FASE 5 – RESULTADOS FINALES DE LA AUDITORIA

TRABAJO COLABORATIVO
GRUPO 90168_17

JOHANNA STELLA MURCIA ARCHILA

COD. 52840313

TUTOR
FRANCISCO NICOLÁS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD).

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA
AUDITORÍA DE SISTEMAS
BOGOTA
DICIEMBRE 2019
 TABLA DE CONTENIDO

INTRODUCCIÓN ........................................................................................................................ 3
OBJETIVOS ................................................................................................................................ 4
General..................................................................................................................................... 4
Específicos .............................................................................................................................. 4
PLAN DE AUDITORIA .............................................................................................................. 5
Descripción de la empresa.................................................................................................... 5
Presupuesto: ......................................................................................................................... 11
Cronograma. ......................................................................................................................... 11
Distribución de los dominios y procesos de COBIT ........................................................ 12
Ejecución de la auditoria ..................................................................................................... 23
DS3 Administrar el desempeño y la capacidad ..................................................... 23
DS4 Garantizar la continuidad del servicio ................................................................. 29
Análisis de riesgo.............................................................................................................. 36
Tratamiento de riesgo ...................................................................................................... 38
Matriz de riesgo ................................................................................................................ 38
Resultados de la auditoria................................................................................................... 39
CONCLUSIONES..................................................................................................................... 53
REFERENCIAS BIBLIOGRÁFICAS ..................................................................................... 54
 INTRODUCCIÓN

El presente trabajo comprende la unión de las fases 2,3 y 4 las cuales permitieron

comprender el significado de auditoria de sistemas, como la verificación o inspección

de una entidad con el ánimo de comprobar el estado de su inventario físico o

intangible relacionado a los dispositivos, herramientas y talento humano asociado a

los sistemas, logrando así realizar el proceso de cómo se hace y para qué sirve la

auditoria, logrando así, conocer las falencias que se presentan en el Colegio

Cooperativo Monseñor Ismael Perdomo.

Todo el proceso, nos permitió evidenciar las causas, se relacionaron los hallazgos, a

los cuales se les realizó recomendaciones de solución para dichas falencias,

determinando un plan de acción y dando el dictamen resumen general de la audtoríaa.

Se busca lograr un control interno continuo, de las operaciones de las áreas de

procesamiento de estudio
 OBJETIVOS

General

Organizar los papeles de trabajo generados en el proceso de auditoría en un orden

lógico para la búsqueda de información de los procesos evaluados y los resultados de
la auditoría, mediante la integración de la documentación del proyecto completo.

Específicos

 Determinar las causas que originan los riesgos y resolver los problemas
mediante la definición y aplicación de controles
 Evaluar las vulnerabilidades, amenazas y riesgos informáticos que la empresa
seleccionada pueda presentar
 Elaborar el dictamen de la auditoría para cada uno de los procesos evaluados
teniendo en cuenta los hallazgos y controles existentes
 Diseñar y aplicar los instrumentos de recolección de información
 Realizar el análisis y evaluación de riesgos para cada proceso asignado.
 Elaborar la matriz de riesgos de cada proceso evaluado.
 Adquirir competencias de escritura al elaborar el dictamen de auditoría
 Adquirir competencias comunicacionales en la sustentación de los
resultados de la auditoría
 Aplicar la metodología de auditoría y conoce el estándar COBIT
 PLAN DE AUDITORIA

Descripción de la empresa
Razón Social: Colegio Cooperativo Monseñor Ismael Perdomo

Dirección: Dg 62G Sur No. 72 A – 41

Somos una Cooperativa de educación y servicios múltiples del barrio Perdomo

“COOPERDOMO” dada que es la propietaria del colegio, el cual está integrada por todos
y cada uno de los padres de familia de los estudiantes matriculados en el colegio, porque
el objetivo social de la Cooperativa es formar valores e impartir educación cooperativa,
con compromiso social con el desarrollo de la comunidad y la familia, atendiendo las
necesidades educativas de la población escolar, aprovechando convenientemente la
capacidad humana y profesional de los docentes y de los padres de familia. Optimizando
el tiempo, haciendo un uso adecuado a las necesidades

Culturales y metodológicas de aprendizaje.

Convirtiendo la escuela, como parte del engranaje que estimula el desarrollo de todo
ser humano en una forma participativa, animada por procesos dinámicos de
participación entre maestros, padres de familia y comunidad, contribuyendo a
memorizar los índices de analfabetismo y deserción escolar, así como también la
pobreza en nuestro país.
Organigrama

Área de Sistemas

Ingeniero de
Rectoria
soporte

Docentes
encargados
Rectoría: Por ser el área líder del colegio, son encargados de los procesos
administrativos y decisiones en la institución.

Ingeniero de soporte: Como su nombre lo indica, se encarga del soporte documental

y de procesos en la institución

Docentes Encargados: Especialistas de Soporte y área técnica quienes se encargan

de las labores dentro de la institución.

Activos informáticos del colegio

 50 equipos de cómputo,
o 40 computadores en sala de sistemas para estudiantes
o 10 portátiles para área administrativa (pagaduría, rectoría, secretaría,
celaduría, orientación y psicología)

 3 impresores
 1 servidor
 Bases de datos de afiliados a la cooperativa, que deben ser los mismos padres
de alumnos actuales o egresados del colegio.
 Cables de red para todos los equipos
 Mouse, teclados, disco duro, tarjetas de red, tarjetas de vídeo y unidad de CD,
para todos los equipos de cómputo.
Plan de Auditoria

Antecedentes: El Colegio Cooperativo Monseñor Ismael Perdomo, Institución

Educativa de la localidad Ciudad Bolívar, en la infraestructura de su inventario de
computadores se realiza anualmente un plan de seguimiento a todos los procesos
técnicos de la institución, esto debido a que la institución requiere en la actualidad la
renovación de la certificación ISO 9001 en el manejo de sus procesos y como prestador
de un servicio educativo se busca que los espacios, equipos y estructura relacionada
cuente con una calidad óptima para el usuario.

Uno de los recursos tecnológicos disponibles en las instituciones educativas son las
salas de sistemas, que abarcan un total de 50 equipos en funcionamiento diario.

Objetivos

Objetivo general.

Realizar la revisión y verificación del funcionamiento y seguridad de los sistemas

informáticos, cumplimiento de normas y estándares mediante una auditoría al área de
informática, así como a la infraestructura física de las salas de sistemas de la institución
educativa.

Objetivos específicos.

 Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de

auditoría COBIT como herramienta de apoyo en el proceso inspección del hardware

y software de la institución educativa.

 Planificar la auditoría que permita identificar las condiciones actuales de las salas
de sistemas de la institución educativa.

 Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a

los usuarios del área de informática del plantel educativo.

 Evaluar la normatividad que se está aplicando en el ámbito y área informática del

plantel educativo.
 Identificar las soluciones para la construcción de los planes de mejoramiento a las

salas de sistemas de la institución educativa de acuerdo a los resultados obtenidos

en la etapa de aplicación del modelo de auditoría.

Alcance y delimitación.

La presente auditoria pretende identificar las condiciones actuales del hardware y

software de las salas de sistemas de la institución educativa, con el fin de verificar el

cumplimiento de normas y la prestación del servicio de los diferentes medios

informáticos para optimizar el uso de los recursos existentes y optimizar el servicio a los

educandos.

Los puntos para evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalación cableada de la red de datos.

 Seguridad de acceso físico a las instalaciones.

De equipos o hardware se evaluará:

 Inventarios de hardware, de redes y equipos.

 Mantenimiento preventivo y correctivo de equipos y redes.

 Los programas de mantenimiento de los equipos de cómputo y redes.

 Obsolescencia de la tecnología.

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se

realizarán las actividades:

1. Investigación preliminar: Visitas a la institución para determinar el estado actual

de la organización, entrevistas con administradores y usuarios de las redes para
determinar posibles fallas, entrevistas con administrador y usuarios para determinar
la opinión frente al hardware existente y obsolescencia de equipos.
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos
para listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de
pruebas, selección del estándar a aplicar, elaboración del programa de auditoría,
distribución de actividades para los integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios,

aplicar listas de chequeo para verificar controles, aplicar cuestionarios para
descubrir nuevos riesgos y conformar los que han sido detectados anteriormente.

