Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
OBJETIVOS
Objetivo General
Elaborar un plan de auditora para una entidad gubernamental del orden territorial
especificando los dominios, procesos y objetivos de control, adems de los controles
aplicables segn el marco COBIT 4.1.
Objetivos especficos.
CONTEXTO DE LA EMPRESA
La gobernacin del Guaina es una entidad del orden territorial cuyo objeto social es
desarrollar los planes estatales orientados a garantizar los derechos de sus ciudadanos
y velar por el cumplimiento de sus deberes. Para lograrlo se ha estructurado en un
conjunto de secretarias que permiten organizar sus funciones segn las reas de
atencin; de esta manera cuenta con las divisiones operativas de hacienda, educacin,
planeacin, salud, gobierno y asesora jurdica.
Cada secretaria presenta un grado de complejidad asociado a los proceso que adelanta,
en algunos casos las actividades son desarrolladas como tareas u otras responde a un
modelo por procesos, como es el caso de la secretaria de educacin, es decir; tienen
claramente definidas cuales son las entradas y las salidas de informacin, cada unidad
de procesamiento tiene total claridad sobre las tareas que se aplican a los subproductos
de informacin para convertirlos en la unidad cohesionada de salida.
Para soportar los requerimientos de informacin de cada una de las secretarias y sus
reas de procesamiento, se han provisto de un conjunto de aplicaciones que facilitan la
automatizacin de los procesos o actividades asociadas al quehacer individual.
Para garantizar la disponibilidad de las herramientas de software, la entidad ha instalado
una infraestructura tecnolgica que consta de:
Una red LAN con direccionamiento esttico, y la ampliacin mediante infraestructura
(instalacin de Access Point que amplia una red LAN a dispositivos inalmbricos), para
estos dispositivos la seguridad se provee de dos maneras, por direccionamiento esttico
y por restricciones de direcciones MAC, para el acceso a los recursos compartidos.
La configuracin de los equipos de red estn conformada por Switch, Router, modem
satelital, Access Point, los cuales estas distribuidos por la planta fsica de la secretaria,
solo la secretaria de hacienda y planeacin tienen centralizado en un punto los equipos
de red, las otras secretarias poseen su propio sistema de servicio de conectividad, sin
embargo comparten los recursos de intranet.
Las aplicaciones son tipo cliente servidor, las bases de datos se encuentran distribuidas
por secretarias.
Las aplicaciones y sus bases de datos son accedidas mediante terminales de usuarios,
las claves de acceso tanto a las bases de datos como de la aplicacin son manejadas
por cada usuario en particular, no se cuenta con sistema de Backup en lnea.
El edificio donde funciona la entidad estn conformadas por dos plantas fsicas dividida
en 22 oficinas, se cuenta con un cuarto de cableado y de servidores, debido a situaciones
presupuestales y ciertos manejos algunas reas de cableado estn desorganizadas.
ASPECTOS A EVALUAR
Tecnologa adecuada
Software actualizado
Antivirus actualizado
Polticas de seguridad
Vulnerabilidad
Amenaza
Riesgo
Categora
Deficiente rea de
ventilacin de los
dispositivos
Funcionamiento
defectuoso por altas
temperaturas
Daos dispositivos
Hardware
Hardware
Manejo de informacin
sin restriccin
Extraccin de
informacin
Seguridad lgica
Manipulacin de
dispositivos sin
autorizacin
Extraccin de
informacin
Seguridad lgica
Falta de capacitacin en
polticas de seguridad al
personal
Operacin incorrecta
Procedimientos
incorrectos por el talento
humano
Uso no personalizados de
los dispositivos
Extraccin de
informacin
Seguridad lgica
Contraseas de
dispositivos deficientes
Ingreso de intrusos al
sistema
Robo de informacin o
destruccin de la misma
Seguridad lgica
Manipulacin de
dispositivos sin
autorizacin
Dao de la red
Redes
Antivirus no actualizados
Ataques de virus
Destruccin de la
informacin por virus
Seguridad lgica
10
Ingreso de intrusos a la
red
Acceso no autorizados a
la red
Seguridad lgica
11
Ausencia de sistema
adicionales de seguridad,
Costo ms elevado
Hardware
12
Desvi de informacin
Poco control en el
manejo de informacin
Seguridad lgica
13
Ausencia de un correo
interno
Poca eficiencia en la
comunicacin
Desinformacin del
personal
Talento humano
14
Deterioro de la red
Presencia de
interferencias
electromagnticas
Retraso en las
actividades de la
empresa
Redes
15
Hardware obsoleto
Hardware
PLAN DE AUDITORIA
Alcance
La auditora se realizar sobre la infraestructura tecnolgica y de comunicaciones de la
entidad seleccionada.
