+AUDITORIA DE SISTEMAS

CÓDIGO: (90168A_611)

Fase 3 Ejecución de la Auditoria

Unidad 2 – Metodología de Auditoria Aplicada a la Informática y los Sistemas

Presentado a:
FRANCISCO SOLARTE
Director de curso

Entregado por:

SHIRLEY JASBLEIDY CURICO NORIEGA - Código: 41.061.151

Grupo: 90168_47

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

ABRIL DE 2019
LETICIA- AMAZONAS
INTRODUCCION
OBJETIVOS
 PROPUESTA FASE3

Ejercicios a desarrollar
OBJETIVO: El estudiante descubre las vulnerabilidades, amenazas y riesgos
informáticos a que se ve expuesta la organización empresarial para determinar las
causas que originan los riesgos y resolver los problemas mediante la definición y
aplicación de controles.
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas,
listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades,
amenazas y riesgos para cada proceso asignado.

INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN: En esta fase el equipo

verificador y auditor aplicara como medio de evaluación el método de la entrevista
y listas de chequeo cuando se trate de pruebas documentales, la cual se encuentra
diseñada para cada una de los Departamentos de la empresa CONTRASUR
Industria y Comercio.

Esta empresa estará constituida por los siguientes departamentos.

1. Departamento de gerencia
2. Departamento de finanzas
3. Departamento de administración
4. Departamento de estadística
5. Departamento de jefe de personal
6. Departamento de disciplina y ética
7. Departamento de información general
8. Departamento de secretaria.
9. Departamento de Seguridad
10. Oficina de Operadores de Radio y Conductores
ENCUESTA DE PERCEPCION- DEPARTAMENTO DE GERENCIA

1. ¿Dispone de un organigrama Empresarial?

SI NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?

Cada mes Cada 6 meses

Cada 3 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

empresa?

SI NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

INTERNA EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

SI NO

LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA

CUMPLE

CUMPLE
NO

PROCESO IDENTIFICADOR OBSERVACIONES

COBIT

PO2.1 Modelo de Tiene diseñado el

Arquitectura de organigrama de la empresa
Información Hay procedimientos y
Empresarial procesos escritos de la
PO2.3 Esquema operación de la empresa,
de Clasificación constituidos en el manual de
de Datos funciones y procedimiento
PO2.4 Identifica los modelos
Administración de gerenciales y recurso humano
Integridad de acuerdo al plan estratégico
que tiene su empresa.
 La empresa aplica los
estándares de cálida
establecido.
Se generan actualizaciones
entrenamiento,
capacitaciones o cursos que
mejoren los procesos y
actividades del personal
Se realizan auditorias en
todas las áreas de la empresa
AI1.2 Reporte de La empresa cuenta con
Análisis de protocolos de seguridad
Riesgos informática
PO3.2 Plan de Cuenta con equipos de
Infraestructura cómputo suficiente para
Tecnológica cuada una de las área de la
empresa.

ENCUESTA DE PERCEPCION - DEPARTAMENTO DE FINANZAS

1. ¿El Departamento Financiero tiene relación directa con las demás áreas
de la empresa?

SI NO

2. ¿Se realizan controles o revisiones internas de las operaciones

sistemáticas realizadas dentro del Departamento?

SI NO

3. ¿Se encuentran las cuentas bancarias registradas y autorizadas por la

entidad competente?

SI NO

4. ¿Está centralizada la responsabilidad de los cobros y depósitos en efectivo

en el menor número de personas?

SI NO

5. Se realizan de manera separada el balance de las cuentas de gastos y las

provisiones por beneficios sociales.

SI NO
 6. ¿El área cuenta con un software y libros auxiliares contables para las
acciones correspondientes del área?

