Heon en su regional.
8. La
capacidad
actual
de
almacenamiento y memoria de los

sistemas
de
cmputo
son
las
necesarias para brindar agilidad en

la prestacin de los servicios?
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
4
8

CUSTIONARIO DE CONTROL: C3
GRUPO:
90168_42
ENTIDAD
SaludCoop
PAGINA
1
AUDITADA
PROCESO
AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO
(PO) PLANEACION Y
PROCESO
ORGANIZACIN
ESTRATEGICO DE TI
OBJETIVO DE CONTROL
Plan estratgico de TI
PREGUNTA
SI
NO
1. Existe definido un plan estratgico
tecnolgico para la empresa?
2. la
organizacin
implementados
X
tiene
procesos
de
planificacin que logren el balance

ptimo entre sus requerimientos, su
capacidad
presupuestaria
oportunidades
tecnologas
que
las
brindan
las
existentes
emergentes?
3. la IPS tiene bien identificados las
necesidades en trminos de TI
asociadas a la visin global?
4. La estructura de la organizacin
informtica es la adecuada para
brindar un servicio de alta calidad?
5. La ips tiene bien definida su
misin, visin, valores, los cuales

ejecuta mediante las tecnologas de
informacin?
6. La
IPS
cuenta
con
una
infraestructura de TI confiable y
segura que mejore la productividad
de la organizacin?
GRUPO:
DE
90168_42
OBSERVACIONES
7. La organizacin tiene establecidos

procedimientos
internos
que
permiten generar mediante el uso

de las TI servicios de calidad?
TOTALES
TOTAL CUESTIONARIO
AUDITOR RESPONSABLE
4
3
7
ENTREVISTA No. 1
Entidad Auditada: SaludCoop
Fecha: 09 de Octubre de 2015
Dominio: Planeacin y Organizacin (PO)
Proceso Auditado: Definicin de un Plan estratgico de

TI
Nombre del Entrevistado: Yulieth Lpez
Cargo del Entrevistado: Auxiliar Administrativo
Oate
rea
Evaluada:
tecnolgicos
GRUPO:
90168_42
Centro
de
servicios
Objetivo de Control: Alineacin de TI con el negocio.
1. Considera usted que los activos disponibles en la IPS son los adecuados para desarrollar
sus quehaceres diarios?
Rta. Para el desarrollo de nuestros quehaceres diarios considero que no contamos con los suficientes
equipos para brindar un buen servicio, puesto que en algunas ocasiones nos toca tomar estrategias entre
los mismos compaeros, haciendo prstamo de los equipos para desarrollar una labor determinada,
contamos con un solo scanner lo que dificulta las tareas que cada funcionario debe realizar con el mismo
y se nos acumula trabajo por este inconveniente. Otro inconveniente que tenemos es que al momento de
que falle algn activo no tenemos como realizar un cambio inmediato dependemos de nuestra regional
Barranquilla para el envio de los mismos, lo que se dificulta porque los envios son bastante tardos ya
que somos muchas ips que dependemos de esa regional, hemos durado sin equipo en una seccin hasta
un mes.
2. Cubre sus necesidades el sistema que utiliza el centro de servicios de cmputo de la sede?
No las cubre ( ) Parcialmente ( ) La mayor parte
(x) Todas ( ) Por qu?
Rta. Para mi pensar el sistema de informacin con el que contamos es muy completo, cubre las
necesidades de los requerimientos de nuestros usuarios, lo que se nos dificulta con el mismo es que se
cae constantemente, lo que genera inconformidad en los usuarios y perdida de tiempo para nosotros
puesto que despus de atendido el usuario debemos ingresar la informacin que quedo por fuera del
sistema, lo que genera en los funcionarios mal ambiente laboral.
3. La tecnologa que utilizan es la adecuada para soportar las actividades de la organizacin?

Rta. En cuanto a la tecnologa los equipos son de buena capacidad pero a nivel de la red contamos con el
GRUPO:
90168_42
servicio de movistar para manejar la intranet el cual es bastante lento y se cae la pgina lo que genera
inconformidad en los usuarios al momento de recibir nuestros servicios
ENTREVISTA No. 2

TI
Oate
rea
Evaluada:
Centro
tecnolgicos
de
servicios
Objetivo de Control: Evaluacin del desempeo y la

capacidad actual
plan estratgico de ti
1. De qu manera evalan el desempeo y la capacidad de las TI que utilizan en la Ips?
Rta. Nosotros solo informamos a nuestra regional cuando algo anda mal, de esta forma ellos mismos
toman la decisin pertinente, de realizar cambios o arreglos en los equipos, en la red, el software etc.
2. La medicin del desempeo garantiza la efectividad en los procesos productivos y la
calidad del servicio?
Rta. S, porque cuando algo falla el departamento de tecnologa Heon mantiene muy pendiente de
arreglar el caso, si es por cadas de mdulos, red etc., cuando el inconveniente es por hardware ah es
GRUPO:
90168_42
donde tenemos la debilidad que no contamos con un cambio inmediato pero en cuanto nos solucionan el
envio el equipo que llega es bastante til y supera todos los obstculos que anteriormente mostraban
fallas.
3. Cmo considera usted, en general, el servicio proporcionado por el Departamento de

Sistemas de Informacin?
Rta. Bueno!, porque como lo dije anteriormente el hecho de que tengamos que depender de una regional
nos dificulta mucho solucionar inconvenientes que en algunos casos son superficiales pero como en la
sede no contamos con el personal idneo para la solucin de los mismos entonces nos toca esperar
mucho tiempo en algunos casos para poder dar solucin a los obstculos presentados.
ENTREVISTA No. 3

TI
Oate
rea
Evaluada:
tecnolgicos
GRUPO:
90168_42
Centro
de
servicios
Objetivo de Control: Plan estratgico de TI.
1.
Cules son los componentes que conforman el plan estratgico de TI de la sede?
Rta. Hardware, Software, Usuarios, Datos.
2. Contempla el plan estratgico las ventajas de la nueva tecnologa?
Rta. Pienso que esta es una entidad reconocida por lo que su alta gerencia siempre va en pro del
desarrollo de la misma, entonces considero que este plan si cuenta con las ventajas de la nueva
tecnologa de informacin.
3. Cada cuanto se realiza en la sede, revisin del plan estratgico de TI?
Rta. Cada seis meses de la regional estn enviando un analista de sistemas que se encarga de realizar la
revisin de este plan y observa los riesgos a los cuales estamos expuestos en el momento y se encarga de
realizar cambios y modificaciones al mismo dependiendo de las necesidades del momento.
ANALISIS Y EVALUACION DE RIESGOS
Para el listado de riesgos enumerados a continuacin se realizaron visitas a las instalaciones de la

