Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Auditoria de sistemas - 90168

Fase 2, Planeacin de la auditora

Vctor Julio Martnez Barrios

William Mario Villa

Eider Jos Negrete

Enrique David Pinto

Juan David Jimenez

Grupo colaborativo: 90168_6

Tutor

Yolima Esther Mercado Palencia

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Auditoria de sistemas

2017

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Contenido

INTRODUCCIN.......................................................................................................4

1 Cuadro de vulnerabilidades amenazas y riesgos informticos..........................5

1.1 Resumen del cuadro de vulnerabilidades..................................................10

2 Objetivos de la auditora....................................................................................11

2.1 Objetivo general..........................................................................................11

2.2 Objetivos especficos..................................................................................11

3 Alcances de la Auditoria....................................................................................12

4 Estructura estndar COBIT versin 4.1............................................................13

5 Procesos a implementar...................................................................................14

5.1 PO1 Definir el plan estratgico de TI.........................................................14

5.2 DS7 Educar y Entrenar a los Usuarios......................................................15

5.3 DS5 Garantizar la seguridad de los sistemas............................................15

5.4 DS5.4 Determinar la direccin tecnolgica:...............................................18

6 Metodologa.......................................................................................................21

6.1 Metodologa para el objetivo 1...................................................................21

6.2 Metodologa para el objetivo 2...................................................................21

6.3 Metodologa para el objetivo 3...................................................................22

6.4 Metodologa para el objetivo 4...................................................................22

7 Recursos...........................................................................................................23

7.1 Recursos humanos.....................................................................................23

7.2 Recursos fsicos.........................................................................................23

7.3 Recursos tecnolgicos...............................................................................24

7.4 Recursos econmicos................................................................................24

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

8 Cronograma......................................................................................................25

CONCLUSIONES....................................................................................................26

Referencias Bibliogrficas.......................................................................................27

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

INTRODUCCIN

La Auditora Informtica es un proceso que consiste en recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin salvaguarda el activo
empresarial, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organizacin, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.

Por tal razn, en el desarrollo de este trabajo elaboraremos un Plan de Auditoria

sobre el rea informtica de la empresa Softcaribbean S.A., para lo cual
identificaremos inicialmente las vulnerabilidades, amenazas y riesgos de los
activos informticos con que cuenta dicha empresa. Posteriormente, con base a
las vulnerabilidades, amenazas y riesgos encontrados, estableceremos los
objetivos, alcances y metodologa de la auditoria, con el fin de volver ms eficaz,
eficiente y confiable el rea informtica de Softcaribbean S.A.

Para llevar a cabo esta auditora, utilizaremos el estndar COBIT 4.1, la cual es
una herramienta para tecnologas de informacin utilizada en la ejecucin de
auditoras; La estructura del estndar COBIT se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con delimitacin o cortes de
control y objetivos de control o actividades requeridas para lograr un resultado
medible.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

1 Cuadro de vulnerabilidades amenazas y riesgos

informticos
N Vulnerabilidad Amenazas Riesgo Categora
Difusin de
software daino Instalacin de software
Uso de software
Exposicin de espa en las mquinas de
1 no licenciado en la Software
informacin los empleados de la
empresa
privada de la empresa.
empresa
Falta de actualizacin y
Falta de
Fallas en la configuracin adecuada del
capacitacin del
2 configuracin de equipo por parte del Software
personal del rea
los equipos personal del rea de
informtica.
sistemas
Cadas de los
Fallas en los
sistemas
sistemas Ausencia de parches de
operativos
operativos seguridad y
3 Software
instalados sin actualizaciones, prdida de
Salida de servicio
licencia o con informacin.
de los equipos de
licencias vencidas
computo
Se instalan sistemas
Manipulacin de
Adquisicin de operativos piratas sin
los equipos,
software que no licencias lo que ocasiona la
4 instalacin de Software
tiene soporte del perdida de informacin por
sistemas
fabricante daos en el sistema
operativos
despus de cierto periodo.
Accesos no No existen directivas de
Faltan controles
autorizados a encriptacin de discos Seguridad
5 de acceso a la
informacin de la duros de los computadores lgica
informacin
empresa de la empresa
6 No existen Prdida de datos No existen planes de Seguridad
procedimientos por fallas humanas. contingencia en caso de lgica
para la prdidas de informacin y