SI NO

7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI NO

LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de Cuenta con un software

Arquitectura de contable para las acciones
Información misionales propias del
Empresarial Departamento.
La empresa cuenta con una
PO2.3 Esquema matriz de indicadores
de Clasificación Cada cuanto se realizan
de Datos inventarios de activos fijos.
Se realizan periódicamente
arqueos de caja en taquilla de
PO2.4 venta de tiquetes
Administración de Los tiquetes de rutas están
Integridad sujetas a variaciones de
precios.
Los sueldos y los beneficios
sociales son aplicados de
acuerdo a la normatividad
laboral vigente.
Esta la empresa al día en
presentación de planillas, con
el Ministerio de Trabajo.
Los contratos de compra se
encuentran con sus
respectivas altas y bajas, con
entradas y salidas,
debidamente legalizados
La empresa tiene un alto
índice de endeudamiento por
el pago de acreencias
PO3.2 Plan de La empresa cuenta con un
Infraestructura recurso disponible para la
Tecnológica dotación, mantenimiento
preventivo y correctivo de los
equipos informáticos
ENCUESTA DE PERCEPCION - DEPARTAMENTO ADMINISTRATIVO/
ESTADISTICO

1. ¿En la empresa se han realizado auditorias administrativas?

SI NO

2. ¿Cree usted que al realizar auditorías administrativas internas en la

empresa ayudaría para tomar mejores decisiones?

SI NO

3. ¿La empresa mantiene algún tipo de registros de manera permanente para

evaluar el desenvolvimiento de todos los Departamentos?

SI NO

4. ¿Existen políticas de manera que permitan realizar un diagnóstico

estructural de acuerdo al organigrama?

SI NO

5. Realiza una planificación estratégica para cada uno de los componentes

establecidos en el organigrama estructural.

SI NO

6. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI NO
 LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de Los manuales de

Arquitectura de organización y de
Información procedimiento están
Empresarial autorizados y socializados
Aplica al menos una vez al
PO2.3 Esquema año en cuentas de
de Clasificación satisfacción a los clientes y
de Datos empleados de acuerdo a los
servicios ofertados
PO2.4 La empresa promueve el
Administración de cumplimientos de los
Integridad principios, en cuanto a
normatividad
Esta el número de empleados
en proporción al volumen de
operaciones de la empresa
PO3.2 Plan de Cuenta con una base de
Infraestructura datos sistematizada
Tecnológica
AI1.2 Reporte de Cuenta con mecanismos de
Análisis de evaluación y seguimiento de
Riesgos acuerdo a los protocolos de
seguridad informática.
DS13.5 Cumple con el mantenimiento
Mantenimiento preventivo y correctivo de los
Preventivo del equipos de cómputo.
Hardware

ENCUESTA DE PERCEPCION - DEPARTAMENTO JEFE DE PERSONAL,

DISCIPLINARIO Y ETICO

1. ¿Todo el personal conoce los lineamientos, políticas, procesos y

procedimientos definidos en el manual organizacional de la empresa?

SI NO

2. ¿Posee lineamientos de control sistemático establecido por la empresa?

SI NO

3. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas

institucionales de la empresa?

SI NO
 4. ¿Posee la empresa sistemas de información?

SI NO

5. ¿La empresa evalúa considerablemente el perfil de cada puesto con la

capacidad idónea de cada función establecida en el manual
organizacional?

SI NO

6. ¿La empresa ha elaborado un programa de evaluación y desempeño

considerando los objetivos, alcances y parámetros establecidos en el
manual organizacional?

SI NO

7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI NO

LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y

ETICO
CUMPLE

CUMPLE
NO

PROCESO IDENTIFICADOR OBSERVACIONES

COBIT

PO2.1 Modelo de El área proporciona planes

Arquitectura de para el seguimiento de
Información procesos y procedimientos
Empresarial definidos en el manual
PO2.3 Esquema organizacional
de Clasificación
de Datos
PO2.4
Administración de
Integridad
 Se encuentran definidos los
perfiles para el reclutamiento
del personal a contratar
Proporcionan capacitaciones
al personal nuevo o en
proceso de selección
AI1.2 Reporte de Se aplican medidas
Análisis de correctivas en cuanto a
Riesgos posibles fallas del sistema de
control
DS13.5 Cada personal cuenta con los
Mantenimiento recursos físicos, medios y
Preventivo del equipos en cuanto a dotación
Hardware correspondiente para ejercer
la labor
PO3.2 Plan de Cuenta con una periodicidad
Infraestructura establecida para realizar el
Tecnológica mantenimiento preventivo de
correctivo de los Software y
hardware
Los sistemas de información e
infraestructura son acordes a
las necesidades de la
empresa

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE INFORMACIÓN

GENERAL/ SECRETARIA

1. ¿Dispone de un organigrama Empresarial?

SI NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?

Cada mes Cada 6 meses

Cada 3 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

empresa?

