FASE 5 – RESULTADOS FINALES DE LA AUDITORIA

TRABAJO COLABORATIVO
GRUPO 90168_17

IVÁN DARÍO TORRES BAQUERO

COD. 1024473446

TUTOR
FRANCISCO NICOLÁS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD).

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA
AUDITORÍA DE SISTEMAS
BOGOTA
DICIEMBRE 2019
 TABLA DE CONTENIDO

PLAN DE AUDITORIA .............................................................................................................. 3

Descripción de la empresa.................................................................................................... 3
Presupuesto: ........................................................................................................................... 9
Cronograma. ........................................................................................................................... 9
Distribución de los dominios y procesos de COBIT ........................................................ 10
Ejecución de la auditoria ..................................................................................................... 21
DS7 Educación y entrenamiento de usuarios ........................................................ 21
DS11 Administración de datos ................................................................................... 25
Matriz de impacto/probabilidad - riesgos ...................................................................... 31
Cuadro de tratamiento de riesgos.................................................................................. 32
Resultado auditoria .............................................................................................................. 33
CONCLUSIONES..................................................................................................................... 40
REFERENCIAS BIBLIOGRÁFICAS ..................................................................................... 41
 PLAN DE AUDITORIA

Descripción de la empresa
Razón Social: Colegio Cooperativo Monseñor Ismael Perdomo

Dirección: Dg 62G Sur No. 72 A – 41

Somos una Cooperativa de educación y servicios múltiples del barrio Perdomo

“COOPERDOMO” dada que es la propietaria del colegio, el cual está integrada por todos
y cada uno de los padres de familia de los estudiantes matriculados en el colegio, porque
el objetivo social de la Cooperativa es formar valores e impartir educación cooperativa,
con compromiso social con el desarrollo de la comunidad y la familia, atendiendo las
necesidades educativas de la población escolar, aprovechando convenientemente la
capacidad humana y profesional de los docentes y de los padres de familia. Optimizando
el tiempo, haciendo un uso adecuado a las necesidades

Culturales y metodológicas de aprendizaje.

Convirtiendo la escuela, como parte del engranaje que estimula el desarrollo de todo
ser humano en una forma participativa, animada por procesos dinámicos de
participación entre maestros, padres de familia y comunidad, contribuyendo a
memorizar los índices de analfabetismo y deserción escolar, así como también la
pobreza en nuestro país.
Organigrama

Área de Sistemas

Ingeniero de
Rectoria
soporte

Docentes
encargados
Rectoría: Por ser el área líder del colegio, son encargados de los procesos
administrativos y decisiones en la institución.

Ingeniero de soporte: Como su nombre lo indica, se encarga del soporte documental

y de procesos en la institución

Docentes Encargados: Especialistas de Soporte y área técnica quienes se encargan

de las labores dentro de la institución.

Activos informáticos del colegio

 50 equipos de cómputo,
o 40 computadores en sala de sistemas para estudiantes
o 10 portátiles para área administrativa (pagaduría, rectoría, secretaría,
celaduría, orientación y psicología)

 3 impresores
 1 servidor
 Bases de datos de afiliados a la cooperativa, que deben ser los mismos padres
de alumnos actuales o egresados del colegio.
 Cables de red para todos los equipos
 Mouse, teclados, disco duro, tarjetas de red, tarjetas de vídeo y unidad de CD,
para todos los equipos de cómputo.
Plan de Auditoria

Antecedentes: El Colegio Cooperativo Monseñor Ismael Perdomo, Institución

Educativa de la localidad Ciudad Bolívar, en la infraestructura de su inventario de
computadores se realiza anualmente un plan de seguimiento a todos los procesos
técnicos de la institución, esto debido a que la institución requiere en la actualidad la
renovación de la certificación ISO 9001 en el manejo de sus procesos y como prestador
de un servicio educativo se busca que los espacios, equipos y estructura relacionada
cuente con una calidad óptima para el usuario.

Uno de los recursos tecnológicos disponibles en las instituciones educativas son las
salas de sistemas, que abarcan un total de 50 equipos en funcionamiento diario.

Objetivos

Objetivo general.

Realizar la revisión y verificación del funcionamiento y seguridad de los sistemas

informáticos, cumplimiento de normas y estándares mediante una auditoría al área de
informática, así como a la infraestructura física de las salas de sistemas de la institución
educativa.

Objetivos específicos.

 Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de

auditoría COBIT como herramienta de apoyo en el proceso inspección del hardware

y software de la institución educativa.

 Planificar la auditoría que permita identificar las condiciones actuales de las salas
de sistemas de la institución educativa.

 Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a

los usuarios del área de informática del plantel educativo.

 Evaluar la normatividad que se está aplicando en el ámbito y área informática del

plantel educativo.
 Identificar las soluciones para la construcción de los planes de mejoramiento a las

salas de sistemas de la institución educativa de acuerdo a los resultados obtenidos

en la etapa de aplicación del modelo de auditoría.

Alcance y delimitación.

La presente auditoria pretende identificar las condiciones actuales del hardware y

software de las salas de sistemas de la institución educativa, con el fin de verificar el

cumplimiento de normas y la prestación del servicio de los diferentes medios

informáticos para optimizar el uso de los recursos existentes y optimizar el servicio a los

educandos.

Los puntos para evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalación cableada de la red de datos.

 Seguridad de acceso físico a las instalaciones.

De equipos o hardware se evaluará:

 Inventarios de hardware, de redes y equipos.

 Mantenimiento preventivo y correctivo de equipos y redes.

 Los programas de mantenimiento de los equipos de cómputo y redes.

 Obsolescencia de la tecnología.

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se

realizarán las actividades:

1. Investigación preliminar: Visitas a la institución para determinar el estado actual

de la organización, entrevistas con administradores y usuarios de las redes para
determinar posibles fallas, entrevistas con administrador y usuarios para determinar
la opinión frente al hardware existente y obsolescencia de equipos.
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos
para listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de
pruebas, selección del estándar a aplicar, elaboración del programa de auditoría,
distribución de actividades para los integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios,

aplicar listas de chequeo para verificar controles, aplicar cuestionarios para
descubrir nuevos riesgos y conformar los que han sido detectados anteriormente.

