Auditoria Fase3 Colaborativo V4

Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

Curso: Auditoria de Sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Auditoria en sistemas
Grupo: 90168_19
Fase 3 – Planeación y ejecución de la Auditoria
Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1114451738
DIEGO VARELA
Código:1113639731
PAOLA ANDREA RODRIGUEZ
Código: 52667062
JEISSON LENIS
Código: 1.113.654.486
LUIS CARLOS CABAL
Código: 1.113.676.091
Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE
Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)

CEAD Palmira
Abril de 2018
INTRODUCCIÓN
Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores de la

auditoria de sistemas, que se socializan en la Fase 3 – Planeación y ejecución de la
Auditoria.
Así mismo, vamos a compartir mediante los procesos CobIT del programa de auditoria,
diseñando instrumentos de recolección de información para proceder con el proceso de
auditoría.
OBJETIVOS
Objetivo General
Aprender a diseñar los instrumentos de recolección de la información de acuerdo al

estándar CobIT.
Objetivos Específicos
Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría.
Fortalecer nuestro campo visual en la auditoria en sistemas.

Cuadro de Consolidado
INTEGRANTE DOMINIO PROCESO OBJETIVOS DE COTROL

Roberto Jose Entrega de DS6: DS6.1 Identificación de Necesidades
Serrano Servicios y Educación y de Entrenamiento y Educación
Soportes entrenamiento
de usuarios. DS6.2 Impartición de Entrenamiento y
Educación
DS6.3 Evaluación del Entrenamiento

Recibido
Roberto Jose Entrega de DS11: DS11.1 Requerimientos del Negocio

Serrano Servicios y Administración para Administración de Datos
Soportes de Datos.
DS11.2 Acuerdos de Almacenamiento
y Conservación
DS11.3 Sistema de Administración de

Librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad

para la Administración de Datos
Paola Andrea Entrega de DS12: DS12.2 Medidas de Seguridad Física

Rodríguez Servicios y Administración
Soportes del Ambiente DS12.3 Acceso Físico
Físico
DS12.4 Protección Contra Factores
Ambientales
Jeisson Lenis Planificar y PO6: PO6.1 Ambiente de Políticas y de
Organizar Comunicar las Control
Aspiraciones y
la Dirección de PO6.2 Riesgo Corporativo y Marco de

la Gerencia Referencia de Control Interno de TI
PO6.1 Ambiente de Políticas y de

Control
PO7: PO7.4 Entrenamiento del Personal de

Administrar TI
Recursos
Humanos de TI
DS5 Garantizar DS5.10 Seguridad de la Red
la Seguridad
de los DS5.9 Prevención, Detección y
Sistemas Corrección de Software Malicioso
Luis Carlos Entrega de DS9 Administrar DS9.1 Administración de los
Servicios y la Configuración componentes de TI
Soportes
DS9.2 Control de cambios de los
componentes TI
DS9.3 Verificación de existencia de los

componentes de TI
Diego Entrega de DS3 DS3.1 Planeación del Desempeño y la
Fernando Servicios y Administrar el Capacidad
Varela Heredia Soportes Desempeño y
la Capacidad
DS12 DS12.5 Administración de
Administración Instalaciones Físicas
del Ambiente
Físico
APORTE ROBERTO JOSE SERRANO
Los procesos CobIT escogidos son los siguientes:
Proceso N° 1
1. DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los

usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de
los riesgos y responsabilidades involucrados realizando un plan completo de
entrenamiento y desarrollo.
Objetivos de control
1.1. DS6.1 Identificación de Necesidades de Entrenamiento y Educación
1.2. DS6.2 Impartición de Entrenamiento y Educación
1.3. DS6.3 Evaluación del Entrenamiento Recibido
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1
ENTREVISTA
ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

AUDITADA 1 D 1
E
OBJETIVO Fortalecer el uso de las herramientas tecnológicas.
AUDITORÍA
PROCESO Educación y entrenamiento de usuarios.
AUDITADO
RESPONSABLE Roberto José Serrano Pérez
MATERIAL DE SOPORTE COBIT
DOMINIO DS6 PROCESO Educación y entrenamiento de
usuarios: El objetivo es asegurar
que los usuarios estén haciendo
un uso efectivo de la tecnología y
estén conscientes de los riesgos
y responsabilidades involucrados
realizando un plan completo de
entrenamiento y desarrollo.
ENTREVISTADO Doris Elena Martinez

