NEUMANN BUSINESS SCHOOL

ESCUELA DE POSTGRADO

MAESTRÍA EN
TECNOLOGÍAS DE LA INFORMACIÓN

AUDITORÍA INFORMÁTICA AL DEPARTAMENTO DE TECNOLOGÍA E

INFORMÁTICA DE LA CERTIFICADORA TSTRUST S.A.

TRABAJO FINAL DE ASIGNATURA

AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

MAESTRO EN
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

AUTORES:
FERNANDA TATIANA ORTIZ LIMA
CRISTINA ELIZABETH BASTIDAS SOSA

DOCENTE GUÍA:
MBA. YVAN DÍAZ ZELADA

TACNA – PERÚ
2019
ÍNDICE

RESUMEN EJECUTIVO ...................................................................................................... 3

PRESENTACIÓN DE LA EMPRESA .................................................................................. 4

DESARROLLO DEL TEMA................................................................................................. 6

Objetivo .............................................................................................................................. 6

Definición del alcance ........................................................................................................ 6

Recursos necesarios ............................................................................................................ 6

Plan de acción ..................................................................................................................... 7

Clasificación de riesgos .................................................................................................... 11

Matriz de Evaluación de Riesgos ...................................................................................... 11

Formato de Informe Final ................................................................................................. 15

CONCLUSIONES ................................................................................................................ 19

RECOMENDACIONES ...................................................................................................... 19

BIBLIOGRAFÍA .................................................................................................................. 21
 RESUMEN EJECUTIVO

El presente proyecto trata sobre la planificación y desarrollo de una auditoría

informática para el Departamento de Tecnología e Informática de la empresa TSTRUST a
través del uso de la metodología COBIT con el propósito de revelar las deficiencias y
vulnerabilidades en cuanto al manejo de la información se refiere, permitiendo de esta
manera obtener un estudio sobre la situación actual de dicha empresa en cuanto a
infraestructura tecnológica se refiere.

Una vez concluido el proceso de auditoría informática, se realiza un informe sobre los
riesgos reales y posibles deficiencias encontradas así como las recomendaciones más
adecuadas para brindar las soluciones respectivas.

Entre los principales hallazgos encontrados dentro de la presente auditoría informática

se pueden mencionar laalta de renovación periódica de claves de acceso (contraseñas) de
los usuarios del sistema informático y el sistema operativo, falta de medidas de Seguridad
Física adecuadas en la compañía, la falta de organización en el Departamento Informático y
la falta de un Plan de Capacitación Informática
 PRESENTACIÓN DE LA EMPRESA

Nombre de la empresa

Certificadora de Información TSTRUST S.A

Descripción de las actividades de la empresa

Actividades relacionadas con los procesos de mantenimiento y operación de acceso a

servicios de transmisión de video, texto, sonido, datos y voz por medio del uso de
infraestructura de telecomunicaciones alámbricas

Servicios que brinda

 Consultoría
 Capacitación
 Outsourcing de tecnología
 Marketing Digital

Ámbito en el que se desarrolla

La Certificadora de Información TSTRUST S.A ha creado un gran número de

capacidades que le permiten apoyar a sus clientes con el objetivo de incrementar
notablemente sus inversiones en tecnología, de esta manera se posesionan dentro del
ámbito de despliegue, adopción y operación de la infraestructura de comunicaciones.

Esta empresa tiene como objetivo incluir dentro de las necesidades del negocio de los
clientes elementos como: redes firmes, soluciones en la nube en el ámbito privado,
implementación del escritorio virtual unificado y soluciones de seguridad ciudadana
llegando convirtiéndose de esta manera en una empresa con una vasta experiencia en el
ámbito de la Información y de Comunicaciones no solo a nivel nacional sino en la región
andina.