4. Ejecución de las pruebas: Ejecutar las pruebas para determinar la obsolescencia

del hardware, ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la
correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: Elaborar el cuadro de

vulnerabilidades y amenazas a que se ven enfrentados, determinar los riesgos a
que se ven expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de
riesgos.

6. Tratamiento de riesgos: Determinar el tratamiento de los riesgos de acuerdo a la

matriz de riesgos, proponer controles de acuerdo a la norma de buenas prácticas
aplicadas, definir las posibles soluciones.

7. Dictamen de la auditoría: Determinar el grado de responsabilidad de la institución

educativa en el manejo de cada uno de los procesos evaluados, y compartir los
hallazgos detectados en cada proceso.

8. Informe final de auditoría: Elaboración del borrador del informe técnico de

auditoría para confrontarlo con los auditados, elaboración del informe técnico final,
elaboración del informe ejecutivo, organización de papeles de trabajo para su
entrega.

Recursos:

 Humanos: La auditoría se llevará a cabo por el grupo 90168_17 con la asesoría

metodológica del Tutor del curso de Auditoria de Sistemas.
 Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos
de red.
 Tecnológicos: Equipos de cómputo, software instalado para la red, cámara digital,
Intranet Institución Educativa

Presupuesto:
Ítem Valor
Útiles y Papelería $ 50.000
Equipos de Oficina. $ 300.000
Medios de almacenamiento magnético $ 50.000
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000
Pago de Honorarios (1 millón mensual x c/au) $4.000.000
Total presupuesto $4.700.000

Cronograma.
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDAD SEMANA SEMANA SEMANA
1 2 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de
Auditoria
Aplicar el
Evaluación de
modelo de
Riesgos
auditoria
Ejecución de
Pruebas y Obtención
de Evidencias
Elaboración de
Construir los
Informe
planes de
Sustentación de
mejoramiento
Informe
Distribución de los dominios y procesos de COBIT
TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL – COBIT 4.1
DOMINIOS PROCESOS
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PLANIFICAR
Y PO4.1 Marco de Trabajo de Procesos de TI
ORGANIZAR
PO4 Definir los Procesos, Organización y
Relaciones de TI
OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el Negocio
PO1.3 Evaluación del Desempeño y la Capacidad Actual
PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio de TI
PO2.1 Modelo de Arquitectura de Información Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
PO3.1 Planeación de la Dirección Tecnológica
PO3.2 Plan de Infraestructura Tecnológica
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
PO3.4 Estándares Tecnológicos
PO3.5 Consejo de Arquitectura de TI
PO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TI
PO4.4 Ubicación Organizacional de la Función de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de Calidad TI
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 Propiedad de Datos y de Sistema
PO4.10 Supervisión
PO4.11 Segregación de Funciones

PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección
de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para Personal Contratado
PO4.15 Relaciones
PO5.1 Marco de Trabajo para la Administración Financiera
PO5.2 Prioridades Dentro del Presupuesto de TI
PO5.3 Proceso Presupuestal
PO5.4 Administración de Costos de TI
PO5.5 Administración de Beneficios
PO6.1 Ambiente de Políticas y de Control
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
PO6.3 Administración de Políticas para TI
PO6.4 Implantación de Políticas de TI
PO6.5 Comunicación de los Objetivos y la Dirección de TI
PO7.1 Reclutamiento y Retención del Personal
PO7.2 Competencias del Personal
PO7.3 Asignación de Roles
PO7.4 Entrenamiento del Personal de TI
PO7.5 Dependencia Sobre los Individuos
PO7.6 Procedimientos de Investigación del Persona
PO7.7 Evaluación del Desempeño del Empleado
PO7.8 Cambios y Terminación de Trabajo
PO8.1 Sistema de Administración de Calidad
PO8.2 Estándares y Prácticas de Calidad
PO8.3 Estándares de Desarrollo y de Adquisición
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medición, Monitoreo y Revisión de la Calidad
PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
 PO10.1 Marco de Trabajo para la Administración de Programas
PO10.2 Marco de Traba
PO10.3 Enfoque de Administración de Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaración de Alcance del Proyecto
PO10.6 Inicio de las Fases del Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administración de Riesgos del Proyecto
PO10 Administrar Proyectos PO10.10 Plan de Calidad del Proyecto
PO10.11 Control de Cambios del Proyecto
PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto
PO10.14 Cierre del Proyecto
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y
Funcionales del Negocio
AI1.2 Reporte de Análisis de Riesgos
AI1 Identificar soluciones automatizadas
AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción
Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
AI2.5 Configuración e Implementación de Software Aplicativo Adquirido
AI2.6 Actualizaciones Importantes en Sistemas Existentes
AI2 Adquirir y Mantener Software Aplicativo AI2.7 Desarrollo de Software Aplicativo
ADQUIRIR
E IMPLEMENTAR AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administración de los Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
AI3 Adquirir y Mantener Infraestructura AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Tecnológica AI3.3 Mantenimiento de la infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operación
 AI4 Facilitar la Operación y el Uso
AI5 Adquirir Recursos de TI
AI6 Administrar Cambios
AI7 Instalar y Acreditar Soluciones y Cambios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los Servicios de Terceros
ENTREGAR Y DAR
SOPORTE DS3 Administrar el Desempeño y la Capacidad
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
AI4.3 Transferencia de Conocimiento a Usuarios Finales
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y
Soporte
AI5.1 Control de Adquisición
AI5.2 Administración de Contratos con Proveedores
AI5.3 Selección de Proveedores
AI5.4 Adquisición de Recursos TI
AI6.1 Estándares y Procedimientos para Cambios
AI6.2 Evaluación de Impacto, Priorización y Autorización
AI6.3 Cambios de Emergencia
AI6.4 Seguimiento y Reporte del Estatus de Cambio
AI6.5 Cierre y Documentación del Cambio
AI7.1 Entrenamiento
AI7.2 Plan de Prueba
AI7.3 Plan de Implementación
AI7.4 Ambiente de Prueba
AI7.5 Conversión de Sistemas y Datos
AI7.6 Pruebas de Cambios
AI7.7 Prueba de Aceptación Final
AI7.8 Promoción a Producción
AI7.9 Revisión Posterior a la Implantación
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio
DS1.2 Definición de Servicios
DS1.3 Acuerdos de Niveles de Servicio
DS1.4 Acuerdos de Niveles de Operación
DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio
DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos
DS2.1 Identificación de Todas las Relaciones con Proveedores
DS2.2 Gestión de Relaciones con Proveedores
DS2.3 Administración de Riesgos del Proveedor
DS2.4 Monitoreo del Desempeño del Proveedor
DS3.1 Planeación del Desempeño y la Capacidad
DS3.2 Capacidad y Desempeño Actual

