Documentos de Académico
Documentos de Profesional
Documentos de Cultura
08-Auditoria de Sist
08-Auditoria de Sist
Ingeniera de Sistemas
ASIGNATURA: Auditora de Sistemas
2011
CRDITOS
El mdulo de estudio de la asignatura Auditoria de Sistemas del Programa Ingeniera de sistemas es propiedad de la
Corporacin Universitaria Remington. Las imgenes fueron tomadas de diferentes fuentes que se relacionan en los
derechos de autor y las citas en la bibliografa. El contenido del mdulo est protegido por las leyes de derechos de
autor que rigen al pas.
Este material tiene fines educativos y no puede usarse con propsitos econmicos o comerciales.
AUTOR
Elizabeth Daz Duque
Ingeniera de Sistemas de la Universidad EAFIT Medelln
Especialista en Pedagoga de la Virtualidad de la Fundacin Universitaria Catlica del Norte
Diplomatura en Ambientes Virtuales de Aprendizaje
Jefe de rea de Informtica y Tecnologa del Colegio Gimnasio Los Pinares de Medelln, docente durante los ltimos 5
aos ediazduque@gmail.com
Nota: el autor certific (de manera verbal o escrita) No haber incurrido en fraude cientfico, plagio o vicios de autora; en
caso contrario eximi de toda responsabilidad a la Corporacin Universitaria Remington, y se declar como el nico
responsable.
RESPONSABLES
Jorge Mauricio Seplveda Castao
Director del programa Escuela de Ciencias Bsicas e Ingeniera
Director Pedaggico
Octavio Toro Chica
dirpedagogica.director@remington.edu.co
Coordinadora de Medios y Mediaciones
Anglica Ricaurte Avendao
mediaciones.coordinador01@remington.edu.co
GRUPO DE APOYO
Personal de la Unidad de Medios y Mediaciones
EDICIN Y MONTAJE
Primera versin. Febrero de 2011.
Derechos Reservados
Esta obra es publicada bajo la licencia CreativeCommons. Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
TABLA DE CONTENIDO
1.
2.
2.1.
2.2.
2.3.
3.
3.1.
3.2.
4.
4.1.
4.2.
4.3.
4.4.
Glosario ................................................................................................................................. 96
4.5.
Bibliografa ............................................................................................................................ 97
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
1. MAPA DE LA ASIGNATURA
AUDITORA DE SISTEMAS
PROPSITO GENERAL DEL MDULO
Con este mdulo de trabajo se pretende hacer una introduccin a los estudiantes hacia
el concepto de auditoras en el campo de los diferentes sistemas, y que a travs de las
ejemplificaciones expuestas, los educandos pueden tener una idea general de cmo se
evalan a las organizaciones en el departamento de sistemas.
OBJETIVO GENERAL
Introducir a los estudiantes en el contexto de un sistema, y que comprenda el concepto
de valoracin de las fortalezas y debilidades del mismo y que sea capaz del diseo de
controles que eviten posibles errores, preservando el correcto alcance de los objetivos
del sistema
OBJETIVOS ESPECFICOS
Conocer los instrumentos bsicos que permitan la deteccin de debilidades y
posibles riesgos en los diferentes Sistemas de una organizacin.
Comprender cmo se lleva a cabo una auditora de acuerdo con las directrices de
las Auditorias de Sistemas generalmente aceptadas para que la tecnologa de
informacin de la organizacin y los sistemas empresariales sean
adecuadamente controlados, vigilados y evaluados.
Evaluar las directrices para una auditora de sistemas, adems de su aplicabilidad
en una organizacin
UNIDAD 1
UNIDAD 2
QU ES LA AUDITORA
DE SISTEMAS
-DESARROLLO
CONCEPTUAL-
OBJETIVOS GENERALES DE
LA
AUDITORA
DE
SISTEMAS
-DESARROLLO
CONCEPTUAL-
UNIDAD 3
AUDITORAS
SISTEMAS
DE
-ESTUDIO DE CASOS
APLICABLES-
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
2. QU ES LA AUDITORA DE SISTEMAS?
OBJETIVO GENERAL
Conocer los instrumentos bsicos que permitan la deteccin de debilidades y posibles riesgos en
los diferentes Sistemas de una organizacin.
OBJETIVOS ESPECFICOS
Introducir a los estudiantes al concepto general de la auditora de sistemas.
Plantear los conceptos generales de una auditora de sistemas para contextualizar a los
estudiantes en dicho campo.
Presentar el papel o rol principal de un auditor de sistemas en los procesos de auditoras.
Prueba Inicial
Resuelve el siguiente acertijo, El acertijo dice as:
Tenemos 5 casas de cinco colores diferentes y en cada una de ellas vive una persona de una
nacionalidad diferente.
Cada uno de los dueos bebe una bebida diferente, fuma una marca de cigarrillos diferente y tiene
una mascota diferente.
Tenemos las siguientes claves:
El britnico vive en la casa roja.
El sueco tiene un perro.
El dans toma t.
La casa verde est a la izquierda de la blanca.
El dueo de la casa verde toma caf.
La persona que fuma Pall Mall tiene un pjaro.
El dueo de la casa amarilla fuma Dunhill.
El que vive en la casa del centro toma leche.
El noruego vive en la primera casa.
La persona que fuma Brends vive junto a la que tiene un gato.
La persona que tiene un caballo vive junto a la que fuma Dunhill.
El que fuma Bluemasters bebe cerveza.
El alemn fuma prince.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
1. QU ES LA AUDITORA DE SISTEMAS?
a. DEFINICIN
b. CONCEPTOS GENERALES
c. ROL DEL AUDITOR DE SISTEMAS
2. OBJETIVOS DE UNA AUDITORA DE SISTEMAS
3. LA FUNCIN DE LA AUDITORA EN LA ORGANIZACIN
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
EVALUACIN: consideremos sta como aquella accin encargada de darle la estimacin o grado
de valor a algo.
Consideremos tambin que no todo es medible desde el campo numrico, pero si desde lo
cualitativito puede darse una estimacin a lo evaluado.
Ejemplos: Numricael 80% del personal est a gusto con el servicio recibido.
CualitativaEl servicio fue evaluado como muy bien prestado.
VERIFICACIN: es entendida como aquella accin que permite examinar y comprobar la verdad o
validez de algo.