Estructura organizacional

La estructura general de la Certificadora de Información TSTRUST S.A está conformada

de la siguiente manera:

Gerente
General

Dirección

Departamento de
Tecnologías de la Departamento Departamento de
Información y Administrativo Talento Humano
Comunicación

En cuanto se refiere específicamente a la estructura del Departamento de Tecnologías e

Informática:

Departamento de
Tecnologías e
Informática

Gerentes de
Arquitectos Programadores Analistas
Proyectos
 DESARROLLO DEL TEMA

Objetivo

Desarrollar una Auditoría Informática de los Sistemas de Tecnología del Departamento

de Tecnología e Informática de la empresa TSTRUST a través del modelo COBIT para
optimizar e incrementar el manejo, seguridad y confiabilidad de su información.

Definición del alcance

El alcance permite definir tanto el entorno y los límites en que va a desarrollarse la

mencionada auditoria informática. Para ello, la presente Auditoria Informática está
orientada a aplicarse en la empresa TSTRUST, abarcando exclusivamente el
Departamento de Tecnología e Informática.

En primera instancia se realizó un estudio tanto de la contexto actual de la empresa en

cuestión identificando las normativas, estructura y funciones que se manejan dentro de la
organización así como revisando la gestión del Departamento de Informática con la
finalidad de evaluar el presente estado de dicho departamento, de esta manera se puede
asesorar acerca de la presencia de fallas e inconsistencias en sus sistemas de información.

De esta manera la gerencia podrá mantener un control adecuado sobre la organización al

reducir notablemente los niveles de riesgo inherente, generando mayor eficiencia y eficacia
dentro de la empresa.

Recursos necesarios

En base a información obtenida inicialmente, los recursos materias y humanos

requeridos en el desarrollo de la presente auditoría informática se detallan a continuación:

 Recurso material

Equipos
 Este tipo de recursos son proporcionados por la empresa auditada. Sin embargo todo el
trabajo que se planifica realizar dentro de la presente auditoría se basa en la documentación
y almacenamiento de la información, para lo cual se utiliza una computadora y una
impresora.

Software

Como recursos de apoyo en la presente auditoría se emplearán las siguientes

herramientas ofimáticas:

 MS EXCEL: elaboración de tablas y cuadros.

 MS WORD: documentación y redacción.

 Recurso humano

 Responsable del proyecto: Es la persona que se encarga de obtener el contacto con

la empresa para que dicha organización se encargue de brindar las facilidades para
obtener tanto la documentación como la información base para llevar a cabo la
auditoría. Esta persona es la que en debe conocer adecuadamente todo el proceso
metodológico que abarca una auditoría informática. En este caso de estudio son los
autores del proyecto quienes asumen este rol.

 Auditores: Es la persona que se encarga de la recopilación, sistematización y

análisis de la información suministrada por la empresa. Dicha persona debe conocer
tanto la metodología aplicable en la auditoría así como el modelo COBIT y su
respectiva aplicación.

Plan de acción

A continuación se detallan las actividades a realizar dentro del proceso de auditoría

informática a realizarse al Departamento de Tecnología e Informática de la empresa
TSTRUST con el respectivo tiempo de duración en días y el número de responsables por
actividad a realizar. Además se establece una tabla con el presupuesto total empleado para
el desarrollo de la presente auditoría.
Tabla 1
Actividades generales de la auditoría informática
Fase Descripción Actividad Número de Tiempo
responsables
Objetivo Obtención y Obtener información competente y relevante y evidencias 1 3 días
recopilación de la suficientes para conocer la realidad del Departamento de
información Tecnología e Informática de la empresa TSTRUST previo
al desarrollo de la auditoría informática
Conocer la estructura de Entrevistar al Gerente de TSTRUST con la finalidad de 2 2 días
la empresa para iniciar obtener información relevante y útil para el desarrollo de
ron la auditoría la auditoría informática.
informática. Llevar a cabo una revisión de la estructura de la empresa 1 2 días
TSTRUST para conocer su distribución y división
.
Evaluación Evaluar el Aplicar herramientas de Control Interno 1 7 días
de control sistema de Evaluación del control interno mediante los componentes 1 2 días
interno control interno de COSO
del Departamento de Determinar las áreas críticas y hallazgos 1 1 día
Tecnología e
Informática en la
empresa TSTRUST
 Información Dar a conocer los Redactar el informe final 1 3 días
y resultados y
comunicación hallazgos
Dar a conocer el informe con la gerencia y el personal 1 6 días
de resultados encontrados a lo largo
involucrado, principalmente con el perteneciente al
obtenidos del proceso de
Departamento de Tecnología e Informática en la empresa
aplicación de la
TSTRUST
auditoría informática

