INFORME DE AUDITORIA

TATIANA MARCELA GALLEGO

AIDA MILENA ROJAS SEPULVEDA

AUDITORIA DE SISTEMAS II
CARLOS HERNN GMEZ

ADMINISTRACIN DE SISTEMAS INFORMTICOS

UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MAYO 2010

PLAN DE AUDITORIA
La auditoria estar enfocada a los siguientes procesos:

AI2 Adquirir y mantener software aplicativo

PO10 Administrar proyectos
AI5 Adquirir recursos de TI
DS12 Administrar el ambiente fsico
ME4 Proporcionar gobierno de TI

Despus de evaluar los resultados obtenidos se socializarn con el grupo

auditado, para despus enviar el documento depurado a la parte
contratante.
Para realizar la auditoria se utilizaron herramientas como encuestas y
cuestionarios, que fueron resueltos por Sebastin Soche Lpez y Andrs
Felipe Marn Pinto.
La auditora busca que se cumpla con los siguientes objetivos de control:

AI2 Adquirir y mantener software aplicativo

AI2.1 Diseo de Alto Nivel.
AI2.2 Diseo Detallado.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones.
AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido.
AI2.6 Actualizaciones Importantes en Sistemas Existentes.
AI2.7 Desarrollo de Software Aplicativo.
AI2.8 Aseguramiento de la Calidad del Software.
AI2.9 Administracin de los Requerimientos de Aplicaciones.
AI2.10 Mantenimiento de Software Aplicativo.

PO10 Administrar proyectos

PO10.1 Marco de Trabajo para la Administracin de Programas.
PO10.2 Marco de Trabajo para la Administracin de Proyectos.
PO10.3 Enfoque de Administracin de Proyectos.

PO10.4 Compromiso de los Interesados.

PO10.5 Declaracin de Alcance del Proyecto.
PO10.6 Inicio de las Fases del Proyecto.
PO10.7 Plan Integrado del Proyecto.
PO10.8 Recursos del Proyecto.
PO10.9 Administracin de Riesgos del Proyecto.
PO10.10 Plan de Calidad del Proyecto.
PO10.11 Control de Cambios del Proyecto.
PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento.
PO10.13 Medicin del Desempeo, Reporte y monitoreo del proyecto

AI5 Adquirir recursos de TI

AI5.1 Control de Adquisicin.
AI5.2 Administracin de Contratos con Proveedores.
AI5.3 Seleccin de Proveedores.
AI5.4 Adquisicin de Recursos de TI.

DS12 Entregar y dar soporte

DS12.1 Seleccin y diseo del centro de datos
DS12.2 Medidas de seguridad fsica
DS12.3 Acceso Fsico
DS12.4 Proteccin contra factores ambientales
DS12.5 Administracin de instalaciones Fsicas

ME4 Proporcionar gobierno de TI

ME4.1 Establecimiento de un Marco de Gobierno de TI.
ME4.2 Alineamiento Estratgico.

ME4.3 Entrega de Valor.

ME4.4 Administracin de Recursos.
ME4.5 Administracin de Riesgos.
ME4.6 Medicin del Desempeo.
ME4.7 Aseguramiento Independiente.

AI2 Adquirir y mantener software aplicativo

HERRAMIENTA
Entrevista
1. Se realiz algn procedimiento para comprobar que los aplicativos
cumplan con los requerimientos del negocio?
No
2. En las compras de aplicaciones se ha verificado que el software
cumpla con las legislaciones y regulaciones?
Si, antes de adquirir un SW se realiza un estudio en donde unas de
las cosas que se determina es que cumpla con las leyes que lo
regulan
3. Existe algn procedimiento de gestin de cambios de requerimientos
durante el desarrollo y compra de aplicativos?
La empresa no desarrolla SW, pero al comprar aplicativos si se
realiza la gestin de cambios pertinente
4. Existe algn plan para el mantenimiento de aplicaciones de software?
Si se realizan peridicamente
5. Existe un anlisis entre diferentes aplicativos TI, que involucre anlisis
de costo inicial, consto en el tiempo, funcionalidades, soportes y
consultoras?
Si realiza un anlisis previo, cuando se adquiere SW para la
empresa
6. Se han identificado claramente las necesidades del negocio y con qu
mdulos del aplicativo se solucionan?