ips SaludCoop Codazzi, seleccionando el rea de sistemas, adems la aplicacin de instrumentos
como listas de chequeo y cuestionarios al personal involucrado con las TI de la sede.
GRUPO:
90168_42
LISTA DE RIESGOS ENCONTRADOS.
REDES
Falta de seguridad en las redes
Demora en la bsqueda de archivos en la red
Fuga de informacin por posible implantacin de malware
Cada del sistema por obsolencia de los equipos
Perdida de integridad de la informacin por acceso no autorizado
HARDWARE
Deterioro en los activos de la empresa por falta de mantenimiento
Desabastecimiento de hardware
No existen prcticas en los funcionarios de la ips de manejo de copias de seguridad
SOFTWARE
GRUPO:
Cierres inesperados del SO
Perdida y plagio de la informacin manejada en la empresa
90168_42
Falta de depuracin de las aplicaciones que ya no son utilizadas
Mutacin de los virus y traspaso de estos por los mismos usuarios al momento de
conectar USB, discos duros etc.
SEGURIDAD LOGICA
El compartimiento de contraseas podra generar una manipulacin indebida de los datos

por accesos no autorizados
Cadas del sistemas
COMUNICACIONES
Falta de medios de comunicacin como lneas telefnicas
Bloqueo por congestin en las redes de comunicacin
SEGURIDAD FISICA
Falta de personal de vigilancia genera posibles prdidas de los activos de la empresa.
Dao de elementos fsicos (Pc, cmaras, huellero digital )
SERVIDORES
GRUPO:
90168_42
Perdidas econmicas
Perdida de informacin
CUENTAS DE USUARIOS
Acceso de personal no autorizado a la base de datos
Destruccin de informacin confidencial
Perdida de integridad de los datos
VALORACION DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro del rea de sistemas de la IPS
SaludCoop Codazzi, para ello se realiza la siguiente tabla 1 donde se valoran los riesgos para su
posterior clasificacin.
GRUPO:
90168_42
TABLA No.1 VALORACION DE RIESGOS
REDES
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
R1
Falta de seguridad en las redes
R2
Demora en la bsqueda de los archivos en la
red
R3
Fuga
de
informacin
por
posible
implantacin de malware
R4
Cada del sistema por obsolencia de los
equipos
R5
Perdida de integridad de la informacin por

acceso no autorizado
HARDWARE
RIESGOS/VALORACION
R6
Deterioro en los activos de la empresa por

falta de mantenimiento
GRUPO:
90168_42
PROBABILIDAD
A
X
IMPACTO
L
C
X
R7
Desabastecimiento de hardware
R8
No existen prcticas en los funcionarios de la
ips de manejo de copias de seguridad.

SOFTWARE
RIESGOS/VALORACION
R9
Cierres inesperados del SO
R10
Perdida y plagio de la informacin
PROBABILIDAD
A
IMPACTO
L
X
X
manejada en la empresa
R11
Falta de depuracin de las aplicaciones

que ya no son utilizadas
R12
Mutacin de los virus y traspaso de estos
por los mismos usuarios al momento de

conectar USB, discos duros etc
SEGURIDAD LOGICA
RIESGOS/VALORACION
R13
El compartimiento de contraseas podra
PROBABILIDAD
A
IMPACTO
L
generar una manipulacin indebida de los

datos por accesos no autorizados.
R14
Cadas del sistemas
COMUNICACIONES
GRUPO:
90168_42
PROBABILIDAD
RIESGOS/VALORACION
R15
Falta de medios de comunicacin como
IMPACTO
lneas telefnicas
R16
Bloqueo por congestin en las redes de

comunicacin
SEGURIDAD FISICA
PROBABILIDAD
RIESGOS/VALORACION
R17
Falta de personal de vigilancia genera
IMPACTO
C
X
posibles prdidas de los activos de la

empresa.
R18
Dao de elementos fsicos (Pc, cmaras,
huellero digital )
SERVIDORES
RIESGOS/VALORACION
R19
GRUPO:
90168_42
Perdidas econmicas
PROBABILIDAD
A
B
X
IMPACTO
L
X
R20
Perdida de informacin
CUENTAS DE USUARIOS
PROBABILIDAD
RIESGOS/VALORACION
R21
Acceso de personal no autorizado a la base
IMPACTO
L
de datos
R22
Destruccin de informacin confidencial
R23
Perdida de integridad de los datos
PROBABILIDAD
ALTA: A
MEDIA:
IMPACTO
GRUPO:
90168_42
BAJA: B
LEVE: L
MODERADO: M
CATASTROFICO:
MATRIZ DE RIESGOS
De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiz a la IPS
SaludCoop Codazzi, en el rea de sistemas podemos clasificar los riesgos como se muestran en la tabla
2.
LEVE
MODERADO
ALTO
CATASTROFICO
R4-R5-R6-R8-R13-R14R15-R16-R17
MEDIO
BAJO
R7-R9-R12-R18
R1-R2-R3-R10-R11-R19R20-R21-R22-R23
GRUPO:
90168_42
HALLAZGOS.
No. H1
Centro de servicios tecnolgicos

R/PT: P1
Hallazgos de la Auditora
H1
Dominio
PLANEACION Y ORGANIZACIN (PO)
Proceso
PO1 Definicin de un plan estratgico de TI.
Objetivo de Control
Alineacin de TI con el negocio
Riesgos Asociados
R9-R10-R11-R12-R21-R22-R23
Descripcin
El centro de cmputos de la sede SaludCoop IPS Codazzi, no cuenta con los recursos necesarios
para poder dar cumplimiento a cabalidad con lo exigidos por las TI, muchos de los funcionarios
no tienen conocimiento aun del significado de las mismas para el buen desempeo de sus
quehaceres diarios y por esta falta de conocimiento no miden los riesgos a los que estn
expuestos por el mal uso de las TI en la sede.
Recomendacin
El Auxiliar Administrativo debe hacer requerimiento de los activos tecnolgicos que hacen falta
en la IPS para hacer cumplir a cabalidad con lo exigido por el plan estratgico de TI con que
cuentan en la IPS.
Causa
La falta de coordinacin de la IPS y la negligencia de parte de la alta gerencia.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en bajo, en cuanto al impacto es
moderado.
GRUPO:
90168_42
HALLAZGOS
No. H2
R/PT: P1
H1
Dominio
PLANEACION Y ORGANIZACIN (PO)
Proceso
PO1 Definicin de un plan estratgico de TI.
Objetivo de Control
Evaluacin del desempeo y la capacidad actual
Riesgos Asociados
R4-R5-R6-R8-R13-R14-R15-R16-R17- R7-R9-R12-R18
Descripcin
GRUPO:
90168_42
En el proceso de observacin encontramos que la organizacin no cuenta con un hardware

suficiente para satisfacer las necesidades del cliente, el software es muy completo pero no cuenta
con la red y telecomunicaciones aptas para que este pueda tener un buen desempeo, la
seguridad de los activos destinados para el rea de informtica estn de muy fcil acceso para
personas ajenas a estos.
Recomendacin
El rea administrativa de la sede, debe solicitar a la directiva de su regional los equipos de
cmputo necesarios para brindar un mejor servicio al usuario, aislar los activos tecnolgicos de
terceras personas para que estos no vayan a ser hurtados e implementar medidas de prevencin
con mantenimiento de los mismos para que estos puedan tener una vida til mas larga.
Causa
La falta de coordinacin de la IPS y la negligencia de parte de la alta gerencia.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrofico.
GRUPO:
90168_42
PROCESO: MONITOREAR LOS PROCESOS (M1)

ENTIDAD
SaludCoop
1
AUDITADA
PROCESO
Monitoreo de procesos
AUDITADO
RESPONSABLE
Joann Quintero Quintero
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
M1 Monitorear los procesos
OBJETIVO DE CONTROL
Definicin y recoleccin de datos de monitoreo
PREGUNTA
SI
NO
1. La organizacin utiliza algn X
software para la recoleccin de
GRUPO:
PAGINA
DE
1
90168_42
OBSERVACIONES
datos para el respectivo anlisis?