Tabla 2
Tiempos y costos designados para la auditoria
Etapa Tiempo Costo (USD)
Planificación Preliminar 7 días 450, 00
Específica 150,00
Ejecución 10 días 100,00
Información y comunicación de 9 días 450,00
resultado
Total de la auditoría 26 días 1.115,00
Clasificación de riesgos

En este apartado se consideró la obtención de información y recopilación de evidencias tanto suficientes como competentes, que permitan
reflejar la realidad de la compañía y establecer sus riesgos y posteriormente sus respectivos hallazgos. Esta evidencia se obtuvo bajo el
sistema de control interno, enfocándonos en todo lo relacionado a la auditoría informática

 Actividades de Control en la Seguridad Física

 Actividades de Control en la Seguridad Lógica
 Actividades de Control en el Hardware
 Actividades de Control en el Software
 Actividades de Control en la Infraestructura.
 Actividades de Control en el Sistema Informático.

Matriz de Evaluación de Riesgos

Componente Riesgo Nivel Análisis

Alto Medio Bajo
Actividades de Instalaciones eléctricas Las medidas de control interno
Control en la inseguras. informáticas implantadas en la empresa,
Seguridad Física son básicas, se debería implementar
 Existe una sola persona medidas de manera escrita más
responsable directamente del específicas que ayuden a mantener la
cuidado de todos los equipos seguridad de los bienes informáticos
informáticos
Carecen de un control
periódico de los bienes
informáticos
Carecen de claves de bloqueo el manejo del software es el apropiado ya
para el Sistema Operativo. que se salvaguarda toda la información,
Inexistencia de control de pero se necesita implementar medidas de
Actividades de acceso a redes sociales control y seguridad más convincentes que
Control en la ayuden a proteger la información de la
Seguridad Lógica compañía, y que sean mejor utilizadas por
la alta gerencia
Carecen de una planificación En la compañía se da mantenimiento a un
Actividades de para dar mantenimiento a los equipo cada vez que deja de funcionar
Control en el equipos con los que se trabaja totalmente, pero se debería dar
Hardware mantenimiento periódicamente
Escaso control de accesos de En la empresa las políticas y
virus, hackers, y otros que procedimientos de actualización son
 afecten al software de los simplemente verbales, se debería
Actividades de equipos implementar las mismas de manera
Control en el Carecen de políticas y escrita, además de asignar a una persona
Software procedimientos formales para responsable de la actualización periódica.
actualizar el sistema operativo
Inexistencia de una adecuada Existe en la compañía un Reglamento
segregación de funciones Interno, en el cual no se especifica las
funciones y responsabilidades de cada
Actividades de Carecen de espacio físico para persona que labora en el área informática,
Control en la todos equipos en el debería implementarse un manual de
Infraestructura. departamento informático funciones y otro manual de
procedimientos para los trabajadores
Actividades de Carecen de un procedimiento Los usuarios del sistema cada vez que
Control en el formal para realizar deben cambiar datos en el mismo solo se
Sistema Informático modificaciones de la ingresan cambian los datos en el cual no
información en el sistema se graba quien realizó la modificación, es
por estos motivos que deben implementar
autorizaciones a una sola persona para
que los realice, solo en el caso que sea
necesario.
Formato de Informe Final