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

administracin de
copias de seguridad.
la informacin
La informacin Los sistemas de
transmitida no Intercepcin informacin disponibles no
Seguridad
7 est cifrada o hay Modificacin cifran los datos cuando se
lgica
prdida de Ataque estn almacenando o
informacin transmitiendo
Mal uso del correo Uso indebido del correo
institucional, ya que electrnico para el envo de
Fuga de Seguridad
8 no se utiliza solo informacin a personal
informacin lgica
para comunicacin externo o para el registro en
laboral foros y redes sociales.
Algunos de los empleados
Exposicin de conectan dispositivos
Uso de informacin personales no seguros a la
dispositivos no sensible red de la empresa lo que Seguridad
9
seguros en la red puede generar huecos de lgica
empresarial Accesos no seguridad dando cabida a
autorizados la entrada de piratas
cibernticos.
La no aplicabilidad en
Firewall saber qu
puertos se deben bloquear
No existe un Accesos No o permitir, la forma de Seguridad
10
firewall activo autorizados interactuar con ella o es lgica
propietario de ella, quien
tiene acceso a la consola
de control.
Falta de controles y
Robo de Falta de control de restricciones para el acceso Seguridad
11
informacin acceso en internet a internet por parte de los lgica
empleados.
12 Ausencia de Desastres El personal encargado no Seguridad
planes para naturales realiza copias de seguridad lgica
recuperacin de de los datos en el servidor

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

informacin
Los estudiantes y personal
No existe proceso no autorizado pueden crear
Creacin indebida Seguridad
13 de revisin de contraseas en porttiles y
de contraseas lgica
contraseas Tablet sin ningn control
administrativo.
Se encuentran activas
cuentas de usuarios en
Falta de control de
Suplantacin de todos los equipos de Seguridad
14 cuentas de
identidad. cmputo sin ninguna lgica
usuario
restriccin ni tampoco
orden.
Adquisicin, en No existen revisiones
Falta de revisin cualquier momento, preventivas a los
peridica de los de algn software computadores, sino que
equipos de malicioso que solo son intervenidos Seguridad
15
cmputo para ponga en riesgo la cuando presentan algn Lgica
detectar algn seguridad de la tipo de falla, atribuida a la
software malicioso informacin de la adquisicin de algn
empresa software malicioso
Falta de control en
Ausencia de Modificacin o borrado de
los permisos y
perfiles y informacin o de algn
privilegios de cada Seguridad
16 restricciones para software instalado por parte
uno de los Lgica
los usuarios de la de cualquier usuario de la
usuarios de la
red empresa
empresa
Desconocimiento
No se capacita al personal Manejo y
en seguridad
17 Errores de usuario en temas relacionados con control de
informtica de los
la seguridad informtica personal
empleados
No se tiene implementado
Acceso no un sistema de identificacin Manejo y
Entrada o Accesos
18 autorizado a las de empleados, visitantes, control de
no autorizados
reas restringidas acompaantes y registro de personal
visitantes.
19 Acceso no Acceso fsico a los Los servidores y equipos de Manejo y

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

red se encuentran en un
autorizado al rea recursos del armario pero el mismo est control de
de sistemas sistema expuesto en uno de los personal
pasillos de la oficina
Malos hbitos de Reducimiento de la Falta de capacitacin y Manejo y
20 uso de los equipos vida til de los sensibilizacin del personal control de
de computo Computadores del rea de sistemas personal
Funcionamiento Manejo y
Errores de Falta de capacitacin en el
21 inadecuado de los Control de
Programacin personal de Sistemas
software instalados Personal
No existe un control sobre
los insumos y recursos
informticos que la
Falta de control en Uso de los insumos
empresa compra, lo cual
el uso de los y recursos Manejo y
permite que estos sean
22 insumos y informticos para Control de
utilizados para tareas
recursos oficios ajenos a los Personal
diferentes a las previstas,
informticos de la empresa
haciendo que stos se
acaben de una manera ms
rpida
No se garantiza la Exposicin de Los empleados no usan
23 seguridad en las informacin VPN para conectarse a la Redes
conexiones sensible red de la empresa
Interrupciones en
las Algunos de los segmentos
El cableado comunicaciones, de la red se encuentran a la
estructurado no Perdida de intemperie lo que puede
24 Redes
cumple con las informacin, generar daos en los
normas Retraso en los cables afectando el servicio
procesos de la red.
productivos
25 Fallos en la red Mala configuracin La mala configuracin de Redes
LAN de los equipos de estos dispositivos permite
cmputo routers, que tengamos demoras en
switch y Tablet la utilizacin y bien uso de