2. se utilizan herramientas de anlisis
Est basado en herramientas de Analisys Services del
de datos utiliza SaludCoop?

3. La empresa utiliza herramientas
servidor y origen de datos.

Se generan informes en Excel mediante tablas
ofimticas en el anlisis de datos

para la toma de decisiones?
4. La informacin suministrada en la
dinmicas y grficos de Excel con informacin

originada de la base de datos
X
recoleccin de los datos se

encuentra actualizada?
5. la informacin es siniestrada por el
servidor?
6. El
monitoreo
se
hace
Este monitoreo solo se realiza a peticin de la
semanalmente?
7. Se ha planteado alguna estrategia
administracin o gerencia.
Los actuales sistemas resultan eficaces y ya se paga
para recolectar datos mediante otro
licencia de uso
sistema de informacin?
TOTALES
TOTAL CUESTIONARIO
2
7
AUDITOR RESPONSABLE
GRUPO:
90168_42

ENTIDAD
SaludCoop
1
AUDITADA
PROCESO
PAGINA
DE
1
AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
OBJETIVO DE CONTROL
Respaldo y restauracin
PREGUNTA
SI
NO
OBSERVACIONES
1. La Ips cuenta con un plan de X
Se utiliza servidores para copias de seguridad.
prevencin
restauracin
ante
desastres?
2. La IPS cuenta con un servicio
externo
de
respaldo
informacin?
3. La IPS realiza
coipas
de
de
Solo servicios de servidores con tecnologa Intranet
la
peridicamente
seguridad
la
informacin?
4. Se establece la utilidad de discos
raid y servidores de backup para el

respaldo de la informacin?
5. Es consiente la administracin de
GRUPO:
90168_42
un plan estratgico de respaldo y
recuperacin ante desastres?

6. La tecnologa actual de la empresa
es apropiada para el manejo de
Las bases de datos distribuidas permiten que el manejo

X
de la informacin este protegida.
situaciones ante desastres?
TOTALES
TOTAL CUESTIONARIO
1
6
AUDITOR RESPONSABLE

GRUPO:
90168_42
ENTIDAD
SaludCoop
PAGINA
1
AUDITADA
PROCESO
DE
AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO
MONITOREO (M)
PROCESO
OBJETIVO DE CONTROL
Requerimientos de seguridad para la administracin
PREGUNTA
SI
NO
OBSERVACIONES
1. Existe un plan estratgico de
seguridad de la informacin?
2. Las cuentas de usuario
X
son
definidas por el administrador del
sistemas?
3. Los usuarios tienen restricciones el
manejo de la informacin?
4. Los usuarios que ya no trabajan en
la organizacin tiene la cuenta de

usuario eliminada o inhabilitada?
5. La IPS Invierte dinero en
estrategias de seguridad?
6. La
IPS
cuenta
con
una
X
X
Cuentas con sistemas de Firewall, proteccin antivirus y
infraestructura de TI confiable para

la
seguridad
de
la
red
acceso restringido al servidor.
la
proteccin de la informacin?
7. Recientemente se han adoptado
nueva medidas de seguridad de la
estratgico de seguridad informtica.
informacin?
TOTALES
TOTAL CUESTIONARIO
2
7
AUDITOR RESPONSABLE
GRUPO:
90168_42
No se han realizado nuevos cambios en el plan de
ENTREVISTA No. 1
Entidad Auditada: SaludCoop EPS
Dominio: Monitoreo (M)
Proceso Auditado: Monitoreo de procesos
Nombre del Entrevistado: Joann Quintero
Cargo del Entrevistado: Auxiliar de sistemas
Quintero
rea
Evaluada:
tecnolgicos
Centro
de
servicios
Objetivo de Control: Definicin y recoleccin de datos

de monitoreo
4. Considera usted que la organizacin realiza anlisis con datos actualizados para la toma de
decisiones?
Rta. La generacin de reportes es muy asertiva en el sentido en que la informacin se toma en tiempo
GRUPO:
90168_42
real, facilitando que los datos sean fiables para la toma de decisiones.
5. Considera usted que el personal de la empresa se encuentra capacitado para interpretar los
datos a travs de hojas de clculo? Por qu?
Rta. Pienso que falta ms capacitacin, en cuanto al manejo de tablas dinmicas y grficos. Deberan
programarse capacitaciones donde los usuarios finales puedan reconocer la importancia y uso de estas
herramientas para el tratamiento de la informacin.
6. La tecnologa que utilizan es la adecuada para soportar procesos de recoleccin de datos?
Rta. Aunque podra implementarse otras tecnologas, representara gastos adicionales, puesto que las
herramientas actuales son muy precisas y veraces en el manejo de la informacin.
ENTREVISTA No. 2
GRUPO:
90168_42
Nombre del Entrevistado: Joann Quintero
Cargo del Entrevistado: Auxiliar de sistemas
Quintero
rea
Evaluada:
Centro
de
servicios
Objetivo de Control: Respaldo y restauracin
tecnolgicos
4. Qu otras tecnologas podran implementarse para afrontar situaciones ante desastres?
Rta. Se pueden usar otras tecnologas como el Software de rplica sincrnico, y Backups remotos de
reserva.
5. Cul cree usted que sera el plan de configuracin ms apropiado ante desastres?
Rta. El ms apropiada est basado en la configuracin de servidor: nivel de seguridad, puertos de

comunicacin, cantidad de memoria fsica del servidor y administracin de cuentas de usuario.
Seguidamente se determina la configuracin de las terminales mediante cuentas de usuarios, recursos
compartidos, administracin de software, y redes.
6. Cules cree usted que seran las consecuencias de una falla de conexin si no se contara
con un sistema de respaldo?
Rta. Por ser la informacin uno de los activos ms importantes para la empresa, cualquier interrupcin
de la informacin, ya sea temporal o forma definida, representa una prdida en los procesos y
actividades de la empresa, y genera malestar e inconformidad con los usuarios o clientes.
GRUPO:
90168_42
ENTREVISTA No. 3
Oate
rea
Evaluada:
tecnolgicos
4.
Centro
de
servicios
Objetivo de Control: Requerimientos de seguridad para

