UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
PROGRAMA DE INGENIERIA DE SISTEMAS

FASE DE FASE DE PLANEACION

UNIDAD 1: DISEO DE INSTRUMENTOS, PLAN DE AUDITORA Y
PROGRAMA DE AUDITORA, PLAN DE PRUEBAS.
CURSO: AUDITORIA DE SISTEMAS

PRESENTADO POR:
EMERSON ALBERTO ORTEGA SALCEDO_92153438
ALFONSO VALLEJO ROMERO_1.047.420.872
EFREN CARRASQUILLA ZABALETA_1.050.055.761
ELKIN AMADOR SNCHEZ_
GRUPO: 90168_5

TUTOR:
FRANCISCO NICOLAS SOLARTE

CEAD CARTAGENA
CARTAGENA - COLOMBIA
2017
 INTRODUCCIN

Es innegable la importancia de la tecnologa de informacin como factor crtico de xito

para las organizaciones. La toma de conciencia en las empresas de los riesgos
inherentes a la actividad informtica y de la necesidad de proteccin de altas inversiones
que se dedican al diseo e implementacin de Sistemas de Informacin, han permitido
el desarrollo de la Auditoria de Sistemas en nuestro medio.
Es la AUDITORIA DE SISTEMAS la encargada de liderar el montaje y desarrollo de la
funcin de control en los ambientes computarizados, integrar la Auditoria de Sistemas
con las dems reas de la auditoria para contribuir a la modernizacin y eficiencia de
esta funcin, realizar evaluaciones de riesgos en ambientes de sistemas y disear los
controles apropiados para disminuir esos riesgos, adems de participar en el
desarrollo de los Sistemas de informacin, aportando el elemento de control y evaluar la
administracin de los recursos de informacin en cualquier organizacin.
 OBJETIVOS

Disear un procedimiento para realizar auditoras de informacin en

instalaciones que permita diagnosticar el estado de la Gestin Informtica, y
proponer las acciones para su mejora.
Elaborar un marco terico actualizado sobre los sistemas de gestin deinformaci
n y auditoras de informacin.
Disear un procedimiento para realizar Auditoras de informacin.
Evaluar la pertinencia del procedimiento mediante el Mtodo de Criterio de
Expertos.
Determinar si la empresa cumple con los objetivos de salvaguardar la
informacin correctamente.
Aplicar las tcnicas de auditora.
Distinguir entre las diferentes tcnicas de auditora.
Disear instrumentos de recoleccin de informacin.
 EMPRESA PROPUESTA PARA AUDITORIA POR EL GRUPO

NOMBRE DE LA EMPRESA: LOGIST ARDUN S.A.S.

