AUDITORIA DE SISTEMAS

Unidad 1: Fase 2 - Planeación de la auditoría (Foro de discusión)

Desarrollo Fase 2 - Planeación de la Auditoria

Estudiante:

Jonathan Bergaño Carrasco

FRANCISCO NICOLAS SOLARTE

Tutor

Grupo: 90168A_614

Universidad Nacional Abierta Y Distancia

06/10/2019
 Introducción

Para ejecutar una auditoria de sistemas con lleva una seria de procesos y
acciones de manera ordenada, lo cual deben ser ordenada de manera secuencial
de acuerdo a las etapas y eventos que se requieren durante su ejecución.
Por lo tanto en esta actividad tiene la finalidad de evaluar una empresa
específicamente el área de sistema donde se identificaran las vulnerabilidades y
amenazas que ponen en riesgo la integridad física y lógica de los procesos que se
llevan a cabo en dicha área, así mismo se definirá las etapas de la auditoria
determinando su objetivo y alcance para llevar a cabo su objetivo
 OBJETIVOS

· Que los estudiantes identifiquen pasó a paso lo que es la elaboración de cada

fase de una auditoria informática.

· Afianzar los conocimientos desarrollados en el primer trabajo.

· Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.

· Elaborar un plan de auditoria para aplicarlo a la empresa escogida.

· Realizar el programa de auditoria teniendo en cuenta los estándares

solicitados.
 Empresa elegida

- SERAMBIENTAL

Descripción General Empresa.

Es una empresa dedicada a la prestación del servicio integral de aseo y servicios
complementarios, que busca satisfacer a la comunidad, mejorar el medio ambiente
y la calidad de vida de las generaciones presentes y futuras.

Tipos de Servicios
 Recolección
Es el servicio de recolección de los residuos sólidos en el andén de la vía pública
frente al predio del usuario.
 Barrido y Limpieza
Es la actividad del servicio público de aseo que consiste en el conjunto de acciones
tendientes a dejar las áreas y la vías públicas libres de todo residuo sólido,
esparcido o acumulado, de manera que dichas áreas queden libres de papeles,
hojas, arenilla y similares y de cualquier otro objeto o material susceptible de ser
removido manualmente o mediante el uso de equipos mecánicos.

 Servicios Especiales
Está en capacidad de prestar servicios adicionales de corte de césped, recolección
de poda, recolección de inservibles y disposición final de estos residuos.
 VULNERABILIDADES DE LA EMPRESA SER AMBIENTAL S.A

TIPO DE UBICACIÓN
ÍTEM VULNERABILIDADES RIESGOS
VULNERABILIDAD AMENAZA
No es posible
implementar los
El riesgo radica en la
lineamientos de
vulnerabilidad que
seguridad en materia
poseen los redes
de red de datos, toda
inalámbricas, debido a
vez que la
que los protocolos de
infraestructura física Vulnerabilidad Infraestructura
1 seguridad de esta
de la red de datos no Física tecnológica
tecnología son fáciles
es suficiente para
de penetrar y existen
abarcar la totalidad de
gran cantidad de
los usuarios y fue
herramientas que
necesario instalar
permiten hacerlo.
acces point para
darles acceso a la red.
No se cuenta con el El riesgo radica en la
ancho de banda falta de capacidad de
suficiente para la Vulnerabilidad Infraestructura ancho de banda de
2
correcta operación de Física tecnológica internet para soportar
los sistemas en línea efectivamente los
en la sede centro. aplicativos en línea.
El riesgo radica en el
deterioro que sufren
los equipos de
audiencia y de
No se cuenta con los videoconferencia, toda
ambientes adecuados vez que hay que
Vulnerabilidad Infraestructura
3 para los equipos de instalarlos y
Física tecnológica
las salas de audiencia desinstalarlos cuando
y videoconferencia. se requiere usarlos,
debido a la ausencia
de un espacio físico
independientes para
estos.
 El riesgo radica en la
imposibilidad de
atender un
requerimiento de
No se cuenta con la manera oportuna, toda
codificación de los vez que no se cuenta
puntos de red en el Vulnerabilidad Infraestructura con la codificación
4
edificio, ni en el Física tecnológica requerida para la
gabinete del rack de identificación de los
telecomunicaciones. puntos de acceso a la
red, lo cual va en
contra vía a los
principios de eficiencia
y eficacia.
El riesgo radica en la
imposibilidad de
realizar una copia de
Ausencia de servidor seguridad en un
Vulnerabilidad Infraestructura
5 como repositorio de equipo-servidor que
Hardware tecnológica
archivos. actué como repositorio
de archivos, con el
ánimo de realizar un
respaldo global.
En la sede centro no
se cuenta con un
Ausencia de servidor
servidor que realice la
de direccionamiento Vulnerabilidad Infraestructura
6 asignación de IP por
de DHCP en la sede Hardware tecnológica
medio de
centro.
direccionamiento
DHCP.
El riesgo radica en la
ausencia de equipos
de cómputo de
respaldo, toda vez que
en el momento que se
Ausencia de equipos Vulnerabilidad Parque genera un daño, no es
7
de contingencia. Hardware computacional posible reemplazarlo,
para que continué
funcionando en pro de
la correcta operación
de los sistemas
informáticos.
 Debido a que el trámite
de las garantías se
encuentra centralizado
en el nivel central esta
Agilidad en la no se gestionan dentro
ejecución de los los tiempos
trámites de las Vulnerabilidad Parque establecidos,
8
garantías de los Hardware computacional ocasionando
equipos de cómputo traumatismo y
ante los contratistas. afectando los procesos
y trámites que se
deben hacer en los
sistemas de
información.
El riesgo radica en el
posible daño de los
dispositivos
computacionales a
obsolescencia en el causa de la
regulador de 60 KVA Vulnerabilidad Parque obsolescencia del
9
de la acometida Hardware computacional regulador de 50 KVA
eléctrica regulada de la acometida
eléctrica regulada, el
cual presenta fallas en
la regulación del
voltaje.
Los procesos de
capacitación al
momento de
implementar las
Falta de capacitación soluciones
Talento
específica para la tecnológicas no son los
Vulnerabilidad humano -
10 ejecución de adecuados, con el
humanas proceso de
actividades ánimo de garantizar el
capacitación
inherentes. correcto
funcionamiento de las
herramientas
tecnológicas y de
información.
11 Ausencia de copias de Vulnerabilidad Talento Existe el constante riesgo
seguridad por parte de humanas humano de pérdida de información,
los funcionarios toda vez que los
funcionarios no sacan
copias de seguridad, ni
usan el servidor destinado
como repositorio de
 archivos para conservar las
mismas.