DS4 Garantizar la Continuidad del Servicio
DS5 Garantizar la Seguridad de los Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Administrar la Mesa de Servicio y los
Incidentes
DS3.3 Capacidad y Desempeño Futuros
DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte
DS4.1 Marco de Trabajo de Continuidad de TI
DS4.2 Planes de Continuidad de TI
DS4.3 Recursos Críticos de TI
DS4.4 Mantenimiento del Plan de Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DS4.6 Entrenamiento del Plan de Continuidad de TI
DS4.7 Distribución del Plan de Continuidad de TI
DS4.8 Recuperación y Reanudación de los Servicios de TI
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
DS4.10 Revisión Post Reanudación
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de Llaves Criptográficas
DS5.9 Prevención, Detección y Corrección de Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
DS6.1 Definición de Servicios
DS6.2 Contabilización de TI
DS6.3 Modelación de Costos y Cargos
DS6.4 Mantenimiento del Modelo de Costos
DS7.1 Identificación de Necesidades de Entrenamiento y Educación
DS7.2 Impartición de Entrenamiento y Educación
DS7.3 Evaluación del Entrenamiento Recibido
DS8.1 Mesa de Servicios
DS8.2 Registro de Consultas de Clientes

DS9 Administrar la Configuración
DS10 Administración de Problemas
DS11 Administración de Datos
DS12 Administración del Ambiente Físico
DS13 Administración de Operaciones
ME1 Monitorear y Evaluar el Desempeño de TI
DS8.3 Escalamiento de Incidentes
DS8.4 Cierre de Incidentes
DS8.5 Análisis de Tendencias
DS9.1 Repositorio y Línea Base de Configuración
DS9.2 Identificación y Mantenimiento de Elementos de Configuración
DS9.3 Revisión de Integridad de la Configuración
DS10.1 Identificación y Clasificación de Problemas
DS10.2 Rastreo y Resolución de Problemas
DS10.3 Cierre de Problemas
DS10.4 Integración de las Administraciones de Cambios, Configuración y
Problemas
DS11.1 Requerimientos del Negocio para Administración de Datos
DS11.2 Acuerdos de Almacenamiento y Conservación
DS11.3 Sistema de Administración de Librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad para la Administración de Datos
DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física
DS12.3 Acceso Físico
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas
DS13.1 Procedimientos e Instrucciones de Operación
DS13.2 Programación de Tareas
DS13.3 Monitoreo de la Infraestructura de TI
DS13.4 Documentos Sensitivos y Dispositivos de Salida
DS13.5 Mantenimiento Preventivo del Hardware
ME1.1 Enfoque del Monitoreo
ME1.2 Definición y Recolección de Datos de Monitoreo
ME1.3 Método de Monitoreo
ME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
ME1.6 Acciones Correctivas
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
 ME2 Monitorear y Evaluar el Control Interno ME2.2 Revisiones de Auditoría
ME2.3 Excepciones de Control
MONITOREAR Y ME2.4 Control de Auto Evaluación
EVALUAR ME2.5 Aseguramiento del Control Interno
ME2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
ME3 Garantizar el Cumplimiento con ME3.2 Optimizar la Respuesta a Requerimientos Externos
Requerimientos Externos ME3.3 Evaluación del Cumplimiento con Requerimientos Externos
ME3.4 Aseguramiento Positivo del Cumplimiento
ME3.5 Reportes Integrados
ME4.1 Establecimiento de un Marco de Gobierno de TI
ME4.2 Alineamiento Estratégico
ME4.3 Entrega de Valor
ME4 Proporcionar Gobierno de TI ME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del Desempeño
ME4.7 Aseguramiento Independiente
Fuente: Estándar de mejores prácticas COBIT 4.1

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las
TI. Estos procesos están agrupados en cuatro grandes dominios que se describen a
continuación junto con sus procesos y una descripción general de las actividades de
cada uno:

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la

tecnología información puede contribuir de la mejor manera al logro de los objetivos de
la organización. La consecución de la visión estratégica debe ser planeada, comunicada
y administrada desde diferentes perspectivas y debe establecerse una organización y
una infraestructura tecnológica apropiadas.

Procesos:

PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para
asegurar sus logros futuros.

PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los

requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de
información, a través de la creación y mantenimiento de un modelo de información de la
organización.

PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de

la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la
organización, a través de la creación y mantenimiento de un plan de infraestructura
tecnológica.

PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación

de servicios de TI, por medio de una organización conveniente en número y habilidades,
con tareas y responsabilidades definidas y comunicadas.

PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la

organización, asegurando el financiamiento y el control de desembolsos de recursos
financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar

el conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia, a
través de políticas establecidas y transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para traducir las opciones estratégicas en reglas
de usuario prácticas y utilizables.

PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones

del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a
través de técnicas sólidas para administración de personal.

PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir

con obligaciones legales, regulatorias y contractuales, para ello se realiza una
identificación y análisis de los requerimientos externos en cuanto a su impacto en TI,
llevando a cabo las medidas apropiadas para cumplir con ellos.

PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y

responder a las amenazas hacia la provisión de servicios de TI, mediante la participación
de la propia organización en la identificación de riesgos de TI y en el análisis de impacto,
tomando medidas económicas para mitigar los riesgos.

PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar

servicios oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza
una identificación y priorización de los proyectos en línea con el plan operacional por
parte de la misma organización. Además, la organización deberá adoptar y aplicar
sólidas técnicas de administración de proyectos para cada proyecto emprendido.

PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente.

Mediante una planeación, implementación y mantenimiento de estándares y sistemas
de administración de calidad por parte de la organización.

Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes.

Procesos:

AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor

enfoque para cumplir con los requerimientos del usuario, mediante un análisis claro de
las oportunidades alternativas comparadas contra los requerimientos de los usuarios.

AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar

funciones automatizadas que soporten efectivamente la organización mediante
declaraciones específicas sobre requerimientos funcionales y operacionales y una
implementación estructurada con entregables claros.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es

proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
mediante la realización de una evaluación del desempeño del hardware y software, la
provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control
del software del sistema.

AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso

apropiado de las aplicaciones y de las soluciones tecnológicas establecidas, mediante
la realización de un enfoque estructurado del desarrollo de manuales de procedimientos
de operaciones para usuarios, requerimientos de servicio y material de entrenamiento.

AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la

solución sea adecuada para el propósito deseado mediante la realización de una
migración de instalación, conversión y plan de aceptaciones adecuadamente
formalizadas.

AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de

interrupciones, alteraciones no autorizadas y errores, mediante un sistema de
administración que permita el análisis, implementación y seguimiento de todos los
cambios requeridos y llevados a cabo a la infraestructura de TI actual.
Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los
procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

Procesos

DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común

del nivel de servicio requerido, mediante el establecimiento de convenios de niveles de
servicio que formalicen los criterios de desempeño contra los cuales se medirá la
cantidad y la calidad del servicio.

DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las
tareas y responsabilidades de las terceras partes estén claramente definidas, que
cumplan y continúen satisfaciendo los requerimientos, mediante el establecimiento de
medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la
organización.

DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la

capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para
alcanzar el desempeño deseado, realizando controles de manejo de capacidad y
desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo,
tamaño de aplicaciones, manejo y demanda de recursos.

DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de

acuerdo con los requerimientos y continuar su provisión en caso de interrupciones,
mediante un plan de continuidad probado y funcional, que esté alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio.

DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información

contra uso no autorizados, divulgación, modificación, daño o pérdida, realizando
controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas
está restringido a usuarios autorizados.

DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios

estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y
desarrollo.

DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento

correcto atribuido a los servicios de TI realizando un sistema de contabilidad de costos
asegure que éstos sean registrados, calculados y asignados a los niveles de detalle
requeridos.

DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier
problema experimentado por los usuarios sea atendido apropiadamente realizando una
mesa de ayuda que proporcione soporte y asesoría de primera línea.

DS9 Administración de la configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y
proporcionar una base para el sano manejo de cambios realizando controles que
identifiquen y registren todos los activos de TI así como su localización física y un
programa regular de verificación que confirme su existencia.

DS10 Administración de Problemas: El objetivo es asegurar que los problemas e

incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan
a suceder implementando un sistema de manejo de problemas que registre y haga
seguimiento a todos los incidentes.

DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan

completos, precisos y válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI.

DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico

conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego,
polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del
personal a las instalaciones y contemplen su seguridad física.

DS13 Administración de la operación: El objetivo es asegurar que las funciones

importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una
manera ordenada a través de una calendarización de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las actividades.

Dominio: Monitoreo

Todos los procesos de una organización necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad.

Procesos

M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos

para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e
indicadores de desempeño gerenciales y la implementación de sistemas de soporte así
como la atención regular a los reportes emitidos.

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los

objetivos de control interno establecidos para los procesos de TI.

M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles

de confianza entre la organización, clientes y proveedores externos. Este proceso se
lleva a cabo a intervalos regulares de tiempo.

M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza

y beneficiarse de recomendaciones basadas en mejores prácticas de su
implementación, lo que se logra con el uso de auditorías independientes desarrolladas
a intervalos regulares de tiempo.
 Ejecución de la auditoria

DS7 Educación y entrenamiento de usuarios

Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén

haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y
desarrollo.

Objetivos de control

DS7.1 Identificación de Necesidades de Entrenamiento y Educación

DS7.2 Impartición de Entrenamiento y Educación

DS7.3 Evaluación del Entrenamiento Recibido

Instrumentos de recolección para el proceso N° 1

entrevista

ENTIDAD COLEGIO COOPERATIVO MONSEÑOR ISMAEL PAGINA

AUDITADA PERDOMO 1 de 1
OBJETIVO Fortalecer el uso de las herramientas tecnológicas.
AUDITORÍA
PROCESO Educación y entrenamiento de usuarios.
AUDITADO
RESPONSABLE Ivan Darío Torres
MATERIAL DE SOPORTE COBIT
DOMINIO DS7 PROCESO Educación y entrenamiento de
usuarios: El objetivo es asegurar que
los usuarios estén haciendo un uso
efectivo de la tecnología y estén
conscientes de los riesgos y
responsabilidades involucrados
realizando un plan completo de
entrenamiento y desarrollo.
ENTREVISTADO Carlos Perez

CARGO Asistente administrativo

1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar

mejor su desempeño?
Si, el colegio me aporta las herramientas necesarias para elaborar mi trabajo
acorde a lo solicitado.
 2. ¿Qué función desempeña en el colegio?
Mi función es prestar los libros y recursos bibliográficos con que cuenta la
biblioteca del colegio

3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día

a día?
El computador y el lector de códigos de barras

4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es

básico, intermedio, avanzado, justifique su respuesta?
Creo que es básico porque las tecnologías son algo complejas y dentro de mi
trabajo solo utilizo una parte que he aprendido mediante capacitaciones que se
requieren para laborar en mi puesto.

5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas

tecnológicas?
La verdad es que son muy pocas la capacitación referente a las tecnologías se
puede decir que son una vez por semestre

6. ¿Qué tipo de capacitaciones le gustaría realizar?

Manejo de Excel, porque creo que es indispensable por estos tiempos

7. ¿Las características del equipo son suficientes para el desempeño de su

trabajo?
Si el computador me parece muy bueno además es muy reciente

8. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?

Cuando me falla el equipo lo que hago es acudir al área de sistemas del colegio
quien se encarga de estos asuntos.

9. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas?

