Asbd G3 Ae2

AUDITORIA A SISTEMAS DE BASES DE DATOS
DISEÑO DE UN PLAN DE AUDITORÍA PARA BASE DE DATOS DEL SISTEMA

OPERATIVO PROPIETARIO IRD CONTROL DE TRAFICO DE UN PEAJE
POR:
AHIMARA MILENA GIRALDO RUIZ
Tutor:
HERNAN DARIO ARENAS CORREA
UNIVERSIDAD ANTONIO NARIÑO

PROGRAMA
ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS
1
TABLA DE CONTENIDO
INTRODUCIÓN
1. GENERALIDADES
1.1 OBJETIVOS.................................................................................................................6
1.1.1 Objetivo general.......................................................................................................6
1.1.2 Objetivos específicos................................................................................................6
2 MARCOS DE REFERENCIA.........................................................................................8
2.1 MARCO CONCEPTUAL..............................................................................................8

2.1.1 METODOLOGÍA……………………………………………………………….....8
2.1.3 COBIT (Objetivos de control para la información y tecnologías
relacionadas)......................................................................................................................8
2.1.4 ISACA (isaca.org).....................................................................................................9
2.1.5 Riesgo.......................................................................................................................9
2.1.6 Amenaza..................................................................................................................10
2.1.7 Vulnerabilidad..........................................................................................................10
2.1.8 Probabilidad.............................................................................................................11
2.1.9 Impacto...................................................................................................................11
2.2 MARCO TEÓRICO....................................................................................................11
3 METODOLOGÍA...........................................................................................................13
3.1 AUDITORIA BASADA EN RIESGOS........................................................................13

4 DESARROLLO.............................................................................................................14
4.1 FAMILIARIZACIÓN....................................................................................................14
4.1.1 Cuestionario de Control de Auditorias de Sistemas..............................................17
4.1.2 Familiarización por Entornos..................................................................................17
4.1.2.1 Bases de Datos.....................................................................................................17
4.1.2.2 Redes y Comunicaciones.....................................................................................18
4.1.2.3 Control de Seguridad Lógica e Informática.........................................................18
4.1.2.4 Control y Seguridad Física de instalaciones.......................................................18
4.1.2.5 Control de Impacto Ambiental.............................................................................18
2
4.1.2.6 Control Riesgos...................................................................................................18
4.2 ANALISIS DE INFORMACION OBTENIDA...........Error: Reference source not found
4.2.1 Definición y Calificación de Riesgos......................................................................19
4.2.2 Análisis de riesgos en los diferentes entornos.......................................................22
4.2.3 Analisis de Riesgos………………………………………………………………22
4.3 DISEÑO Y EVALUACION.........................................................................................24
4.3.1 Programación de Prueba de Auditoria...................................................................24
4.3.2 Diseño Pruebas de Auditoria..............................................................................2727
5 CONCLUSIONES Y RECOMENDACIONES...........................................................4354
BIBLIOGRAFÍA.................................................................................................................55
ANEXOS………………… …………………………………….................................45
Metodología para la evaluación del proceso de control interno………….46
3
RESUMEN
En este caso de estudio se desarrolla la planeación una auditoria de sistemas

de control de tránsito de una estación de peaje. Esta con el fin de mostrar las
fortalezas y vulnerabilidades de las políticas y procedimientos implementadas
sobre el software y equipos de control de tránsito con respecto al manejo de la
información, la estructura de los datos, la seguridad de esta aplicación y los
tiempos de respuesta hacia los clientes internos y externos. Todo esto tomando
como base a normas y estándares internacionales como COBIT para brindar
opciones de mejora.
4
INTRODUCCIÓN
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con
la consagración de los datos como uno de los Activos fundamentales de las
empresas, ha hecho que los temas relativos a su control interno y auditoría
cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la
auditoría informática se aplica de dos formas distintas; por un lado, se auditan las
principales áreas del departamento de informática: explotación, dirección,
metodología de desarrollo, sistema operativo, telecomunicaciones, bases de
datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,
subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la
auditoría del entorno de bases de datos hace énfasis en que es el punto de partida
para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
El proceso que permite medir, asegurar, demostrar, monitorear y registrar los

accesos a la información almacenada en las bases de datos incluyendo la
capacidad de determinar:
– Quién accede a los datos – Cuándo se accedió a los datos – Desde qué tipo de
dispositivo/aplicación – Desde que ubicación en la Red – Cuál fue la sentencia
SQL ejecutada – Cuál fue el efecto del acceso a la base de datos
Con el fin de brin dar un servicio ágil y confiable con respecto al flujo vehicular
de los clientes al paso por la estación, para las categorías asignadas a esta
particular mente las especiales las cuales no tienen dentro de sus procesos un
desarrollo, ni metodología clara, lo cual no brinda la confiabilidad requerida para
este proceso lo que puede ocasionar perdida de información y falla en los
procesos.
5
Por esta razón se crea la necesidad de implementar controles, políticas y
planes de mejora, que le permitan diseñar y ejecutar sus procesos de la manera
adecuada, proporcionando disponibilidad rápida y eficiente de la información,
brindando a los usuarios un servicio ágil al paso por la estación.
Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna

para el sistema de control de tránsito de la estación de peaje.
Se utilizará como referencia el modelo COBIT para auditar la gestión y el control

de los sistemas de información internos de la organización, se recopilará la
información y el estado de cada proceso, a través de entrevistas, encuestas y
visitas, para identificar los puntos más críticos y enfocar en ellos el plan de
auditoría.
GENERALIDADES
1.1 OBJETIVOS
1.1.1 Objetivo general
Diseñar un plan de auditoria para la base de datos del sistema de información

International Road Dynamics Inc. En adelante (IRD) detección de tránsito en
una estación de peaje. Disponiendo de mecanismos que permitan tener trazas
de auditoría completas y automáticas relacionadas con el acceso a las bases de
datos incluyendo la capacidad de generar alertas.
1.1.2 Objetivos específicos
 Monitorear y registrar el uso de los datos por los usuarios Autorizados o no.
 Mantener trazas de uso y del acceso a bases de datos.
6
 Permitir investigaciones.
 Generar alertas en tiempo real.
 Mitigar los riesgos asociados con el manejo inadecuado de los datos.
 Apoyar el cumplimiento regulatorio.
 Satisfacer los requerimientos de los auditores.
 Evitar acciones criminales.
 Recopilar la información de la base de datos del sistema operativo IRD
para generar un diagnóstico del sistema acertado.
 Analizar la información recolectada del sistema operativo IRD, haciendo
uso de normas y estándares internacionales.
 Diseñar y evaluar el plan de auditoria para el sistema operativo IRD, de
acuerdo a la información recolectada y determinar su escalabilidad.
 Auditar sus respectivas licencias.
7
2 MARCOS DE REFERENCIA
2.1 MARCO CONCEPTUAL
METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS:

Existen 2 tipos de Metodologías:
 Metodología Tradicional. El auditor revisa el entorno con la ayuda de una
lista de control, que consta de una serie de cuestiones S cuando la
respuesta es afirmativa, N en caso contrario y NA no aplicable. S_ N_ NA_
 METODOLOGIA DE EVALUACION DE RIESGOS. En este tipo de
metodología se deben seguir una secuencia de pasos los cuales son:
Objetivo de Control Fijar los objetivos de Control minimizan los riesgos
potenciales a los que se somete el entorno. Técnica de Control Se
establece los tipos de Usuario, perfiles y Privilegios necesarios para
controlar el acceso a la base de datos.
2.1.1 COBIT (Objetivos de control para la información y tecnologías

relacionadas)
Es una metodología publicada en 1996 por el Instituto de Control de TI y la

ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se
usa para evaluar el departamento de informática de una compañía.
Este enfoque se basa en un índice de referencia de procesos, indicadores de

objetivos clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para
controlar los procesos para recoger datos que la compañía puede usar para
alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales

más grandes que abarcan 318 objetivos:
8
• Entrega y asistencia técnica
• Control
• Planeamiento y organización
• Aprendizaje e implementación (Benchmark, 2016)
2.1.2 ISACA (isaca.org)
Ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en

un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones,
acreditación y desarrollo de carrera innovadores y de primera clase. Establecida
en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000
profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus TM
(CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de
negocio para gobernar la tecnología de la empresa. ISACA adicionalmente
promueve el avance y certificación de habilidades y conocimientos críticos para
el negocio, a través de las certificaciones globalmente respetadas: Certified
Information Systems Auditor® (CISA®), Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y
Certified in Risk and Information Systems Control™ (CRISC™). La asociación
tiene más de 200 capítulos en todo el mundo. (ISACA, 2016)
2.1.3 Riesgo
La incertidumbre de que ocurra un evento y pueda tener un impacto en el logro

de los objetivos. El riesgo se mide en términos de impacto y probabilidad.
(Instituto de Auditores Internos, 2012)
9
2.1.4 Amenaza
Es la probabilidad de ocurrencia de un suceso potencialmente desastroso

durante cierto periodo de tiempo, en un sitio dado.
En general el concepto de amenaza se refiere a un peligro latente o factor de

riesgo externo, de un sistema o de un sujeto expuesto, expresada
matemáticamente como la probabilidad de exceder un nivel de ocurrencia de un
suceso con una cierta intensidad, en un sitio específico y durante un tiempo de
exposición determinado.
Una amenaza informática es un posible peligro del sistema. Puede ser una
persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso
natural o de otra índole (fuego, inundación, etc.). Representan los posibles
atacantes o factores que aprovechan las debilidades del sistema. (UNAD, 2016)
2.1.5 Vulnerabilidad
Es el grado de pérdida de un elemento o grupo de elementos bajo riesgo,

resultado de la probable ocurrencia de un suceso desastroso expresada en una
escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como

la factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno
que caracteriza la amenaza.
En el campo de la informática, la vulnerabilidad es el punto o aspecto del

sistema que es susceptible de ser atacado o de dañar la seguridad del mismo.
10
Representan las debilidades o aspectos falibles o atacables en el sistema
informático. (UNAD, 2016)
2.1.6 Probabilidad
Para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o

cuantitativamente, considerando lógicamente, que la medida no debe
contemplar la existencia de ninguna acción de control, o sea, que debe
considerarse en cada caso que las posibilidades existen, que la amenaza se
presenta independiente del hecho que sea o no contrarrestada. (UNAD, 2016)
2.1.7 Impacto
Son las consecuencias de la ocurrencia de las distintas amenazas y los daños

por pérdidas que éstas puedan causar. Las pérdidas generadas pueden ser
financiaras, económicas, tecnológicas, físicas, entre otras. (UNAD, 2016)
2.2 MARCO TEÓRICO
El caso de estudio a realizar es diseñar un plan de auditoria específicamente

para una estación de peaje con integración tecnológica IRD Este tendrá como
base los estándares de mejores prácticas como COBIT e ISO, pero modificado
para que se acomode a las necesidades de la empresa mencionada.
Este sistema fue implementado durante el año 1998 por lo que al pasar de los
años ha este se le han tenido que implementar desarrollos que no van acorde a
su modelo, ni su estructura inicial.
11
Por lo que actualmente se determinara su escalabilidad o remplazó para la
implementación de nuevas subcategorizaciones de vehículos.
12
3 METODOLOGÍA
El presente caso de estudio se basará en un enfoque mixto con los objetivos de

control contenidos en el estándar COBIT que brinda buenas prácticas a través
de un marco referencial las cuales, se enfocan fuertemente en el control e
ilustran un modelo hacia procesos de acuerdo las áreas de responsabilidad
como lo son planear, construir, ejecutar y monitorear, garantizando los alineado
de la nueva adjudicación, el uso de los recursos responsables y la
administración de los riesgos.
3.1 AUDITORIA BASADA EN RIESGOS
Auditoria Basada en Riesgos
AUDITORIA BASADA EN RIESGOS

RECOPILACIÓN DE LA INFORMACION Y
PLANIFICACIÓN
Conocimiento del Negocio
Presentación del Plan de Auditoria a la Empresa
Levantamiento de Información
COMPRENSIÓN DEL CONTROL INTERNO
Análisis de la Información recolectada
Identificación de Riesgos por Entorno
Evaluación de riesgos
Valoración de Riesgos
PRUEBAS DE CUMPLIMIENTO
Realización de Pruebas
Políticas y Normativas de procedimientos de la
Organización
REALIZACIÓN DE PRUEBAS
Procedimientos Analíticos
Diseño de Pruebas detalladas por entorno
CONCLUSIÓN DEL PLAN DE AUDITORIA
Recomendaciones en el entorno evaluado
13
Conclusiones del Plan de Auditoria
4 DESARROLLO
Con el siguiente capítulo se busca desarrollar uno a uno los objetivos

presentados al inicio de este documento.
Cada uno de los objetivos hacen parte de una fase del programa de auditoria de
sistemas diseñado para la estación de peaje y dirigidos al sistema de
información IRD.
4.1 FAMILIARIZACIÓN
La familiarización es la relación que deben tener los auditores inicialmente con

la empresa y más detalladamente con los empleados que están involucrados
constantemente con los procesos de esta.
Los auditores deben tener conocimiento de los objetivos de la actividad o

procesos a auditar, para esto deben obtener información detallada de los
mismos.
Inicialmente se realizará una ficha técnica de los servidores que contienen el SI

y la base de datos y equipos que son usados en la empresa para acceder a
estos.
14
Ficha Técnica
FICHA TÉCNICA
OBJETIVO DE LA APLICACIÓN
Gestionar la recepción de la tabulación, detección y cobro de la tarifa de peaje
según corresponda a cada categoría vehicular asignada ,por cada uno de los
carriles de la estación en tiempo real y con disponibilidad 7/24.
ESTADO
Activo
DEPENDENCIAS
Operativa y sistemas.
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
Unix Ram: 256 Mb
Consolas de clasificación IRD N/A
BD:
Postgres/pg
Disco Duro:
s ql - N/A N/A
73Gb.
Procesador:
N/A N/A
INTEL/PENTIUM III
REDES
Servidor PCs
Local Local
MÓDULOS
15
1) REPORTES: * Combo text avance
* Combo Texto Programado
* Combo Texto y Wap Push

* Combo text
* Contenido ordenado por
1) Discrepancias
2) Auditado de transacción
3) Exentos
4) Detallado de recaudo
5) Conteo de trafico
6)Recaudo
7)Excepción
OTRA DOCUMENTACIÓN
No hay.
Para continuar con este acercamiento se diseñó un Cuestionario con preguntas

sobre los entornos involucrados en el sistema de información IRD Dichas
preguntas se formularán a la persona responsable que realiza las operaciones
cotidianas sobre este SI.
Los entornos a consultar son: Base de datos, Control de Seguridad Lógica e

Informática, Control y Seguridad de Instalaciones, Control de Impacto
Ambiental, Control Seguridad Física y Control de Riesgos.
16
4.1.1 Cuestionario de Control de Auditorias de Sistemas.
Estas se componen de unas plantillas con una serie de preguntas, para acceder
a los cuestionarios completos, ver los anexos
4.1.2 Familiarización por Entornos
En los siguientes numerales se podrá observar la familiarización por cada uno

de los entornos seleccionados. Esta familiarización salió a partir del cuestionario
anterior.
4.1.2.1 Bases de Datos
Se realizará un levantamiento de información de los procesos, tecnología,

redes, base de datos asociados al sistema de información IRD, en esta se
indicará el estado de logs en la base de datos registro de las acciones que se
efectúan sobre esta. Copias de seguridad a los datos y tablas más importantes,
diaria o semanalmente de acuerdo al volumen de información que se mueva en
estas. Se observa que los usuarios que ingresan a la base de datos del área de
sistema tienen acceso a la base de datos, donde pueden ingresar, borrar o
modificar la información de la misma sin tener un registro propio, ni restricción
de cada usuario, ya que estos utilizan el mismo usuario. Actualmente no hay un
administrador propio de base de datos, ni de la gestión o creación de usuarios.
Ya que se tiene el mismo usuario y la mayoría de los procesos lo utilizan, no se
realiza cambio de la clave.
17
4.1.2.2 Redes y Comunicaciones
Se realizará un levantamiento de la estructura del cableado, así como de su

integridad física.
4.1.2.3 Control de Seguridad Lógica e Informática
Se determinará si los controles actuales con respecto a estos procesos se

cumplen adecuada mente según las políticas de seguridad de la información.
4.1.2.4 Control y Seguridad física de Instalaciones
Se determinará si los controles actuales con respecto a estos procesos se

cumplen adecuada mente según las políticas de seguridad y accesos a las
instalaciones.
4.1.2.2 Control de Impacto Ambiental
Determinar que procesos miden y controlan el impacto ambiental que pueda

generar la actividad diaria de la estación.
4.1.2.3 Control Riesgos
Determinar qué proceso miden y administra los posibles riesgos a los que está
expuesta la estación. Identificar cuáles son los procesos críticos y a que se le
debe dar prioridad ante una falla del sistema, debido al impacto negativo que
puede traer para la estación.
18
4.2 ANÁLISIS DE INFORMACIÓN OBTENIDA
4.2.1 Definición y Calificación de Riesgos
Debido a las actividades diarias y a lo establecido con el área IT y las

evidencias encontradas, la clasificación, la definición, probabilidad y el impacto
del riesgo para la empresa se muestra a continuación.
Clasificación, Calificaciones y Criterios Usados
Definición del Riesgo
De acuerdo a la familiarización, se realizó la matriz de riesgos y su calificación