CUADRO CONSOLIDADO CON TODAS LAS DE LAS VULNERABILIDADES,
AMENAZAS, RIESGOS INFORMTICOS Y ACTIVOS QUE SE AFECTAN

vulnerabilidades Amenazas Riesgos Activos que se

afectan
Proteccin fsica Dispositivos que por su Presenta un deficiente sistema
inadecuada del sistema de exposicin al sol y a la lluvia, de videocmaras, el cual no
videocmaras. captan imgenes borrosas, con permite llevar un ptimo
psima resolucin y en algunos proceso de grabacin e
casos no captan imgenes ni imgenes que puedan ser Hardware
videos. material de prueba
Monitoreo insuficiente de Fallas y daos en varias de las Varias antenas sectoriales no
medidas de seguridad en herramientas tecnolgicas trabajan de manera ptima y
la infraestructura utilizadas. switches presentan puertos Hardware
tecnolgica. daados.
Inadecuada prevencin No existen sistemas de alarmas El personal encargado de la
contra proteccin de que puedan detectar incendios o seguridad de estos elementos
incendios en las antenas incidentes - se encuentra al no cumple con las funciones de Hardware
de seales. lado del almacenamiento de seguridad requeridas para este
gasolina. sitio.
Fallas en el hardware y Mal funcionamiento en algunos Deficiencia o atrasos en la
sus componentes. puntos de trabajo, de labor diaria por falta de
dispositivos como impresoras, procesos que dependen de Hardware
telfonos, escner, etc. dispositivos primordiales para
cada punto de trabajo
Desconocimiento y falta No existen polticas de manejo Se presentan constantes daos
de sensibilizacin de los de herramientas tecnolgicas. fsicos de dispositivos, al igual Hardware
usuarios y de los que bloqueos al procesar datos.
responsables de
informtica.
No hay un sistema de Que un sobre voltaje en el Que se quemen los equipos
puesta a tierra fluido elctrico ocasione un conectados al fluido de la red Hardware.
corto en los equipos. elctrica sin proteger.
Administracin de red Intercepcin de la informacin Vulnerabilidad en la proteccin
inadecuada. y de los datos por personas no de cierta informacin que se Redes
autorizadas maneja en la compaa por no
tener estndares establecidos.
Debilidad en el diseo de No hay robustez en protocolos Ingresos no autorizados en las
protocolos utilizados en como Telnet, FTP, SNMP bases de datos que se utilizan
las redes. para la informacin que se Redes
maneja en la red de redes.
Puntos de acceso Zonas y lugares donde se puede Vulneracin de sistemas,
tecnolgicos no ingresar a la redes de archivos, reportes que son de Redes
protegidos. administracin, eventos, alta confidencialidad para la
manejadas por el hotel compaa.
La red WLAN no tiene Fcil de descifrar y permitir Que se conecten muchos
una contrasea conexin a terceros usuarios despus de descifrar Redes
encriptadas ocasionando lentitud en la red. la contrasea con muchas de
las aplicaciones mviles
diseadas para ese fin.
El cableado y los puntos Fallas en la comunicacin en la Al estar algunos cables al aire
de red no estn red. libre, pueden ser manipulados Redes
certificados. por los usuarios, ocasionando
daos a la red y accidentes
laborales.
No hay un proxy Que los usuarios utilicen el Inseguridad en la red de datos
establecido que permita internet para fines ajenos a las y que los trabajadores se Redes
monitorear el acceso de gestiones laborales distraigan durante la jornada
los usuarios a internet. laboral.
No tener definida una red Perdida de paquetes durante la Mala comunicacin en la red.
local estructurada transmisin de datos. Redes.
Transferencia de Muy poca Proteccin en las Violacin y suplantacin de
contraseas/claves viables claves y contraseas, en algunos usuarios, no existen sistemas Seguridad
