AUDITORIA EN SISTEMAS

TUTOR
FRANCISCO NICOLAS SOLARTE

ALUMNOS
FABIAN LEONARDO GOMEZ
CODIGO: 1.115.792.758
LUIS EDUARDO GALINDEZ
JOHN JAIRO BARRERO MARTINEZ
CODIGO: 1.105.672.950
HEMIR FIGUEROA COETATA
CODIGO: 1.117.509.566

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

CEAD: FLORENCIA CAQUETA
PROGRAMA: INGENIERIA DE SISTEMAS
OCTUBRE DE 2016

INTRODUCCIN

Las organizaciones a travs de la historia han tenido entre sus prioridades las proteccin de sus
bienes documentales, con el avance de la tecnologa la informacin revoluciono la forma de pensar
y tomar el control del mundo de una manera intangible que se procesa se guarda y viaja a todas
partes utilizando medios fabricados para servir a la informacin, el recurso ms valioso para
muchas personas y todas las organizaciones con la cual el mundo se integra a partir de sus
servicios, aprovechando las bondades de la tecnologa y las comunicaciones. Al ser tan valioso e
importante recurso surgieron poco a poco tantas formas, tcnicas y herramientas para vulnerarla,
robarla y destruirla, se convirti desde entonces en un objetivo para quienes comprendieron su
verdadero valor en la dinmica del mundo, abarcando tanto aspectos, econmicos, sociales y
gubernamentales, con fines comerciales, destructivos; en la medida que la informacin se expandi
gracias a internet tambin se expandieron las oportunidades y los beneficios para el desarrollo de la
humanidad, pero con ellos tambin se inici una lucha ciberntica entre quienes atacan la
informacin de otros que la han conseguido con autora propia, la compraron, la administran o
simplemente la gestionan, en esta lucha se crearon muy rpido armas para atacar y otras defenderse
lo que ha sido una evolucin constante que ha generado que se perfeccionen de forma exponencial.
A continuacin, con la informacin generada en los trabajos individuales, se consolido en un solo
trabajo conformado por un escrito sobre los resmenes enviados por los integrantes del grupo,
donde se muestre la metodologa a seguir para realizar una auditora con fases y actividades luego
como siguiente paso se hace evidencia el mapa mental que se escogi, por ultimo la propuesta de la
empresa para realizar la Auditoria.

OBJETIVO DEL TRABAJO

GENERAL:
Hacer entrega de un trabajo escrito donde se tomen en cuenta los trabajos individuales dando una
definicin general sobre el tema de metodologa para realizar auditora de sistemas, consolidar y
presentar los mapas mentales expuestos por cada estudiante y dar a conocer la eleccin del mejor
para el producto final, por ultimo presentar las propuestas de las empresas para realizar una
auditora de cada integrante del grupo colaborativo.

OBJETIVOS ESPECFICOS:

Escrito sobre el tema de metodologa para realizar auditora de sistemas consolidado

Mapa mental escogido como el mejor.

Empresa propuesta para realizar la auditora de Sistemas

PROPUESTA DE LA EMPRESA A AUDITAR:

Auditoria de hardware y software Equipos a cargo de Personal Administrativo SENA.
UBICACIN:
Regional Putumayo sede Mocoa Barrio San Agustn (Edificio Maguar)
RESEA HISTRICA
El Servicio Nacional de Aprendizaje, SENA, es un establecimiento pblico del orden nacional con
personera jurdica, patrimonio propio e independiente y autonoma administrativa.
Adscrito al Ministerio del Trabajo de Colombia.
Cuyo objetivo es fortalecer los procesos de formacin profesional integral que contribuyan al
desarrollo comunitario a nivel urbano y rural

.
DESCRIPCIN DEL LAS ESTACIONES DE TRABAJO
Caractersticas
Equipo Todo en 1 Marca Hp con procesador de Sexta Generacin Intel Core i 7, Memoria
Ram de 8 Gb, Disco Duro de 1 TB, con conectividad Limitada por Proxy a la Internet para
navegacin y Acceso.
La sede cuenta con 200 Computadores

SISTEMAS DE INFORMACIN QUE UTILIZA.