Ejemplo: Se considera un nmero par, a todo aquel que puede ser divisible por dos (2) y su
resultado es una divisin exacta. Luego el nmero 10 es par. Verificacin 10/2=5.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Ejercicio
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
EJERCICIO DE APRENDIZAJE:
Haga una lista de 5 objetivos que pretenda alcanzar la auditora planeada en la organizacin.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Ejercicio de aprendizaje
Defina en 5 lneas, 2 funciones bsicas que cumplira una auditora en cualquiera organizacin.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
3. LA AUDITORA DE SISTEMAS
OBJETIVO GENERAL
Comprender cmo se lleva a cabo una auditora de acuerdo con las directrices de las Auditorias de
Sistemas generalmente aceptadas para que la tecnologa de informacin de la organizacin y los
sistemas empresariales sean adecuadamente controlados, vigilados y evaluados.
OBJETIVOS ESPECFICOS
Introducir a los estudiantes en la planeacin general y adecuada de una auditora de
Sistemas.
Analizar los respectivos controles que maneja toda auditora de sistemas.
Conocer la metodologa que debe tenerse en cuenta para que una auditora de sistemas
sea exitosa.
Prueba Inicial
En la Unidad 1 leste lo que es una auditora de Sistemas, escribe 5 actividades, que usted como
auditor hara previamente a la realizacin de una auditora.
Actividad 1: __________________________________________________
Actividad 2: __________________________________________________
Actividad 3: __________________________________________________
Actividad 4: __________________________________________________
Actividad 5: __________________________________________________
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Investigacin Preliminar
Ahora veamos que se necesita para Dimensionar la estructura a Auditar:
1. En el rea de Sistemas:
a. Objetivos a Largo plazo
b. Objetivos a Corto Plazo
2.
a.
b.
c.
d.
e.
f.
g.
h.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
CASO 3: La Organizacin cuenta con la informacin, pero sta est incompleta, desactualizada,
inadecuada, no se usa.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
EL PERSONAL PARTCIPANTE
Este es otro aspecto que es fundamental dentro de la planeacin de una auditora de sistemas,
pues es el personal con sus caractersticas de quienes participan en estos procesos los que
aseguran en gran parte el xito de las auditoras.
En este caso, la mayora del personal que se busca para la realizacin de los procesos de auditoras
debe ser personal altamente capacitado, con valores ticos para ejercer su trabajo con rectitud y
as mismo podrsele retribuir justamente por su trabajo.
Con estos requisitos mencionados anteriormente, adems de considerar las caractersticas de sus
buenos conocimientos, prctica y profesionalismo podramos decir que se cuenta con un personal
idneo para intervenir en las auditoras.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
No se puede olvidar que las organizaciones cuentan con muy buen talento humano que puede
llevar a cabo los procesos de auditoras y poder proporcionar y programar las reuniones o las
actividades necesarias o requeridas. Adems que la alta gerencia debe garantizar al auditor, todo
el apoyo necesario a travs del uso de todo el personal multidisciplinario con el que cuente la
organizacin para asistir en la actividades programas y poder garantizar la obtencin de la
informacin en el momento indicado.
Tambin se debe contar con algn personal que sea discriminado por los diferentes usuarios del
sistema, pues es necesario que cuando el auditor solicite diferentes tipos de informacin para el
anlisis de algunas de las premisas planteadas para dicha evaluacin, se pueda contar con no slo
el punto de vista del rea de sistemas, sino tambin de los mismos usuarios de estos sistemas.
Ahora veamos un ejemplo de personal con algunas de las caractersticas requeridas, que se
sugiere para dicho trabajo:
Un tcnico en sistemas/Informtica, con experiencia en dicha rea, adems de
conocimiento y experiencia en el anlisis de sistemas. Pero sobre todo conocimiento de
los sistemas claves de la organizacin.
Ahora, si se viera involucrado el auditor en un caso de sistemas con alta complejidad, es
indispensable contar con un experto bien sea den Telemtica, Bases de Datos, u otras reas afines.
EJERCICIO DE APRENDIZAJE:
1. Mencione y explique al menos 2 de los casos posibles que se pueden presentar en la solicitud
de informacin en una auditora.
2. Escriba 4 recomendaciones para un buen auditor.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
CONTROLES DETECTIVOS
Estos controles tienen una caracterstica especial y es que no evitan las fallas, slo las detectan.
Estos son una gran herramienta para el auditor puesto que le permite la evaluacin de los
controles preventivos.
CONTROLES CORRECTIVOS
Estos ayudan a la correccin e investigacin de las causas de las fallas. La correccin en s puede
ser difcil e ineficiente en s misma, pues la correccin de errores es una actividad con un
porcentaje alto de errores en s, por esto, es necesario en muchos casos aplicar controles
detectivos en los mismos controles correctivos.
Ejemplo: Jornada de formacin y capacitacin sobre las posibles consecuencias futuras que le
implica a la organizacin la falta en la realizacin de las copias de seguridad.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Tipos de Controles
EJERCICIO DE APRENDIZAJE:
1. Defina en sus propias palabras lo que es un control.
2. Escriba 2 ejemplos de alguno de los tipos de controles.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Ir comparando las actividades que se van ejecutando con aquellas que se planearon, pero
esto se hace al tiempo que se va analizando si hay retrasos y se determinan las causas de
los mismos adems de posibles correcciones.
Comprometer al cuerpo administrativo de la organizacin con la realizacin y puesta en
marcha del proceso de auditoras.
Suministrar constantemente informacin actualizada y consistente para poder liderar un
proceso armnico.
Proponer y trabajar por la optimizacin de todos los recursos involucrados en el proceso
de auditora.
Evitar a toda costa la improvisacin
Veamos el siguiente grfico que nos resume los objetivos de la planeacin de la auditora de
sistema.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
La falta de planeacin es el principal factor de los errores y retrasos, costos elevados y la baja
calidad del proceso de auditora; por ello se hace necesario una buena y dedicada planeacin y
que el auditor conozca la organizacin, el auditado y mientras ms profundo este conocimiento,
mucho mejor sern los resultados.
Aunque la experiencia ha mostrado que as los auditores conozcan mucho la organizacin
auditada, este conocimiento no es suficiente en comparacin con los empleados de la
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
organizacin que llevan largos perodos de tiempo en sta; pero en s, lo importante es tener el
conocimiento necesario que le permita al auditor identificar todos los factores que puedan verse
involucrados en la planeacin de la auditora.
Pero adems de lo anterior, es necesario que el auditor tenga algn nivel de conocimiento de la
razn o sector industria de la organizacin, del negocio en s, de sus clientes y de todo aquello que
se considere vaya a tener algn efecto sobre la informacin a evaluar.