la administracin
Considera usted que el nivel de seguridad de la empresa es ptimo?
Rta. Pienso que debera implementarse una tecnologa ms reciente y sofisticada.
5. Tiene usted conocimientos del plan de seguridad informtica de la organizacin?
Rta. Tengo conocimiento de algunos parmetros y plan estratgico de seguridad informtica, en lo que
respecta a la seguridad de los recursos tecnolgicos y software.
6. Considera usted que la empresa se encuentra protegida para realizar transacciones

bancarias?
GRUPO:
90168_42
Rta. Las transacciones bancarias siempre se realizan desde el mismo equipo, aunque cuenta con su
software de antivirus y herramientas de proteccin de firewall, no considero adecuado realizar siempre
estos procesos en una misma terminal.
GRUPO:
90168_42
ANLISIS Y EVALUACIN DE LOS RIESGOS DETECTADOS
A continuacin, se describen el anlisis y evaluacin de riesgos detectados en el estudio de auditoria.
Nmero del
Dominio
dominio
Cantidad y nmero del objetivo de
Obj. de control
control
Cantidad y nmero de controles por cada
Controles
objetivo
Proporciona informacin sobre la obligatoriedad de implementar o
Orientacin
no el control
Breve descripcin de cada objetivo de control agrupndolos por
Descripcin
dominio
Peso del
PD
NC.D
dominio
Nivel de cumplimiento del dominio
Peso del
PO
NC.O
objetivo
Nivel de cumplimiento del dominio
Escala visual de la valoracin del control

Ms del 70% de
PC
GRUPO:
90168_42
Peso del control
Alto
cumplimiento
Nivel de cumplimiento del
Entre el 30 y 69 % de
NC.C
control
Medio
cumplimiento
Por debajo del
Escala
Escala del cumplimiento del control
Bajo
30%
Indicaciones para usar la plantilla

correctamente:
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales correspondern al valor asignado al nivel de cumplimiento de
cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoracin, el "0" indica que no cumple el control y "100" que lo
cumple satisfactoriamente, recuerde que tambin se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los
controles.
Dominio
Objetivo
s de
Controle
s
Control
1
5
2
1
GRUPO:
90168_42
% de cumplimiento de la norma
Orientaci
Descripcin
POLTICA DE SEGURIDAD
Poltica de Seguridad de la Informacin

Documento de la poltica de seguridad de la
Debe
informacin
Debe
Revisin de la poltica de seguridad de la informacin
11
8
ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD

Organizacin Interna
NC.
PD
NC. D
1,5
27,5
PO
PC
Escal
a
100
100
8,27
NC. O
27,5
100
28,64
72,73
23,64
50
25
25
50
30
30
Comit de la direccin sobre seguridad de la
Dominio
Objetivo
s de
Debe
informacin
9,09
20
20
Debe
Coordinacin de la seguridad de la informacin

Asignacin de responsabilidades para la de seguridad
9,09
35
35
Debe
de la informacin
Proceso de autorizacin para instalaciones de
9,09
Debe
procesamiento de informacin
9,09
60
60
Debe
Acuerdos de confidencialidad
9,09
40
40
Puede
Contacto con autoridades
9,09
25
25
Puede
Contacto con grupos de inters

Revisin independiente de la seguridad de la
9,09
65
65
informacin
9,09
10
10
Puede
Terceras partes
Identificacin de riesgos por el acceso de terceras
Debe
partes
9,09
10
Debe
Temas de seguridad a tratar con clientes
9,09
15
15
Debe
Temas de seguridad en acuerdos con terceras partes
9,09
30
30
Controle
s
Orientaci
n
Descripcin
27,27
NC.
PD
NC. D
3,76
53
PO
NC. O
PC
Escal
a
Control
2
1
7
2
8
3
1
GRUPO:
90168_42
CLASIFICACIN Y CONTROL DE ACTIVOS
100
Responsabilidad sobre los activos
Debe
Inventario de activos
20
50
50
Debe
Propietario de activos
20
65
65
Uso aceptable de los activos
20
70
70
20
25
25
20
55
55
11,1
10
10
Debe
Clasificacin de la informacin
Debe
Guas de clasificacin
Debe
Etiquetado y manejo de la informacin
9
3
1
SEGURIDAD EN EL PERSONAL
Antes del empleo
Debe
Roles y responsabilidades
60
40
6,77
37
16
100
42,8
33,33
12,78
1
11,1
2
Debe
Verificacin
Debe
Trminos y condiciones de empleo
Durante el empleo
33,33
1
11,1
45
45
60
60
20
11,1
Debe
Responsabilidades de la gerencia
Educacin y formacin en seguridad de la
1
11,1
85
85
Debe
informacin
1
11,1
63
63
Debe
Procesos disciplinarios
32
32
Terminacin o cambio del empleo
33,33
10
11,1
Debe
Responsabilidades en la terminacin
1
11,1
15
15
Debe
Devolucin de activos
1
11,1
25
25
Debe
Eliminacin de privilegios de acceso
50
50
Dominio
Objetivo
s de
Controle
s
Orientaci
Descripcin
NC.
PD
NC. D
9,77
49,85
PO
NC. O
PC
Escal
a
Control
9
2
1
GRUPO:
90168_42
13
SEGURIDAD FSICA Y DEL ENTORNO
reas Seguras
1
2
Debe
Debe
Permetro de seguridad fsica

Controles de acceso fsico
100
46,15
17,69
7,69
7,69
25
65
25
65
Debe
Seguridad de oficinas, recintos e instalaciones
7,69
40
40
Debe
Proteccin contra amenazas externas y ambientales
7,69
25
25
Debe
Trabajo de reas seguras
7,69
45
45
Puede
reas de carga, entrega y reas pblicas
7,69
30
30
Seguridad de los Equipos
Debe
Ubicacin y proteccin del equipo
7,69
60
60
Debe
Herramientas de soporte
7,69
60
60
Debe
Seguridad del cableado
7,69
63
63
Debe
Mantenimiento de equipos
Seguridad del equipamiento fuera de las
7,69
45
45
Debe
instalaciones
7,69
80
80
Debe
Seguridad en la reutilizacin o eliminacin de equipos
7,69
35
35
Debe
Movimientos de equipos
7,69
75
75
53,85
32,16
Objetivo
Dominio
s
s de
Control
10
10
Controle
Orientaci
32
4
Descripcin
GESTIN DE COMUNICACIONES Y OPERACIONES