Sofa Plus
Servicio Pblico de Empleo (SPE)
Sistema Integrado de Videoconferencia Educativa (SIVE)

ETAPAS PARA LA AUDITORIA EN SISTEMAS

ETAPAS

PASOS A REALIZAR

1. Identificar el origen de la auditora.

2. Realizar una visita preliminar al rea que ser evaluada.
3. Establecer los objetivos de la auditora.
Planeacin de la
Auditoria de
Sistemas

4. Determinar los puntos que sern evaluados en la auditora.

5. Elaborar planes, programas y presupuestos para realizar la
auditora.
6. Identificar y seleccionar los mtodos, herramientas,
instrumentos y procedimientos necesarios para la auditora.
7. Asignar los recursos y sistemas computacionales para la
auditora.

1. Realizar las acciones programadas para la auditora.

2. Aplicar los instrumentos y herramientas para la auditora.
Ejecucin de la
Auditoria de
Sistemas

3. Identificar y elaborar los documentos de oportunidades de

mejoramiento encontradas.
4. Elaborar el dictamen preliminar y presentarlo a discusin.
5. Integrar el legajo de papeles de trabajo de la auditora

Dictamen de la
Auditoria de
Sistemas

1. Analizar la informacin y elaborar un informe de situaciones

detectadas.
2. Elaborar el Dictamen final.
3. Presentar el informe de auditora.

SOFIA PLUS
N

Vulnerabilidad
Falta de actualizacin del
sistema operativo de los
equipos de cmputo, No tiene
licencia original.
Falta de actualizacin y
configuracin adecuada del
equipo, lo que no podra
realizarse con efectividad
sino se cuenta con un sistema
original
Los usuarios permiten que
otras personas ingresen con
sus cuentas a realizar
consultas en la base de Datos.

Amenazas
Fallos en
operativo

Falta de
por parte
superiores
plan de
software.

el

Riesgo

sistema Adquisicin
software que
tiene soporte
fabricante
concientizacin Fallas
en
de los mandos configuracin
para ejecutar un los equipos
legalizacin de

Falsificacin
en
los
documentos que se pueden
tramitar por medio de la
plataforma.

Categora
de Software
no
del
la Software
de

Fuga
de
Informacin
y
fraude al momento
de
consultar
informacin
Uso indebido del correo de La mala utilizacin del Fuga
de
correo, ya que no se utiliza informacin
electrnico
solo para comunicacin
laboral.
Los equipos de cmputo con Posible
prdida
de Dao inminente de
los activos.
los que cuenta la unidad ya informacin.
han cumplido su tiempo de
vida til.

Seguridad
Lgica

Seguridad
lgica
Hardware

Solo existe una ups la cual se

tiene para el servidor, en caso
de un bajn de energa, no
alcanza a soportar con la
conectividad de todos los
computadores e impresoras
multifuncionales
de
la
Unidad.
Se evidencia personal externo
ingresando constantemente a
oficinas
de
acceso
restringido, colocando as en
exposicin
los
activos
informticos.
Falta de conocimiento de los
usuarios en el manejo de
sistemas
informticos
existentes, se han realizado
capacitaciones a los usuarios
para concientizarlos sobre la
seguridad de los datos.

Bajas de voltaje y poca Fallas

en
concientizacin por parte suministro
del
personal energa
administrativo.

el Hardware
de

El trabajador externo puede

ser una vctima incgnita,
indirecta y presencial a una
agresin externa en contra
de la Empresa.

Atentados a las Manejo y

instalaciones de la control de
empresa
personal
(vandalismo)

Errores de usuario

El personal no Manejo y
cuenta con las control de
actitudes
y personal
aptitudes
requeridas
para
hacer uso de la
informacin
por
medio
de
los
sistemas
de
informacin.

SERVICIO PBLICO DE EMPLEO (SPE)

Vulnerabilidad
Falta de actualizacin del
sistema operativo de los
equipos de cmputo, No tiene
licencia original.
Falta de actualizacin y
configuracin adecuada del
equipo, lo que no podra
realizarse con efectividad
sino se cuenta con un sistema
original
La plataforma solo es
manejada por una persona en
cada ciudad principal.

