Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas
Grupo: 90168_19

Fase 2. Planeación de la Auditoria.

Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1.114.451.738
PAOLA ANDREA RODRIGUEZ
Código: 52.667.062
LUIS CARLOS CABAL
Código: 1.113.676.091
JEISSON LENIS MARULANDA
Código: 1.113.654.486
DIEGO FERNANDO VARELA HEREDIA
Código: 1.113.639.731

Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)
Marzo de 2018
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, realizaremos un cuadro de vulnerabilidades, amenazas y
riesgos para definir el objetivo de la auditoría en el plan de auditoría de la empresa seleccionada en la
fase anterior.
En este plan de auditoria se definirá, a parte del objetivo de la auditoria; los alcances, la metodología
con la que se realizara la auditoria, los recursos necesarios para la auditoria y un cronograma de
actividades para llevar a cabo la auditoria.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

OBJETIVOS

 Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante
 Consolidar el cuadro de vulnerabilidades, amenazas y/o riesgos existentes para definir el objetivo de la auditoría
 Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas
 Diseñar el plan de auditoría de acuerdo a los riesgos detectados en la empresa que ha sido seleccionada
 Elegir los dominios, procesos y objetivos de control de la norma CobIT que será aplicada

INFORME DE CONSTRUCCIÓN GRUPAL

1. Realizar la lectura de los temas de la primera unidad correspondientes a los conceptos generales de auditoría de sistemas
2. Vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante
Activo Vulnerabilidades Amenazas / Factores Riesgo
Todo el personal del área de
Acceso a la Base de desarrollo tiene acceso y Borrado de la base de datos. Acceso a registro de la base
Base de Datos
datos conocimiento al usuario de de datos con data sensible.
conexión de producción de la base
de datos, no tienen un usuario
Acceso a la Base de genérico o personal para realizar las Negación de servicios a consultas, secuestro o robo de la
Base de Datos consultas o tareas que desean información.
datos
Universidad Nacional Abierta y a Distancia – UNAD
realizar. Programa: Ingeniería de Sistemas
Escuela: Ciencias Básicas Tecnología e Ingeniería
Curso: Auditoria
Todosde los
Sistemas
desarrolladores tienen Cambio en la estructura por no tener conocimiento del
Usuarios/Desarrollado
acceso a la configuración de la funcionamiento de la aplicación. El Desarrollador no
res Información o Error Funcional
aplicación que entrega facturación tuvo capacitación a nivel del uso de las aplicaciones de
data de clientes
al cliente. cliente.

Usuarios/Desarrollado
Seguridad de la Pérdida de información
res Información o Robo, alteración de la información.
Información confidencial de la compañía.
data de clientes

Usuarios/Desarrollado
Seguridad de la Pérdida de información Por accidente o de forma intencional eliminar información
res Información o
Información confidencial de la compañía. confidencial.
data de clientes

Pérdida de información por no La mayoría de usuarios manejan archivos en sus PC que
Usuarios/Desarrollado
Seguridad de la realizar Backups de archivos de no están en red, por tal motivo si no se realizan los
res Información o
Información cada usuario ni alojarlos en la backups, es muy difícil recuperar algún tipo de
data de clientes
carpeta disponible en el servidor. información en caso de daño del equipo (disco duro).
Pérdida o robo de información catalogada como crítica
para el desarrollo de las actividades laborales. La empresa
Usuarios/Desarrollado
Seguridad de la No respaldo de la información debe de contar con software que automatice la realización
res Información o
Información crítica. de los respectivos back ups incrementales en dos
data de clientes
instancias distintas las cuales son: copia local (En los
discos duros NAS) y copia en la nube.
Las llamadas y la administración del mismo servidor se
Actualmente el servidor de pueden ver afectada, la información puede ser tomada para
Usuarios/Desarrollado
Seguridad de la llamadas o servidor de manipulación. Y debido a las políticas que debe tener una
res Información o
Información telecomunicaciones no posee un empresa de la no-publicación de los nombres y datos
data de clientes
firewall instalado. personales o conversaciones de usuarios. Compromete a
la empresa en ser más estricta para
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Dispositivos
Usuarios/Desarrollado No se controla el uso de
extraíbles (USB, Robo de información confidencial Propagación de virus
res Información o dispositivos extraíbles dentro de la
discos duros provenientes de estos dispositivos.
data de clientes organización
portables, CDS)

Usuarios/Desarrollado No recuperación de la información o data. Información
res Información o Copias de Seguridad Perdida de datos con errores. No existe una recuperación de los datos en
data de clientes caso de un desastre

Usuarios/Desarrollado
Contracción de Virus sea Gusanos Contaminación del activo, teniendo pérdidas de la
res Información o Antivirus
y/o Troyanos información.
data de clientes

Usuarios/Desarrollado
res Información o Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada.
data de clientes

Actualmente los usuarios cuentan
Usuarios/Desarrollado Contraseñas de Otros usuarios pueden interferir en el trabajo de sus
en las aplicaciones que manejan
res Información o usuarios sin compañeros y manipular sus trabajos y datos de
una contraseña que tienen por
data de clientes personalizar actividades
defecto asignado.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

No hay atención o soporte de parte
Servidores Servidores Daños del Software.
del Proveedor por la versión de SO

Capacitación al
Personal Malas prácticas de trabajo
personal de TI El personal de TI de la
organización no recibe
capacitación y actualización sobre
Capacitación al las nuevas tecnologías salientes. Falta de conocimientos para atender los mantenimientos
Personal
personal de TI de los equipos nuevos.

Información muy
centralizada, es decir Información no revisada por los Continuas renuncias por parte del personal que labora en
Personal
todo depende de la superiores en la sede principal la sede principal y colapsos continuos
sede Bogotá
La red de Biblioteca
Falta de capacitaciones al personal
de la sede muy
Personal que maneja las bases de datos Poco uso de la biblioteca y sus herramientas virtuales
apartada de todos los
bibliográficas
procesos
Grupos de estudios
demasiados grandes Capacidad desborda del personal
Colapso en la utilización de las salas de cómputo y clínica
Personal lo que supera el docente y administrativo para
odontológica
número de puesto en satisfacer a todos
las aulas
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Continuas amenazas de paros por
Falta apoyo en el Colapso del personal que labora por falta de auxiliares y
parte de los estudiantes por
Personal personal de seguridad los que se encuentran están muy saturados por ser una sede
inconformidades en muchas de las
de la sede tan grande
dependencias
Falta de Impresoras
Impresoras muy obsoletas para
en algunas áreas por Cantidad de papel perdido por malas prácticas y malos
Personal mejorar la calidad de algunos
lo que retrasa algunos manejos en las impresiones
procesos
procesos
Algunos usuarios no revisan el
Uso de papel papel, este no debe tener ganchos El gancho ocasiona daños en la fusora de la impresora y
Hardware
reciclado de cosedora, para ser utilizados en por ende gastos económicos para la empresa.
las impresoras.
Falta de control de inventario de
equipos tecnológicos como
Inventario
Hardware computadores, video proyector, Pérdida o robo de hardware.
tecnológico
UPS, Switch, multimedia y
antenas WI-FI.

Plan de
Hardware Deterioro de los equipos.
mantenimientos. Falta de un cronograma de
mantenimientos preventivos para
todos los equipos tecnológicos de la
Plan de organización.
Hardware Fallos y malfuncionamiento.
mantenimientos.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Plan de
Hardware Sobrecostos por falta de mantenimiento.
mantenimientos.

Los equipos no cuentan con sus
respectivas hojas de vida, donde se
puedan identificar el histórico de
Hoja de vida de los Falta de trazabilidad en cuanto a los mantenimientos
Hardware mantenimientos correctivos,
equipos. realizados.
preventivos o predictivos además
como también los cambio en
hardware y software.

Dispositivos Pérdida de información capturada Por ser un dispositivo pequeño, corre el riesgo romperse o
Hardware
electrónicos (Tablet) en Tablet. de robo.

Debido a que la energía es
proporcionada directamente por No se cuentan con las UPS necesarias para mantener pro
Hardware Suministro de energía Ingenio Providencia S.A, los tiempos prolongados a los equipos tecnológicos,
bajones de energía son constantes provocando retrasos en las actividades diarias.
dentro de la organización.
Daño o robo de
Pérdida de información importante Por estar ubicados en lugares semiabiertos, están
sensores del Clima
Seguridad Física de grados y temperatura que estos expuestos al agua y a químicos debido a las aspersiones y
ubicados en los
sensores capturan en cada bloque. otros factores naturales.
bloques
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Daño o robo de
sensores del Clima
Seguridad Física También están expuestos a robo
ubicados en los
bloques

No se tiene un control de plagas o Daños en la infraestructura de red o en los equipos
Seguridad Física Control de animales
roedores tecnológicos ocasionados por animales.

Daño o robo en
Por estar en lugares dispersos de la finca, están expuestos
equipos PC y Descontrol del manejo del riego
Seguridad Física al robo o daño de estos equipos ya que no está vigilado
Controladores automatizado de la finca.
permanentemente.
MIRFE
Propagación de malware en los
Malfuncionamiento, robo o pérdida de información
Seguridad Lógica Ataques informáticos equipos de cómputo de la
relevante para la organización.
organización.
Roles y Usuarios del software ERP,
responsabilidades en software contable, intranet y Modificación y consulta inapropiada de registros
Seguridad Lógica
los sistemas de demás programas usados para la financieros.
información administración de la organización
Roles y con permisos "roles" para crear,
responsabilidades en modificar, eliminar y consultar Modificación y consulta inapropiada de registros de
Seguridad Lógica registros, sin ningún tipo de
los sistemas de cadena de suministros.
información restricción.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Roles y
responsabilidades en Usuarios con asignación doble de permisos para creación
Seguridad Lógica
los sistemas de y autorización de documentos.
información
Por falta de información y capacitación, se corre el riesgo
Seguridad Lógica Phishing Recepción de correo malicioso de abrir link que contiene virus que pueden robar o causar
daño en la información

Falta de firewall y Fortinet para
Seguridad Lógica Firewall proteger la red de la organización Robo de información
contra ataques externos.

Falta de firewall y Fortinet para
Perdida de velocidad de transferencia y/o negación del
Seguridad Lógica Firewall proteger la red de la organización
servicio
contra ataques externos.

Falta de firewall y Fortinet para
Seguridad Lógica Firewall proteger la red de la organización Accesos no autorizados a la red
contra ataques externos.

No actualización o
Seguridad Lógica Firewall Robo de Data de la compañía o de clientes
Robustecimiento del Firewall
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Acceso o restricciones
Acceso a Sitios web que tienen Instalación de malware en los equipos o servidores de
Seguridad Lógica a navegación
malware o Troyanos. producción. Contaminación del equipo del desarrollador.
(Internet)

Seguridad Lógica Phishing Recepción de correo malicioso Captura de datos e instalación de malware

Red sin protección mediante Robo de Data de la compañía o de clientes. Permisión al
Seguridad Lógica Redes LAN
Firewall hacker al ambiente productivo, para un ataque por virus.

Existen malos procedimientos en
Ausencia de el alistamiento de un nuevo Mal configuración de la máquina virtual, dejándola
Seguridad Lógica
documentación servidor para algún cliente o expuesta al acceso de todos los usuarios.
producto en especial.
Por tema legal o auditoria constante
Uso de Software sin Demanda por parte del fabricante de software. Sanción de
Software la empresa puede tener alguna
licencia parte de la Dian.
sanción por la piratería.
No se tiene un lugar adecuado para
Documentación/Licen guardar todos los documentos de Se puede perder dicha documentación que es importante
Software
ciamiento PC los equipos como sus licencias y en caso de ser auditada por la Dian
programas.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Ejecución de software no
Licenciamiento de
Software licenciado dentro de la Multas de ley por utilización de software no licenciado
software
organización

Sistema antiguo Un computador con sistema Daños en el sistema antiguo por falta de actualización de
Software manejado por un solo operativo Windows 98 maneja dicho sistemas operativo y aplicativo que maneja este
equipo información de muchos años atrás sistema
Poca capacidad de los
Falta de instalación
computadores para instalar varios
Software del programa como Perdida de programas excelente por su poco usp
programa de diseño y de
como Matlab
investigación al tiempo
Falta de Software y pc
Demora en la elaboración de Perdidas de historias clínicas por falta de computadoras y
Software para historias en la
historias clínicas software para este proceso
clínica Odontológica
Páginas web hechas en la Debido a que las herramientas de Joomla estén con una
herramienta Joomla las cuales su versión desactualizada o extinta e imposible de
Software Ataques informáticos
versión está desactualizada u actualizar, puede ser objeto de ejecución de scripts en el
obsoleta. hosting en donde actualmente están subidas.
Errores y malfuncionamiento de
Sistemas de Fallas en los sistemas los diferentes sistemas Negación de actividades operativas y administrativas de
información de información informáticos utilizados para la la organización.
administración de la organización.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Suspensión de los servicios
Sistemas de Denegación del servicio de correo corporativo, pagina
Dominio corporativo conexos al dominio
información web, y servicios de Google Suite
cfiprovidencia.com

Se expone el riesgo de mantener la vigilancia por cámaras
Sistemas de No hay soporte oportuno para el
Cámaras de seguridad en los sitios estratégicos de la empresa, despachos,
información arreglo de las cámaras de seguridad
portería, lockers, bicicleteros, oficinas etc.
Cuando la red falla, algunos
Sistemas de Fallas de conexión de biométricos presentan fallas y no Se corre el riesgo de registrar novedades de ausencia al
información Biométricos permite registrar el ingreso o personal o reprocesos de verificación de asistencia.
salida del personal.
Por falta de atención o
Sistemas de Bloqueo usuario información, bloquean el usuario Retraso en las labores que realizan las personas que usan
información soporte de Soporte, ya que algunos este usuario genérico.
acceden con este usuario genérico.
Se retrasa la labor de lectura en
Colapso en el proceso de entrada y salida de flor en
sistema de la recepción, salida de
Sistemas de Fallas de los lectores recepción y se llenan las bandas de ramos y se podrían
las cajas de flor, como también de
información código de barras pasar cajas o ramos sin leer lo que afecta la información
los ramos bonchados, por no tener
de producción e inventarios.
lectores de reserva.
Daño o robo en
Retraso en la toma de decisiones Se corre el riesgo de someter a las plantas en exceso o
Sistemas de equipos PC y
para actuar ante una necesidad del falta de agua y/o fertilizantes adecuados para su
información Controladores
riego productividad.
MIRFE
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

El cableado del
Redes y Se presenta problemas en la No hay atención oportuna del incidente de red. Perdidas
DataCenter no cumple
comunicaciones comunicación de los servidores. de paquetes.
con las normas
No existe un control El personal de las redes, pueden ocasionar daños en otras
Cuando se presenta problemas de
Redes y de las nuevas conexiones de red que van a otros servidores, ya que no lo
comunicación o aislamiento se
comunicaciones conexiones cableadas realizan bajo una norma. No atención oportuna de una
desconoce de dónde proviene.
en los switches caída de red.
Acceso o restricciones Acceso a YouTube o emisoras Se ponen lentos los programas que requieren trabajar con
Redes y
a navegación online que ocupan el ancho de internet y retrasan los procesos informáticos, como
comunicaciones
(Internet) banda. despachos, recepción de flor.

Hay un rack que tiene muchos El cableado supera los 10 años de uso en algunos casos
En la sede los router
Redes y años y no ha sido cambiado ni sin ser cambiado
no tienen contraseñas
comunicaciones actualizado
Algunos usuarios
desconocen temas
No hay unas políticas claras de
Redes y relacionados con la Algunos router sin contraseñas por lo que cualquier
seguridad de la información en la
comunicaciones seguridad de la usuario se conecta a la red
sede
información con que
cuentan y manejan
Altibajos de energía
Bodedos de madera que llevan
Redes y en algunos edificios Incendio por falta de mantenimiento en los cableados de
muchos años y pasa gran parte del
comunicaciones de la sede, sobre todo energía
cableado por encima
en los bloques A y C
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Falta de capacitación
Redes y para las personas del Mucho conflicto por malas conexiones en los diferentes
No existe un mapa de redes
comunicaciones área de sistemas de la cables
sede

Redes y Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos
comunicaciones el wifi están los cables red(Utp) audiovisuales y de comunicaciones.

Redes y Cableados por fuera Router muy obsoletos para cubrir la cantidad de personas
Fallas en la configuración de router
comunicaciones de las canaletas que se conectan

Redes y Falta de líneas Cableado telefónico en muy mal
Cajas telefónicas muy obsoletas y con mucho desorden
comunicaciones telefónicas estado
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

3. Consolidar el cuadro de vulnerabilidades, amenazas y/o riesgos existentes para definir el objetivo de la auditoría.
Al realizar el consolidado se determinó que los activos en donde más es recurrente la vulnerabilidad son:
- Control de usuarios
- Seguridad lógica ( seguridad de la información)
- Redes y Comunicaciones

Activo Vulnerabilidades Amenazas / Factores Riesgo
Usuarios/Desarrollador Error Funcional Todos los desarrolladores tienen Cambio en la estructura por no tener conocimiento del
es Información o data acceso a la configuración de la funcionamiento de la aplicación. El Desarrollador no tuvo
de clientes aplicación que entrega facturación al capacitación a nivel del uso de las aplicaciones de cliente.
cliente.
Usuarios/Desarrollador Seguridad de la No respaldo de la información Pérdida o robo de información catalogada como crítica
es Información o data Información crítica. para el desarrollo de las actividades laborales. La empresa
de clientes debe de contar con software que automatice la realización
de los respectivos back ups incrementales en dos instancias
distintas las cuales son: copia local (En los discos duros
NAS) y copia en la nube.
Usuarios/Desarrollador Seguridad de la Actualmente el servidor de llamadas Las llamadas y la administración del mismo servidor se
es Información o data Información o servidor de telecomunicaciones no pueden ver afectada, la información puede ser tomada para
de clientes posee un firewall instalado. manipulación. Y debido a las políticas que debe tener una
empresa de la no-publicación de los nombres y datos
personales o conversaciones de usuarios. Compromete a la
empresa en ser más estricta para
Usuarios/Desarrollador Copias de Seguridad Perdida de datos No recuperación de la información o data. Información con
es Información o data errores. No existe una recuperación de los datos en caso de
de clientes un desastre
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Usuarios/Desarrollador Dispositivos extraíbles No se controla el uso de dispositivos Robo de información confidencial Propagación de virus
es Información o data (USB, discos duros extraíbles dentro de la organización provenientes de estos dispositivos.
de clientes portables, CDS)
Usuarios/Desarrollador Antivirus Contracción de Virus sea Gusanos Contaminación del activo, teniendo pérdidas de la
es Información o data y/o Troyanos información.
de clientes
Usuarios/Desarrollador Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada.
es Información o data
de clientes
Usuarios/Desarrollador Contraseñas de Actualmente los usuarios cuentan en Otros usuarios pueden interferir en el trabajo de sus
es Información o data usuarios sin las aplicaciones que manejan una compañeros y manipular sus trabajos y datos de
de clientes personalizar contraseña que tienen por defecto actividades
asignado.
Seguridad Lógica Ataques informáticos Propagación de malware en los Malfuncionamiento, robo o pérdida de información
equipos de cómputo de la relevante para la organización.
organización.
Seguridad Lógica Roles y Usuarios del software ERP, software Modificación y consulta inapropiada de registros
responsabilidades en contable, intranet y demás programas financieros.
los sistemas de usados para la administración de la
información organización con permisos "roles"
para crear, modificar, eliminar y
consultar registros, sin ningún tipo
de restricción.
Seguridad Lógica Roles y Usuarios del software ERP, software Usuarios con asignación doble de permisos para creación
responsabilidades en contable, intranet y demás programas y autorización de documentos.
los sistemas de usados para la administración de la
información organización con permisos "roles"
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

para crear, modificar, eliminar y
consultar registros, sin ningún tipo
de restricción.
Recepción de correo malicioso
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Seguridad Lógica Phishing Usuarios del software ERP, software Por falta de información y capacitación, se corre el riesgo
contable, intranet y demás programas de abrir link que contiene virus que pueden robar o causar
usados para la administración de la daño en la información
organización con permisos "roles"
para crear, modificar, eliminar y
consultar registros, sin ningún tipo
de restricción.
Recepción de correo malicioso
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Seguridad Lógica Firewall Usuarios del software ERP, software Perdida de velocidad de transferencia y/o negación del
contable, intranet y demás programas servicio
usados para la administración de la
organización con permisos "roles"
para crear, modificar, eliminar y
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

consultar registros, sin ningún tipo
de restricción.
Recepción de correo malicioso
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
No actualización o Robustecimiento
del Firewall
Seguridad Lógica Firewall Usuarios del software ERP, software Accesos no autorizados a la red
contable, intranet y demás programas
usados para la administración de la
Seguridad Lógica Firewall organización con permisos "roles" Robo de Data de la compañía o de clientes
para crear, modificar, eliminar y
consultar registros, sin ningún tipo
Seguridad Lógica Acceso o restricciones de restricción. Instalación de malware en los equipos o servidores de
a navegación Recepción de correo malicioso producción. Contaminación del equipo del desarrollador.
(Internet) Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
Falta de firewall y Fortinet para
proteger la red de la organización
contra ataques externos.
No actualización o Robustecimiento
del Firewall
Acceso a Sitios web que tienen
malware o Troyanos.
Seguridad Lógica Redes LAN Red sin protección mediante Firewall Robo de Data de la compañía o de clientes. Permisión al
hacker al ambiente productivo, para un ataque por virus.

Seguridad Lógica Ausencia de Existen malos procedimientos en el Mal configuración de la máquina virtual, dejándola
documentación alistamiento de un nuevo servidor expuesta al acceso de todos los usuarios.
para algún cliente o producto en
especial.
Redes y comunicaciones El cableado del Se presenta problemas en la No hay atención oportuna del incidente de red. Perdidas
DataCenter no cumple comunicación de los servidores. de paquetes.
con las normas
Redes y comunicaciones No existe un control Cuando se presenta problemas de El personal de las redes, pueden ocasionar daños en otras
de las nuevas comunicación o aislamiento se conexiones de red que van a otros servidores, ya que no
conexiones cableadas desconoce de dónde proviene. lo realizan bajo una norma. No atención oportuna de una
en los switches caída de red.
Redes y comunicaciones Acceso o restricciones Acceso a YouTube o emisoras online Se ponen lentos los programas que requieren trabajar con
a navegación que ocupan el ancho de banda. internet y retrasan los procesos informáticos, como
(Internet) despachos, recepción de flor.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Redes y comunicaciones En la sede los router no Hay un rack que tiene muchos años y El cableado supera los 10 años de uso en algunos casos sin
tienen contraseñas no ha sido cambiado ni actualizado ser cambiado

Redes y comunicaciones Algunos usuarios No hay unas políticas claras de Algunos router sin contraseñas por lo que cualquier
desconocen temas seguridad de la información en la sede usuario se conecta a la red
relacionados con la
seguridad de la
información con que
cuentan y manejan
Redes y comunicaciones Altibajos de energía en Bodedos de madera que llevan Incendio por falta de mantenimiento en los cableados de
algunos edificios de la muchos años y pasa gran parte del energía
sede, sobre todo en los cableado por encima
bloques A y C
Redes y comunicaciones Falta de capacitación No existe un mapa de redes Mucho conflicto por malas conexiones en los diferentes
para las personas del cables
área de sistemas de la
sede
Redes y comunicaciones Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos
el wifi están los cables red(Utp) audiovisuales y de comunicaciones.

Redes y comunicaciones Cableados por fuera de Fallas en la configuración de router Router muy obsoletos para cubrir la cantidad de personas
las canaletas que se conectan

Redes y comunicaciones Falta de líneas Cableado telefónico en muy mal Cajas telefónicas muy obsoletas y con mucho desorden
telefónicas estado
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

4. Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas.

EMPRESA SELECCIONADA PARA AUDITAR

La Universidad Antonio Nariño cuenta con 37 sedes a nivel nacional y la sede Principal se
encuentra ubicada en la ciudad de Bogotá D.C.

ORGANIGRAMA GENERAL
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Recursos y sistemas de información, los cargos y funciones del personal que atiende los
servicios del área informática.

La Dirección de Tecnologías de Información y Comunicaciones (DTIC) es una dependencia adscrita
a la Vicerrectoría Administrativa que articula los servicios que requiere la Universidad en materia de
software e infraestructura tecnológica.
Cuenta con los siguientes cargos en área en el área informática, todas estas personas quienes dirigen
el sistema a nivel nacional se encuentran en la ciudad de Bogotá que a su vez delegan algunas funciones
a las diferentes sedes, allí se encuentran los monitores de centros de cómputos quienes son los
responsables en cada una de las ciudades donde hay una UAN

 Director TIC

 Jefe centro de apoyo
para el aprendizaje virtual
CAAV:

Jefe universidad virtual:

 Jefe sistema de información financiero y administrativo
SIFA:

 Administrador de redes e internet:

Web master
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

5. Planeación de la auditoria.

5.1. Objetivo General

Realizar la auditoria a la red de datos, a la seguridad de la información y control de
usuarios de la Universidad Antonio Nariño ubicada en la ciudad de Palmira.

5.2. Objetivos Específicos
5.2.1 Reconfigurar y dar una mejor ubicación a los dispositivos de wifi para dar
una mejor cobertura de internet.
5.2.2 Revisar el cableado estructurado de la red con el fin de saber el estado en que
se encuentra y verificar la posibilidad de cambiar algunos dispositivos como
hub por Switch.
5.2.3 Identificar las amenazas y vulnerabilidades a las que están supeditados los
procesos activos y críticos durante su operación, teniendo en cuenta un
constante flujo de los datos a través de la red y elaborando un esquema de
seguridad.
5.2.4 Evaluar copias de respaldo de la información sensible de la organización y
contar con una copia fuera de sus instalaciones o según las políticas
establecidas por la universidad.
5.2.5 Identificar si el bloqueo de navegación no permitida ó limitación de páginas
web por firewall instalado es efectivo mediante pruebas con instalaciones de
aplicaciones de navegación externas u otras formas de ingreso no
recomendables.
5.2.6 Evaluar políticas para el uso adecuado de las Tecnologías de información y
comunicación, comprometiendo políticas de contraseña, políticas de internet
y correo electrónico, políticas para el uso del software y políticas de
capacitación
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

5.3 Alcance

De la red de datos se evaluará los siguientes aspectos:
- El cableado estructurado de la red.
- La seguridad de la Red Corporativa
- Ubicación y acceso de routers.
- Mantenimiento de la Red

De la seguridad de la información se evaluará los siguientes aspectos:

- Patrón de contraseñas en cada equipo
- Archivos maliciosos descargados y/o ejecutados
- Programa de Antivirus
- Licenciamiento de los equipos estén en regla.
- Copias de seguridad

Del control de usuarios se evaluará los siguientes aspectos:
- Bloqueo de equipos.
- Navegación en páginas no permitidas según políticas de la Universidad.
- Capacitación a los usuarios en el manejo adecuado y seguridad de la información.

5.4 Metodología

Se utilizará como metodología de trabajo el uso de la norma CobIT que contempla
dentro de sus procesos un plan que evalúa tecnologías de información y comunicaciones
en los procesos empresariales.

Metodología Objetivo 5.2.1

- Conocer los problemas más frecuentes en la red por parte del TI de la Universidad
- Solicitar mapa y/o ubicación de los dispositivos de Wifi

Metodología Objetivo 5.2.2

- Solicitar mapa de la estructura de red.
- Conocer el estado del cableado.
- Solicitar inventario de los dispositivos (Switch)
- Verificar el estado de los dispositivos (Switch).
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Metodología Objetivo 5.2.3

- Solicitar esquema de seguridad de la red

Metodología Objetivo 5.2.4

- Solicitar plan de seguridad de la información según políticas de la Universidad.
- Solicitar acceso para verificar las copias de seguridad.

Metodología Objetivo 5.2.5

- Solicitar plan de políticas de la Universidad en cuanto a la navegación de las páginas
web no autorizadas.
- Validar el acceso y navegación a las páginas web no autorizadas según políticas de la
Universidad.

Metodología Objetivo 5.2.5

- Solicitar plan de seguridad de la información según políticas de la Universidad.

- Solicitar registro de capacitaciones realizadas en el manejo de tecnología y de los
sistemas.

5.5 Recursos humanos:

- Paola Andrea Rodríguez
- Roberto José Serrano
- Diego Fernando Varela
- Luis Carlos Cabal
- Jeisson Lenis

Recursos Tecnológicos:
- Cámara fotográfica para pruebas que servirán de evidencia
- Papel (listas de chequeo)
- Esferos, lápices
- Computador Portátil
- Software para pruebas de auditoría sobre escaneo y tráfico en la red.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Recursos Económicos:

Ítem Cantidad subtotal
Cámara digital 1 400.000
Papel (listas de chequeo, 50 2500
informe)
Esferos, lápices 5 6.000
Computador Portátil 1 2.000.000
Total 2.408.500

5.6 Cronograma

CRONOGRAMA AUDITORIA UNIVERSIDAD ANTONIO NARIÑO
SEMANA SEMANA SEMANA
TAREAS SEMANA 1 2 3 4 RECURSOS
13 abril de 2018 a 13 mayo de 2018
1 Apertura Auditoria
1,1 Reunión de apertura
1,2 Solicitud de información para auditoria
1,3 Planteamiento auditoria
2 Red de Datos
2,1 Estructura del cableado de Red
2,2 Seguridad de la Red Corporativa
2,3 Ubicación y acceso de routers
2,4 Mantenimiento de la Red
3 Seguridad de la información
3,1 Patrón de contraseñas en cada equipo
Archivos maliciosos descargados y/o
3,2
ejecutados
3,3 Programa de Antivirus
3,4 Licenciamiento de los equipos
3,5 Copias de seguridad
4 Control de Usuarios
4,1 Bloqueo de equipos

4,2 Navegación en páginas no permitidas
según políticas de la Universidad
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Capacitación a los usuarios en el
4,3 manejo adecuado y seguridad de la
información
5 Cierre auditoria
5,1 Reunión de cierre
5,2 Hallazgos
5,3 Informe auditoria
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

6. De acuerdo al objetivo de la auditoría, elegir los dominios, procesos y objetivos de control de la norma CobIT que será aplicada.
Teniendo en cuenta la norma CobIT 4.1, los dominios, procesos y objetivos de control que se aplicaran en la auditoria son:

DOMINIO PROCESOS OBJETIVOS DE CONTROL
El objetivo es asegurar el conocimiento y
comprensión de los usuarios sobre las PO6.1 Ambiente de Políticas y de Control
aspiraciones de la gerencia, a través de políticas
PO6.2 Riesgo Corporativo y Marco de Referencia de Control
establecidas y transmitidas a la comunidad de
PO6 Interno de TI
usuarios, necesitándose para esto estándares
para traducir las opciones estratégicas en reglas PO6.3 Administración de Políticas para TI
de usuario prácticas y utilizables. PO6.4 Implantación de Políticas de TI
PO6.5 Comunicación de los Objetivos y la Dirección de TI
Planificación y
Organización Evaluación de riesgos: El objetivo es asegurar
el logro de los objetivos de TI y responder a las PO9.1 Marco de Trabajo de Administración de Riesgos
amenazas hacia la provisión de servicios de TI, PO9.2 Establecimiento del Contexto del Riesgo
mediante la participación de la propia
PO9.3 Identificación de Eventos
PO9 organización en la identificación de riesgos de
TI y en el análisis de impacto, tomando medidas PO9.4 Evaluación de Riesgos de TI
económicas para mitigar los riesgos. PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción
de Riesgos
Administración de desempeño y capacidad: El
DS3.1 Planeación del Desempeño y la Capacidad
Servicios y objetivo es asegurar que la capacidad adecuada
DS3
soporte está disponible y que se esté haciendo el mejor
uso de ella para alcanzar el desempeño deseado, DS3.2 Capacidad y Desempeño Actual
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

realizando controles de manejo de capacidad y
DS3.3 Capacidad y Desempeño Futuros
desempeño que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamaño
de aplicaciones, manejo y demanda de recursos. DS3.4 Disponibilidad de Recursos de TI

DS3.5 Monitoreo y Reporte
Garantizar la seguridad de sistemas: El objetivo
DS5.1 Administración de la Seguridad de TI
es salvaguardar la información contra uso noDS5.2 Plan de Seguridad de TI
autorizados, divulgación, modificación, daño o
DS5.3 Administración de Identidad
pérdida, realizando controles de acceso lógico
DS5.4 Administración de Cuentas del Usuario
que aseguren que el acceso a sistemas, datos y
programas está restringido a usuarios DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
autorizados. DS5.6 Definición de Incidente de Seguridad
DS5
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de Llaves Criptográficas
DS5.9 Prevención, Detección y Corrección de Software
Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
Educación y entrenamiento de usuarios: El DS7.1 Identificación de Necesidades de Entrenamiento y
DS6 objetivo es asegurar que los usuarios estén Educación
Roberto haciendo un uso efectivo de la tecnología y DS7.2 Impartición de Entrenamiento y Educación
Serrano estén conscientes de los riesgos y
responsabilidades involucrados realizando DS7.3 Evaluación del Entrenamiento Recibido
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

un plan completo de entrenamiento y
desarrollo.
Administración de la configuración: El objetivo DS9.1 Repositorio y Línea Base de Configuración
es dar cuenta de todos los componentes de TI, DS9.2 Identificación y Mantenimiento de Elementos de
prevenir alteraciones no autorizadas, verificar Configuración
la existencia física y proporcionar una base para
DS9 el sano manejo de cambios realizando controles
que identifiquen y registren todos los activos de
TI así como su localización física y un DS9.3 Revisión de Integridad de la Configuración
programa regular de verificación que confirme
su existencia.
Administración de Datos: El objetivo es DS11.1 Requerimientos del Negocio para Administración
asegurar que los datos permanezcan de Datos
completos, precisos y válidos durante su
entrada, actualización, salida y DS11.2 Acuerdos de Almacenamiento y Conservación
DS11 almacenamiento, a través de una
combinación efectiva de controles generales DS11.3 Sistema de Administración de Librerías de
Roberto
y de aplicación sobre las operaciones de TI. medios
Serrano
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad para la
Administración de Datos
Administración de las instalaciones: El objetivo DS12.1 Selección y Diseño del Centro de Datos
es proporcionar un ambiente físico conveniente DS12.2 Medidas de Seguridad Física
DS12 que proteja al equipo y al personal de TI contra
DS12.3 Acceso Físico
peligros naturales (fuego, polvo, calor
DS12.4 Protección Contra Factores Ambientales
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

excesivo) o fallas humanas lo cual se hace
posible con la instalación de controles físicos y
ambientales adecuados que sean revisados
regularmente para su funcionamiento DS12.5 Administración de Instalaciones Físicas
apropiado definiendo procedimientos que
provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Se realizará acompañamiento sobre cada Dominio, Procesos y objetivos de control por cada uno
selecciona el proceso que se va a trabajar en la auditoria.

ROBERTO JOSE SERRANO PEREZ
Procesos
PO6 El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las
aspiraciones de la gerencia, a través de políticas establecidas y transmitidas a la comunidad
de usuarios, necesitándose para esto estándares para traducir las opciones estratégicas en
reglas de usuario prácticas y utilizables.
DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra
uso no autorizados, divulgación, modificación, daño o pérdida, realizando controles de
acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a
usuarios autorizados.

PAOLA ANDREA RODRIGUEZ
Procesos
DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y
desarrollo.

LUIS CARLOS CABAL
Procesos
DS9 Administración de la configuración: El objetivo es dar cuenta de todos los
componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y
proporcionar una base para el sano manejo de cambios realizando controles que
identifiquen y registren todos los activos de TI, así como su localización física y un
programa regular de verificación que confirme su existencia.
DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico
conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego,
polvo, calor excesivo) o fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados regularmente para su
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

funcionamiento apropiado definiendo procedimientos que provean control de acceso del
personal a las instalaciones y contemplen su seguridad física.

JEISSON LENIS MARULANDA
Procesos
DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan
completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento,
a través de una combinación efectiva de controles generales y de aplicación sobre las
operaciones de TI.

DIEGO FERNANDO VARELA HEREDIA
Procesos
DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad
adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el
desempeño deseado, realizando controles de manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de
aplicaciones, manejo y demanda de recursos.
PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisión de servicios de TI, mediante la participación
de la propia organización en la identificación de riesgos de TI y en el análisis de impacto,
tomando medidas económicas para mitigar los riesgos.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

CONCLUSIÓN

La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más
importante de una compañía, el cual es la información, como profesionales de sistemas, debemos
tener los conceptos claros de la unidad formativa, esto con el propósito de salva guardar toda la
infraestructura dentro de una compañía.

La auditoría de sistemas nos permitirá generar correctivos, por medio de planes de trabajo, planes de
acción proyectos, o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual
se mueve la información.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

BIBLIOGRAFÍA

Referencias bibliográficas requeridas

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.61
F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c
3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%
20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=D
OI:

Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial McGraw-
Hill.

Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg=4

Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

Huesca, G. (2012). Auditoria informática. Recuperado de
https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+de+
sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad, amenaza y
riesgos y su clasificación.

Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De
http://hdl.handle.net/10596/10236

Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas. Recuperado de

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de;
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.61
F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20
de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:
Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial McGraw-
Hill.
Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de;
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg=4
Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de;
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196