La solucin informtica utilizada suple las necesidades de la

organizacin
7. Existe un plan de gestin de riesgos de seguridad de la aplicacin
aprobado por la direccin?
No, no contamos con este
8. Existe un plan implementacin y configuracin de las aplicaciones
adquiridas
No, cuando se compra SW la empresa desarrolladora se encarga de
implementarla y configurarla

MODELO DE MADUREZ
2 Repetible pero intuitivo
Existe alguna conciencia acerca de las reglamentaciones que se deben
tener en cuenta para la adquisicin e implementacin de Software en la
empresa, incluso se realizan sesiones de mantenimiento peridicamente
y se analizan las necesidades del negocio para adquisiciones de este
tipo.
OBSERVACIONES
Aunque la empresa tiene en cuenta las necesidades del negocio y las
normativas al momento de realizar planes de adquisicin de software
para dar satisfaccin a dichas necesidades, es necesario que se realice
un plan de gestin de riesgos, permitiendo a la direccin comprometerse
con las problemticas que se puedan presentar.

PO10 Administrar proyectos

HERRAMIENTA
Entrevista.
1. En qu medida la organizacin ha integrado formalmente los proyectos
en el trabajo?
Los proyectos de TI se ejecutan segn criterios de la empresa, ya
sean para optimizar o apoyar los procesos.
2. Tiene la organizacin una poltica escrita sobre Proyectos?
No, no existe una poltica estructurada

3. Imparte la organizacin formacin sobre Proyectos?

Si, dentro de la gerencia de planta se formulan proyectos despus
de un estudio en el rea de investigacin de la empresa
4. Se realizan los proyectos a tiempo y dentro del presupuesto?
En ocasiones se realizan exitosamente, algunos no culminan en el
tiempo presupuestado
5. Existe una definicin clara y documentada del alcance de cada
proyecto?
Si, se define de forma escrita cada proyecto con sus objetivos y
alcances
6. Estn claramente identificados los riesgos de cada proyecto as como
los mecanismos que minimizan estos riesgos?
Si, estos estn incluidos dentro del informe inicial de cada
proyecto, los cuales son tenidos en cuenta para que el proyecto
sea aceptado
7. Existe un plan de Calidad de cada proyecto debidamente aprobado por
todas las partes interesadas?
El plan de calidad tambin esta incluido en el informe del proyecto,
con el objetivo de garantizar el cumplimiento 100% del proyecto
8. Los cambios en cronograma, costos, alcance, calidad del proyecto son
debidamente documentados?
Si cada cambio que se realice durante la ejecucin del proyecto
debe ser informado y documentado previamente

MODELO DE MADUREZ
3 Definido
En la empresa se establece una conexin entre los proyectos de TI y los
procesos de la misma, en busca de su optimizacin, adems se ha
establecido un plan de calidad para asegurar el cumplimiento de los
proyectos establecidos, para los cuales se desarrollan procesos de
monitorizacin y de control de cambios.

OBSERVACIONES

En trminos generales la empresa se encuentra bien en el cumplimiento

de este objetivo, ya que se tiene muy en cuenta el plan que se debe
seguir para el desarrollo de los proyectos de TI, a partir de los estudios
realizados en la empresa, aunque no se cuenta con una poltica formal y
bien definida para el desarrollo de este tipo de proyectos lo que sera
muy importante y debera ser tenido en cuenta por la administracin de
la empresa.