Amenazas
Fallos en
operativo

Falta de
por parte
superiores
plan de
software.

el

Riesgo

sistema Adquisicin
software que
tiene soporte
fabricante
concientizacin Fallas
en
de los mandos configuracin
para ejecutar un los equipos
legalizacin de

Se
evidencia
muchos
ataques a los activos
informticos
de
las
Unidades.

Categora
de Software
no
del
la Software
de

Perdida
de Seguridad
Informacin,
Lgica
Infiltracin
por
parte de algn
virus.
Los equipos de cmputo con El antivirus no corre con la Retraso
en la Hardware

los que cuenta la unidad ya

han cumplido su tiempo de
vida til.
Solo existe una ups la cual se
tiene para el servidor, en caso
de un bajn de energa, no
alcanza a soportar con la
conectividad de todos los
computadores e impresoras
multifuncionales
de
la
Unidad.
Se evidencia personal externo
ingresando constantemente a
oficinas
de
acceso
restringido, colocando as en
exposicin
los
activos
informticos.
Falta de conocimiento de los
usuarios en el manejo de
sistemas
informticos
existentes, se han realizado
capacitaciones a los usuarios
para concientizarlos sobre la
seguridad de los datos.

misma efectividad en los productividad

equipos obsoletos.
diaria.
Bajas de voltaje y poca Fallas
en
concientizacin por parte suministro
del
personal energa
administrativo.

el Hardware
de

El trabajador externo puede

ser una vctima incgnita,
indirecta y presencial a una
agresin externa en contra
de la Empresa.

Atentados a las Manejo y

instalaciones de la control de
empresa
personal
(vandalismo)

Errores de usuario

El personal no Manejo y
cuenta con las control de
actitudes
y personal
aptitudes
requeridas
para
hacer uso de la
informacin
por
medio
de
los
sistemas
de
informacin.

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA

N.
1

Vulnerabilidades
El software utilizado
masivamente como
las aplicaciones web,
los sistemas
operativos y la
ofimtica.

Deficiente uso de
las UPS

Amenazas
Riesgos
Inmadurez de las Operacionales
nuevas tecnologas
que se lanzan al
mercado sin haber
sido probadas en el
mercado en forma
exhaustiva.

Daos por
fluctuaciones
de voltaje en los
dispositivos
Deficiente rea de
Funcionamiento
ventilacin de los defectuoso por altas
dispositivos
temperaturas

Prdida total de
los
dispositivos
Daos
dispositivos

Categora
software

Hardware

Hardware

Claves de los
equipos de
computo poco
complejas
Uso no
personalizados de
los dispositivos
Puntos de red sin
usar

Manejo de
informacin
sin restriccin

Extraccin de
informacin

Seguridad lgica

Uso de dispositivos
sin
control
Manipulacin de
dispositivos sin
autorizacin
Ingreso de intrusos
al
sistema

Extraccin de
informacin

Seguridad lgica

Extraccin de
informacin

Seguridad lgica

Robo de
informacin o
destruccin de la
misma
Dao de la red

Seguridad lgica

Destruccin de
la
informacin por
virus
Procedimientos
incorrectos por
el talento
humano
Acceso no
autorizados a
la red
Retraso en las
actividades de la
empresa

Seguridad lgica

Poco control en
el manejo de
informacin
Hardware
obsoleto

Seguridad lgica

Contraseas de
dispositivos
deficientes

Servidores, switch,
huds,
en zonas expuestas.
Antivirus no
actualizados

Manipulacin de
dispositivos sin
autorizacin
Ataques de virus

Falta de capacitacin
en
polticas de
seguridad al personal
Claves expuestas en
los
puestos de trabajo
Deterioro de la red

Operacin
incorrecta

Navegacin de
internet sin
restriccin
Tiempo de uso de los
dispositivos

Desvi de
informacin

10

11

12

13

14

15

Ausencia de sistema
adicionales de
seguridad, de
entrada en los
sistemas de computo

ingreso de intrusos
a la
red
Presencia de
interferencias
electromagnticas

Poco
mantenimiento a
los dispositivos
Daos por desastres
naturales

Redes

Manejo y
control del
personal
Seguridad lgica

Redes

Hardware

Costo ms
elevado
Hardware

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA

N.
1

Vulnerabilidades
Deficiente rea de
ventilacin de los
dispositivos
Ausencia de sistema
adicionales de
seguridad, de entrada
en los sistemas de
computo

Amenazas
Funcionamiento
defectuoso
por
altas temperaturas
Daos por
desastres
naturales

Deficiente uso de
las UPS

Prdida total de
los
dispositivos

Hardware

Claves de los
equipos de
computo poco
complejas
Uso no
personalizados de
los dispositivos
Puntos de red sin
usar

Daos por
fluctuaciones
de voltaje en los
dispositivos
Manejo de
informacin
sin restriccin

Extraccin de
informacin

Seguridad lgica

Uso de
dispositivos sin
control
Manipulacin de
dispositivos sin
autorizacin
Ingreso de
intrusos al
sistema

Extraccin de
informacin

Seguridad lgica

Extraccin de
informacin

Seguridad lgica

5
6

Contraseas de
dispositivos
deficientes

Servidores, Switch,
hubs,
en zonas expuestas.
Antivirus no
actualizados

Manipulacin de
dispositivos sin
autorizacin
Ataques de virus

Falta de capacitacin
en
polticas de
seguridad al personal
Claves expuestas en
los
puestos de trabajo
Tiempo de uso de los
dispositivos

Operacin
incorrecta

10

11
12
13

Deterioro de la red

Categora
Hardware

Costo ms
elevado
Hardware

Riesgos
Daos
dispositivos

ingreso de
intrusos a la
red
Poco
mantenimiento a
los dispositivos
Presencia de
interferencias
electromagnticas

Robo de
Seguridad lgica
informacin o
destruccin de la
misma
Dao de la red
Redes
Destruccin de
la
informacin por
virus
Procedimientos
incorrectos por
el talento
humano
Acceso no
autorizados a
la red
Hardware
obsoleto

Seguridad lgica

Retraso en las
actividades de la
empresa

Redes

Manejo y
control del
personal
Seguridad lgica
Hardware

14

Navegacin de
internet sin
restriccin
Centro de Datos sin
Aire acondicionado

15

Desvi de
informacin
Recalentamiento
de Datacenter y
dems servidores
de Datos

Poco control en
el manejo de
informacin
Perdida de
Equipos de
Redes y
Servidores

Seguridad lgica
Redes

OBJETIVO DE LA AUDITORIA

GENERAL:
Realizar evaluacin de licenciamiento de software en estaciones de trabajo y buen
uso de correos Administrativos del Centro de Formacin Sena (Mocoa)

ESPECIFICOS:

Realizar evaluacin de licenciamiento de todos y cada uno de los 20 computadores

(Estaciones de trabajo), administrativos de la Sede Regional Putumayo Sede Mocoa

Inspeccionar y Revisar como usan los usuarios administrativos el correo Sena de manera
individual

Elaborar el plan de auditora diseando los formatos de recoleccin de informacin, el plan

de pruebas a realizar, seleccionando el estndar a aplicar y los procesos relacionados con el
objetivo de esta auditora, para obtener una informacin confiable.

Ejecutar el plan de Pruebas en los usuarios Sena.

Recolectar los datos finales generados por las pruebas y hacer informe final

ASPECTOS QUE SERAN EVALUADOS DE ACUERDO AL PLAN DE AUDITORIA

TENEMOS 2 ASPECTOS:
1. Licenciamiento de software: se involucran las 20 estaciones de trabajo de la parte
administrativa.

Aplicar revisin manual de cada usuario en una planilla de inspeccin para verificar
si los programas que estn instalados en la computadora concuerdan con los
licenciados

2. Buen uso de correos administrativos: Inspeccin a Servidor de Correo como Manager

(Administrador), Revisar dominios de envi, capacidad de buzn de correos, correo Spam,
Subscripciones realizadas con correo corporativo.

Toma de muestra manual de uso de correos en todos y cada uno de los funcionarios

PLAN DE AUDITORIA

ALCANCE
La auditora se realizar sobre la infraestructura tecnolgica y de comunicaciones de la entidad
seleccionada.

OBJETIVO
Verificar la implementacin de controles para garantizar los sistemas de informacin en cuanto a
la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad de los activos.

RECURSOS
El nmero de personas que integraran el equipo de auditoria ser de cuatro, con un tiempo
mximo de ejecucin de 3 a 4 semanas.