Procedimientos operacionales y responsabilidades
PD
NC. D
PO
NC. O
NC.
PC
C
24,06
Escal
a
100
47,9
12,5
3,78
3,12
GRUPO:
90168_42
Debe
Procedimientos de operacin documentados
5
3,12
45
45
Debe
Control de cambios
5
3,12
20
20
Debe
Separacin de funciones
Separacin de las instalaciones de desarrollo y
5
3,12
20
20
Debe
produccin
36
36
Administracin de servicios de terceras partes
Puede
Entrega de servicios
3,12
48
48
Puede
Monitoreo y revisin de servicios de terceros
3,12
25
25
3
2
Puede
Manejo de cambios a servicios de terceros
Planificacin y aceptacin del sistema
3,12
65
65
9,38
6,25
4,31
3,75
3,12
1
Debe
Planificacin de la capacidad
Debe
Aceptacin del sistema
Proteccin contra software malicioso y mvil
6,25
5
3,12
50
50
70
70
5
3,12
35
35
80
80
3,13
85
85
5
3,12
70
70
35
35
3,59
3,12
Debe
Controles contra software malicioso
Debe
Controles contra cdigo mvil
Copias de seguridad
Debe
Administracin de la seguridad en redes
3,13
2,66
Informacin de copias de seguridad

6,25
3,28
3,12
Debe
Controles de redes
Debe
Seguridad de los servicios de red
Manejo de medios de soporte

Administracin de los medios de computacin
90168_42
5,78
3,12
Debe
removibles
5
3,12
45
45
Debe
Eliminacin de medios
5
3,12
25
25
Debe
Procedimientos para el manejo de la informacin
5
3,12
45
45
Debe
Seguridad de la documentacin del sistema
70
70
Intercambio de informacin
Polticas y procedimientos para el intercambio de
15,63
9,28
3,12
Debe
informacin
6
3,12
60
60
Puede
Acuerdos de intercambio
6
3,12
60
60
Puede
Medios fsicos en transito
70
70
GRUPO:
12,5
3,12
4
Puede
Mensajes electrnicos
Puede
Sistemas de informacin del negocio
Servicios de comercio electrnico
9,38
6
3,12
45
45
62
62
5,32
3,12
Puede
Comercio electrnico
6
3,12
45
45
Puede
Transacciones en lnea
6
3,12
85
85
Puede
Informacin pblicamente disponible
40
40
Monitoreo y supervisin
18,75
6,16
3,12
10
Debe
Logs de auditoria
6
3,12
54
54
Debe
Monitoreo de uso de sistema
6
3,12
20
20
Debe
Proteccin de los logs

Registro de actividades de administrador y operador
6
3,12
32
32
Debe
del sistema
6
3,12
36
36
Debe
Fallas de Login
6
3,12
30
30
Puede
Sincronizacin del reloj
25
25
Objetivo
Dominio
s
s de
Control
11
7
1
GRUPO:
90168_42
Controle
Orientaci
25
1
1
Descripcin
CONTROL DE ACCESOS
Requisitos de negocio para el control de acceso

Debe
Poltica de control de accesos
PD
NC. D
PO
NC. O
NC.
PC
C
18,8
100
29,12
4
1,6
4
40
Escal
a
GRUPO:
90168_42
Administracin de acceso de usuarios
16
Debe
Registro de usuarios
30
Debe
Administracin de privilegios
10
Debe
Administracin de contraseas
30
Debe
Revisin de los derechos de acceso de usuario
Responsabilidades de los usuarios
Debe
Uso de contraseas
10
Puede
Equipos de cmputo de usuario desatendidos
35
Puede
Poltica de escritorios y pantallas limpias
10
Control de acceso a redes
Debe
Poltica de uso de los servicios de red
25
Puede
Autenticacin de usuarios para conexiones externas
20
Puede
Identificacin de equipos en la red
36
Debe
Administracin remota y proteccin de puertos
30
Puede
Segmentacin de redes
20
Debe
Control de conexin a las redes
45
Debe
Control de enrutamiento en la red
40
Control de acceso al sistema operativo
Debe
Procedimientos seguros de Log-on en el sistema
45
Debe
Identificacin y autenticacin de los usuarios
36
Debe
Sistema de administracin de contraseas
40
Puede
Uso de utilidades de sistema
40
Debe
Inactividad de la sesin
20
Puede
Limitacin del tiempo de conexin
35
Control de acceso a las aplicaciones y la informacin
Puede
Restriccin del acceso a la informacin
25
Puede
Aislamiento de sistemas sensibles
15
Ordenadores porttiles y teletrabajo
Puede
Ordenadores porttiles y comunicaciones moviles
45
Puede
Teletrabajo
40
12
28
24
3,04
2,2
8,64
8,64
1,6
3,4
Dominio
Objetivo
s de
Controle
s
Orientaci
Descripcin
PD
NC. D
12,03
28,81
PO
NC. O
PC
NC.
Escal
Control
6
16
1
Requerimientos de seguridad de sistemas de informacin

Anlisis y especificaciones de los requerimientos de
Debe
Procesamiento adecuado en aplicaciones
Debe
12
4
GRUPO:
90168_42
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
100
6,25
1,56
seguridad
6,25
25
25
Validacin de los datos de entrada
6,25
30
30
Puede
Controles de procesamiento interno
6,25
30
30
Puede
Integridad de mensajes
6,25
35
35
Validacin de los datos de salida
6,25
10
10
25
6,56
Puede
Controles criptogrficos
Puede
Poltica de utilizacin de controles criptogrficos
6,25
15
15
Puede
Administracin de llaves
6,25
20
20
Seguridad de los archivos del sistema
Debe
Control del software operacional
6,25
36
36
Puede
Proteccin de los datos de prueba del sistema
6,25
25
25
Debe
Control de acceso al cdigo fuente de las aplicaciones
6,25
60
60
Seguridad en los procesos de desarrollo y soporte
Debe
Procedimientos de control de cambios

Revisin tcnica de los cambios en el sistema
6,25
40
40
Debe
operativo
Restricciones en los cambio a los paquetes de
6,25
40
40
Puede
software
6,25
45
45
Debe
Fugas de informacin
6,25
15
15
Debe
Desarrollo externo de software
6,25
25
25
Gestin de vulnerabilidades tcnicas
Debe
100
10
10
Control de vulnerabilidades tcnicas
12,5
18,75
31,25
6,25
2,19
7,56
10,31
0,63
Dominio
s
Objetivo
s de
Controle
s
Orientaci
n
Descripcin
NC.
PD
NC. D
3,76
28,4
PO
NC. O
PC
Escal
a
Control
GESTIN DE INCIDENTES DE LA SEGURIDAD DE LA
2
1
13
14
GRUPO:
90168_42
INFORMACIN
Notificando eventos de seguridad de la informacin y
debilidades
Debe
Puede
Reportando debilidades de seguridad
Gestin de incidentes y mejoramiento de la seguridad de la
informacin
Debe
2
3
5
GESTIN DE LA CONTINUIDAD DEL NEGOCIO