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

los equipos.
No existe un Utilizacin de Ingreso a pginas no
Control y internet para educativas por parte de los
26 Redes
monitoreo en el ingresar a pginas estudiantes lo que aumenta
acceso a Internet no educativas. la falta de estudio.
Bajas de voltaje y
La empresa no cuenta con
Fallas en el poca
una Ups robusta para
27 suministro de concientizacin por Hardware
mitigar el constante fallo de
energa parte del personal
luz en la zona.
administrativo.
No existe control Exposicin de introducir
de algn virus no identificado y
Introduccin de
28 los dispositivos de puede ocasionar bloque de Hardware
informacin falsa.
almacenamiento archivos, perdida de
(usb, cd, discos). informacin.
Falta de planes de
Perdida de la
mantenimiento y No hay planes de
informacin por
29 limpieza de los Mantenimiento preventivo a Hardware
dao en los
equipos de los Equipos de Cmputo.
equipos
computo
La falta de presupuesto
hace que en varias
Compra de Mal funcionamiento
ocasiones, al momento de
repuestos, de baja y acortamiento de
comprar un repuesto, se
30 calidad, para los la vida til de los Hardware
piense ms en economa
equipos de equipos de
que en calidad, comprando
computo computo
as repuestos de baja
calidad.

1.1 Resumen del cuadro de vulnerabilidades

ACTIVO CASOS PRESENTADOS

Seguridad lgica 12

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Manejo y control de personal 6

Redes 4
Software 4
Hardware 4

2 Objetivos de la auditora

2.1 Objetivo general

Realizar la auditora a la seguridad lgica y al manejo del hardware y
software por parte del personal dentro de la empresa Softcaribbean
S.A. de la ciudad de Medelln, Antioquia.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

2.2 Objetivos especficos

Reconocer las polticas actuales en seguridad lgica y de
tratamiento de las herramientas de hardware y software
implementadas por la empresa Softcaribbean S.A.

Elaborar el plan de auditora diseando los formatos de

recoleccin de informacin, el plan de pruebas a realizar,
seleccionando el estndar a aplicar y los procesos relacionados
con el objetivo de esta auditora, para obtener una informacin
confiable.

Ejecutar las pruebas y aplicar los instrumentos que han sido

diseados para determinar los riesgos existentes en las
polticas de seguridad lgica y los riesgos ms frecuentes que
enfrentan los usuarios en su interaccin con las herramientas
de hardware y software de la empresa, para elaborar la matriz
de riesgos y medir la probabilidad de ocurrencia y el impacto
que causan.

Realizar el dictamen de la auditora para los procesos

evaluados en el estndar, y presentar el informe de resultados
de la auditora.

3 Alcances de la Auditoria

La auditora estar enfatizada en los diferentes programas y mecanismos que

utiliza la empresa Softcaribbean S.A. para lograr una seguridad optima de la
informacin. Dentro de los aspectos a mirar se encuentran los distintos
procedimientos para la administracin de la informacin, de manera que se
evite la perdida de la misma por fallas humanas, tales como el mal uso del
correo institucional, el uso indebido de la internet, la creacin indebida de

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

contraseas, entre otras. Tambin se evaluarn la creacin de usuarios y los

perfiles y permisos dados a los mismos, as como los programas de
recuperacin de informacin, en caso de ocurrir algn desastre natural, de
manera que se garantice una recuperacin total de la misma en caso que esto
ocurra. Adems, se analizarn los dispositivos utilizados en la red de la
empresa, con el objeto de mirar si estos cumplen con los estndares de
calidad necesarios para garantizar la seguridad total de la informacin.

Por su parte, en cuanto al tema de Software se refiere, se revisarn las

licencias de los diferentes softwares utilizados por la empresa, incluyendo
dentro de estos los antivirus, as como las licencias de los sistemas operativos
de los distintos equipos de cmputo. Tambin, se mirarn los programas de
capacitacin para el personal del rea de informtica, esto con el fin de evitar
errores en la configuracin de los equipos de cmputo.

Mirando hacia la parte de hardware, se evaluarn los diferentes programas de

mantenimiento preventivo de los equipos de cmputo con que cuenta la
empresa, con el fin de evitar perdida de la informacin por dao en alguno de
estos, as como, la calidad de los repuestos que se compran cuando ya el
dao ocurre. De igual manera, se observarn los dispositivos con que la
empresa cuenta para contrarrestar los fallos que se presentan en el fluido
elctrico, tales como UPS, estabilizadores y reguladores de voltaje, polo a
tierra, entre otros. Adems, los controles para dispositivos como usb, discos y
cd, para evitar la adquisicin de algn virus malicioso a travs de los mismos.

