Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Código 90168A-474
Presentado al docente:
FRANCISCO NICOLAS SOLARTE
Presentado por:
Jose Carlos Torregroza
CC. 1024498573
Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos
permitirá desarrollar nuestros conocimientos en este proceso tan importante para el desarrollo
de nuestro perfil profesional en el área de sistemas.
Que los estudiantes identifiquen paso a paso lo que es la elaboración de cada fase
de una auditoria informática.
Identificar vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están
sucediendo en las empresas con respecto al área informática o los sistemas de información
(errores de hardware, software, seguridad física o lógica, redes, equipos de protección
eléctrica, usuarios, la organización del área informática, el desempeño de funciones, entre
otros).
APORTE INDIVIDUAL
TIPO DE UBICACIÓN
ÍTEM VULNERABILIDADES RIESGOS
VULNERABILIDAD AMENAZA
No es posible implementar
El riesgo radica en la
los lineamientos de
vulnerabilidad que
seguridad en materia de
poseen las redes
red de datos, toda vez que
inalámbricas, debido a
la infraestructura física de
Infraestructura que los protocolos de
1 la red de datos no es Vulnerabilidad Física
tecnológica seguridad de esta
suficiente para abarcar la
tecnología son fáciles de
totalidad de los usuarios y
penetrar y existen gran
fue necesario instalar
cantidad de herramientas
Access point para darles
que permiten hacerlo.
acceso a la red.
El riesgo radica en la
No se cuenta con el ancho
falta de capacidad de
de banda suficiente para la
Infraestructura ancho de banda de
2 correcta operación de los Vulnerabilidad Física
tecnológica internet para soportar
sistemas en línea en la sede
efectivamente los
centro.
aplicativos en línea.
El riesgo radica en el
deterioro que sufren los
No se cuenta con los
equipos de audiencia y
ambientes adecuados para
Infraestructura de videoconferencia,
3 los equipos de las salas de Vulnerabilidad Física
tecnológica toda vez que hay que
audiencia y
instalarlos y
videoconferencia.
desinstalarlos cuando se
requiere usarlos, debido
a la ausencia de un
espacio físico
independientes para
estos.
El riesgo radica en la
imposibilidad de atender
un requerimiento de
No se cuenta con la manera oportuna, toda
codificación de los puntos vez que no se cuenta con
Infraestructura
4 de red en el edificio, ni en Vulnerabilidad Física la codificación requerida
tecnológica
el gabinete del rack de para la identificación de
telecomunicaciones. los puntos de acceso a la
red, lo cual va en contra
vía a los principios de
eficiencia y eficacia.
El riesgo radica en la
imposibilidad de realizar
una copia de seguridad
Ausencia de servidor como Vulnerabilidad Infraestructura en un equipo-servidor
5
repositorio de archivos. Hardware tecnológica que actué como
repositorio de archivos,
con el ánimo de realizar
un respaldo global.
En la sede centro no se
cuenta con un servidor
Ausencia de servidor
Vulnerabilidad Infraestructura que realice la asignación
6 de direccionamiento de
Hardware tecnológica de IP por medio de
DHCP en la sede centro.
direccionamiento
DHCP.
El riesgo radica en la
ausencia de equipos de
cómputo de respaldo,
toda vez que en el
momento que se genera
Ausencia de equipos de Vulnerabilidad Parque
7 un daño, no es posible
contingencia. Hardware computacional
reemplazarlo, para que
continué funcionando en
pro de la correcta
operación de los sistemas
informáticos.
Debido a que el trámite
de las garantías se
encuentra centralizado
Agilidad en la ejecución de en el nivel central esta no
los trámites de las se gestiona dentro los
Vulnerabilidad Parque
8 garantías de los equipos de tiempos establecidos,
Hardware computacional
cómputo ante los ocasionando
contratistas. traumatismo y afectando
los procesos y trámites
que se deben hacer en los
sistemas de información.
El riesgo radica en el
posible daño de los
dispositivos
obsolescencia en el computacionales a causa
regulador de 50 KVA de la Vulnerabilidad Parque de la obsolescencia del
9
acometida eléctrica Hardware computacional regulador de 50 KVA de
regulada la acometida eléctrica
regulada, el cual presenta
fallas en la regulación del
voltaje.
Los procesos de
capacitación al momento
de implementar las
soluciones tecnológicas
Falta de capacitación Talento
no son los adecuados,
específica para la Vulnerabilidades humano -
10 con el ánimo de
ejecución de actividades humanas proceso de
garantizar el correcto
inherentes. capacitación
funcionamiento de las
herramientas
tecnológicas y de
información.
Existe el constante riesgo
de pérdida de
información, toda vez
que los funcionarios no
Ausencia de copias de
Vulnerabilidades Talento sacan copias de
11 seguridad por parte de los
humanas humano seguridad, ni usan el
funcionarios
servidor destinado como
repositorio de archivos
para conservar las
mismas.
ACTIVIDAD COLABORATIVA
Equipo
Auditor:
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
OBJETIVO GENERAL
1. Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten
contribuir al logro de los objetivos de la organización, además de la realización de la visión
estratégica, comunicada y administrada desde todas las perspectivas e implementación de la
estructura organizacional y tecnológica.
2. Evaluar la adquisición e implementación de las soluciones en materia de tecnología de
información, así como la integración en los procesos de la entidad, así como el cambio y el
mantenimiento de los sistemas existentes.
ANTECEDENTES
METODOLOGÍA DE LA AUDITORÍA
Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos
planteados, esta se basará y orientará en el estándar COBIT versión 4.1, para la evaluación
del hardware de equipos de cómputo, red física, equipos de protección eléctrica, y seguridad
física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los componentes que
motivan esta auditoria con el ánimo evaluar que la planeación y organización, la adquisición
e implementación, la entrega de los servicios requeridos, el monitoreo y evaluación y demás
acciones pertinentes, están en línea con los objetivos evaluadores de la auditoria, así como
también que estos estén en concordancia con los principios de eficiencia y eficacia.
De acuerdo con lo anterior la auditoria estará conformada por las siguientes fases y
actividades correspondientes:
Fase de la auditoria
Fase Nombre de la fase Actividades
Solicitud informe de equipos de cómputo, red física,
1
equipos de protección eléctrica, y seguridad física.
Planeación y 2 Análisis de la información suministrada
1
programación
3 Diseño del plan de Visitas
4 Mesa de trabajo
MESAS DE TRABAJO
Se efectuarán, las mesas de trabajo cada diez (8) días y las que se requieran de acuerdo con
los resultados que se obtengan.
TIEMPO ESTIMADO
Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre
desde el día 16 de octubre l al 9 de noviembre. De requerir ampliación de términos se
solicitará su diligencia oportunamente.
RECURSO HUMANO
El equipo auditor que desempeñara la auditoria está conformado por los siguientes
profesionales:
FUNCIONARIO ROL
Jose Carlos Torregroza Ejecutivo Superior
xxxxxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor
TOTAL: 15.743.450
Toda auditoría realizada tiene un coste tanto en tiempo como en términos económicos, esto
depende de la entidad, empresa u organización a auditar, para este caso ASOCIACIÓN
NACIONAL DE INSTITUCIONES FINANCIERAS -ANIF. Se requerirán 18 días
hábiles, acciones que comenzarán a realizarse desde el día 16 de octubre l al 9 de noviembre
del presente año, se ha realizado el plan de trabajo para tratar de utilizar solo los días
planificados en un principio y para tratar de realizar la auditoria de una forma más llevadera.
El coste presentado en la anterior tabla es basado en la infraestructura y los requerimientos
de la entidad. Además de la intensidad horaria necesaria para llevar a cabo la auditoria.
En la anterior tabla de presupuestos de consideró:
El salario del Ejecutivo Superior y los auditores, corresponde a los honorarios que
reciben los auditores implicados en realizar el procedimiento teniendo en cuenta los
cargos y responsabilidades de cada auditor.
Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones
y conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por
auditor porque cada uno tiene a su cargo distintos sectores de la empresa.
Se considera de gran importancia tener una videocámara de buenas especificaciones
para apoyar las visitas.
Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que
los implicados en el proceso no todos pertenecen a la región en la cual se encuentra
ubicada la entidad auditada.
Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en
cuenta aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte
vital de que la auditoria este bien encaminada, y para esto se necesita un ambiente
cómodo en el cual los auditores tengan a su disposición lo que sea necesario.
Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de
un auditor o simplemente por razones obvias de bastante carga laboral se requiere de
más personal capacitado.
CRONOGRAMA DE ACTIVIDADES
Solicitud informe
de equipos de
cómputo, red física,
1 equipos de
protección
eléctrica, y
seguridad física.
Análisis de la
2 información
suministrada
Evaluación de la
planeación y
organización de las
5.1
infraestructuras de
telecomunicaciones
y eléctrica.
Evaluación la
adquisición e
implementación de
5.2 las infraestructuras
de
telecomunicaciones
y eléctrica.
Evaluación la
entrega de los
servicios requeridos
5.3 de las
infraestructuras de
telecomunicaciones
y eléctrica.
Evaluación el
monitoreo y
evaluación de las
5.4
infraestructuras de
telecomunicaciones
y eléctrica.
Análisis preliminar
de la información
6 recolectada en el
desarrollo de la
auditoria.
7 Mesa de trabajo
Consolidación del
8 informe de
auditoria
Entrega y
exposición del
9 informe de
auditoría a la
gerencia.
ACTA FECHA
No. 0001 Octubre 16 de 201x
CONCLUSIONES
La auditoría es una herramienta que nos permite revisar y evaluar uno o varios
procesos con el ánimo de corregir un error y proponer soluciones para mitigar sus
causas.
COBIT es un marco de referencia con el cual se puede comparar los controles de
tecnologías de información con el fin de mejorarlos.
COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y
fortalecer la seguridad de la información en las organizaciones.
Gracias a plan de auditoria se puede tener la certeza de como realizara la auditoria
que se establecen los objetivos, alcance, metodología, recursos humanos, presupuesto
y cronograma de ejecución.
BIBLIOGRAFÍA