En esta etapa de planeacin, se deben enfocar los esfuerzos en la recopilacin de la mayor
cantidad de informacin posible sobre la Organizacin, para que esta le sirva para formular el plan
de auditoras y obviamente para la ejecucin posterior de la auditora.
Algunos aspectos a tener en cuenta sobre el tipo de informacin a recolectar sobre la
organizacin, podran ser:
Caractersticas Generales de la empresa (sector industria, qu hacen, organigrama).
Recursos informticos relacionados a cada rea (descripcin de Hardware y Software).
Conceptos relacionados con la auditora
Para lograr una efectiva planeacin de la auditora, es muy necesario obtener la informacin
necesaria pero de manera selectiva, haciendo uso de mecanismos como las entrevistas, encuestas.
Estos mtodo son muy efectivos, pero todo depende de que tanta habilidad se posea para la
accin de entrevistar y obtener la mayor cantidad de datos que de sta se pueda obtener.
Una buena forma de tener xito con las entrevistas, es planear el esquema de la entrevista,
haciendo el formulario de esta.
Un ejemplo de este formulario o derrotero de preguntas para llevar a cabo la entrevista podra
ser:
Cmo est constituida esta empresa? (Organigrama).
Con qu tipo de quipos cuenta la empresa (hardware), y cmo estn distribuidos?
Con qu tipo de programas o aplicaciones (Software) cuenta la empresa?
Qu otro tipo de programas o aplicaciones la empresa ha identificado como que hacen
falta por implementar?
Alguien del personal de la organizacin ha estado involucrado en el desarrollo de las
aplicaciones de la organizacin? (si s, cmo particip).
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
La siguiente grfica resume las tcnicas que se pueden utilizar para encontrar la informacin
necesaria para el proceso de auditora:
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
4. AUDITORAS DE SISTEMAS
OBJETIVO GENERAL
Evaluar las directrices para una auditora de sistemas, adems de su aplicabilidad en una
organizacin
OBJETIVOS ESPECFICOS
Establecer las pautas para la realizacin de una auditora de sistemas.
Analizar algunos ejemplos de auditoras de sistemas como medio para ver la aplicacin de
la teora de auditoras en el campo de la informtica.
Prueba Inicial
Complete los pasos con el smbolo de interrogante () siguiendo el orden lgico que usted creera
son las fases (recuadro en rojo), para desarrollar una auditora.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Inicio
Fin
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
rea de sistemas
Organigrama de la Organizacin
Equipos de la Organizacin
Sistemas de la Organizacin
Sistema de Redes y Telecomunicacin
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
3. Algunos de los documentos que se deben solicitar a la organizacin para dicha actividad
preliminar son:
Lista de aplicaciones de la organizacin
Lista de los empleados de la organizacin (con estado activo o despedidos durante el
tiempo que ha transcurrido desde la ltima auditora hasta esta)
Informacin de los usuarios de los sistemas y sus respectivos privilegios
Lista de chequeo o revisiones del sistema
Polticas de seguridad de los sistemas de la organizacin
Polticas de seguridad de la Organizacin.
Documentos de configuracin de los sistemas (con los respectivos cambios hechos)
Lista de los Roles de los administradores del sistema y la seguridad de los mismos.
Planes de cualificacin y capacitacin del personal
Los reportes de las auditoras anteriores
4. Para comenzar el trabajo de estudio de la auditora de sistemas, veamos este proceso
organizado por partes as:
5. Instalacin y configuracin de los equipos
Polticas para la instalacin y la configuracin inicial.
Configuracin de los servicios como.
Configuracin de los parmetros de seguridad.
Los sistemas de archivos.
Las particiones y sus configuraciones.
Los programas (SW) instalado.
6. Seguridad Fsica
Acceso del personal al departamento de sistemas y a la sala de telecomunicaciones
(closet de los servidores).
Sealizacin.
Instalacin del sistema elctrico.
Estado UPS
Almacenamiento de cintas, discos y documentacin
Entorno del closet de telecomunicaciones (temperatura, humedad, ventilacin).
Ubicacin de equipos.
Aseo.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
7. Seguridad Lgica
Control de acceso a objetos del sistema.
Archivos con permisos especiales.
Mecanismos de identificacin y autenticacin.
Administracin de usuarios.
Administracin de cuentas.
Perfiles de los usuario.
Control de usuarios especiales.
Manejo de cuentas especiales.
Proceso de encendido /apagado y de inicio y cierre de sesin.
Proceso de arranque del sistema.
Cifrado de datos
Acceso remoto.
8. Documentacin del Sistema
Polticas y estndares de los procesos relacionados con el sistema a auditar
Polticas de seguridad de la organizacin.
Manuales del sistema a auditar.
Manuales de procedimientos.
Manuales de usuario.
Manuales de funciones.
Documentacin de la instalacin y configuracin inicial del sistema a auditar.
Pliza de seguros para los sistemas y los equipos.
9. Mantenimiento y soporte
Soporte por parte del proveedor.
Control de la realizacin de tareas de mantenimiento.
Planes de mantenimiento lgico y fsico.
Contratacin de mantenimiento y soporte.
Actualizaciones realizadas a los equipos (HW).
Actualizaciones realizadas.
10. Aspectos administrativos
Estructura de la Organizacin (organigrama).
Definicin de roles y funciones.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
EJERCICIO DE APRENDIZAJE:
1. Explique en sus palabras, por qu debe hacerse el seguimiento a los informes de auditoras?
2. En cules casos consideras no es necesario hacer seguimiento?
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Con los anteriores casos que nos presentaron en el anterior artculo, debemos recordar que toda
la informacin de la empresa es muy importante y hoy en da es parte de los activos de la
organizacin, y as mismo debe invertirse en la proteccin de la misma, y esto es bien logrado con
unos procesos de auditora de sistemas.
Estas auditoras entran en especial funcionamiento en el momento en el que hay grandes cambios
fuertes en los sistemas de la organizacin.
Las organizaciones a travs de sus auditoras internas, pueden ir evaluando sus procesos y la
seguridad de sus sistemas informticos.
As mismo la organizacin debe acudir a las auditoras externas cuando se percibe debilidad en la
ejecucin de los procesos de la misma. Algunos tems que nos podran llamar la atencin para
aplicar una auditora externa, de acuerdo al portal de Auditora de Sistemas en:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/ son:
SNTOMAS DE DESCOORDINACIN Y DESORGANIZACIN:
No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.