CARGO Auxiliar de Biblioteca
1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar

mejor su desempeño?
Si, la universidad me aporta las herramientas necesarias para elaborar mi trabajo

acorde a lo solicitado.
2. ¿Qué función desempeña en la Universidad?
Mi función es prestar los libros y recursos bibliográficos con que cuenta la biblioteca
de la universidad
3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día

a día?
El computador y el lector de códigos de barras
4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es

básico, intermedio, avanzado, justifique su respuesta?
Creo que es básico porque las tecnologías son algo complejas y dentro de mi trabajo
solo utilizo una parte que he aprendido mediante capacitaciones que se requieren
para laborar en mi puesto.
5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas

tecnológicas?
La verdad es que son muy pocas la capacitación referente a las tecnologías se

puede decir que son una vez por semestre
6. ¿Qué tipo de capacitaciones le gustaría realizar?
Manejo de Excel, porque creo que es indispensable por estos tiempos

7. ¿Las características del equipo son suficientes para el desempeño de su
trabajo?
Si el computador me parece muy bueno además es muy reciente

8. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
Cuando me falla el equipo lo que hago es acudir al área de sistemas de la

universidad quien se encarga de estos asuntos.
9. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas?
Manejo Excel, Word ya que el resto de cosas que se realizan son en línea
10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en
su día a día?
Si creo que hasta el momento todo es acorde a mi trabajo

11. ¿Desea agregar algún otro comentario sobre los temas en relación de la
entrevista?
Ninguna
Doris Elena Martínez Diego Fernando Varela
______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
LISTA DE CHEQUEO
LISTA CHEQUEO
Educación y
DOMINIO DS6 PROCESO entrenamiento de
usuarios
DS6.1 Identificación de Necesidades de
OBJETIVO DE CONTROL
Entrenamiento y Educación
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Se realizan capacitaciones para
Aunque muy pocas
1 el manejo del aplicativos? X
veces
OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación

¿Es consciente del uso adecuado

2 de las herramientas X Creo que son vitales
tecnológicas?
OBJETIVO DE CONTROL DS6.3 Evaluación del Entrenamiento Recibido
Si, pero más bien
relacionado con salud
¿Ha recibido usted algún plan de
ocupacional en el
3 capacitación para mejorar su X
trabajo, es decir muy
desempeño laboral?
poco sobre lo
tecnológicos
CUESTIONARIO
CUESTIONARIO CUANTITATIVO REF

AUDITADA 1 DE 1
PROCESO Educación y entrenamiento de usuarios
AUDITADO
RESPONSABLES Roberto José Serrano Pérez
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO DS6 PROCESO DS6.1 Identificación de
Necesidades de
Entrenamiento y
Educación
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Considera que es importante el uso 4

adecuado de las TICS?
2 ¿Conoce sobre las políticas utilizadas 1 3
por el área de Tecnología?
3 ¿Realiza periódicamente capacitaciones 2 2
en donde se incluya al usuario como
principal capa de seguridad?
4 ¿Realizan seguimiento para evaluar el 4
conocimiento adquirido en el campo
laboral que se encuentra usted?
5 ¿Existe un plan de acción para mitigar 4
los espacios en blancos “Dudas o
inquietudes” sobre el uso de software?
6 ¿Los aplicativos o software que utiliza 4
son adecuados para el desarrollo de su
actividad laboral?
TOTAL 15 9
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)
Proceso N° 2
2. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan

completos, precisos y válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI
2.1. DS11.1 Requerimientos del Negocio para Administración de Datos
2.2. DS11.2 Acuerdos de Almacenamiento y Conservación
2.3. DS11.3 Sistema de Administración de Librerías de medios
2.4. DS11.4 Eliminación
2.5. DS11.5 Respaldo y Restauración

2.6. S11.6 Requerimientos de Seguridad para la Administración de Datos
ENTREVISTA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la
AUDITORÍA información de la empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Roberto José Serrano Pérez
DOMINIO DS11 PROCESO Administración de Datos: El
objetivo es asegurar que los
datos permanezcan completos,
precisos y válidos durante su
entrada, actualización, salida y
almacenamiento, a través de
una combinación efectiva de
controles generales y de
aplicación sobre las operaciones
de TI.
ENTREVISTADO Octavio de la Cruz

CARGO Auxiliar de Computo
1. ¿Realizan copias de seguridad en la empresa?
Si se realiza copias de seguridad
2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo

o equipo móvil?
Semestralmente es decir alrededor de 6 meses

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?
Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que
se realizan en las diferentes oficinas.
4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la

empresa?
La universidad realiza backup a toda la información que se hace en línea, pero no

conozco si es alguna empresa o si este proceso lo hace directamente la universidad
5. ¿Sabe sobre el manejo del almacenamiento en la nube?
Si regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?
Si la universidad nos ha hablado mucho de este tema por cuanto se tiene contacto
con muchas personas externas
7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?
En lo personal no.
8. ¿La empresa maneja base de datos para los diferentes aplicativos?
Si cuenta con aplicativos, pero son controlados por la sede principal que está en
Bogotá
9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?
No tengo conocimiento de esta información
10. ¿Para usted que son los datos personales?
Es toda la información que nos solicitan o que podemos solicitar
11. ¿Cómo protege usted sus datos personales?
Mediante claves y cambiándolas periódicamente
Octavio de la Cruz Diego Fernando Varela

______________________ ______________________
FIRMA FIRMA
LISTA DE CHEQUEO
LISTA CHEQUEO
DS11 Administración de
DOMINIO PROCESO
Datos
DS11.1 Requerimientos del Negocio para
OBJETIVO DE CONTROL
Administración de Datos
CONFOR
N.º ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿El manejo de la información la La información es
1 realiza un tercero u proveedor? X manejada por la
universidad
OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación
¿Cuentan con control del
En algunos casos se
2 almacenamiento de la X
utiliza un ftp
información?
DS11.3 Sistema de Administración de Librerías de
OBJETIVO DE CONTROL
medios
¿Dentro de las copias de No conozco, pero me
3 seguridad se estructura algún tipo X supongo que debe
de control o seguimiento? tenerlo
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe
estar disponible en
¿Cuentan con versionamiento en
4 X cualquier momento y
las copias de seguridad?
para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
En la sede solo
¿Cuentan con un plan en caso de
contamos con lo que se
5 tener alguna pérdida o daño sobre X
guarda en el backup de
la información?
quipos
DS11.6 Requerimientos de Seguridad para la
OBJETIVO DE CONTROL
¿Cuentan con políticas para la Si la universidad es muy
6 X
protección de datos? clara en ese sentido
CUESTIONARIO

AUDITADA 1 DE 1
PROCESO Administración de Datos
AUDITADO
RESPONSABLES Roberto José Serrano Pérez
SOPORTE
DOMINIO DS11 PROCESO Administración de
Datos: El objetivo es
asegurar que los datos
permanezcan
completos, precisos y
válidos durante su
entrada, actualización,
salida y
almacenamiento, a
través de una
combinación efectiva
de controles generales
y de aplicación sobre
las operaciones de TI
OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la

1 ¿La información de su equipo cuenta con 4
copias de seguridad?
2 ¿Almacena usted información en la 2 2
nube?
3 ¿Realiza periódicamente copias de 1 3
seguridad?
4 ¿Cuenta con un plan de trabajo para 4
realizar las copias de seguridad?
5 ¿Conoce sobre las políticas frente al 1 3
plan de seguridad de la información?
6 ¿Sabe sobre las políticas de bases de 1 3
datos?
TOTAL 9 15
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)
PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – ROBERTO SERRANO
Vulnerabilidades
1. No se realiza capacitaciones con regularidad.

2. No existe evidencia de las capacitaciones.
3. Los equipos no cuentan con copias de seguridad periódicas.
4. Falta cronograma para las actividades de capacitación.
Amenaza
1. No existen copias de seguridad periódicas.

2. No hay conocimientos de los periodos para realizar copias de seguridad.
3. No existe cronograma para la realización de las capacitaciones.
4. Se desconoce sobre las políticas sobre la protección y seguridad de la información.
5. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.
Riesgos
1. No hay copias de seguridad periódicas.

2. No tienen conocimientos de las herramientas tecnológicas que utilizan.
3. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.
4. Se presentan problemas por falta de conocimiento sobre las políticas.
5. No existe una política clara sobre la protección y seguridad de la información.
6. No cuentan con un plan para eventos de respaldo de la información.
7. Afectación de la integridad de los datos.
8. Afectación de la disponibilidad del respaldo de la información de los procesos.
9. Falta de personal debidamente autorizado para la realización de las actividades del
proceso.
MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
Evaluación de Riesgos
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias
de seguridad X X
periódicas
R2 No tienen
conocimientos
de las
X X
herramientas
tecnológicas
que utilizan.
R3 Insatisfacción
por parte de los
usuarios
X X
respecto a la
falta de
capacitaciones.
R4 Se presentan
problemas por
falta de
X X
conocimiento
sobre las
políticas.
R5 No existe una
política clara
sobre la
X X
protección y
seguridad de la
información.
R6 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R7 Afectación de
la integridad de X X
los datos.
R8 Afectación de
la
disponibilidad X X
del respaldo de
la información
de los
procesos.
R9 Falta de
personal
debidamente
autorizado para
X X
la realización
de las
actividades del
proceso.
Resultado Matriz de riesgos
R6 R1, R5, R8
Alto
61-100%
PROBABILIDAD
Medio R4, R9 R3, R7

31-60%
Bajo R2
0-30%
Leve Moderado Catastrófico
IMPACTO
APORTE PAOLA ANDREA RODRIGUEZ
Proceso N° 3
3. DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente

físico conveniente que proteja al equipo y al personal de TI contra peligros naturales
(fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su seguridad
física.
3.1. DS12.2 Medidas de Seguridad Física

3.2. DS12.3 Acceso Físico
3.3. DS12.4 Protección Contra Factores Ambientales
LISTAS DE CHEQUEO
UNIVERSIDAD ANTONIO NARIÑO R/PT
Lista de chequeo LC1
Dominio Entrega de Servicios y Soportes
Proceso Administración del Ambiente Físico
Objetivo de Universidad
Protección ContraNacional
FactoresAbierta y a Distancia – UNAD
Ambientales
Control Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de X
refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles Una

ambientales? empresa
se
encarga
de la
revisión
de los
aires cada
3 meses
¿Se tiene contrato de mantenimiento para los equipos que x
proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de x
aire?
¿Con cuanta frecuencia se limpian los filtros de aire? Cada 3
meses
¿Se tiene plan de contingencia en caso de que fallen los x
controles ambientales?
Documentos probatorios presentados:

Cuestionario de Control LC2
Objetivo de Control Medidas de Seguridad Física
Cuestionario
Pregunta SI NO N/A
¿Se tienen lugares de acceso restringido? x
¿Se poseen mecanismos de seguridad para el acceso a estos Puertas
lugares? de
seguridad
¿A este mecanismo de seguridad se le han detectado x
debilidades?
¿Tiene medidas implementadas ante la falla del sistema de x
seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales x

de acceso?

Cuestionario de Control LC3
Objetivo de Control Acceso Físico
Cuestionario
Pregunta SI NO N/A
¿Se tiene un procedimiento establecido para autorizar el ingreso a x
las diferentes áreas de sistemas?
¿Las áreas de sistemas tienen accesos limitados de personal? x
¿Se justifica, autoriza, registra y supervisa todos los accesos a las x
diferentes áreas de sistemas, incluyendo personal, clientes,
proveedores, visitantes?
PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – PAOLA RODRIGUEZ
VULNERABILIDAD
1. Falta capacitación al personal

2. Todo depende de la sede central (Bogotá)
3. Grupos grandes que supera la capacidad de aulas
4. Falta apoyo en el personal se seguridad de la sede
5. Falta inventario tecnológico
6. Falta plan de mantenimientos
7. No hay control de acceso al rack.
AMENAZA
1. Suplantación de identidad
2. El personal de TI de la organización no recibe capacitación y actualización sobre
las nuevas tecnologías salientes.
3. Capacidad desborda del personal docente y administrativo para satisfacer a
todos
4. Continuas amenazas de paros por parte de los estudiantes por inconformidades
en muchas de las dependencias
5. Falta de un cronograma de mantenimientos preventivos para todos los equipos
tecnológicos de la organización.
6. No hay soporte oportuno para el arreglo de las cámaras de seguridad.
7. Hay un rack que tiene muchos años y no ha sido cambiado ni actualizado.
RIESGO
1. Captura de contraseñas con acceso a información delicada.

2. Falta de conocimientos para atender los mantenimientos de los equipos nuevos.
3. Colapso en la utilización de las salas de cómputo.
4. Pérdida o robo de hardware.
5. Se expone el riesgo de mantener la vigilancia por cámaras en los sitios
estratégicos de la empresa, despachos, portería, lockers, bicicleteros, oficinas
etc.
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastr
ófico
R1 Captura de
contraseñas
con acceso a
información X X
delicada.
R2 Falta de
X X
conocimientos
para atender
los
mantenimientos
de los equipos
nuevos
R3 Colapso en la
utilización de
X X
las salas de
cómputo
R4 Pérdida o robo
X X
de hardware
R5 Se expone el
riesgo de
mantener la
vigilancia por
cámaras en los
sitios
estratégicos de
la empresa, X X
despachos,
portería,
lockers,
bicicleteros,
oficinas etc.
Resultado Matriz de riesgos
R2-R3 –R5
Alto
61-100%
PROBABILIDAD
Medio R4
31-60%
Bajo R1
0-30%
IMPACTO
APORTE JEISSON LENIS
Proceso N° 4
4. PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia
4.1. PO6.1 Ambiente de Políticas y de Control

4.2. PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
4.3. PO6.1 Ambiente de Políticas y de Control
ENTREVISTA
UNIVERSIDAD ANTONIO NARIÑO PAGINA

ENTIDAD AUDITADA 1 D 1
E
OBJETIVO AUDITORÍA Ambiente de Políticas y de Control
PROCESO AUDITADO Seguridad Lógica
RESPONSABLE Jeisson Lenis Marulanda
DOMI PLANIFICAR Y PROCE Comunicar las Aspiraciones y la
NIO ORGANIZAR SO Dirección de la Gerencia
ENTREVISTADO Cristina Quintero Arias

CARGO Coordinadora Administrativa
1. ¿Actualmente sus datos están seguros en su computadora?