4. Ejecución de las pruebas: Ejecutar las pruebas para determinar la obsolescencia

del hardware, ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la
correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: Elaborar el cuadro de

vulnerabilidades y amenazas a que se ven enfrentados, determinar los riesgos a
que se ven expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de
riesgos.

6. Tratamiento de riesgos: Determinar el tratamiento de los riesgos de acuerdo a la

matriz de riesgos, proponer controles de acuerdo a la norma de buenas prácticas
aplicadas, definir las posibles soluciones.

7. Dictamen de la auditoría: Determinar el grado de responsabilidad de la institución

educativa en el manejo de cada uno de los procesos evaluados, y compartir los
hallazgos detectados en cada proceso.

8. Informe final de auditoría: Elaboración del borrador del informe técnico de

auditoría para confrontarlo con los auditados, elaboración del informe técnico final,
elaboración del informe ejecutivo, organización de papeles de trabajo para su
entrega.

Recursos:

 Humanos: La auditoría se llevará a cabo por el grupo 90168_17 con la asesoría

metodológica del Tutor del curso de Auditoria de Sistemas.
 Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos
de red.
 Tecnológicos: Equipos de cómputo, software instalado para la red, cámara digital,
Intranet Institución Educativa

Presupuesto:
Ítem Valor
Útiles y Papelería $ 50.000
Equipos de Oficina. $ 300.000
Medios de almacenamiento magnético $ 50.000
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000
Pago de Honorarios (1 millón mensual x c/au) $4.000.000
Total presupuesto $4.700.000

Cronograma.
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDAD SEMANA SEMANA SEMANA
1 2 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de
Auditoria
Aplicar el
Evaluación de
modelo de
Riesgos
auditoria
Ejecución de
Pruebas y Obtención
de Evidencias
Elaboración de
Construir los
Informe
planes de
Sustentación de
mejoramiento
Informe
Distribución de los dominios y procesos de COBIT
TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL – COBIT 4.1
DOMINIOS PROCESOS
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PLANIFICAR
Y PO4.1 Marco de Trabajo de Procesos de TI
ORGANIZAR
PO4 Definir los Procesos, Organización y
Relaciones de TI
OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el Negocio
PO1.3 Evaluación del Desempeño y la Capacidad Actual
PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio de TI
PO2.1 Modelo de Arquitectura de Información Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
PO3.1 Planeación de la Dirección Tecnológica
PO3.2 Plan de Infraestructura Tecnológica
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
PO3.4 Estándares Tecnológicos
PO3.5 Consejo de Arquitectura de TI
PO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TI
PO4.4 Ubicación Organizacional de la Función de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de Calidad TI
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 Propiedad de Datos y de Sistema
PO4.10 Supervisión
PO4.11 Segregación de Funciones

PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección
de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para Personal Contratado
PO4.15 Relaciones
PO5.1 Marco de Trabajo para la Administración Financiera
PO5.2 Prioridades Dentro del Presupuesto de TI
PO5.3 Proceso Presupuestal
PO5.4 Administración de Costos de TI
PO5.5 Administración de Beneficios
PO6.1 Ambiente de Políticas y de Control
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
PO6.3 Administración de Políticas para TI
PO6.4 Implantación de Políticas de TI
PO6.5 Comunicación de los Objetivos y la Dirección de TI
PO7.1 Reclutamiento y Retención del Personal
PO7.2 Competencias del Personal
PO7.3 Asignación de Roles
PO7.4 Entrenamiento del Personal de TI
PO7.5 Dependencia Sobre los Individuos
PO7.6 Procedimientos de Investigación del Persona
PO7.7 Evaluación del Desempeño del Empleado
PO7.8 Cambios y Terminación de Trabajo
PO8.1 Sistema de Administración de Calidad
PO8.2 Estándares y Prácticas de Calidad
PO8.3 Estándares de Desarrollo y de Adquisición
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medición, Monitoreo y Revisión de la Calidad
PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
 PO10.1 Marco de Trabajo para la Administración de Programas
PO10.2 Marco de Traba
PO10.3 Enfoque de Administración de Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaración de Alcance del Proyecto
PO10.6 Inicio de las Fases del Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administración de Riesgos del Proyecto
PO10 Administrar Proyectos PO10.10 Plan de Calidad del Proyecto
PO10.11 Control de Cambios del Proyecto
PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto
PO10.14 Cierre del Proyecto
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y
Funcionales del Negocio
AI1.2 Reporte de Análisis de Riesgos
AI1 Identificar soluciones automatizadas
AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción
Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
AI2.5 Configuración e Implementación de Software Aplicativo Adquirido
AI2.6 Actualizaciones Importantes en Sistemas Existentes
AI2 Adquirir y Mantener Software Aplicativo AI2.7 Desarrollo de Software Aplicativo
ADQUIRIR
E IMPLEMENTAR AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administración de los Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
AI3 Adquirir y Mantener Infraestructura AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Tecnológica AI3.3 Mantenimiento de la infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operación
 AI4 Facilitar la Operación y el Uso
AI5 Adquirir Recursos de TI
AI6 Administrar Cambios
AI7 Instalar y Acreditar Soluciones y Cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los Servicios de Terceros
ENTREGAR Y DAR
SOPORTE DS3 Administrar el Desempeño y la Capacidad
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
AI4.3 Transferencia de Conocimiento a Usuarios Finales
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y
Soporte
AI5.1 Control de Adquisición
AI5.2 Administración de Contratos con Proveedores
AI5.3 Selección de Proveedores
AI5.4 Adquisición de Recursos TI
AI6.1 Estándares y Procedimientos para Cambios
AI6.2 Evaluación de Impacto, Priorización y Autorización
AI6.3 Cambios de Emergencia
AI6.4 Seguimiento y Reporte del Estatus de Cambio
AI6.5 Cierre y Documentación del Cambio
AI7.1 Entrenamiento
AI7.2 Plan de Prueba
AI7.3 Plan de Implementación
AI7.4 Ambiente de Prueba
AI7.5 Conversión de Sistemas y Datos
AI7.6 Pruebas de Cambios
AI7.7 Prueba de Aceptación Final
AI7.8 Promoción a Producción
AI7.9 Revisión Posterior a la Implantación
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio
DS1.2 Definición de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1.4 Acuerdos de Niveles de Operación
DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio
DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos
DS2.1 Identificación de Todas las Relaciones con Proveedores
DS2.2 Gestión de Relaciones con Proveedores
DS2.3 Administración de Riesgos del Proveedor
DS2.4 Monitoreo del Desempeño del Proveedor
DS3.1 Planeación del Desempeño y la Capacidad
DS3.2 Capacidad y Desempeño Actual

DS4 Garantizar la Continuidad del Servicio
DS5 Garantizar la Seguridad de los Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Administrar la Mesa de Servicio y los
Incidentes
DS3.3 Capacidad y Desempeño Futuros
DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte
DS4.1 Marco de Trabajo de Continuidad de TI
DS4.2 Planes de Continuidad de TI
DS4.3 Recursos Críticos de TI
DS4.4 Mantenimiento del Plan de Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DS4.6 Entrenamiento del Plan de Continuidad de TI
DS4.7 Distribución del Plan de Continuidad de TI
DS4.8 Recuperación y Reanudación de los Servicios de TI
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
DS4.10 Revisión Post Reanudación
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de Llaves Criptográficas
DS5.9 Prevención, Detección y Corrección de Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
DS6.1 Definición de Servicios
DS6.2 Contabilización de TI
DS6.3 Modelación de Costos y Cargos
DS6.4 Mantenimiento del Modelo de Costos
DS7.1 Identificación de Necesidades de Entrenamiento y Educación
DS7.2 Impartición de Entrenamiento y Educación
DS7.3 Evaluación del Entrenamiento Recibido
DS8.1 Mesa de Servicios
DS8.2 Registro de Consultas de Clientes

