Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO COLABORATIVO
GRUPO 90168_17
TUTOR
FRANCISCO NICOLÁS SOLARTE
Descripción de la empresa
Razón Social: Colegio Cooperativo Monseñor Ismael Perdomo
Convirtiendo la escuela, como parte del engranaje que estimula el desarrollo de todo
ser humano en una forma participativa, animada por procesos dinámicos de
participación entre maestros, padres de familia y comunidad, contribuyendo a
memorizar los índices de analfabetismo y deserción escolar, así como también la
pobreza en nuestro país.
Organigrama
Área de Sistemas
Ingeniero de
Rectoria
soporte
Docentes
encargados
Rectoría: Por ser el área líder del colegio, son encargados de los procesos
administrativos y decisiones en la institución.
50 equipos de cómputo,
o 40 computadores en sala de sistemas para estudiantes
o 10 portátiles para área administrativa (pagaduría, rectoría, secretaría,
celaduría, orientación y psicología)
3 impresores
1 servidor
Bases de datos de afiliados a la cooperativa, que deben ser los mismos padres
de alumnos actuales o egresados del colegio.
Cables de red para todos los equipos
Mouse, teclados, disco duro, tarjetas de red, tarjetas de vídeo y unidad de CD,
para todos los equipos de cómputo.
Plan de Auditoria
Uno de los recursos tecnológicos disponibles en las instituciones educativas son las
salas de sistemas, que abarcan un total de 50 equipos en funcionamiento diario.
Objetivos
Objetivo general.
Objetivos específicos.
Planificar la auditoría que permita identificar las condiciones actuales de las salas
de sistemas de la institución educativa.
Alcance y delimitación.
informáticos para optimizar el uso de los recursos existentes y optimizar el servicio a los
educandos.
Obsolescencia de la tecnología.
Recursos:
Presupuesto:
Ítem Valor
Útiles y Papelería $ 50.000
Equipos de Oficina. $ 300.000
Medios de almacenamiento magnético $ 50.000
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000
Pago de Honorarios (1 millón mensual x c/au) $4.000.000
Total presupuesto $4.700.000
Cronograma.
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDAD SEMANA SEMANA SEMANA
1 2 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de
Auditoria
Aplicar el
Evaluación de
modelo de
Riesgos
auditoria
Ejecución de
Pruebas y Obtención
de Evidencias
Elaboración de
Construir los
Informe
planes de
Sustentación de
mejoramiento
Informe
Distribución de los dominios y procesos de COBIT
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las
TI. Estos procesos están agrupados en cuatro grandes dominios que se describen a
continuación junto con sus procesos y una descripción general de las actividades de
cada uno:
Procesos:
PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para
asegurar sus logros futuros.
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes.
Procesos:
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los
procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
Procesos
DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las
tareas y responsabilidades de las terceras partes estén claramente definidas, que
cumplan y continúen satisfaciendo los requerimientos, mediante el establecimiento de
medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la
organización.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier
problema experimentado por los usuarios sea atendido apropiadamente realizando una
mesa de ayuda que proporcione soporte y asesoría de primera línea.
Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad.
Procesos
Objetivos de control
entrevista
10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en
su día a día?
Si creo que hasta el momento todo es acorde a mi trabajo
11. ¿Desea agregar algún otro comentario sobre los temas en relación de la
entrevista?
Ninguna
______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
Lista de chequeo
LISTA CHEQUEO
Educación y
DOMINIO DS7 PROCESO
entrenamiento de usuarios
CONFORM
Nº ASPECTO EVALUADO E OBSERVACIÓN
SI NO
Cuestionario
1 DE 1
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 15 9
TOTAL, CUESTIONARIO 24
Procesos
Administración de Datos: El objetivo es asegurar que los datos permanezcan
completos, precisos y válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI
Objetivos de control
DS11.4 Eliminación
9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?
No tengo conocimiento de esta información
______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
Lista de chequeo
LISTA CHEQUEO
DS11
DOMINIO PROCESO Administración de Datos
CONFORM
N.º ASPECTO EVALUADO E OBSERVACIÓN
SI NO
N PREGUNTA SI NO NA REF
TOTAL 9 15
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Afectación de la integridad
de los datos.
Afectación de la
disponibilidad del respaldo
de la información de los
procesos.
Falta de personal
debidamente autorizado
para la realización de las
actividades del proceso.
Matriz de impacto/probabilidad - riesgos
Cuadro de tratamiento de riesgos
Es indispensable que
el actual administrador
de red, documente y
comparta con
Dominio: Entregar y administración de
dar soporte 1. No se realiza procesos estándares
1. Realizar cronograma
Objetivo de Control: capacitaciones con para la gestión de
para la realización de las
DS7 Educar y regularidad. usuarios para cada
capacitaciones.
Entrenar a los 2. No existe evidencia de las uno de los sistemas
2. seguimiento regular en
Usuarios capacitaciones. que conforman y son
el uso de aplicativos
DS7.1 Identificación 3. Falta cronograma para mantenidos por el área
tecnológicos en el campo
de Necesidades de las actividades de de IT de la institución y
laboral.
Entrenamiento y capacitación. que se implemente un
Educación directorio activo para
agilizar y optimizar la
gestión de usuarios y
el accesos a recursos
locales
Administración y el área
Dominio: Entregar y de IT tiene dos alternativas
Dar Soporte las cuales no son
Objetivo de Control: mutuamente, sino que
pueden ser consideradas
Riesgo
DS11. Administrar los como complemento la una
Dada la existencia de
datos de la otra En el caso de la opción
trabajo, que trabajan con
DS11.5 Respaldo y a) IT puede implementar a) (Backup local) se
Windows y suites ofimáticas
restauración alguna solución turn-key sugiero que se hagan
de office y la mediana
Backup de red local e pruebas cada 6 meses
adopción de la suite
El instituto no cuenta integrar active directory en relación al estado
ofimática en línea ofrecida
con un sistema físico para habilitar un folder de la información que
por Google aplicaciones
para respaldar y remoto en cada estación haga parte del Backup
para el dominio
restaurar datos en los de trabajo local, de tal manera que se
institutocopesal.com, si un
sistemas de cómputo permitiéndole así al pueda confirmar que
usuario guarda documentos
dentro de la usuario guardar su dicho Backup
importantes en el disco duro
institución. Pero si información en éste sitio programado para ser
de la estación de trabajo y el
cuenta con la para que a través de las ejecutado al final del
computador o disco duro,
herramienta olucón implementada día esté operando y
llegase a quedar
implementada por pueda existir Backup de lo sea confiable Una
comprometido no hay
defecto en los que se almacene en el estrategia de un
mecanismo físico que
sistemas de folder remoto Backup completo cada
desarrolla backup de ésta
información virtuales mes e Backup
información almacenada
(Google b) Instruir, educar e incrementales cada
localmente, lo cual conlleva
aplicaciones). incentivar a través de noche, podría ser ideal
la pérdida potencial de
Políticas de uso diferentes mecanismos de darse ésta
información almacenada
deben ser definidas, constantes, pedagógicos y implementación
localmente.
hay que asegurar que positivos para que los
Nivel de riesgo Medio
la información crítica usuarios utilicen la suite
de un usuario sea ofimática ofrecida por
mantenida en los Google aplicaciones para
sistemas virtuales el dominio
institutocopedal.com
Resultado auditoria
1- Formato de Hallazgos
REF
HALLAZGO 1
PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS7.1
DS7 Educación y Identificación de
DOMINIO entrenamiento de PROCESO Necesidades de
usuarios Entrenamiento y
Educación
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
REF
HALLAZGO 2
PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DESCRIPCIÓN HALLAZGO:
CAUSAS: No es aseguro para los usuarios el uso de las máquinas, porque se pierde
información.
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
REF
HALLAZGO 3
PROCESO PÁGINA
DS7 Educación y entrenamiento de
AUDITADO usuarios 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS7.3 Evaluación
DS7 Educación y
del
DOMINIO entrenamiento de PROCESO
Entrenamiento
usuarios
Recibido
DESCRIPCIÓN HALLAZGO:
CAUSAS: El personal que usa las máquinas no tiene la capacitación ìínima para el
uso , ocasionando en ocasiones daños.
CUESTIONARIOS_CHDN/PLAN_PO1 - E_AUDIO/A_CHDN_01
2- Controles propuestos
RIESGOS o HALAZGOS ENCONTRADOS TIPO DE SOLUCIONES O CONTROLES
CONTROL
El no tener un sistema de backup centralizado conlleva el riesgo de que la PREVENTIVO Elaborar políticas de administración y organización de la
información almacenada en discos locales pueda perderse por fallas en información, lo cual se podría realizar a través de la contratación
inminentes en discos duros lo cual a su vez implica pérdida de tiempo y de un ingeniero de sistemas con experiencia en manejo de
dinero asociada con la obtención de dicha información. servidores y seguridad para la realización de esta labor.
El no tener un sistema de backup centralizado conlleva el riesgo de que la DETECTIVO Adquisición de un sistema que permita proteger, guardar y
información almacenada en discos locales pueda perderse por fallas en respaldar la información y también guardar backups de imágenes
inminentes en discos duros lo cual a su vez implica pérdida de tiempo y de los servidores en caso de falla.
dinero asociada con la obtención de dicha información.