Metodologa

1. Recopilacin de informacin bsica

Se debe obtener una perspectiva clara de la entidad que se auditara, por ello se enviara un
requerimiento de informacin a la entidad en la cual deben reportar lo siguiente el
direccionamiento estratgico, marco y naturaleza jurdica vigente; el bien y/o servicio a prestar,
la naturaleza, caractersticas, actividades y/o procesos; los riesgos de prdida o de inadecuada
utilizacin de recursos, que se pueden presentar en desarrollo del objeto principal y la existencia
o no de controles establecidos; informes de auditoras anteriores
, planes de mejoramiento anterior e informes de evaluacin de las oficinas de control
Interno.
Es importante tambin reconocer y entrevistarse con los responsables del rea de sistemas de la
empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluirn:

Director / Gerente de Informtica

Subgerentes de informtica
Asistentes de informtica
Tcnicos de soporte externo

2. Identificacin de riesgos potenciales

Se evaluara el inventario de equipos tecnolgicos para determinar las configuraciones aplicadas
y las acciones de seguridad adelantadas y establecer la pertenencia y eficiencia de los controles
aplicados el momento de la auditoria.
Se evaluara la forma de adquisicin de nuevos equipos o aplicativos s de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los estndares de la
empresa y los requerimientos mnimos para ejecutar los programas base y alineados con los
controles cobit 4.1 para la adquisicin de software.

DOMINIOS A EVALUAR
Dentro del proceso solo se evaluaran dos dominios.

Planear y Organizar (PO): Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro
de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnolgica apropiada.
Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e
integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.

Entregar y Dar Soporte (DS): Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de
los datos y de las instalaciones operativos.
CONTROLES
Se evaluaran los siguientes controles para los sistemas de informacin:
AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos
fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos
establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y
aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de
buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean
informados y corregidos.

AC2 Recoleccin y Entrada de Informacin Fuente: Establecer que la entrada de datos se

realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de
los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de
autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener
los documentos fuente original durante el tiempo necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las transacciones son
exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan
cerca del punto de origen como sea posible.

AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validacin de los datos
a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el
procesamiento de transacciones vlidas.
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores: Establecer procedimientos y
responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada,
entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y
corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.
AC6 Autenticacin e Integridad de Transacciones: Antes de pasar datos de la
transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la
empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del
contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.

PROCESOS EVALUADOS
La auditora evaluara los siguientes procesos:

PO1 Definir un Plan Estratgico de TI

PO3 Determinar la Direccin Tecnolgica
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

Objetivos de control
Durante la auditoria se evaluaran los siguientes objetivos de control

PO1.1 Administracin del Valor de TI.

PO1.3 Evaluacin del Desempeo y la Capacidad Actual.
PO1.4 Plan Estratgico de TI.
PO3.2 Plan de Infraestructura Tecnolgica.
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.

Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos
en el paso anterior.
Obtencin de los resultados.
En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de
control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de
control antes definidos.
Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva
de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se
expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de
informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las
normativas de seguridad como por ejemplo normativas de uso de password, formularios de
adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que
los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son
partes responsables de seguridad, mantenimiento y supervisin de las otras reas.
Entrega del informe a los directivos de la empresa.
Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe final
con los resultados obtenidos en la auditoria.
Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los puntos en
los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los
objetivos de control se sigan.

CRONOGRAMA

CONCLUSIONES
Hoy da podemos observar que es de gran importancia la Auditora de Sistemas de la
Informacin para las empresas, debido al cambio tecnolgico continuo y avanzado generando
modernizacin con visin amplia de futuro, ya que si no se obtienen los elementos necesarios de
control, seguridad y respaldo de la informacin dentro de una empresa se ver envuelta a riesgos
lgicos, fsicos y humanos, que conlleven a fraudes econmicos, informativos y generando as
perdidas a las empresas. Para ello la auditoria de sistemas debe comprender no slo la
evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que
tambin se tendr que evaluar los sistemas de informacin en general desde sus entradas,
procedimientos y controles; para lo cual se ve la necesidad de minimizar los riesgos y generar en
el talento humando sentido de pertenencia bajo lo que est a cargo de forma responsable.

BIBLIOGRAFIA

BIBLIOGRAFIA