PROYECTO FINAL

AUDITORIA DE SISTEMAS

CONSOLIDACION TRABAJO

GRUPO: 90168_78

TUTOR:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

(UNAD)
ESCUELA DE CIENCIAS BASICAS, TECNOLOGA E INGENIERA
DICIEMBRE
2016

INTRODUCCIN
Hoy en da los sistemas de informacin son el alma de organizaciones, empresas y
entidades, el grado de responsabilidad reposa en los sistemas, datos e informacin
encaminados al logro de los objetivos internos, estos se pueden mejorar y mantener
teniendo una adecuada sistematizacin y documentacin. El tratamiento de la informacin
abarca aspectos que van desde el manejo de documentos en medio fsico como el proceso
de almacenaje y recuperacin conocido tambin como proceso de gestin documental,
hasta los sistemas de informacin que tenga la organizacin o sistemas externos a los que
est obligada a reportar informacin, pasando por aspectos tan importantes como la forma
de almacenamiento de los datos digitales, modelos de respaldo de informacin y planes de
contingencia o de continuidad del negocio, si existen, claro est, incluyendo adems los
sistemas fsicos de proteccin y accesibilidad a sitios o reas restringidas.

OBJETIVOS
 Aplicar una metodologa de evaluacin de riesgos que permita definir las
vulnerabilidades y amenazas de seguridad existentes, y evaluar los riesgos de
acuerdo a la escala definida por la metodologa Magerit.

Sugerir mecanismos de control y gestin que minimicen las vulnerabilidades

encontradas en el estudio del anlisis de riesgos realizado.

DESARROLLO DE LA ACTIVIDAD
Razn Social o Nombre de la Empresa: ALMACENES LA 14 S.A
Actividad Econmica: Almacenes La 14 S.A es una cadena de tiendas a nivel nacional que
se dedica al comercio al detalle de productos de consumo masivo.
La Ubicacin: Almacenes La 14 tiene su sede principal en la ciudad Santiago de Cali en la
Carrera 1ra con calle 70 del barrio Calima,

ORGANIGRAMA

PLAN DE AUDITORIA
OBJETIVO: Realizar auditoria a la seguridad lgica sobre los aspectos del uso del
software y la proteccin de los datos de la empresa Almacenes La 14 S.A.

Objetivo 1. Restringir el acceso a los programas y archivos

Objetivo 2. Asegurar que se estn utilizando los datos, archivos y programas correctos en
y por el procedimiento correcto
Objetivo 3: Disponer de copias de seguridad para la proteccin de la informacin

Metodologa para Objetivo 1: Conocer las rutas de acceso hacia los programas y archivos
para establecer puntos de control de acceso a la informacin, la cual se realizara solicitando
la informacin requerida al administrador de los datos y de la red
- Se solicitar la documentacin adecuada sobre las personas que tienen accesos a los
programas y archivos

- Indagar sobre las rutas de acceso a la informacin y quienes tienen permisos total

- Identificar si existen usuarios remotos que tengas acceso a la informacin.

Metodologa para Objetivo 2: Conocer si se cuenta con un programa de seguridad que

evalu peridicamente el acceso de usuarios no autorizados a los sistemas de informacin.
- Revisar si existen un software instalado para la proteccin de la informacin.

- Revisar si existe acceso de seguridad lgica ya existente a usuarios que ya no

trabajan en la empresa.
Metodologa para Objetivo 3: Identificar si existen estndares para la identificacin
externas de los soportes magnticos y para el control del movimiento fsico
- Asegurar que existan los procedimientos y estndares adecuados para identificar
conservar, controlar el movimiento de los soportes magnticos.

- Asegurar q e se llevan a cabo revisiones peridicas de las etiquetas externas de los

soportes magnticos.

Recursos Humanos.
Esta auditoria se llevar a cabo por los integrantes del grupo Oscar Andrs Rincn y Omar
Montao Torres.

Recursos Fsicos
Esta auditoria se realizar en las instalaciones de la empresa Almacenes LA 14 S.A en el
departamento de Informtica.
Equipos Tecnolgicos: Los que nos provean en la empresa donde se desarrolla la auditoria.

Presupuestos
ITEM VALOR
tiles y Papelera $60.000
Pago de Honorarios $2000.000
Equipo de Oficina (1 Porttil) $1.500.000
Gastos Generales (Cafetera, Almuerzos, transportes e imprevistos) $700.000
Total, Presupuesto $4.260.000

PLANEAR Y ORGANIZAR

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems,
la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada

P04. Definir procesos, organizacin y relaciones de TI

La administracin del proceso debe definir los procesos, organizacin y relaciones de TI
que satisfaga el requerimiento de la empresa para agilizar la respuesta a la estrategia del
negocio mientras se cumplan los requerimientos de gobierno y se establecen puntos de
contacto definidos y competentes.

OBJETIVOS DE CONTROL
P04.8 RESPONSABILIDAD SOBRE EL RIEGOS, LA SEGURIDAD Y EL
CUMPLIMIENTO
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel
superior apropiado. Definir y asignar roles crticos para administrar los riegos de TI,
Incluyendo la responsabilidad especfica de la seguridad de la informacin, la seguridad
fsica y el cumplimiento. Establecer responsabilidad sobre la administracin del riesgo y la
seguridad a nivel de toda la organizacin para manejar los problemas a nivel de toda la
empresa. Puede ser necesario asignar responsabilidades adicionales de administracin de la
seguridad a nivel de sistemas especfico para manejar problemas relacionados con la
seguridad. Obtener orientacin de la alta direccin con respecto al apetito de riesgo de TI y
la apropiacin de cualquier riesgo residual de TI.

P04.10. Supervisin
Implementar practicas adecuadas de supervisin dentro de las funciones de TI para
garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar
si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y
responsabilidades y para revisar en general los indicadores clave de desempeo
 ENTREVISTA REF

ENTIDAD Almacenes LA 14 S.A PAGINA

AUDITADA DE
AREA AUDITADA PO8
INFORMATICA
OBJETIVO Conocer los diferentes riegos que hay en empresa en
ENTREVISTA referencia con la seguridad de la informacin
ENTREVISTADO

CARGO

1. Conoce la misin y visin de la empresa?

_________________________________________________________
_________________________________________________________
2. Tiene claro las funciones que debe desarrollar en la organizacin?
_________________________________________________________
_________________________________________________________
3. Est usted en la capacidad de identificar y priorizar los riesgos sobre
La informacin que maneja y tiene a cargo
_________________________________________________________
_________________________________________________________
4. Usted ha permitido alguna vez el acceso a la informacin a personas no
autorizadas
_________________________________________________________________
_________________________________________________________________
__
5. Existen controles para que los usuarios no modifiquen a informacin
Importante de la empresa.
__________________________________________________________________
__________________________________________________________________
__
6. Los usuarios del sistema han podido acceder siempre en todo momento a todos
Los datos de la empresa
__________________________________________________________________
__________________________________________________________________
__
7. S tiene definida una poltica para la realizacin de copias de seguridad de los
Datos peridicamente
__________________________________________________________________
__________________________________________________________________
__

__________________________________________________________________
__________________________________________________________________
__
8. Se implementa el mismo tipo de proteccin para el acceso a los datos de las
Copias de seguridad que para los datos de uso

9. Se tiene definida una poltica de restauracin de los sistemas en caso de ataques

Informticos
 FORMATO DE ENTREVISTA
CUESTIONARIO
ALMACENES LA 14 S.A
CUESTIONARIO DE CONTROL
Dominio PLANEAR Y ORGANIZAR
Proceso PO8: ADMINISTRAR LA CALIDAD

Pregunta Se No se OBSERVACIONES
cumple cumple
Las estrategias de la TI son correctas? 1
Hay garanta en los servicios e infraestructura de TI puedan 2
resistir y recuperarse en caso de ataques o desastres?
Hay un uso adecuado de las aplicaciones tecnolgicas? 1
Las tcnicas para fomentar la conciencia de seguridad son
eficientes?
La gerencia ha establecido un ambiente positivo de control de 2
informacin?
La administracin de la informacin es adecuada? 1
Las soluciones tecnolgicas son las adecuadas? 1
El manejo de informacin confidencial es adecuado? 1
Hay garanta en los servicios e infraestructura de TI puedan 2
resistir y recuperarse de fallas o errores?
El uso de la tecnologa es adecuado para el conocimiento de las 1
polticas
El marco de control de la TI es el adecuado? 2
Hay revisiones y actualizaciones de las polticas? 1
La comunicacin de las polticas de control interno y la 2
delegacin de responsabilidades por parte de la gerencia es
adecuada?
El intercambio de informacin es el adecuado? 2
Hay polticas clara de la TI? 2
TOTAL PARCIAL 14 7 TOTAL FINAL 21

Los valores para las preguntas son los siguientes se calificarn de 1 a 3, dependiendo si se
cumple, no se cumple o no aplica
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea
afectado por las acciones de las cuales se est indagando, entre mas alto el porcentaje
mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
TABLA 1. VALORACIN DE RIESGOS
RIESGOS/VALORACION PROBABIL IMPACTO
IDAD
A M B L M C
Hardware
R3 Perdida de informacin si se presenta la falla x x
R4 Posibles fallas en el funcionamiento de los equipos de computo x
Seguridad lgica
R1 Falta de poltica de desactivacin de cuentas de correo x x
Permite el ingreso de personal no autorizado a los sistemas de x x
informacin
Personal del rea
R2 El personal no tiene la aptitud para capacitarse x x
R5 Los usuarios tardan para realizar sus labores x x
Software
R7 Posibles cadas de sistemas en los equipos x x

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico

TABLA 2 MATRIZ DE CLASIFICACIN DE RIESGO

LEVE MODERADO CATASTROFICO

ALTO R5 R1 R6 R3

MEDIO R4 R2 R7
BAJO

CUADRO DE TRATAMIENTO DE RIESGOS

ID. Descripcin Riesgo Tratamiento
Riesgo Riesgo
R1 Falta de poltica de desactivacin de cuentas de correo Controlarlo
R2 El personal no tiene la aptitud para capacitarse Controlarlo
R3 Perdida de informacin si se presenta la falla Controlarlo
R4 Posibles fallas en el funcionamiento de los equipos de computo Transferirlo
R5 Los usuarios tardan para realizar sus labores Controlarlo
R6 Permite el ingreso de personal no autorizado a los sistemas de informacin Controlarlo
R7 Posibles cadas de sistemas en los equipos Transferirlo
R8 Los usuarios tardan para realizar sus labores Aceptarlo

CUADRO DE RIESGOS Y CONTROLES PROPUESTOS

RIESGOS O HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Falta de poltica de CORRECTIVO Crear polticas de seguridad en las cuales cuando un
desactivacin de cuentas de usuario ya no labore en la empresa el administrador del
correo rea de informtica desactivar la cuenta previo informe
semanal del departamento de gestin humana quien
enva listado del personal que ya no laboran en la
empresa.

El personal no tiene la aptitud CORRECTIVO Realizar charlas motivacionales al personal con el

para capacitarse objetivo de aumentar la aptitud a las capacitaciones de
la empresa

Perdida de informacin si se PREVENTIVO Almacenar la informacin de la empresa de manera

presenta la falla automtica a travs de la programacin de copias en un
servidor de respaldo.

Posibles fallas en el CORRECTIVO Contractar una empresa para que realicen el

funcionamiento de los equipos mantenimiento preventivo de los equipos de cmputo
de computo por lo menos dos veces por ao

