Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo
Trabajo
PRESENTADO POR:
GRUPO:
90168_61
TUTOR:
NILDA BECERRA
2019
INTRODUCCIÓN
conceptual el cual va ha mostrar las relaciones que tienen cada uno de ellos.
sector informático.
OBJETIVOS
Objetivo general
Objetivo específico
AUDITORIA.
CLÍNICA CASANARE
REALIZAR LA AUDITORÍA.
MUNICPIO DE CERTEGUI
Es una empresa de servicios público mixto del Municipio de Cértegui S.A ESP, de
con las cuentas que se llevan en la empresa por lo tanto desempeña las funciones
Funciones esta:
empresa
para transportar los desechos desde el sitio de origen hasta el lugar de disposición
SOLIDOS/ Relacionado con la ejecución del área operativa y técnica, tiene como
ACTIVIDADES.
OBJETIVO GENERAL
OBJETIVO ESPECIFICO
información.
selección del CobIT como estándar de buenas prácticas que será aplicado
llevarla a cabo.
Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de
ACTIVOS
METODOLOGÍA
Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de
existentes para los procesos de CobIT relacionados directamente con los activos a
encontrados.
empresa
RECURSOS HUMANOS:
Reiner Mosquera
RECURSOS FÍSICOS:
RECURSOS TECNOLÓGICOS:
computador portátil,
RECURSOS ECONÓMICOS:
CRONOGRAMA
EL GRUPO CONSULTA EN EL BLOG LA ESTRUCTURA DEL ESTÁNDAR
AUDITORÍA.
PROGRAMA DE AUDITORIA
funcionarios de la empresa.
planes de contingencias.
control entre otras. El riesgo se puede definir como factores o situaciones que son
Riesgos administrativos
Se puede detectar la facilidad como muchas de las entidades tanto las de carácter
administrativa.
Riesgos financieros
Riesgos logísticos
Riesgos de competitividad
información
en los sistemas.
Riesgos operativos
Se puede decir que son todo los que afecta la infraestructura de redes de
confiablidad en la información.
correspondiente.
Uso indebido de los equipos de cómputos/ daños de los equipos de
al igual que la seguridad del sistema software en cuanto a los perfiles de usuarios
sistemas de información.
de medidores.
comunicadas.
prácticas y utilizables.
de personal.
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con
ellos.
organización.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
cumplir con los requerimientos del usuario, mediante un análisis claro de las
usuarios.
adecuadamente formalizadas.
actual.
demanda de recursos.
DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio
entrenamiento y desarrollo.
primera línea.
DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los
confirme su existencia.
actividades.
MONITOREO (M)
establecidos para los procesos de TI, lo cual se logra definiendo por parte
reportes emitidos.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos
una estrategia para llevar a cabo un entrenamiento efectivo y para medir los
cumplimiento de los controles clave tales como las medidas de seguridad de los
etc.)
y aplicaciones)
credenciales necesarias.
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS F
DE AUDITORIA
PAGINA
ENTIDAD AUDITADA SA ESP CANDECERT
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de los recursos TI
RESPONSABLE Daniela Rengifo
MATERIAL DE SOPORTE COBIT
DOMINIO AI Adquirir e Implementar
PROCESO AI5 adquirir recursos de TI
AUDITOR RESPONSABLE:
Hayder Manuel Mosquera Tordecilla
LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir,
implementar y mantener recursos
de Infraestructura Tecnológica?
¿Cuentan con registros de cada
2 una de las adquisición
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes?
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores
INFORMACIÓN.
LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir, x
implementar y mantener recursos
de Infraestructura Tecnológica?
¿Cuentan con registros de cada
2 una de las adquisición x
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con x
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes? x
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores
Entrevista
Cargo
Tema 1: Administración de contratos con proveedores
¿Cuentan con un plan de adquisición? ¿SI /No por qué? No por que la empresa
solo cuenta con contrato verbales ala hora de realizar dichas adquisiciones
¿La empresa SA ESP CANDECERT cuenta con monitoreos de equipos
tecnológicos? ¿SI /No por qué? Si ya que se ha desempeñado una persona la
cual es la encargada de realizar dichos procedimientos
NOMBRE DEL ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
SA ESP CANDECERT
CUESTIONARIO DE CONTROL: AI
DOMINIO ADQUISICIÓN E IMPLEMENTACIÓN
PROCESO AI5 ADQUIRIR RECURSOS DE TI
PREGUNTA SI N OBSERVACI
O ONES
¿Cuentan con un plan de adquisición, para adquirir, 4
implementar y mantener recursos de Infraestructura
Tecnológica?
¿Cuentan con registros de cada una de las adquisición 4
tecnológicas?
¿En el inventario se registran los equipos informáticos
existentes? (marca, modelo, ubicación, fecha de
adquisición, capacidad, etc.)
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿Cuentan con plan de selección para determinar cuál será 4
el proveedor?
¿Existen algunos parámetros para determinar el proveedor? 4
¿dentro el plan de selección del proveedor se garantiza la 4
integridad de dicho control?