________________________________________________________________
2. ¿Conoce los bloqueadores de anuncios potencialmente peligrosos para su equipo?
______________________________________________________________________
_____________
3. ¿Desearía tener más conocimiento sobre páginas que puedan ser peligrosas para
usted y su información?
_____________________________________________________
4. ¿Su información personal se encuentra alojada en su computadora?
__________________________________________________________________
5. ¿Su email presenta correos con contenido spam?
__________________________________
6. ¿El uso de su correo es usado solo para contenido laboral?
__________________________________________________________________
7. ¿Conoce un estándar de crear una contraseña segura?
____________________________________

_________________________ FIRMA ________________________
CUESTIONARIO
UNIVERSIDAD ANTONIO NARIÑO
Cuestionario de Control: C1
Dominio Planificar y Organizar
Proceso Comunicar las Aspiraciones y la Dirección de la Gerencia
Pregunta Si No OBSERVACION
ES
¿Los equipos tienen un usuario asignado el cual es 4
el encargado del manejo y responsabilidad del
mismo?
¿El usuario cuenta con una clave privada la cual le 5
da acceso a su propio equipo?
¿Los usuarios cuentan con el acceso a correo 4
corporativo de manera individual y contralada por
ellos?
¿Los usuarios conocen riesgos de la navegación no 5
permitida en su equipo asignado?
¿El protocolo para reportar un error es conocido y 3 Actualmente no
aplicado por los usuarios? Describa el proceso siguen los pasos
indicados, se
debe realizar una
petición vía
correo
electrónico para
que sea
controlado el
soporte y de tal
manera llevar a
cabo el
mantenimiento o
resolver la duda.
¿Hacen uso de jornadas de capacitación para el 4 Cada 6 meses
manejo de los equipos? Con qué regularidad lo
hacen
¿El usuario promedio entiende el uso correcto al no 4
compartir sus contraseñas ni su equipo?
¿Se han presentado inconvenientes por equipos 5
sin bloquear o correos con sesión iniciada?
TOTALES 18 16
Porcentaje de riesgo parcial = (18 * 100) / 39 = 52.94
Porcentaje de riesgo = 100 – 52.94 = 47.06 (Riesgo Medio)
Proceso N° 5
5. PO7: Administrar Recursos Humanos de TI
5.1. PO7.4 Entrenamiento del Personal de TI
Proceso N° 6
6. DS5 Garantizar la Seguridad de los Sistemas
6.1. DS5.10 Seguridad de la Red

6.2. DS5.9 Prevención, Detección y Corrección de Software Malicioso
UNIVERSIDAD ANTONIO NARIÑO REF PAGINA

ENTIDAD AUDITADA 1 D 1
E
OBJETIVO AUDITORÍA Prevención, Detección y Corrección de Software
Malicioso
PROCESO AUDITADO Sofware
RESPONSABLE Jeisson Lenis Marulanda
DOMI ENTREGAR Y DAR PROCESO Garantizar la Seguridad de los
NIO SOPORTE Sistemas
ENTREVISTADO Alejandra Colorado
CARGO Auxiliar administrativa
1. ¿Alguna vez a instalado un programa en su equipo de trabajo?

___________________________________________________________________
______________
2. ¿conoce los riesgos de las aplicaciones maliciosas?
___________________________________________________________________
___________________
3. ¿Nota sospechosas algunas aplicaciones de su equipo?
___________________________________________________________________
_____________________
4. ¿Cómo está funcionando su equipo entorno a su sistema operativo?
___________________________________________________________________
_______________________
5. ¿EL antivirus de su equipo se actualiza automáticamente?
___________________________________________________________________
___________________________
6. ¿El equipo presenta ventanas de error las cuales se ejecutan al iniciar o apagar el
equipo? Describa su respuesta en caso de que sí presente estos casos