(Realizada a cada entorno).
19
A continuación, se describen los riesgos encontrados a partir de la
familiarización realizada.
Identificación de Riesgos
CODIG RIESGO
O
Perdida de información de la base de datos, causada por robo
R-01
desde la parte externa de la empresa.
Perdida de información de la base de datos, causada por robo
R-02
desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por
personal con mala intención.
R-04 Perdida de información de la base de datos, causada por
desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información,
causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del
proveedor.
R-07 Eliminación de información, causada por el personal sin intención
o por accidente.
Eliminación o daño de la información, causada por la ejecución
R-08
de un proceso inadecuado.
Daño en la estructura de la base de datos, causada por
R-09
administración inadecuada de la base de datos.
Daño de la estructura de la base de base de datos, causada por
R-10
falta de documentación de su estructura.
Retrasos en la implementación de cambios en la base de datos,
R-11
causada por administración inadecuada.
Daño en la base de datos, causada por falta de conocimiento del
R-12
personal en la estructura de la base de datos.
R-13 Robo de información a causa de intrusión a la red por personas
ajenas a la empresa.
Daños en la estructura de la red, causados por ingreso a las
R-14
oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la
detección del cableado interno oportuno.
R-16 Interrupción del servicio, causado por perdida del fluido
eléctrico.
20
R-17 Perdida de información, causada por la no ejecución del proceso
de Backup diario.
Daño del código del IRD, causado por hacer cambios
R-18
directamente en el sistema de versiones.
Pérdida de ingresos para la empresa, causado por cambios
R-19
inadecuados sobre el sistema IRD.
R-20 Daño de equipos de cómputo, causado por instalación de
software con virus.
Generación de Multas por parte de la Dian, a causa de instalación
R-21
de software sin licencia de uso.
R-22 Perdida de información, causada por falta de espacio en los
servidores.
R-23 Robo de equipos de cómputo, causado por personal con mala
intención.
R-24 Daño de equipos de cómputo, causado por arreglos hechos por
personal no capacitado.
R-25 Daño en los servidores, causado por instalación de software
malicioso.
R-26 Perdida de información, causado por instalación de software
malicioso.
Perdida de equipos de cómputo y objetos de la empresa,
R-27
causadas por personal mal intencionado.
R-28 Perdida de información, causada por personal mal intencionado.
R-29 Perdida de información, causada por ingreso de personas

externas a la empresa.
Perdida de equipos de cómputo y objetos de la empresa,
R-30
causada por ingreso de personas externas a la empresa.
Perdida de la infraestructura, recursos y de información, causada
R-31
por incendio ocasionado por fumar dentro de las instalaciones.
R-32 Pérdida de ingresos, causada por daño en las instalaciones.
Pérdida de ingresos, causada por no ejecutar todos los procesos
R-33
que deben correr diariamente.
Generación de multas por parte de la interventoría, causada por
R-34
no ejecutar todos los procesos que deben correr diariamente.
Cierre del contrato con el ente regulador, causada por no
R-35 ejecutar o la mala ejecución de los procesos que deben correr
diariamente.
Daño de la información, causado por desconocimiento del
R-36
personal sobre los procesos de la estación.
Perdida de la información, causado por desconocimiento del
R-37
personal sobre los procesos de la estación.
21
Generación de multas por parte del ente regulador, causado por
R-38
desconocimiento del personal sobre los procesos de la estación.
R-39 Rotación constante del personal, causado por no escalamiento
dentro de la empresa.
R-40 Daño de la información, causado rotación constante del
personal.
4.2.2 Análisis de riesgos en los diferentes entornos
Se realizará un análisis de riesgos en cada uno de los entornos mencionados

anteriormente en la familiarización, estableciendo para cada entorno la
correspondiente matriz de riesgo y mapa de Riesco correspondiente a la estación.
ANALISIS DE RIESGOS
ESCENARIO RIESGO CONTROL

Información erróneamente debido a Ejecutar programas de selección
personal no preparado inducción y capacitación
Verificar la existencia de ayudas
interactivas o manuales para la
digitación de información
Información incompleta o sin Aplicar criterios de validación a la
ENTRADA DE validación por fallas en el APL o BD captura de datos y verificación de
DATOS AL SISTEMA información
Ejecutar procesos de validación para
verificar integridad o daños en la BD.
Retrasar operaciones de entrada por Verificar los recursos fís y tec necesarios
daño o falta de recursos físicos o para procesamiento de información
técnicos (capacidad instalada)
Suplantación de usuarios Implementar seguridad de acceso lógico
en el aplicativo
Personal no capacitado para realizar Ejecutar procesos de capacitación en
los cambios a la base de datos Bases de Datos
Inadecuado o inexistente Incluir la participación del usuario en las
procedimiento de cambios pruebas
Actualizar BD erroneamente por Incluir al aplicativo rutinas de validación
errores en APL de datos
ACTUALIZACIÓN Actualizar BD erroneamente por Ejecutar procesos de verificacion de la
DE LA BASE DE ejecutar cambios manualmente BD después de cambio en tablas o en el
DATOS aplicativo
Actualizar BD erroneamente en la Exigir clave especifica de acceso para
ejecución de procesos batch ejecutar procesos batch
22
Aplicar un procedimiento formal de
ejecución batch (Indica personal
autorizado, aplicativo a ejecutar, fecha y
hora)
Generar un reporte automatico del
proceso ejecutado (Fecha, hora inicio
hora final , funcionario, resultados, # de
registros actualizados , duracion, etc )
Lentitud en las comunicaciones Ejecutar procesos de monitoreo al
rendimiento
ACCESO LÓGICO A Acceso no autorizado a la base de Aplicar esquema de seguridad lógica a la
LA BASE DE DATOS datos base de datos - Perfiles - roles
PLAN DE Ausencia de mecanismos de Activar Plan de Contingencias
CONTINGENCIAS, recuperación (SW,HW,COM,RH,PR,DT)
BACKUPS Y PISTAS
DE AUDITORÍA
DOCUMENTACIÓN Ausencia de Guias para Admon de Verificar documentacion APL y BD
TÉCNICA y de la BD y APL
USUARIO
ADMINISTRACIÓN Inadecuados cambios al APL o BD Verificar parametrizacion
DE CAMBIOS AL
SOFTWARE
APLICATIVO, LA
BASE DE DATOS Y
LA
PARAMETRIZACIÓN
DEL SISTEMA
ADMINISTRACIÓN Ejecutar procesos de verificacion d la
DE CAMBIOS AL base de datos despues de cambio en
SOFTWARE tablas o en eaplicativo
APLICATIVO, LA
BASE DE DATOS Y
LA
PARAMETRIZACIÓN
DEL SISTEMA
23
4.3 DISEÑO Y EVALUACIÓN
4.1.3 Programación de Prueba de Auditoria
Inicialmente en este literal se realizará la programación de las pruebas de

auditoría por entornos.
DEFINICIÓN DEL CRONOGRAMA:
Objetivo y Alcance: Llevar un control sobre el número de las visitas de auditoría de

sistemas y auditoría operativa según el cronograma que se presente al Instituto
Nacional de Vías, INVIAS.
Definiciones:
PRO: Fecha en que programa la actividad.

EJE: Fecha en que se ejecuta la actividad.
Ejemplo: Cronograma de Visitas a las Estaciones de Peaje y Pesaje.
CODIGO MINREI-FR-33
INSTITUTO NACIONAL DE VIAS
GESTIÓN DE INNOVACIÓN Y REGLAMENTACION TECNICA DE LA INFRAESTRUCTURA
VERSION 1
AUDITORIA ADMINISTRATIVA- CRONOGRAMA GENERAL DE VISITAS

PAGINA 1 DE
INTERVENTORIA CONTRATO CONCESIONARIO CONTRATO

CONSORCIO AIM TEA 162 000685-2019 CONSORCIO RQS 643-2019
CORREDOR MALLA VIAL DEL VALLE DEL S D L M M J V S D L M M J V S D L M M J V S D L M M J V S TOTAL VISITAS MES
CAUCA Y VALLE 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 AUDITOR SUPERVISOR
GINEBRA NORTE Y PRO AG DD AG AG AG AG DD AG AG AG 2 8
SUR EJE AG DD AG AG AG AG DD AG AG AG
PRO AG DD AG AG AG DD AG AG AG DD AG AG DD DD AG AG AG DD AG AG AG DD AG AG DD 8 17
EL CERRITO
EJE AG DD AG AG AG DD AG AG DD AG AG DD DD AG AG AG DD AG AG/DD AG AG DD AG AG
PRO KO KO DD KO KO DD KO DD KO KO DD KO DD KO KO KO DD KO KO DD KO KO 7 15
CIAT
EJE KO KO DD KO KO DD KO DD KO KO DD KO RT KO KO KO DD KO KO DD KO KO
PRO DD KO KO DD KO DD KO KO DD KO DD KO DD KO KO DD KO DD 8 10
ROZO
EJE DD KO KO DD KO DD KO KO DD KO DD KO DD KO KO DD KO DD
OBSERVACIONES:
DD:DANIEL DÁVILA 316 3095345 AG: AHIMARA GIRALDO 316 7071397 KO: KATHIA OVIEDO 321 8492208
24
Programación de Prueba de Auditoría
REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS TAB
ENTORNO: BASE DE DATOS
P001 Verificar si existe fuga de información, por falta de

