AUDITORIA DE SISTEMAS

UNIDAD 1: FASE 2 - PLANEACIÓN DE AUDITORÍA

CURSO: 90168_31

INTEGRANTES:

DAVID ALFONSO VEGA PALACIO CÓDIGO: 1117505659

FABIAN MUNOZ
ANDRES FERNANDO RODRIGUEZ
KEYLA SUJEY VILLARREAL
VICTOR BARRIOS VARGAS CODIGA: 1080570374

TUTOR

FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD

PROGRAMA DE INGENIERIA DE SISTEMAS
MARZO 2019
INTRODUCCIÓN

El presente trabajo colaborativo tiene como finalidad acercarnos al plan de auditoria

de sistemas desde un marco académico, desarrollado en esta primera fase del
desarrollo del curso.

El mismo aborda temáticas expuesta en la unidad 1 del curso el cual hemos venido
desarrollando.

Para cada uno de los procesos se aplico el estar COBIT como primer acercamiento
a la auditoria de sistemas.

OBJETIVOS

Objetivo general

Identificar los procesos y procedimientos del sistema de información en la

empresa C.I. Tequendama SAS , con el fin de establecer si se satisfacen las
necesidades y proyectar mejoras que incrementen la calidad de los servicios que
ofrece.

Objetivos específicos

 Analizar cada una de las dependencias de la entidad para determinar

cuáles interactúan con el sistema de información de la empresa C.I.
Tequendama SAS
 Aplicar los procedimientos necesarios en las áreas definidas en el alcance
de la auditoria para determinar el estado actual en el que se encuentra el
sistema de información
 Evaluar los controles implementados al sistema de información y a las
oficinas que interactúan con dicho sistema con el fin de determinar si
cumplen con los requerimientos de seguridad mínimos para la protección
de la información.
 Proyectar mejoras según los riesgos evaluados que afectan al sistema con
el objetivo de optimizar los servicios prestados en área de informática de la
organización.
PLAN DE AUDITORIA

Objetivo General.

Evaluar el proceso de estado de la seguridad de la información de la empresa C.I.

Tequendama SAS, determinando el diagnostico general de la misma, así como su
el flujo de datos por las diferentes áreas, el nivel de integridad y resguardo de la
misma.

Alcance. El alcance de la auditoria se limitará al departamento del área de sistemas

y el conjunto que este dispone para su proceso.

En cuanto al hardware: Se evaluará los dispositivos físicos del área tanto los
servidores, file Server como sus respectivas actualizaciones, determinando su
estado y la fiabilidad y los centros de cableados o cuarto de redes, se validará si los
Router están administrables, La empresa cuenta con múltiples equipos de cómputo
distribuidos en cada uno de los departamentos administrativos que la conforman,
sistema de seguridad basado en cámaras de vigilancia y lectores de huellas
dactilares y reconocimientos faciales, la infraestructura de red interna donde cada
una de sus divisiones cuenta con un área especializada para los servidores de
información

En cuanto al sistema de información: Se evaluará la operatividad y la

comunicación de sistemas informáticos instalados en las maquinas, así como el flujo
de información que estos requieren para su operación, también se evaluara la
seguridad que manejan con su información con los discos externos y pendrive.

Se revisará que tan confiables es el software están está utilizando en su sistema y

se validara el estado de sus licencias.

Su principal herramienta para el manejo y trazabilidad de la información es con el

software SAP ERP (Planificación de Recursos Empresariales) que es un sistema
informático que hace que las empresas puedan administrar correctamente sus
recursos humanos, productivos logísticos, etc. También se maneja la herramienta
Siagri utilizada para llevar los consumos de los cultivos de la palma. Herramientas
ofimáticas, herramientas de seguridad de cámaras, y monitorio de procesos,
lectores de huella y reconocimientos faciales, etc.
En cuanto a la operatividad del sistema: se evaluará que los usuarios que
manejan la información cumplan con los requisitos mínimos tanto como el acuerdo
de confiabilidad de la información, la administración del sistema y el monitoreo del
sistema, la empresa cuenta con personal fijo y pasantes de esta misma área, el cual
está conformado por los cargos de Director de Sistemas, Coordinador de
Tecnología de Información, Ingeniero de Sistema de la Información, Ingeniero de
desarrollo de software, Asistente de sistema de seguridad electrónica, Ingeniero de
automatización de procesos, Asistentes de soportes y mantenimientos, Aprendices
Sena en sistemas. Cada uno de ellos se encarga de velar por la seguridad e
integridad de la información de la empresa así como el mantenimiento de los
equipos cómputos y electrónico de la empresa.
PROGRAMA DE AUDITORÍA.