SI NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

INTERNA EXTERNA
 5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

SI NO

LISTA DE CHEQUEO - INFORMACIÓN GENERAL/ SECRETARIA

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE SEGURIDAD

1. ¿Dispone de un organigrama Empresarial?

SI NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?

Cada mes Cada 6 meses

Cada 3 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

empresa?

SI NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

INTERNA EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

SI NO

LISTA DE CHEQUEO - SEGURIDAD

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE OPERADORES DE

RADIO Y CONDUCTORES

1. ¿Dispone de un organigrama Empresarial?

SI NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?

Cada mes Cada 6 meses

Cada 3 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

empresa?

SI NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

INTERNA EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

 SI NO

LISTA DE CHEQUEO - OPERADORES DE RADIO Y CONDUCTORES

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las

vulnerabilidades, amenazas y riesgos detectados con los instrumentos de
recolección de información.

En esta parte el equipo pretende aplicar una serie de pruebas que permitan
confirmar si la empresa CONTRASUR Industria y Comercio, se encuentra
expuestas a posibles riesgos el cual se detectara por medio de los instrumentos de
recolección diseñados.

Las pruebas se realizarán de manera Unitaria, analizando la funcionalidad,

integración, validación y pruebas del sistema mediante estos pasos diseñados a
continuación:

1. Observación de cada una de las áreas con el fin de tener un cotejo de los
componentes de software, hardware y de la red que cuenta la empresa.
2. Entrevistas/Encuestas con cada una de las áreas y centro de cómputo.
3. Análisis de documentos de gestión y técnicos.
4. Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
5. Evaluar las tecnologías de información tanto de hardware como del
software.
6. Evaluar el Plan de la infraestructura tecnológica que cuenta la empresa.
Los procedimientos que se llevarán a cabo serán los siguientes:

 Tomar cada una de los equipos y evaluar la dificultad de acceso al sistema.

 Intentar sacar datos con un dispositivo externo con el fin de verificar la
seguridad del sistema.
 Facilidad de acceso a información confidencial tanto de usuarios y
contraseñas del sistema.
 Verificación de mantenimiento preventivo de los componentes de hardware.
 Comprobar la inactividad del usuario y si el mismo se desloguee.

3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados

para cada proceso evaluado.

PROCESO COBIT VULNERABILIDAD AMENZAS RIESGO

PO2.1 Modelo de Programas de Falta de inducción, Mal manejo del sistemas
Arquitectura de comunicación. capacitación y y herramienta.
Información Empresarial Programas de conocimientos de
PO2.3 Esquema de producción de datos. programas, planes, Perdida de datos por
Clasificación de Datos Base de datos interno y normatividad que se error del usuario.
PO2.4 Administración de externo. encuentran inmersos en
Integridad Mecanismos de el manual de funciones. Manipulación de datos
verificación de normas y Sensibilización de datos de manera errónea.
reglas claras para el y el sistema.
análisis adecuado de No disponibilidad de
datos de control. respaldos.
PO3.2 Plan de Infraestructura (planes Al no contar con un plan Falta de mantención de
Infraestructura documentación etc.,). estructural la infraestructura
Tecnológica Medidas de Protección correspondiente a cada tecnológica.
física adecuada. uno de los procesos
Administración de las inmersos en el manual Falta de medida de
redes adecuadas. no se pueden garantizar seguridad o de
Plan de abastecimiento y la monitorización contingencia para el
medición de energía. técnica, personal y ambiente e
Diseño de aplicación de operacional del sistema infraestructura que
los sistemas de tecnológico. puede acarrear
información. desastres naturales.
AI1.2 Reporte de Sistemas de Manejo inadecuado de Perdida de datos o
Análisis de Riesgos autenticación. datos críticos (borrar, información.
Transmisión cifrada de codificar etc..). Infección del sistema
Datos. Transmisión no cifrada atreves de unidades.
Red asegurada para el de datos.
acceso no autorizado. Sabotaje ataque (físico y
Acceso autorizado a electrónico).
medios electrónico. Perdida de
confidencialidad.

Exposición de
contraseñas.