políticas de control de acceso.
P002 Verificar si existe fuga de información, por falta de

políticas de creación de usuarios y contraseñas.
P003 Validar el proceso de selección de personal y ver si

cumple con los objetivos del negocio.
P004 Validar si la documentación entregada al personal está

actualizada y si este cumple con el procedimiento
estipulado.
P005 Revisar el contrato con el proveedor que presta el
servicio de alojamiento de servidores Tenzing y
confirmar si se tienen cláusulas que permitan asegurar
el buen estado de los servidores, recuperación de la
información ante un daño en las instalaciones del
proveedor.
P006 Verificar el proceso de recuperación de información de la
base de datos, cuando es eliminada accidentalmente.
P007 Validar el proceso de control de cambios establecidos

para la base de datos.
P008 Validar la documentación de la base de datos del

sistema de información IRD.
PROCESO: REDES Y COMUNICACIONES
P009 Garantizar que cada usuario se autentique al ingresar a

la red de la estación.
P010 Comprobar la seguridad configurada en el software para

acceso remoto al IRD.
25
P011 Validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar.
P012 Comprobar la integridad del cableado estructurado.
P013 Verificar las políticas de acceso a internet configuradas

en el firewall.
P014 Verificar la conexión de red instalada en las oficinas y la

prestación del servicio por parte del proveedor
P015 Comprobar las configuraciones del firewall por parte del

proveedor.
P016 Verificar el funcionamiento de la UPS.
PROCESO: SEGURIDAD LOGICA
P017 Verificar los logs de los backup realizados.
P018 Verificar el procedimiento para las pruebas de cambios

en el código fuente.
P019 Verificar el software instalado en los equipos de

cómputo.
P020 Revisar las licencias del software instalado en los

equipos de cómputo.
P021 Comprobar la eliminación de archivos temporales y

obsoletos.
PROCESO: SEGURIDAD DE INSTALACIONES
P025 Supervisar los elementos de oficina.
P026 Confirmar el funcionamiento de la ventilación de la

oficina.
P027 Verificación de la luminosidad de los diferentes espacios
de la compañía.
P028 Comprobar las señalizaciones de emergencia instalados

en la compañía.
26
4.1.4 Diseño Pruebas de Auditoria
Se realizar el diseño de las pruebas de auditoria basados en la programación

descrita en el apartado anterior.
Las siguientes son pruebas que evaluaran el entorno de base de datos. La

prueba P001 está relacionada con las políticas de control de acceso a las
bases de datos y verificara si existe fuga de información por este motivo. Ver
Tabla 17
Prueba P001 Políticas de Control de Acceso a base de datos
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos

PRUEBA No: P001
PROCESO: Políticas de control de acceso a base de datos.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de

políticas de control de acceso.
TIPO: Mixta
CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al IRD

report
27
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7..
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4

GB y Disco Duro de 250 GB)
PROCEDIMIENTO A EMPLEAR
 Ingresar con el usuario entregado por el área IT y confirmar si se tienen

validaciones de ingreso erróneo.
 Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo
 Digitar erróneamente la contraseña 5 veces.
• Se ingresa a la ruta de acceso al IRD report donde se encuentra alojada la
base de datos del IRD.
• Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa
Asterisk Key.
• Capturar el resultado de la prueba.
La prueba P002 está relacionada con las políticas de creación de

usuarios y contraseñas y verificara si existe fuga de información.
Prueba P002 Políticas de Creación de Usuarios y

Contraseñas.

PRUEBA No: P002
PROCESO: Políticas de creación de usuarios y contraseñas.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de

políticas de creación de usuarios y contraseñas.
28
TIPO: Mixta
CONTROLES A PROBAR: N/E
INFORMACIÓN
SOFTWARE: S.O. con Windows 7.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4

DOCUMENTACIÓN: Listado de usuarios activos.
 Solicitar la lista de usuarios asociados en la base de datos.

 Validar con recursos humanos que personas se encuentran aún en la empresa y
compararlos contra la lista de usuarios entregada.
 Validar el ingreso a la base con usuarios que se encuentren activos y confirmar
si el sistema tiene restricción para los usuarios que se encuentran inactivos.
 Validar si el ingreso a la base de datos es único por sección y usuario.
Prueba P003 Recuperación de Información.

SMSAMERICAS

PRUEBA No: P003
PROCESO: Recuperación de Información.
OBJETIVO DE LA PRUEBA: Verificar el proceso de recuperación de información de la

base de datos, cuando es eliminada accidentalmente.
TIPO: Mixta
29
CONTROLES A PROBAR: Se realizan backups de la información principal a diario.
INFORMACIÓN
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4

GB y Disco Duro de 250 GB).
DOCUMENTACIÓN: Procedimiento de generación de backups.
 Solicitar el proceso de creación de backups.

 Listado de los procesos a los que se le hace backups.
 Restaura un backup y validar su integridad.
La prueba P007 está relacionada con el control de cambios y la validación de

los procesos establecidos.
Prueba P004 Control de Cambios.

PRUEBA No: P004
PROCESO: Control de cambios.
OBJETIVO DE LA PRUEBA: Validar el proceso de control de cambios establecidos

para la base de datos.
TIPO: Mixta
30
CONTROLES A PROBAR: Antes de poner en producción cualquier cambio es
evaluado por el jefe de operaciones o por el desarrollador master.
INFORMACIÓN

DOCUMENTO: Manual de control de cambios.
 Solicitar el manual de control de cambios.

 Solicitar documentación de los últimos 2 cambios realizados en el IRD.
 Validar si los cambios afectaron directamente a la base de datos.
La prueba P005 está relacionada con la documentación sobre la base de

datos del Sistema de Información IRD y validar que este actualizada.
Prueba P005 Documentación sobre la Base de Datos del IRD.

PRUEBA No: P005
PROCESO: Documentación sobre la base de datos del IRD.
OBJETIVO DE LA PRUEBA: Validar la documentación de la base de datos del

sistema de información IRD.
TIPO: Mixta
31
INFORMACIÓN

DOCUMENTO: Modelo E/R, Diccionario de Base de Datos.
 Solicitar el Modelo E/R.

 Solicitar el Diccionario de datos.
Las siguientes son pruebas que evaluaran el entorno de redes y

comunicaciones. La prueba P006 está relacionada con garantizar que cada
usuario se autentique al ingresar a la red de la estación validando que cada
uno tenga su propio identificador.
P006 Garantizar que Cada Usuario se Autentique
ACTIVIDAD: Redes
PRUEBA No: P006
PROCESO: Garantizar que cada usuario se autentique al ingresar a la red empresarial.
OBJETIVO DE LA PRUEBA: Validar que cada persona que acceda a la red de la
estación tenga asignado un usuario y contraseña para que se autentique en la red.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene configurado clave de acceso.
32
INFORMACIÓN
SOFTWARE: S.O Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.

 Solicitar al IT o al Jefe técnico los usuarios que tienen acceso a la red de la

compañía.
 Conexión física verificación de acceso a dominio de red, donde solicitara el
usuario y contraseña.
 Se evidenciará si se cuenta con el acceso.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P007 está relacionada con la comprobación de la seguridad

configurada en el software para el acceso remoto al IRD report.
Prueba P007 Comprobar la seguridad Configurada de Seguridad

del Software Utilizado para la Conexión Remota.
ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P007
PROCESO: Comprobar la seguridad configurada en el software para acceso remoto al
IRD report.
OBJETIVO DE LA PRUEBA: Validar la configuración de seguridad del software
utilizado para la conexión remota.
TIPO: Mixta
33
INFORMACIÓN
SOFTWARE: TeamViewer, Windows 7.
PERSONAL: IT .
 Solicitar al IT o al Jefe de Operaciones los usuarios que tienen autorizado el

acceso remoto por TeamViewer.
 Solicitar el acceso al equipo de alguno de los usuarios para verificar la
configuración.
 Revisar si las configuraciones de seguridad del TeamViewer cumple con las
políticas de seguridad de la compañía.
La prueba P008 está relacionada con validar el acceso de las personas
que ingresan a las instalaciones y que trabajos se disponen a realizar
comprobando la seguridad que se otorga.
Prueba P008 Validar el Acceso a las Personas que Ingresan a

las Instalaciones y que Trabajos se Disponen a Realizar.

PRUEBA No: P008
PROCESO: Validar el acceso de las personas que ingresan a las instalaciones y que
trabajos se disponen a realizar.
OBJETIVO DE LA PRUEBA: Comprobar la seguridad al otorgar acceso de las

personas a las instalaciones.
34
TIPO: Mixta
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación y personal de seguridad
 Solicitar al personal de seguridad la minuta de acceso de visitantes.

 Confirmar si en la minuta queda consignado la razón de la visita.
 Verificar si los visitantes tendrán o no acceso a lugares no permitidos o
confidenciales de la empresa.
La prueba P009 está relacionada con la comprobación de la integridad
del cableado estructurado instalado en las oficinas de la compañía.
Prueba P009 Comprobar la Integridad del Cableado

Estructurado.

PRUEBA No: P009
PROCESO: Comprobar la integridad del cableado estructurado.
OBJETIVO DE LA PRUEBA: Comprobar la infraestructura del cableado estructurado

instalado en las oficinas de la estación.
TIPO: Mixta
35
INFORMACIÓN
PERSONAL: IT o al Jefe de técnico y personal de seguridad

 Solicitar los planos del cableado estructurado instalado en las oficinas.

 Verificar la marcación en los equipos de red y cableado estructurado.
 Inspeccionar los sectores en el que el cableado no se ve en óptimas
condiciones.
La prueba P010 está relacionada con la verificación de las políticas de
acceso a internet configuradas en el firewall comprobando los permisos
otorgados.
Prueba P010 Verificar las Políticas de Acceso a Internet

Configuradas en el Firewall.

PRUEBA No: P010
PROCESO: Verificar las políticas de acceso a internet configuradas en el firewall.
OBJETIVO DE LA PRUEBA: Comprobar las configuraciones de los permisos de
acceso a internet configuradas en el firewall.
TIPO: Mixta
36
INFORMACIÓN
SOFTWARE: Windows 7.
: HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT jefe técnico.
 Solicitar al jefe técnico el acceso a la configuración del firewall.

 Verificar las políticas de restricción de acceso a páginas de internet.
 Inspeccionar el listado de páginas no permitidas y probar el ingreso a las
mismas.
INFORMACIÓN
 Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor

del servicio.
 Solicitar al proveedor del servicio pantallazos de la configuración de las políticas
en el firewall.
La prueba P011 está relacionada con la verificación del funcionamiento de la

UPS siendo esta un respaldo eléctrico instalado en la estación.
37
Prueba P011 Verificar el Funcionamiento de la UPS.
SMSAMERICAS

PRUEBA No: P011
PROCESO: Verificar el funcionamiento de la UPS.
OBJETIVO DE LA PRUEBA: Verificar el correcto funcionamiento del respaldo eléctrico

instalado en la compañía.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos
equipos mientras la luz se restaura.
INFORMACIÓN
PERSONAL: IT o al Jefe Técnico.
 Solicitar al jefe de Técnico las políticas de seguridad.

 Solicitar pantallazos de la configuración de la UPS.
Las siguientes son pruebas que evaluaran el entorno de seguridad lógica. La

prueba P012 está relacionada con la verificación de los logs de los backups
realizados para comprobar que se estén realizando en los tiempos estipulado.
Prueba P012 Verificar los Logs de los Backups Realizados.
38
ACTIVIDAD: Seguridad Lógica

PRUEBA No: P012
PROCESO: Verificar los logs de los backups realizados.
OBJETIVO DE LA PRUEBA: Revisar los logs para confirmar que los backups se estén
realizando en los tiempos estipulados.
TIPO: Mixta
CONTROLES A PROBAR: Ejecutar el proceso manual al día siguiente.
INFORMACIÓN
 Solicitar al jefe Técnico las políticas y procedimientos para la realización de los

backups.
 Solicitar al jefe de operaciones el acceso al servidor donde se encuentran
alojados los logs de los backups.
 Revisar los logs para verificar las últimas fechas de los backups y comparar los
tiempos con lo estipulado en las políticas y procedimientos.
La prueba P013 está relacionada con la verificación del procedimiento
para las pruebas de cambios en el código fuente.
Prueba P013 Verificar el Procedimiento para las Pruebas de

Cambios en el Código Fuente.
39

PRUEBA No: P013
PROCESO: Verificar el procedimiento para las pruebas de cambios en el código
fuente.
OBJETIVO DE LA PRUEBA: Revisar los procedimientos realizados al momento de
hacer cambios en el código fuente.
TIPO: Mixta
CONTROLES A PROBAR: Revertir el cambio y subir la última versión sin fallas en la

producción.
INFORMACIÓN
HARDWARE: Servidor.
 Solicitar al jefe Técnico las políticas y procedimientos para la realización de los

cambios en el código fuente.
 Indagar con el personal del área los procedimientos que siguen al momento de
realizar cambios en el código fuente.
La prueba P014 está relacionada con la verificación del software instalado en

los quipos de computo sea el autorizado para el uso corporativo.
Prueba P014 Verificar el Software Instalado en los Equipos de Cómputo.
40

PRUEBA No: P014
PROCESO: Verificar el software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar si el software instalado en los computadores es
el autorizado para uso corporativo.
TIPO: Mixta
CONTROLES A PROBAR: Licenciamiento software.
INFORMACIÓN
HARDWARE: Servidor y Pc estación.
 Solicitar al jefe Técnico el listado del software autorizado para el uso corporativo.
 Seleccionar algunos equipos de muestra y realizar la revisión en el panel de
control, programas y verificar el listado del software instalado.
 Realiza una comparación entre el software encontrado y el aprobado por la
compañía.
La prueba P015 está relacionada con la revisión de las licencias del software
instalado en los equipos de cómputo.
41
T Prueba P015 Revisar las Licencias del Software Instalado en los
Equipos de Cómputo.

PRUEBA No: P015
PROCESO: Revisar las licencias del software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar que el software instalado en la estación esté
debidamente licenciado.
TIPO: Mixta
CONTROLES A PROBAR: Licenciamiento software.
INFORMACIÓN

 Solicitar al jefe de Técnico el listado del software autorizado para el uso

corporativo.
 Solicitar las licencias de cada software instalado en los equipos.
 Compara la cantidad de licencias adquiridas con respecto a la cantidad de
equipos o usuarios que hacen uso de este software.
 Realiza una verificación del tiempo de vigencia de las licencias.
La prueba P016 está relacionada con la comprobación de la eliminación de

archivos temporales y obsoletos para la liberación del espacio en los servidores.
42
Prueba P016 Comprobar la Eliminación de Archivos Temporales
y Obsoletos.

PRUEBA No: P016
PROCESO: Comprobar la eliminación de archivos temporales y obsoletos.
OBJETIVO DE LA PRUEBA: Verificar el procedimiento para la liberación del espacio
en los servidores.
TIPO: Mixta
CONTROLES A PROBAR: Se tienen implementadas alertas que informan cuando se

está acabando el espacio en cada partición del disco y servidor.
INFORMACIÓN

 Solicitar al jefe de Técnico el documento de procedimientos para la liberación de

espacio y eliminación de archivos obsoletos.
 Solicitar al operador abrir las carpetas de temporales locales y de usuario para
verificar el tamaño de cada carpeta.
 Verificar el historial de backups almacenados en los discos del servidor para
saber la antigüedad de cada uno de ellos.
43
Prueba P017 Confirmar el Funcionamiento de la Ventilación de la Oficina.
ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P017
PROCESO: Confirmar el funcionamiento de la ventilación de la oficina.
OBJETIVO DE LA PRUEBA: Verificar las óptimas condiciones y funcionamiento del
sistema de ventilación instalado en la oficina.
TIPO: Mixta
INFORMACIÓN

 Solicitar al Jefe Técnico los manuales y planos de instalación del sistema de

ventilación.
 Solicitar al Jefe de operaciones el historial y los soportes de los mantenimientos
realizados al sistema de ventilación.
 Realizar una verificación del funcionamiento del sistema de ventilación instalado
en las oficinas.
44
La prueba P018 está relacionada con la comprobación de las señalizaciones de
emergencia instalados en la compañía.
Prueba P018 Comprobar las Señalizaciones de Emergencia