Los usuarios tardan para PREVENTIVO Realizar capacitaciones al usuario para que se
realizar sus labores concienticen de la importancia de sus funciones y de
esta manera agilicen sus labores
Permite el ingreso de personal CORRECTIVO Controlar el acceso a personas no autorizadas a los
no autorizado a los sistemas de centros de cmputo mediante avisos y capacitaciones
informacin
Posibles cadas de sistemas en DETECTIVO Identificar el porqu de las cadas de sistemas de los
los equipos equipos para de esta manera lograr adquirir equipos que
nos permitan evitar estas cadas
FINALMENTE, CADA ESTUDIANTE DEBE ELABORAR UN CUADRO CON
UNA COLUMNA DE LOS RIESGOS, OTRA CON LOS CONTROLES
PROPUESTOS, Y UNA COLUMNA ADICIONAL CON EL TIPO DE CONTROL
(PREVENTIVO, DETECTIVO, CORRECTIVO, O DE RECUPERACIN).
VULNERABILIDA CONTROLES TIPO DE
# D PROPUESTOS RIESGO CONTROL
el usuario: es la causa
Riesgo laboral
mayor del problema de preventivo
1 symlink races. riesgo de accidente,
la seguridad de un
riesgo de patologa.
sistema informtico
Programas
riesgo geolgico
maliciosos: son
terremotos o sismos,
Secuestro de programas destinados a correctivo
2 erupciones
sesiones. perjudicar o a hacer uso
volcnicas,
ilcito de los recursos
corrimiento de tierra
del sistema.
Intruso: es una persona
riesgo financiero
que consigue acceder a
desbordes de pila y riesgo de crdito,
3 los datos o programas defectivo
otros buffers riesgo de liquidez,
de los cuales no tiene
riesgo de mercado
acceso permitido.
Riesgo biolgico
Siniestro: una mala infeccin viral,
manipulacin o mala epidemia, material
errores de validacin
4 mal intencin provocan biolgico peligroso, correctivo
de entradas
la prdida del material agentes
o de los archivos. microscpicos
altamente patgenos.
acceso no autorizado
Ejecucin de cdigo entrada o accesos no
a las reas preventivo
remoto. autorizados
5 restringidas
Incendios en el
Riesgos destruccin centro de cmputo.
de informacin Fuga de informacin. Perdida de defectivo
confidencial. Falta de disponibilidad integridad de los
6 de aplicaciones crticas. datos.
Perdidas econmicas
perdida de datos prdida de
Riesgos algunos
7 informacin errnea credibilidad. Cada preventivo
ejemplos de riesgos.
daos en hardware de la red. servidor
fuera de servicio
no existe un control y utilizacin de los
8 monitoreo en el recursos del sistema red insegura correctivo
acceso a internet para fines no previstos
 no existe control de alteracin o prdida
los dispositivos de introduccin de de la informacin correctivo
9
almacenamiento informacin falsa registrada en base
(USB, cd, discos) de datos o equipos
es posible modificar
las tablas de
modificaciones del desviar del destino los enrutamiento correctivo
1
trfico y tablas de paquetes hacia otras mediante
0
enrutamiento redes determinados
paquetes de control
del trfico
es importante
cdigo malicioso o destacar la gran preventivo
1 tipos de ataques daino susceptibles de facilidad y velocidad
1 malware causar daos en las de propagacin
redes informticas mediante el correo
electrnico
consisten en descubrir Por fuerza bruta de
las claves utilizadas en diccionario contra el
ataques a los
1 un sistema, o bien diseo del algoritmo preventivo
sistemas
2 descubrir el algoritmo contra los
criptogrficos
utilizado para una dispositivos
posterior reproduccin hardware de control.
se trata de intrusos que
normalmente no
1 se dedican a esto como correctivo
tipos de intrusos suelen causar daos
3 pasatiempo y reto
al sistema
tcnico
persiguen observar el Una forma de
tipo de trfico protegerse de este
1 transmitido usando tipo de ataques es defectivo
anlisis del trfico
4 herramientas sniffers, mediante redes
sin modificar su conmutadas
contenido (switches).
el servidor web est
1 utilizando una versiones de defectivo
5 versin php manipulacin de la software
desactualizada configuracin desactualizadas

TABLA HALLAZGOS

HALLAZGO 1 REF ZN1

Falta de poltica de desactivacin de cuentas de correo R1

PROCESO Seguridad en los datos de informacin PGINA

AUDITADO 1 DE 1

RESPONSABLE Omar Montao Torres

MATERIAL DE
COBIT
SOPORTE

P04.8
Responsabilidad
DOMINIO Planear y Organizar PROCESO sobre el Riesgo,
Seguridad y el
cumplimiento
DESCRIPCIN:
Crear polticas de seguridad en las cuales cuando un usuario ya no labore en la empresa
el administrador del rea de informtica desactivar la cuenta previo informe semanal del
departamento de gestin humana quien enva listado del personal que ya no laboran en la
empresa

REF_PT:
CONSECUENCIAS:
Fuga de informacin
Uso indebido de la informacin por parte de los ex trabajadores
RIESGO:

Probabilidad de ocurrencia: 61

Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Tener polticas de eliminacin de usuarios cuando dejen de laborar en la empresa, el
departamento de gestin humana debe enviar un listado al departamento de sistemas para
comparar y eliminar usuarios del sistema

HALLAZGO 2 REF ZN2

El personal no tiene la aptitud para capacitarse R2

PROCESO PGINA
Capacitacin usuarios
AUDITADO 1 DE 1
RESPONSABLE Omar Montao Torres

MATERIAL DE
COBIT
SOPORTE
P04.6 Establecimiento de
Planear y
DOMINIO PROCESO Roles y
Organizar
Responsabilidades
DESCRIPCIN:
El personal de sistemas no tiene la suficiente capacitacin sobre los cargos que
desempean
REF_PT:
CONSECUENCIAS:
Mal manejo de la informacin y alto riegos que realicen procesos indebidos
RIESGO:

Probabilidad de ocurrencia: 31

Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Plan estructurado de capacitaciones por cargo y funciones a cada uno de los usuarios
sobre los procesos de cada uno debe realizar en cargo y rea de sistemas

HALLAZGO 3 REF ZN1

Perdida de informacin si se presenta la falla R1

PROCESO PGINA
Seguridad en los datos de informacin
AUDITADO 1 DE 1

RESPONSABLE Omar Montao Torres

MATERIAL DE
COBIT
SOPORTE

P04.9
DOMINIO Planear y Organizar PROCESO Propiedad de datos
y de Sistemas

DESCRIPCIN:
Almacenar la informacin de la empresa de manera automtica a travs de la
programacin de copias en un servidor de respaldo

REF_PT:
CONSECUENCIAS:
Perdida de informacin y demora en los procesos
Informacin inoportuna e incumplimiento del proceso
Iteracin de la operacin.
RIESGO:

Probabilidad de ocurrencia: 36

Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Instalar UPS con energa regulada, tener un sistema de circuito elctrico de tal forma que
haya redundancia elctrica hace los equipos computo.

HALLAZGO 4 REF
Posibles fallas en el funcionamiento de los
equipos de computo

PROCESO Funcionamiento de los equipos de PGINA

AUDITADO computo 1 DE 1

RESPONSABLE Oscar rincn

MATERIAL DE
COBIT
SOPORTE
Planear y Establecer posibles
DOMINIO organizar, PROCESO fallas y correcciones
prevencin de los equipos

DESCRIPCIN:
La posible falla de los equipos de cmputo puede deberse a que no se les
genera un mantenimiento ptimo y que no est programado peridicamente.

CONSECUENCIAS:
Falta de mantenimiento ptimo y revisin peridica mente.

RIESGO:
Probabilidad de ocurrencia = 62%
Imparto segn relevancia del proceso: moderado

RECOMENDACIONES:
Se recomiendo realizar una gua donde nos indique un paso a paso para poder
realizar los mantenimientos con una programacin donde a cada equipo se le
realice una revisin total del sistema as podr preveer los daos y saber en
qu estado real mente esta cada computador

ANLISIS DE MADUREZ Y CAPACIDAD DE PROCESOS SEGN COBIT 4

Toda organizacin que pretenda optimizar sus recursos tecnolgicos, y, por lo tanto, ser
ms competitiva, requiere comprender el estado de los Procesos que Gestionan sus
Sistemas de Tecnologa de Informacin y Comunicaciones (TIC), con la finalidad de
establecer el nivel de administracin y control adecuado que debe proporcionar a sus
Sistemas.
Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio detallado donde se
indique la realidad de su Gestin actual, y su posicin frente a la competencia, con esto
como base podr plantear a la Alta Gerencia las prioridades de atencin, para que estos
ltimos puedan alinear estas necesidades con la estrategia de la empresa, y conjuntamente
con la Gerencia TIC, establecer un Plan de Accin que garantice beneficios para la
organizacin.
Ahora bien, es conocido que el desempeo de las actividades diarias de la Gerencia TIC,
suele ofuscar una visin objetiva del estado de sus procesos, y por ende medir la eficiencia
de su Gestin. Por esto, muchas veces, las organizaciones requieren los servicios de una
empresa externa, quien pueda tasar de forma imparcial el estado de sus procesos de Gestin
TIC, identificar donde se requieren mejoras, y proponer hacia donde deben ir.
Est prctica, se traduce, sin lugar a dudas, en beneficio para la organizacin puesto que en
la actualidad es imperativo lograr evolucionar las TIC para adecuarse a la estrategia de la
empresa, funcionando entonces como optimizador de recursos y por ende las TIC s
agregaran valor a las actividades operacionales y de gestin empresarial en general,
permitiendo a la organizacin obtener ventajas competitivas, permanecer en el mercado y
centrarse en su negocio.
Para lograrlo, solemos basarnos en el marco de referencia CobIT, quien sugiere medir la
madurez de los procesos a travs del Process Capability Model, el cual est basado en el
estndar ISO/IEC 15504 Software Engineering Process Assessment Standard. Esta
evaluacin es muy exigente respecto a lo que debe cumplir cada proceso para ascender de
nivel, y permite, entre otras cosas, lo siguiente:
Establecer un punto de referencia para la evaluacin de la capacidad.
Realizar revisiones sobre el estado actual y el estado objetivo para asistir al
rgano de Gobierno y de Gestin de la empresa en la toma de decisiones de
inversiones para la mejora de procesos.
Realizar un anlisis de carencias e informacin sobre la planificacin de mejoras
para apoyar la definicin de proyectos de mejora justificables.
Proporcionar al rgano de Gobierno y de Gestin de la empresa los porcentajes de
evaluacin para medir y monitorizar la capacidad actual.

CALIDAD:
Para las necesidades de este tipo de evaluacin, tomaremos el enfoque de la CMMI que
establece que la calidad de un producto o servicio est altamente influenciada por el
proceso que se utiliza. Para el establecimiento o medicin del nivel de implantacin de las
prcticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos
resultados, pero utilizando estrategias diferentes.
NIVEL DE MADUREZ:
Cuando se habla de un nivel de madurez se debe entender como un conjunto de prcticas,
preestablecidas por el modelo, que se deben garantizar por la Organizacin en su conjunto.
Es decir, o se cumplen todas o no se tiene el nivel de madurez. En trminos del modelo son
las reas de proceso que se consideran en cada nivel de madurez y que van evolucionando.
NIVEL DE CAPACIDAD:
En el caso de los niveles de capacidad la comparacin es ms compleja porque tendra que
evaluarse por cada rea de proceso el nivel que se tiene. Aqu el anlisis cambia en el
sentido de que por cada rea de proceso se evoluciona de generar los artefactos o resultados
del proceso, a gestionar la ejecucin del proceso hasta tenerlo definido como proceso
estndar. Pero nuevamente es un anlisis individual y no de conjunto. La idea es que mejora
la calidad de los productos propios del proceso y en su conjunto contribuyen a mejorar la
calidad del producto o servicio que se desarrolla.
Entonces, para concluir, debemos entender de estos conceptos, que en la medida que se
evoluciona en los niveles de madurez, o capacidad la Organizacin posee elementos para
ofrecer una mayor calidad en el producto o servicio.
Ahora bien, entendido esto, pasamos a explicar que el proceso de evaluacin propuesto por
CobIT, el Modelo de Evaluacin de Procesos (PAM), este modelo ofrece una base para la
evaluacin de los procesos de una empresa de forma fiable, consistente y repetible, basada
en la evidencia para evaluar la capacidad de los procesos TIC. Este modelo se basa en dos
dimensiones, donde se integran las Capacidades que evala la ISO 15504 y los Procesos
propuestos por CobIT:

Dimensin del proceso: en esta dimensin se definen un conjunto de procesos

caractersticos con declaraciones de propsitos y resultado de cada proceso.
Dimensin de la capacidad del proceso: consiste en el marco de medicin que abarca los
seis niveles de capacidad de proceso y sus atributos de proceso.
 NIVELES DE CAPACIDAD

Lo que deseamos con este tipo de evaluacin, es conocer la capacidad de los procesos
implementados por una organizacin, lo que se traduce en determinar la informacin y los
datos que los caracterizan, y el grado en el cual estos logran el propsito para el cual fueron
desarrollados. Este grado ser medido de acuerdo a un conjunto de Atributos de Procesos
(PA), donde cada uno de estos mide un aspecto particular de su capacidad.

ATRIBUTOS DE PROCESO
Como ya hemos comentado anteriormente, el PAM de CobIT 5 se compone de un conjunto
de indicadores de desempeo y capacidad del proceso, los cuales se utilizan como base para
recopilar pruebas objetivas que permitan asignar calificaciones. Esta prueba corresponde a
cada una de las dimensiones previamente indicada:

Para concluir con el anlisis de Madurez, es importante destacar que la decisin de una
organizacin de invertir en la mejora de los procesos TIC debe estar basada en la
comprensin de la importancia estratgica para cada uno de sus objetivos. El resultado de
esta evaluacin permitir disear un plan de Accin para la optimizacin de los procesos y
recursos de la gestin TIC.
Para ello se debe desarrollar una lista de prioridades de los objetivos que requieren mayor
atencin, y a travs de las buenas prcticas aplicables en el dominio de inters optimizar su
Gestin. Luego se puede alinear esta lista con la estrategia de la Empresa, lo que permitir
comenzar a recorrer el camino a la mejora Organizacional.
 DICTAMEN DE LA AUDITORIA

En este dictamen se presentan los resultados definidos de la auditoria y las

recomendaciones de mejoramiento por cada proceso COBIT auditado una vez revisadas las
observaciones y aclaraciones hechas por la empresa al grupo Auditor.

PROCESO P04 Definir los procesos, Organizacin y Relaciones TI

OBJETIVO DE LA AUDITORIA
El objetivo de es definir los requerimientos de personal, funciones, roles y
responsabilidades para asegurar la transferencia y el control de los procesos, determinando
las prioridades de los procesos de TI alineados con las necesidades de la empresa, para
proteger la informacin.

DICTAMEN DE RIEGOS DETECTAOS

Se considera un nivel de madurez 3 debido que existen roles y responsabilidades definidos

para la organizacin de TI y para los terceros, debido que se definen un ambiente de control
interno y existen ideas claras de los usuarios sobre la funciones a realizar teniendo como
base la proteccin de la informacin. Existe una definicin formal de las relaciones con los
usuarios y con terceros, la definicin de roles y responsabilidades est definida e
implementada

INFORME DE AUDITORIA

Santiago de Cali, Diciembre 10 2016

Seor:
Francisco Nicols Solarte
Tutor
Auditoria de Sistemas
REF: Auditoria de Sistemas aplicada a la empresa Almacenes LA 14 S.A

Cordial saludos

Se informa que se realiz la auditoria a la empresa Almacenes LA 14 S.A donde se evalu

los riesgos y problemas sobre los procesos de organizacin y relaciones TI.
Los objetivos fueron enfocados a:
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel
superior apropiado.
Definir y asignar roles crticos para administrar los riegos de TI, Incluyendo la
responsabilidad especfica de la seguridad de la informacin, la seguridad fsica y el
cumplimiento.
Establecer responsabilidad sobre la administracin del riesgo y la seguridad a nivel de toda
la organizacin para manejar los problemas a nivel de toda la empresa.

Los resultados obtenidos fueron los siguientes:

Despus de examinar los diferentes procedimientos y revisar los procesos y la organizacin
de los mismos, se ha determinado que la informacin esta vulnerable al acceso de
exfuncionario de la empresa, en las oficinas no se encuentra un proceso o procedimiento
para el manejo y acceso de la informacin, tambin carece de un sistemas de registro de
ingreso electrnico al datacenter, el nico monitoreo actual es una bitcora donde cada
personal que ingresa relaciona sus datos como nombre, cdigo, fecha y funciones que
realizara.

RECOMENDACIONES.

Se recomienda tener un control electrnico para el acceso de los usuarios al Datacenter.

Implementar practicas adecuadas de supervisin dentro de la funcin TI para garantizar los
roles y responsabilidades de los usuarios que manejan la informacin importante.
Evaluar los requerimientos de personal de forma regular para cuando se realicen cambios
importantes de personal garantizar las funciones de TI para soportar adecuada y
apropiadamente las metas y objetivos de la empresa.
Definir e identificar el personal clave de TI y minimizar en una sola persona las funciones
importantes de la empresa.
Se debe contratar empresa externa que manejen la informacin y asegurarse que cumplan
con las polticas organizacionales de la empresa.

Atentamente:

Oscar Andrs Rincn Omar Montao Torres

CC 1 070 918 249 CC. 16 792 094
Auditor de Sistemas Auditor de Sistemas

CONCLUSIONES

La Auditora de Sistemas hoy en da es de vital importancia para las empresas

modernas con visin de futuro, sobre todo inmersas en el mundo globalizado,
porque si no se prever los mecanismos de control, seguridad y respaldo de la
informacin dentro de una institucin se ver sumida a riesgos lgicos, fsicos y
humanos, que con lleven a fraudes no solamente econmicos sino de informacin,
es decir, prdidas para la empresa.

La auditora de sistemas deber comprender no slo la evaluacin de los equipos de

cmputo de un sistema o procedimiento especfico, sino que adems habr de
evaluar los sistemas de informacin en general desde sus entradas, procedimientos,
controles.
 BIBLIOGRAFIA

CASTRO, Carlos. Auditoria y evaluacin de sistemas gua de estudio.

Bogota:
UNAD. 1999.

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

http://www.monografias.com/trabajos11/siste/siste.shtml