AI5 Adquirir recursos de TI

HERRAMIENTA
Entrevista
1. Existen polticas para la adquisicin de los recursos de TI en la
organizacin?
Si
2. Existen procesos de capacitacin de personal para el manejo de procesos
relacionados con la adquisicin de recursos?
Si, contamos con personal capacitado para realizar un anlisis
estricto para adquirir TI
3. Qu criterios se tienen en cuenta al momento de adquirir recursos y como
se asegura que estos representen un beneficio para la Organizacin?
Se realiza un anlisis de costo beneficio para saber que viabilidad
tiene para implementarla en la organizacin.
4. Existe alguna funcin especfica que controle la entrada ilegal de recursos
de TI, es decir que vaya en contra de las polticas establecidas por la
Organizacin para ello?
Si, todo recurso de TI que entra a la organizacin debe estar acorde
a las polticas que define el PETI
5. Qu tipo de documentacin se realiza para registrar formalmente la
adquisicin de recursos tecnolgicos y toda la informacin relacionada?

6. Qu procedimientos y controles de seguridad existen para la evaluacin,

seleccin y adquisicin de software?
7. Qu tipo de aprobaciones (o de quien) se tienen en cuenta para adquirir
recursos tecnolgicos?
Va desde el gerente de tecnologas y el financiero, pero quien
determina la ltima palabra es el gerente general
MODELO DE MADUREZ
4 Administrado y medible
En la empresa se establecen las polticas y procedimientos necesarios para la
adquisicin de recursos de TI, dentro de los cuales se incluyen las
capacitaciones pertinentes, que permiten que estos sean utilizados
adecuadamente.
OBSERVACIONES
El proceso de adquisicin de recursos de TI est bien definido en la empresa y
por tanto en el plan de accin, garantizando la seguridad y justicia para la
organizacin y dems entidades

DS12 Entregar y dar soporte

HERRAMIENTA
Cuestionario
1.

Se definieron y disearon centros de datos para el equipo de TI y se

tuvieron en cuenta las normas de seguridad fsica y las leyes de
seguridad y de salud en el trabajo?

SI_X_ NO____ N/A____

OBSERVACIONES:
____________________________________

2.
Se definieron e implementaron medidas de seguridad fsica alineadas
con los requerimientos del negocio?

Permetro de seguridad

Zonas de seguridad

Ubicacin de equipo crtico

reas de envo y recepcin

Responsabilidades del monitoreo

Procedimientos de reporte y de resolucin de incidentes

SI__X___ NO____ N/A____

OBSERVACIONES:
__________________________________________________

3.
Se disearon e implementaron medidas de proteccin contra factores
ambientales y equipo especializado para monitorear y controlar el ambiente?

SI__X___ NO____ N/A____

OBSERVACIONES:
__________________________________________________

4.
Se administran las instalaciones y equipo de comunicaciones y
energa, de acuerdo con los reglamentos, requerimientos tcnicos y
lineamientos de seguridad y salud?

SI__X___ NO____ N/A____

OBSERVACIONES:
__________________________________________________

5.
Se definieron e implementaron procedimientos para otorgar, limitar y
revocar el acceso a locales, edificios y reas de acuerdo con las necesidades
del negocio?

SI__X___ NO____ N/A____

OBSERVACIONES:
_____existen buenas polticas de seguridad_______________

6.
Se ha minimizado el tiempo que se encuentra sin servicio el negocio
debido a incidentes ambientales?

SI_____ NO____ N/A__X_

OBSERVACIONES:
__no se ha realizado un estudio del caso______________________

7. Se han minimizado los riesgos de seguridad debido a incidentes de

seguridad fsica o fallos, violaciones a la seguridad y acceso no autorizado?
SI_____ NO____ N/A__X__
OBSERVACIONES:
___no se ha realizado un estudio del caso_____________

8. Se elaboran bitcoras de mantenimiento de alarmas y pruebas de

simulacro, de intrusin y deteccin en instalaciones y cobertura de los
guardias?

SI_____ NO_X__ N/A____

OBSERVACIONES:
__________________________________________________

MODELO DE MADUREZ
3 Definido
La empresa entiende la necesidad de mantener un ambiente de cmputo
controlado, realizando mantenimientos preventivos y controlando las amenazas
ambientales. Se cumplen los reglamentos de seguridad
OBSERVACIONES
La empresa cuenta con un buen nivel de seguridad, sin embargo se deben
implementar planes de contingencia para garantizar la continuidad del negocio

en caso de que la prestacin de servicios se vea interrumpida por incidentes de

seguridad fsica, violaciones de seguridad o accesos no autorizados.

ME4 Proporcionar gobierno de TI

HERRAMIENTA
Entrevista:
1. Cules son los objetivos de TI y como ayudan a cumplir con los
objetivos del negocio?

Servir de apoyo para todas las reas de la organizacin

Mejorar la calidad de los recursos humanos en el rea de sistemas
Obtener resultados medibles de las tecnologas incorporadas.
2. Cmo se rinden cuentas ante la direccin, de las gestiones realizadas
en TI?
Se tiene documentacin de cada una de las fases gestionadas en
los proyectos
3. La direccin consulta con el departamento de Tecnologa acerca
decisiones estratgicas que se toman en el negocio?
Si
4. Qu actitud tiene la gerencia en cuanto a la inversin en tecnologa?
La gerencia est abierta a todas las propuestas de tipo tecnolgico
realizadas por parte del rea de sistemas, estas propuestas se
evalan y se mide la factibilidad de que se conviertan en proyectos
a desarrollar.
5. Cmo garantiza el cumplimiento de las regulaciones legales relevantes
y las polticas de la organizacin?
Existen polticas de seguridad que garantizan la legalidad y el
manejo interno de las TI en la organizacin.

Cuestionario.
1. Existe un PETI aprobado por la direccin el negocio?
SI
2. En el PETI se tiene en la cuenta las leyes y regulaciones?

SI
3. Se presenta a la direccin, peridicamente informes de metas y
objetivos alcanzados?
NO, se realiza peridicamente
4. Se ha definido un procedimiento de rendicin de cuentas ante la
direccin?
No
5. Existen actas de comits de gerencia o similares a los cuales asista el
departamento de TI?
No se tiene conocimiento de ello
6. Existen estudios de impacto en los cuales se identifique el efecto de los
planes de TI sobre la operacin del negocio?
Si, en el PETI, se estiman los beneficios que aporta el rea de
sistemas a cada una de las dems reas de la empresa.
7. La evaluacin del riesgo TI est integrada a la evaluacin del riesgo de
toda la empresa?
Si, cuando se realiza cualquier actividad en el rea de sistemas se
tiene en cuenta el efecto que esta ocasiona al negocio.
8. Existen evaluaciones del proceso de TI por parte de otras unidades
funcionales de la empresa?
Si
.
9. Existe un procedimiento que garantice un ambiente de desarrollo y
pruebas que soporte la efectividad y eficiencia de las mismas?
Si, existen equipos de trabajo bien definidos con labores
especficas dentro del rea de sistemas
10. Existe algn documento que defina claramente las caractersticas
mnimas de los recursos de la organizacin para garantizar el correcto
funcionamiento del las soluciones TI?
Si, en el PETI existe una regulacin de especificaciones de HW que
soporte el SW utilizado y en las polticas de seguridad del rea de
sistemas se mencionan regulaciones para los ambientes de trabajo

(infraestructura fsica) y especificaciones de SW, HW y redes, para

garantizar la efectividad de los ambientes TI.
MODELO DE MADUREZ
4 Administrado y medible
La empresa tiene un claro entendimiento acerca de quien es el cliente y se
definen los acuerdos de niveles de servicio. Las responsabilidades son
claras y la propiedad de procesos esta establecida. Los procesos de TI y el
gobierno de TI estn alineados con la estrategia corporativa de TI. El
gobierno de TI ha sido integrado con los procesos de planeacin
estratgica y operativa, as como a los procesos de monitoreo.
OBSERVACIONES
El rea de sistemas de la organizacin trabaja de forma articulada con la
direccin en busca de los objetivos de negocio de forma que se garantizan
las buenas prcticas en el desarrollo de sus actividades.