Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
GRUPO:
90168_61
TUTOR:
NILDA BECERRA
2019
INTRODUCCIÓN
En el presente trabajo se podrá apreciar una series de consultas que nos ayudaran
entre ellos, el cual realizaremos un proceso de auditoria en una empresa del sector
informático.
OBJETIVOS
Objetivo general
Objetivo específico
AUDITORIA.
CLÍNICA CASANARE
REALIZAR LA AUDITORÍA.
MUNICPIO DE CERTEGUI
Es una empresa de servicios público mixto del Municipio de Cértegui S.A ESP, de
tiene como función la dirección, coordinación y control de todas las actividades que
se desarrollen en la empresa.
con las cuentas que se llevan en la empresa por lo tanto desempeña las funciones
Funciones esta:
empresa
para transportar los desechos desde el sitio de origen hasta el lugar de disposición
Relacionado con la ejecución del área operativa y técnica, tiene como fin realizar
ACTIVIDADES.
OBJETIVO GENERAL
OBJETIVO ESPECIFICO
información.
selección del CobIT como estándar de buenas prácticas que será aplicado y
a cabo.
Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de
ACTIVOS
METODOLOGÍA
Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de
existentes para los procesos de CobIT relacionados directamente con los activos a
encontrados.
RECURSOS
RECURSOS HUMANOS:
Reiner Mosquera
RECURSOS FÍSICOS:
RECURSOS TECNOLÓGICOS:
computador portátil,
RECURSOS ECONÓMICOS:
CRONOGRAMA
EL GRUPO CONSULTA EN EL BLOG LA ESTRUCTURA DEL ESTÁNDAR
AUDITORÍA.
PROGRAMA DE AUDITORIA
funcionarios de la empresa.
red, las entradas y salidas generadas por el sistema, la calidad de los datos de
contingencias.
control entre otras. El riesgo se puede definir como factores o situaciones que son
una amenaza para la viabilidad financiera de la empresa y que no permiten que esta
Riesgos administrativos
Se puede detectar la facilidad como muchas de las entidades tanto las de carácter
privado como oficial, están expuestas a un sinnúmero de actos que ponen el peligro
Riesgos financieros
Riesgos logísticos
Riesgos de competitividad
información
en los sistemas.
Riesgos operativos
Se puede decir que son todo los que afecta la infraestructura de redes de
confiablidad en la información.
correspondiente.
en la red de distribución.
al igual que la seguridad del sistema software en cuanto a los perfiles de usuarios y
sistemas de información.
de personal.
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con
ellos.
riesgos.
organización.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
cumplir con los requerimientos del usuario, mediante un análisis claro de las
usuarios.
adecuadamente formalizadas.
actual.
recursos.
que esté alineado con el plan de continuidad del negocio y relacionado con
entrenamiento y desarrollo.
primera línea.
DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los
confirme su existencia.
actividades.
MONITOREO (M)
establecidos para los procesos de TI, lo cual se logra definiendo por parte de
reportes emitidos.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los
controles clave tales como las medidas de seguridad de los usuarios. Para ello se
aplicaciones)
credenciales necesarias.
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS
DE AUDITORIA
PAGINA
ENTIDAD AUDITADA SA ESP CANDECERT
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de los recursos TI
RESPONSABLE Daniela Rengifo
MATERIAL DE SOPORTE COBIT
DOMINIO AI Adquirir e Implementar
PROCESO AI5 adquirir recursos de TI
AUDITOR RESPONSABLE:
Hayder Manuel Mosquera Tordecilla
LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir,
implementar y mantener recursos
de Infraestructura Tecnológica?
¿Cuentan con registros de cada
2 una de las adquisición
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes?
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores
INFORMACIÓN.
LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir, x
implementar y mantener recursos
de Infraestructura Tecnológica?
¿Cuentan con registros de cada
2 una de las adquisición x
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con x
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes? x
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores
Entrevista
Cargo
Tema 1: Administración de contratos con proveedores
¿Cuentan con un plan de adquisición? ¿SI /No por qué? No por que la empresa
solo cuenta con contrato verbales ala hora de realizar dichas adquisiciones
¿La empresa SA ESP CANDECERT cuenta con monitoreos de equipos
tecnológicos? ¿SI /No por qué? Si ya que se ha desempeñado una persona la
cual es la encargada de realizar dichos procedimientos
NOMBRE DEL ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
SA ESP CANDECERT
CUESTIONARIO DE CONTROL: AI
DOMINIO ADQUISICIÓN E IMPLEMENTACIÓN
PROCESO AI5 ADQUIRIR RECURSOS DE TI
PREGUNTA SI N OBSERVACIO
O NES
¿Cuentan con un plan de adquisición, para adquirir, 4
implementar y mantener recursos de Infraestructura
Tecnológica?
¿Cuentan con registros de cada una de las adquisición 4
tecnológicas?
¿En el inventario se registran los equipos informáticos
existentes? (marca, modelo, ubicación, fecha de adquisición,
capacidad, etc.)
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿Cuentan con plan de selección para determinar cuál será el 4
proveedor?
¿Existen algunos parámetros para determinar el proveedor? 4
¿dentro el plan de selección del proveedor se garantiza la 4
integridad de dicho control?
¿Se realizan revisiones a las distintas adquisidores TI? 4
¿Los contratos de adquisición de softwares, infraestructuras 4
y servicios están plenamente registrados?
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿La empresa SA ESP CANDECERT cuenta con monitoreos 4
de equipos tecnológicos?
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Se cuenta con servicio de mantenimiento para todos los 4
equipos?
¿Se posee un registro de fallas detectadas en los equipos? 4
TOTALES 4 60
RIESGO:
Porcentaje de riesgo parcial: = 6660%
Porcentaje de riesgo = 3340%
Impacto según relevancia del proceso: Riesgo Medio
(4 ∗ 100)/64 = 66.6
100 − 66.6 = 33.4
ELABORAR UN CUADRO DE LAS VULNERABILIDADES, AMENAZAS Y
PROCESO ASIGNADO.
DESCRIPCIÓN:
La empresa no cuenta con formularios que le ayuden a establecer y modificar contratos
de proveedores el cual es algo muy malo ya que es de suma importancia llevar un registro
de todo los datos.
En pocas palabra la empresa no cuenta con un plan de adquisición adecuado causando
con eso una vulnerabilidad a la hora de realizar adquisición de productos nuevos
CASUSAS: No contar con un registro podría ocasionar perdidas a nivel monetario ya que al no
contar con eso no se sabría que equipos se tienen
CONSECUENCIAS:
Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el un plan de
adquisición adecuado para que ello tomen decisiones oportunas y adecuadas en la
eventualidad de no cumplir objetivos planteados.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
REF
HALLAZGO 2
HHDN_02
DESCRIPCIÓN:
La empresa no cuenta con equipos licenciados los cuales esto conlleva a sanciones y
perdida de dinero.
El uso de software sin licencia impide la creación de puestos de empleo ya que
imposibilita el crecimiento de las empresas desarrolladoras de software en nuestro país
y la mejora de sus productos. Debido a ello, los fabricantes de software se han visto
obligados a desarrollar nuevas soluciones para luchar contra la piratería.
CONSECUENCIAS:
Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar
RECOMENDACIONES:
Realizar comparar en servicios autorizados o utilizar versiones de Linux las cuales son
de uso libre
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
ELABORAR UN CUADRO DE LOS CONTROLES PROPUESTOS, Y CLASIFICARLOS COMO
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Realizar un análisis de los
Tener equipos tecnológicos
quipos para así poder
que pueden comprometer la Preventivo
integridad de los datos
determinar la confiabilidad
de cada uno de ellos
Realizar periódicamente
Perder los registros de la copias de seguridad para
Preventivo
empresa así evitar perdida de los
archivos
Conformar un grupo
determinado de funcionarios
No contar con un registro que evalúen y estudien el un
podría ocasionar perdidas a plan de adquisición adecuado
nivel monetario ya que al no Correctivo para que ello tomen
contar con eso no se sabría decisiones oportunas y
que equipos se tienen adecuadas en la eventualidad
de no cumplir objetivos
planteados.
Realizar comparar en
Equipos tecnológicos no aptos servicios autorizados o
Correctivo
o sin licencias utilizar versiones de Linux las
cuales son de uso libre
Apropiarse de la compra e ir
Comprar equipos sin saber su a lugares reconocidos para
Preventivo
procedencia evitar problemas de
contrabando
Contratar personal idóneo
Perdida de información de la
en cuanto a la seguridad
empresa poniendo así la
Preventivo cibernética para así evitar
vulnerabilidad de ataques
cibernéticos ataques y perdida de
información
ELABORAR EL DICTAMEN DE LA AUDITORÍA PARA LA MEDICIÓN DEL NIVEL DE MADUREZ DE
Dictamen:
productos nuevos
Recomendaciones:
INFORME DE AUDITORIA
El área de Informática
SA ESP CANDECERT
Objetivos de control
cláusulas de penalización.
justa y formal según los requerimientos especificados. Estos deben ser optimizados
5. Hallazgos Potenciales
cibernéticos
Auditoria de sistemas
Alcance de la auditoria
de ésta.
Conclusiones:
Recomendaciones:
Atentamente;
___________________ ______________________
xxxxxxxxxx XXXXXX
Auditor Auditor
LISTA CHEQUEO
(AI) ADQUIRIR E (AI4 )FACILITAR LA
DOMINIO PROCESO
IMPLEMENTAR OPERACIÓN Y EL USO.
OBJETIVO DE CONTROL AI4.1 Plan para soluciones de operación
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Se dispone de un formato para
1 registrar el funcionamiento de los X
aspectos técnicos de la entidad?
¿Cuenta la entidad con un formato
2 de evaluación y desempeño de la X
capacidad operacional?
¿Se emplea un registro de cuáles
3 son los niveles de servicios X
requeridos por la entidad?
AI4.2 Transferencia de conocimientos a la gerencia
OBJETIVO DE CONTROL
del negocio
¿Se otorgan permisos exclusivos
4 en el sistema de datos a la X
gerencia de la entidad?
¿Se envía la información de datos
5 completa y a tiempo a la X
administración de la entidad?
AI4.3 Transferencia de conocimiento a usuarios
OBJETIVO DE CONTROL
finales
¿Se dispone de un plan de
6 entrenamiento del sistema para los X
usuarios de la entidad?
¿Se disponen de parámetros de
7 retroalimentación de los usuarios X
para la entidad?
¿Se cuenta con accesibilidad de
información necesaria para la
8 X
eficiencia de los usuarios dentro de
la entidad?
AI4.4 Transferencia de conocimiento al personal de
OBJETIVO DE CONTROL
operaciones y soporte
¿Se dispone de un plan de
9 entrenamiento del sistema para los X
operarios de la entidad?
¿Cuenta la entidad con un manual
10 de funcionamiento para los X
operadores?
¿Se realizan juntas de verificación
11 y avaluación del funcionamiento X
operacional de la entidad?
CONCLUSIÓN
En el presente documento podemos concluir que la auditoria de sistema es un
de los datos.
entrevista, la lista de chequeo, el formulario, las matrices y de más con las cuales