FASE 3 PLANEACIÓN Y EJECUCIÓN DE LA AUDITORIA

GRUPO:

TECNOLOGIA E INGENIERIA
AUDITORIA DE SISTEMAS
2018

INTRODUCCIÓN.

A continuación encontrara un trabajo elaborado por estudiantes en base a un proceso

anterior llamado planeación de auditoria en el cual se originó un cuadro de identificación
de riesgos aplicado a una empresa real, se continua con la fase siguiente llamada
planeación y ejecución de la auditoria; este paso siguiente de la asignatura de pregrado
auditoria de sistemas dictado en la universidad nacional abierta y a distancia esta aplicado
bajo normatividad aceptada internacionalmente para el proceso de la información
 OBJETIVOS

Objetivo general

Aplicar los conocimientos adquiridos de la unidad dos, realizando los procedimientos para
ejecución de la metodología de la auditoria con el manual de buenas prácticas cobit.

Objetivos específicos

 Realizar deferentes aplicaciones de herramientas como entrevistas, formatos, lista

de chequeos etc., para evidenciar posibles riesgos, no detectados en el estudio
preliminar.

 Identificar los agentes que activan los riesgos

 Análisis de los riesgos donde se identifica y detalla las causas que originan los
riesgos.

 Escalar los riesgos para saber su probabilidad de impacto.

 Aplicar el cobit para controlar, evaluar y auditar la información hallada en la

empresa.
 TABLA DE PROCESOS

FORMATOS DE RECOLECCIÓN DE INFORMACIÓN

FORMATO DE ENTREVISTA

NOMBRE NOMBRE
EMPRESA: EMPRESA:
NOMBRE
ENTREVISTADO: AUDITOR :
Tipo
CARGO : entrevista: Abierta
AREA: FECHA
Email Empresa: HORA
 Existen procedimientos establecidos por la empresa para el manejo de correo
institucional.
Existen protocolos de manejo para la navegación en internet?
Existen protocolos en el manejo de la información empresarial por labor
desempeñada.
Hay control para el manejo de dispositivos externos de la empresa.
¿Cuenta la empresa con capacitaciones para los empleados en informática?
¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra,
supresor de pico instalado, sistema regulado de energía?
¿Existen plan de contingencia para recuperación de los datos ante un incidente
imprevisto?
¿Existen protocolos de actualización del sistema periódicamente del sistema?
¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa
al dar mal uso de dispositivos o navegadores de internet?

CHECK LIST
REPORTE DEEQUIPOS
CANTIDAD EQUIPO Existencia
 SI NO Observación
1

Debe cumplir con la capacidad

EL CPU adecuada mínimo 500 GB
El requerimiento del disco debe tener
espacio suficiente para guardar la
información total de las actividades de la
2 DISCO DURO empresa
La unidad de memoria debe tener la
máxima soportada por el slot para
3 MEMORIA RAM obtener el mejor desempeño
Debe soportar los gráficos y mejorar el
4 TARJETA GRAFICA desempeño de construcciones digitales
5 TARJETA DE SONIDO Sin observaciones.
Debe funcionar slot de conexión tarjeta
6 TARJETA DE RED de red.
Realiza detección de cd y abre archivos
7 CD\DVD ROM de diferentes extensiones
8 GABINETE Sistema indoor.
Funcionamiento con información
9 SISTEMA BIOMETRICO actualizada
Adecuada capacidad para soportar la
10 UPS red por más de 30 min 3KVA o mas
Posicionamiento y correcto
11 CAMARAS INTERNAS funcionamiento.
Posicionamiento y correcto
12 CAMARAS EXTERNAS funcionamiento.

Observaciones:
OPTISALUD
Cuestionario: 1 Revisión n°: 1.0
Fecha: 14/11/2018 Dominio: (DS)
Ciudad: Bogotá Procesos: DS4,DS5,DS12
Realizado Por: SI NO
¿Se cuenta con un plan de mantenimiento para el CCTV?
¿Las cámaras de seguridad cuben todo el área del cuarto incluyendo
todas las entradas de acceso al mismo?
¿Se realizan revisiones periódicas de los sistemas eléctricos como
cableados, UPS y demás?
¿Se realiza inspección periódica de los sistemas anti-incendios?
¿Los servidores cuentan con un contrato actual de soporte y
mantenimiento?
¿Se cuenta con servidores de respaldo? ¿En caso de presentarse falla en
alguno se pueden restablecer los servicios en el menor tiempo posible?
¿Se realizan backup de los sistemas y de las DBs periódicamente?
¿Los backups son almacenados en un lugar seguro?
¿Se tiene un plan de contingencia en caso de una falla masiva de los
sistemas?
¿El acceso lógico a los sistemas está controlado por usuario y
contraseña?
 Empresa Optisalud
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso Planeación Y Organización (Po).