Los estndares de productividad se desvan sensiblemente de los promedios conseguidos
habitualmente.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Seguridad Fsica
Confidencialidad: [Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales]
EJERCICIO DE APRENDIZAJE:
Realice un mapa conceptual donde explique los casos donde debe considerarse una auditora
externa.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Ahora veamos un ejemplo de un caso de estudio (Auditora de Sistemas) realizada por un grupo de
estudiantes de la Universidad de Caldas, a una empresa de Lcteos, en el proceso de
Administracin de datos. (En: http://ingenieria.ucaldas.edu.co/auditoria/index.php/Grupo_7).
Ejemplo auditora
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lcteos
Ltda. Ha hecho a Chauditoria Consultores S.A, en su afn de detectar posibles sntomas de
debilidad y de evaluar la eficiencia y efectividad en sus procesos de administracin de datos.
1. GUA AUDITORA
Objetivos de Control
Planificar la infraestructura tecnolgica.
Supervisar las futuras tendencias y regulaciones.
Tener planes de contingencia de la infraestructura tecnolgica.
Tener planes de adquisiciones de hardware y software.
Poseer estndares tecnolgicos.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Obtencin de Conocimiento
Recurso Humano a consultar
Gerente General Jefe del Departamento de Finanzas Gerencia de Sistemas
Informacin a conocer
Polticas y procedimientos relacionados con planificacin y el seguimiento de la
infraestructura tecnolgica.
Tareas y responsabilidades de planificacin de la direccin.
Objetivos a largo y corto plazo de Natura Lcteos.
Objetivos a largo y corto plazo de la tecnologa de la informacin.
Plan de adquisicin de hardware y software de Natura Lcteos.
Plan de infraestructura tecnolgica.
Informes de estado y actas de reuniones del comit de planificacin.
2. Aspectos a Evaluar
Evaluacin de los controles, considerando si:
Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica
para confirmar que los cambios propuestos estn siendo examinados primero para evaluar los
costos y riesgos inherentes, y que la aprobacin de la Direccin se obtiene antes de realizar
cualquier cambio en el plan.
El plan de infraestructura tecnolgica est siendo comparado con los planes a largo y corto plazo
de la tecnologa de la informacin.
Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para
asegurar que abarca aspectos tales como la arquitectura de sistemas, la direccin tecnolgica y las
estrategias de migracin.
La poltica y procedimientos de los servicios de informacin aseguran la consideracin de la
necesidad de evaluar y realizan un seguimiento de las tendencias y condiciones regulatorias
tecnolgicas presentes y futuras, y si stas se tienen en consideracin durante el desarrollo y
mantenimiento del plan de infraestructura tecnolgica.
Se planifican el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de los servicios de informacin aseguran que se considera la
necesidad de evaluar sistemticamente el plan tecnolgico con respecto a contingencias (por
ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
El acceso permitido es consistente con los niveles de seguridad definidos en las polticas y
procedimientos de los servicios de informacin, y se ha obtenido la autorizacin apropiada para el
acceso.
Evaluacin del riesgo
Llevando a cabo:
Mediciones ("Benchmarking") de la planificacin de la infraestructura tecnolgica en relacin con
organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la
industria del sector.
Una revisin detallada del diccionario de datos para verificar que est completo en lo referente a
elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos confidenciales.
Identificando:
Inconsistencias en el modelo de la arquitectura de la informacin y en el modelo y el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto
plazo de la tecnologa de la informacin. Elementos del diccionario de datos y reglas de sintaxis de
datos obsoletos.
Contingencias que no han sido consideradas en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de la tecnologa de la informacin que no reflejan
las necesidades del plan de infraestructura tecnolgica.
Estndares de la tecnologa que no son consistentes con el plan de infraestructura tecnolgica o
con los planes de adquisicin de hardware y software de la tecnologa de la informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de la
tecnologa de la informacin que no son consistentes con los estndares de la tecnologa.
Elementos clave omitidos en el diccionario de datos.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Ejemplo auditora 1
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lcteos
Ltda. Ha hecho a Chauditoria Consultores S.A, en su afn de detectar posibles sntomas de
debilidad y de evaluar la eficiencia y efectividad en sus procesos de administracin de datos.
1. GUA AUDITORA
Objetivos de Control
Definir los requerimientos de la informacin.
Formular las acciones alternativas.
Formular las estrategias de Adquisicin.
Saber cules son el requerimiento de servicios de terceros (mantenimiento de
impresoras).
Estudiar de Viabilidad Tecnolgica.
Estudiar de Viabilidad Econmica.
Informe de Anlisis de los riesgos.
Controles de Seguridad Eficaces en costo.
Ergonoma. Seleccin del Software del Sistema.
Control de Abastecimiento.
Aceptacin de Instalaciones.
Aceptacin de la Tecnologa.
Obtencin de Conocimiento
Recurso Humano a consultar:
Gerente de sistemas Jefe rea de seguridad informtica Jefe rea de proyectos
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Informacin a conocer:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de los sistemas.
Objetivos y planes a corto y largo plazo de la tecnologa de la informacin.
Documentacin seleccionada del proyecto, incluyendo definicin de requerimiento,
anlisis de alternativas, estudios de viabilidad tecnolgica,
Estudios de viabilidad econmica, anlisis de modelos de datos de la empresa y
arquitectura de la informacin, anlisis de los riesgos, estudios de economa sobre control
y seguridad interna, anlisis de pistas de auditora, estudios ergonmicos, y planes de
aceptacin y resultados de pruebas de instalaciones y tecnologa especfica.
Aspectos a Evaluar
Evaluacin de los controles, considerando si:
Existen polticas y procedimientos que requieren que:
Los requerimientos de los usuarios satisfechos por el sistema existente o a ser satisfechos
por el nuevo sistema propuesto o modificado estn claramente definidos antes de la
aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin.
Los requerimientos de los usuarios son revisados y aprobados por escrito antes de la
aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin.
Los requerimientos operativos y funcionales de la solucin son satisfechos incluyendo
rendimiento, seguridad, confiabilidad, compatibilidad y legislacin.
Las soluciones alternativas a los requerimientos de los usuarios son estudiadas y se
estudian y analizan antes de seleccionar una u otra solucin de software.