METODOLOGÍA DE LA AUDITORÍA
Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los
objetivos planteados, esta se basara y orientara en el estándar COBIT versión 4.1,
para la evaluación del hardware de equipos de cómputo, red física, equipos de
protección eléctrica, y seguridad física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los
componentes que motivan esta auditoria con el ánimo evaluar que la planeación y
organización, la adquisición e implementación, la entrega de los servicios
requeridos, el monitoreo y evaluación y demás acciones pertinentes, están en
línea con los objetivos evaluadores de la auditoria, así como también que estos
estén en concordancia con los principios de eficiencia y eficacia.

De acuerdo a lo anterior la auditoria estará conformada por las siguientes fases y

actividades correspondientes:

Fase de la auditoria
Fase Nombre de la fase Actividades
Solicitud informe de equipos de cómputo, red
1 física, equipos de protección eléctrica, y seguridad
Planeación y física.
1
programación 2 Análisis de la información suministrada
3 Diseño del plan de Visitas
4 Mesa de trabajo
Visitas e inspección de las infraestructuras de
5
telecomunicaciones y eléctrica.
5. Evaluación de la planeación y organización de las
1 infraestructuras de telecomunicaciones y eléctrica.
5. Evaluación la adquisición e implementación de las
2 Ejecución de la auditoria 2 infraestructuras de telecomunicaciones y eléctrica.
Evaluación la entrega de los servicios requeridos
5.
de las infraestructuras de telecomunicaciones y
3
eléctrica.
5. Evaluación el monitoreo y evaluación de las
4 infraestructuras de telecomunicaciones y eléctrica.
3 Informe y plan de acción Análisis preliminar de la información recolectada en
6
el desarrollo de la auditoria.
7 Mesa de trabajo
8 Consolidación del informe de auditoria
 Entrega y exposición del informe de auditoría a la
9
gerencia.

ALCANCE DE LA AUDITORÍA
En esta auditoria se evaluara los equipos de cómputo, red física, equipos de
protección eléctrica, y seguridad física ya que estos son los que permiten el
funcionamiento de todos los aplicativos, sistemas de información y soluciones
tecnológicas que permiten el desarrollo de los procesos misionales por parte de
las personas que conforman el talento humano de esta entidad.

CRONOGRAMA DE ACTIVIDADES

Semana 1 Semana 2 Semana 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Conocer la seguridad
Objetivo 1 de la empresa

Elaborar el plan de
Objetivo 2
auditoría
Objetivo 3
Ejecutar las pruebas
Determinar los
hallazgos encontrados
Objetivo 4
Sustentación de
informe
 CONCLUSIONES

· La auditoría es una herramienta que nos permite revisar y evaluar uno o varios
procesos con el ánimo de corregir un error y proponer soluciones para mitigar sus
causas.

· COBIT es un marco de referencia con el cual se puede comparar los controles

de tecnologías de información con el fin de mejorarlos.

· COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y

fortalecer la seguridad de la información en las organizaciones.

· Gracias a plan de auditoria se puede tener la certeza de como realizara la

auditoria que se establecen los objetivos, alcance, metodología, recursos
humanos, presupuesto y cronograma de ejecución.