Manejo Excel, Word ya que el resto de las cosas que se realizan son en línea

10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en
su día a día?
Si creo que hasta el momento todo es acorde a mi trabajo

11. ¿Desea agregar algún otro comentario sobre los temas en relación de la
entrevista?
Ninguna

______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA

Lista de chequeo

LISTA CHEQUEO
 Educación y
DOMINIO DS7 PROCESO
entrenamiento de usuarios

DS7.1 Identificación de Necesidades de Entrenamiento y

OBJETIVO DE CONTROL
Educación

CONFORM
Nº ASPECTO EVALUADO E OBSERVACIÓN
SI NO

¿Se realizan capacitaciones para el

1 manejo del aplicativo? X Aunque muy pocas veces

OBJETIVO DE CONTROL DS7.2 Impartición de Entrenamiento y Educación

2 ¿Es consciente del uso adecuado de X Creo que son vitales

las herramientas tecnológicas?
OBJETIVO DE CONTROL DS7.3 Evaluación del Entrenamiento Recibido

Si, pero más bien

¿Ha recibido usted algún plan de relacionado con salud
3 capacitación para mejorar su X ocupacional en el trabajo,
desempeño laboral? es decir muy poco sobre lo
tecnológicos

Cuestionario

CUESTIONARIO CUANTITATIVO REF

ENTIDAD AUDITADA Colegio Ismael Perdomo PAGINA

1 DE 1

PROCESO Educación y entrenamiento de usuarios

AUDITADO

RESPONSABLES Ivan Darío Torres

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO DS7 PROCESO DS7.1 Identificación de

Necesidades de
Entrenamiento y Educación

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Considera que es importante el uso adecuado 4

de las TICS?

2 ¿Conoce sobre las políticas utilizadas por el área 1 3

de Tecnología?

3 ¿Realiza periódicamente capacitaciones en 2 2

donde se incluya al usuario como principal capa
de seguridad?

4 ¿Realizan seguimiento para evaluar el 4

conocimiento adquirido en el campo laboral que
se encuentra usted?

5 ¿Existe un plan de acción para mitigar los 4

espacios en blancos “Dudas o inquietudes” sobre
el uso de software?

6 ¿Los aplicativos o software que utiliza son 4

adecuados para el desarrollo de su actividad
laboral?

TOTAL 15 9

TOTAL, CUESTIONARIO 24

Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %

Porcentaje de riesgo total = 100 – 12,5 = 87,5 %

PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

Análisis y evaluación de riesgos

Vulnerabilidades Amenazas Riesgos

1. (hardware) - falta de 1. deterioro y 1. el polvo acumulado en

 controles para el polvo
dentro de la institución
Educativa
2.(software/OS) software
propietario no licenciado
y guardada o multas por el
no actualizado (Windows
y MS Office) y
vulnerabilidades a
plataformas virtuales no
actualizadas a la última
Versión.
3. (personal IT) El colegio
no cuenta con personal
de
IT durante la mayor parte
De las horas laborales.
4. (Información) Falta de
un sistema de Backup
Centralizado.
DS11 Administración de datos
Procesos
sobrecalentamiento de
equipos de cómputo y
redes
Expuestos al polvo.
Y alumnos.
2. Ataques al sistema
operativo, a la información
uso de software no
Licenciado
3. falta de atención
inmediata a problemas de
IT
y falta de control y
mantenimiento de
equipos
De cómputo y red.
4. Posible pérdida de
Información de profesores
y conlleva el riesgo de que
estudiantes almacenadas
en
discos duros en algunos
Computadores
equipos de cómputo con
lleva el deterioro de los
mismos, la necesidad de
comprar nuevos y la
imposibilidad de ofrecer
este servicio a profesores
2. Al no tener software
licenciado y no
actualizable la institución
se expone a hackeos o
posibles sanciones, lo
que
a su vez conlleva posibles
pérdidas de información,
confidencialidad y
Posibilidad de uso.
3. El no tener a personal
de IT capacitado de forma
constante puede
conllevar
al mal uso de equipos,
pérdida de información y
pérdida de tiempo y
dinero
al no tener equipo de
cómputo y red trabajado
Constantemente.
4. El no tener un sistema
de Backup centralizado
la información
almacenada en discos
locales pueda perderse
por
fallas en inminentes en
discos duros lo cual a su
vez implica pérdida de
tiempo y dinero asociada
con la obtención de dicha
 Administración de Datos: El objetivo es asegurar que los datos permanezcan
completos, precisos y válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI

Objetivos de control

DS11.1 Requerimientos del Negocio para Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación

DS11.3 Sistema de Administración de Librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la Administración de Datos

Instrumentos de recolección para el proceso N° 2

ENTIDAD Colegio Ismael Perdomo PAGINA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de
AUDITORÍA la empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Ivan Dario Torres
MATERIAL DE SOPORTE COBIT
DOMINIO DS11 PROCESO Administración de Datos: El objetivo
es asegurar que los datos
permanezcan completos, precisos y
válidos durante su entrada,
actualización, salida y
almacenamiento, a través de una
combinación efectiva de controles
generales y de aplicación sobre las
operaciones de TI.
ENTREVISTADO Pedro Luis Arias

CARGO Auxiliar de Cómputo

1. ¿Realizan copias de seguridad en la empresa?

Si se realiza copias de seguridad
2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo o
equipo móvil?
Semestralmente es decir alrededor de 6 meses

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?

Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo
que se realizan en las diferentes oficinas.

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la

empresa?
El colegio realiza Backup a toda la información que se hace en línea, pero no
conozco si es alguna empresa o si este proceso lo hace directamente el colegio.

5. ¿Sabe sobre el manejo del almacenamiento en la nube?

Si regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?

Si la universidad nos ha hablado mucho de este tema por cuanto se tiene
contacto con muchas personas externas

7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?

En lo personal no.

8. ¿La empresa maneja base de datos para los diferentes aplicativos?

Si cuenta con aplicativos, pero son controlados internamente

9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?
No tengo conocimiento de esta información

10. ¿Para usted que son los datos personales?

Es toda la información que nos solicitan o que podemos solicitar

11. ¿Cómo protege usted sus datos personales?

Mediante claves y cambiándolas periódicamente

______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
 Lista de chequeo

LISTA CHEQUEO

DS11
DOMINIO PROCESO Administración de Datos

DS11.1 Requerimientos del Negocio para Administración

OBJETIVO DE CONTROL
de Datos

CONFORM
N.º ASPECTO EVALUADO E OBSERVACIÓN
SI NO

¿El manejo de la información la

La información es
1 realiza un tercero u proveedor? X
manejada por el colegio

OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación

¿Cuentan con control del En algunos casos se utiliza

2 X
almacenamiento de la información? un ftp

OBJETIVO DE CONTROL DS11.3 Sistema de Administración de Librerías de medios

¿Dentro de las copias de seguridad se

No conozco, pero me
3 estructura algún tipo de control o X
supongo que debe tenerlo
seguimiento?

OBJETIVO DE CONTROL DS11.4 Eliminación

La información debe estar

¿Cuentan con versionamiento en las disponible en cualquier
4 X
copias de seguridad? momento y para cualquier
equipo(sistema)

OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración

¿Cuentan con un plan en caso de En la sede solo contamos

5 tener alguna perdida o daño sobre la X con lo que se guarda en el
información? Backup de quipos

DS11.6 Requerimientos de Seguridad para la

OBJETIVO DE CONTROL
Administración de Datos

¿Cuentan con políticas para la Si el colegio es muy clara

6 X
protección de datos? en ese sentido
Cuestionario

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Ismael Perdomo PAGINA

AUDITADA
1 DE 1

PROCESO Administración de Datos

AUDITADO

RESPONSABLES Ivan Dario Torres

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO DS11 PROCESO Administración de Datos:

El objetivo es asegurar
que los datos
permanezcan completos,
precisos y válidos durante
su entrada, actualización,
salida y almacenamiento,
a través de una
combinación efectiva de
controles generales y de
aplicación sobre las
operaciones de TI

OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la

Administración de Datos

N PREGUNTA SI NO NA REF

1 ¿La información de su equipo cuenta con 4

copias de seguridad?

2 ¿Almacena usted información en la nube? 2 2

3 ¿Realiza periódicamente copias de 1 3

seguridad?

4 ¿Cuenta con un plan de trabajo para realizar 4

las copias de seguridad?

5 ¿Conoce sobre las políticas frente al plan de 1 3

seguridad de la información?

6 ¿Sabe sobre las políticas de bases de 1 3

datos?

TOTAL 9 15

TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %

Porcentaje de riesgo total = 100 – 12,5 = 87,5 %

PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

Análisis y evaluación de riesgos

Vulnerabilidades Amenazas Riesgos

No se realiza No existen copias de No hay copias de

capacitaciones con seguridad periódicas. seguridad periódicas.
regularidad.
No hay conocimientos de No tienen conocimientos
No existe evidencia de las los periodos para realizar de las herramientas
capacitaciones. copias de seguridad. tecnológicas que utilizan.

Los equipos no cuentan No existe cronograma Insatisfacción por parte de

con copias de seguridad para la realización de las los usuarios respecto a la
periódicas. capacitaciones. falta de capacitaciones.

Falta cronograma para las Se desconoce sobre las Se presentan problemas

actividades de políticas sobre la por falta de conocimiento
capacitación. protección y seguridad de sobre las políticas.
la información.
No existe una política clara
No existe seguimiento sobre la protección y
regular en el uso de seguridad de la
aplicativos tecnológicos en información.
el campo laboral.
No cuentan con un plan
para eventos de respaldo
de la información.

Afectación de la integridad
de los datos.

Afectación de la
disponibilidad del respaldo
de la información de los
procesos.

Falta de personal
debidamente autorizado
para la realización de las
actividades del proceso.
Matriz de impacto/probabilidad - riesgos
Cuadro de tratamiento de riesgos

Dominio/ Procesos Riesgos Hallados y nivel de Posibles soluciones / Tratamientos /

/Objetivos de control riesgo (bajo / medio / alto) Recomendaciones controles propuestos

Es indispensable que
el actual administrador
de red, documente y
comparta con
Dominio: Entregar y administración de
dar soporte 1. No se realiza procesos estándares
1. Realizar cronograma
Objetivo de Control: capacitaciones con para la gestión de
para la realización de las
DS7 Educar y regularidad. usuarios para cada
capacitaciones.
Entrenar a los 2. No existe evidencia de las uno de los sistemas
2. seguimiento regular en
Usuarios capacitaciones. que conforman y son
el uso de aplicativos
DS7.1 Identificación 3. Falta cronograma para mantenidos por el área
tecnológicos en el campo
de Necesidades de las actividades de de IT de la institución y
laboral.
Entrenamiento y capacitación. que se implemente un
Educación directorio activo para
agilizar y optimizar la
gestión de usuarios y
el accesos a recursos
locales
Administración y el área
Dominio: Entregar y de IT tiene dos alternativas
Dar Soporte las cuales no son
Objetivo de Control: mutuamente, sino que
pueden ser consideradas
Riesgo
DS11. Administrar los como complemento la una
Dada la existencia de
datos de la otra En el caso de la opción
trabajo, que trabajan con
DS11.5 Respaldo y a) IT puede implementar a) (Backup local) se
Windows y suites ofimáticas
restauración alguna solución turn-key sugiero que se hagan
de office y la mediana
Backup de red local e pruebas cada 6 meses
adopción de la suite
El instituto no cuenta integrar active directory en relación al estado
ofimática en línea ofrecida
con un sistema físico para habilitar un folder de la información que
por Google aplicaciones
para respaldar y remoto en cada estación haga parte del Backup
para el dominio
restaurar datos en los de trabajo local, de tal manera que se
institutocopesal.com, si un
sistemas de cómputo permitiéndole así al pueda confirmar que
usuario guarda documentos
dentro de la usuario guardar su dicho Backup
importantes en el disco duro
institución. Pero si información en éste sitio programado para ser
de la estación de trabajo y el
cuenta con la para que a través de las ejecutado al final del
computador o disco duro,
herramienta olucón implementada día esté operando y
llegase a quedar
implementada por pueda existir Backup de lo sea confiable Una
comprometido no hay
defecto en los que se almacene en el estrategia de un
mecanismo físico que
sistemas de folder remoto Backup completo cada
desarrolla backup de ésta
información virtuales mes e Backup
información almacenada
(Google b) Instruir, educar e incrementales cada
localmente, lo cual conlleva
aplicaciones). incentivar a través de noche, podría ser ideal
la pérdida potencial de
Políticas de uso diferentes mecanismos de darse ésta
información almacenada
deben ser definidas, constantes, pedagógicos y implementación
localmente.
hay que asegurar que positivos para que los
Nivel de riesgo Medio
la información crítica usuarios utilicen la suite
de un usuario sea ofimática ofrecida por
mantenida en los Google aplicaciones para
sistemas virtuales el dominio
institutocopedal.com
Resultado auditoria