_________________________ FIRMA ________________________

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Desconocimiento del
protocolo de reportes
R1 X X
a encargados del
soporte
Pérdida o filtración de
R2 X X
correos elcectrónicos
Equipos sin
mantenimiento del
R3 X X
sistema operativo y
software
Daño de equipos al no
R4 recuperarse de X X
software peligroso
Equipos sin medidas
de prevención
(Antivirus, firewall) con
R5 X X
respecto a ataques
por plugins o software
mailicioso
software
R6 X X
desactualizado
Acceso a páginas que
R7 representan riesgo X X
inminente
Desconocimiento de
los peligros por
R8 X X
navegación no
autorizada
Alto
61- R1 R5,R7,R8
100%
Medio
31-
R3 R4
60%
PROBABILIDAD Bajo
R2 R9,R6
0-30%
IMPACTO
APORTE LUIS CARLOS CABAL ROJAS
Proceso N° 7
7. DS9 Administración de la configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física
y proporcionar una base para el sano manejo de cambios realizando controles que
identifiquen y registren todos los activos de TI, así como su localización física y un
programa regular de verificación que confirme su existencia.
7.1. DS9.1 Administración de los componentes de TI
7.2. DS9.2 Control de cambios de los componentes TI
7.3. DS9.3 Verificación de existencia de los componentes de TI

ENTREVISTA

AUDITADA 1 DE 1
OBJETIVO Administración de los componentes de TI.
AUDITORÍA
PROCESO Administración de la configuración
AUDITADO
RESPONSABLE Luis Carlos Cabal Rojas
DOMINIO DS9 PROCESO Administración de la
configuración: El objetivo es dar
cuenta de todos los componentes
de TI, prevenir alteraciones no
autorizadas, verificar la
existencia física y proporcionar
una base para el sano manejo de
cambios realizando controles que
identifiquen y registren todos los
activos de TI, así como su
localización física y un programa
regular de verificación que
confirme su existencia.
ENTREVISTADO Octavio de la Cruz

CARGO Auxiliar de Computo
1. ¿Cómo controla el inventario de los componentes de TI?

R// El inventario tecnológico se registra manualmente a través de una base de datos
que se tiene en Excel.
2. ¿Registran los componentes de TI dados de baja?

R// Una vez realizado un diagnostico técnico del componente de TI dañado, se procede
a realizar un acta de baja, dicho componente es descargado del inventario y se hace un
proceso de reciclaje electrónico.
3. ¿Como controlan los cambios realizados en los componentes de TI?

R// Cada cambio o actualización en los componentes de hardware o software de
cualquier equipo de TI, es registrado en su respectiva hoja de vida, la cual nos permite
llevar un control del componente interno cambiado, la fecha del cambio, el técnico que
realizo el procedimiento, y del costo de dicha actualización.
4. ¿Lo componentes de TI dados de baja tienen algún proceso de reciclaje

electrónico?
R// Como mencione anteriormente cada componente de TI dado de baja por daño o por
obsolescencia, tiene un proceso de reciclaje electrónico a través de un proveedor
externo, el cual nos proporciona un certificado de reciclaje por kilogramo aprovechado.
5. ¿Cómo controlan los componentes de TI que salen y entran de las instalaciones

de la universidad?
R// A través de los guardas de seguridad, estos se encargan de revisar minuciosamente
los componentes de TI entrantes y salientes, cada docente, estudiante o tercero que
entre con cualquier equipo de cómputo o tecnológico debe registrarlo, en un formato
donde se toman los datos del dueño y el equipo, dichos datos deben concordar cuando
se vuelva a validar el registro al salir de las instalaciones.
6. ¿Realizan indicadores periódicos de la disponibilidad de los componentes de TI?
R// Cada mes se realizan indicadores de disponibilidad de los componentes de TI, el
cual nos ayuda a medir cuantos equipos tenemos vs cuantos necesitamos.
7. ¿Cómo verifican la existencia física de los componentes de TI?
R// Periódicamente se realizan chequeos por todo el campus universitario, donde
validamos que los equipos tecnológicos registrados en el inventario se encuentren en la
sección correspondiente.
Octavio de la Cruz Luis Carlos Cabal Rojas

______________________ ____________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABL E
FIRMA FIRMA
LISTA DE CHEQUEO
LISTA CHEQUEO
Administración de la
DOMINIO DS9 PROCESO
configuración
OBJETIVO DE CONTROL DS9.1 Repositorio y Línea Base de Configuración
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cuenta un sistema de inventarios Se registra de manera
1 organizado y actualizado de los X manual en una base de
componentes de TI? datos en excel
DS9.2 Identificación y Mantenimiento de Elementos de
OBJETIVO DE CONTROL
Configuración
¿Los componentes de TI, cuentan
con una hoja de vida actualizada
2 donde se registren las X Cumple a cabalidad
actualizaciones, cambios y
mantenimientos realizados?
OBJETIVO DE CONTROL DS9.3 Revisión de Integridad de la Configuración