DS9 Administrar la Configuración
DS10 Administración de Problemas
DS11 Administración de Datos
DS12 Administración del Ambiente Físico
DS13 Administración de Operaciones
ME1 Monitorear y Evaluar el Desempeño de TI
DS8.3 Escalamiento de Incidentes
DS8.4 Cierre de Incidentes
DS8.5 Análisis de Tendencias
DS9.1 Repositorio y Línea Base de Configuración
DS9.2 Identificación y Mantenimiento de Elementos de Configuración
DS9.3 Revisión de Integridad de la Configuración
DS10.1 Identificación y Clasificación de Problemas
DS10.2 Rastreo y Resolución de Problemas
DS10.3 Cierre de Problemas
DS10.4 Integración de las Administraciones de Cambios, Configuración y
Problemas
DS11.1 Requerimientos del Negocio para Administración de Datos
DS11.2 Acuerdos de Almacenamiento y Conservación
DS11.3 Sistema de Administración de Librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad para la Administración de Datos
DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física
DS12.3 Acceso Físico
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas
DS13.1 Procedimientos e Instrucciones de Operación
DS13.2 Programación de Tareas
DS13.3 Monitoreo de la Infraestructura de TI
DS13.4 Documentos Sensitivos y Dispositivos de Salida
DS13.5 Mantenimiento Preventivo del Hardware
ME1.1 Enfoque del Monitoreo
ME1.2 Definición y Recolección de Datos de Monitoreo
ME1.3 Método de Monitoreo
ME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
ME1.6 Acciones Correctivas
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
 ME2 Monitorear y Evaluar el Control Interno ME2.2 Revisiones de Auditoría
ME2.3 Excepciones de Control
MONITOREAR Y ME2.4 Control de Auto Evaluación
EVALUAR ME2.5 Aseguramiento del Control Interno
ME2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
ME3 Garantizar el Cumplimiento con ME3.2 Optimizar la Respuesta a Requerimientos Externos
Requerimientos Externos ME3.3 Evaluación del Cumplimiento con Requerimientos Externos
ME3.4 Aseguramiento Positivo del Cumplimiento
ME3.5 Reportes Integrados
ME4.1 Establecimiento de un Marco de Gobierno de TI
ME4.2 Alineamiento Estratégico
ME4.3 Entrega de Valor
ME4 Proporcionar Gobierno de TI ME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del Desempeño
ME4.7 Aseguramiento Independiente
Fuente: Estándar de mejores prácticas COBIT 4.1

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
Estos procesos están agrupados en cuatro grandes dominios que se describen a continuación
junto con sus procesos y una descripción general de las actividades de cada uno:

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología

información puede contribuir de la mejor manera al logro de los objetivos de la organización.
La consecución de la visión estratégica debe ser planeada, comunicada y administrada desde
diferentes perspectivas y debe establecerse una organización y una infraestructura
tecnológica apropiadas.

Procesos:

PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para
asegurar sus logros futuros.

PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los requerimientos

de la organización, en cuanto al manejo y gestión de los sistemas de información, a través de
la creación y mantenimiento de un modelo de información de la organización.

PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de la

tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la
organización, a través de la creación y mantenimiento de un plan de infraestructura
tecnológica.

PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación de

servicios de TI, por medio de una organización conveniente en número y habilidades, con
tareas y responsabilidades definidas y comunicadas.

PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la

organización, asegurando el financiamiento y el control de desembolsos de recursos
financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar el

conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia, a través
de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto
estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del

personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de
técnicas sólidas para administración de personal.

PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y contractuales, para ello se realiza una identificación y
análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las
medidas apropiadas para cumplir con ellos.
PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder
a las amenazas hacia la provisión de servicios de TI, mediante la participación de la propia
organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos.

PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios

oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza una
identificación y priorización de los proyectos en línea con el plan operacional por parte de la
misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de
administración de proyectos para cada proyecto emprendido.

PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente.

Mediante una planeación, implementación y mantenimiento de estándares y sistemas de
administración de calidad por parte de la organización.

Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.

Procesos:

AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para

cumplir con los requerimientos del usuario, mediante un análisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.

AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar funciones

automatizadas que soporten efectivamente la organización mediante declaraciones
específicas sobre requerimientos funcionales y operacionales y una implementación
estructurada con entregables claros.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es proporcionar

las plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de
una evaluación del desempeño del hardware y software, la provisión de mantenimiento
preventivo de hardware y la instalación, seguridad y control del software del sistema.

AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso apropiado

de las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de
un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para
usuarios, requerimientos de servicio y material de entrenamiento.

AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución
sea adecuada para el propósito deseado mediante la realización de una migración de
instalación, conversión y plan de aceptaciones adecuadamente formalizadas.

AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de interrupciones,

alteraciones no autorizadas y errores, mediante un sistema de administración que permita el
análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a
la infraestructura de TI actual.

Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.

Procesos

DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del
nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio
que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad
del servicio.

DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas
y responsabilidades de las terceras partes estén claramente definidas, que cumplan y
continúen satisfaciendo los requerimientos, mediante el establecimiento de medidas de
control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes, en cuanto
a su efectividad y suficiencia, con respecto a las políticas de la organización.

DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad

adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el
desempeño deseado, realizando controles de manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones,
manejo y demanda de recursos.

DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo

con los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan
de continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio
y relacionado con los requerimientos de negocio.

DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra

uso no autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso
lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios
autorizados.

DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.

DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correcto

atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que
éstos sean registrados, calculados y asignados a los niveles de detalle requeridos.

DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda
que proporcione soporte y asesoría de primera línea.

DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes

de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una
base para el sano manejo de cambios realizando controles que identifiquen y registren todos
los activos de TI así como su localización física y un programa regular de verificación que
confirme su existencia.

DS10 Administración de Problemas: El objetivo es asegurar que los problemas e incidentes

sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder
implementando un sistema de manejo de problemas que registre y haga seguimiento a todos
los incidentes.

DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de
una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico

conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo,
calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos
y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
definiendo procedimientos que provean control de acceso del personal a las instalaciones y
contemplen su seguridad física.

DS13 Administración de la operación: El objetivo es asegurar que las funciones importantes

de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada a
través de una calendarización de actividades de soporte que sea registrada y completada en
cuanto al logro de todas las actividades.

Dominio: Monitoreo

Todos los procesos de una organización necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad.

Procesos

M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para
los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores
de desempeño gerenciales y la implementación de sistemas de soporte así como la atención
regular a los reportes emitidos.

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos
de control interno establecidos para los procesos de TI.

M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles de

confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo
a intervalos regulares de tiempo.

M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y

beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que
se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de
tiempo.
Ejecución de la auditoria
DS3 Administrar el desempeño y la capacidad

Objetivo

Verificar la existencia de un proceso y su mejor aplicación que optimice el desempeño de la

estructura, los recursos y las capacidades de TI.

Puntos a Evaluar

-Planeación del desempeño y la capacidad

-Capacidad y desempeño actual

-Capacidades y desempeños futuros

-Disponibilidad de recursos de TI

-Monitoreo y reporte
Instrumentos de recolección

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE

ANÁLISIS DE AUDITORIA

Colegio Cooperativo Monseñor

ENTIDAD AUDITADA
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
DOMINIO
PROCESO AUDITADO
Ismael Perdomo PAGINA
Evaluación del Desempeño y la
Capacidad Actual 1 DE 1
Johanna Murcia Archila
COBIT 4.1
Entregar y Dar Soporte (DS)
DS3 Administrar el Desempeño y la
Capacidad

FUENTES DE
CONOCIMIENTO REPOSITORIO DE PRUEBAS APLICABLES

El Colegio cuenta con el

ingeniero de soporte
encargado, a quien a través
de la encuesta se le
solicitaran los datos
pertinentes que lleva DE ANALISIS DE EJECUCION
consolidados en su plan
estratégico de operaciones
TI de corto plazo, proyectos y Cotejar los
demás que se vinculen al lineamientos en
proceso TI considerando los el plan
tiempos y volúmenes de Verificar el benchmarking y soportes estratégico de
respuesta, los acuerdos de documentados para esta finalidad las operaciones
confidencialidad y ante todo TI del plantel
el criterio de satisfacción del educativo
cliente en este caso los
educandos
Entrevista

ENTIDAD Colegio Ismael Perdomo PAGINA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de
AUDITORÍA la empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Johanna Murcia Archila
MATERIAL DE SOPORTE COBIT
DOMINIO DS3 PROCESO Verificar la existencia de un proceso
y su mejor aplicación que optimice el
desempeño de la estructura, los
recursos y las capacidades de TI.