Se lleva a cabo la identificacin de paquetes de software comercial que satisfacen los
requerimientos para un proyecto especfico de desarrollo o modificacin antes de tomar la
decisin final.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos
por el sistema nuevo o modificado han sido claramente definidos, revisados y aprobados
por escrito por parte del usuario antes del desarrollo, implementacin o modificacin del
proyecto.
Los requerimientos de las soluciones funcionales se satisfacen incluyendo rendimiento,
seguridad, confiabilidad, compatibilidad y legislacin.
Todas las debilidades y deficiencias de procesamiento en el sistema existente son
identificadas y tomadas en cuenta y resueltas completamente por el sistema nuevo o el
modificado.
Los cursos alternativos que satisfacen los requerimientos de los usuarios, establecidos
para un sistema nuevo o modificado, son analizados apropiadamente.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
El acuerdo de compra del software cuando sea requerido permite al usuario tener una
copia del cdigo fuente del programa, aplica las actualizaciones, renovaciones de la
tecnologa y los "fixes" son especificados en los documentos de adquisicin.
Los productos adquiridos son revisados y probados antes de ser usados y pagados
completamente.
El personal de programacin trabaja sujetndose al mismo nivel de pruebas, revisin y
aprobaciones que se exige a los programadores propios de la organizacin.
La funcin para asegurar la calidad de la organizacin es responsable de la revisin y
aprobacin del trabajo llevado a cabo por los programadores.
Es suficiente el plan de aceptacin de las instalaciones, incluyendo los procedimientos y
criterios.
Es suficiente el plan especfico de aceptacin de la tecnologa, incluyendo inspecciones,
pruebas de funcionalidad y pruebas de carga de trabajo.
Evaluacin del riesgo
Llevando a cabo:
Una revisin detallada de:
La identificacin de soluciones automatizadas para satisfacer los requerimientos del
usuario (incluyendo la definicin de los requerimientos del usuario, formulacin de los
cursos de accin alternativos; identificacin de los paquetes de software comercial y
elaboracin de los estudios de viabilidad del desarrollo tecnolgico, de viabilidad
econmica, de la arquitectura de la informacin y de los anlisis de los riesgos).
La seguridad, los controles internos (incluyendo la consideracin de diseos familiares al
usuario, ergonoma, etc.) y las pistas de auditora disponibles o "desarrollables" para la
solucin identificada y seleccionada.
La seleccin e implementacin del software del sistema.
Las polticas y procedimientos existentes de desarrollo de software para la adecuacin y el
cumplimiento del control interno de la organizacin.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
potenciales) o los controles internos y de seguridad para reducir o eliminar los riesgos
identificados.
Estn sobre controladas o controladas insuficientemente debido a que la economa de los
controles y la seguridad son examinados inapropiadamente.
No han contado con pistas de auditora adecuadas.
No han considerado los aspectos ergonmicos y de diseo familiar para el usuario, dando
como resultado errores en la entrada de datos que podran haber sido evitados.
No han seguido el enfoque de adquisiciones establecido por la organizacin, dando como
resultado costos adicionales creados por la organizacin.
Ejemplo auditora 2
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lcteos
Ltda. Ha hecho a Chauditoria Consultores S.A, en su afn de detectar posibles sntomas de
debilidad y de evaluar la eficiencia y efectividad en sus procesos de administracin de datos.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
1. GUA AUDITORA
Objetivos de Control
Administrar las Medidas de Seguridad.
Identificacin, Autentificacin y Acceso.
Seguridad de Acceso a Datos en Lnea.
Direccin de Cuentas de Usuario.
Revisin Gerencial de Cuentas del Usuario.
Control del Usuario sobre Cuentas de Usuario.
Vigilancia de Seguridad.
Clasificacin de Datos.
Identificacin Central y Gestin de los Permisos de Acceso.
Informes sobre Actividades de Violacin y Seguridad.
Gestin de Incidentes.
Autorizacin de Transaccin.
Proteccin de las Funciones de Seguridad.
Gestin de Clave Criptogrfica.
Prevencin, Deteccin y Correccin de Software Daino.
Arquitectura de Firewalls y Conexin con Redes Pblicas.
Proteccin del Valor Electrnico. 1.2. Obtencin de Conocimiento
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
18. El acceso a los datos de seguridad como a la gestin de la seguridad, datos de transaccin
delicados, passwords y claves de encriptacin se limita a la base de la necesidad de
conocimiento.
19. Se utilizan rutas de confianza para transmitir informacin delicada sin encriptar.
20. Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de
seguridad como:
Evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad
de conocimiento.
Las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines.
21. Se han establecido con respecto a los virus de ordenadores las medidas de control preventivas
y detectoras.
22. Para reforzar la integridad de los valores electrnicos, se toman las medidas siguientes:
Se protegen las facilidades del lector de tarjeta contra la destruccin, publicacin o
modificacin de la informacin de la misma.
La informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin.
Se evita la falsificacin de las tarjetas.
23. Para reforzar la proteccin de la seguridad, se toman medidas como:
El proceso de identificacin y autentificacin requiere ser repetido despus de un cierto
periodo de inactividad.
Un sistema de candado, un botn de fuerza o una secuencia de salida que se puede activar
cuando el terminal se deja encendido.
Evaluacin de la suficiencia, probando que:
Los servicios de informacin cumplen con los estndares de seguridad relacionados con:
Autentificacin y acceso. Direccin de clasificacin de los perfiles de usuario y seguridad de
datos. Informes y revisin gerencial de las violacin e incidentes de seguridad. Estndares
criptogrficos administrativos clave. Deteccin de virus, solucin y comunicacin. Clasificacin
y propiedad de los datos. Existen procedimientos para la solicitud, establecimiento y
mantenimiento del acceso de los usuarios al sistema. Existen procedimientos para el acceso
externo de los recursos del sistema, por ejemplo, "logon, ID, password o contrasea y dial
back. Se lleva un inventario de los dispositivos del sistema para verificar su suficiencia. Los
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
parmetros de seguridad del sistema operativo tienen como base estndares locales y del
proveedor. Las prcticas de direccin de la seguridad de la red son comunicadas, comprendidas
e impuestas. Los contratos de los proveedores de acceso externo incluyen consideraciones sobre
responsabilidades y procedimientos de seguridad. Existen procedimientos de logon reales para
sistemas, usuarios y para el acceso de proveedores externos. Se emiten informes de seguridad
en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes. El acceso a las llaves y
mdulos criptogrficos se limita a necesidades reales de consulta. Existen llaves secretas para
utilizar en transmisiones. Los procedimientos para la proteccin contra el software daino
incluyen:
Todo el software adquirido por la organizacin se revisa contra los virus antes de su
instalacin y uso.
Existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de
aplicaciones gratuitas y compartidas y esta poltica est vigente.
El software para aplicaciones altamente sensibles est protegido por MAC (Messsage
Authentication Code - Cdigo de Autentificacin de Mensajes) o firma digital, y fallos de
verificacin para evitar el uso del software.
Los usuarios tienen instrucciones para la deteccin e informacin sobre virus, como el
desarrollo lento o crecimiento misterioso de archivos.
Existe una poltica y un procedimiento vigente para la verificacin de los disquetes
externos al programa de compra normal de la organizacin.
Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema.
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso
faltantes, accesorios perdidos, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas
con la integridad y seguridad de los datos en cualquier punto de la transmisin entre el
envo y la recepcin.
Empleados no verificados como usuarios legtimos o antiguos empleados que cuentan an
con acceso.
Solicitudes informales o no aprobadas de acceso a los recursos del sistema y Software de
seguimiento de redes que no indican a la direccin de redes las violaciones de la
seguridad.
Defectos en los procedimientos de control de los cambios del software de redes.
La no utilizacin de llaves secretas en los procedimientos de emisin y recepcin de
terceros.
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin,
entrada, uso, archivo y proteccin.
La falta de software actualizado para la deteccin de virus o de procedimientos formales
para prevenir, detectar, corregir y comunicar contaminaciones.
Ejemplo auditora 3
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lcteos
Ltda. Ha hecho a Chauditoria Consultores S.A, en su afn de detectar posibles sntomas de
debilidad y de evaluar la eficiencia y efectividad en sus procesos de administracin de datos.
1. GUA AUDITORA
Objetivos de Control
Elementos con Cargo.
Procedimientos de Costo.
Facturas de Usuarios y Procedimientos de Reembolso.
a.
b.
Obtencin de Conocimiento
Recurso Humano a consultar: Gerencia General Jefe departamento de recursos humanos
Jefe departamento de finanzas
c. Informacin a conocer:
1. Polticas y procedimientos generales para la organizacin relacionados con la planificacin y la
preparacin del presupuesto.
2. Polticas y procedimientos de los servicios de informacin relacionados con la agregacin de
costos, facturacin, metodologa e informes de desarrollo y costos.
3. Los siguientes elementos de los servicios de informacin:
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Existen actas de reuniones para tratar el tema de la direccin tecnolgica, cules son las
tendencias futuras?
LISTA DE CHEQUEO
Lista de chequeo
REVISION DOCUMENTAL:
1. Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas
2. Objetivos y planes a corto y largo plazo de tecnologa de informacin.
3. Documentacin seleccionada del proyecto incluyendo:
Definicin de requerimientos.
Anlisis de alternativas.
Estudios de factibilidad tecnolgica
Estudios de factibilidad econmica,
Anlisis de modelos de datos de la empresa / arquitectura de informacin.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Anlisis de riesgos.
Estudios de costo-efectividad sobre control/seguridad interna.
Anlisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados
de pruebas de instalaciones y tecnologa especfica.
Pruebas de sistema, pruebas de integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y estrs, pruebas de rendimiento, pruebas
de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema
total para evitar cualquier fallo inesperado del sistema.
Documentacin por escrito de requerimientos de usuario debidamente revisados y
aprobados.
Los servicios de programacin se justifican a travs de un requerimiento de servicios
escrito por parte de un miembro designado de los servicios de informacin.
Aprobacin formal del estudio de los costos y beneficios por parte de la direccin.
1. Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de
software en caso de ser requerido.
REVISIN DOCUMENTAL. (EXISTE O NO EXISTE)
Procedimientos de direccin de las cuentas del usuario.
Poltica de seguridad del usuario o de proteccin de la informacin.
Estndares relacionados con el comercio electrnico.
Esquema de clasificacin de los datos.
Inventario del software de control de acceso.
Plano de los edificios y habitaciones que contienen los recursos de los sistemas de
informacin.
Inventario o esquema de los puntos de acceso fsico a los recursos de los sistemas de
informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas).
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
LISTADE
CHEQUEO
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Lista de chequeo 1
REVISIN DOCUMENTAL:
1. Hay polticas y procedimientos generales para la organizacin relacionados con la
planificacin y la preparacin del presupuesto.
2. Hay polticas y procedimientos de los servicios de informacin relacionados con la
agregacin de costos, facturacin, metodologa e informes de desarrollo y costos.
3. A nivel de servicios de informacin: Existe Informe Presupuesto actual y del ao anterior.
Existe Informes de seguimiento de la utilizacin de los recursos de los sistemas de
informacin.
Existe datos fuente utilizados en la preparacin de los informes de seguimiento.
Hay metodologa o algoritmo de asignacin de costos.
Existen informes histricos de facturacin.
4. A nivel de la direccin de servicios:
Hay comprobantes de presupuesto actual y del ao anterior para los costos de los
servicios de informacin.
Existe plan de desarrollo y mantenimiento de los sistemas de informacin del ao en
curso.
Hay relaciones de gastos presupuestados para los recursos de los sistemas de informacin,
incluyendo aquellos facturados o absorbidos.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
LISTA DE CHEQUEO
Lista de chequeo 2
RESULTADOS
ENCUESTA Y REVISION DOCUMENTAL:
La empresa cuenta con un plan para el manejo y los procedimientos relacionados con el
seguimiento de la infraestructura tecnolgica?
No hay un plan que cumpla integralmente con este aspecto.
Cules son los cambios propuestos segn costos y riesgos? Quin da la debida
aprobacin?
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Lista de chequeo 3
REVISIN DOCUMENTAL:
1. Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas
Aunque el departamento hace sus propios desarrollos, no se tiene documentacin sobre
procedimientos y polticas relacionadas con el desarrollo de sistemas ni metodologas para el ciclo
de vida del software.
2. Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Administrar efectivamente los procesos y recursos disponibles y futuros para alcanzar y mantener
la excelencia en los servicios informticos ofrecidos.
Estar preparados en por lo menos el 80% en el 2010 para la certificacin de calidad ISO 9000 en
los procesos y servicios informticos ofrecidos por la Oficina Asesora de Informtica y Telemtica.
Apoyar la integracin en el 2010 de al menos el 80% de las dependencias administrativas en lo
relacionado con sus Sistemas de Informacin y herramientas de computacin y
telecomunicaciones.