en texto visible. casos no son ocultas de cifrado lgica.
Falta de identificacin del Procesamiento de mensajes y Envo o recibo deficiente en
remitente/receptor correos sin identificacin de mensajes y correos, pues existe Seguridad lgica
quien remite o de quien recibe desconfianza en no saber a
quin se enva o de quien se
recibe.
Poca disponibilidad de Falencias en la deteccin de los No existe anlisis de trafico
herramientas que accesos no autorizados en los seguro de la informacin al no Seguridad lgica
bloquean los ataques sistemas de informacin. tener VPN contra aplicaciones
malintencionadas.
Vulnerabilidades de No se controla la cantidad de Si esa cantidad es superior a la
desbordamiento de buffer datos que se copian en buffer capacidad del buffer los bytes
sobrantes se almacenan en Seguridad lgica
zonas de memoria adyacentes,
sobrescribiendo su contenido
original.
Falta de control sobre el Que los usuarios o terceros Robo o alteracin de
uso de medios extrables extraigan informacin de los informacin. Seguridad lgica
en los equipos de los altos equipos de los equipos de los
cargos. altos cargos.
No existen polticas de Que los usuarios no autorizados Alteracin o eliminacin de la
seguridad de controlen el tengan acceso a informacin informacin Seguridad lgica
ingreso de los usuarios a que no les compete
las carpetas compartidas
en la red.
Falta de herramientas Que algn usuario accidental o Que se pierda la informacin
para recuperacin de intencionalmente borre definitivamente y que esto Seguridad lgica
informacin en caso de informacin importante. afecte las actividades de la
borrados accidentales. empresa.
Errores de programacin No hay confiabilidad en la Errores reflejados en tiempos
o errores en los resultados manera como se procesan datos futuros, ya sea en mdulos de Software
de informacin final. en los programas contables inventarios o mdulos
contables.
Instalacin/Desinstalaci Falta de proteccin en algunas Cualquier tipo de usuario, en
n no controlada de aplicaciones y programas algunos equipos de cmputos
aplicaciones. manejados por la compaa. pueden descargar e instalar Software
aplicaciones peligrosas para el
sistema
No hay un antivirus Que el utilizar software gratuito Ataques informticos y virus
robusto que controle la no se tiene acceso a todas las que afecten el funcionamiento Software
seguridad de los usuarios funcionalidades del antivirus. de los equipos.
en la red.
La mayora de programas Que se puedan tener No obtener las actualizaciones
son freeware. afectaciones legales por utilizar que ayuden a sacarle un mejor Software.
software gratuito a nivel de rendimiento a los programas.
empresas o corporativo.
No tener restriccin en los Que los usuarios puedan Daos del sistema operativo.
usuarios de Windows, realizar instalaciones de
todos los equipos tienen software que puedan afectar el Software.
usuario con privilegios de sistema o que sean
administrador. potencialmente dainos.
Locacin- En la intranet cualquier usuario Faltan privilegios de usuarios
almacenamiento no con acceso al sistema puede que solo permitan manejo de
protegido acceder a informacin de otros. informacin que sea de su Informacin y
competencia, con el fin de que datos
sta no sea vulnerada.
Falta de conocimiento por Errores que afecten la seguridad Prdida o alteracin de la
parte de los usuarios de informtica de la compaa. informacin. Manejo y
los riesgos informticos a control de
los que estn expuestos. personal.
En la base de datos, todos Que un usuario modifique de Prdida o alteracin de la
los usuarios pueden manera errnea la informacin informacin. Bases de datos.
editar informacin. ocasionando fallas.
 OBJETIVOS DE LA AUDITORIA

OBJETIVO GENERAL

Revisar la situacin actual de las herramientas de hardware, software, tecnologa y

seguridad de redes que son base esencial en el sistema de informacin de la empresa
LOGIST ARDUN S.A.S; ubicado en la ciudad de Cartagena - Colombia.

OBJETIVO ESPECIFICOS

1 Conocer adecuadamente la utilizacin de las herramientas hardware con las que

cuenta LOGIST ARDUN S.A.S; analizando los conflictos que se puedan presentar
en su funcionalidad.

2 Verificar la estructura sobre la cual se desarrollan las aplicaciones y programas

ejecutados por la empresa, a fin de poder verificar si la informacin procesada se
encuentra oculta mediante contraseas, si existen niveles de seguridad y accesos
confiables.

3 Auditar el sistema de redes, sus medios, infraestructura e instalaciones, analizando

las fallas que puedan presentarse en su funcionalidad con respecto al sistema de
informacin.

4 Dictaminar la auditora ejecutada basndose en los procesos evaluados,

determinando el procedimiento a realizar con respecto a los riesgos y precisar
soluciones viables en el informe final.
 ALCANCE DE LA AUDITORIA

Se evaluarn los recursos tecnolgicos de la empresa LOGIST ARDUN S.A.S;

haciendo nfasis sobre las plataformas que utilizan para el desarrollo de sus actividades
comerciales, tales como, hardware, software, redes, bases de datos y al manejo de la
informacin que le dan los trabajadores.
De los dispositivos Hardware se evaluarn los siguientes aspectos:
Inventarios de hardware de redes y equipos
Mantenimiento preventivo y correctivo de equipos.
Esquemas de mantenimiento de los equipos de cmputo con exploracin de
informes.
Material humano encargado de mantenimiento.
De las redes de datos se evaluarn los siguientes aspectos:
Clasificacin de la seguridad en la red corporativa.
Mantenimiento preventivo redes.
Revisiones de redes internas y externas.
Revisiones de cumplimiento y gestin tcnica.
De la seguridad lgica se evaluarn los siguientes aspectos:
Revisin de restricciones de acceso a los programas y archivos.
Verificacin que la informacin transmitida sea recibida por el destinatario al cual
ha sido enviada y no a otro.
Revisin de existencias de sistemas alternativos secundarios de transmisin entre
diferentes puntos.
Disponer de alternativas de emergencia para la transmisin de informacin.
Del software se evaluarn los siguientes aspectos:
Evaluar el proceso de adquisicin del software.
Verificacin de registros y licencias del software instalado,
Evaluar el impacto del software adquirido en relacin al negocio.
 METODOLOGIA DE LA AUDITORIA

Para la auditoria a la empresa LOGIST ARDUN S.A.S. se utilizara la metodologa

COBIT, esta es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa, los flujos de informacin y los riesgos que stas implican, y es
la principal propuesta metodolgica realizada a nivel internacional para abordar la
Auditoria de Sistemas de Informacin, para ello se describirn los procesos, las
aplicaciones, los recursos que tienen que ver directamente con el objetivo de este plan
de auditora, con el listado de vulnerabilidades expuesto anteriormente, alcanzamos a
tener una idea clara de la finalidad y alcance de esta auditora.
Entrega y asistencia tcnica.
Control.
Planeamiento y organizacin.
Aprendizaje e implementacin.
Se puede relacionar la metodologa con los pasos descritos anteriormente en un estudio
previo, revisar y evaluar el control, atacar las reas crticas y a travs de una
comunicacin de resultados obtener un aprendizaje e implementar acciones de mejora.
Estudio preliminar.
Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la
unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la
obtencin de informacin para evaluar preliminarmente el control interno solicitud de
plan de actividades, manuales de polticas, reglamentos, entrevistas con los principales
funcionarios.
Revisin y evaluacin de controles y seguridades.
Consiste de la revisin de los diagrama de flujo de proceso, realizacin de pruebas de
cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin
de procesos histricos (backups), Revisin de documentacin y archivos entre otras
actividades.
Examen detallado de reas crticas.
Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un
estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y
la distribucin de carga del mismo, establecer los motivos, objetivos, alcance recurso
que usara, definir la metodologa de trabajo, la duracin de la auditoria.
Comunicacin de resultados.
Se elaborara el borrador del informe a ser discutido con los ejecutivos de
la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en
forma de matriz, cuadros o redaccin simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
 FASE ACTIVIDADES
Conocimiento 1. Identificar el origen de la auditoria.
del sistema o2. Realizar visitas para conocer procesos, activos informticos, procesos
rea auditada y organizacin del rea auditada.
3. Determinar las vulnerabilidades, y amenazas informticas a que est
expuesta la organizacin.
4. Determinar el objetivo de la auditora de acuerdo a las
vulnerabilidades, y amenazas informticas encontradas.
Planeacin de1. Elaborar el plan de auditora
la Auditoria2. Seleccionar los estndares a utilizar de acuerdo al objetivo (CobIT)
de Sistemas3. De acuerdo al estndar elegido, seleccionar los tems que sern
evaluados que estn en relacin directa con el objetivo y alcances
definidos en el plan.
4. Seleccionar el equipo de trabajo y asignar tareas especficas
5. Determinar las actividades que se llevarn a cabo y los tiempos en que
sern llevadas a cabo en cada tem evaluado. (Programa de auditora)
6. Disear instrumentos para recoleccin de informacin (formatos de
entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
7. Disear el plan de pruebas (formato pruebas)
Ejecucin de1. Aplicar los instrumentos de recoleccin de informacin diseados
la Auditoria2. Ejecutar las pruebas del plan de pruebas
de Sistemas3. Levantar la informacin de activos informticos de la organizacin
auditada
4. Determinar las vulnerabilidades y amenazas informticas aplicando
una metodologa
5. Realizar la valoracin de las amenazas y vulnerabilidades encontradas
y probadas
6. Realizar el proceso de evaluacin de riesgos
7. Determinar el tratamiento de los riesgos
Resultados de1. Determinar las soluciones para los hallazgos encontrados (controles)
la Auditoria2. Elaborar el Dictamen para cada uno de los procesos evaluados.
de Sistemas3. Elaborar el informe final de auditora para su presentacin y
sustentacin
4. Integrar y organizar los papeles de trabajo de la auditoria
5. Disear las polticas y procedimientos integrando los controles
definidos
 RECURSOS PARA REALIZAR LA AUDITORIA

