INFORME FINAL DE LA AUDITORIA

FASE DE RESULTADOS DE LA AUDITORIA

Estudiante:
CARLOS JARAMILLO CRUZ
Cód. 1082928952

GRUPO:
90168_5

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
INTRODUCCIÓN

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas
y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de
la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por
ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria
Informática.

El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha

considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa
de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha entidad,
antes de realizarse la auditoria, ya se habían detectado fallas.

El concepto de auditoria es mucho más que esto.

La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que
se refiere a todo aquel que tiene la virtud de oír.

Por otra parte, también se define como: Revisor de Cuentas colegiado. En un principio esta
definición carece de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y eficacia.
OBJETIVOS

Objetivo General

Determinar las posibles vulnerabilidades del sistema y plataforma tecnológicas utilizadas en

el centro de comunicaciones, con el fin de hacer las recomendaciones que dieran lugar.

Objetivos Específicos

 Incrementar la satisfacción de los usuarios de los sistemas computarizados.

 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área de navegación y del área de telefonía del Centro
de Comunicaciones, así como también, las actividades que se desarrollan y los
esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa.
 Reducir riesgos y aumentar los controles.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
 Capacitación y educación sobre controles en los sistemas de información.
CONEQUIPOS ING S.A.S.

es una compañía privada establecida en Colombia con una trayectoria de más de 42 años de
liderazgo en el diseño, construcción y montaje de obras de infraestructura para el desarrollo
del país, tanto para el sector público como privado.

Fundada en 1973, su progreso constante, logística, maquinaria adecuada y equipo humano

diverso y altamente calificado en todas las ramas de la ingeniería, han permitido a lo largo
de más de cuatro décadas, transformarse y llegar a posicionarse en un lugar destacado en el
desarrollo de la Ingeniería en Colombia.

De la empresa se necesita hacer una descripción general de la actividad económica que

desarrolla, la ubicación, el organigrama general, y una descripción detallada del área
informática, los recursos y sistemas de información, los cargos y funciones del personal
que atiende los servicios del área informática.

1. Ubicación:
Calle 110 No 9-25 Of. 1705. Bogotá, D.C. - Colombia.
2.

3. Departamento de Informática
Objetivos:
El Departamento de Informática es el responsable de elaborar, desarrollar y proponer
la implementación de nuevas tecnologías y sistemas informáticos dentro de la
Dirección General de Administración y Finanzas.
Elaborar planes de mantenimiento preventivo y brindar soporte técnico solicitado por
las distintas unidades administrativas de la Administración General.

Subordinación:
El Departamento de Informática está subordinado directamente de la Coordinación
de Recursos Administrativos.
 Funciones:
1. Proponer y acompañar los Sistemas de Control Informáticos a ser implementados
en las diferentes áreas de la empresa
2. Apoyar directamente la capacitación adecuada de los responsables operativos,
para garantizar la total implementación de los Sistemas Informáticos.
3. Proponer y acompañar los sistemas Informáticos de Control en las diferentes
áreas que afectan a la Dirección General de Administración Finanzas.
4. Investigar, desarrollar e implantar innovaciones en temas referentes a sistemas
informáticos que puedan ser aplicados a la Dirección General de Administración
y Finanzas.
5. Coordinar y / o Asesorar el análisis, diseño o desarrollo de los sistemas
informáticos y / o propuestos, en acción integrada con otras dependencias de
Conequipos.
6. Proponer, Planificar y Realizar el desarrollo informático de la Dirección General
de Administración y Finanzas en el marco de las políticas institucionales de la
empresa.
7. Impulsar el adecuado uso de los recursos informáticos de la Dirección General de
Administración y Finanzas, como herramienta de Gestión.
8. Participar en los lineamentos generales y específicos de planificación, evaluación
y gestión en las adquisiciones de los recursos informáticos para la Administración
General.
9. Velar y mantener en buen funcionamiento, los recursos informáticos de la
Administración General estableciendo políticas de gestión informática para sus
efectos.