ENTREVISTADO Oscar Irisarri

CARGO Rector

¿Qué herramienta individual utilizan para diagnosticar problemas de desempeño laboral?

Realizan evaluación de desempeño

¿Cómo se monitorea las actividades que se realizan en el departamento de TI?

A través de planillas

¿Cómo es realizada la distribución de las tareas del trabajador de acuerdo con la

manifestación de nuevas actividades?

La distribución de tareas la realizan teniendo en cuenta los conocimientos de cada

colaborador

¿Qué hacen para hacer la valoración del nivel del servicio prestado a los usuarios y clientes
del negocio?

Se realiza una encuesta de satisfacción

¿Cómo miden la eficiencia de las actividades realizadas por el departamento de TI?

Se tienen definidos KPI que miden el desempeño del departamento

¿Cómo hacen las revisiones regulares para asegurar que se logre una capacidad óptima de
acuerdo con la infraestructura de TI y la demanda del negocio?

A fin de año, después de finalizar clases, revisan los equipos de cómputo, accesorios,
salas de informática y evalúan cuáles componentes debe actualizar, cuándo hacerlo y el costo
involucrado.

_______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA

Lista de chequeo

LISTA DE CHEQUEO

DS3 Administrar el
Dominio Entregar y Dar Soporte (DS) Proceso Desempeño y la
Capacidad

Objetivo de control DS3.2 Capacidad y Desempeño Actual.

conforme
N.º Aspecto evaluado Observación
SI NO
¿La institución provee un buen desempeño
1 con la capacidad actual de su sistema de TI a x
la comunidad educativa?
Objetivo de control DS 4 ,2 Planes de continuidad TI
¿La institución posee un plan estratégico de
2 x
operaciones de TI?
FORMATO CUESTIONARIO
Con el propósito de mejorar el programa de auditorías internas y el desempeño de los
auditores internos, se solicita amablemente diligenciar el presente formato para cada uno
de los integrantes del equipo auditor. Sus aportes son muy importantes para fortalecer el
Sistema de Gestión de la Calidad.
Nombre del
Johanna Murcia Archila
auditor
Proceso
DS3.2 Capacidad y Desempeño Actual.
auditado
Ciclo de
Fecha de la evaluación:
auditoría
Instrucciones: Con base en el enunciado califique su grado de acuerdo o desacuerdo
marcando con una X, donde:
4:
2: En
6: Totalmente de acuerdo Medianamente
desacuerdo
de acuerdo
3: 1: Totalmente
5: De acuerdo Medianamente en
en desacuerdo desacuerdo
No. Afirmaciones 6 5 4 3 2 1
¿La institución posee con una planta de
1 x
docentes familiarizados con las TI?
¿La institución posee algún tipo de control
2 para verificar que la prestación del servicio x
sea pertinente?
. ¿la comunidad educativa posee claridad
en la responsabilidad asignada al
3 x
momento de asignarle un rol o
responsabilidad en el manejo de las TI?
. ¿la institución realiza pruebas a los
4 x
usuarios de la institución?
¿La institución posee un adecuado
5 control de la contratación con las x
entidades externas?
¿La institución tiene al día todos los
6 x
contratos y obligaciones con terceros?
Observaciones o comentarios sobre el desempeño del auditor interno: la entidad cuenta
con unos lineamientos óptimos en el manejo y control de los elementos
Observaciones o sugerencias sobre el proceso de auditoría interna: Se sugiere hacer
algunas modificaciones internas para optimizar el servicio
Nombre del evaluador Oscar Irisarri Cargo: director

CUESTIONARIO CUANTITATIVO
Colegio Cooperativo Monseñor
ENTIDAD AUDITADA Ismael Perdomo PAGINA
Evaluación del Desempeño y la
PROCESO AUDITADO Capacidad Actual 1 DE 1
RESPONSABLE Johanna Murcia Archila
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte (DS)
DS3 Administrar el Desempeño
PROCESO AUDITADO y la Capacidad
Preguntas: SI NO NA REF FUENTE
1.1 Tiene la empresa una política
de calidad, para medir el 5
desempeño de los funcionarios
1.2 Han sido definidas y
documentadas responsabilidades y
5
autorizaciones claras para una
administración proactiva de calidad,
§ autorizaciones para controlar el
flujo de producto/servicio no 5
conforme?
§ autorizaciones para iniciar
acciones a fin de prevenir 5
problemas de calidad?
§ autorizaciones para identificar e
iniciar soluciones a problemas de 5
calidad.
1.3 Existe una Administración
Representativa global responsable 5
de temas de calidad,
2.1 Ha sido establecido un Manual
de procedimientos de las salas de 5
sistemas
2.2 Qué actividades son pertinentes
de ejecutar en estos espacios, tiene 5
conocimiento de esto
3.1 Están definidos claramente los
procedimientos de revisión de 5
bases de datos de la institución
Existe un buen manejo de los
5
usuarios y las redes del colegio
4.1 Cómo son las actividades de
diseño y desarrollo, incluyendo los
4
requerimientos de entrada y salida,
planificadas y controladas?
§ aprobación y revisión por
5
personal autorizado.
 § accesibilidad a los documentos
5
por personal apropiado.
18.1 Existe algún plan en curso de
capacitación para todo el personal
5
que desempeñan actividades que
afectan la calidad,
TOTALES 54 15

Cuestionario de control

Colegio Cooperativo Monseñor Ismael Perdomo

Cuestionario de Control: A1
Dominio Entregar y Dar Soporte (DS)
DS3 Administrar el Desempeño y la
Proceso
Capacidad
Pregunta Si No OBSERVACIONES
¿La institución cuenta con una planeación objetiva en
5
cuanto a las necesidades de los usuarios?

¿La entidad ofrece una cobertura apropiada en el

3
ancho de banda para sus instalaciones?

¿La entidad considera realizar una inversión que

4
propicie mejorar estos espacios para los usuarios?

¿La comunidad educativa posee disponibilidad y

5
recursos TI?

¿La cobertura de las cámaras instaladas es la

4
necesaria para la comunidad y sus necesidades?
TOTALES 18 3
Porcentaje de riesgo parcial (18*100%) /21 = 85,71%
Porcentaje de riesgo 100-85,71% = 14,29%
Impacto según relevancia del proceso: Riesgo Medio

DS4 Garantizar la continuidad del servicio

- Analizar si la compañía cuentas con algún tipo de planes de contingencia para

garantizar la continuidad de los servicios de TI dentro de la organización.
- Determinar la madurez y cobertura de los planes de contingencia, en caso de que la
organización los tenga, sobre los procesos críticos del negocio.
- Analizar el impacto que puede causar sobre el quehacer de la organización la falla de
los servicios de TI que no cuentan con un plan de continuidad del servicio.
- Establecer la participación de las TI en los planes de contingencia en la organización
- Analizar si el área de TI tiene adecuadamente asignados los roles y responsabilidades
en los planes de continuidad del servicio y en los controles preventivos. -Determinar si
la organización está preparada adecuadamente para fallos en sus sistemas
Instrumentos de recolección

CUADRO DE DEFINICION DE FUENTES DE

CONOCIMIENTO, PRUEBAS DE ANALISIS DE REF:001
AUDITORIA

Colegio Cooperativo Monseñor

ENTIDAD AUDITADA Ismael Perdomo PAGINA
Evaluación del Desempeño y la
PROCESO AUDITADO Capacidad Actual 1 DE 1
RESPONSABLE Johanna Murcia Archila
MATERIAL DE
SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte (DS)
DS4 Garantizar la Continuidad
PROCESO AUDITADO del Servicio

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
*La institución posee un Analizar si la entidad cuenta con Corroborar si la
plan de continuidad que una provisión adecuada de los institución proporciona
garantiza la provisión en servicios ofrecidos a los los elementos
los espacios objeto de usuarios en cuanto a los necesarios para que sus
trabajo que están programas y elementos TI a su funcionarios
articulados con los disposición. implementen las
requerimientos de los soluciones apropiadas a
usuarios las necesidades de los
• La institución revisa espacios de trabajo.
periódicamente que los
roles y responsabilidades
relacionadas con TI se
entiende y se ejerce
adecuadamente. Evaluar
que las personas tienen
los recursos para ejercer
estas responsabilidades y
son conscientes que la
concentración de los roles
y las responsabilidades
pueden ser mal utilizadas.
• La institución tiene
definido donde puede ser
aplicado y cómo ha de ser
controlada la contratación
externa y o el outsourcing
Entrevista

ENTIDAD Colegio Ismael Perdomo PAGINA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de
AUDITORÍA la empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Johanna Murcia Archila
MATERIAL DE SOPORTE COBIT
DOMINIO DS3 PROCESO Verificar la existencia de un proceso
y su mejor aplicación que optimice el
desempeño de la estructura, los
recursos y las capacidades de TI.