*** Falta describir los recursos ***

Pienso que todo debe ir centrado en el recurso humano que seran los auditores y sus
auxiliares y el componente sistemtico que son las herramientas que usaran para la
realizacin de la auditoria
 CRONOGRAMA DE ACTIVIDADES
N ACTIVIDA DIA DIA DIA DIA DIA DIA DI DI DI DIA
D 1 2 3 4 5 6 A A A 10
7 8 9
1 Realizacin
de visita
preliminar
2 Elaborar plan
de auditoria
3 Elaborar
cuestionario
de control
interno
4 Visita para
responder
cuestionario
5 Anlisis del
cuestionario
y planillar
decisiones
preliminares
6 Ejecutar las
tareas del
programa de
auditoria
7 Revisin de
las reas
crticas
(componente
hardware,
redes)
8 Revisin de
las reas
crticas
(componente
software,
seguridad
lgica)
9 Revisin de
las reas
crticas
(componente
humano)
10 Presentacin
 del informe
de auditoria

CONCLUSION

Las auditorias informticas se conforman obteniendo informacin y documentacin de

todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del
auditor consiste en lograr obtener toda la informacin necesaria para emitir un juicio
global objetivo, siempre amparando las evidencias comprobatorias.
Hoy en da, la mayora de las empresas tienen toda su informacin estructurada en
Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin
funcionen correctamente.
El xito de la empresa depende de la eficiencia de sus sistemas de informacin. Una
empresa puede contar con personal altamente capacitado, pero si tiene un sistema
informtico propenso a errores, lento, frgil e inestable; la empresa nunca saldr a
adelante.
La auditora de Sistemas debe hacerse por profesionales expertos, una auditoria mal
hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente
econmicas.
En conclusin la auditoria informtica es la indicada para evaluar de manera profunda,
una determinada organizacin a travs de su sistema de informacin automatizado, de
aqu su importancia y relevancia
 REFERENCIAS

Derrien, Y. (2009). Tcnicas de la auditora informtica. Recuperado

de http://bibliotecavirtual.unad.edu.co:2162/openurl?
sid=EBSCO:edselb&genre=book&issn=edselb.61F234B4&ISBN=9781449209667&vo
lume=&issue=&date=20090101&spage=&pages=&title=T%c3%a9cnicas%20de%20la
%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la
%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C
%20Yann&id=DOI:

Echenique, J. A. (2001). Auditora en Informtica. Ciudad de Mxico, Mxico: Editorial

McGraw-Hill.

Espino, M. G. (2014). Fundamentos de auditora. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
docID=11038908&ppg=4

Gmez, . (2014). Auditora de seguridad informtica. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

Huesca, G. (2012). Auditoria informtica. Recuperado

de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditora de sistemas una visin prctica. Recuperado

de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Monografias. (2008). Auditora. 19 de Marzo de 2017, de Monografias.com Sitio web:

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml