UNIDAD 3: FASE 4 – RESULTADOS DE LA AUDITORIA

CURSO 90168
GRUPO 17

IVAN DARIO TORRES BAQUERO

Cód. 1024473446

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

AUDITORIA DE SISTEMAS
NOVIEMBRE 2019
 OBJETIVOS

● Elaborar el dictamen de la auditoría para cada uno de los procesos evaluados

teniendo en cuenta los hallazgos y controles existentes

● Adquirir competencias de escritura al elaborar el dictamen de auditoría

● Adquirir competencias comunicacionales en la sustentación de los resultados de

la auditoría

● Aplicar la metodología de auditoría y conoce el estándar COBIT

Los formatos de hallazgos para cada uno de los riesgos de mayor impacto y probabilidad
cuyo tratamiento sea controlar.

Tabla Hallazgo 1

HALLAZGO 1 REF

HHDN_01

PROCESO Tecnología de la información PÁGINA

AUDITADO

1 DE 1

RESPONSABLE Ivan Darío Torres

MATERIAL DE COBIT
SOPORTE

DOMINIO DS7 Educación y PROCESO DS7.1 Identificación de

Necesidades de Entrenamiento y
entrenamiento Educación

de usuarios

DESCRIPCIÓN:
● No se realiza capacitaciones con regularidad.

Al no tener un plan estratégico estructurado se corre el riesgo de crear

 implementaciones sobre supuestos y así mismo al no conocer la dirección de

IT se podrán tomar decisiones desacertadas.

CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01

Consecuencias:

Al no tener un plan estratégico estructurado se corre el riesgo de crear

implementaciones sobre supuestos y así mismo al no conocer la dirección de IT se

podrán tomar decisiones desacertadas.

RIESGO:
· Probabilidad de ocurrencia:

· Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Realizar cronograma para la realización de las capacitaciones.

Tabla Hallazgo 2

HALLAZGO 2 REF

HHDN_01

PROCESO Tecnología de la información PÁGINA

AUDITADO

1 DE 1

RESPONSABLE Ivan Dario Torres

MATERIAL DE COBIT
SOPORTE

DOMINIO DS7 Educación PROCESO DS7.2 Impartición de

y entrenamiento Entrenamiento y
de usuarios Educación

DESCRIPCIÓN:
● Los equipos no cuentan con copias de seguridad periódicas.

● Falta cronograma para las actividades de capacitación.

 El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la

tecnología y estén conscientes de los riesgos y responsabilidades

involucrados realizando un plan completo de entrenamiento y desarrollo.

CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01

Consecuencias:

Desarrollos malos, herramientas incompletas, demora en los tiempos de respuesta

y solución

RIESGO:
· Probabilidad de ocurrencia:

· Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.
 HALLAZGO 3 REF

HHDN_01

PROCESO Tecnología de la información PÁGINA

AUDITADO

1 DE 1

RESPONSABLE Ivan Torres

MATERIAL DE COBIT
SOPORTE

DOMINIO DS7 Educación y PROCESO DS7.3 Evaluación del

Entrenamiento Recibido
entrenamiento

de usuarios

DESCRIPCIÓN:
No se realiza capacitaciones con regularidad.
No existe evidencia de las capacitaciones.
 REF_PT:
CUESTIONARIOS_CHDN/ADQUIRIR_AI3
E_AUDIO/A_CHDN_01

CONSECUENCIAS:
No hay copias de seguridad periódicas.
No tienen conocimientos de las herramientas tecnológicas que utilizan.
Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.
Se presentan problemas por falta de conocimiento sobre las políticas.
No existe una política clara sobre la protección y seguridad de la información.
No cuentan con un plan para eventos de respaldo de la información.
Afectación de la integridad de los datos.
Afectación de la disponibilidad del respaldo de la información de los procesos.

RIESGO:
· Probabilidad de ocurrencia:

· Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Comparta con administración procesos estándares para la gestión de usuarios para cada uno
de los sistemas que conforman y son mantenidos por el área de IT de la institución y que se
implemente un directorio activo para agilizar y optimizar la gestión de usuarios y el acceso a
recursos locales.
 Cuadro de controles propuestos que incluya los riesgos, los controles propuestos y el tipo
de control para cada proceso evaluado.