ENTREVISTADO José Macías

CARGO Responsable área de TI

1- ¿Existe alguna fuente de energía alterna que garantice el funcionamiento continuo del
centro de cómputo?
No
2- ¿Existe algún procedimiento, como la creación de Backus, que garantice la
recuperación de los datos en el caso de algún fallo del sistema?
Se tiene un Backup programado para ser realizado en horas de la noche

3- ¿Existen procedimientos para asegurar que estas copias están adecuadamente

protegidas y solo disponibles para el personal especialmente autorizado?
Si

4- ¿Actualmente el colegio posee alguna alternativa que permita la continuidad del

desarrollo de los procesos normales, luego de una falla total en el sistema principal?
No,

5- ¿Existe una asignación de responsabilidades por actividades en caso de que se deba

llevar a cabo algún proceso de recuperación?
SI, los docentes del área TI realizan todos los procesos

6- ¿Se lleva a cabo dentro del colegio algún tipo de registro sobre los errores más
comunes, que permita un análisis de probabilidad de ocurrencia de fallas?
Se lleva un listado de eventos ocurridos, sin embargo, no se sistematizan y
tampoco se generan estadísticas de ello

7- ¿Existe dentro del colegio algún marco de continuidad de TI que tome en cuenta la
estructura organizacional del colegio y cada uno de sus procesos?
Si existe

8- ¿Se lleva a cabo revisiones periódicas del marco de continuidad de TI?

Se hace revisión periódica
 9- ¿Qué áreas de la organización participan de la creación y mantenimiento de este
marco de continuidad?
Sólo los docentes encargados del área de sistemas

10- ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los procesos
críticos del colegio?
si

11- ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la organización de
estos planes de continuidad?
Si

12- ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los procesos
críticos de la organización en caso de algún altercado
Si

Lista de chequeo

Lista Chequeo

DS4 Garantizar la
Dominio Entregar y Dar Soporte (DS) Proceso Continuidad del
Servicio

Objetivo de control DS4.2 Planes de Continuidad de TI.

conforme
N.º Aspecto evaluado Observación
SI NO
Actualmente el colegio posee alguna alternativa
que permita la continuidad del desarrollo de los
1 x
procesos normales, luego de una falla total en el
sistema principal
Objetivo de control DS4.3 Recursos Críticos de TI.
conforme
N.º Aspecto evaluado Observación
SI NO
El colegio realiza un análisis de impacto al negocio
1 x
y valoración de riesgo
DS4.4 Mantenimiento del Plan de Continuidad
Objetivo de control
de TI.
conforme
N.º Aspecto evaluado Observación
SI NO
La entidad cuenta con un plan pertinente que
1 x
garantice la continuidad del servicio a los usuarios
Objetivo de control DS4.5 Pruebas del Plan de Continuidad de TI.
conforme
N.º Aspecto evaluado Observación
SI NO
Se lleva a cabo revisiones periódicas del marco de
1 x
continuidad de TI
Objetivo de control DS4.6 Entrenamiento del Plan de Continuidad de TI.
 La entidad genera planes de acción de
2 capacitación a los encargados de los espacios x
para los usuarios
DS4.9 Almacenamiento de Respaldos Fuera
Objetivo de control
de las Instalaciones.
conforme
N.º Aspecto evaluado Observación
SI NO
El colegio cuenta con almacenamiento alterno
1 x
fuera de las instalaciones
Objetivo de control DS4.10 Revisión Post Reanudación.
conforme
N.º Aspecto evaluado Observación
SI NO
El colegio planea e implementa el
almacenamiento y la protección de respaldos,
1 x
estableciendo los procedimientos para llevar a
cabo revisiones post reanudación

FORMATO CUANTITATIVO
Con el propósito de mejorar el programa de auditorías internas y el desempeño de los
auditores internos, se solicita amablemente diligenciar el presente formato para cada uno de
los integrantes del equipo auditor. Sus aportes son muy importantes para fortalecer el
Sistema de Gestión de la Calidad.
Nombre del
Johanna Murcia Archila
auditor
Proceso
MDS 4antenimiento del Plan de Continuidad de TI.
auditado
Ciclo de
Fecha de la evaluación:
auditoría
Instrucciones: Con base en el enunciado califique su grado de acuerdo o desacuerdo
marcando con una X, donde:
4: Medianamente 2: En
6: Totalmente de acuerdo
de acuerdo desacuerdo
3: Medianamente 1: Totalmente
5: De acuerdo
en desacuerdo en desacuerdo
No. Afirmaciones 6 5 4 3 2 1

El auditor demostró conocimiento del

1 x
proceso auditado.

El auditor demostró conocimiento y

2 x
comprensión de los parámetros legales
El auditor demostró conocimiento sobre
3 x
los requisitos de la norma COBIT
El auditor demostró conocimiento sobre
los referentes institucionales y
4 x
capacidad de evaluar su aplicación en el
proceso auditado.
5 x
 El auditor se mantuvo dentro del alcance
de la auditoría.
El auditor propició un ambiente
6 profesional y amistoso durante la x
entrevista.
La actuación del auditor permitió la
sustentación de la dinámica del proceso
7 x
estimulando al auditado a que sea él
quien hable la mayor parte del tiempo.
El auditor aportó al mejoramiento del
proceso retroalimentando sobre
8 aspectos positivos y motivando la x
formulación de acciones de
mejoramiento.
El informe de auditoría fue claro,
9 coherente, consistente y fundamentado x
en la evidencia.
Observaciones o comentarios sobre el desempeño del auditor interno: la entidad cuenta
con unos lineamientos óptimos en el manejo y control de los elementos
Observaciones o sugerencias sobre el proceso de auditoría interna: Se sugiere hacer
algunas modificaciones internas para optimizar el servicio

Nombre del evaluador: __José Macías _______ Cargo: Responsable de área TI

Cuestionario de control

Colegio Cooperativo Monseñor Ismael Perdomo

Cuestionario de Control: A1
Dominio Entregar y Dar Soporte (DS)
DS4 Garantizar la Continuidad del
Proceso
Servicio
Pregunta Si No OBSERVACIONES
¿De acuerdo con el plan de continuidad se le da un
3
manejo optimo a los procesos críticos

¿La entidad realiza pruebas de continuidad de la

3
prestación del servicio?

¿La distribución del plan de continuidad TI cumple con

3
la normativa establecida?

¿La recuperación y reanudación de los servicios TI se

3
da en un corto lapso?
¿Se realiza una revisión post reanudación de los
servicios cuando se presenta alguna afectación que los 3
altera?
TOTALES 6 9
Porcentaje de riesgo parcial (6*100%) /9 = 66,6%
Porcentaje de riesgo 100-66,6% = 34,4%
Impacto según relevancia del proceso: Riesgo
Medio
Análisis de riesgo
ACTIVOS
Vulnerabilidad Amenazas Riesgo
INFORMATICOS

Falta de actualización de los antivirus, ya que son copias con una

Uso de software no licenciado en la
1 Difusión de software dañino expiración anual, que no permiten su actualización inmediata si no Software
empresa antivirus y netsupport
la opción de compra de una nueva

Falta de actualización del sistema operativo de los equipos de

Adquisición de software que no tiene Fallos en el sistema operativo,
2 cómputo que tienen Windows XP, 7 y el de los servidores de las salas Software
soporte del fabricante Reiterados anuncios sobre la de computo muestra incompatibilidad con algunas funciones
activación del sistema Operativo
No existe proceso de revisión de
3 Accesos no autorizados No existe directivas de contraseñas para las cuentas de usuario Seguridad lógica
contraseñas
Suplantación de identidad las
Se encuentran activas cuentas de usuario de personal que ya no
contraseñas suministradas por el
4 Falta de control de cuentas de usuario labora en la empresa. El ingreso se realiza con control de huella y la Seguridad lógica
soporte técnico no tienen mayor cifrado
base de datos en ocasiones no coincide
o complejidad
Ausencia de planes para No se realizan copias de seguridad de manera periódica de la
5 Desastres naturales Seguridad lógica
recuperación de información información sensible en medios externos.
La información transmitida no está Los sistemas de información disponibles no cifran los datos cuando
6 Seguridad lógica
cifrada o hay pérdida de información Modificación se están almacenando o transmitiendo
No existe un Control y monitoreo en el Utilización de los recursos del sistema No existe control de acceso a direcciones de internet por parte del
7 Redes
acceso a Internet para fines no previstos administrador, lo que hace insegura a la red de datos
Mal uso del correo institucional, ya que
Uso indebido del correo de electrónico para el envío de información
8 Fuga de información no se utiliza solo para comunicación Seguridad lógica
a personal externo
laboral.

No se hace revisión de virus, troyanos Al no contar con VPN, no analiza el tráfico por VPN Ipsi, L”TP, PPTP
y espías en la VPN a través del uso y SSL en busca de software malintencionado, correo no deseado,
9 Accesos No autorizados al sistema Seguridad lógica
de sistema de usuario remoto (acceso contenidos inapropiados e infusiones.
remoto)

La no aplicabilidad en Firewall – saber qué puertos se deben

10 No existe un firewall activo. Accesos No autorizados bloquear o permitir, la forma de interactuar con ella o es propietario Seguridad lógica
de ella, quien tiene acceso a la consola de control.
 Falta de capacitación del personal del Fallas en la configuración de los Falta de actualización y configuración adecuada del equipo por parte
11 Software
área informática. equipos del personal del área de sistemas

Algunos de los segmentos de la red se encuentran a la intemperie lo

El cableado estructurado no cumple
12 Daños de las comunicaciones. que puede causar manipulación de red, daños a la red, rupturas y su Redes
con las normas
transmisión de datos presentan caídas de paquetes de información.
El Ingeniero encargado la administración de los sistemas de la
No hay seguimiento a los controles de No existe Detección de intrusiones, empresa, no cumple con las funciones de administración de la
13 Seguridad lógica
seguridad del sistema informático contención y/o eliminación. seguridad del sistema y tampoco tiene implementados controles de
seguridad por lo que se han presentado ataques al sistema

No se controla los permisos y No existe perfiles de usuario en el Modificación sin autorización de los datos, o de software instalado en
14 Seguridad lógica
privilegios de los usuarios sistema el sistema, incluyendo borrado de archivos.

Mala configuración de la seguridad de

Existen fallas en la seguridad y las comunicaciones originadas por la
15 Fallos en la red LAN los dispositivos de red tales como Redes
inadecuada configuración de los dispositivos de la red.
Reuters, suiches.
Tratamiento de riesgo

EVALUACION DE RIESGOS
Probabilidad Impacto
Ni Descripción
Baja Media Alta Leve Moderado Catastrófico
No existen restricciones para el acceso del
R1 x x
personal externo a las salas de sistemas
Las máquinas cuentan con unas
características básicas que no permiten el
R2 x X
desarrollo óptimo en la ejecución de algunos
programas (Edición de videos)
La cobertura de las UPS no es la adecuada
R3 x x
para las caídas eléctricas
Insatisfacción por parte de los educandos con la
R4 x x
cobertura del sí fi
No se cuenta con el levantamiento de hojas de
R5 x x
vida de los pc de las salas de sistemas
La señal del internet es carente frente a las
R6 x x
necesidades de los usuarios
La intranet carece de seguridad frente a otros
R7 x x
usuarios
Se han presentado corto de elementos de las
R8 salas de sistemas o de otras instalaciones x x
asociadas en la institución
No existen responsables de los elementos de
R9 x x
las salas de sistemas

Matriz de riesgo

Alto R2 -R4-R5-
61-100% R6-R7

Medio
31-60% R1-
PROBABILIDAD
R3- R9
Bajo R8
0-30%
Leve Moderado Catastrófico
IMPACTO
Resultados de la auditoria

1- Formato de Halazgos

REF
HALLAZGO 1
R
2
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE

Entregar y Dar DS4.3 Recursos

DOMINIO PROCESO
Soporte (DS) Críticos de TI.

DESCRIPCIÓN HALLAZGO: Las máquinas cuentan con unas características básicas

que no permiten el desarrollo óptimo en la ejecución de algunos programas ( Edición
de vídeos)

CAUSAS: las máquinas son demasiado antiguas lo que ocasiona que no acepten
formatos nuevos como por ejemplo el vídeo.

CONSECUENCIAS: Los docentes de la institución, continuamente requieren la

proyección de videos en sus clases, de igual manera cuando realizan reuniones,
suelen proyectar información, pero las máquinas no permiten dicha actividad.

VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad Alta .

RECOMENDACIONES: Se hace necesario adquirir nuevas máquinas, con

características técnicas más actualizadas y con mejor capacidad.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

 REF
HALLAZGO 2
R
3
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE

DS4.4
Entregar y Dar Mantenimiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.

DESCRIPCIÓN HALLAZGO: La cobertura de las UPS no es la adecuada para las

caídas eléctricas

CAUSAS: La capacidad eléctrica de las UPS, no alcanza para cubrir la pérdida de

electricidad, dura unos muy poco minutos generando energía.

CONSECUENCIAS: Cuando la electricidad se va, las UPS se activan, sin embargo

en muy poco tiempo se apaga, ocasionando en muchos casos pérdidas de
información.

VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto

catastrófico, con probabilidad media.

RECOMENDACIONES: Adquirir nuevas UPS que se conecten a la red eléctrica

comercial, como a plantas eléctricas de emergencia, por lo que tienen un amplio rango
de protección eléctrica y respaldo. Una UPS industrial puede tener una capacidad de
20 KVA a 160 KVA, pesar unos 600 Kg y alimentar 143 computadoras.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

REF
HALLAZGO 3
R
4
PÁGINA
PROCESO DS4 Garantizar la Continuidad del 1 DE 1
AUDITADO Servicio
RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE

DS4.5 Pruebas del

Entregar y Dar
DOMINIO PROCESO Plan de
Soporte (DS)
Continuidad de TI.

DESCRIPCIÓN HALLAZGO: Insatisfacción por parte de los educandos con la

cobertura del INTERNET y el WIFI

CAUSAS: La cobertura de WIFI en la institución es muy corta, los dispositivos usados

para emitir y repetir la señal tienen pocos metros de distancia.

CONSECUENCIAS: El WIFI al tener corta emisión, ocasiona pérdida de tiempo, es

decir, cuando los docentes, alumnos o directivos, están realizando alguna consulta
en internet, o enviando correos, etc, el WIFI se “cae” ocasionando que no se lleve a
cabo el procedimiento que se está consultando.

VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.

RECOMENDACIONES: Solicitar al proveedor de internet, mejorar la velocidad y

buscar que la distancia de conexión sea mínimo de 15Mts.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

REF
HALLAZGO 4
R
5
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1
RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE

DS4.6
Entregar y Dar Entrenamiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.

DESCRIPCIÓN HALLAZGO: No se cuenta con el levantamiento de hojas de vida de

los PCS de las salas de sistemas

CAUSAS: No se conoce las características mínimas de los PC`s de la institución, no

se tiene la información de fecha adquirida, los componentes y características de
hardware y software, licenciamiento, etc.

CONSECUENCIAS: Mal funcionamiento del software, al no conocer las

características, se puede cometer error de instalar software no compatible.

VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.

RECOMENDACIONES: Iniciar con el diligenciamiento de planillas donde se

identifique una a una las características técnicas, físicas e información básica de cada
equipo de cómputo

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

REF
HALLAZGO 5
R
6
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE

DS4.9
Almacenamiento
Entregar y Dar
DOMINIO PROCESO de Respaldos
Soporte (DS)
Fuera de las
Instalaciones.

DESCRIPCIÓN HALLAZGO: La intranet carece de seguridad frente a otros usuarios

CAUSAS: No se tiene control de accesos, encriptación de información, radar contra

intrusos y paredes contrafuego.

CONSECUENCIAS: Se puede presentar accesos a la información de la institución

por parte de usuarios no deseados, kackeos en la información, pérdida de datos, etc.

VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto

catastrófico, con probabilidad media.

RECOMENDACIONES: Implementar medidas sólidas de seguridad definiendo

políticas y acciones definitivas, que mejoren la seguridad que se tienen actualmente
en la institución.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

.
 2- Cuadro de controles y tipo
RIEGOS O HALLASGOS TIPO
ENCONTRADOS CONTROL
Las máquinas cuentan con
unas características
básicas que no permiten el CORRECTIVO
desarrollo optimo en la
ejecución de algunos
programas ( Edición de
vídeos)
La cobertura de las UPS CORRECTIVO
no es la adecuada para las
caídas eléctricas
Insatisfacción por parte de
los educandos con la CORRECTIVO
cobertura del INTERNET y
el WIFI
No se cuenta con el
levantamiento de hojas de CORRECTIVO
vida de los PCS de las
salas de sistemas
La intranet carece de CORRECTIVO
seguridad frente a otros
usuarios
DE SOLUCIONES o CONTROLES
Se hace necesario adquirir nuevas
máquinas, con características
técnicas más actualizadas y con
mejor capacidad.
Adquirir nuevas UPS que se
conecten a la red eléctrica comercial,
como a plantas eléctricas de
emergencia, por lo que tienen un
amplio rango de protección eléctrica
y respaldo. Una UPS industrial
puede tener una capacidad de 20
KVA a 160 KVA, pesar unos 600 Kg
y alimentar 143 computadoras.
Solicitar al proveedor de internet,
mejorar la velocidad y buscar que la
distancia de conexión sea mínimo de
15Mts.
Iniciar con el diligenciamiento de
planillas donde se identifique una a
una las características técnicas,
físicas e información básica de cada
equipo de cómputo
Implementar medidas sólidas de
seguridad definiendo políticas y
acciones definitivas, que mejoren la
seguridad que se tienen actualmente
en la institución.
 3- Dictamen de la auditoría

A continuación me permito socializar, los resultados definitivos de la auditoria y las

recomendaciones de mejoramiento para el proceso COBIT auditado, una vez revisadas
las observaciones y aclaraciones hechas por la empresa al grupo auditor:

PROCESO COBIT: DS4 Garantizar la Continuidad del Servicio

Objetivo de la Auditoria: Emitir un diagnóstico sobre el servicio que presta el Colegio

Cooperativo Monseñor Ismael Perdomo a la comunidad, con el ánimo de tomar
decisiones sobre el mismo. Éstas decisiones pueden ser de diferentes tipos respecto al
área examinada y al usuario del dictamen o diagnóstico.

Dictamen: Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organización y relaciones del área evaluada están contenidos en un manual de procesos
y los recursos de hardware y software son adecuados.

Sin embargo, este manual no se ha actualizado con respecto a la evolución que ha

tenido el Colegio, lo que hace que no sea posible medirlo y redefinirlo. En procesos
clave de administración del sistema se observa excesiva dependencia en la capacidad
y conocimiento que empleados clave tienen del sistema.

Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar
planes de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o
rotar personal clave en las operaciones y administración del sistema.

Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

información, operación directa sobre tablas de la base de datos. Igualmente, realiza
labores de auditoría y también administra el sistema operativo, la aplicación y la base
de datos. Se considera un nivel de acceso amplio que dificulta establecer controles.

Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el

control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.
Recomendaciones:

Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones

y procedimientos del Área Comercial.

Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.

Documentar y diferenciar en forma precisa los procesos, políticas administrativas y

procedimientos de la administración de riesgos, la seguridad de la información, la
propiedad de datos y del sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones masivas, administración
y auditoria sobre las tablas de la base de datos.

Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de

registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el
mismo realizar auditorías y ejerciendo controles adecuados sobre la seguridad del
servidor e producción y sobre la base d
Vulnerabilidades Amenazas Riesgos Activos informáticos

(hardware, redes y comunicaciones,

software, personal, seguridad física,
seguridad lógica, usuarios, sistema de
información, sistemas operativos,
bases de datos, equipos de protección
eléctrica, otro)

Cables expuestos Daño físico a circuitos El cableado puede ser dañado voluntaria o Hardware
accidentalmente.

No existe circuito regulado Fluctuaciones de voltaje Los picos de corriente pueden dañar los Hardware
equipos.

No hay fuente alterna de energía Cortes de energía Al fallar el servicio público de energía se Hardware
detiene la operación

Hardware sin mantenimiento Daño de equipos Al faltar el mantenimiento los equipos Hardware
acumulan mugre y contaminantes que los
pueden dañar permanentemente

No hay redundancia en las Caída del proveedor de Perdida de disponibilidad de la información en Hardware
conexiones Internet servicio caso tal que se tenga un corte por el proveedor
de servicio

No existe control de los dispositivos Introducción de información Alteración o pérdida de la información Hardware, información
de almacenamiento (USB, cd, falsa registrada en base de datos o equipos
discos)

Ausencia de cableado estructurado. Daño de los equipos e Peligro de corto circuito, sobre carga en los Hardware
infraestructura circuitos eléctricos, incendio y lesiones a el
personal

Software desactualizado Accesos no autorizados Al no actualizar y aplicar parches quedan Software

expuestos los equipos y los sistemas a
malware y accesos no autorizados.
Antivirus incompletos Software de malware Al usar versiones gratuitas o no licenciados no Software
se tiene la protección completa que ofrecen
los fabricantes de antivirus

Falta de análisis al tráfico de red en Accesos no autorizados del Al no analizar el tráfico en busca de software Seguridad lógica, seguridad física
busca de actividad maliciosa sistema, fuga de malintencionado, correo no deseado,
información contenido inapropiado e intrusiones

Adquisición de software sin soporte Fallos en el sistema Incompatibilidad de los equipos de cómputo Software
del fabricante operativo, Reiterados con las funciones requeridas para el desarrollo
anuncios sobre la activación de las actividades empresariales
del sistema Operativo

Falta de capacitación del personal Fallas en la configuración de Falta de actualización y configuración Software
del área informática. los equipos adecuada del equipo por parte del personal
del área de sistemas

Uso de software no licenciado Inconvenientes legales Incurrir en actividades y prácticas ilegales, en Software
las políticas de derechos de autor.

No se tiene respaldo de la Perdida de información Perdida de proyectos y clientes Seguridad lógica

información

No existe sistema de Backup Perdida de información Se puede perder información tanto histórica Seguridad lógica
como en uso y detener la operación

La empresa no cuenta con plan de Desastre natural Perdida de información Seguridad lógica
contingencia en caso de pérdida de
la información

Ausencia de planes para Desastres naturales No se realizan copias de seguridad de manera Seguridad lógica
recuperación de información periódica de la información sensible en
medios externos.

No existe proceso de revisión de Accesos no autorizados No existe directivas de contraseñas para las Seguridad lógica
contraseñas cuentas de usuario

Falta de control de cuentas de Suplantación de identidad Se encuentran activas cuentas de usuario de Seguridad lógica
usuario las contraseñas personal que ya no labora en la empresa. El
suministradas por el soporte ingreso se realiza con control de huella y la
base de datos en ocasiones no coincide
 técnico no tienen mayor
cifrado o complejidad

No se controla los permisos y No existe perfiles de usuario Modificación sin autorización de los datos, o Seguridad lógica
privilegios de los usuarios en el sistema de software instalado en el sistema,
incluyendo borrado de archivos.

Los equipos no cuentan con cuentas Suplantación de identidad y Suplantación de identidad, acceso a datos Seguridad lógica
con sus respectivas contraseñas acceso de terceros sensibles por personal no autorizado

Algunos equipos no cuentan con Acceso de personal no Cualquier persona puede tener acceso a la Seguridad Lógica
contraseñas de inicio de sesión autorizado información almacenada en los equipos.

No se cuenta con un sistema de Se presenta un libre acceso Cada usuario maneja su propia información, Seguridad lógica
directorio activo a cada equipo y no se sin control al acceso o pérdida de la misma.
controla el acceso por
medio de usuarios
asignados.

La información transmitida no está Modificación Los sistemas de información disponibles no Seguridad lógica
cifrada cifran los datos cuando se están almacenando
o transmitiendo y los mismos son expuestos a
accesos no autorizados

Mal uso del correo institucional, ya Fuga de información Uso indebido del correo de electrónico para el Seguridad lógica
que no se utiliza solo para envío de información a personal externo
comunicación laboral

No hay seguimiento en la seguridad La empresa no cuenta con Inhabilidad de detección de intrusos, Seguridad lógica
de la información controles de seguridad contención y/o eliminación
informática

No se hace revisión de virus, Accesos no autorizados al Al no contar con VPN, no analiza el tráfico por Seguridad lógica
troyanos y espías en la VPN a través sistema VPN IPSec, L”TP, PPTP y SSL en busca de
del uso de sistema de usuario software malintencionado, correo no deseado,
remoto (acceso remoto) contenidos inapropiados e intusiones.

No existe un firewall activo. Accesos no autorizados La no aplicabilidad en Firewall – saber qué Seguridad lógica
puertos se deben bloquear o permitir, la forma
de interactuar con ella o es propietario de ella,
quien tiene acceso a la consola de control.
No se posee firewall
No hay seguimiento a los controles
de seguridad del sistema informático
Certificados de valides extendida
Algunos equipos de cómputo no
cuentan con una IP fija según el host
de la empresa
Copias de Seguridad mal
elaboradas
No se tiene un procedimiento
definido para el manejo remoto de
los servidores
Falta un procedimiento de manejo
de licencias
No hay un procedimiento el cual
identifique los puertos activos en el
servidor
La conexión LAN es inalámbrica no
administrada
No se tiene control en el Suplantación de información e intromisión Seguridad lógica
acceso a páginas web externa.
peligrosas
No existe Detección de El Ingeniero encargado la administración de Seguridad lógica
intrusiones, contención y/o los sistemas de la empresa, no cumple con las
eliminación. funciones de administración de la seguridad
del sistema y tampoco tiene implementados
controles de seguridad por lo que se han
presentado ataques al sistema
No existen certificados de Confidencialidad para el usuario con respecto Seguridad Lógica
validez para las páginas a la autenticidad de los sitio Web por medio de
Web (EV - Extended Certificados Digitales
Validity) para comprobar la
identidad de los visitantes
Falta de control en las Problema con actualizaciones automáticas, Seguridad Lógica
actividades dentro de la red identificar las actividades en la red
Perdida de Información No se pueden restablecer las copias de Seguridad Lógica
seguridad automáticas desde los servidores a
los PC´s causando perdida de información
Entrada o Accesos no Accesos no autorizados a los servidores Seguridad lógica
autorizados
Instalación de software Problemas legales por uso de licencias e Seguridad lógica
ilegal instalaciones no permitidas
Entrada o Accesos no Accesos no autorizados de información Seguridad lógica
autorizados
No se tiene control del Conectarse a sitios prohibidos sin control. Seguridad lógica
personal que se conecta a la
red corporativa
No hay una segmentación de la red
ya que los usuarios del área
administrativa y los usuarios
normales están conectados en la
misma red y no existe un dispositivo
de control
Los usuarios del sistema no están
capacitados en las herramientas
tecnológicas básicas
No existe control en el acceso a los
documentos digitales principales de
la institución
No existe un plan de evacuación
Instalaciones inadecuadas
No se cuenta con un ambiente
apropiado del servidor físico que hay
en la compañía , se encuentra a la
vista de todos
No se cuenta con un sistema de
humo
Internet libre
No existe un Control y monitoreo en
el acceso a Internet
La red es de acceso publico
Errores de usuario
Alteración de la información,
accesos no autorizados a la
información
Posible accidentalidad en el
momento de una catástrofe
Daño de equipos
Humano y ambiental
Ambiental
Mal uso de internet
Utilización de los recursos
del sistema para fines no
previstos
Acceso no autorizado a la red Manejo y control de personal, redes,
información
Los usuarios no cuentan con las Seguridad lógica, acceso a los datos,
competencias básicas para el manejo de las integridad de los datos
herramientas tecnológicas de la empresa lo
cual puede afectar la seguridad de los equipos
y la información
Los usuarios con acceso al equipo principal el Seguridad lógica, información
cual se encuentra sin contraseña, pueden
acceder a los documentos importantes para la
institución
Daño en las personas Seguridad física
La locación no cuenta con la adecuación para Seguridad física
servidores, rack etc.
En caso de lluvias puede dañarse por Seguridad física
humedad. Al estar al alcance de todo el
personal puede haber daño por estática.
Daños físicos en la compañía y posibles Seguridad física
pérdidas de información
Uso indiscriminado con descarga de todo tipo Software
de software que puede afectar equipos e
información
No existe control de acceso a direcciones de Redes
internet por parte del administrador, lo que
hace insegura a la red de datos
Mala configuración de la seguridad Fallos en la red LAN Existen fallas en la seguridad y las Redes
de los dispositivos de red tales como comunicaciones originadas por la inadecuada
routers, switches configuración de los dispositivos de la red.

La configuración del router está por Acceso de terceros no Red lógica insegura redes
defecto autorizados

La prestación del servicio técnico es Atentados a las El trabajador externo puede ser una víctima Manejo y control de personal
realizado por terceros instalaciones de la empresa incógnita, indirecta y presencial a una
(vandalismo) agresión externa en contra de la Empresa.
 CONCLUSIONES

No es fácil evidenciar los riesgos o dificultades que pueda tener la institución en la

parte informática, por tal razón es necesaria ejecutar auditorias y así poder
evidenciar lo que está sucediendo en el entorno.

Cada proceso evaluado nos permitió comprender el buen o mal funcionamiento de

las actividades informáticas en la institución.

En el marco de las auditorías llegan a ser muy interesantes para la mejora de calidad
y de los funcionamientos que se evalúan para llegar a mitigar los hallazgos y errores
al interior de la institución.

El desarrollo de trabajo consistió en evaluar los procesos COBIT, los cuales fueron
herramientas fundamentales y muy importantes para llevar a cabo los procesos de
la institución Auditada, por otro lado nos permiten la implementación de sistemas y
de evaluación para llegar a tener una buena optimización de sus productos
informáticos.

El proceso de control y auditoría del Colegio Monseñor Ismael Perdomo, es

elemento de apoyo a la toma de decisiones al interior de las áreas y de las directivas,
sin la gestión de estos procesos los negocios puede llegar a tener retrasos, pérdidas
o fallas inesperadas.
 REFERENCIAS BIBLIOGRÁFICAS

Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=110461
96

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&d
ocID=3176647&tm=1543338969122
Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,
México: Editorial CECSA. (pp. 29-117)recuperado
de: http://eprints.uanl.mx/6977/1/1020073604.PDF

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado
de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=110461
96

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&d
ocID=3176647&tm=1543338969122
Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,
México: Editorial CECSA. (pp. 29-117)recuperado
de: http://eprints.uanl.mx/6977/1/1020073604.PDF

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado
de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Administración informática:

análisis y evaluación de tecnologías de la información. (pp. 17-109). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=32&d
ocID=3227836&tm=1543339680777

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT. [Archivo de video].

Recuperado de: http://hdl.handle.net/10596/23477