AUDITORIA DE SISTEMAS

Código 90168A-474

Presentado al docente:
FRANCISCO NICOLAS SOLARTE

Presentado por:
Jose Carlos Torregroza
CC. 1024498573

Universidad Nacional Abierta y a Distancia – UNAD

CEAD José Acevedo y Gómez Bogotá, D.C
Septiembre 2018
 INTRODUCCIÓN

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias”, este proceso realizado dentro de una
empresa permite la identificación de vulnerabilidades y amenazas que pueden afectar un
sistema tecnológico, sea este hardware o software.
El proceso para realizar una auditoría compone una etapa de conocimiento, planeación,
donde se realiza un estudio general de la empresa a ser auditada, la ejecución de esta y la
entrega de resultados.

En la etapa de planeación se debe realizar el cronograma, planeación de actividades y

presupuesto, para que de esta manera se pueda planificar correctamente el proceso y llevar
la auditoría a buen término.

Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos
permitirá desarrollar nuestros conocimientos en este proceso tan importante para el desarrollo
de nuestro perfil profesional en el área de sistemas.

Esperamos que la información recopilada incremente nuestras capacidades y nos brinde el

conocimiento necesario de este tema para la aplicación en nuestra vida profesional.
 OBJETIVOS

 Que los estudiantes identifiquen paso a paso lo que es la elaboración de cada fase
de una auditoria informática.

 Aplicar los conocimientos en COBIT para la realización del trabajo de la auditoria.

 Afianzar los conocimientos desarrollados en el primer trabajo.

 Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.

 Elaborar un plan de auditoria para aplicarlo a la empresa escogida.

 Realizar el programa de auditoria teniendo en cuenta los estándares solicitados.

 ACTIVIDAD INDIVIDUAL

Identificar vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están
sucediendo en las empresas con respecto al área informática o los sistemas de información
(errores de hardware, software, seguridad física o lógica, redes, equipos de protección
eléctrica, usuarios, la organización del área informática, el desempeño de funciones, entre
otros).

APORTE INDIVIDUAL

VULNERABILIDADES DE LA ASOCIACIÓN NACIONAL DE INSTITUCIONES

FINANCIERAS -ANIF

TIPO DE UBICACIÓN
ÍTEM VULNERABILIDADES RIESGOS
VULNERABILIDAD AMENAZA
No es posible implementar
El riesgo radica en la
los lineamientos de
vulnerabilidad que
seguridad en materia de
poseen las redes
red de datos, toda vez que
inalámbricas, debido a
la infraestructura física de
Infraestructura que los protocolos de
1 la red de datos no es Vulnerabilidad Física
tecnológica seguridad de esta
suficiente para abarcar la
tecnología son fáciles de
totalidad de los usuarios y
penetrar y existen gran
fue necesario instalar
cantidad de herramientas
Access point para darles
que permiten hacerlo.
acceso a la red.
El riesgo radica en la
No se cuenta con el ancho
falta de capacidad de
de banda suficiente para la
Infraestructura ancho de banda de
2 correcta operación de los Vulnerabilidad Física
tecnológica internet para soportar
sistemas en línea en la sede
efectivamente los
centro.
aplicativos en línea.
El riesgo radica en el
deterioro que sufren los
No se cuenta con los
equipos de audiencia y
ambientes adecuados para
Infraestructura de videoconferencia,
3 los equipos de las salas de Vulnerabilidad Física
tecnológica toda vez que hay que
audiencia y
instalarlos y
videoconferencia.
desinstalarlos cuando se
requiere usarlos, debido
 a la ausencia de un
espacio físico
independientes para
estos.

El riesgo radica en la
imposibilidad de atender
un requerimiento de
No se cuenta con la manera oportuna, toda
codificación de los puntos vez que no se cuenta con
Infraestructura
4 de red en el edificio, ni en Vulnerabilidad Física la codificación requerida
tecnológica
el gabinete del rack de para la identificación de
telecomunicaciones. los puntos de acceso a la
red, lo cual va en contra
vía a los principios de
eficiencia y eficacia.
El riesgo radica en la
imposibilidad de realizar
una copia de seguridad
Ausencia de servidor como Vulnerabilidad Infraestructura en un equipo-servidor
5
repositorio de archivos. Hardware tecnológica que actué como
repositorio de archivos,
con el ánimo de realizar
un respaldo global.
En la sede centro no se
cuenta con un servidor
Ausencia de servidor
Vulnerabilidad Infraestructura que realice la asignación
6 de direccionamiento de
Hardware tecnológica de IP por medio de
DHCP en la sede centro.
direccionamiento
DHCP.
El riesgo radica en la
ausencia de equipos de
cómputo de respaldo,
toda vez que en el
momento que se genera
Ausencia de equipos de Vulnerabilidad Parque
7 un daño, no es posible
contingencia. Hardware computacional
reemplazarlo, para que
continué funcionando en
pro de la correcta
operación de los sistemas
informáticos.
 Debido a que el trámite
de las garantías se
encuentra centralizado
Agilidad en la ejecución de en el nivel central esta no
los trámites de las se gestiona dentro los
Vulnerabilidad Parque
8 garantías de los equipos de tiempos establecidos,
Hardware computacional
cómputo ante los ocasionando
contratistas. traumatismo y afectando
los procesos y trámites
que se deben hacer en los
sistemas de información.
El riesgo radica en el
posible daño de los
dispositivos
obsolescencia en el computacionales a causa
regulador de 50 KVA de la Vulnerabilidad Parque de la obsolescencia del
9
acometida eléctrica Hardware computacional regulador de 50 KVA de
regulada la acometida eléctrica
regulada, el cual presenta
fallas en la regulación del
voltaje.
Los procesos de
capacitación al momento
de implementar las
soluciones tecnológicas
Falta de capacitación Talento
no son los adecuados,
específica para la Vulnerabilidades humano -
10 con el ánimo de
ejecución de actividades humanas proceso de
garantizar el correcto
inherentes. capacitación
funcionamiento de las
herramientas
tecnológicas y de
información.
Existe el constante riesgo
de pérdida de
información, toda vez
que los funcionarios no
Ausencia de copias de
Vulnerabilidades Talento sacan copias de
11 seguridad por parte de los
humanas humano seguridad, ni usan el
funcionarios
servidor destinado como
repositorio de archivos
para conservar las
mismas.
 ACTIVIDAD COLABORATIVA

AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA,

EQUIPOS DE PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.
ASOCIACIÓN NACIONAL DE INSTITUCIONES FINANCIERAS -ANIF
PLAN DE TRABAJO

Ejecutivo Superior: xxxxxxxxxxxxxxxxxxxxxx

Equipo
Auditor:
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx

OBJETIVOS Y ALCANCE DE LA AUDITORIA

OBJETIVO GENERAL

Evaluar y conceptuar sobre control de tecnología relacionada a los diversos procesos

operacionales, misionales y de apoyo de la ASOCIACIÓN NACIONAL DE
INSTITUCIONES FINANCIERAS -ANIF.
.
OBJETIVOS ESPECÍFICOS

1. Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten
contribuir al logro de los objetivos de la organización, además de la realización de la visión
estratégica, comunicada y administrada desde todas las perspectivas e implementación de la
estructura organizacional y tecnológica.
2. Evaluar la adquisición e implementación de las soluciones en materia de tecnología de
información, así como la integración en los procesos de la entidad, así como el cambio y el
mantenimiento de los sistemas existentes.

3. Evaluar la entrega de los servicios requeridos, la prestación del servicio, la administración

de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración
de los datos y de las instalaciones operativas.

4. Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento de los

requerimientos de control, así como también la administración del desempeño, el monitoreo
del control interno, el cumplimiento regulatorio y la aplicación en la organización.

ANTECEDENTES

Se antecede a esta auditoria las evaluaciones anuales que desarrolla la unidad de

aseguramiento tecnológico e informático USATI, con el ánimo de diagnosticar y evaluar las
condiciones funcionales y procedimentales, procurando identificar las amenazas y
vulnerabilidades correspondientes a las áreas de sistemas de las gerencias departamentales
colegiadas para posteriormente diseñar estrategias que permitan mitigar los riegos que estas
puedan acarrear.

METODOLOGÍA DE LA AUDITORÍA
Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos
planteados, esta se basará y orientará en el estándar COBIT versión 4.1, para la evaluación
del hardware de equipos de cómputo, red física, equipos de protección eléctrica, y seguridad
física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los componentes que
motivan esta auditoria con el ánimo evaluar que la planeación y organización, la adquisición
e implementación, la entrega de los servicios requeridos, el monitoreo y evaluación y demás
acciones pertinentes, están en línea con los objetivos evaluadores de la auditoria, así como
también que estos estén en concordancia con los principios de eficiencia y eficacia.
De acuerdo con lo anterior la auditoria estará conformada por las siguientes fases y
actividades correspondientes:

Fase de la auditoria
Fase Nombre de la fase Actividades
Solicitud informe de equipos de cómputo, red física,
1
equipos de protección eléctrica, y seguridad física.
Planeación y 2 Análisis de la información suministrada
1
programación
3 Diseño del plan de Visitas

4 Mesa de trabajo

Visitas e inspección de las infraestructuras de

5
telecomunicaciones y eléctrica.

Evaluación de la planeación y organización de las

5.1
infraestructuras de telecomunicaciones y eléctrica.

Ejecución de la Evaluación la adquisición e implementación de las

2 5.2
auditoria infraestructuras de telecomunicaciones y eléctrica.

Evaluación la entrega de los servicios requeridos de las

5.3
infraestructuras de telecomunicaciones y eléctrica.

Evaluación el monitoreo y evaluación de las

5.4
infraestructuras de telecomunicaciones y eléctrica.

Análisis preliminar de la información recolectada en el

6
desarrollo de la auditoria.

Informe y plan de 7 Mesa de trabajo

3
acción 8 Consolidación del informe de auditoria

Entrega y exposición del informe de auditoría a la

9
gerencia.
ALCANCE DE LA AUDITORÍA

En esta auditoria se evaluará la infraestructura física de la ASOCIACIÓN NACIONAL DE

INSTITUCIONES FINANCIERAS -ANIF, tales como los equipos de cómputo, red física,
equipos de protección eléctrica, y seguridad física ya que estos son los que permiten el
funcionamiento de todos los aplicativos, sistemas de información y soluciones tecnológicas
que permiten el desarrollo de los procesos misionales por parte de las personas que
conforman el talento humano de esta entidad.
No obstante, estos aplicativos, sistemas de información y soluciones tecnológicas no se
auditarán, debido a que no es de interés, ni se encuentra en línea con los objetivos y
pretensiones de esta auditoría.

MESAS DE TRABAJO

Se efectuarán, las mesas de trabajo cada diez (8) días y las que se requieran de acuerdo con
los resultados que se obtengan.
TIEMPO ESTIMADO

Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre
desde el día 16 de octubre l al 9 de noviembre. De requerir ampliación de términos se
solicitará su diligencia oportunamente.
RECURSO HUMANO
El equipo auditor que desempeñara la auditoria está conformado por los siguientes
profesionales:
FUNCIONARIO ROL
Jose Carlos Torregroza Ejecutivo Superior
xxxxxxxxxxxxxxxxxxx Auditor

xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor

Se ha considerado que de requerir personal adicional será oportunamente gestionado.

PRESUPUESTO

ELEMENTOS COSTOS TOTALES

Salario Ejecutivo Superior $ 2.943.450 $ 2.943.450
Salarios auditores: equipos auditores (tres auditores $ 2.000.000 $ 6.000.000
Utilitarios (3 computadores portátiles) $ 1.000.000 $ 3.000.000

Videocámara $ 300.000 $ 300.000

Viáticos para visitas $ 100.000 $ 300.000

Viáticos para la realización de las mesas de trabajo(2 $ 600.000 $ 1.200.000

mesas de trabajo)

Viáticos para posibles gastos adicionales o por si se $ 2.000.000 $ 2.000.000

requiere más personal auditor ser contratado con
tiempo

TOTAL: 15.743.450

Toda auditoría realizada tiene un coste tanto en tiempo como en términos económicos, esto
depende de la entidad, empresa u organización a auditar, para este caso ASOCIACIÓN
NACIONAL DE INSTITUCIONES FINANCIERAS -ANIF. Se requerirán 18 días
hábiles, acciones que comenzarán a realizarse desde el día 16 de octubre l al 9 de noviembre
del presente año, se ha realizado el plan de trabajo para tratar de utilizar solo los días
planificados en un principio y para tratar de realizar la auditoria de una forma más llevadera.
El coste presentado en la anterior tabla es basado en la infraestructura y los requerimientos
de la entidad. Además de la intensidad horaria necesaria para llevar a cabo la auditoria.
En la anterior tabla de presupuestos de consideró:

 El salario del Ejecutivo Superior y los auditores, corresponde a los honorarios que
reciben los auditores implicados en realizar el procedimiento teniendo en cuenta los
cargos y responsabilidades de cada auditor.
 Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones
y conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por
auditor porque cada uno tiene a su cargo distintos sectores de la empresa.
 Se considera de gran importancia tener una videocámara de buenas especificaciones
para apoyar las visitas.
  Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que
los implicados en el proceso no todos pertenecen a la región en la cual se encuentra
ubicada la entidad auditada.
 Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en
cuenta aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte
vital de que la auditoria este bien encaminada, y para esto se necesita un ambiente
cómodo en el cual los auditores tengan a su disposición lo que sea necesario.
 Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de
un auditor o simplemente por razones obvias de bastante carga laboral se requiere de
más personal capacitado.

CRONOGRAMA DE ACTIVIDADES

AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA,

EQUIPOS DE PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.

ASOCIACIÓN NACIONAL DE INSTITUCIONES

Entidad:
FINANCIERAS -ANIF
Octubre Noviembre
N° ACTIVIDAD
16 17 18 19 22 23 24 26 26 29 30 31 1 2 6 7 8 9

Solicitud informe
de equipos de
cómputo, red física,
1 equipos de
protección
eléctrica, y
seguridad física.

Análisis de la
2 información
suministrada

Diseño del plan de

3
Visitas
4 Mesa de trabajo
 Visitas e inspección
de las
5 infraestructuras de
telecomunicaciones
y eléctrica.

Evaluación de la
planeación y
organización de las
5.1
infraestructuras de
telecomunicaciones
y eléctrica.

Evaluación la
adquisición e
implementación de
5.2 las infraestructuras
de
telecomunicaciones
y eléctrica.

Evaluación la
entrega de los
servicios requeridos
5.3 de las
infraestructuras de
telecomunicaciones
y eléctrica.
Evaluación el
monitoreo y
evaluación de las
5.4
infraestructuras de
telecomunicaciones
y eléctrica.

Análisis preliminar
de la información
6 recolectada en el
desarrollo de la
auditoria.
7 Mesa de trabajo
 Consolidación del
8 informe de
auditoria

Entrega y
exposición del
9 informe de
auditoría a la
gerencia.

APROBACIÓN COMITÉ TÉCNICO

ACTA FECHA
No. 0001 Octubre 16 de 201x
 CONCLUSIONES
 La auditoría es una herramienta que nos permite revisar y evaluar uno o varios
procesos con el ánimo de corregir un error y proponer soluciones para mitigar sus
causas.
 COBIT es un marco de referencia con el cual se puede comparar los controles de
tecnologías de información con el fin de mejorarlos.
 COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y
fortalecer la seguridad de la información en las organizaciones.
 Gracias a plan de auditoria se puede tener la certeza de como realizara la auditoria
que se establecen los objetivos, alcance, metodología, recursos humanos, presupuesto
y cronograma de ejecución.
 BIBLIOGRAFÍA

 Thorin, Marc; La Auditoría Informática: métodos, reglas, normas, Ed. Masson,

S.A., 1989
 Estándar COBIT 4.1, IT Governance Institute. All rights reserved. www.itgi.org,
2007
 Modulo unidad 2, Auditoria de sistemas, universidad nacional abierta y a distancia.
http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676