Pregunta Si No OBSERVACION
ES
¿Se cuenta con protección contra Uso de software
no Licenciado?
¿Se realiza chequeos a la red local?
¿Protección contra la pérdida del hardware?
¿Se posee un registro de fallas detectadas en los
equipos?
¿Protección contra la Fuga de la información?
¿Fallas en la configuración de los equipos?
¿Se cuenta con servicio de mantenimiento para
todos los equipos?
¿Se controla el Acceso no autorizado a áreas
privadas?
¿Protección contra la Perdida completa de la
información?
¿Control en los Errores en la desactivación de
cuentas de usuario?
¿El personal que se encarga del mantenimiento es
personal capacitado?
¿Se lleva un procedimiento para la adquisición de
nuevos equipos?
¿Son compatibles software y hardware?
TOTALES

Empresa Optisalud
F-CHK 01
 Fecha: 20 14/11/2018
Realizado por: Danilo López
Chec
k
Existe sistema de ventilación
El cableado eléctrico está protegido
Los conectores de alimentación de energía están en
buen estado
Los equipos de cómputo tienen todas sus partes
Hay equipos con tecnología obsoleta
Los equipos que se encuentren en mal estado
Hay un horario en cada sección
El cableado estructurado se encuentra en buen
estado
Existe un sistema de seguridad en cada sector
El cableado que corresponde al equipo está
protegido

FORMATOS APLICADOS

FORMATO DE ENTREVISTA

NOMBRE NOMBRE
EMPRESA: EMPRESA: UNAD
NOMBRE
ENTREVISTADO: AUDITOR : CINDY DURAN
Tipo
CARGO : AUXILIAR entrevista: Abierta
AREA: ADMINISTRATIVO FECHA NOV 13 DE 2018
Email Empresa: HORA 8PM
Existen procedimientos establecidos por la empresa para el manejo de correo
institucional.
Si, la empresa cuenta con dominio para el manejo de correo interno y el sistema
está configurado para el acceso a estos correos a través de la plataforma Outlook.
Existen protocolos de manejo para la navegación en internet?
Cada colaborador de la empresa tiene conocimiento de sus funciones y el
adecuando manejo de las herramientas informáticas, adicional, los equipos
cuentan con ciertas restricciones para garantizar el adecuado uso
Existen protocolos en el manejo de la información empresarial por labor
desempeñada.
Si se cuenta con los protocolos de manejo de información y clausulados de
confidencialidad, cada colaborador a través del reglamento interno de trabajo
tiene conocimiento del adecuado uso de la información que se maneja
internamente en la compañía.
Hay control para el manejo de dispositivos externos de la empresa.
Por protocolo no se permite acceso a dispositivos externos ya que la información
se maneja a través de correo institucional y los dispositivos están bloqueados para
el manejo de usb/cd/y medios de almacenamiento externo. A demás para conectar
los equipos que no están configurados con la red interna de la empresa se debe
ser con previa autorización y en casos especiales u ocasionales
¿Cuenta la empresa con capacitaciones para los empleados en informática?
.
La organización capacita el personal en cuanto a los programas internos que se
utiliza, sin embargo el colaborador debe contar con conocimientos mínimos de
manejo de software
¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra,
supresor de pico instalado, sistema regulado de energía?
Si, las instalaciones cuentan con adecuada red eléctrica, a adicional de los
reguladores que cada equipo cuenta y las ups para equipos de constante
funcionamiento.
¿Existen plan de contingencia para recuperación de los datos ante un incidente
imprevisto?
Si, los sistemas generan respaldo de información en la nube, lo cual permite
garantizar la confiabilidad de los datos, adicional a este respaldo, se genera un
respaldo físico cada trimestre
 ¿Existen protocolos de actualización del sistema periódicamente del sistema?
Se tiene establecidas fechas para realizar revisión de los equipo para actualizar
sistemas como antivirus y actualizaciones s de seguridad, sin embargo no se
actualiza el sistema interno ya que no existe actualizaciones para estos
¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa
al dar mal uso de dispositivos o navegadores de internet?
Si, como mencionaba anteriormente, cada colaborador conoce el reglamento
interno de trabajo, y en especial el adecuado uso de la información, adicional los
bloqueos que se generan a los equipos permiten mitigar el riesgo a la fuga de
información.

CHECK LIST
REPORTE DEEQUIPOS
CANTIDAD EQUIPO Existencia
SI NO Observación
Debe cumplir con la capacidad
1 EL CPU adecuada mínimo 500 GB
2 DISCO DURO x El requerimiento del disco debe tener
espacio suficiente para guardar la
información total de las actividades de la

3 MEMORIA RAM
4 TARJETA GRAFICA
5 TARJETA DE SONIDO
6 TARJETA DE RED
7 CD\DVD ROM
8 GABINETE
9 SISTEMA BIOMETRICO
10 UPS
11 CAMARAS INTERNAS
12 CAMARAS EXTERNAS
Observaciones:
empresa
La unidad de memoria debe tener la
máxima soportada por el slot para
x obtener el mejor desempeño
Debe soportar los gráficos y mejorar el
x desempeño de construcciones digitales
x Sin observaciones.
Debe funcionar slot de conexión tarjeta
x de red.
Realiza detección de cd y abre archivos
x de diferentes extensiones
x Sistema indoor.
Funcionamiento con información
x actualizada
Adecuada capacidad para soportar la
x red por más de 30 min 3KVA o mas
Posicionamiento y correcto
x funcionamiento.
Posicionamiento y correcto
x funcionamiento.
 OPTISALUD

Cuestionario: 1 Revisión n°: 1.0

Fecha: 14/11/2018 Dominio: (DS)
Ciudad: Bogotá Procesos: DS4,DS5,DS12
Realizado Por: Javier Sánchez P. SI NO
¿Se cuenta con un plan de mantenimiento para el CCTV? 4
¿Las camaras de seguridad cubren todo el área del cuarto incluyendo
4
todas las entradas de acceso al mismo?
¿Se realizan revisiones periodicas de los sistemas eléctricos como
4
cableado, UPS y demas?
¿Se realiza inspección periódica de los sistemas anti-incendios? 2
¿Los servidores cuentan con un contrato actual de soporte y
2
mantenimiento?
¿Se cuenta con servidores de respaldo? en caso de presentarse falla en
4
alguno se pueden restablecer los servicios en el menor tiempo posible?
¿Se realizan backup de los sistemas y de las DBs periódicamente? 2
¿Los backups son almacenados en un lugar seguro? 4
¿Se tiene un plan de contingencia en caso de una falla masiva de los
2
sistemas?
¿El acceso lógico a los sietemas esta controlado por usuario y
4
contraseña?
 OPTISALUD
Lista de Chequeo:

1 Revisión n°: 1.0

Fecha:

14/11/2018 Dominio: (ME)

Ciudad:
YOPAL Procesos: ME1,ME3

Realizado Por:
Cindy Duran

¿Las TI utilizadas están a la vanguardia? SI

¿Se tiene soporte técnico para las TI implementadas? SI
¿Mantiene respaldo de información confiable? SI
¿Los equipos tienen hoja de vida actualizada? SI
¿Las TI cumplen parámetros legales? SI
¿El sistema utilizado es licenciado? SI
¿Se remplaza correctamente las TI obsoletas? NO
¿Existe respaldo de energía en caso de fallas? SI
¿Se garantiza la continuidad del negocio? SI
¿Los sistemas de información son confiables? SI
¿La veracidad de los datos permite la toma decisiones? SI
¿Hay TI de respaldo en caso de falla de las principales? SI
¿Existe protocolo de emergencias? SI
Audita:
Cindy Mayerly Durán Ortiz
Responde: Natalia Acevedo
Cargo: Auxiliar
 Empresa Optisalud
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso Planeación Y Organización (Po).

Pregunta Si No OBSERVACION
ES
¿Se cuenta con protección contra Uso de software 3
no Licenciado?
¿Se realiza chequeos a la red local? 4
¿Protección contra la pérdida del hardware? 3
¿Se posee un registro de fallas detectadas en los 3
equipos?
¿Protección contra la Fuga de la información?
¿Fallas en la configuración de los equipos? 4
¿Se cuenta con servicio de mantenimiento para 3 Semestral
todos los equipos?
¿Se controla el Acceso no autorizado a áreas 3 Correctivo
privadas?
¿Protección contra la Perdida completa de la 5
información?
¿Control en los Errores en la desactivación de 3
cuentas de usuario?
¿El personal que se encarga del mantenimiento es 4
personal capacitado?
¿Se lleva un procedimiento para la adquisición de 3
nuevos equipos?
¿Son compatibles software y hardware? 5
TOTALES 30 13
 Empresa Optisalud
F-CHK 01
Fecha: 20 14/11/2018
Realizado por: Danilo López
Chec
k
Existe sistema de ventilación 

El cableado eléctrico está protegido

Los conectores de alimentación de energía están en 
buen estado
Los equipos de cómputo tienen todas sus partes 

Hay equipos con tecnología obsoleta 

X
Los equipos que se encuentren en mal estado
Hay un horario en cada sección 

El cableado estructurado se encuentra en buen

estado
Existe un sistema de seguridad en cada sector 

El cableado que corresponde al equipo está 

protegido

ANÁLISIS

ANÁLISIS DE RIESGOS
VULNERABILIDADES:
1. Sistema Operativo obsoleto, Windows XP
2. Los equipos no cuentan con antivirus para su protección
3. Programas de diseño gráfico sin licencia
4. Suite de ofimática sin licencia
5. Java no actualizado
6. Falta de actualización y configuración adecuada del equipo, lo que no
podría realizarse con efectividad sino se cuenta con un sistema original
7. Actualización de los navegadores.
8. Los servidores y equipos del área de sistemas no se encuentran bajo algún
armario cerrado o en alguna oficina con acceso restringido.
9. Falta de conocimiento de los usuarios en el manejo de herramientas
computacionales y en el manejo de los sistemas informáticos existentes, no se
han realizado capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
10. Falta de control ingreso de personal.
11. Se encuentran activas cuentas de usuario de personal que ya no labora en
la empresa.
12. Uso indebido del correo de Electrónico
13. Falta de seguridad para ingresar a la información privada del sistema.
14. No hay seguimiento a los controles de seguridad del sistema informático
15. Los equipos no cuentan con reguladores de voltaje
16. Sistema Biométrico desactualizado
17. Cámaras de vigilancia desactivadas
18. No se realizan copias de seguridad de manera periódica de los recursos
críticos.
19. No existen políticas para la utilización de firewall en los equipos o en la red
20. Inseguridad en la red local
21. El cableado estructurado de la red no se encuentra protegido
22. El uso no aceptable de hardware, tales como módems, USB, etc.
23. Requisitos de Hardware obsoletos
24. Los teclados y mouse presentan desgaste.
25. No cuenta con UPS en lo equipos de cómputo.

AMENAZA:
26. Sistema Operativo obsoleto, Windows XP
27. Los equipos no cuentan con antivirus para su protección
28. Programas de diseño gráfico sin licencia
29. Suite de ofimática sin licencia
30. Java no actualizado
31. Falta de actualización y configuración adecuada del equipo, lo que no
podría realizarse con efectividad sino se cuenta con un sistema original
32. Actualización de los navegadores.
33. Los servidores y equipos del área de sistemas no se encuentran bajo algún
armario cerrado o en alguna oficina con acceso restringido.
34. Falta de conocimiento de los usuarios en el manejo de herramientas
computacionales y en el manejo de los sistemas informáticos existentes, no se
han realizado capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
35. Falta de control ingreso de personal.
36. Se encuentran activas cuentas de usuario de personal que ya no labora en
la empresa.
37. Uso indebido del correo de Electrónico
38. Falta de seguridad para ingresar a la información privada del sistema.
39. No hay seguimiento a los controles de seguridad del sistema informático
40. Los equipos no cuentan con reguladores de voltaje
41. Sistema Biométrico desactualizado
42. Cámaras de vigilancia desactivadas
43. No se realizan copias de seguridad de manera periódica de los recursos
críticos.
44. No existen políticas para la utilización de firewall en los equipos o en la red
45. Inseguridad en la red local
46. El cableado estructurado de la red no se encuentra protegido
47. El uso no aceptable de hardware, tales como módems, USB, etc.
48. Requisitos de Hardware obsoletos
49. Los teclados y mouse presentan desgaste.
50. No cuenta con UPS en lo equipos de cómputo.

RIESGOS:
1. Uso de software no Licenciado
2. Daño del sistema Operativo
3. Sanciones
4. Software no licenciado
5. No visualización de contenido multimedia
6. Fallas en la configuración de los equipos
7. Adquisición de software que no tiene soporte del fabricante
8. Acceso no autorizado al área de sistemas
9. El personal no cuenta con las actitudes y aptitudes requeridas para hacer
uso de la información por medio de los sistemas de información.
10. Acceso no autorizado a las áreas restringidas
11. Errores en la desactivación de cuentas de usuario
12. Fuga de Información
13. Daños en la Información privada. No existe
14. Detección de intrusiones, contención y/o eliminación.
15. Pérdida de Hardware
16. Acceso no autorizado a áreas privadas
17. Inseguridad en las salas de informática
18. Perdida completa de la información
19. Red local insegura
20. Red insegura
21. Daños de las comunicaciones.
22. Uso indebido de Dispositivos personales externos para lucro propio
23. Perdida de información
24. Fallo por parte de los teclados y los mouses.
25. Daño en los equipos de cómputo.

MATRIZ DE PROBABILIDAD DE IMPACTO

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

Zona de Zona de Zona de riesgo

Alto Riesgo riesgo Inaceptable
61- Moderado Importante
100%
 PROBABILIDAD

Medio Zona de riesgo Zona de Zona de riesgo

31-60% Tolerable riesgo Importante
Moderado
Bajo Zona de riesgo Zona de Zona de riesgo
0-30% Aceptable riesgo Moderado
Tolerable
Leve Moderado Catastrófico

IMPACTO

ANALISIS DE RIESGOS

N° Descripción Probabilidad Impacto

Baj Medi Alta Lev Moderad Catastrófic
 a a e o o
R1 Uso de software no X X
Licenciado
R2 Daño del sistema X X
Operativo
R3 Sanciones X X
R4 Software no X X
licenciado
R5 No visualización de X X
contenido
multimedia
R6 Fallas en la X X
configuración de los
equipos
R7 Adquisición de X X
software que no
tiene soporte del
fabricante
R8 Acceso no X X
autorizado al área
de sistemas
R9 El personal no X X
cuenta con las
actitudes y
aptitudes
requeridas para
hacer uso de la
información por
medio de los
sistemas de
información.
R1 Acceso no X X
0 autorizado a las
áreas restringidas
R11 Errores en la X X
desactivación de
cuentas de usuario
R1 Fuga de X X
2 Información
R1 Daños en la X X
3 Información
privada.
R1 Detección de X X
4 intrusiones,
contención y/o
eliminación.
R1 Pérdida de X X
5 Hardware
R1 Acceso no X X
6 autorizado a áreas
privadas
R1 Inseguridad en las X X
7 salas de informática
R1 Perdida completa X X
8 de la información
R1 Red local insegura X X
9
R2 Red insegura X X
0
R2 Daños de las X X
1 comunicaciones.
R2 Uso indebido de X X
2 Dispositivos
personales
externos para lucro
propio
R2 Perdida de X X
3 información
R2 Fallo por parte de X X
4 los teclados y los
mouses.
R2 Daño en los X X
5 equipos de
cómputo.

RESULTADO MATRIZ DE RIESGOS

 PROBABILIDAD

R1,R4,R7
Alto
61-
100
%
Med R11,R22
io
31-
60%

Bajo R2 R2,R5,R9,R14,R16,R17,R19, R3,R6,R8,R10,R12,R13,R15,R18

0- 4 R20,R25 ,R21,R23
30%
Lev Moderado Catastrófico
e

IMPACTO

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

CONCLUSIONES

Se realiza el análisis de seguridad, identificando vulnerabilidades, amenazas y

riesgos a través de la información recolectada con la aplicación de los formatos.

Se identifican los principales riesgos presentes en la Empresa Optisalud, las

cuales se deben corregir y evitar a futuro que la continuidad del servicio se vea
comprometida.
La auditoría de sistemas aplica la metodología buscando que los servicios de TI
trabaje con las prioridades de la empresa buscando la optimización de costos, la
utilización de los recursos de manera productiva y seguro.

Se identifican las causas u orígenes de los riesgos que se presentan actualmente

en la Empresa Optisalud

Al aplicar la auditoria de sistemas por medio cobit, aplicando los dominios y

procesos se puede realizar una auditoría de control organizado, encontrando los
riesgos que la empresa corre.
 REFERENCIAS BIBLIOGRAFÍCAS

 Metodología de auditoria de sistemas. (s.f.). Recuperado el 12 de 11 de

2018, de Galeon: http://anaranjo.galeon.com/metodo_audi.htm
 Recuperado (16/02/2016) del curso Auditoria de sistemas Grupo 90168-44
Tomado de: http://campus06.unad.edu.co/ecbti05/mod/forum/view.php?
id=696