1- Formato de Hallazgos
REF
HALLAZGO 1

PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1

RESPONSABLE Ivan Darío Torres

MATERIAL DE
COBIT
SOPORTE

DS7.1
DS7 Educación y Identificación de
DOMINIO entrenamiento de PROCESO Necesidades de
usuarios Entrenamiento y
Educación

DESCRIPCIÓN HALLAZGO: No se realiza capacitaciones con regularidad.

CAUSAS: Al no tener un plan estratégico estructurado se corre el riesgo de crear

implementaciones sobre supuestos y así mismo al no conocer la dirección de IT se
podrán tomar decisiones desacertadas.

CONSECUENCIAS: Al no tener un plan estratégico estructurado se corre el riesgo

de crear implementaciones sobre supuestos y así mismo al no conocer la dirección
de IT se podrán tomar decisiones desacertadas.

VALORACIÓN DEL RIESGO: ·Probabilidad de ocurrencia Impacto según relevancia

del proceso: Alto

RECOMENDACIONES: Realizar cronograma para la realización de las

capacitaciones.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1

E_AUDIO/A_CHDN_01
 REF
HALLAZGO 2

PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1

RESPONSABLE Ivan Darío Torres

MATERIAL DE
COBIT
SOPORTE

DS7 Educación y DS7.2 Impartición

DOMINIO entrenamiento de PROCESO de Entrenamiento
usuarios y Educación

DESCRIPCIÓN HALLAZGO:

* Los equipos no cuentan con copias de seguridad periódicas.

* Falta cronograma para las actividades de capacitación.

CAUSAS: No es aseguro para los usuarios el uso de las máquinas, porque se pierde
información.

CONSECUENCIAS: Desarrollos malos, herramientas incompletas, demora en los

tiempos de respuesta y solución.

VALORACIÓN DEL RIESGO: ·Probabilidad de ocurrencia Impacto según relevancia

del proceso: Alto

RECOMENDACIONES: Seguimiento regular en el uso de aplicativos tecnológicos en

el campo laboral.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1

E_AUDIO/A_CHDN_01
 REF
HALLAZGO 3

PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1

RESPONSABLE Ivan Darío Torres

MATERIAL DE
COBIT
SOPORTE

DS7.3 Evaluación
DS7 Educación y
del
DOMINIO entrenamiento de PROCESO
Entrenamiento
usuarios
Recibido

DESCRIPCIÓN HALLAZGO:

No se realiza capacitaciones con regularidad.

No existe evidencia de las capacitaciones.

CAUSAS: El personal que usa las máquinas no tiene la capacitación ìínima para el
uso , ocasionando en ocasiones daños.

CONSECUENCIAS: No hay copias de seguridad periódicas.

No tienen conocimientos de las herramientas tecnológicas que utilizan.

Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.

Se presentan problemas por falta de conocimiento sobre las políticas.

No existe una política clara sobre la protección y seguridad de la información.

No cuentan con un plan para eventos de respaldo de la información.

Afectación de la integridad de los datos.

Afectación de la disponibilidad del respaldo de la información de los procesos.

VALORACIÓN DEL RIESGO: ·Probabilidad de ocurrencia Impacto según relevancia

del proceso: Alto

RECOMENDACIONES: Comparta con administración procesos estándares para la

gestión de usuarios para cada uno de los sistemas que conforman y son mantenidos
por el área de IT de la institución y que se implemente un directorio activo para agilizar
y optimizar la gestión de usuarios y el acceso a recursos locales.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1 - E_AUDIO/A_CHDN_01
 2- Controles propuestos
RIESGOS o HALAZGOS ENCONTRADOS TIPO DE SOLUCIONES O CONTROLES
CONTROL

El no tener un sistema de backup centralizado conlleva el riesgo de que la PREVENTIVO Elaborar políticas de administración y organización de la
información almacenada en discos locales pueda perderse por fallas en información, lo cual se podría realizar a través de la contratación
inminentes en discos duros lo cual a su vez implica pérdida de tiempo y de un ingeniero de sistemas con experiencia en manejo de
dinero asociada con la obtención de dicha información. servidores y seguridad para la realización de esta labor.

El no tener un sistema de backup centralizado conlleva el riesgo de que la DETECTIVO Adquisición de un sistema que permita proteger, guardar y
información almacenada en discos locales pueda perderse por fallas en respaldar la información y también guardar backups de imágenes
inminentes en discos duros lo cual a su vez implica pérdida de tiempo y de los servidores en caso de falla.
dinero asociada con la obtención de dicha información.

No existen antivirus licenciados. PREVENTIVO Compra de antivirus licenciados con el fin de minimizar el riesgo
de infecciones y malware en los equipos de cómputo de la
organización.

Al no tener software licenciado y no actualizable la institución se expone a PREVENTIVO Adquisición de licencias para los equipos de cómputo u otra
hackeos o posibles sanciones, lo que a su vez conlleva posibles pérdidas alternativa incentivar la cultura de la utilización software libre
de información, confidencialidad y posibilidad de uso. “Linux”.

El polvo acumulado en equipos de cómputo con lleva el deterioro de los CORRECTIVO Se debe contratar una empresa la cual realice limpieza diaria a los
mismos, la necesidad de comprar nuevos y la imposibilidad de ofrecer este equipos de cómputo y puestos de trabajo, para evitar
servicio a profesores y alumnos. acumulaciones de polvo y objetos extraños.