Apoyar para que se garantice por lo menos en el 80% en el 2010 la operacin y continuidad de
los productos y servicios informticos ofrecidos.
Implementar y mantener el esquema de seguridad informtica requerido para generar confianza
y transparencia en las operaciones informticas para el 2009
Ejecutar al 2010 al menos el 70% de los proyectos de Tecnologas de Informacin y
Telecomunicaciones TIC definidos dentro del Plan de Desarrollo de la empresa.
Lograr y mantener un indicador de clima organizacional - ICO por lo menos del 70% al 2010,
tratando de promover actitudes positivas del personal hacia su trabajo y la empresa.
Implementar al 2009 y mantener el esquema de seguridad informtica requerido para generar
confianza y transparencia en las operaciones informticas
Lograr eficiencia en los procesos de prestacin de servicios informticos, de forma que se pueda
generar ahorro y reduccin de costos de hasta un 20% para finales del ao 2009.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
LISTA DE CHEQUEO
Lista de chequeo 4
REVISICIN DOCUMENTAL:
1. Hay polticas y procedimientos generales para la organizacin relacionados con la planificacin y
la preparacin del presupuesto. R: Existen soporte (rea financiera).
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
LISTA DE CHEQUEO
Lista de chequeo 5
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Informe 1
Determinar la Direccin Tecnolgica
Objetivo
Determinar la direccin tecnolgica de la empresa Natura Lcteos para as permitir dar soporte
tecnolgico adecuado para una empresa de esta ndole. Se busca los sistemas del negocio, la
arquitectura de la informacin y los estndares tecnolgicos con que cuenta Natura Lcteos. Para
detectar el incumplimiento de los estndares tecnolgicos, desviaciones con respecto al plan de
infraestructura tecnolgica.
Hallazgos
No existe un proceso para la creacin y la actualizacin regular del plan de infraestructura
tecnolgica para confirmar que los cambios propuestos estn siendo examinados antes de evaluar
los costos y riesgos inherentes.
No hay un cronograma que estime la actualizacin y revisin de la infraestructura tecnolgica de la
organizacin.
No existe un repositorio de informacin acerca del estado de las plataformas tecnolgicas de la
organizacin.
No hay estrategias bien definidas para la migracin y contingencia que deben ser contemplados en
el plan estratgico de infraestructura tecnolgica. La direccin de los servicios de informacin
comprende el proceso de evaluar sistemticamente, por ejemplo, redundancia, resistencia,
adecuacin y capacidad evolutiva de la infraestructura.
No hay modelo de la arquitectura de la informacin ni modelo de diccionario de datos corporativo,
en los sistemas de informacin asociados y en los planes a largo y corto plazo de la tecnologa de la
informacin. No existe documentacin que d cuenta de los niveles de seguridad y
confidencialidad de los datos.
Se encuentran definidos objetivos estratgicos de TI que buscan por medio de la adquisicin de
nuevas tecnologas satisfacer las metas empresariales.
Conclusin
No se logra identificar en el plan de TI qu tecnologas tienen el potencial de crear oportunidades
de negocio dado que este no abarca la arquitectura de sistemas, la direccin tecnolgica, las
estrategias de migracin y los aspectos de contingencia de los componentes de la infraestructura.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Cabe resaltar el hecho de que se han definido algunos objetivos estratgicos de TI alineados con
las metas empresariales que deben estar apoyados en un plan de direccin tecnolgica el cual no
se encuentra bien definido.
Recomendaciones
Realizar investigacin sobre las tecnologas apropiadas para la empresa y adecuarlas bajo el
modelo de direccin tecnolgica implantado hasta ahora, guindose en los siguientes procesos:
Elaborar y mantener plan de infraestructura tecnolgica que est de acuerdo con los
planes estratgicos y tcticos de TI. Este se basa en la direccin tecnolgica e incluye
acuerdos para contingencias y orientacin para la adquisicin de recursos tecnolgicos.
Tambin toma en cuenta los cambios en el ambiente competitivo, las economas de escala
en la obtencin de equipo de sistemas de informacin, y la mejora en la interoperabilidad
de las plataformas y las aplicaciones.
Establecer un foro o un consejo tecnolgico que brinden directrices tecnolgicas, asesora
sobre los productos de la infraestructura y guas sobre la seleccin de la tecnologa, y
medir el cumplimiento de estos estndares y directrices.
AI1 Identificar Soluciones Automatizadas
Objetivo
Definir y dar mantenimiento de los requerimientos tcnicos y funcionales de Natura Lcteos e
Identificar los riesgos asociados con los procesos de negocio determinando los cursos de accin
alternativos.
Hallazgos
No se encuentra definida una metodologa de desarrollo de software ni polticas y procedimientos
relacionados con el ciclo de vida de desarrollo de los sistemas desarrollados por la empresa; por lo
que no se lleva un adecuado seguimiento de los requerimientos de negocio tanto funcionales
como tcnicos (definicin, actualizacin, cumplimiento).
Los objetivos y planes a corto y largo plazo de la tecnologa de la informacin se tienen
considerados de acuerdo a un plan de metas el cual provee un diagnstico y alcance de lo que se
necesita en la organizacin.
No existen estudios de factibilidad de proyectos tecnolgicos as como estudios de factibilidad
econmica y de alternativas.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Hallazgos
Aunque se pretende la concientizacin en los empleados y funcionarios de la empresa sobre las
polticas, estndares y convenciones en seguridad informtica hacen falta estudios y la definicin
de polticas referentes a la seguridad en TI.
No se cuenta con plan de seguridad estratgico, leyes, regulaciones, alineamientos, estndares
industriales; no existen polticas de control de accesos, a equipos administrativos, a diferentes
pginas web, no hay polticas de la adquisicin de software ni de sus actualizaciones.
No se cuenta con un esquema de clasificacin de los datos en operacin que indique que todos los
recursos del sistema cuentan con un propietario responsable de su seguridad y contenido. No se
emiten informes sobre violaciones de seguridad en cuanto a la oportunidad, precisin y respuesta
a incidentes.
No hay estndares de encriptacin; el hardware y software no estn protegidos contra la
intromisin o divulgacin de informacin. El acceso a los datos de seguridad como a la gestin de
la seguridad, datos de transaccin delicados, passwords y claves de encriptacin son limitados.