Instalados en la Compañía.
ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P018
PROCESO: Comprobar las señalizaciones de emergencia instalados en la estación.
OBJETIVO DE LA PRUEBA: Verificar las señalizaciones instaladas en las oficinas.
TIPO: Mixta
INFORMACIÓN
PERSONAL: IT.
45
 Solicitar los manuales y planos de señalización de las oficinas y centros de

cómputo.
 Verificar que las señalizaciones se encuentren en perfecto esta y en un lugar
visible por el personal.
Luego de realizar estas pruebas se sigue con la ejecución de las mismas para
evaluar cada uno de los entornos. Por lo cual se recomienda iniciar por los
entornos con mayor grado de severidad de riesgo.
Justificación:
En la actualidad tanto entidades públicas como privadas han optado por

implementar soluciones de gestión documental que les permita organizar,
centralizar, gestionar y administrar digitalmente toda la documentación que
manejan tanto al interior como al exterior de la organización, siendo la información
que se encuentra contenida en estos documentos uno de los activos más
importantes de las organizaciones, motivo por el cual hace necesario que las
aplicaciones de gestión documental protejan la confidencialidad, integridad y
disponibilidad de la información; cualidades que le permiten a las empresas
mantener su buen nombre con sus clientes, proveedores y aliados estratégicos,
así como posesionarse en el sector productivo.
Metodología para la evaluación del proceso de control interno:
1. Integridad y Valores Éticos:
46
La integridad, supone que la información se mantenga inalterada ante
accidentes o intentos maliciosos. Sólo se podrá modificar la información
mediante autorización.
El objetivo de la integridad es prevenir modificaciones no autorizadas de

la información.
Los principios y valores éticos establecidos por la entidad en su Código de Ética

constituyen el sustento formal de la conducta funcionaria. Dicho sustento debe
estar fortalecido con el establecimiento de un Comité de Ética y con la realización
de distintos eventos que procuren la comprensión y aplicación práctica del
comportamiento ético. Versión: 2; Vigencia 12/2008 Código: G/CE-018 20/91 El
proceso de control interno es diseñado y ejecutado por los servidores públicos;
razón por la cual, se necesita una clara determinación y concientización de las
pautas éticas.
La integridad y los valores éticos perfeccionan el proceso de control interno

limitando la posibilidad de existencia de fraudes ocasionados por abusos de poder
o confabulación que las actividades de control no pueden prevenir.
Los riesgos relacionados con este factor son los siguientes:
− Reiteración de comportamientos contrarios a la Ética institucional.

− Imagen negativa de la entidad generada por actitudes negativas de los
servidores públicos de la entidad respecto del público/usuario/beneficiario.
− Actos fraudulentos con participación de los servidores públicos de la entidad.
− Abuso de autoridad de los ejecutivos que trasciende a través de decisiones
arbitrarias y contrarias al debido respeto por la dignidad de los servidores públicos.
− Objetivos que no se cumplen por falta de la colaboración necesaria según las
circunstancias.
47
− Rendiciones de cuentas que no presentan características de integridad,
confiabilidad y oportunidad.
De acuerdo con los riesgos que pueden afectar a este factor, el relevamiento del
diseño del proceso de control interno consistirá en indagar e identificar al menos lo
siguiente:
− Interés de la Dirección en cuanto a la integridad y los valores éticos.
− Compromiso de la Dirección respecto de la ética institucional.
− Actos fraudulentos de los servidores públicos relacionados con las operaciones.
− Aplicación de sanciones por incumplimientos éticos, cuando corresponda.
2. Eficacia y Eficiencia de las Operaciones:
Las actividades de control relacionadas con la eficacia y eficiencia de las

operaciones son acciones implantadas para asegurar razonablemente el logro
de los objetivos. Estas acciones deben formar parte del Manual de Procesos
de la entidad. Las actividades de control están constituidas por acciones de
diversa índole a cargo de servidores públicos de distinta jerarquía. En este
sentido, integran este componente controles generales y controles directos
alcanzando su aplicación tanto a los niveles gerenciales como también, la
supervisión y los niveles operativos.
La eficacia de las operaciones comprende el grado de cumplimiento de una

meta u objetivo, que puede estar expresado en términos de cantidad, calidad,
tiempo, etc. Es fundamental; por lo tanto, que la entidad cuente con objetivos
predeterminados, con sistemas de información e instrumentos que permitan
conocer en forma confiable y oportuna la situación y desvíos respecto a las
metas proyectadas a un momento determinado, de no ser así difícilmente
podrá medirse la eficacia de las operaciones.
48
Los riesgos relacionados con estas actividades de control son los siguientes: −
Incumplimiento de procedimientos aplicables.
− Falta de integridad de la información necesaria de las operaciones. −

Duplicidad de funciones.
− Coexistencia de procedimientos formales e informales para una misma
operación.
− Compras innecesarias de activos.
− Uso ineficiente o antieconómico de equipos. − Ociosidad de equipos y / o
infraestructura.
− Excesiva inmovilización de inventarios.
− Inadecuada evaluación de desempeño y toma de decisiones ineficiente.
− Concentración significativa de funciones. Versión: 2; Vigencia 12/2008
Código: G/CE-018 31/91 De acuerdo con los riesgos el relevamiento del diseño
de estas actividades de control consistirá en indagar e identificar al menos lo
siguiente:
− Esfuerzos duplicados de servidores públicos o unidades organizacionales. −
Prácticas inapropiadas o que pueden considerarse despilfarros.
− Unidades, operaciones o tareas improductivas.
− Procedimientos inefectivos o de costos injustificables.
− Excesos o deficiencias en la cantidad de personal operativo y administrativo.
− Acumulación excesiva o innecesaria de materiales, equipos u otros activos
inmovilizados.
− Políticas y prácticas idóneas para efectuar las adquisiciones de insumos y
contrataciones.
− Impedimentos o trabas originados en la falta de coordinación con otras
unidades de la entidad.
− Medidores e indicadores para la detección de desvíos en la eficacia y
eficiencia operativa.
49
− Controles gerenciales, independientes y de procesamiento aplicados por los
diferentes niveles organizativos.
− Controles físicos para asegurar la protección y conservación de los activos y
demás recursos de la entidad.
3. La confidencialidad:
Requiere que la información sea accesible de forma única a las personas
que se encuentran autorizadas. Es necesario acceder a la información
mediante autorización y control. La confidencialidad hace referencia a la
necesidad de ocultar o mantener secreto sobre determinada información o
recursos.
La sostenibilidad de las organizaciones y su posicionamiento en el mercado
pueden depender de forma directa a la implantación de los diseños y
deben protegerlos mediante mecanismos de control de acceso que
aseguren la confidencialidad de las informaciones.
El objetivo de la confidencialidad es, prevenir la divulgación no
autorizada de la información sobre nuestra organización.
4. Confiabilidad de la Información Financiera:
El objetivo de confiabilidad de la información financiera implica la preparación y

presentación de estados financieros de acuerdo con principios de contabilidad
integrada. Para ello se requiere que existan controles para asegurar
razonablemente que la información financiera esté libre de errores e
irregularidades significativas.
Los riesgos relacionados con estas actividades de control son los siguientes:
− Falta de registro de pérdidas y robos de activos.
50
− Falta de registro de deterioros de los activos.
− Derechos y obligaciones no registrados.
− Pérdida de documentación de respaldo sobre los registros.
− Inexistencia de activos, derechos y obligaciones registrados.
− Registro de operaciones en períodos incorrectos.
− Registro de operaciones no autorizadas o aprobadas.
− Pérdidas o alteraciones de información registrada.
− Registro erróneo o inexacto de las operaciones.
− Revelación errónea e incompleta de la información complementaria.
− Falta de consolidación y agregación de los estados financieros.
- Clasificación y agrupación incorrecta de la información incluida en los
estados financieros.
De acuerdo con los riesgos, el relevamiento del diseño de estas actividades de

control consistirá en indagar e identificar al menos lo siguiente:
Arqueos e inventarios periódicos y al cierre de gestión.

− Informes sobre el mantenimiento de la capacidad productiva de los activos.
− Información externa sobre los derechos y obligaciones de la entidad.
− Archivos de documentación de respaldo de los registros.
− Aprobación de operaciones previa a su registro.
− Cortes de documentación para el registro de las operaciones en los períodos
correspondientes.
− Correlatividad numérica de los comprobantes de registro
− Documentación sobre la recepción y entrega de bienes y servicios.
− Acceso restringido a los registros de las operaciones.
− Información interna independiente para la comparación con los datos
registrados.
− Consistencia de la información complementaria con los estados financieros
básicos.
51
− Consistencia del presupuesto aprobado para la entidad con los estados
financieros elaborados.
− Aplicación de los principios de contabilidad gubernamental integrada. − Registro
integral de las operaciones presupuestarias, financieras y patrimoniales de la
entidad.
5. Oportunidad en la información:
Generalmente cuando hablamos de tecnología pensamos en: aparatos

electrónicos, autos, computadoras, celulares. Desgraciadamente la mayoría de las
veces lo último que pensamos es en la información… y eso es algo que se ve
todos los días. En los noticieros, en Internet, etc. Sin embargo, en ocasiones no le
damos la importancia debida a la Oportunidad de la información.
Hoy en día, las empresas han apostado por mejorar su infraestructura tecnológica
(software y hardware) para salvaguardar y obtener en cuestión de segundos la
información. Se obtiene de manera instantánea, si no aquella que al recibirla
contiene lo necesario para la toma de decisiones, ya que de lo contrario
podríamos saturarnos de datos sin sentido. Creo que es aquí donde todos los
usuarios (Directores, Gerentes, Usuarios Finales, expertos en informática)
debemos tener claro que buscamos al momento de solicitar y/o generar
información para aprovechar al máximo todos los recursos con que contamos para
alinearlos a la estrategia del negocio.
52
Aspectos a Evaluar:
ASPECTO A DESCRIPCION DEL FORMULA PORCENTAJE