Tabla 4. Cuadro de riesgos y controles

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL

El no tener un sistema de PREVENTIVO Elaborar políticas de administración

backup centralizado y organización de la información, lo

conlleva el riesgo de que cual se podría realizar a través de la

la información contratación de un ingeniero de

almacenada en discos sistemas con experiencia en manejo

locales pueda perderse de servidores y seguridad para la

por fallas en inminentes realización de esta labor.

en discos duros lo cual a

su vez implica pérdida de

tiempo y dinero asociada

con la obtención de dicha

información.
El no tener un sistema de DETECTIVO Adquisición de un sistema que

backup centralizado permita proteger, guardar y

conlleva el riesgo de que respaldar la información y también

la información guardar backups de imágenes de los

almacenada en discos servidores en caso de falla.

locales pueda perderse

por fallas en inminentes

en discos duros lo cual a

su vez implica pérdida de

tiempo y dinero asociada

con la obtención de dicha

información.

No existen antivirus PREVENTIVO Compra de antivirus licenciados con

licenciados. el fin de minimizar el riesgo de

infecciones y malware en los equipos

de cómputo de la organización.

Al no tener software PREVENTIVO Adquisición de licencias para los

licenciado y no equipos de cómputo u otra

actualizable la institución alternativa incentivar la cultura de la

se expone a hackeos o utilización software libre “Linux”.

posibles sanciones, lo que

a su vez conlleva posibles

pérdidas de información,
confidencialidad y

posibilidad de uso.

El polvo acumulado en CORRECTIV Se debe contratar una empresa la

equipos de cómputo con O cual realice limpieza diaria a los

lleva el deterioro de los equipos de cómputo y puestos de

mismos, la necesidad de trabajo, para evitar acumulaciones

comprar nuevos y la de polvo y objetos extraños.

imposibilidad de ofrecer

este servicio a profesores

y alumnos.

El no tener a personal de CORRECTIV Adquirir capacitaciones con

IT capacitado de forma O empresas externas, para que ayuden

constante puede y orienten al colaborador para dar un

conllevar al mal uso de buen uso a los equipos.

equipos, pérdida de

información y pérdida de

tiempo y dinero al no

tener equipo de cómputo

y red trabajado

constantemente.
El dictamen de la auditoría donde se hace la medición del nivel de madurez de la empresa
respecto al cumplimiento de la norma usada.

DICTAMEN DE LA AUDITORÍA

Dominio/ Procesos Objetivo de Dictamen Hallazgos que Posibles

/Objetivos de control Auditoria (Madurez) confirman soluciones /
dictamen Recomendaciones

DS7.1 Identificación de Determinar INICIAL - Solo una Es indispensable

Necesidades de responsables, persona que el actual
Entrenamiento y proceso, tiempos El colegio cuenta (administrador administrador de
Educación de ejecución y con de red red documente y
ciclos de vida de procedimientos principal) tiene comparta con
cuentas no estandarizados el control de administracion
gestionadas para y no garantizados acceso y procesos
los usuarios de para el desarrollo creación de estandares para
los sistemas de de esta tareas en cuentas para la gestión de
información donde solo un usuarios para usuarios para
dentro de la individuo es cada uno de los cada uno de los
Institución. Responsable. Es sistemas sistemas que
necesario conforman y son
asegurar la - No existe un mantenidos por
continuidad de la proceso el área de IT de
administración de estándar de la institución y
cuentas incluso ejecución para que se
cuando el único estas tareas de implemente un
responsable no se gestión de directorio activo
encuentra usuarios. para agilizar y
disponible para optimizar la
atender las estos - No hay gestión de
los directorio usuarios y el
requerimientos de activo. Las acceso a recursos
acceso a las cuentas en locales.
diferentes equipos son
sistemas de locales.
Información.
DS7.2 Impartición de Determinar los INICIAL - No hay Administración y
Entrenamiento y mecanismos de mecanismo el área de IT
Educación entrenamien El colegio no físico que tiene dos
tos
cuenta con un desarrolle alternativas las
responsables y sistema físico backups de la cuales no son
procesos para la para respaldar y información mutuamente
educación de los
empleados
restaurar datos en guardada excluyentes sino
los sistemas de localmente en que pueden ser
cómputo dentro estaciones de consideradas de
de la institución. trabajo con OS forma
Pero si cuenta con windows. complemento
esta herramienta una de la otra:
implementada por - Muchos
defecto en los usuarios a) IT puede
sistemas de desconocen o implementar
información conscientement alguna solución
virtuales (google e se rehúsan al turn-key de
apps). Políticas y uso de la suite backup de red
campanas para el ofimática de local e integrar
uso de las google apps active directory
herramientas dispuesta para para habilitar un
ofimáticas uso particular folder remoto en
proveídas por del Colegio cada estación de
google para el Ismael Perdomo trabajo local
colegio Ismael adebido
que estan permitiendolo así
Perdomo
deben ser acostumbrados al usuario
impulsadas para a MS Office. guardar su
asegurar que la información en
información este sitio para
crítica de un que a través de la
usuario sea solución
mantenida en los implementada
sistemas virtuales pueda existir
y pueda ser backups de lo
auditada por que se almacene
administración de en el folder
ser requerido. remoto.

b) Instruir,
educar e
incentivar a
través de
diferentes
mecanismos
constantes,
pedagogicos y
positivos para
que los usuarios
utilice la suite
ofimática
ofrecida por
google apps para
 el domino
colegioIsmael
Perdomo.c om
DS7.3 Evaluación del Determinar INICIAL Dado que el Para atender esta
Entrenamiento factores físicos y colegio está dificultad/riesgo
Recibido ambientales que Medidas de ubicado en un se sugiere:
pueden control todavía sector popular
comprometer la están pendientes en donde a) La
infraestructura de ser muchas calles y implementación
de sistemas de implementadas aceras no se de un proceso de
Información para atender las encuentran limpieza y
física con la cual amenazas de pavimentadas o manutención
trabaja el colegio polvo en los arregladas regular más
diariamente. sistemas de adecuadamente enfocado a
cómputo y redes es muy común mantener libres
que componen el observar la de polvo las
ambiente físico de presencia de áreas cercanas a
la institución. polvo traído de todos los equipos
la calle en de cómputo y red
todos los para ser
rincones de la ejecutado de
institución. forma diaria.

Se realiza b) Implementar
limpieza diaria filtros para las
en todos los ventilas de
salones con el componentes
objeto de críticos o
controlar, de sistemas de
forma filtrado de área
superficial y en los cuartos
general, la que cuentan con
acomulacion de equipos de
polvo y basuras computo. (estos
dentro del últimos pueden
colegio. ser ideales pero
puede resultar
costosos)
 CONCLUSIONES

El desarrollo de trabajo consistió en todos los procesos COBIT, los cuales fueron
herramientas fundamentales y muy importantes para llevar a cabo los procesos de la
empresa Auditada, por otro lado nos permiten la implementación de sistemas y de
evaluación para llegar a tener una buena optimización de sus productos informáticos.

El proceso de control y auditoría del Colegio Monseñor Ismael Perdomo, es elemento de

apoyo a la toma de decisiones al interior de las áreas y de las directivas, sin la gestión de
estos procesos los negocios puede llegar a tener retrasos, pérdidas o fallas inesperadas.

En el marco de auditorías esto llega a ser muy interesantes para la mejora de calidad y de
los funcionamientos que se evalúan para llegar a mitigar los hallazgos y errores al interior
de la empresa.
 REFERENCIAS

Solares, S. P., Baca, U. G., & Acosta, G. E.

(2014). Administración informática: análisis y evaluación de
tecnologías de la información. (pp. 17-109). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/read
er.action?ppg=32&docID=3227836&tm=1543339680777

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx

Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT.

[Archivo de video]. Recuperado
de: http://hdl.handle.net/10596/23477