¿Realiza chequeos periódicos que Como evidencia cuenta
3 validen la existencia y localización X con una lista de chequeo
física de los componentes TI? diligenciada y firmada.
CUESTIONARIO

AUDITADA 1 DE 1
PROCESO Administración de la configuración
AUDITADO
RESPONSABLES LUIS CARLOS CABAL
SOPORTE
DOMINIO DS9 PROCESO Administración de la
configuración
OBJETIVO DE CONTROL
1 ¿Considera que es importante la 4

administración y el control de los
componentes de TI?
2 ¿Asiste periódicamente a capacitaciones 2 2
sobre la administración de los componentes
de TI?
3 ¿Cree que los diferentes componentes de TI 1 3
que tiene a disposición la universidad, brinda
a sus estudiantes educación de calidad?
4 ¿Indagan en el mercado sobre nuevas 4
tecnologías?
5 ¿Considera importante la existencia de un 4
inventario de componentes de TI, que ayude
al control y a la administración?
TOTAL 11 9
Porcentaje de riesgo parcial = (11 * 100) / 20 = 55%
Porcentaje de riesgo total = 100 – 55 = 45 %
PORCENTAJE RIESGO 45 % (Riesgo medio)
APORTE DIEGO FERNANDO VARELA HEREDIA
Proceso N° 8
8. DS3 Administrar el Desempeño y la Capacidad: El objetivo es asegurar que la capacidad

adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el
desempeño deseado, realizando controles de manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de
aplicaciones, manejo y demanda de recursos.
Objetivos de Control
8.1. DS3.1 Planeación del Desempeño y la Capacidad

AUDITADA 1 D 1
E
OBJETIVO Ver la capacidad y desempeño del área de computo(Sistemas)
AUDITORÍA
PROCESO Administración de desempeño y capacidad
AUDITADO
RESPONSABLE Diego Fernando Varela Heredia
DOMINIO DS3 PROCESO Administración de desempeño y
capacidad: El objetivo es
asegurar que la capacidad
adecuada está disponible y que
se esté haciendo el mejor uso de
ella para alcanzar el desempeño
deseado, realizando controles de
manejo de capacidad y
desempeño que recopilen datos
y reporten acerca del manejo de
cargas de trabajo, tamaño de
aplicaciones, manejo y demanda
de recursos.
1.) Se encuentra el ara de computo separada de otras áreas de la Universidad?

R. //Si, físicamente tiene un piso donde solo está el área de sistemas (Piso 5)
2.) ¿Se encuentran separadas las funciones dentro del área?
R. // Si, aunque hay una persona que se encarga de delegar las funciones y hacer que se
cumpla con los objetivos trazados o solicitados por la sede principal (Bogota.)
3.) ¿El área de computo tiene relación directa con las demás áreas de la
Universidad?
R.// si, debido a que es el área que da soporte a los equipos y sistema de la sede, además
es un constante apoyo debido a que se realizan diversas videos conferencias.
4.) ¿Cuenta con los equipos necesarios para todas las oficinas?
R.//El consultorio médico no cuenta con equipo propio por lo que el área de sistema decidió
prestarle uno mientras es adquirido dicho elemento por el área de compras
5.) ¿El área de sistema cuenta con los software necesarios para cada equipo de la
universidad?
R. //Si todos los programas que tiene la universidad son licenciados e instalados por el
área de computo de acuerdo a la normatividad institucional
Proceso N° 9
9. DS12 Administración del Ambiente Físico: El objetivo es proporcionar un ambiente físico

conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego,
polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del
personal a las instalaciones y contemplen su seguridad física.
Objetivos de Control
9.1. DS12.5 Administración de Instalaciones Físicas

Aulas de informática Institución R/PT

Educativa
Lista de chequeo LC5
Proceso DS12 Administración de Instalaciones.
Objetivo de Suministro Ininterrumpido de Energía
Control
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física X
para todos los equipos?
¿La instalación eléctrica se realizó X
específicamente para el centro de cómputo?
¿Se cuenta con otra Instalación dentro el X
centro de cómputo, diferente de la que
alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de X
distribución?
¿El tablero de distribución esta en la sala, X
visible y accesible?
¿El tablero considera espacio para futuras X
ampliaciones de hasta de un 30 %
(Considerando que se dispone de espacio
físico para la instalación de más equipos)?
¿La Instalación es independiente para el X
centro de cómputo?
¿La misma instalación con tierra física se X
ocupa en otras partes del edificio?
¿La iluminación está alimentada de la misma X
acometida que los equipos?
¿Las reactancias (balastros de las lámparas) X
están ubicadas dentro de la sala?
¿Los ventiladores y aire acondicionado están X
conectados en la misma instalación de los
equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están X
conectados en la misma instalación de los
equipos a los no-brake?
¿Se cuenta con interruptores generales? X
¿Se cuenta con interruptores de emergencia X
en serie al interruptor general?
¿Se cuenta con interruptores por secciones ó X
aulas?
¿Se tienen los interruptores rotulados X
adecuadamente?
¿Se tienen protecciones contra corto circuito? X