Por ltimo, dado la importancia que posee el manejo y control de personal, se

revisaran los programas de capacitacin en temas de seguridad informtica y
concientizacin de los hbitos de uso tanto de los equipos de cmputo como
de los insumos tecnolgicos con que la cuenta la empresa, por parte de sus
empleados. Tambin, se evaluar la calidad del cableado estructurado y de los
equipos de la red LAN de la empresa.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

4 Estructura estndar COBIT versin 4.1

Planear y Organizar (PO): Estrategias y tcticas. Identificar la manera en que

TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.
Proporciona direccin para la entrega de soluciones (AI) y la entrega de
servicio (DS).

Adquirir e Implementar (AI): Identificacin de soluciones, desarrollo o

adquisicin, cambios y/o mantenimiento de sistemas existentes. Proporciona
las soluciones y las pasa para convertirlas en servicios.

Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.

Incluye la prestacin del servicio, la administracin de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administracin de los
datos y de las instalaciones operacionales. Recibe las soluciones y las hace
utilizables por los usuarios finales.

Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administracin del
desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la
aplicacin del gobierno. Monitorear todos los procesos para asegurar que se
sigue la direccin provista.

El cubo COBIT

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

5 Procesos a implementar

5.1 PO1 Definir el plan estratgico de TI

La definicin de un plan estratgico de tecnologa de informacin,

permite la gestin y direccin de los recursos de TI de acuerdo a las
estrategias y requerimientos de la dependencia, los objetivos de
control a evaluar son:

PO1.3 Evaluacin del Desempeo y la Capacidad Actual: La

dependencia de registro y control acadmico mantiene una
evaluacin peridica del desempeo de los planes
implementados dentro de la entidad y de los sistemas de
informacin encaminados a la contribucin del cumplimiento de
los objetivos de la dependencia.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

5.2 DS7 Educar y Entrenar a los Usuarios

Se ha podido detectar, en una revisin inicial de los procesos de la
empresa y tras la evaluacin del cuadro de vulnerabilidades, que se
presentan muchos riesgos en la empresa asociados a la falta de
entrenamiento y conocimiento de los usuarios con respecto a temas
relacionados con la seguridad informtica. Por tal motivo se realizarn
actividades tendientes a:

DS7.1 Identificacin de Necesidades de Entrenamiento y

Educacin
DS7.2 Imparticin de Entrenamiento y Educacin
DS7.3 Evaluacin del Entrenamiento Recibido

5.3 DS5 Garantizar la seguridad de los sistemas

Garantizar la proteccin de la informacin e infraestructura de TI con

el fin de minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI. Los objetivos de control que se evaluarn son los
siguientes:

DS5.4 Administracin de Cuentas del Usuario:

Garantizar que la solicitud, establecimiento, emisin,
suspensin, modificacin y cierre de cuentas de usuario y de
los privilegios relacionados, sean tomados en cuenta por un
conjunto de procedimientos. Debe incluirse un procedimiento de
aprobacin que describa al responsable de los datos o del
sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, sin
excepcin alguna. Adems, se deben realizar revisiones
regulares de la gestin de todas las cuentas y los privilegios

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

asociados, de manera que despus de algn tiempo de

inactividad de alguna cuenta, sta sea bloqueada de forma
automtica.
Para lograr una administracin correcta de las cuentas de
usuario, se requiere:
Solicitar un listado de todas las cuentas de usuarios
existentes en la empresa.
Solicitar los perfiles y privilegios otorgados a cada una de
estas cuentas creadas.
Revisar detalladamente los perfiles de las cuentas, y as
establecer si fueron otorgados de acuerdo a las
funciones de cada usuario, o si hay algn usuario que
tenga ms privilegios de los que necesita para el
desarrollo de su trabajo.
Revisar las solicitudes de creacin de cada una de estas
cuentas de usuarios, explicando los motivos por los
cuales se crean.
Requerir las aprobaciones para la creacin de las
cuentas de usuarios, firmadas por el gerente de la
empresa y el jefe de sistemas.
Pedir las actas de las revisiones de gestin de cada una
de las cuentas de usuarios creadas.
Entrevista con el responsable de la creacin, bloqueo y
eliminacin de las cuentas de usuarios.
Entrevista con algunos empleados que posean una
cuenta de usuario, para indagar el uso que les dan a
dichas cuentas.

DS5.9 Prevencin, Deteccin y Correccin de Software

Malicioso:
Garantizar procedimientos para el manejo y correccin de
problemas ocasionados por software malicioso generalmente
en el caso de virus.
Para cumplir plenamente con la Prevencin, Deteccin y
Correccin de Softwares maliciosos se requiere:

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Solicitar lista de los Antivirus instalados en cada uno de

los equipos de cmputo de la empresa.
Requerir las licencias de los Antivirus instalados
Revisar la correcta instalacin, funcionamiento y
actualizacin de los antivirus
Solicitar el programa de escaneo de los equipos de
cmputo por su respectivo antivirus, indicando cada
cuanto y a qu hora se realizan los escaneos.
Pedir un informe acerca de los procedimientos seguidos
una vez se detecta algn software malicioso en algn
equipo.
Entrevista con el encargado de la instalacin y
actualizacin de los Antivirus.

DS5.10 Seguridad de la Red:

Al existir conexin a la red de internet se debe implementar el

uso de tcnicas de seguridad y procedimientos de
administracin asociados como firewalls, para proteger los
recursos informticos y dispositivos de seguridad.
Revisar los equipos de cmputo, con el objeto de
observar si tienen el firewall activo.
Inspeccionar los equipos que conforman la red de la
empresa, para revisar que tan seguros son.
Solicitar la documentacin de los planes de la red.
Realizar una entrevista al encargado de administrar la
red.
Conocer los problemas ms frecuentes en la red por
parte de los usuarios.
Revisar el cableado estructurado de la red, para
observar si cumple con las condiciones mnimas de
seguridad.
Solicitar los planes de control y acceso al internet
Realizar una encuesta entre los empleados para
determinas que tipo de pginas de internet son las ms
visitadas.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

5.4 DS5.4 Determinar la direccin tecnolgica:

La funcin de servicios de informacin debe determinar la direccin

tecnolgica para dar soporte al negocio. Esto requiere de la creacin
de un plan de infraestructura tecnolgica y de un comit de
arquitectura que establezca y administre expectativas realistas y
claras de lo que la tecnologa puede ofrecer en trminos de productos,
servicios y mecanismos de aplicacin. Verificar la existencia de un
plan de infraestructura tecnolgica y de comit de arquitectura que
administre expectativas realistas y claras de lo que la tecnologa
puede ofrecer a la empresa en todas y cada una de las reas
funcionales y crticas para la empresa, se revisara la direccin
tecnolgica, los planes de adquisicin, protocolos y contingencias
definidos por el rea encargada.

Planeacin de la Direccin Tecnolgica.

Se deben generar estndares de calidad mnimos que debe

cumplir la direccin de tecnologa de la entidad auditada, tales
como seguridad en redes y aplicativos, seguridad en
contraseas y accesos a niveles superiores de sistemas
embebidos y que son de vital importancia de la entidad, as
mismo se de planificar con terceros si es el caso las labores a
ejecutar en marco a esta planeacin estratgica.

Se debe generar y dar a entender la importancia de la direccin

de tecnologa para que la empresa haga un cambio acertado
tecnolgicamente.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Plan de Infraestructura Tecnolgica.

Se debe generar un plan de adquisicin de infraestructura

faltante que ayude a que los procesos sean ms eficientes y
que los objetivos de la empresa sean ms fciles de realizar, al
igual que se necesita que todos estos planes de adquisicin
sean destinados para el sector corporativo asi las cosas la
durabilidad de estos ser mayor.

Monitoreo de Tendencias y Regulaciones Futuras.

Debe haber una identificacin de que tecnologas son

importantes para la empresa y que representaran un potencial
en el aumento de ventaja competitiva. As como tambin se
verificara la respectiva normativa en la aplicacin y compra de
dicha infraestructura

Estndares Tecnolgicos.

Definicin de los estndares propios de la organizacin, ya que

estos deben identificar cules son los mnimos requerimientos
necesarios para la apropiada adquisicin y puesta en marcha
de determinada tecnologa, as como su constante medicin en
caso de hacerse efectiva la compra de la infraestructura. Antes
de cualquier cosa se deber identificar los riesgos asociados a
la tecnologa en cuestin y su beneficio de adquisicin.

Consejo de Arquitectura de Tecnologa de la informacin.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Se aconseja que exista un comit o grupo organizador

encargado de definir las directrices que la empresa seguir
para definir su plan de infraestructura. Se encargara tambin
del diseo de la infraestructura de TI y el cumplimiento de la
parte regulatoria, tanto interna mediante el cumplimiento de
estndares, como tambin la externa relacionada con la
regulacin de las tecnologas

6 Metodologa

6.1 Metodologa para el objetivo 1

Solicitar documentacin asociada a polticas para la adquisicin e

instalacin de software establecidas por la empresa.
Solicitar documentacin respecto a las polticas de control de
usuarios definidas por la empresa.
Solicitar inventario actualizado de los equipos de cmputo de la
empresa.