Objetivo
Verificar la implementacin de controles para garantizar los sistemas de informacin en
cuanto a la seguridad fsica, las polticas de utilizacin, transferencia de datos y
seguridad de los activos.
Recursos
El nmero de personas que integraran el equipo de auditoria ser de tres, con un
tiempo mximo de ejecucin de 3 a 4 semanas.
Metodologa
DOMINIOS A EVALUAR
Dentro del proceso solo se evaluaran dos dominios.
10
Planear y Organizar (PO): Este dominio cubre las estrategias y las tcticas, y
tiene que ver con identificar la manera en que TI puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, se debe implementar una estructura organizacional y
una estructura tecnolgica apropiada.
Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes est cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
Entregar y Dar Soporte (DS): Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operativos.
CONTROLES
Se evaluaran los siguientes controles para los sistemas de informacin:
AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los
documentos fuente estn preparados por personal autorizado y calificado siguiendo los
procedimientos establecidos, teniendo en cuenta una adecuada segregacin de
funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones
pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar
errores e irregularidades para que sean informados y corregidos.
AC2 Recoleccin y Entrada de Informacin Fuente: Establecer que la entrada de
datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones
y reenvos de los datos que fueron errneamente ingresados se deben realizar sin
comprometer los niveles de autorizacin de las transacciones originales. En donde sea
apropiado para reconstruccin, retener los documentos fuente original durante el tiempo
necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las
transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o
devolver para corregir, tan cerca del punto de origen como sea posible.
11
PROCESOS EVALUADOS
La auditora evaluara los siguientes procesos:
Objetivos de control
Durante la auditoria se evaluaran los siguientes objetivos de control
12
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.
Obtencin de los resultados.
En esta etapa se obtendrn los resultados que surjan de la aplicacin de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple
o no con los objetivos de control antes definidos.
Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que
se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura
empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas
de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias
de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de
passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones
para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas
de organizacin empresarial, como son partes responsables de seguridad,
mantenimiento y supervisin de las otras reas.
Entrega del informe a los directivos de la empresa.
Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe
final con los resultados obtenidos en la auditoria.
Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los
puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar
que los que los objetivos de control se sigan.
PRESUPUESTO
ITEM
CANTIDAD
1
2
3
4
5
6
7
2
2
2
1
1
2
1
VALOR
VALOR
UNITARIO
TOTAL
HONORARIOS AUDITORES $ 2.800.000 $ 5.600.000
GASTOS DE VIAJE
$ 500.000 $ 1.000.000
EQUIPOS DE COMPUTO
$ 1.800.000 $ 3.600.000
CAMARA FOTOGRAFICA
$ 650.000 $
650.000
PAPELERIA GENERAL
$ 100.000 $
100.000
MODEM INTERNET
$ 100.000 $
200.000
IMPREVISTOS
$ 100.000 $
100.000
TOTAL
$ 11.250.000
DESCRIPCION
13
CRONOGRAMA
Actividad
Fase
conocimiento
Mes 1
2
3
-Estudio de la informacin
enviada por la empresa
-Informes de auditoras anteriores
y planes de mejoramiento.
-Entrevistas personal de
telemtica
-Identificacin de riesgos
potenciales
Fase
Planeacin de
la auditora
-Preparacin y autorizacin de
informacin fuente
-Recoleccin y entrada de
informacin fuente
-Chequeos de exactitud,
integridad y autenticidad.
-Integridad y validez del
procesamiento
-Revisin de salida,
reconciliacin y manejo de
errores
-Autenticacin e integridad de
transacciones
-Evaluacion de administracin del
valor de TI
Fase
Ejecucin
auditoria
Fase de
resultados
14
Mes 2
2
3
Mes 3
2
3
CONCLUSIONES
15
Referencias bibliogrficas
16