No existen antivirus licenciados. PREVENTIVO Compra de antivirus licenciados con el fin de minimizar el riesgo
de infecciones y malware en los equipos de cómputo de la
organización.
Al no tener software licenciado y no actualizable la institución se expone a PREVENTIVO Adquisición de licencias para los equipos de cómputo u otra
hackeos o posibles sanciones, lo que a su vez conlleva posibles pérdidas alternativa incentivar la cultura de la utilización software libre
de información, confidencialidad y posibilidad de uso. “Linux”.
El polvo acumulado en equipos de cómputo con lleva el deterioro de los CORRECTIVO Se debe contratar una empresa la cual realice limpieza diaria a los
mismos, la necesidad de comprar nuevos y la imposibilidad de ofrecer este equipos de cómputo y puestos de trabajo, para evitar
servicio a profesores y alumnos. acumulaciones de polvo y objetos extraños.
El no tener a personal de IT capacitado de forma constante puede conllevar CORRECTIVO Adquirir capacitaciones con empresas externas, para que ayuden
al mal uso de equipos, pérdida de información y pérdida de tiempo y dinero y orienten al colaborador para dar un buen uso a los equipos.
al no tener equipo de cómputo y red trabajado constantemente.
3- Dictamen de la audtoría
DS7.1 Determinar El colegio cuenta con Solo una persona Es indispensable que el actual
Identificación de responsables, Procedimientos no (administrador) de red administrador de red documente
Necesidades de proceso, tiempos de estandarizados y no principal tiene el control de y comparta con la administración,
Entrenamiento y ejecución y ciclos de garantizados para el acceso y creación de cuentas procesos estándares para la
Educación vida de cuentas desarrollo de esta tareas en para usuarios para cada uno gestión de usuarios para cada
gestionadas para los donde solo un individuo es de los sistemas uno de los sistemas que
usuarios de los Responsable. Es Necesario conforman y son mantenidos por
sistemas de asegurar la continuidad de la No existe un proceso el área de IT de la institución y
información dentro de administración de cuentas estándar de ejecución para que se implemente un directorio
la Institución. incluso cuando el único no se estas tareas de gestión de activo para agilizar y optimizar la
encuentra disponible para usuarios gestión de usuarios y el acceso a
atender estos. Los recursos locales
requerimientos de acceso a No hay directorio activo. Las
los diferentes sistemas de cuentas en equipos son
informaciòn locales
DS7.2 Determinar los El colegio no cuenta con un No hay mecanismo físico que Administración y el área de IT
Impartición de mecanismos de sistema físico para respaldar desarrolle backups de la tiene dos alternativas las cuales
Entrenamiento y entrenamientos y restaurar datos en los información guardada no son mutuamente excluyentes
Educación responsables y sistemas de cómputo dentro totalmente en estaciones de sino que pueden ser
procesos para la de la institución. trabajo con OS Windows consideradas de forma
educación de los Pero si cuenta con esta completamente una de la otra
empleados herramienta implementada Muchos usuarios desconocen
por defecto en los sistemas o conscientemente se rehusan a) IT puede implementar alguna
de Información virtuales al uso de la suite informática solución turn-key de backup de
(Google apps). Políticas y de google apps dispuesta para red local e integrar active
campanas para el uso de las uso particular del colegio directory para habilitar un folder
Herramientas Ofimáticas Ismael Perdomo, debido a que remoto en cada estación de
proveídas por google para el están acostumbrados a MS trabajp local, permitiéndole así al
colegio Ismael Perdomo OFFICE usuario guardar su información
deben ser impulsadas para en éste sitio para que a través de
asegurar que la Información la solución implementada pueda
crítica de un usuario sea existir backups de lo que se
mantenida en los sistema almacene en el folder remoto
virtuales y puede ser
auditado por administración b) Instruir, educar a través de
de ser requerido diferentes mecanismos
constantes pedagógicos y
periódicos para que los usuarios
utilice la suite ofimática ofrecida
por google apps para el domino
En el marco de las auditorías llegan a ser muy interesantes para la mejora de calidad
y de los funcionamientos que se evalúan para llegar a mitigar los hallazgos y errores
al interior de la institución.
El desarrollo de trabajo consistió en evaluar los procesos COBIT, los cuales fueron
herramientas fundamentales y muy importantes para llevar a cabo los procesos de
la institución Auditada, por otro lado nos permiten la implementación de sistemas y
de evaluación para llegar a tener una buena optimización de sus productos
informáticos.