Aspectos de seguridad de la informacin en la gestin de
continuidad del negocio

Inclusin de seguridad de la informacin en el
Debe
100
40
7
20
10
10
20
25
25
Procedimientos y responsabilidades
20
30
30
Puede
Lecciones aprendidas
20
62
62
Debe
Recoleccin de evidencia
20
15
15
proceso de gestin de la continuidad del negocio
20
20
20
Debe
Continuidad del negocio y anlisis del riesgo

Desarrollo e implementacin de planes de
20
25
25
Debe
continuidad incluyendo seguridad de la informacin

Marco para la planeacin de la continuidad del
20
30
30
Debe
negocio
Prueba, mantenimiento y reevaluacin de los planes
20
30
30
Debe
de continuidad del negocio
20
15
15
Reportando eventos de seguridad de la informacin
60
3,76
21,4
100
24
100
24
Dominio
s
Objetivo
s de
Controle
s
Orientaci
Descripcin
NC.
PD
NC. D
7,52
42,78
PO
NC. O
PC
Escal
a
Control
3
10
CUMPLIMIENTO
Cumplimiento con los requisitos legales
Debe
Identificacin de la legislacin aplicable
10
65
65
Debe
Derechos de propiedad intelectual (dpi)
10
60
60
Debe
Proteccin de los registros de la organizacin

Proteccin de datos y privacidad de la informacin
10
35
35
Debe
personal
Prevencin del uso inadecuado de los recursos de
10
45
45
Debe
procesamiento de informacin
10
20
20
Debe
Regulacin de controles para el uso de criptografa
Cumplimiento con las polticas y estndares de seguridad y
10
25
25
cumplimiento tcnico
Debe
Cumplimiento con las polticas y procedimientos
10
15
15
Debe
Verificacin de la cumplimiento tcnico
10
70
70
Consideraciones de la auditoria de sistemas de informacin
Debe
Controles de auditoria a los sistemas de informacin

Proteccin de las herramientas de auditoria de
10
70
70
Debe
sistemas
10
55
55
15
GRUPO:
90168_42
100
60
20
20
25
8,5
12,5
HALLAZGOS.
No. H1

R/PT: P1
H1
Dominio
MONITOREO (M)
Proceso
M1 MONITOREAR LOS PROCESOS
Objetivo de Control
Definicin y recoleccin de datos de monitoreo
Riesgos Asociados
R12 R13 R18
Descripcin
SaludCoop IPS no cuenta con un sistema de vigilancia sobre las transacciones de usuario en el manejo
de la informacin.
Recomendacin
Implementar un sistema de informacin que permita analizar el comportamiento de los usuarios en el
sistema.
Causa
La falta de toma de medidas para la implementacin del sistrema
Nivel del Riesgo
La probabilidad del nivel de riesgo es medio e impacto moderado
HALLAZGOS
No. H2

R/PT: P1
H1
Dominio
MONITOREO (M)
Proceso
Objetivo de Control
Respaldo y restauracin
Riesgos Asociados
R7-R8-R9-R10
Descripcin
La empresa no cuenta con un sistema contra incendios. Por otra parte, los usuarios no estn capacitados
GRUPO:
90168_42
para el manejo de extintores y se carece de sistemas de sensores de humo y extractor de calor
Recomendacin
Tomar las medidas necesarias para la implementacin de estos sistemas para reaccionar ante situaciones
y siniestros y catstrofes.
Causa
Negligencia por parte del rea administrativa
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es catastrfico.
HALLAZGOS
No. H3

R/PT: P1
H1
Dominio
MONITOREO (M)
Proceso
Objetivo de Control
Requerimientos de seguridad para la administracin
Riesgos Asociados
R12-R13
Descripcin
No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de
cmputo, y no se lleva un registro detallado de los usuarios que hacen uso de los equipos
Recomendacin
Asumir el nivel de seguridad que exige la empresa y proponer estrategias de seguridad
Causa
Negligencia por parte del rea administrativa y ajustar plan de polticas de seguridad informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, y el impacto es moderado.
GRUPO:
90168_42
PROCESO: ADQUISICION Y MANTENIMIENTO DE LA INFRAESTRUCTURA

TECNOLOGICA (AI3)
Mediante la realizacin de esta lista de chequeo o verificacin determinaremos qu se debe

realizar para alcanzar las metas e identificar las falencias dentro de la entidad seleccionada en el
trabajo anterior.
FECHA DE DILIGENCIAMIENTO: 17/10/2015

EMPRESA:
SALUCOOP
PROCESO :
Mantenimiento Preventivo Para Hardware
TIPO TCNICA:
Lista De Verificacin O Chequeo
AUDITOR:
Leidy Pealoza Almanza
METODO DE AUDITORIA : COBIT
DOMINIO:
Adquision E Implantacin
PROCESO:
AI3: Adquisicin y mantenimiento de la infraestructura tecnolgica
DESCRIPCIN
CUMPLE
OBSERVACINES
SI NO N/
A
8. La Gerencia de la funcin de
servicios de informacin conoce la
importancia de adquirir y mantener
la infraestructura tecnolgica?
9. SALUCOOP cuenta con
GRUPO:
90168_42
las
herramientas y personal calificado

para
brindar
soporte
en
la
infraestructura tecnolgica?
10. Existe una programacin concisa
para el mantenimiento?
X
11. la entidad cuenta con un plan para
reducir la frecuencia y el impacto
de fallas de rendimiento?
12. Se realiza una evaluacin del
desempeo
del
software?
13. Se realiza
hardware
de
las
Al momento de realizar entrega de los
responsabilidades que se tienen al
ordenadores verbalmente se explica el uso que
utilizar
entrega
componentes
de
debe drsele a estos.
Se cuenta con este pero no se ejecuta
14. Se estableci un plan para adquirir
y
dar
mantenimiento
la
15. se realiza una revisin peridica
de las necesidades de la entidad,
administracin
de
parches
estrategias de actualizacin, riesgos,

evaluacin de vulnerabilidades y
requerimientos de seguridad?
GRUPO:
90168_42
16. los
cambios
en
los
sistemas
informticos son consecuencia de la
planificacin ms que de la presin

por las necesidades operativas?
17. Se hacen revisiones peridicas
para evaluar si se est alineado con
las necesidades de la entidad,
evaluacin de vulnerabilidades y
requerimientos de seguridad?
18. Se
toman
eventualidades
acciones
que
frente
afecten
a
la
Se corrige solamente la eventualidad presentada

X
19. Existe entre los funcionarios de la
Dentro de entidad se realizan capacitaciones a
empresa la nocin de que la
cargo del personal de sistema enfocadas a la
infraestructura de TI es importante
importancia delas tics en el mundo laboral y
y se apoya en algunas prcticas
cotidiano
formales?
SI
N/
O
3
A
0
TABLA DERESULTADOS
GRUPO:
90168_42
PORCENTAJE DE RIESGO: En cuanto a la probabilidad de ocurrencia est clasificado en

medio, en cuanto al impacto es moderado
Asistencia y adquisicin de tecnologa en SALUDCOOP

Auditor: Juan Carlos Ortiz Leon
Dominio
Adquisicin e Implementacin
Proceso
Adquisicin y mantenimiento de la infraestructura tecnolgica
Objetivo de Control
Ayudar en el mejoramiento de los procesos desempeados en la
empresa SALUDCOOP
Cuestionario
Pregunta
SI
1-Existe algn sistema para el control de horarios del
NO
x
personal administrativo?
OBSERVACION
El control se lleva
de forma manual
prestndose as
para
incumplimientos de
horarios
2-Se lleva un control de los equipos en garanta, para que x

a la finalizacin de sta, se integren a algn programa de
mantenimiento?
3-Cuentan con equipos actualizados para manejar la x
informacin de los usuarios?
4-Se realizan con frecuencia mantenimiento a los equipos? x
5-Se cuenta con redes estables para el trfico de x
informacin gil y seguro?
6-Se posee equipos sistematizados para determinar la
GRUPO:
90168_42
calidad de atencin brindada por el personal asistencial de

la empresa?
7-Se realizan capacitaciones sobre tecnologa a los
usuarios de la empresa?
8-Se realizan capacitaciones sobre tecnologa al personal x
que labora en la empresa?
9-La gerencia le da prioridad a las tecnologas
implementadas para mejorar los procesos?

10-Se destina una buena parte del presupuesto para
inversin en tecnologa de punta con el objetivo de mejorar

la atencin?
11-La plataforma en la que interactan los usuarios es x

clara y estable a nivel funcional?
Hay que mejorar en
aspectos de control
por medio de la
adquisicin de
6
Total resultados
equipos
tecnolgicos
acordes a la entidad
prestadora de
GRUPO:
90168_42
servicios
ANALISIS Y EVALUACION DEL RIESGO

AUDITOR RESPONSABLE: LEIDY PEALOZA ALMANZA
FALLA
No existe una programacin concisa para el mantenimiento.
IDENTIFICADA
No existe una programacin especfica para la identificacin de
OBSERVACIN
riesgos de software y hardware de todos los equipos y herramientas

tecnolgicas con que cuenta la entidad SALUCOOP.
Al no contar con la programacin de los mantenimientos no se
RIESGO
IDENTIFICADO
CAUSA
RECOMENDACIN
GRUPO:
90168_42
tiene
control
ni
se
identifican
esas
fallas,
amenazas
vulnerabilidades.
Falta de planeacin.
Calendarizacin de los mantenimientos de hardware y software.
la entidad no cuenta con un plan para reducir la frecuencia y el

FALLA
impacto de fallas de rendimiento
IDENTIFICADA
Al no existir el plan de reduccin de fallas, rendimiento
OBSERVACIN
identificacin de los riesgos, las irregularidades de los equipos

queda a consideracin del criterio de los usuarios
Al no tener claro este plan es imposible saber si las fallas
RIESGO
IDENTIFICADO
reportadas son generadas por los equipos oh es falta de

conocimiento por parte de los usuarios.
Falta de realizar planes de actualizacin de equipos y de
CAUSA
mantenimiento preventivo.
programar los mantenimientos y cambios por lo menos dos veces al
RECOMENDACIN
ao, las actualizaciones de cambio o repotenciacin de equipos se

deben presupuestar para las vigencias futura
No se realiza una evaluacin del desempeo del hardware y

FALLA
software
IDENTIFICADA
Cuando no se cuenta con controles especficos se generan grandes
OBSERVACIN
cantidades de datos que muchas veces no se sabe cmo interpretar

y esto interrumpe el desarrollo del sistema
Perdida de la confianza en el sistema con que se cuenta dentro de la
GRUPO:
90168_42
RIESGO
entidad SALUCOOP
IDENTIFICADO
CAUSA
Falta de recursos, falta de verificacin y seguimiento

Aplicar una matriz de convergencia que permita comparar el
RECOMENDACIN
desempeo del sistema, definiendo los procedimientos para

identificar los recursos crticos y riesgos potenciales.
ANALISIS Y EVALUACION DEL RIESGO

AUDITOR RESPONSABLE: JUAN CARLOS ORTIZ
GRUPO:
90168_42
Probabilidad
A
M B
Riesgos / Valoracin
Impacto
L M C
Manejo y Control de Personal

No existe un control confiable en el cumplimiento de horarios
R1
del personal que labora en la empresa
La gerencia no le da prioridad a las tecnologas Que se puedan
implementadas para mejorar los procesos

No Se realizan capacitaciones sobre tecnologa a los usuarios
de la empresa
empresa
Se destina una buena parte del presupuesto para inversin en
tecnologa de punta con el objetivo de mejorar la atencin
R2
R3
Asistencia al hardware y software

No se posee equipos sistematizados para determinar la
R4 calidad de atencin brindada por el personal asistencial de la
R5
GRUPO:
Probabilidad
Impacto
Alta: A
Catastrfico: C
Media: M
Moderado: M
Baja: B
Leve: L
90168_42
HALLAZGOS No. 1
AUDITOR RESPONSABLE: JUAN CARLOS ORTIZ
GRUPO:
90168_42
Asistencia y adquisicin de tecnologa en SALUDCOOP

Dominio
Adquisicin e Implementacin
Proceso
Adquisicin y mantenimiento de la infraestructura tecnolgica
Objetivo de Control
Ayudar en el mejoramiento de los procesos desempeados en la
empresa SALUDCOOP
R1, R2, R3, R4, R5.
Descripcin
En las instalaciones de la empresa saludCoop se presenta una situacin que llama la
Riesgos Asociados
atencin debido que los resultados arrojados en la lista de chequeo aplicada, no son los
mejores comenzando porque no hay un control en el cumplimiento de horarios de los
empleados, lo cual se ve reflejado en la oportuna atencin brindada a los usuario, como
tambin la falta de capacitacin a los mismos y destinar un poco mas de presupuesto
para adquisicin de equipos que contribuyan al eficaz desarrollo de las labores.
Recomendacin
La administracin debe centrar mas su atencin en el desarrollo de sus procesos tanto a
nivel de personal interno como la de sus usuarios los cuales son el motor esa entidad y
deben de recibir un trato de acuerdo a sus necesidades de manera satisfactoria.
Causa
La poca inversin de recursos econmicos y la falta de planeacin por parte de los
encargados de esta parte de la administracin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado
PROCESO: ADMINISTRAR INSTALACIONES

AUDITOR RESPONSABLE: MAIRA ALEJANDRA CASTRO OCHOA
GRUPO:
90168_42
EMPRESA
SALUDCOOP
PAGINA
METODO AUDITORIA
AUDITORA
DOMINIO
PROCESO
OBJETIVO DE CONTROL
COBIT
MAIRA ALEJANDRA CASTRO OCHOA
SERVICIOS Y SOPORTE (DS)
ADMINISTRAR INSTALACIONES (DS12)
PREGUNTA
SI
DE
OBSERVACION
O
1
La
entidad
cuenta
con
los
instrumentos preventivos en caso de
En algunos de los casos, como el extintor en

caso de incendio
emergencia o peligros naturales?

2
Existe restricciones de personal no

autorizado,
en
los
lugares
restringidos?
3
Se
le
realizan
capacitaciones
peridicas a los funcionarios sobre la
seguridad informtica?
4
Adecuado manejo de canaletas de
cableado?
Se presenta desorganizacin entre el cableado

tanto elctrico como de red, los cuales puede
ocasionar corto circuito
Es adecuada la habitacin donde
opera el centro de cmputo?

6
Buen
funcionamiento
en
los
programas utilizados por la empresa?
Existe desactualizaciones e incompatibilidades

de
los
programas
manejados
por
el
funcionarios, que ocasionan la demora en las

consultas
GRUPO:
90168_42
RESULTAD
O
SI
NO
TOTAL
HALLAZGOS No. 1
AUDITOR RESPONSABLE: MAIRA ALEJANDRA CASTRO OCHOA
CENTRO DE SERVICIOS TECNOLOGICOS
R/PT:P1
HALLAZGOS DE LA AUDITORIA
H1
Dominio
ENTREGA DE SERVVIOS Y SOPORTES
Proceso
ADMINISTACION DE INSTALACIONES (DS12)
Objetivo de control
SUMINISTROS DE ENERGIA
Riesgos Asociados
R1, R2, R3, R4, R5, R6

DESCRIPCION
Observando la empresa en general, se presenta desorganizacin en el cableado tirado en

el suelo, revueltos tanto el cableado elctrico, como el de red, as como su mal ubicacin
GRUPO:
90168_42
en el establecimiento.
RECOMENDACION
El comit administrativo de la empresa debe invertir y realizar las adecuaciones
necesarias para que se organice las fallas presentadas.
CAUSA
Falta de conocimientos de los funcionarios a quienes se le asigno dicha labor.
NIVEL DEL RIESGO
De acuerdo a la probabilidad est clasificado como medio
CONCLUSION
La auditora de sistemas hoy en da es de vital importancia para el buen desenvolvimiento
general de una organizacin con visin de futuro, porque si no se proveen los mecanismos de
control adecuados para su buen funcionamiento, seguridad y respaldo de la informacin esta se
ver sumida a riesgos lgicos, fsicos y humanos que conllevan a fraudes no solamente
econmicos sino de informacin, generando prdidas que pueden llevar a la desintegracin de la
empresa.
Con el trabajo anterior se logr que cada uno de los estudiantes pusiera en prctica lo aprendido
durante la unidad estudiada, adems de realizar un estudio a fondo de la norma Cobit que nos
ayud a analizar, recolectar informacin, identificar y detectar riesgos y hallazgos, para lograr
organizar y poner en prctica los aspectos a seguir para la realizacin de una auditoria
informtica.
GRUPO:
90168_42
WEB GRAFIA
GRUPO:
COBIT (Objetivos de Control para la Informacin y Tecnologas Relacionadas). (en

lnea)
Disponible
en:
http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-informaciony-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y
relacionadas.shtml#ixzz3p9R6xOMDhttp://www.monografias.com/trabajos93/cobitobjetivo-contro-tecnologia-informacion-y-relacionadas/cobit-objetivo-contro-tecnologiainformacion-y-relacionadas.shtml#ixzz3p6o1ksbQ. 17 de Octubre de 2015.
Normas
COBIT.
(en
lnea).
Disponible
en:
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml. 15
de Octubre de 2015.
Auditoria
informtica
y
de
sistemas.
(En
lnea).
Disponible
en:
http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-parala.html. 24 de Septiembre de 2015.
Tcnicas de auditoria para recoleccin de informacin. (en lnea). Disponible en:
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_26_tcnicas_de_auditoria_p
ara_recoleccin_de_informacin.html. Octubre 8 de 2015.
Como elaborar una lista de chequeo?. (en lnea) Disponible en:
https://www.combarranquilla.co/public_html/_files/intranet/sgc/auditorias/lista_chequeo
_auditoria.pdf. 11 de Octubre de 2015.
90168_42

TC2 90168 42

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

TC2 90168 42

Caricato da

Copyright:

Formati disponibili

TRABAJO COLABORATIVO No.

JOANN FERNANDO QUINTERO QUINTERO, cc: 1.065.591.203

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Afianzar y fortalecer en el estudiante los conceptos de proceso de anlisis y evaluacin

entrevista, listas de chequeo, cuestionarios, hallazgos etc).

INSTRUMENTOS DE RECOLECCION DE INFORMACION

LISTA DE CHEQUEO No.1

ptimo de sus recursos en cuanto a

La sede no cuenta con los recursos necesarios para

los objetivos de las TI

quehaceres diarios de la IPS.

sistemas de TI para las necesidades

Por no tener el conocimiento necesario del significado

picos sobre los requerimientos tanto

LISTA DE CHEQUEO No. 2

(PO1) DEFINICION DE UN PLAN

implementos necesarios para desarrollar a diario sus

un buen servicio al usuario?

labores, por lo tanto no prestan un buen servicio al

seguridad en el rea de sistemas de

mantenimiento preventivo para cada

dispositivo de sistema de cmputo?

informticos son consecuencia de la

La mayora de cambios en el sistema son consecuencia

planificacin ms que de la presin

El inventario es llevado por la Auxiliar Administrativo

El inventario de activos lo revisan semestralmente.

En la sede no se determina el equipo que se va a

definidos para la adquisicin de

adquirir en caso de alguna falla, puesto que quienes

manejan esta informacin son directamente de la

almacenamiento y memoria de los

necesarias para brindar agilidad en

LISTA DE CHEQUEO No. 3

(PO1) DEFINICION DE UN PLAN

planificacin que logren el balance

misin, visin, valores, los cuales

7. La organizacin tiene establecidos

permiten generar mediante el uso

Fecha: 09 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Objetivo de Control: Alineacin de TI con el negocio.

(x) Todas ( ) Por qu?

3. La tecnologa que utilizan es la adecuada para soportar las actividades de la organizacin?

Fecha: 13 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Objetivo de Control: Evaluacin del desempeo y la

1. De qu manera evalan el desempeo y la capacidad de las TI que utilizan en la Ips?

3. Cmo considera usted, en general, el servicio proporcionado por el Departamento de

Fecha: 14 de Octubre de 2015

Dominio: Planeacin y Organizacin (PO)

Proceso Auditado: Definicin de un Plan estratgico de

Nombre del Entrevistado: Yulieth Lpez

Cargo del Entrevistado: Auxiliar Administrativo

Objetivo de Control: Plan estratgico de TI.

Cules son los componentes que conforman el plan estratgico de TI de la sede?

Rta. Hardware, Software, Usuarios, Datos.