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Realizar entrevista con el personal encargado de la seguridad

informtica en la empresa.
Solicitar informacin de los usuarios.
Evaluar el dominio por parte de los usuarios con respecto a las
herramientas de hardware y software usadas por la empresa.
Evaluar el conocimiento de los usuarios con respecto a temas
asociados a la seguridad informtica.
Indagar respecto al programa de capacitaciones en torno al uso
correcto de las herramientas tecnolgicas, llevadas a cabo por la
empresa.
Consultar a los usuarios su opinin respecto a la efectividad de las
capacitaciones impartidas y los temas que consideran deben ser
abordados en prximas capacitaciones.

6.2 Metodologa para el objetivo 2

Elaboracin de Programa de Auditoria

6.3 Metodologa para el objetivo 3

Evaluacin de Riesgos
Ejecucin de Pruebas y Obtencin de Evidencias
Elaboracin de la matriz de riesgos

6.4 Metodologa para el objetivo 4

Elaboracin del informe

Sustentacin del informe
Ejecucin de encuesta retrospectiva

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

7 Recursos

7.1 Recursos humanos

Nombres y Rol en la Componente a

apellidos auditora auditar
Auditora de los
Ing. Vctor Julio
Lder de auditora usuarios y su
Martnez
capacitacin
Auditora de la
Ing. Enrique David
Auditor 1 seguridad en los
Pinto
sistemas
Ing. William Mario Auditor 2 Auditorio plan

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

estratgico de las
Villa tecnologas de la
informacin.
Ing. Eider Jos
Auditor 3
Negrete

7.2 Recursos fsicos

La auditora se llevar a cabo en la empresa Softcaribbean S.A. de la

ciudad de Medelln, Antioquia a las polticas de seguridad lgica y a
los usuarios y sus conocimientos para relacionarse con el hardware y
software usado en la empresa.

7.3 Recursos tecnolgicos

Computadora porttil para llevar a cabo las anotaciones durante
las entrevistas al personal del rea de sistemas y a los usuarios.
Cmara fotogrfica para la toma de evidencias de la ejecucin del
plan de auditora
Herramientas audiovisuales para la realizacin de capacitaciones

7.4 Recursos econmicos

tem Cantidad Subtotal

Computador 1 680.000
Cmara digital 1 400.000
Video Beam 1 400.000
Papelera 1 10.000
Viticos 1 30.000
Total 1.520.000

Fase 2|Trabajo colaborativo I

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

8 Cronograma
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

CONCLUSIONES

Con la elaboracin de este trabajo, pudimos concluir que los principales objetivos
de la auditora Informtica son el anlisis de la eficiencia de los Sistemas
Informticos, la verificacin del cumplimiento de la Normativa en este mbito y la
revisin de la eficaz gestin de los recursos informticos.

As mismo, con respecto al estndar COBIT, utilizado como base para la

elaboracin del plan de auditoria, podemos decir que se basa en la efectividad, la
cual se refiere a que la informacin relevante sea pertinente para el proceso del
negocio, as como a que su entrega sea oportuna, correcta, consistente y de
manera utilizable, la eficiencia, se refiere a la provisin de informacin a travs de
la utilizacin ptima de recursos, la confidencialidad, se refiere a la proteccin de
informacin sensible contra divulgacin no autorizada, la integridad, se refiere a la
precisin y suficiencia de la informacin, as como a su validez de acuerdo con los
valores y expectativas del negocio, la confiabilidad de la informacin, se refiere a
la provisin de informacin apropiada para la administracin con el fin de operar la
entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento, la tecnologa, la cual cubre hardware, software, sistemas operativos
y sistemas de administracin de bases de datos, multimedia, redes, entre otros.
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168

Referencias Bibliogrficas

Echenique, J. A. (2001). Auditora en Informtica. Ciudad de Mxico, Mxico:

Editorial McGraw-Hill.

Espino, M. G. (2014). Fundamentos de auditora. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
docID=11038908&ppg=4

Gmez, . (2014). Auditora de seguridad informtica. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11046196

Solarte, F. N. J. (30 de noviembre de 2011). Auditora informtica y de sistemas.

Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html