AUDITORÍA INFORMÁTICA
Departamento Tecnología e Informática de Certificadora de Información TSTRUST S.A
Programa Actividad Hallazgo Condición Causa
Ejecución Entrevista Falta de Los usuarios del sistema informático no No está definida dicha política, por lo
preliminar renovación realizan renovación en sus contraseñas tanto no se realiza dicho proceso, no
periódica de desde que ingresaron a laborar en la existe un adecuado control de
claves de acceso compañía verificación de claves, para saber si estas
(contraseñas) de son o no seguras.
los usuarios del
sistema
informático y el
sistema
operativo.
Cuestionario Falta de medidas Inexistencia de medidas de seguridad La gestión inadecuada y el descuido de la
de Control de Seguridad adecuadas sobre todo para proteger los alta gerencia por prevenir los riesgos,
Interno Física adecuadas bienes además de no adoptar medidas de
en la compañía seguridad para los bienes.
Cuestionario Falta de Falta de organización respecto a las Falta de establecimiento de canales
de Control organización en funciones de las tres personas encargadas formales de comunicación e información
Interno el Departamento del departamento informático que fomenten la confianza y seguridad
Informático. entre los diferentes niveles jerárquicos de
la empresa.
Cuestionarios Falta de un Plan Falta de un plan de capacitación Inexistencia de un plan de capacitación
de control de Capacitación informática para los encargados así como adecuado para todo el personal revisando
interno. Informática cursos de capacitación periódica para los las dificultades en el uso del sistema
jefes de almacén y vendedores de la informático
compañía.
Quito, 22 de septiembre del 2019.

Ingeniero. Wilson Ortíz

Gerente Certificadora de Información TSTRUST S.A.

Presente.-

De mi consideración:

A la culminación de la Auditoría Informática, aplicada a la empresa TSTRUST S.A de la ciudad

de Quito, provincia de Pichincha, durante el período 2019, mi responsabilidad es expresar la
opinión acerca de los niveles de seguridad física, lógica y el control interno que maneja la
compañía, expresados en una opinión clara y concreta del desarrollo de estas medidas de control y
si estos se ejecutan de manera idónea con base las Normas de Control Interno. La Auditoría de
Sistemas Informáticos fue aplicada en base a los componentes del Método COSO II, y Normas de
Control Interno establecidos es a la por la Contraloría General del Estado referentes a la tecnología
de la información, etc., elementos que me han permitido realizar una evaluación objetiva de la
situación actual de la empresa e identificar sus falencias y necesidades, que hacen que la seguridad
de los recursos informáticos de TSTRUST S.A., no sea confiable en su totalidad. Los
componentes analizados dentro de esta Auditoría son: Ambiente Interno, Establecimiento de
Objetivos, Identificación de Riesgos, Evaluación de Riesgos, Respuesta al Riesgo, Información,
Comunicación y Monitoreo; componentes aplicados a las actividades que se ejercen en la empresa.
En mi opinión, TSTRUST S.A sí se ajusta a las disposiciones legales vigentes, al dar
cumplimiento a las exigencias del Instituto Ecuatoriano de Seguridad Social, Servicio de Rentas
Internas y demás entes reguladores a los que está obligada a someterse dicha Empresa; pero a la vez
se abstrae de dar cumplimiento a normas de control interno que fomenten el desarrollo de
seguridades tanto físicas como lógicas de los sistemas informáticos. A continuación detallaré los
hechos más relevantes encontrados en el proceso de evaluación, ejecución e identificación de
riesgos de la Auditoría, los que se resumen de manera puntual en las conclusiones y
recomendaciones citadas a continuación:

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIÓN 1.- En el departamento informático jamás un usuario ha renovado sus contraseñas

de acceso tanto al Sistema Operativo como al Sistema Informático.
RECOMENDACIÓN 1.- Los encargados del departamento informático deben crear una política de
renovación de claves de acceso al sistema informático y al sistema operativo por lo menos de cada
sesenta días para incrementar la seguridad.

