Universidad Nacional Abierta y a Distancia

Fase 1: Pre saberes

Presentado al tutor (a):

VERMEN RAINER AYALA

Entregado por el (la) estudiante:

GUILLERMO ALBERTO RAMIREZ

ALBERTO OBREGON ESTUPIÑAN

Grupo: 301405_45

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
2020
INTRODUCCIÓN
En este trabajo se aplicará los conceptos fundamentales de la auditoria y seguridad
informática donde escogimos una empresa llamada Altycom de Bogotá donde se le
realizará una planeación de auditoria de dicha empresa donde se le identificará sus
riesgos vulnerabilidades y de que áreas está compuesta cada una de esos problemas
para asi desarrollar el respectivo plan de auditoria.

OBJETIVOS

 Analizar las diferentes fallas en el sistema informático y su red para así

desarrollar la base del plan de auditoria.
  Describir un objetivo general de la auditoria y cuatro objetivos específicos que
se compone de estos mismos para conocer, planear, ejecutar y dar resultados
en la auditoria.

 Interpretar los objetivos para mencionar que aspectos serán evaluados de

acuerdo con los problemas detectados.

 Ejecutar la metodología donde se descompone cada tarea que se realizara en los

objetivos.

 Diseñar el cronograma de actividades donde se determina el tiempo de duración

de cada una de las actividades programadas para cumplir los objetivos
específicos.

1. Propuesta

Propongo la empresa Altycom, es una empresa dedicada, presta servicios para

diferentes clientes generando oportunidades comerciales en Contact Center, Fuerzas
de Venta Directas, Puntos de venta y esquemas de distribución y subdistribución.
Estructura Organizacional.

Gerente General: En el organigrama es la persona que toma las decisiones, es la

cabeza visible que tiene la capacidad de dirigir y enfocar todas las áreas para llegar a
los resultados.

Directora de Nuevos Negocios: Persona con un perfil comercial, encargada de traer

a la compañía nuevos clientes interesados en ser socios estratégicos.

Director Contact Center: Encargado de liderar todos los procesos de la operación de

las líneas Inbound, Outbound y Omnicanales.
Director de Desarrollo: Encargado de toda la parte de desarrollos tecnológicos

Jefe Comercial: lidera el equipo de ventas de las áreas presenciales encargado de los
supervisores comerciales

Jefe de Operaciones: persona que lidera el grupo de supervisores, generando

estrategias para llegar a un resultado.

Jefe de Soporte Técnico: Líder del grupo de los auxiliares de soporte que garantiza
que toda la parte de sistemas funcione.

Analista de Datos Datamarshall: Experto en análisis de datos, generador de

informes, estadista para la toma de decisiones y organiza las bases de datos para
garantizar su gestión.

Auxiliares de Tecnología: Son las personas que manejan un perfil de técnicos, los
cuales tiene la función de solucionar las caídas de sistemas, y controlar que los VPN
estén funcionando perfectamente.

Ingeniero de desarrollo: Perfil profesional que está encargado de realizar los

desarrollos solicitados por la gerencia, encargado de los cambios del CRM del Contact
Center.

Supervisores: son los líderes de los ejecutivos comerciales, los cuales apoyan y los
llevan a la consecución de los resultados.

Ejecutivos Comerciales: Personal más importante de la compañía. Con perfil de

manejo de clientes potenciales en productos tangibles e intangibles. Son los que
generan los ingresos de la compañía.

Servicios del Área Informática:

 Soportar los daños de los equipos Hardware y Software

 Controlar y proveer que los sistemas tengan toda la seguridad en la información.
 Manejan el mantenimiento continuo, para evitar los daños informáticos.
 Instalar y desinstalar programas para el manejo de la información

Activos informáticos:

 VPN Claro y ETB

 Firewall Endian
 Servidores 1 y 2
 RAC
 Computadores

Sistemas informáticos:

 Aplicativos de Claro. AC, RR, IDVISION

 INCONCERT CRM
 AVAYA
 NEOTEL CRM

Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías
N° Vulnerabilidad Amenazas Riesgo Categoría
1 No es posible Se puede quedar sin El riesgo radica en la Infraestructur
implementar los cobertura al estar en vulnerabilidad que a tecnoló gica
lineamientos de el sistema por la poseen los redes
seguridad en ineficiente cobertura inalá mbricas, debido a
materia de red de de la red que los protocolos de
datos, toda vez que seguridad de esta
la infraestructura tecnología son fá ciles
física de la red de de penetrar y existen
datos no es gran cantidad de
suficiente para herramientas que
abarcar la totalidad permiten hacerlo.
de los usuarios y
fue necesario
instalar acces point
para darles acceso
a la red.
2 No se cuenta con el Sin el ancho de banda El riesgo radica en la Infraestructur
ancho de banda suficiente se tendrá falta de capacidad de a tecnoló gica
suficiente para la poca usabilidad de ancho de banda de
correcta operación programas que internet para soportar
de los sistemas en cuenten con internet o efectivamente los
línea en la sede sean en línea. aplicativos en línea.
centro.
3 Ausencia de Dañ o masivo en los El riesgo radica en la Hardware
equipos de equipos o sistema ausencia de equipos de
contingencia electrico có mputo de respaldo,
toda vez que en el
momento que se genera
un dañ o, no es posible
reemplazarlo, para que
continué funcionando
en pro de la correcta
operació n de los
sistemas informá ticos.
4 La información Intercepció n Los sistemas de Infraestructur
transmitida no está Modificació n informació n a tecnoló gica
cifrada o hay disponibles no cifran
pérdida de los datos cuando se
 información en los está n almacenando o
servidores y base transmitiendo
de datos
5 No existe un control Vulnerabilidades No se tiene un Infraestructur
ni seguimiento claro tecnoló gicas inventario detallado de a tecnoló gica.
a las unidades de las unidades de red, de
red creadas para el la informació n
almacenamiento de almacenada, ni de la
información en los utilidad de la misma, lo
servidores. que genera duplicació n
de informació n y
desperdicio de recursos
Existen algunos El sistema puede que Aunque ya se Infraestructur
equipos obsoletos desarrolle sus reemplazaron gran a tecnoló gica
que no cumplen las funciones cantidad de equipos
características correctamente. obsoletos, todavía se
mínimas para utilizan muchos
ejecutar programas equipos que no
actuales. cumplen con las
características mínimas
para ejecutar los
programas requeridos.
7 No existe un Utilizació n de los No existe control de Infraestructur
Control y monitoreo recursos del sistema acceso a direcciones de a tecnoló gica
en el acceso a para fines no previstos internet por parte del
Internet y VPN administrador, lo que
hace insegura a la red
de datos
8 No se cuenta con la Probable perdida de El riesgo radica en la Infraestructur
codificación de los tiempos para el acceso imposibilidad de a tecnoló gica
puntos de red en el a la red en un dañ o atender un
edificio, ni en el requerimiento de
gabinete del rack de manera oportuna, toda
telecomunicaciones vez que no se cuenta
. con la codificació n
requerida para la
identificació n de los
puntos de acceso a la
red, lo cual va en contra
 vía a los principios de
eficiencia y eficacia.
OBJETIVOS DE LA AUDITORIA

Se Realizará la auditoria a los servidores y su infraestructura tecnológica que

almacena y soporta bases de datos de la empresa Altycom de la ciudad de Bogotá.

Objetivo 1. Conocer el proceso de trasmisión de información y almacenamientos de

datos en los servidores, con el fin de analizar las vulnerabilidades que se pueden
presentar, esto mediante reuniones con los responsables del área y líderes de cada
proceso.

Objetivo 2. Elaboración de un plan de auditoria y programa de auditoria Y determinar

el estándar que será aplicado para la auditoría.

Objetivo 3. Elaborar los formatos de hallazgos, identificar proceso, describir riesgos,

identificar las causas, identificar los recursos afectados, identificar posibles soluciones
en el contexto.

Objetivo 4. Determinar los controles y tipos de control: preventivos, detectivos,

correctivos, recuperación y Presentar el informe final de Auditoría y documentación.

ALCANCES Y DELIMITACIONES

La presente auditoria está enfocada en identificar las posibles vulnerabilidades y

riesgos que se puedan presentar en la trasmisión de dato, y garantizar que se esté
salvaguardando la información que está almacenada en los servidores, con el fin de
controlar y evitar cualquier perdida o extracción indebida de la información.
De los servidores y su infraestructura tecnológica se evaluará los siguientes aspectos:
 Capacidad de los servidores y sus actualizaciones
 Revisión del servidor local, remoto, Proxy y FTP
 La seguridad en la red de datos VPN

Del proceso tecnológico se evaluarán:

 Firewall utilizado
 Protocolos de seguridad interna

De los actores directos se evaluará:

 Perfil y funciones del encargado de la información

 La seguridad que utiliza para el descargue y envío de data.
 Correos y usuarios a los que tiene permisos.

Del servicio de internet se evaluará:

 La seguridad que brinda el operador para el servicio de internet

 La seguridad de la red inalámbrica wifi

METODOLOGIA

1. Investigación preliminar: visitar la empresa para determinar el estado actual del

rack, los servidores y sus redes de información, reuniones con administradores y
usuarios de los servidores y equipos que monitorean la seguridad para determinar
posibles fallas, entrevistas con administrador y usuarios para determinar la opinión
frente al hardware existente y obsolescencia de equipos.

2. Recolectar información: se realizará encuestas, entrevistas, se recopilarán datos

a través de cuestionarios, se observará los procesos el cual permite recolectar
información detallada y se realizara la distribución de actividades para los integrantes
del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar evaluaciones mediante pruebas de calidad y

cumplimiento de funciones, se utilizará el método de inspección, el cual evalúa la
eficiencia y eficacia del sistema.

4. Ejecución de las pruebas: Se realizan pruebas desde el inicio del proceso hasta
su finalización, con el fin de detectar y comprobar que todo el proceso se desarrolle tal
cual como lo describieron los implicados.

5. Realizar el proceso de análisis y evaluación de riesgos: Elaborar el cuadro de

vulnerabilidades y amenazas a los que se ven expuestos, hacer la evaluación de
riesgos, elaborar una herramienta que documente los procesos y evalúe de manera
integral el riesgo de la empresa.

6. Tratamiento de riesgos: Asegurar que se apliquen correctamente los estándares

internacionales de administración de riesgos, que el producto de su implantación sea
de la mejor calidad posible y que todos los elementos del sistema contribuyan a
fortalecer el sistema, definiendo las posibles soluciones

7. Dictamen de la auditoría: Determinar el grado de conocimiento de la empresa en

el manejo de cada uno de los procesos evaluados, medir el grado de conocimiento de
acuerdo a los hallazgos detectados en cada proceso y fijar el inicio y fin de la
auditoria.

8. Informe final de auditoría: Se elaborará un informe detallado con todos los

hallazgos encontrados y sus posibles soluciones.

Recursos humanos:

Apellidos y Nombres Roles en la Auditoria

Guillermo Ramírez Auditor Junior

Andrés Gualguan Auditor Junior

Estudiante 3 Líder Auditor

Estudiante 4 Auditor Junior

Estudiante 5 Auditor Junior

RECURSOS
CRONOGRAMA

Teniendo en cuenta el objetivo de la auditoria y los alcances de la misma, se

van a elegir algunos procesos del estándar CobIT y dentro de cada proceso se
elegirán todos o algunos de los objetivos de control que están relacionados
directamente con ese objetivo y los alcances.

Programa de auditoría.
Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las
tácticas, tiene que ver con identificar la manera en que las tecnologías de información
pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Para
ello los procesos que se realizaran y los objetivos de control que se van a evaluar son
los siguientes:

PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al

máximo de la tecnología disponible o tecnología emergente, Los objetivos de control
que se evaluaran en este dominio son:

 PO3.2 Plan de Infraestructura Tecnológica: Es necesario tener un plan de

infraestructura ya que es la base del sistema de la empresa tanto es software y
hardware, necesita tener el mejor funcionamiento para poder llevar a cabo todas
sus actividades.
 PO3.4 Estándares Tecnológicos: llevar acabo estándares tecnológicos para la
empresa Altycom para recoger especificaciones y requisitos técnicos de las
nuevas tecnologías o actualizaciones para tener en cuenta a lo largo de los
procesos.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del

área de sistemas debe estar claro y definido el personal de la tecnología de la
información, los roles, las funciones y responsabilidades, permitiendo el buen
funcionamiento de servicios que satisfagan los objetivos de la Institución.

 PO4.5 Estructura Organizacional: Asignar la estructura para hacer una buena

gestión formal e informal organizativa para garantizar cada función y reportar
cada falla en la parte informática de Altycom para mejorar la infraestructura
tecnológica.

 PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento: Se debe

 establecer la propiedad y la responsabilidad de los riesgos relacionados con
servidores e infraestructura tecnológica a un nivel superior apropiado. Se define
las funciones sobre los riesgos de los servidores e infraestructura tecnológica
donde se establece las responsabilidades y cumplimientos de las seguridades al
nivel del sistema.

 PO4.9 Propiedad de Datos y de Sistemas: Evaluar la propiedad que se tiene en

los datos y sistemas de los servidores tanto registro y control de sus manejo y
acceso que permitan enfrentar sus responsabilidades de propiedad sobre los
datos y los sistemas de información.

DS8 Administrar la Mesa de Servicio y los Incidentes: Garantizar un Help Desk

en el contact center donde se puedan escalar las incidencias presentadas en la parte
de software y Hardware proporcionando un soporte 7 por 24.

DS8.1 Mesa de Servicios: Establecer los cuerdos de servicio, donde el usuario debe
tener claro, como debe registrar los casos e incidentes reportados, cuales son las
prioridades que se clasificaran de acuerdo al nivel de urgencia, también debe tener
conocimiento del aplicativo que se utilizara para garantía y supervisión de su
respuesta oportuna.

DS8.3 Escalamiento de Incidentes: Constituir procedimientos de mesa de

servicios de manera que los incidentes que no puedan resolverse de forma inmediata
sean escalados a través de otros medios como el correo electrónico o telefónico,
Garantizar que el escalamiento a pesar que este por fuera de los tiempos establecidos
este tenga un cierre y una respuesta oportuna.

DS8.4 Cierre de Incidentes: Tener conocimiento de los procesos para revisión

de las incidencias escaldas. Cuando se resuelve el incidente la mesa de servicios debe
registrar en el sistema, las causas y la solucion para conocimiento del usuario final.

DS8.5 Análisis de Tendencias: Reportar a través de informes los resultados que

se han obtenido y los planes de mejora.

DS9 Administración de la Configuración: Contar con un disco donde se

almacene la información de configuración de software y hardware, ofreciendo así
mayor disponibilidad a los usuarios y administradores del sistema, además de
mantener consolidado y actualizado los casos que se han brindado respuesta y su
calificación..

[ CITATION COB20 \l 9226 ]

COBIT. (2020). AUDITORÍA INFORMÁTICA Y DE SISTEMAS. Obtenido de

http://auditordesistemas.blogspot.com/search?q=ENTREGAR+Y+DAR+SOPORTE

Nombre Auditor Proceso auditado Objetivos de control

CobIT proceso elegido
Guillermo Ramírez PO3 PO3.2 Plan de
Pérez Infraestructura
Tecnológica,
PO3.4 Estándares
Tecnológicos.
Alberto Obregón PO4 PO4.5 Estructura
 Organizacional,
PO4.8
Responsabilidad
sobre el Riesgo, la
Seguridad y el
Cumplimiento,
PO4.9 Propiedad
de Datos y de
Sistemas
Alberto Obregón DS8 DS8.1 Mesa de
Servicios,
DS8.2 Registro de
Consultas de
Clientes,
DS8.3 Escalamiento
de Incidentes,
DS8.4 Cierre de
Incidentes,
DS8.5 Análisis de
Tendencias
Guillermo Ramírez DS5 DS5.1
Pérez Administración de
la Seguridad de TI,
DS5.2 Plan de
Seguridad de TI,
DS5.3
Administración de
Identidad,
DS5.4
Administración de
Cuentas del
Usuario,
DS5.5 Pruebas,
Vigilancia y
Monitoreo de la
Seguridad,
DS5.6 Definición de
Incidente de
Seguridad,
DS5.7 Protección
de la Tecnología de
Seguridad,
DS5.8
Administración de
Llaves
Criptográficas,
DS5.9 Prevención,
Detección y
Corrección de
Software Malicioso,
DS5.10 Seguridad
de la Red,
DS5.11 Intercambio
de Datos
Sensitivos.
CONCLUSIÓN

La empresa Altycom se le desarrollo un plan de auditoria donde se tuvo puntos como

conocer, planear, ejecutar y dar resultados en la auditoria.
Se desarrolló unos métodos generales y específicos donde de ellos se partió hacer una
metodología para el proceso de la autoría y así se planteó un cronograma de
actividades para el desarrollo del mismo.
Se detectó cada una de sus vulnerabilidades riesgos encada una de sus áreas, asi
sacando cada uno de sus objetivos para así dar inicio al despliegue de cada área para
saber que se va auditar de cada una de ellas y el tiempo programado.
BIBLIOGRAFIAS

Matus, R. H. (2010). Estadística. (Pp. 1-14).

COBIT. (2020). AUDITORÍA INFORMÁTICA Y DE SISTEMAS. Obtenido de

http://auditordesistemas.blogspot.com/search?q=ENTREGAR+Y+DAR+SOPORTE