El no tener a personal de IT capacitado de forma constante puede conllevar CORRECTIVO Adquirir capacitaciones con empresas externas, para que ayuden
al mal uso de equipos, pérdida de información y pérdida de tiempo y dinero y orienten al colaborador para dar un buen uso a los equipos.
al no tener equipo de cómputo y red trabajado constantemente.
 3- Dictamen de la audtoría

Dominio/ Objetivo de Dictamen (Madurez) Hallazgos que confirman Posibles soluciones /

Procesos Auditoria dictamen Recomendaciones

DS7.1 Determinar El colegio cuenta con Solo una persona Es indispensable que el actual
Identificación de responsables, Procedimientos no (administrador) de red administrador de red documente
Necesidades de proceso, tiempos de estandarizados y no principal tiene el control de y comparta con la administración,
Entrenamiento y ejecución y ciclos de garantizados para el acceso y creación de cuentas procesos estándares para la
Educación vida de cuentas desarrollo de esta tareas en para usuarios para cada uno gestión de usuarios para cada
gestionadas para los donde solo un individuo es de los sistemas uno de los sistemas que
usuarios de los Responsable. Es Necesario conforman y son mantenidos por
sistemas de asegurar la continuidad de la No existe un proceso el área de IT de la institución y
información dentro de administración de cuentas estándar de ejecución para que se implemente un directorio
la Institución. incluso cuando el único no se estas tareas de gestión de activo para agilizar y optimizar la
encuentra disponible para usuarios gestión de usuarios y el acceso a
atender estos. Los recursos locales
requerimientos de acceso a No hay directorio activo. Las
los diferentes sistemas de cuentas en equipos son
informaciòn locales
DS7.2 Determinar los El colegio no cuenta con un
Impartición de mecanismos de sistema físico para respaldar
Entrenamiento y entrenamientos y restaurar datos en los
Educación responsables y sistemas de cómputo dentro
procesos para la de la institución.
educación de los Pero si cuenta con esta
empleados herramienta implementada
por defecto en los sistemas
de Información virtuales
(Google apps). Políticas y
campanas para el uso de las
Herramientas Ofimáticas
proveídas por google para el
colegio Ismael Perdomo
deben ser impulsadas para
asegurar que la Información
crítica de un usuario sea
mantenida en los sistema
virtuales y puede ser
auditado por administración
de ser requerido
No hay mecanismo físico que
desarrolle backups de la
información guardada
totalmente en estaciones de
trabajo con OS Windows
Muchos usuarios desconocen
o conscientemente se rehusan
al uso de la suite informática
de google apps dispuesta para
uso particular del colegio
Ismael Perdomo, debido a que
están acostumbrados a MS
OFFICE
Administración y el área de IT
tiene dos alternativas las cuales
no son mutuamente excluyentes
sino que pueden ser
consideradas de forma
completamente una de la otra
a) IT puede implementar alguna
solución turn-key de backup de
red local e integrar active
directory para habilitar un folder
remoto en cada estación de
trabajp local, permitiéndole así al
usuario guardar su información
en éste sitio para que a través de
la solución implementada pueda
existir backups de lo que se
almacene en el folder remoto
b) Instruir, educar a través de
diferentes mecanismos
constantes pedagógicos y
periódicos para que los usuarios
utilice la suite ofimática ofrecida
por google apps para el domino
Colegio Ismael Perdomo.como
DS7.3 Determinar factores Medidas de control todavía Dado que el colegio está Para atender esta dificultad de
Evaluación del físicos y ambientales están pendientes de ser ubicado en un sector popular riesgo se sugiere:
Entrenamiento que puedan implementadas para atender en donde muchas calles y a)Implementar un proceso de
Recibido comprometerla las amenazas de polvo en aceras no se encuentran limpieza y manutención regular
infraestructura de los sistemas de cómputo y pavimentadas o arregladas más enfocado a mantener libres
sistemas de redes que componen el adecuadamente es muy de polvo las áreas cercanas a
información física con ambiente físico de la común observar la presencia todos los equipos de cómputo y
la cual trabaja el institución de polvo traído de la calle en red para ser ejecutado de forma
colegio diariamente todos los rincones de la diaria
institución; se realiza limpieza
diaria en todos los en todos los b) Implementar filtros para las
salones con el objetivo de ventilas de componentes críticos
controlar de forma superficial y o sistemas de filtrado de área en
general la acumulación de los cuartos que cuentan con
polvo y basuras centro del equipos de cómputo (estos
colegio últimos pueden ser ideales
peropuede resultar costosos
 CONCLUSIONES

No es fácil evidenciar los riesgos o dificultades que pueda tener la institución en la

parte informática, por tal razón es necesaria ejecutar auditorias y así poder
evidenciar lo que está sucediendo en el entorno.

Cada proceso evaluado nos permitió comprender el buen o mal funcionamiento de

las actividades informáticas en la institución.

En el marco de las auditorías llegan a ser muy interesantes para la mejora de calidad
y de los funcionamientos que se evalúan para llegar a mitigar los hallazgos y errores
al interior de la institución.

El desarrollo de trabajo consistió en evaluar los procesos COBIT, los cuales fueron
herramientas fundamentales y muy importantes para llevar a cabo los procesos de
la institución Auditada, por otro lado nos permiten la implementación de sistemas y
de evaluación para llegar a tener una buena optimización de sus productos
informáticos.

El proceso de control y auditoría del Colegio Monseñor Ismael Perdomo, es

elemento de apoyo a la toma de decisiones al interior de las áreas y de las directivas,
sin la gestión de estos procesos los negocios puede llegar a tener retrasos, pérdidas
o fallas inesperadas.
 REFERENCIAS BIBLIOGRÁFICAS

Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=110461
96

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&d
ocID=3176647&tm=1543338969122
Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,
México: Editorial CECSA. (pp. 29-117)recuperado
de: http://eprints.uanl.mx/6977/1/1020073604.PDF

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado
de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=110461
96

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&d
ocID=3176647&tm=1543338969122
Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,
México: Editorial CECSA. (pp. 29-117)recuperado
de: http://eprints.uanl.mx/6977/1/1020073604.PDF

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado
de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Administración informática:

análisis y evaluación de tecnologías de la información. (pp. 17-109). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=32&d
ocID=3227836&tm=1543339680777

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT. [Archivo de video].

Recuperado de: http://hdl.handle.net/10596/23477