¿Se tiene implementado algún tipo de equipo X
de energía auxiliar?
¿Se cuenta con Planta de emergencia? X
¿Se tienen conectadas algunas lámparas del X
centro de cómputo a la planta de
emergencia?
¿Qué porcentaje de lámparas: % están No se conoce este dato.
conectadas a la planta de emergencia
(recomendable el 25 %)?
CONCLUSIÓN
La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo
más importante de una compañía, el cual es la información, como profesionales de
sistemas, debemos tener los conceptos claros de la unidad formativa, esto con el propósito
de salva guardar toda la infraestructura dentro de una compañía.
La auditoría de sistemas nos permitirá generar correctivos, por medio plan de trabajo,
planes de acción proyectos, o demás implementaciones que enriquecerán la seguridad del
ecosistema en el cual se mueve la información.
BIBLIOGRAFÍA
Referencias bibliográficas requeridas
Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=e
dselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pag
es=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitl
e=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=D
errien%2C%20Yann&id=DOI:
Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial

McGraw-Hill.
Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg=
4
Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
Huesca, G. (2012). Auditoria informática. Recuperado de

https://es.scribd.com/document/252662002/Libro-Auditoria-informatica
Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%AD
a+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad,

amenaza y riesgos y su clasificación.
Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De

http://hdl.handle.net/10596/10236
Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.

Recuperado de
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Auditoria Fase3 Colaborativo V4

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Fase3 Colaborativo V4

Caricato da

Copyright:

Formati disponibili

Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Fase 3 – Planeación y ejecución de la Auditoria

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)

Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores de la

Aprender a diseñar los instrumentos de recolección de la información de acuerdo al

Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría.

Fortalecer nuestro campo visual en la auditoria en sistemas.

INTEGRANTE DOMINIO PROCESO OBJETIVOS DE COTROL

DS6.3 Evaluación del Entrenamiento

Roberto Jose Entrega de DS11: DS11.1 Requerimientos del Negocio

DS11.3 Sistema de Administración de

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad

Paola Andrea Entrega de DS12: DS12.2 Medidas de Seguridad Física

la Dirección de PO6.2 Riesgo Corporativo y Marco de

PO6.1 Ambiente de Políticas y de

PO7: PO7.4 Entrenamiento del Personal de

DS9.3 Verificación de existencia de los

APORTE ROBERTO JOSE SERRANO

Los procesos CobIT escogidos son los siguientes:

1. DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los

1.1. DS6.1 Identificación de Necesidades de Entrenamiento y Educación

1.2. DS6.2 Impartición de Entrenamiento y Educación

1.3. DS6.3 Evaluación del Entrenamiento Recibido

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

ENTREVISTADO Doris Elena Martinez

1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar

Si, la universidad me aporta las herramientas necesarias para elaborar mi trabajo

2. ¿Qué función desempeña en la Universidad?

3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día

El computador y el lector de códigos de barras

4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es

5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas

La verdad es que son muy pocas la capacitación referente a las tecnologías se

Manejo de Excel, porque creo que es indispensable por estos tiempos

Si el computador me parece muy bueno además es muy reciente

Cuando me falla el equipo lo que hago es acudir al área de sistemas de la

Si creo que hasta el momento todo es acorde a mi trabajo

Doris Elena Martínez Diego Fernando Varela

OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación

¿Es consciente del uso adecuado

CUESTIONARIO CUANTITATIVO REF

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

1 ¿Considera que es importante el uso 4

2. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan

2.1. DS11.1 Requerimientos del Negocio para Administración de Datos

2.2. DS11.2 Acuerdos de Almacenamiento y Conservación

2.3. DS11.3 Sistema de Administración de Librerías de medios

2.4. DS11.4 Eliminación

2.5. DS11.5 Respaldo y Restauración

2.6. S11.6 Requerimientos de Seguridad para la Administración de Datos

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 2

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

ENTREVISTADO Octavio de la Cruz

1. ¿Realizan copias de seguridad en la empresa?

Si se realiza copias de seguridad

2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo

Semestralmente es decir alrededor de 6 meses

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la

La universidad realiza backup a toda la información que se hace en línea, pero no

5. ¿Sabe sobre el manejo del almacenamiento en la nube?