INTRODUCCIÓN

la auditoría se define como: “proceso sistemático, independiente y

documentado para obtener evidencias”, este proceso realizado dentro de una
empresa permite la identificación de vulnerabilidades y amenazas que pueden
afectar un sistema tecnológico, sea este hardware o software.

El proceso para realizar una auditoría compone una etapa de conocimiento,

planeación, donde se realiza un estudio general de la empresa a ser auditada,
la ejecución de la misma y la entrega de resultados.

En la etapa de planeación se debe realizar el cronograma, planeación de

actividades y presupuesto, para que de esta manera se pueda planificar
correctamente el proceso y llevar la auditoría a buen término.

Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1,

lo que nos permitirá desarrollar nuestros conocimientos en este proceso tan
importante para el desarrollo de nuestro perfil profesional en el área de
sistemas.

Esperamos que la información recopilada incremente nuestras capacidades y

nos brinde el conocimiento necesario de este tema para la aplicación en
nuestra vida profesional.

OBJETIVOS
 Que los estudiantes identifiquen pasó a paso lo que es la elaboración de cada
fase de una auditoria informática.

 Aplicar los conocimientos en COBIT para la realización del trabajo de la

auditoria.

 Afianzar los conocimientos desarrollados en el primer trabajo.

 Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.

 Elaborar un plan de auditoria para aplicarlo a la empresa escogida.

 Realizar el programa de auditoria teniendo en cuenta los estándares

solicitados.

.
OBJETIVOS ESPECÍFICOS

1. Evaluar la planeación y organización (PO) de las estrategias y las tácticas que

permiten contribuir al logro de los objetivos de la organización, además de
la realización de la visión estratégica, comunicada y administrada desde todas
 las perspectivas e implementación de la estructura organizacional y
tecnológica.

2. Evaluar la adquisición e implementación de las soluciones en materia de

tecnología de información así como la integración en los procesos de la
entidad así como el cambio y el mantenimiento de los sistemas existentes.

3. Evaluar la entrega de los servicios requeridos, la prestación del servicio, la

administración de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administración de los datos y de las instalaciones operativas.

4. Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento de los

requerimientos de control, así como también la administración del desempeño,
el monitoreo del control interno, el cumplimiento regulatorio y la aplicación en la
organización.

ANTECEDENTES

Se antecede a esta auditoria las evaluaciones anuales que desarrolla la unidad

de aseguramiento tecnológico e informático USATI, con el ánimo de
diagnosticar y evaluar las condiciones funcionales y procedimentales,
procurando identificar las amenazas y vulnerabilidades correspondientes a las
áreas de sistemas de las gerencias departamentales colegiadas para
posteriormente diseñar estrategias que permitan mitigar los riegos que estas
puedan acarrear.

METODOLOGÍA DE LA AUDITORÍA

Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los
objetivos planteados, esta se basara y orientara en el estándar COBIT, para la
evaluación del hardware de equipos de cómputo, red física, equipos de
protección eléctrica, y seguridad física.

Para el desarrollo de esta auditoria se hará una inspección física a todos los
componentes que motivan esta auditoria con el ánimo evaluar que la
planeación y organización, la adquisición e implementación, la entrega de los
servicios requeridos, el monitoreo y evaluación y demás acciones pertinentes,
están en línea con los objetivos evaluadores de la auditoria, así como también
que estos estén en concordancia con los principios de eficiencia y eficacia.

CONCLUSIONES
 La auditoría es una herramienta que nos permite revisar y evaluar uno o varios
procesos con el ánimo de corregir un error y proponer soluciones para mitigar
sus causas.

 COBIT es un marco de referencia con el cual se puede comparar los controles

de tecnologías de información con el fin de mejorarlos.
 COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y
fortalecer la seguridad de la información en las organizaciones.

 Gracias a plan de auditoria se puede tener la certeza de como realizara la

auditoria que se establecen los objetivos, alcance, metodología, recursos
humanos, presupuesto y cronograma de ejecución.

Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en

la Alcaldía Ragonvalia

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Personal técnico no No existe Detección de algunos miembros del Manejo y
cuenta con intrusiones, contención equipo de trabajo de la control de
capacitación y/o eliminación. dirección de informática, personal
adecuada para no cuentan con el
atender necesidades conocimiento necesario
de los usuarios para aportar nuevas
soluciones que mejoren
los procesos realizados
por la entidad, lo que
afecta la prestación del
servicio y facilita el
desperdicio de recursos
2 Poca Acceso físico a los Los procesos realizados hardware
documentación de recursos del sistema por la Dirección de
procesos informática no se
informáticos. encuentran totalmente
documentados ni
estandarizados, lo que
genera problemas al
momento de rotar el
personal y realizar la
capacitación del mismo.
3 No existe una Desarrollo de software Al momento de software
política de desarrollo desarrollar software a la
de software medida para la alcaldía,
no se tienen reglas ni
estructura, lo que ha
generado varias
soluciones incompatibles
entre sí y que no siguen
lineamientos de
desarrollo
4 Algunos usuarios no Errores de usuario Algunos usuarios no Manejo y
cuentan con el cuentan con control de
conocimiento conocimiento técnico que personal
técnico necesario les permita protegerse
para prevenir ante diferentes ataques
ataques informáticos en la
 informáticos. entidad (phising, virus
informáticos, ingeniería
social) lo que arriesga el
sistema informático y
puede generar
problemas graves
5 No existe un control Manipulación de la No se tiene un inventario Seguridad
ni seguimiento claro configuración detallado de las lógica
a las unidades de Fallos en el sistema unidades de red, de la
red creadas para el operativo información almacenada,
almacenamiento de ni de la utilidad de la
información en los misma, lo que genera
servidores. duplicación de
información y
desperdicio de recursos
6 Contraseñas de Manipulación de la Debido a problemas para Seguridad
acceso a los configuración trabajo en equipo o lógica
equipos se comparte Fallos en el sistema almacenamiento de
entre usuarios al operativo información en equipos
momento de realizar comunes, los usuarios
trabajos comunes comparten la contraseña
de acceso a los
diferentes sistemas.
7 No existe un control Mala configuración de No se tiene un inventario Redes
ni seguimiento claro la seguridad de los detallado de las
a las unidades de dispositivos de red unidades de red, de la
red creadas para el información almacenada,
almacenamiento de ni de la utilidad de la
información en los misma, lo que genera
servidores duplicación de
información y
desperdicio de recursos
8 La infraestructura Daños de las Debido a la falta de Seguridad
del edificio donde se comunicaciones. espacio en la lógica
encuentran las infraestructura se
diferentes redes es encuentran cables a la
demasiado antigua vista, disposición
para soportar las inadecuada de redes e
nuevas tecnologías infraestructura
y futuras tecnológica vulnerable
expansiones. para ataques físicos
directos.
9 Ausencia de copias Acceso físico a los Existe el constante Manejo y
de seguridad por recursos del sistema riesgo de pérdida de control de
parte de los información, toda vez personal
funcionarios que los funcionarios no
sacan copias de
seguridad, ni usan el
servidor destinado como
repositorio de archivos
 para conservar las
mismas.
10 Agilidad en la Parque computacional debido a que el trámite Manejo y
ejecución de los de las garantías se control de
trámites de las encuentra centralizado personal
garantías de los en el nivel central esta
equipos de cómputo no se gestionan dentro
ante los contratistas. los tiempos establecidos,
ocasionando
traumatismo y afectando
los procesos y trámites
que se deben hacer en
los sistemas de
información
11 Ausencia de equipos No existe cifrado de la El riesgo radica en la software
de contingencia información ausencia de equipos de
transmitida cómputo de respaldo,
toda vez que en el
momento que se genera
un daño, no es posible
reemplazarlo, para que
continué funcionando en
pro de la correcta
operación de los
sistemas informáticos..
12 No se cuenta con la Infraestructura El riesgo radica en la Redes
codificación de los tecnológica imposibilidad de atender
puntos de red en el un requerimiento de
edificio, ni en el manera oportuna, toda
gabinete del rack de vez que no se cuenta
telecomunicaciones. con la codificación
requerida para la
identificación de los
puntos de acceso a la
red, lo cual va en contra
vía a los principios de
eficiencia y eficacia.
13 Ausencia de Accesos No El riesgo radica en la hardware
servidor como autorizados al sistema imposibilidad de realizar
repositorio de una copia de seguridad
archivos. en un equipo-servidor
que actué como
repositorio de archivos,
con el ánimo de realizar
un respaldo global.
14 No se cuenta con el Falta de control de El riesgo radica en la Manejo y
ancho de banda acceso en internet falta de capacidad de control de
suficiente para la ancho de banda de personal
correcta operación internet para soportar
de los sistemas en efectivamente los
 línea en la sede aplicativos en línea.
centro.
15 No se cuenta con Infraestructura El riesgo radica en el Seguridad
los ambientes tecnológica deterioro que sufren los lógica
adecuados para los equipos de audiencia y
equipos de las salas de videoconferencia,
de audiencia y toda vez que hay que
videoconferencia instalarlos y
desinstalarlos cuando se
requiere usarlos, debido
a la ausencia de un
espacio físico
independientes para
estos.