Para realizar el proceso de auditoría al estado de red y las vulnerabilidades del área
de sistemas de la empresa C.I. Tequendama SAS, se utilizará la metodología
COBIT, donde se seleccionarán los dispositivos de red que estos administran así
como los equipos de cómputo de la empresa definidos en el plan de auditoria.

donde se seleccionan los dominios, procesos y algunos objetivos de control que

están en relación directa con el objetivo y los alcances que han sido definidos en el
plan de auditoría. Para poder hacer el programa de auditoría hay que tener listo la
empresa seleccionada, la lista de los riesgos más frecuentes que se presentan en
la empresa, y definidos el objetivo y alcances de la auditoría.

A continuación, se presentan los dominios, procesos y objetivos de control

relacionados directamente con el objetivo y los alcances determinados en el plan de
auditoría.

Dominio: Planeación Y Organización (PO).

Se utilizarán las estrategias que se definen en la norma ISO 27001 Seguridad de la

información, para identificar las vulnerabilidades de la organización de manera que
se busca cubrir el riesgo que esto implica en su flujo en las diferentes áreas.

Se toma el área de sistemas como marco de referencia para el tratamiento de datos

de la organización, así como su respaldo para las demás áreas.

PO2 Definir la Arquitectura de la Información: Se define la arquitectura de

información del área con el fin de determinar el modelo de almacenamiento y
resguardo que tienen implementado en el área de sistemas. Los objetivos de control
que se evaluaran en este proceso son:

 PO2.1 Almacenamiento de información en servidor: Es necesario que exista

un servidor o file server para el respaldo de la información que manejan los
usuarios de carácter laboral.
 PO2.3 Esquema de Clasificación de Datos: En el área de sistemas se debe
establecer un marco de referencia de los datos, donde estos sean manejados
por formatos y su vez se evidencie sus actualizaciones para que sean
clasificados por categorías, y con la definición de normas y políticas de
acceso a dichos datos.
  PO2.3 Administración de Integridad: El área de sistemas de la organización
debe definir e implementar aquellos procedimientos que permitan garantizar
la integridad y consistencia de los datos almacenados.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Empresa.

 PO4.6 Establecimiento de roles y responsabilidades: Evaluar el cumplimiento

de los roles que tienen asignado cada uno y las responsabilidades definidas
al personal de TI, en el área de sistemas (administradores de redes,
administradores de servidores, supervisor de los indicadores de
cumplimiento, Soporte Técnico, ingenieros de sistemas en el área de calidad
y seguridad de la información).
Crear y actualizar periódicamente la descripción de roles. Estas
descripciones deben estar alineadas con la responsabilidad y la autoridad
incluyendo definiciones de habilidades y experiencia necesarias en cada
posición y que serán aplicables en el uso y evaluación del desempeño.
 PO4.7 Responsabilidad de Aseguramiento de Calidad de TI: Asignar la
responsabilidad para el desempeño de la función de aseguramiento de
calidad y proporcionar al grupo de sistemas de calidad, los controles y la
experiencia para comunicarlos. Asegurar que la ubicación organizacional, las
responsabilidades y el tamaño del grupo de satisfacen los requerimientos de
la dependencia.
 PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento:
Establecer la propiedad y la responsabilidad de los riesgos relacionados con
TI es decir la norma ISO 27001. Definir y asignar roles críticos para
administrar los riesgos de Tique se puedan presentar tanto en los activos
físico como lógicos, incluyendo la responsabilidad específica de la seguridad
de la información, la seguridad física y el cumplimiento. Establecer
responsabilidad sobre la administración del riesgo y la seguridad a nivel de
toda la dependencia del área de sistemas para manejar los problemas a nivel
de toda la C.I. Tequendama SAS. Puede ser necesario asignar
responsabilidades adicionales de administración de la seguridad a nivel de
sistema específico para manejar problemas relacionados con seguridad.
Obtener orientación de la alta dirección con respecto al apetito de riesgo de
TI y la aprobación de cualquier riesgo residual de TI.
 PO4.9 Propiedad de Datos y de Sistemas: Proporcionar a la dependencia los
procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de
 información. Donde cada persona encargada debe de haber firmado el
acuerdo de confidencialidad de la información y los encargados toman
decisiones sobre la clasificación de la información y de los sistemas y sobre
cómo protegerlos de acuerdo a esta clasificación.
 PO4.10 Supervisión: Implementar grupos de estudio de trabajo (GET) donde
se implementes los roles y las responsabilidades se ejerzan de forma
apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad
y recursos para ejecutar sus roles y responsabilidades y para revisar en
general los indicadores clave de desempeño.
 PO4.13 Personal Clave de TI: Definir los soportes técnicos y mesa de servicio
y minimizar la dependencia en un solo individuo desempeñando una función
de trabajo crítica.

PO8 Administrar la Calidad: Se evidencia que C.I. Tequendama SAS cuenta con
un sistema de administración de calidad, donde cuenta con procesos y estándares
probados de desarrollo y de adquisición.

Gracias a la correcta planeación, implantación y mantenimiento del sistema de

administración de calidad, proporcionando requerimientos, procedimientos y
políticas claras de calidad.

Mencionada empresa a manifestado indicadores cuantificables y alcanzables los

cuales han sido correctamente documentados.

Por medio del constante monitoreo se evidencia una mejora continua,

Principalmente en la administración de calidad y se a garantizado que TI este dando
valor a la información de la dependencia, mejorando continuamente y de de forma
transparente los procesos para los interesados.

 PO8.3 Estándares de Desarrollo y de Adquisición: Los estándares

adoptados para todo desarrollo y adquisición que siga el ciclo de vida son
estables. El último entregable e incluir la aprobación en puntos clave con
base en criterios de aceptación acordados.
Los temas a considerar incluyen estándares de codificación de software,
normas de nomenclatura; formatos de archivos, estándares de diseño para
esquemas y diccionario de datos; estándares para la interfaz de usuario; inter
operabilidad; eficiencia de desempeño de sistemas; escalabilidad;
 estándares para desarrollo y pruebas; validación contra requerimientos;
planes de pruebas; y pruebas unitarias, de regresión y de integración, donde
se ha puesto en evidencia uno todos y cada uno de mencionados procesos
previamente puestos en conocimiento.

 PO8.5 Mejora Continua: El plan global de calidad que la empresa C.I.

Tequendama SAS con la que cuenta la empresa se llama “Nemesis”, en
donde se evidencia claramente que se ha mantenido y comunicado
regularmente por varios métodos de difusión internos y seguros como
planillas de comunicaciones oficiales con tal fin esto promueva la mejora
continua.

Como se pueden dar cuenta, se ha seleccionado en cada uno de los dominios de la

norma CobIT los procesos que están relacionados con el objetivo que se pretende
evaluar, y dentro de cada dominio se ha seleccionado los objetivos de control que
tienen relación directa con los alcances de la auditoría.

La estructura de la norma viene dividida en 4 dominios, dentro de cada dominio se

encuentran varios procesos, y dentro de cada proceso están incluidos los objetivos
de control. Se deben copiar exactamente igual a como está en la norma y
posteriormente adaptarlos a la empresa donde se llevará a cabo la auditoría.

También hay que tener claro que los títulos de cada dominio están en la norma, que
los procesos y el texto que describe cada proceso están dentro de cada dominio, y
que los objetivos de control están dentro de cada proceso. Por lo tanto lo primero
será buscar en la norma CobIT la lista de los dominios y procesos, dentro de cada
dominio leer los procesos que incluye y la descripción de cada proceso que tenga
relación con el objetivo general de la auditoría, y se selecciona. Posteriormente se
va a cada uno de los procesos dentro de la norma CobIT y se busca los objetivos
de control y de ellos se toma el texto de los que tienen relación directa con los
alcances de la auditoría descritos en el plan de auditoria.

Una vez se ha seleccionado los procesos a evaluar, cada uno de los estudiantes
elige dentro de ellos uno o dos procesos que posteriormente serán evaluados, para
cada proceso se debe crear los instrumentos de recolección de información
(entrevistas, listas de chequeo y cuestionarios) y las pruebas necesarias para
determinar las vulnerabilidades, amenazas y riesgos existentes, y una vez
determinados los riesgos realizar el proceso de análisis y evaluación de los riesgos
para cada uno de los procesos.

Roles y responsabilidades del grupo auditor

 Nombre Auditor Proceso auditado Objetivos de control proceso
CobIT elegido
David Alfonso vega PO2 PO2.1, PO2.2, PO2.3
palacio
Victor Barrios Vargas PO4 PO4.6,PO4.7,PO4.8,PO4.9,PO4.10
PO4.13
Andrés Fernando PO8 PO8 3, PO8 5
Rodríguez

Finalmente se elabora un cuadro con las pruebas que se han planeado realizar por
cada uno de los auditores en el proceso que eligió, la prueba debe mencionarse
haciendo la descripción de la misma y clasificándolas por tipo de prueba
(documental, grabación, fotográfica, pruebas con software, otro tipo).

Pruebas a realizar

Proceso CobIT Descripción Tipo prueba Nombre auditor

prueba
P02.1 Se realizara Fotográfica, David Alfonso
conectividad al pruebas con vega Palacio
servidor de datos, software.
se corroborara la
existencia de
repositorios de
almacenamiento
en disco duro
P02.2 Se verificara el Fotográfica, David Alfonso
esquema de pruebas con Vega palacio
clasificación de software.
carpetas por
usuarios, así como
sus políticas y
reglas de acceso
en el servidor de
datos.
P02.3 Se verifica la Fotográfica, David Alfonso
clasificación de las pruebas con Vega Palacio
carpetas de los software.
usuarios del
servidor y se
corrobora el
acceso desde su
maquina de
trabajo
PO4.6 Verificar que cada Revisando las Victor Barrios
que el personal actas creadas en Vargas
encargado del los GET.
sistema cumpla
con cada
responsabilizada
asignada y validar
si actualizan los
roles
periódicamente
PO4.7 Revisar que se Fotografía con Victor Barrios
esté cumpliendo el prueba de Vargas
aseguramiento de software
la calidad por
parte del personal
de sistemas.
PO4.8 Verificar que se Fotografía con Victor Barrios
esté cumpliendo la prueba de Vargas
norma ISO 27001 software
PO4.9 Validar que el Fotografía con Victor Barrios
personal prueba de Vargas
encargado del software
tratamiento de
datos tengo
firmado el acuerdo
de
confidencialidad
de la información
PO4.10 Revisar que las Fotografía con Victor Barrios
actas de los GET prueba de Vargas
cumplan con los software
compromisos
firmados.
PO4.13 Verificar que se Fotografía con Victor Barrios
encuentren prueba d software Vargas
definidos el
personal de TI y
 que el grupo este
minimizado
PO8 3 Se realizara una Mediante pen Andrés Rodríguez
prueba de tester haciendo
penetración uso del S.O Kali-
informática linux
debido los
Estándares de
Desarrollo y de
Adquisición son
considerados
información
sensible para la
empresa

PO8 5 Realizar pruebas Se realización Andres Rodríguez

de sabotaje y pruebas de a
suplantación El ingeniería social
plan global de donde se pueda
calidad que la llegar a a tener
empresa tratando ubicación y
de suplantar al acceso al plan, y
plan “Nemesis”, modificarlo a
cambiando su conveniencia.
propocito para que
la mejora continua
no se realice.

Hay que tener en cuenta que mínimo se deben seleccionar 5 procesos con sus
respectivos objetivos de control, y que cada estudiante debe elegir uno o dos
de ellos para trabajar el proceso de auditoría.

Pueden revisar también la estructura del CobIT y el ejemplo del programa de

auditoría que están en el blog del curso cuyo link se envió en el archivo
anterior.

CONCLUSIONES

En el anterior trabajo colaborativo, se acerca de forma mas detallada lo que es un

buen plan de auditoria de sistemas para aplicarlos a cualquier organización que
prestemos el servicio como futuros ingenieros de sistemas de UNAD es por ello
que cada proceso aquí descrito cumple con los criterios de calidad para dicha
implementación.

BIBLIOGRAFÍA
Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas
una visión práctica. (pp. 9- 29).Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%
C3%ADa+de+sistemas+de+inform

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática.

(pp. 4-35). Recuperado de https://es.scribd.com/document/252662002/Libro-
Auditoria-informatica

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID
=3176647&tm=1543338969122

Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática.

[Archivo de video]. Recuperado de: http://hdl.handle.net/10596/23475