EVALUAR ASPECTO A OBTENIDO
EVALUAR
Integridad Se refiere a que el (Cantidad de pruebas 74%
criterio evaluado esté realizadas al sistema
de acuerdo a los satisfactorias / total de
requerimientos pruebas al sistema)
establecidos. *100
Confiabilidad La información o 43%
proceso que se
relacione con el
criterio debe estar
completo y acorde con
lo que se espera que
realice o represente.
Exactitud Es un cálculo 91%
numérico o de
medición de los
resultados de las
variables y/o procesos
relacionados
con el criterio.
Fiabilidad Los resultados que se 77%
tienen están acordes
con lo que se espera
de acuerdo al criterio
definido.
Autenticidad Se debe medir la 74%
validez de la
información que se
encuentra en el
sistema frente a la
suministrada por la
fuente.
Vulnerabilidad Debilidades reales 80%
que han sido
detectadas en el
sistema.
53
Acorde a los indicadores descritos en la tabla 1 y obtenidos a través del muestreo
implementado con clientes directos del aplicativo, es importante para la
organización propietaria de la aplicación de gestión documental objeto de este
proyecto; el contar con un estudio que le proporcione el análisis de los riesgos de
seguridad de la información a los que se encuentra expuesta la información (esta
puede ser de clientes o de la organización propietaria del software) que se
gestiona a través del aplicativo de gestión documental que ofrecen a sus clientes,
así como el plan tratamiento de riesgos diseñado y sugerido para reducir y
controlar los riesgos de seguridad detectados sobre la aplicación de gestión
documental llevándolos a niveles aceptables y asumibles para la entidad
propietaria del software, lo que le permitirá a la organización tomar las acciones
correctivas necesarias para fortalecer la seguridad como parte del desarrollo e
implementación de sus aplicaciones de software, así como operativo para
salvaguardar la información propia y de sus clientes aspectos enfocados a
contribuir con la continuidad del negocio y el crecimiento de la organización a nivel
nacional.
5 CONCLUSIONES Y RECOMENDACIONES
De acuerdo a la evaluación y ejecución de las pruebas realizadas en cada uno

de los entornos con respecto al sistema de información IRD se podrá
identificar si este cumple con los estándares solicitados en la adjudicación del
nuevo contrato.
54
BIBLIOGRAFÍA
Plan-auditoría-SisInf-VASP-empresa-Smsamericas
Benchmark, C. (09 de 05 de 2016). COBIT (Objetivos de control para la

información y tecnologías relacionadas). Obtenido de
http://es.ccm.net/contents/596-cobit-objetivos-de-controlpara-la-
informacion-y-tecnologias-re
Instituto de Auditores Internos. (13 de 10 de 2012). Gestión Integral de Riesgo /

Sistema de Control
Interno . Obtenido de
http://www.unjbg.edu.pe/transparenciainst/pdf/131012sistemacontrol.pdf
ISACA. (20 de 04 de 2016). Acerca de ISACA. Obtenido

de
http://www.isaca.org/spanish/Pages/default.aspx
Moodle. (20 de 04 de 2016). Módulo de wiki. Obtenido

de
https://docs.moodle.org/all/es/Módulo_de_wiki
UNAD. (31 de 10 de 2016). Riesgos y Control Informático. Obtenido

de
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_concept
os_de_vulnerabil idad_riesgo_y_amenaza.html
Wikipedia. (18 de 09 de 2016). Google Sites. Obtenido

de
https://es.wikipedia.org/wiki/Google_Sites
55
ANEXOS
Anexo 1 Cuestionarios
Empresa: R/PT
Cuestionario de Control Bases de Datos 001
Dominio Bases de Datos
Proceso Seguridad de la
Información
Seguridad de la
Objetivo de Control Información
Bases de Datos
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo Log donde guarde
información referida a las operaciones que realiza la
Base de datos?
¿Se realiza copias de seguridad (diariamente,
semanalmente, mensualmente, etc.)?
¿Existe algún usuario que no sea el DBA pero que tenga
asignado el rol
DBA del servidor?
¿Se encuentra un administrador de sistemas en la
empresa que lleve un control de los usuarios?
¿Son gestionados los perfiles de estos usuarios por el
administrador?
¿Son gestionados los accesos a las instancias de la
Base de Datos?
¿Las instancias que contienen el repositorio, tienen
acceso restringido?
¿Se renuevan las claves de los usuarios de la Base de
Datos?
¿Se obliga el cambio de la contraseña de forma
automática?
¿Se encuentran listados de todos aquellos intentos de
accesos no satisfactorios o denegados a estructuras,
tablas físicas y lógicas del repositorio?
¿Posee la base de datos un diseño físico y lógico?
56
¿Posee el diccionario de datos un diseño físico y lógico?
¿Existe una instancia con copia del Repositorio para el
entorno de desarrollo?
¿Los datos utilizados en el entorno de desarrollo, son
reales?
¿Las copias de seguridad se efectúan diariamente?
¿Las copias de seguridad son encriptados?
¿Se ha probado restaurar alguna vez una copia de
seguridad, para probar que las mismas se encuentren
bien hechas?
¿Los dispositivos que tienen las copias de seguridad,
son almacenados fuera del edificio de la empresa?
¿En caso de que el equipo principal sufra una avería,
existen equipos
auxiliares?¿Cuándo se necesita restablecer la base de
datos, se le comunica al administrador?
¿Se lleva a cabo una comprobación, para verificar que
los cambios efectuados son los solicitados por el
interesado?
¿Se documentan los cambios efectuados?
¿Hay algún procedimiento para dar de alta a un usuario?
¿Hay algún procedimiento para dar de baja a un
usuario?
¿Es eliminada la cuenta del usuario en dicho
procedimiento?
¿El motor de Base de Datos soporta herramientas de
auditoría?
¿Existe algún plan de contingencia ante alguna situación
no deseada en la Base de Datos?
¿Existen logs que permitan tener pistas sobre las
acciones realizadas sobre los objetos del base de datos?
Empresa: R/PT
Cuestionario de Control Inventario 002
57
Dominio Redes y
Comunicaciones
Proceso Instalación y diseño
de redes
Evaluación
Infraestructura de
Objetivo de Control
redes de
comunicación
Cuestionari
o
Pregunta SI NO N/E
¿Todos los nodos se encuentran bajo un mismo
estándar de modo que no se reduzca la velocidad de
transmisión?
¿Se gestiona la infraestructura de la red inalámbrica
en base a los recursos de radiofrecuencia de los
clientes?
¿Los enlaces de la red se testean frecuentemente?
¿La longitud de los tramos de cableado horizontal no
excede de los 90 metros?
¿El armado del patch panel cumple con los
requerimientos básicos del estándar 568-A y 568-B?
¿El etiquetado implementado en la organización
cuenta con un código de colores para facilitar su
identificación?
¿Cuenta con un mapa arquitectónico para la
verificación del sembrado de nodos?
¿El cable cuenta con los recorridos horizontales
correctos para el backbone y sus subsistemas?
¿El cableado estructurado del interior del edificio viaja
dentro de
canaleta o ducto?¿Cuenta con dispositivo firewall
físico para protección y
aseguramiento de la red?¿Las direcciones IP´S de los
equipos de cómputo son implementadas
de forma fija?¿Cuentan con conmutadores en red,
para la expansión de redes locales?
¿Se tiene conexión a tierra física para protección de
Equipos ante posibles descargas eléctricas que
puedan afectar?
58
¿Cuenta con dispositivos para la regulación del
voltaje?
Se tiene implementado un sistema de control de
acceso a los centros de cableado y dispositivos
¿Los equipos se encuentran instalados en áreas con
temperaturas adecuadas para su funcionamiento?
¿Esta implementado un modelo de QoS en la red?
¿La red cuenta con los equipos y aplicaciones
(protección) necesarias para tener un mayor
resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que
garanticen el buen funcionamiento de la red?
¿Las terminaciones del cable de red están
correctamente configuradas
en base al código de colores de los pares ¿Se tienen
suficientes nodos en la red para conectar todos los
equipos trenzados? que lo requieren?
¿Cuenta con un análisis de vulnerabilidades en la
implementación y configuración de los dispositivos de
red?
¿Los datos que viajan por internet se encuentran
cifrados?
En cuanto a las pruebas del cableado, ¿el
departamento de TI, genera sus propios ataques
para probar la solidez de la red y encontrar posibles
fallas?
Cuentan con administración interna de la red, es decir,
¿cuentan con VLAN’s creadas en el servidor para
tener una mayor administración en cada una de las
oficinas que se dedican a diferentes actividades?
Para evitar vulnerabilidades en las WLAN ¿Usan
protocolos de autenticación, como está establecido en
el estándar IEEE 802?11?
¿La cantidad de dispositivos Access Point es la
adecuada en función del número de usuarios que se
conectan, como lo establece el estándar 802?
¿La red inalámbrica proporciona velocidades de ?11?
transmisión de 54Mbps en distancias cortas?
59
Empresa: R/PT
Cuestionario de Control Seguridad Lógica e 003
Informática
Manejo de
Dominio Información y
elementos
Proceso Seguridad de la
Información
Objetivo de Control Seguridad de la
Información
Cuestionario
Pregunta SI NO N/E
¿Existen metodologías de respaldo de información?
¿Se realizan respaldos de información
periódicamente?
¿Existe un administrador de sistemas que controle
las cuentas de los usuarios?
¿Existe algún estándar para la creación de
contraseñas?
¿Las contraseñas cuentan con letras, números y
símbolos?
¿Se obliga, cada cierto tiempo a cambiar la
contraseña?
¿La organización cuenta con un proceso para dar
mantenimiento preventivo al software?
¿La organización cuenta con un proceso para dar
mantenimiento correctivo al software?
¿Se tienen software antivirus instalados en los
equipos de cómputo?
¿Cuentan con antivirus actualizado?
¿Se tienen instalados anti malware en los equipos de
cómputo?
¿Cuenta con licencias de software?
¿Existe un proceso para mantener las licencias
actualizadas?
¿Existe un proceso para adquirir nuevas licencias?
¿Se sanciona al integrante del departamento si
instala software no permitidos?
60
¿Los usuarios de bajo nivel tienen restringido el
acceso a las partes más delicadas de las
aplicaciones?
¿Realizan mantenimiento preventivo al equipo de
cómputo?
¿Realizan mantenimiento correctivo al equipo de
cómputo?
¿El equipo de cómputo cuenta con suficiente espacio
en HD en función de los servicios que otorga?
¿El equipo de cómputo cuenta con suficiente
memoria RAM en función de los servicios que
otorga?
¿La velocidad del procesador es el adecuado para
los programas que son utilizados en los equipos?
Empresa: R/PT
Cuestionario de Control y seguridad 004
Instalaciones y
Estación Entrega de Servicios y
Soportes
Proceso Administración de
Instalaciones.
61
Instalaciones,
Objetivo de Control adecuaciones y
seguridad
Cuestionario
Pregunta SI NO N/E
¿Las instalaciones (aulas, cubículos y oficinas)
fueron diseñadas o adaptadas específicamente
para funcionar como un centro de cómputo.?
¿Se tiene una distribución del espacio
adecuada, de forma tal que facilite el trabajo y no
existan distracciones?
¿Existe suficiente espacio dentro de las
instalaciones de forma que permita una
circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para
impedir el paso a lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como
son detectores de humo, alarmas, u otro tipo de
censores?
¿Existen señalizaciones adecuadas en las
salidas de emergencia y se tienen establecidas
rutas de evacuación?
¿Se tienen medios adecuados para extinción de
fuego en el centro de cómputo?
¿Se cuenta con iluminación adecuada y con
iluminación de emergencia en casos de
contingencia?
¿Se tienen sistemas de seguridad para evitar
que se sustraiga equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y
utensilios de
trabajo?¿Son funcionales los muebles instalados
dentro del centro de cómputo: ¿cinto teco,
Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir
alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares
visibles que recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las
62
instalaciones?
¿Con cuanta frecuencia se limpian los ductos de
aire y la cámara de aire que existe debajo del
piso falso (si existe)?
Empresa: R/PT
Cuestionario de Control Impacto Ambiental 005
Dominio Entrega de Servicios y
Soportes
Protección contra
Proceso
Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/E
¿El centro de cómputo tiene alguna sección con
sistema de refrigeración?
¿Con cuanta frecuencia se revisan y calibran los
controles ambientales?
¿Se tiene contrato de mantenimiento para los
equipos que proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente
los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de
aire?
¿Se tiene plan de contingencia en caso de que
fallen los
¿Se cuenta con políticas claras y definidas al
finalizar la vida útil de los elementos informáticos
que se dan de baja?
Empresa: R/PT
Cuestionario de Control 006
Dominio Entrega de Servicios y
Soportes
Protección contra
Proceso
Factores Ambientales
Objetivo de Control Seguridad Física
63
Cuestionario
Pregunta SI NO N/E
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el
acceso a estos
lugares?¿A este mecanismo de seguridad se le
han detectado debilidades?
¿Tiene medidas implementadas ante la falla del
sistema de seguridad?
¿Con cuanta frecuencia se actualizan las claves
o credenciales de acceso?
¿Se tiene un registro de las personas que
ingresan a las instalaciones?
Empresa: R/PT
Cuestionario de Control 007
Dominio Planear y Organizar
Proceso
Evaluar y Administrar
Objetivo de Control Los Riesgos de TI
Cuestionario
Pregunta SI NO N/E
¿Cuenta el Departamento de Sistemas con
64
hardware interno o externo similar o compatible
para ser utilizado en caso de emergencia?
¿Cuenta con un marco de trabajo de
administración de Riesgos?
¿Saben cómo medir el impacto el impacto
potencial negativo sobre las metas o las
operaciones de la Empresa?
¿Cuentan con un proceso de respuesta ante la
materialización de un riesgo, que aseguren un
bajo costo apara la empresa?
¿Tienen bien definidas las prioridades y las
planeaciones de las actividades de control a
todos los niveles para implementar una
respuesta a los riesgos?
65

Asbd G3 Ae2

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Asbd G3 Ae2

Caricato da

Copyright:

Formati disponibili

AUDITORIA A SISTEMAS DE BASES DE DATOS

DISEÑO DE UN PLAN DE AUDITORÍA PARA BASE DE DATOS DEL SISTEMA

HERNAN DARIO ARENAS CORREA

UNIVERSIDAD ANTONIO NARIÑO

2.1 MARCO CONCEPTUAL..............................................................................................8

3.1 AUDITORIA BASADA EN RIESGOS........................................................................13

Metodología para la evaluación del proceso de control interno………….46

En este caso de estudio se desarrolla la planeación una auditoria de sistemas

El proceso que permite medir, asegurar, demostrar, monitorear y registrar los

Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna

Se utilizará como referencia el modelo COBIT para auditar la gestión y el control

1.1.1 Objetivo general

Diseñar un plan de auditoria para la base de datos del sistema de información

1.1.2 Objetivos específicos

2.1 MARCO CONCEPTUAL

METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS:

2.1.1 COBIT (Objetivos de control para la información y tecnologías

Es una metodología publicada en 1996 por el Instituto de Control de TI y la

Este enfoque se basa en un índice de referencia de procesos, indicadores de

El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales

2.1.2 ISACA (isaca.org)

Ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en

La incertidumbre de que ocurra un evento y pueda tener un impacto en el logro

Es la probabilidad de ocurrencia de un suceso potencialmente desastroso

En general el concepto de amenaza se refiere a un peligro latente o factor de

Es el grado de pérdida de un elemento o grupo de elementos bajo riesgo,

La vulnerabilidad se entiende como un factor de riesgo interno, expresado como

En el campo de la informática, la vulnerabilidad es el punto o aspecto del

Para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o

Son las consecuencias de la ocurrencia de las distintas amenazas y los daños

2.2 MARCO TEÓRICO

El caso de estudio a realizar es diseñar un plan de auditoria específicamente

El presente caso de estudio se basará en un enfoque mixto con los objetivos de

3.1 AUDITORIA BASADA EN RIESGOS

Auditoria Basada en Riesgos

AUDITORIA BASADA EN RIESGOS

Con el siguiente capítulo se busca desarrollar uno a uno los objetivos

La familiarización es la relación que deben tener los auditores inicialmente con

Los auditores deben tener conocimiento de los objetivos de la actividad o

Inicialmente se realizará una ficha técnica de los servidores que contienen el SI

* Combo Texto y Wap Push

Para continuar con este acercamiento se diseñó un Cuestionario con preguntas

Los entornos a consultar son: Base de datos, Control de Seguridad Lógica e

4.1.2 Familiarización por Entornos

En los siguientes numerales se podrá observar la familiarización por cada uno

4.1.2.1 Bases de Datos

Se realizará un levantamiento de información de los procesos, tecnología,

Se realizará un levantamiento de la estructura del cableado, así como de su

4.1.2.3 Control de Seguridad Lógica e Informática

Se determinará si los controles actuales con respecto a estos procesos se

4.1.2.4 Control y Seguridad física de Instalaciones

Se determinará si los controles actuales con respecto a estos procesos se

4.1.2.2 Control de Impacto Ambiental

Determinar que procesos miden y controlan el impacto ambiental que pueda

4.1.2.3 Control Riesgos

4.2.1 Definición y Calificación de Riesgos

Debido a las actividades diarias y a lo establecido con el área IT y las

Clasificación, Calificaciones y Criterios Usados

Definición del Riesgo

De acuerdo a la familiarización, se realizó la matriz de riesgos y su calificación

R-29 Perdida de información, causada por ingreso de personas

4.2.2 Análisis de riesgos en los diferentes entornos

Se realizará un análisis de riesgos en cada uno de los entornos mencionados