Conclusin
La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere
de un proceso de administracin de la seguridad. Aunque Natura Lcteos Ltda. Establece roles y
responsabilidades de seguridad dentro de la empresa no define ni mantiene un plan estratgico de
seguridad en TI. Una efectiva administracin de la seguridad protege todos los activos de TI para
minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad
Recomendaciones
Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que las
acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio,
guindose en los siguientes procesos:
Elaborar un plan de seguridad estratgico, leyes, regulaciones, alineamientos y estndares
industriales. Trasladar los requerimientos de informacin del negocio, la configuracin de
TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la
informacin a un plan global de seguridad de TI.
Realizar monitoreos de seguridad y pruebas peridicas as como realizar acciones
correctivas sobre las debilidades o incidentes de seguridad identificados.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Conclusin
Se hace obvia la necesidad de un sistema justo y equitativo para asignar costos de TI en la empresa
Natura Lcteos Ltda., este requiere de una medicin precisa y un acuerdo con los usuarios del
negocio sobre una asignacin justa.
Recomendaciones
Si la funcin de los servicios de informacin es un centro de provecho y beneficios, la contribucin
de dichos beneficios deben estar ajustados al plan y el presupuesto empresarial y que destaquen
las oportunidades para aumentar los beneficios y as poder capacitar a los usuarios de los servicios
de TI con tal sentido de pertenencia que ayude a reducir y corregir a tiempo errores en costos
ocasionados por dichos usuarios. Dado esto se recomienda:
Elaborar un modelo de costos de TI que garantice que los cargos por servicios son
identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado
uso de recursos; adems debe estar alineado con los procedimientos de contabilizacin de
costos de la empresa.
Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Las
variaciones entre los presupuestos y los costos actuales deben analizarse y reportarse de
acuerdo con los sistemas de medicin financiera de la empresa.
Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para
mantener su relevancia para el negocio en evolucin y para las actividades de TI.
Nivel de Madurez de la Empresa
La empresa Natura Lcteos entra a clasificarse como un nivel 1 Inicial/Ad Hoc en los procesos PO3,
AI1, DS5 y DS6, analizados en esta auditora. Pues si bien se reconoce la necesidad de estructurar
las funciones de direccin de TI, identificar soluciones automatizadas para la satisfaccin de
requerimientos del negocio, definir y garantizar las polticas de seguridad de los sistemas y se
reconoce tambin la necesidad de especificar estndares y polticas de control sobre la asignacin
de todos los costos de TI, las operaciones son de naturaleza reactiva, se toman acciones de
manera informal y el procesamiento de peticiones se acepta sin validacin previa, no se mide la
seguridad de TI, no hay una distribucin de costos por usuario, cliente, departamento, grupos de
usuarios, funciones de servicio, proyectos o entregables y la direccin tecnolgica est impulsada
por los planes evolutivos, con frecuencia contradictorios, del hardware, del software de sistemas y
de los proveedores de software aplicativo.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
4.4. Glosario
AUDITADO: persona de la organizacin que es seleccionada por el auditor para participar en el
proceso de evaluacin de algn proceso de la organizacin.
AUDITOR: persona idneamente formada en el campo seleccionado para realizar la evaluacin y
coherencia de los procesos de la organizacin.
AUDITORA: proceso de evaluacin de las actividades y procesos de una organizacin.
CONFORMIDAD: hallazgo de cumplimiento con los criterios de evaluacin solicitados por el
auditor.
CONTROLES: actividades de aseguramiento y verificacin de que lo planeado si se realice
conforme a lo planeado en la organizacin.
INFORME DE AUDITORA: Reporte escrito de los hallazgos encontrados durante el proceso de
auditora.
LISTA DE CHEQUEO: listados de preguntas que se hacen durante la auditora para ir verificando el
cumplimiento o no de las actividades del proceso.
NO CONFORMIDAD: Hallazgo de incumplimiento a los criterios de evaluacin solicitados por el
auditor.
OBSERVACIN: es una anotacin a un hallazgo encontrado por el auditor, pero que su no
cumplimiento no afecta el proceso auditado como tal.
SEGUIMIENTO: actividades de verificacin relacionadas con el informe de auditora.
SISTEMA: Conjunto de elementos interrelacionados entre s para llegar a un fin comn o
propsito.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
4.5. Bibliografa
Tamayo, A. (2001).Auditora de Sistemas: Una visin Prctica. [En lnea]. Consultado: [23, octubre,
2011]
Disponible
en:
http://books.google.es/books?id=HdtpS3UBCuMC&printsec=frontcover&dq=auditoria+de+sistem
as&hl=es&ei=fJyDTsmHLYy4tgeA8pTtAQ&sa=X&oi=book_result&ct=result&resnum=1&ved=0CDQ
Q6AEwAA#v=onepage&q&f=false
Champlain, J. (2003). Auditing Information Systems. (Second Edition). [En lnea]. Consultado: [27,
Octubre, 2011] Disponible en:
http://books.google.es/books?id=LJmzMzkUuHoC&printsec=frontcover&dq=systems+audit&hl=es
&ei=yImjTuXTHcmXtwen7PmoBQ&sa=X&oi=book_result&ct=result&resnum=1&ved=0CDgQ6AEw
AA#v=onepage&q=systems%20audit&f=false
Dube, D P. Y Gulati, VP. (2005). Information System Audit and Assurance.[En Lnea]. Consultado:
[27, octubre, 2011]. Disponible en:
http://books.google.es/books?id=1cIQS6aCPQwC&printsec=frontcover&dq=systems+audit&hl=es
&ei=yImjTuXTHcmXtwen7PmoBQ&sa=X&oi=book_result&ct=result&resnum=2&ved=0CD0Q6AEw
AQ#v=onepage&q=systems%20audit&f=false
Valverde, O. Manual de Auditora de Sistemas. En: http://www.slideshare.net/oskr12381/mduloauditoria-de-sistemas
Trabajo de Campo: Auditora Realizada por el grupo
http://ingenieria.ucaldas.edu.co/auditoria/index.php/Grupo_7
al
grupo
2.
Desde:
Auditora de Sistemas. De: 123 Innovation Group, S.L. Auditores y consultores en seguridad,
disponibilidad, continuidad, integridad y confidencialidad informtica. [En lnea]. Desde:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Direccin
Mdulo Auditora de Sistemas
Mdulo Auditora de Sistemas
Autor
Elizabeth Daz Duque
Elizabeth Daz Duque
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia
Lista de Chequeo2
Lista de Chequeo3
Lista de Chequeo4
Lista de Chequeo5
Informe 1
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Universidad de Caldas
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia