AUDITORIA DE SISTEMAS 90168A_224

ESTUDIANTES:
LUKDARY ABRIL RUEDA Cdigo. 1091653.080
ZULLY KATERIN MALAGON Cdigo. 1069748343
GUSTAVO ALEXANDER DUARTE Cdigo: 1069740689
BRAYAN MAURICIO GONZALEZ Cdigo: 1069741819
SONIA LUZ GOMEZ Cdigo: 1098640210

ING-CARMEN EMILIA RUBIO-TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
COLOMBIA
SEPTIEMBRE DE 2015

TABLA DE CONTENIDO
INTRODUCCION..........................................................................................................................3
OBJETIVOS....................................................................................................................................4
General:........................................................................................................................................4
Especficos:..................................................................................................................................4
CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS.....................................................5
IMPORTANCIA DE LA AUDITORIA INFORMATICA............................................................10
Conclusiones..............................................................................................................................11
PLAN DE AUDITORIA...............................................................................................................13
ESTNDAR COBIT 4.1...............................................................................................................19
PROGRAMA DE AUDITORIA...................................................................................................20
CONCLUSIONES........................................................................................................................24
REFERENCIAS BIBLIOGRFICAS..........................................................................................25

INTRODUCCION
Con el presente trabajo identificaremos los elementos ms relevantes de la auditoria de sistemas
y analizaremos el plan de auditoria de una de las empresas ms importantes a nivel nacional

como lo es Servientrega que de aqu se desglosan diferentes interrogantes para analizar un buen
plan de auditoria.

OBJETIVOS
General:
Identificar los conceptos principales de la auditoria de sistemas e identificar las tcnicas que se
utilizan en un proceso de auditora.

Especficos:

Comprende los conceptos de vulnerabilidad, amenaza y riesgo y los aplica en las

empresas en el proceso de auditora.

Establece las tcnicas que se pueden aplicar en un proceso de auditaje.
Elabora el plan de auditora
Elabora el programa de auditora

DESARROLLO DEL TRABAJO

CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS

ACTIVO DE
HARDWARE
INFORMAC
SOFTWARE

VULNERABILIDAD
-Falta de configuracin de
respaldos o equipos de
contingencia.
-Sabotaje de un sistema al
sobrecargarlo deliberadamente
con componentes de hardware
que no han sido diseados
correctamente para
funcionar
-Configuracin
e instalacin
indebida de los programas.

-Sistemas operativos mal

configurados y mal
organizados

REDES
COMUNICACIONES

RIESGOS

- Los componentes de hardware del sistema no son

apropiados y no cumplen los requerimientos
necesarios.

- Dao de hardware o
interrupcin de los sistemas
informticos.

- Existen componentes de hardware que necesitan

ser energizados a ciertos niveles de voltaje
especificados por los fabricantes, de lo contrario se
acortara su vida til.
-Software malicioso, tambin conocido como virus
de computador. Son los llamados caballos de Troya
(o troyanos), spyware, usan con fines fraudulentos.

- Retraso en los procesos

debido a la lentitud de los
equipos.

-ausencia de actualizacin.

-Ejecucin de macro virus

FSICA

AMENAZAS

-Cdigo malicioso, esto incluye virus, gusanos

informticos, bombas lgicas y otras amenazas
programadas.
- El Software no cumple con los estndares de
seguridad requeridos pues nunca fue diseado para
dar soporte a una organizacin.

--Salida
Suspensin
del servicio.
de informacin
por
accesos no autorizados.
-Manejo indebido de los
datos por accesos no
autorizados
-Interrupcin de procesos por
cadas en el sistema

- Programas sin licencia.

-Insuficiente filtrado de los
paquetes con direcciones de
inicio y destino inadecuadas.

-la red de comunicacin no est disponible para su

uso, esto puede ser provocado por un ataque
deliberado por parte de un intruso.

-Daos al software y sistema

operativo de los equipos de la
-Fuga de informacin por
posible implantacin de
Malware

-Fallas en la inscripcin de la
informacin.

-Incumplimiento de las normas de instalacin de la

red.

-Cada de servicios por

obsolescencia de los equipos

-Infraestructuras obsoletas

-Intercepcin y extraccin de datos o seales

-Puertos abiertos sin uso

-Ataques de Contrasea

-Prdida de Integridad de la
informacin por acceso no
autorizado

-Contraseas poco seguras,

propenso a robo de
informacin.
-Exceso de lneas telefnicas y
de datos que no estn en uso.

- Intercepcin y extraccin de datos o seales

- Daos en el sistema

--Intercepcin
Virus por acceso
a pginas perjudiciales.
de seales

-Incomunicacin total

-Informacin no disponible
para los usuarios.

- Ataques de interrupcin (corte de lneas telefnicas - Retraso en los procesos

y de datos)
debido a la lentitud de los
equipos
-Fallas en el fluido elctrico.

-Datos personales de los

empleados expuestos al
pblico
-Pocas restricciones
en el del
-instalaciones
inadecuadas
espacio de trabajo

-Ambientes sin proteccin contra incendios, locales

prximos a ros propensos a inundaciones

-ausencia de recursos para el

combate a incendios

-Infraestructura incapaz de resistir a las

manifestaciones de la naturaleza como terremotos,
maremotos, huracane.

-Dao de elementos fsicos

(PCs, cmaras, etc.)

-Robos

- Lesiones a las personas y a

-disposicin desorganizada de
cables de energa y de red

-Perdida de objetos hardware

y de informacin debido al
fcil acceso a los mismos.

IMPORTANCIA DE LA AUDITORIA INFORMATICA

La auditora de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias
para determinar si un sistema de informacin protegiendo el activo Servientrega S.A,
manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la
empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones
establecidas.
La Auditoria informtica nos Permite detectar de forma sistemtica el uso de los recursos y los
flujos de informacin dentro de la empresa, determinando qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan los flujos de informacin eficientes.
La auditora de sistemas tiene 2 tipos, son:
Auditoria Interna: es la que est dentro de la empresa; sin contratar a personas de afuera. Puede
ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestin.
Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de
afuera para que haga la auditoria en su empresa.
Auditar consiste especialmente en estudiar los componentes de control que estn implantados en
una empresa, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin
de los mismos. Los componentes de control pueden ser directivos, preventivos, de deteccin.
Entre sus beneficios tambin se encuentra: Mejorar la credibilidad de la empresa, generar
confianza a los clientes sobre la seguridad y control de las operaciones, disminucin de costos al
prevenir prdidas y realizar un control sobre las inversiones que se realizan en el rea
informtica.

Siendo as, se puede afirmar que el buen funcionamiento de una empresa depende del control
que se tiene sobre la evaluacin de sus sistemas e infraestructura tecnolgica, puesto que en la
actualidad las organizaciones estructuran su informacin en sistemas de tecnologa informtica y
debido a esto es fundamental que funciones de manera ptima y sin interrupciones para una
mejor productividad en la empresa.

Conclusiones

La auditora de sistemas es de vital importancia para el buen desempeo de los sistemas

de informacin, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica,

organizacin de centros de informacin, hardware y software).

Analizando acerca de todos los elementos que componen La empresa servientrega S.A,
tanto materiales como humanos, me doy cuenta que auditar una Empresa u organizacin,
no es nada fcil, ya que si falla un elemento del que se compone, trae consigo un efecto
domino, que hace que los dems elementos bajen su rendimiento, o en el peor de los

casos sean causantes del fracaso en la empresa.

Pensaba que lo ms importante para una empresa era el equipo informtico con el que se
trabaja, pero, lo ms importante es el factor humano, ya que si se cuenta con tecnologa

de calidad, pero con personal no calificado, las cosas no sern iguales

Es importante realizar auditoras, ya que en una empresa los activos que son blanco de
espionaje son los activos informticos, y de no ser evaluados se podra perder la
seguridad en los sistemas, generando robo de informacin o informacin errnea, lo que
a su vez puede generar ms problemas a las dems aplicaciones. As mismo un sistema
de informacin mal diseado representa una herramienta peligrosa para la gestin y
coordinacin de los procesos de la empresa

La auditora de sistemas toma importancia en el desarrollo de las empresas puesto que

contribuye a evaluar y garantizar el buen funcionamiento de los activos tecnolgicos
involucrados en el desarrollo de los procesos, no solo detectando sus errores, sino
evaluando y mejorando su eficiencia y eficacia

PLAN DE AUDITORIA
Antecedentes:
La empresa de Servientrega S.A, se realiza peridicamente un plan de seguimiento a todos los
procesos tcnicos que se desarrollan dentro de sus dependencias, esto debido a que las se
requiere la acreditacin de calidad en el manejo de sus procesos y para ello se hace necesario
realizar auditoras internas permanentes y de tipo externo peridicamente para lograrlo.

Objetivos

Objetivo general:

Analizar y Evaluar los controles, sistemas de los equipos de cmputo, su utilizacin, eficiencia,
utilidad, confianza, privacidad y disponibilidad en el ambiente informtico y seguridad de

personal, datos, hardware, software e instalaciones, de la organizacin que participan en el

procesamiento de la informacin. A fin de que por medio del sealamiento de cursos alternativos
se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada
toma de decisiones. Presentes en la empresa Servientrega S.A

Objetivos especficos:
- Objetivos de la auditoria de sistemas
- Asegurar una mayor integridad, confidencialidad de la informacin mediante la
-

recomendacin de seguridades y controles.

Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informtico.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los sistemas de informacin Comprobar la

existencia de controles internos en la empresa Servientrega S.A.

Presentar a la empresa la informacin sobre los hallazgos y observaciones como
resultado del plan de auditoria.

Alcance y delimitacin
La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los
sistemas de informacin y tecnologas de comunicacin y el talento humano, con el fin de
observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y as optimizar
el uso de los recursos para brindar un buen servicio a los clientes.
Mediante la ejecucin de la auditoria se sistemas se pretende evaluar:
Las normas de control, tcnicas y procedimientos que se tiene establecidos en la empresa para
lograr confiabilidad, seguridad y confidencialidad de la informacin que se procesa a travs del

sistema de aplicacin que se est utilizando.

Adems esta Auditoria de sistemas mostrar las novedades analizadas en el rea informtica, en
la empresa de Servientrega S.A, para que sus administradores sean quines tomen los
correctivos y polticas aplicables que con lleven al logro de objetivos propuestos en caso de que
as se lo requiera dicho dictamen. Dentro de la Auditoria se realizar un anlisis sobre los
sistemas y redes de conexin.
Es importante destacar que con la ejecucin de esta auditora, Servientrega S.A. no solo podr
tener identificados los riesgos a los procesos del rea de sistemas, sino que tambin podr
comprobar la calidad y capacidad de su infraestructura tecnolgica y sus sistemas de
informacin.

Justificacin
Desconocimiento en el nivel directivo de la situacin informtica de la empresa
Falta total de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e
informacin.
Descubrimiento de fraudes efectuados con el computador y Falla de una planificacin
informtica.
Falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada
administracin del Recurso Humano y Descontento general de los usuarios por incumplimiento
de plazos y mala calidad de los resultados.
Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en produccin.

Herramientas propuestas para la evaluacin

Cuestionarios
Entrevistas
Formularios Checklist
Inventarios del rea informtica
Reporte de bases de datos y archivos
Software de interrogacin (Paquetes de auditoria)
Fotografas
Diseos de flujos y de la red de informacin
Planos de distribucin e instalacin del centro de cmputo y los equipos
Certificados, garantas y licencias del software
Historial de cambios y mejoras de los recursos informticos

Determinacin de recursos de la Auditora Informtica

Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditora.

Recursos humanos
Recursos materiales

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el

cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software:
Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se
aaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de
Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los
procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cual habr de convenir el, tiempo de mquina, espacio de disco, impresoras
ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado dependen de la materia auditable.

Actividades
Elaboracin del plan de
auditoria, concertacin de
objetivos y definicin de
recursos a utilizar
Elaboracin de cuestionarios e

Septiembre
13-19 20-26

27-3

Octubre
4 - 10

11-17

18-24

25 - 1

Noviembre
1-7
8

instrumentos de evaluacin
Evaluacin de situaciones
deficientes y observacin de los
procedimientos
Revisin de funcionalidad de
sistemas de informacin, redes e
infraestructura tecnolgica
Anlisis de los resultados
obtenidos
Definicin de los puntos dbiles
y fuertes, los riesgos eventuales
y posibles tipos de solucin y
mejora
Evaluacin del cumplimiento de
los objetivos de la auditoria
Redaccin del informe final
Presentacin del informe de
auditoria
Cronograma de actividades

ESTNDAR COBIT 4.1

El cubo COBIT representa los diferentes componentes necesarios para el exitoso desempeo del
rea de TI de una organizacin y en especial muestra los diferentes componentes que
corresponden a cada una de las caras fundamentales, donde se tienen los requerimientos de
negocio que es el grupo de necesidades que se deben solventar, los recursos de TI que son las
herramientas con las que se cuenta y los procesos de TI que es la organizacin y los
procedimientos que se realizan para solucionar los requisitos con los recursos.
COBIT 4.1 es una actualizacin significativa del marco mundial aprobado que asegura que las
TI estn alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y
sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible del
COBIT 4.0 y puede usarse para perfeccionar el trabajo basado en versiones anteriores de
COBIT. COBIT ayuda a las organizaciones a reducir riesgos en el manejo de las TI e
incrementar el valor derivado de su uso. Las actualizaciones en COBIT 4.1 incluyen: avances en
la medicin del desempeo; mejores objetivos de control; y una excelente alineacin entre
objetivos de negocio y de TI.
PROGRAMA DE AUDITORIA

De los 34 objetivos de control generales descritos en el estndar COBIT versin 4.1, se

seleccionan los siguientes dominios y procesos, tomando como base los objetivos y el alcance
definidos anteriormente en el plan de auditoria:

Dominio: Planear y organizar:

Proporciona direccin para la entrega de soluciones y la entrega de servicio
Procesos:

PO2 Definir la arquitectura de la Informacin:

Objetivo: El objetivo es satisfacer los requerimientos de la organizacin, en cuanto al
manejo y gestin de los sistemas de informacin, a travs de la creacin y
mantenimiento de un modelo de informacin de la organizacin.

PO3 Determinar la direccin tecnolgica:

Objetivo: El objetivo es aprovechar al mximo de la tecnologa disponible o tecnologa
emergente, satisfaciendo los requerimientos de la organizacin, a travs de la creacin y
mantenimiento de un plan de infraestructura tecnolgica.

PO9 Evaluar y administrar los riesgos de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisin de servicios de TI, mediante la participacin de la propia
organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando
medidas econmicas para mitigar los riesgos.

Dominio: Adquirir e implementar

Proporciona las soluciones y las pasa para convertirlas en servicios
Procesos:

AI4 Desarrollo y mantenimiento de procedimientos:

Objetivo: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones
tecnolgicas establecidas, mediante la realizacin de un enfoque estructurado del
desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos
de servicio y material de entrenamiento.

AI6 Administracin de los cambios:

Objetivo: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores, mediante un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.

Dominio: Entregar y dar soporte:

Recibe las soluciones y las hace utilizables por los usuarios finales.
Procesos:

DS5 Garantizar la seguridad de sistemas:

Objetivo: El objetivo es salvaguardar la informacin contra uso no autorizados,
divulgacin, modificacin, dao o prdida, realizando controles de acceso lgico que

aseguren que el acceso a sistemas, datos y programas est restringido a usuarios

autorizados.

DS6 Educar y entrenar a los usuarios:

Objetivo: El objetivo es asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y estn conscientes de los riesgos y responsabilidades involucrados realizando
un plan completo de entrenamiento y desarrollo.

DS11 Administrar los problemas:

Objetivo: El objetivo es asegurar que los datos permanezcan completos, precisos y
vlidos durante su entrada, actualizacin, salida y almacenamiento, a travs de una
combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI.

DS12 Administrar el ambiente fsico:

Objetivo: El objetivo es proporcionar un ambiente fsico conveniente que proteja al
equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la instalacin de controles fsicos y
ambientales adecuados que sean revisados regularmente para su funcionamiento
apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.

Dominio: Monitorear y evaluar

Monitorear todos los procesos para asegurar que se sigue la direccin provista
Procesos:

M1 Monitorear y evaluar el proceso de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos
de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin
regular a los reportes emitidos.

CONCLUSIONES

Todos nos enfocamos hacia el mismo punto de vista para la realizacin del cuadro, ya
que con distintas palabras pero el mismo enfoque evaluamos las vulnerabilidades,
amenazas y riesgos que se pueden presentar en la empresa Servientrega.

La importancia de un buen plan de auditoria de sistemas ayuda a prevenir cualquier tipo

de inconveniente que se presente en el sistema y que pueda atentar contra la integridad

de los datos.

El plan de auditoria debe realizarse bajo muchos parmetros y condiciones para que
funcione adecuadamente y se cumplan sus objetivos

REFERENCIAS BIBLIOGRFICAS
Adolfo J. Araujo J. (2011). Vulnerabilidad y amenazas. 2015, de blogspot Sitio web: http://inftek.blogspot.com/2011/11/82-amenazas-informaticas.html
Muoz, Razo Carlo. (2002). Aspectos generales de auditoria. 2009, de Pearson educacin Sitio
web:
http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_
GGGG.pdf
Nubia Fernndez Grajales. (2005). Importancia de la auditora informtica en las
organizaciones. Cmputo Acadmico UNAM, 43, 2. 2008, De Entrate Base de datos.
Cristian Avils. (2013). Auditoria informtica. 2014, de blogspot Sitio web: http://icci-auditoriainformatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.html
Falcon, O. (2006). Auditora y las Normas de Auditora Generalmente Aceptadas. (Spanish).
Contabilidad
Y
Negocios,
1(2),
16-20
Sitio
web:
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf

IT Governance Institute. COBIT 4.1. 2007, Recuperado de:

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

Francisco N. Solarte S. COBIT (Objetivos de Control para la informacin y Tecnologas

relacionadas). 2011, sitio web: http://auditordesistemas.blogspot.com.co/2011/11/cobitobjetivos-de-control-para-la.html
Blaikie, Piers et al. (1996) Vulnerabilidad: El Entorno Social, Poltico y Econmico de los
Desastres. La Red. IT Per. Tercer Mundo Editores, Colombia.
Cuny, Fred. (1983) Disasters and Development. Oxford University Press