CONCLUSIÓN 2.- Debido a las múltiples ocupaciones de la alta gerencia se ha descuidado la

seguridad de los bienes informáticos ante propios y ajenos.

RECOMENDACIÓN 2.- La persona encargada del funcionamiento del sistema informático debería
implementar una bitácora de supervisión del personal que ingresa al departamento además de un
circuito cerrado de cámaras.

CONCLUSIÓN 3.- El departamento informático no ha realizado capacitaciones

informáticas periódicas que motiven al aprovechamiento de los recursos informáticos.
RECOMENDACIÓN 3.- El departamento informático debe programar capacitaciones al
menos cada seis meses para todo el personal que utiliza el sistema informático para mejorar
su productividad. CONCLUSIÓN 4.- El personal del departamento informático tiene
también otras funciones, reduciendo la efectividad de su soporte técnico en las operaciones.
RECOMENDACIÓN 4.- Implementar un manual de procedimientos donde se especifique
claramente todas las responsabilidades de cada colaborador para incrementar la
productividad del personal. Implantar una bitácora de los trabajos realizados para controlar
las mejoras del sistema informático.
CONCLUSIONES

 La metodología propuesta en el presente estudio permite revisar el uso de la tecnología

de información en el Departamento Tecnología e Informática de Certificadora de
Información TSTRUST S.A por medio del uso de modernas técnicas para la
recopilación de la información y análisis detallado. De esta manera se puede identificar
de manera práctica los riesgos presentes evaluando también los controles en el uso de
éstas.

 La Auditoría Informática en el ámbito del desarrollo local es para muchos desconocida

y sin mucha oportunidad de experimentación. La Certificadora de Información
TSTRUST S.A no había llevado a cabo anteriormente una investigación de esta índole,
de ahí lo importante del examen para las futuras administraciones.

 Uno de los principales riesgos encontrados que ocasionó problemas en el manejo de la

información en el departamento auditado constituye la falta de inventario de equipos,
software y mobiliario de cómputo.

RECOMENDACIONES

 El indudable avance de las tecnologías de la información ha hecho que la Auditoría se

convierta en un campo de vital importancia en la actualidad de las empresas. Se
recomienda que este tipo de auditoría se ejecute en la empresa de forma anual con la
finalidad de comprobar si los cambios fueron ejecutados de manera exitosa.

 Se debe elaborar un Manual Interno de Funciones dentro del Departamento por cada
Departamento de Tecnología E Informática de la Certificadora TSTRUST S.A. con los
cual se ayudaría a mejorar las responsabilidades específicas que debe tener todo el
personal.
 La empresa debe incrementar la seguridad en cuanto al manejo de la información se
refiere a través de la creación de planes de contingencia para evitar pérdidas
considerables de información. Este proceso se puede canalizar a través del uso de
espacios seguros donde se pueda almacenar dicha información, tales como programas
de aplicación y backups

 Aplicar un plan de capacitación al personal del departamento acorde las necesidades

específicas de la institución para aprovechar los recursos informáticos con la finalidad
de dar cumplimiento a los objetivos de la organización
BIBLIOGRAFÍA

González, P. (2018). Auditoría TI en la Asociación APSA. Obtenido de

https://rua.ua.es/dspace/bitstream/10045/80391/1/Auditoria_TI_en_la_Asociacion_
APSA_GONZALEZ_MATAIX_PAULA.pdf

Piatinni, M., & del Peso, E. (2001). Auditoría Informática: un enfoque práctico. México
D.F.: Alfaomega.

Quintuña, V. (2010). Auditoría Informática - SUPERTEL. Obtenido de

https://dspace.ucuenca.edu.ec/bitstream/123456789/652/1/ts205.pdf

Ramos, M. (1996). La Auditoría Informática. Informática y Derecho, 983-991.