4. FUNCIONES Y CARGOS POR DEPARTAMENTOS SECCIÓN DE

SISTEMA Y REDES
JEFE DE SECCIÓN: Es un área crítica similar a la sección de planilla de Recurso
Humano o a las cajeras de Tesorería. El jefe de sección debe tener una preparación
importante en Informática, licenciatura o ingeniería. Debe dominar el área de
sistemas, servicios de Internet, sistemas operativos de red, conexiones de red y
cableado, equipos de comunicación (routers, switch, hubs) y su configuración y
mantenimiento, base de datos y servidores web, incluido conexiones VPN y PPPT.
TÉCNICO DE SISTEMAS: Este cargo requiere un nivel medio de dominio de
sistemas, puede ser un técnico o experiencia comprobada. Su principal función es
apoyar en horarios nocturnos y sabatinos. Dominar cableado estructurado y
conexiones de red.
TECNICO EN WEB: Este cargo es responsable de la construcción y mantenimiento
de la hoja web de la universidad. Esta función es continua, no puede ser por periodos,
debe estar disponible de forma permanente. Además, debe encargarse de la
recopilación de la información de todas las instancias de la universidad y trabajar con
el equipo editor correspondiente. La persona debe conocer de creación de servidores
webs, su seguridad redes básicas y equipos de comunicación, configuración TCP/IP
y DNS, correo electrónico, FTP y su configuración, diseño gráfico (manejo y
programación básica de Flash, Photoshop y Dreamwever), esto significa capturar y
editar imágenes, animaciones, construcción de webs y programación básica en
lenguajes scripts como el javascript.
Esta persona es el responsable por UDELAS de mantener la relación con la empresa
proveedora de Internet.
 PLAN DE AUDITORIA

La auditoría en sistemas es la revisión y evaluación de procesos implementados en la empresa

con respecto a sus equipos de cómputo, como se están utilizando, su eficiencia, estas
auditorías son necesarias también para lograr una utilización más eficiente y segura de la
información. Todo esto hace que la auditoria de sistemas sea de gran importancia para el
buen uso, desempeño y optimización de los sistemas de información en el contexto laboral
Para hacer una buena labor en la auditoria es necesario tener en cuenta y poner en práctica
unos pasos.
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados
diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante
la recomendación de seguridades y controles.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria
son:

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de
la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende
evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro del
objetivo general, donde se señala específicamente los sistemas, componentes o elementos
concretos que deben ser evaluados.

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar
aspectos específicos del área informática y de los sistemas computacionales tales como: la
gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las
funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la
operación de los sistemas en producción, los programas de capacitación para el personal del
área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y
accesos a las mismas, protección de las copias de seguridad y la restauración de la
información, entre otros aspectos.

La auditoría se realizará en las siguientes áreas: el hardware donde también se realiza una
evaluación en las áreas de más criticidad como lo son software, seguridad física, y sistemas
operativos.

El software: el alcance que tendrá esta auditoria es con respecto al software de verificar el
correcto uso de los equipos, licencias, antivirus y la verificación del equipo tal que tiene que
concordar con lo que se tiene físicamente documentado, en este caso lo que se tiene sobre el
software.

El hardware: en esta parte se verificará el hardware y lo que se tiene de información escrita

o digital del hardware que va ser revisado o auditado de tal forma que la información tiene
que ser la misma porque que digan tienen las computadoras que serán revisadas y verificadas.

Alcance de la Auditoria
 Organización y cualificación del personal de Seguridad.
 Remodelar el ambiente de trabajo.
 Planes y procedimientos.
 Sistemas técnicos de Seguridad y Protección.
 Planes y procedimientos
 Políticas de Mantenimiento
 Inventarios Ofimáticos
 Capacitación del Personal
aspectos serán evaluados de cada activo informático
 Conexiones
 Cifrado
 Salidas gateway y routers
 Correo Electrónico
 Páginas WEB
 Firewalls

METODOLOGÍA

Etapa de Planeación de la Auditoria

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a

ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se
va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos,
técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de
documentos que servirán de apoyo para la ejecución, terminando con la elaboración de
la documentación de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación
de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de
realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?,
¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de
la empresa.

Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la

auditoria y consiste en realizar una visita preliminar al área de informática que será
auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de
iniciarla formalmente; el propósito es el de tener un primer contacto con el personal
asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los
servidores y equipos terminales en el centro de cómputo, sus características, las medidas
de seguridad y otros aspectos sobre que problemáticas que se presentan en el área
auditada.

Aquí se deben tener en cuenta aspectos tales como:

- La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se

encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son
los servidores y terminales que existen en el área?, ¿Qué características generales de los
sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en
el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de
seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la
auditoria?. Con esta información el auditor podrá diseñar las medidas necesarias para una
adecuada planeación de la auditoria y establecer algunas acciones concretas que le
ayuden al desarrollo de la evaluación.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria
son:

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo
de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se
pretende evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro
del objetivo general, donde se señala específicamente los sistemas, componentes o
elementos concretos que deben ser evaluados.

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de los sistemas computacionales
tales como: la gestión administrativa del área informática y el centro de cómputo, el
cumplimiento de las funciones del personal informático y usuarios de los sistemas, los
sistemas en desarrollo, la operación de los sistemas en producción, los programas de
capacitación para el personal del área y usuarios de los sistemas, protección de las bases
de datos, datos confidenciales y accesos a las mismas, protección de las copias de
seguridad y la restauración de la información, entre otros aspectos.

Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar

la planeación formal de la auditoria informática y de sistemas, en la cual se concretan los
planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditoria, donde se delimiten las etapas, eventos y
actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el
presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que
sirven de guía; la estimación de los recursos humanos, materiales e informáticos que
serán utilizados; los tiempos estimados para las actividades y para la auditoria; los
auditores responsables y participantes de las actividades; Otras especificaciones del
programa de auditoría.

Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos

necesarios para la Auditoria: En este se determina la documentación y medios
necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o
diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de
acuerdo a los planes, presupuestos y programas establecidos anteriormente para la
auditoria. Para ello se debe considerar los siguientes puntos: establecer la guía de
ponderación de cada uno de los puntos que se debe evaluar; Elaborar una guía de la
auditoria; elaborar el documento formal de la guía de auditoría; determinar las
herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los
sistemas, programas y métodos de pruebas para la auditoria.

Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se

debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación
de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará
a cabo la auditoria.

Etapa de Ejecución de la Auditoria

La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma,

y está determinada por las características propias, los puntos elegidos y los
requerimientos estimados en la planeación.

Etapa de Dictamen de la Auditoria

La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el

resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboración
del informe de las situaciones que se han detectado, la elaboración del dictamen final y
la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: Junto

con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los
papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser
discutidas con los auditados, después se hacen las modificaciones necesarias y
posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final
de auditoría y complementarlo con el dictamen final, para después presentarlo a los
directivos del área auditada para que conozcan la situación actual del área, antes de
presentarlo al representante o gerente de la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo
cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que
luego se llevan a documentos formales.
Elaborar el Dictamen Formal: El último paso de esta metodología es presentar
formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la
empresa donde se informa de los resultados de la auditoria. Tanto el informe como el
dictamen deben presentarse en forma resumida, correcta y profesional. La presentación
de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje
claro tanto en el informe como en la exposición del mismo. El informe debe contener los
siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de
situaciones relevantes y los anexos y cuadros estadísticos.
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los
directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada
uno de los auditores. La integración del dictamen y el informe final de auditoría deben
ser elaborados con la máxima perfección, tratando de evitar errores. También deben
contener de manera clara y concreta, las desviaciones detectadas en la evaluación.

CRONOGRAMA DE ACTIVIDADES
FASE ACTIVIDAD TIEMPO ESTIMADO
Conocimiento del sistema 1.Identificar el origen de la
o área auditada auditoria.
2.Realizar visitas para
conocer procesos, activos
informáticos, procesos y 2 DIAS
organización del área
auditada.
3.Determinar las
vulnerabilidades, y
amenazas informáticas a
que está expuesta la
organización.
4.Determinar el objetivo de
la auditoría de acuerdo a
las vulnerabilidades, y
amenazas informáticas
encontradas.
1.Elaborar el plan de
auditoría
2.Seleccionar los
estándares a utilizar de
acuerdo al objetivo CobIT
3.De acuerdo al estándar 8 DIAS
elegido, seleccionar los
ítems que serán evaluados
que estén en relación
directa con el objetivo y
alcances definidos en el
Planeación de la plan.
Auditoria de Sistemas
 4. Seleccionar el equipo de
trabajo y asignar tareas
específicas
5.Determinar las
actividades que se llevarán
a cabo y los tiempos en que
serán llevadas a cabo en
cada ítem evaluado.
(Programa de auditoría)
6.Diseñar instrumentos
para recolección de
información (formatos de
entrevistas, formatos de
listas de chequeo, formatos
de cuestionarios)
7.Diseñar el plan de
pruebas (formato pruebas)

1.Aplicar los instrumentos

de recolección de
información diseñados
2.Ejecutar las pruebas del
plan de pruebas 4 DIAS
3.Levantar la información
de activos informáticos de
Ejecución de la Auditoria la organización auditada
de Sistemas 4.Determinar las
vulnerabilidades y
amenazas informáticas
aplicando una metodología
(MAGERIT)
5.Realizar la valoración de
las amenazas y
vulnerabilidades
encontradas y probadas
6.Realizar el proceso de
evaluación de riesgos
7.Determinar el tratamiento
de los riesgos

1.Determinar las
soluciones para los
hallazgos encontrados
(controles)

1 DIA
 Resultados de la 2.Elaborar el Dictamen
Auditoria de Sistemas para cada uno de los
procesos evaluados.
3.Elaborar el informe final
de auditoría para su
presentación y sustentación
4.Integrar y organizar los
papeles de trabajo de la
auditoria
5.Diseñar las políticas y
procedimientos integrando
los controles definidos

Vulnerabilidades Amenazas Riesgos Activos

Informáticos
Carencia De Control Error De Usuario O Mal uso de Servidores,
De Cambio De Del Personal De configuraciones Usuarios, Bases De
Configuraciones Operaciones. echas en sistema Datos.
Software Malicioso Se Pueden Contraer Desconfiguraciones Base De Datos,
Virus Informáticos y vulnerabilidad del Comunicación
sistema o equipos Software, Seguridad
Lógica
Personal No Errores En La Errores en las Software, Base De
Calificado O No Programación Del instalaciones de Datos, Sistemas
Capacitado Software software requerido Operativos
Mantenimiento Fallas En Hardware Daños y pérdidas Equipos Hardware
Inadecuado En totales en equipos
Equipos
Carencia De Acceso No Fragilidad en el Usuarios, Base De
Autenticación De Autorizado A sistema siendo fácil Datos
Usuarios Través De La Red de acceso para
cualquier intruso
 Carencia De Código Malicioso Alteraciones en el Sistemas
Políticas Sobre El (Virus, Gusanos, sistema ya que Operativos,
Uso De Dispositivos Caballos Troyanos) dispositivos Software, Sistemas
Extraíbles extraíbles no son De Información
revisados antes de
usar
Descarga Y Uso De Se Pueden Contraer Alteraciones graves Sistemas
Software No Virus Informáticos en sistemas Operativos,
Adecuado De (software) Software
Internet No
Controlado
El No Uso De Fragilidad En Falta de Sistemas
Software Legal Sistema actualizaciones y Operativos,
problemas penales Softwares
Carencia De Alteraciones O Daños a Equipos,
Equipos De Cortos Circuitos infraestructura y Infraestructura
Protección Eléctrica equipos por fallas
eléctricas
Abuso De Datos Inseguros Acceso a personal Bases De Datos,
Conocimientos no autorizado a Software,
Internos datos de uso privado Configuraciones,
Seguridad Lógica
Perdida De Salida De Personal Robo o no entrega Base de Datos,
Información Por de datos de uso Configuraciones
Rotación confidencial
Criminalidad Robo O Ataque Robo equipos o Base De Datos,
Cibernético acceso a personal Configuraciones,
externo a el sistema Software
Desastres Naturales Destrucción De Perdida de Planta o
Planta infraestructura por infraestructura
alteraciones
naturales
Hardware Obsoleto Equipos Anticuados Un equipo viejo hardware
tiene un rendimiento
más bajo
No Posee Centro De Ausencia de En caso de ausencia Equipos, base de
Computo Sin UPS suministro eléctrico de fluido eléctrico datos
quedaría inservible
el sistema
OBJETIVOS DE CONTROL

PO9.3 Identificación de Eventos:

El administrador de TI de la compañía, se encarga de determinar la naturaleza el impacto de
los riesgos y mantendrá un registro de los más relevantes.

PO9.4 Evaluación de los Riesgos de TI:

Será necesario la utilización de métodos cuantitativos para la evaluación recurrente de la
probabilidad e impactos que tienen todos los riesgos.

PO9.5 Respuesta a los Riesgos:

El administrador de TI, creara un soporte el cual nos garantice un proceso de respuesta
inmediata para los riesgos, para poder identificar las estrategias que nos ayuden en su
adecuada administración.

PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos:

Crear un plan de mantenimiento para los riesgos que se encuentran identificados y asegurarse
de que las acciones comprometidas están a cargo del dueño (s) de los procesos afectados.
INSTRUMENTOS APLICADOS:
ENTIDAD CONEQUIPOS SAS PAGINA
AUDITADA 1 D 1
E
OBJETIVO Fallas Y Falencias En El Sistema De Información
AUDITORÍA
PROCESO Procedimientos Para Evaluar Los Resultados De Las Pruebas Y
AUDITADO Revisiones Referentes Al Hardware Y Software De La Empresa
RESPONSABLE Sofía Parra – Recursos Humanos
MATERIAL DE SOPORTE COBIT
DOMINIO Planificación Y PROCES Todos
Organización O
ENTREVISTADO Sofía Parra
CARGO Recursos Humanos

1. ¿Las características del equipo son suficientes para el desempeño de su trabajo?

Rta: Como podemos ver son equipos un poco anticuados por lo cual son equipos que no
cumplen la demanda de uso se recomienda una actualización de hardware y software.
2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
Rta: Llamar a soporte técnico acudimos a la empresa Compulago.
3. ¿Cuántos Mantenimiento se le han realizado al equipo?
Rta: Al año se le realiza por mucho un solo mantenimiento
4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador?
Rta: Un nivel básico muy relacionado afines de mi cargo
5. ¿Ud. maneja el equipo adecuadamente y lo protege con contraseña?
Rta: Creo yo que el uso que le doy es el adecuado y no le coloco contraseña porque creo
que soy la única que lo utiliza.
6. ¿Ud. ¿Ha recibido asesoramiento o capacitación sobre el manejo del equipo y Rta: sus
componentes? Desde que hago parte de la compañía no me han brindado capacitaciones
del buen uso de equipos solo he trabajado con mis conocimientos ya existentes a la hora
de ingresar.

7. ¿usan programas de antivirus o herramientas de prevención al sistema?

Rta: Se tienen programas de estos, pero se nota en los equipos que no tienen
actualizaciones.
8. ¿tienen una base de datos y respaldo de información?
Rta: Todos los datos trabajados en la oficina son guardados en un disco duro portable
9. ¿Ha tenido problemas con esta modalidad? si ¿Cuáles?
Rta: Que si no está el disco duro en la oficina se omite el guardado de información y a
veces se pierde esta.
10. ¿cuentan con sistemas de ups?
Rta: No.
11. ¿siente usted segura la manera de uso del sistema de información de la empresa?
Rta: No soy profesional en estos temas, pero sé que no es segura es muy vulnerable y
obsoleto sería una buena iniciativa una implementación de un sistema modernizad.

Sofía Parra Carlos Jaramillo

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
 Cuestionario cuantitativo Ref.

Entidad auditada CONEQUIPOS ING S.A.S pagina

1 DE 1
Subproceso PO9.4 Evaluación de los Riesgos de TI
Responsables Carlos Jaramillo Cruz
Material de soporte COBIT 4.1
dominio Planear y Organizar proceso PO9 Evaluar y
(PO) administrar los riesgos
de TI

OBJETIVO DE CONTROL
N pregunta SI NO NA REF
1 ¿Existe un marco de referencia para la 4
evaluación sistemática de los riesgos a los
que está expuesta la infraestructura
tecnológica de la institución?
2 ¿Se realiza la evaluación de los riesgos que 4
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
3 ¿Se realiza actualización de los diferentes 3
tipos de riesgos que pueden afectar la
infraestructura tecnológica?
4 ¿Se utilizan métodos cualitativos o 4
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar la
infraestructura tecnológica?
5 ¿Existe un plan de acción para mitigar los 4
riesgos de la infraestructura tecnológica de
forma segura?
6 ¿Se monitorea el plan de acción? 3
TOTAL 3 19
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (3 * 100) / 22 = 13,63 %
Porcentaje de riesgo total = 100 – 13,63 = 86,36 %
PORCENTAJE RIESGO 86,36 % (Riesgo Alto)
 ANÁLISIS DE RIESGOS
En el siguiente informe veremos planteado todos los seguimientos que se ha realizado a los
procesos teniendo encuentra las pruebas que se han recolectado con las diferentes
herramientas implementadas siguiendo siempre las guía CobiT 4.1, para poder visibilizar
todos los hallazgo o posibilidades de amenazas a las cuales actualmente se encuentra la
empresa auditada.
Teniendo en cuenta todo lo anteriormente planteado se van a exponer los riesgos:
RIESGOS:
1. Instalación de programas de dudosa procedencia.
2. Equipos con bajo rendimiento por los años de uso continuo.
3. Daño en el sistema eléctrico de los equipos de cómputo por falta de mantenimiento
preventivo que jamás se realizó.
4. No hay una hoja de vida de la existencia de los equipos
5. No existe monitorio continuo de software instalado en los equipos de cómputo.
6. Inexistentes actualizaciones antivirus que ayuden a mitigar los riesgos palpables en
la internet al día de hoy.
7. La falta de creación de usuarios según el rol desempeñado en la empresa.
8. Carencia de Backup que son necesarios al momento de perdida de la información.

Siguiendo con el análisis tendremos que hablar de la Probabilidad, que tiene su escala de
medición y se refiere a la frecuencia con se presenta el problema en un periodo de tiempo
determinado, es decir el número de veces que el problema se presenta en un año, mes o
semana de acuerdo a la escala de tiempo elegida. Por ejemplo, la frecuencia de que se
presente un virus en los computadores puede llegar a darse una o varias veces en la semana,
un corte de energía puede presentarse una vez cada dos meses, el daño de un equipo puede
presentarse cada seis meses. De acuerdo a estas escalas se debe hacer la medición teniendo
la escala de valoración cualitativa (alto, medio, bajo).
EVALUACIÓN DE RIESGOS

PROBABILID IMPACTO
RIESGOS/VALORACION AD
A M B L M C
Hardware
R1 Uso inadecuado de los equipos X X
R2 Existe sistema de respaldo eléctrico (UPS) X X
R3 Esta en buen estado el sistema de protección X X
eléctrica contra descargas eléctricas
REDES
R4 Actualmente no existen políticas ni X X
procedimientos escritos para la seguridad de
la red
R5 No existen políticas ni procedimiento para X X
mantenimiento de redes
R6 No existe políticas ni procedimientos para el X X
inventario de los componentes de la red
R7 no existen asignaciones de responsabilidades X X
con respecto a las redes
R8 Entrada de virus a la red X X

SEGURIDAD FÍSICA
R9 No se cuenta con sistema de seguridad para X X
evitar robos
R10 Es vulnerable a atentados contra la X X
infraestructura
INFRAESTRUCTURA
R11 La infraestructura es inadecuada X X
R12 El área de computo esta climatizada X X

R13 Existe sistema contra incendio X X

R14 Cuenta con rutas de fácil acceso y X X

evacuación de personal en caso de
emergencia
R15 Se realiza su mantenimiento a la X X
infraestructura para mantenerla en buen
estado
SEGURIDAD LÓGICA
R16 No existe cuentas de autenticación para el X X
personal
DOCUMENTACIÓN
R17 Carnetización actualizada de empleados X X
R18 Cumple con procedimientos para trabajos a X X
realizar en el área de sistemas
R19 Existe sistema de gestión X X

R20 Software Ilegal X X

R21 Registro documental de equipos X X

PERSONAL DEL ÁREA

R22 Se contrata personal con las competencias X X
adecuadas para el cargo y área
R23 Se brinda capacitación sobre el uso de los X X
componentes del área

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

MATRIZ DE CLASIFICACIÓN DE RIESGO

LEVE MODERADO CATASTROFICO

ALTO R11 R9 R19 R22 R4 R8 R10 R16

R20

MEDIO R15 R18 R2 R5 R6 R14 R3 R12 R13

R21
BAJO R1 R17 R23 R7
CUADRO DE TRATAMIENTO DE RIESGOS:
ID. Descripción Riesgo Tratamiento Riesgo
Riesgo
R1 Uso inadecuado de los equipos Controlarlo
R2 Existe sistema de respaldo eléctrico (UPS) Controlarlo
R3 Está en buen estado el sistema de protección Controlarlo
eléctrica contra descargas eléctricas
R4 Actualmente no existen políticas ni Controlarlo
procedimientos escritos para la seguridad de la
red
R5 No existen políticas ni procedimiento para Controlarlo
mantenimiento de redes.
R6 No existe políticas ni procedimientos para el Controlarlo
inventario de los componentes de la red
R7 no existen asignaciones de responsabilidades Aceptarlo
con respecto a las redes
R8 Entrada de virus a la red Controlarlo
R9 No se cuenta con sistema de seguridad para Transferirlo
evitar robos
R10 Es vulnerable a atentados contra la Controlarlo
infraestructura
R11 La infraestructura es inadecuada Controlarlo
R12 El área de computo esta climatizada Controlarlo
R13 Existe sistema contra incendio Controlarlo
R14 Cuenta con rutas de fácil acceso y evacuación Controlarlo
de personal en caso de emergencia
R15 No hay Etiquetas de identificación y control de Controlarlo
puntos de red
R16 No existe cuentas de autenticación para el Controlarlo
personal
R17 Carnetización actualizada de empleados Aceptarlo
R18 Cumple con procedimientos para trabajos a Aceptarlo
realizar en el área de sistemas
R19 Existe sistema de gestión Transferirlo
R20 Software Ilegal Controlarlo
R21 Registro documental de equipos Controlarlo
R22 Se contrata personal con las competencias Controlarlo
adecuadas para el cargo y área
R23 Se brinda capacitación sobre el uso de los Aceptarlo
componentes del área
 REF
HALLAZGO
HPO01

PROCESO EVALUAR Y ADMINISTRAR LOS PÁGINA

AUDITADO RIESGOS DE TI. 1 DE 1
RESPONSABLE CARLOS JARAMILLO
MATERIAL DE COBIT
SOPORTE
PO9 EVALUAR
DOMINIO Toda la Organización PROCESO Y
ADMINISTRAR
LOS RIESGOS
DE TI.
DESCRIPCIÓN:
Deficiente control de acceso a las aplicaciones y equipos, debido a que no existe una
contraseña de usuario establecida para cada empleado.

REF_PT:
Cuadro de control de riesgos. Equipos informáticos de la empresa.

CONSECUENCIAS:
Cualquiera podría utilizar los equipos de la empresa de manera malintencionada.

 RIESGO:
 Probabilidad de ocurrencia:
 Impacto según relevancia del proceso: Catastrófico.

RECOMENDACIONES:
Se recomienda la creación de un directorio activo el cual le establezca un usuario y
contraseña a cada empleado.
 REF
HALLAZGO
HPO01

PROCESO EVALUAR Y ADMINISTRAR LOS PÁGINA

AUDITADO RIESGOS DE TI. 1 DE 1
RESPONSABLE CARLOS JARAMILLO
MATERIAL DE COBIT
SOPORTE
PO9 EVALUAR
DOMINIO Toda la Organización PROCESO Y
ADMINISTRAR
LOS RIESGOS
DE TI.
DESCRIPCIÓN:
Existencia de vulnerabilidades en los sistemas operativos y softwares instalados por falta
de aplicación de actualizaciones regulares.

REF_PT:
Cuadro de control de riesgos. Equipos informáticos de la empresa.

CONSECUENCIAS:
Podrían presentarte errores en el sistema o en los programas instalados, e incluso fallos
de seguridad.

 RIESGO:
 Probabilidad de ocurrencia:
 Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES:
Es necesario aplicar los parches de seguridad y actualizaciones regulares y
acumulativas, tanto a los sistemas operativos, así como a todo el software instalado,
para solucionar u evitar agujeros de seguridad o bugs conocidos.
 REF
HALLAZGO
HPO01

PROCESO EVALUAR Y ADMINISTRAR LOS PÁGINA

AUDITADO RIESGOS DE TI. 1 DE 1
RESPONSABLE CARLOS JARAMILLO
MATERIAL DE COBIT
SOPORTE
PO9 EVALUAR
DOMINIO Toda la Organización PROCESO Y
ADMINISTRAR
LOS RIESGOS
DE TI.
DESCRIPCIÓN:
No existe un programa de capacitaciones para los empleados, que se encuentran al
frente del manejo de los sistemas de información.

REF_PT:
Entrevistas, y cuestionarios.

CONSECUENCIAS:
Podrían presentarse problemas en el manejo de los equipos, y también errores en el
manejo de los programas.

 RIESGO:
 Probabilidad de ocurrencia:
 Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES:
Se recomienda diseñar e implementar un cronograma de capacitaciones para los
empleados que se encuentran a cargo de las tecnologías de información de la compañía.
 REF
HALLAZGO
HPO01

PROCESO EVALUAR Y ADMINISTRAR LOS PÁGINA

AUDITADO RIESGOS DE TI. 1 DE 1
RESPONSABLE CARLOS JARAMILLO
MATERIAL DE COBIT
SOPORTE
PO9 EVALUAR
DOMINIO Toda la Organización PROCESO Y
ADMINISTRAR
LOS RIESGOS
DE TI.
DESCRIPCIÓN:
No existe un plan de gestión para los incidentes de seguridad que pudiesen presentarse.

REF_PT:
Cuadro de control de Riesgos, Entrevistas.

CONSECUENCIAS:
Si llegaran a presentarse riesgos no habría una manera adecuada para gestionarlos,
impidiendo su corrección.

 RIESGO:
 Probabilidad de ocurrencia:
 Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES:
Es necesario crear e implementar un plan para la gestión de los incidentes que se puedan
presentar en la compañía.
 REF
HALLAZGO
HPO01

PROCESO EVALUAR Y ADMINISTRAR LOS PÁGINA

AUDITADO RIESGOS DE TI. 1 DE 1
RESPONSABLE CARLOS JARAMILLO
MATERIAL DE COBIT
SOPORTE
PO9 EVALUAR
DOMINIO Toda la Organización PROCESO Y
ADMINISTRAR
LOS RIESGOS
DE TI.
DESCRIPCIÓN:
No existe una política para controlar su copia en sistemas de almacenamiento externos
como son memorias USB y discos duros.

REF_PT:
Equipos de cómputo, Cuadro de control de Riesgos.

CONSECUENCIAS:
Fugas de información, robo y o suplantación de datos.

 RIESGO:
 Probabilidad de ocurrencia:
 Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES:
Es necesaria la implementación de políticas de seguridad estrictas para el copiado de
información a dispositivos externos.
PROCESO P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

Auditor: Carlos Jaramillo.

a. Objetivo de la Auditoria: Evaluar las fallas y falencias existentes en las tecnologías de la

información de la compañía, para así garantizar la buena administración de los riesgos.

Alcance: Toda la organización.

b. Dictamen Individual:
Se establece en nivel de madurez es de 0 No Existente, porque no existe marco de referencia
para la evaluación de los riesgos, tampoco se realiza la evaluación de los riesgos que afectan
la infraestructura, además no cuentan con un plan de acción para mitigar los riesgos, ni un
plan de capacitaciones para los empleados.
c. Hallazgos:
 Deficiente control de acceso a las aplicaciones y equipos, debido a que no existe una
contraseña de usuario establecida para cada empleado.
 Existencia de vulnerabilidades en los sistemas operativos y softwares instalados por
falta de aplicación de actualizaciones regulares.
 No existe un programa de capacitaciones para los empleados, que se encuentran al
frente del manejo de los sistemas de información.
 No existe un plan de gestión para los incidentes de seguridad que pudiesen
presentarse.
 No existe una política para controlar su copia en sistemas de almacenamiento
externos como son memorias USB y discos duros.
d. Recomendaciones:
 Se recomienda la creación de un directorio activo el cual le establezca un usuario y
contraseña a cada empleado.
 Es necesario aplicar los parches de seguridad y actualizaciones regulares y
acumulativas, tanto a los sistemas operativos, así como a todo el software instalado,
para solucionar u evitar agujeros de seguridad o bugs conocidos.
 Se recomienda diseñar e implementar un cronograma de capacitaciones para los
empleados que se encuentran a cargo de las tecnologías de información de la
compañía.
 Es necesario crear e implementar un plan para la gestión de los incidentes que se
puedan presentar en la compañía.
 Es necesaria la implementación de políticas de seguridad estrictas para el copiado de
información a dispositivos externos.
CONCLUSION

Hacemos énfasis en la importancia de la auditoria como herramienta gerencial para la toma

de decisiones y para poder verificar los puntos débiles de las organizaciones con el fin de
tomar medidas y precauciones a tiempo. Principalmente, la conclusión a la que hemos podido
llegar, es que toda empresa, pública o privada, que posean sistemas de información
medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia
y eficiencia. Hoy en día, un alto porcentaje de las empresas tienen toda su información
estructurada en sistemas informáticos, de aquí, la vital importancia que los sistemas de
información funcionen correctamente. La empresa hoy, debe y precisa informatizarse. El
éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa
puede tener un staff de gente de primera, pero tiene un sistema informático propenso a
errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa
nunca saldrá a adelante. En cuanto al trabajo de la auditoria en sí, podemos remarcar que se
precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una
auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas.
BIBLIOGRAFIA
 Cobit 4.1 en el texto: (2018) bibliografía: (2018). Retrieved from
http://www.slinfo.una.ac.cr/documentos/eif402/cobit4.1.pdf

 Auditoria de sistemas. [on line] disponible en:

Http://www.geocities.com/lsialer/notasinteresantes.htm

 Alonso rivas, Gonzalo Auditoria informática.

Díaz de santos. Madrid 1998. 187 págs.

 Juan rivas, antonio de y pérez pascual, aurora La auditoría en el desarrollo de proyectos

informáticos.
Díaz de santos. Madrid 1998. 178 págs.