DS13.5 Mantenimiento Mantenimiento Mal exposición de Fallas por degradación

Preventivo del Hardware Correctivo físico unidades de equipo de tiempo y
(procesos, repuestos e cómputo y lugares de disponibilidad del
insumos). almacenamiento. software y hardware.
 Actualización de Falta de hardware y sus Daños por exposición o
software (procesos y componentes. almacenamiento
recursos). Incompatibilidad de inadecuado.
Recursos disponibles de unidades de hardware y
hardware y sus software. Rendimiento no
componentes. Perdida de datos por esperado del sistema.
error de hardware.
Falta de mantenimiento
preventivo y correctivo.
ME2.1 Monitoreo del Soporte interno Ausencia de Uso no controlados y no
Marco de Trabajo de Soporte técnico externo documentación autorizados del sistema.
Control Interno Falta de políticas de Falta de definición de
Seguridad Corporativa. perfiles, privilegios y Falta de conciencia de
Mecanismos de restricciones del seguridad.
monitoreo. personal.
Falta de mecanismos de
Falta de estudios de monitoreo.
riesgos del sistema.

4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.

En esta etapa se obtendrá el análisis y evaluación de los resultados que surjan de

la aplicación de los procedimientos de control y las pruebas realizadas con el
propósito de determinar si cumple o no con el objetivo del plan de la auditoria
definidos mediante el proceso de control.

PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda
causar al usuario por el reconocimiento de información sobre los activos del sistema
en la empresa.

PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la

normatividad corporativa a verificar la falta de normas o reglas de la empresa de los
cuales pueden llegar a producir un gran riesgo.

AI1.2 Reporte de Análisis de Riesgos: En este proceso se enfocará en la

información y datos del sistema al que puedan estar expuestos el acceso no
autorizado o alteración de la transmisión de datos no cifrados.

DS13.5 Mantenimiento Preventivo del Hardware: En este proceso se enfocará a

diferentes fallas que pueda presentar los componentes del hardware y software,
errores de diseño, pruebas e implementación del mismo dentro del sistema.

ME2.1 Monitoreo del Marco de Trabajo de Control Interno: En este proceso se

enfocará a fallas de seguridad en el acceso y transmisión de las políticas de soporte
interno/ externo y seguridad de la red del sistema.

De acuerdo a la elaboración e implementación de nuestros instrumentos de

verificación y recolección de información, se formula una matriz como herramienta
de control y gestión para el análisis de posibles riesgos, es mismo se utilizará para
identificar y determinar las actividades a realizar de acuerdo a los procesos,
servicios y productos más importantes o relevantes de la empresa CONTRASUR
Industria y Comercio.

Mediante la siguiente matriz visualizaremos los riesgos desde la etapa inicial,

facilitando la mitigación al maximizar las oportunidades de los riesgos de los cuales
se manejarán los tiempos minimizando el impacto negativo, cuyo objetivo primordial
es identificar y cuantificar los posibles riesgos.
 5. Elaborar la matriz de riesgos de cada proceso evaluado
CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO

PROCESO COBIT ELEMENTOS DE CRIMINALIDAD SUCESOS FISICOS NEGLIGENCIA

INFORMACION
ROBO VIRUS INCENDIO ACCIDENTALIDAD MUERTE NO CIFRAR CONTRASEÑAS

PO2.1 Modelo de
Arquitectura de
Información
Empresarial
PO2.3 Esquema de
Clasificación de Datos
PO2.4 Administración
de Integridad

PO3.2 Plan de No contar

Infraestructura
Tecnológica
AI1.2 Reporte de
Análisis de Riesgos
DS13.5
Mantenimiento
Preventivo del
Hardware
ME2.1 Monitoreo del
Marco de Trabajo de
Control Interno
 6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO

PROCESO COBIT ELEMENTOS DE CRIMINALIDAD SUCESOS FISICOS NEGLIGENCIA

INFORMACION
ROBO VIRUS INCENDIO ACCIDENTALIDAD MUERTE NO CIFRAR CONTRASEÑAS

PO2.1 Modelo de
Arquitectura de
Información
Empresarial
PO2.3 Esquema de
Clasificación de Datos
PO2.4 Administración
de Integridad

PO3.2 Plan de No contar

Infraestructura
Tecnológica
AI1.2 Reporte de
Análisis de Riesgos
DS13.5
Mantenimiento
Preventivo del
Hardware
ME2.1 Monitoreo del
Marco de Trabajo de
Control Interno
CONCLUSION
BIBLIOGRAFÍA