¿Se realizan revisiones a las distintas adquisidores TI? 4
¿Los contratos de adquisición de softwares, infraestructuras 4
y servicios están plenamente registrados?
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿La empresa SA ESP CANDECERT cuenta con monitoreos 4
de equipos tecnológicos?
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Se cuenta con servicio de mantenimiento para todos los 4
equipos?
¿Se posee un registro de fallas detectadas en los equipos? 4
TOTALES 4 60
RIESGO:
Porcentaje de riesgo parcial: ¿ 6660 %
Porcentaje de riesgo ¿ 3340 %
Impacto según relevancia del proceso: Riesgo Medio
( 4∗100) /64=66.6
100−66.6=33.4
ELABORAR UN CUADRO DE LAS VULNERABILIDADES, AMENAZAS Y
PROCESO ASIGNADO.
EVALUADO.
DESCRIPCIÓN:
La empresa no cuenta con formularios que le ayuden a establecer y modificar contratos
de proveedores el cual es algo muy malo ya que es de suma importancia llevar un
registro de todo los datos.
En pocas palabra la empresa no cuenta con un plan de adquisición adecuado causando
con eso una vulnerabilidad a la hora de realizar adquisición de productos nuevos
CASUSAS: No contar con un registro podría ocasionar perdidas a nivel monetario ya que al no
contar con eso no se sabría que equipos se tienen
CONSECUENCIAS:
Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el un plan
de adquisición adecuado para que ello tomen decisiones oportunas y adecuadas en la
eventualidad de no cumplir objetivos planteados.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
REF
HALLAZGO 2
HHDN_02
DESCRIPCIÓN:
La empresa no cuenta con equipos licenciados los cuales esto conlleva a sanciones y
perdida de dinero.
El uso de software sin licencia impide la creación de puestos de empleo ya que
imposibilita el crecimiento de las empresas desarrolladoras de software en nuestro país
y la mejora de sus productos. Debido a ello, los fabricantes de software se han visto
obligados a desarrollar nuevas soluciones para luchar contra la piratería.
CONSECUENCIAS:
Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar
RECOMENDACIONES:
Realizar comparar en servicios autorizados o utilizar versiones de Linux las cuales son
de uso libre
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
CORRECTIVOS.
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Realizar un análisis de
Tener equipos tecnológicos los quipos para así
que pueden comprometer la Preventivo poder determinar la
integridad de los datos confiabilidad de cada
uno de ellos
Realizar
periódicamente
Perder los registros de la
Preventivo copias de seguridad
empresa
para así evitar perdida
de los archivos
Conformar un grupo
determinado de funcionarios
No contar con un registro que evalúen y estudien el un
podría ocasionar perdidas a plan de adquisición adecuado
nivel monetario ya que al no Correctivo para que ello tomen
contar con eso no se sabría decisiones oportunas y
que equipos se tienen adecuadas en la eventualidad
de no cumplir objetivos
planteados.
Realizar comparar en
Equipos tecnológicos no servicios autorizados o
Correctivo
aptos o sin licencias utilizar versiones de Linux las
cuales son de uso libre
Apropiarse de la
compra e ir a lugares
Comprar equipos sin saber su
Preventivo reconocidos para
procedencia
evitar problemas de
contrabando
Perdida de información de la Preventivo Contratar personal
empresa poniendo así la idóneo en cuanto a la
vulnerabilidad de ataques seguridad cibernética
cibernéticos para así evitar
ataques y perdida de
información
Dictamen:
Recomendaciones:
planteados.
HALLAZGOS Y RECOMENDACIONES
INFORME DE AUDITORIA
El área de Informática
SA ESP CANDECERT
Objetivos de control
cláusulas de penalización.
práctica justa y formal según los requerimientos especificados. Estos deben ser
AI5.4 Adquisición de las TI: proteger los intereses de la organización en todos los
5. Hallazgos Potenciales
cibernéticos
Auditoria de sistemas
Alcance de la auditoria
objetivos de ésta.
Conclusiones:
Recomendaciones:
Atentamente;
___________________ ______________________
xxxxxxxxxx XXXXXX
Auditor Auditor
LISTA CHEQUEO
(AI) ADQUIRIR E (AI4 )FACILITAR LA
DOMINIO PROCESO
IMPLEMENTAR OPERACIÓN Y EL USO.
OBJETIVO DE CONTROL AI4.1 Plan para soluciones de operación
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Se dispone de un formato para
1 registrar el funcionamiento de los X
aspectos técnicos de la entidad?
¿Cuenta la entidad con un formato
2 de evaluación y desempeño de la X
capacidad operacional?
¿Se emplea un registro de cuáles
3 son los niveles de servicios X
requeridos por la entidad?
AI4.2 Transferencia de conocimientos a la gerencia
OBJETIVO DE CONTROL
del negocio
¿Se otorgan permisos exclusivos
4 en el sistema de datos a la X
gerencia de la entidad?
5 ¿Se envía la información de datos X
completa y a tiempo a la
administración de la entidad?
AI4.3 Transferencia de conocimiento a usuarios
OBJETIVO DE CONTROL
finales
¿Se dispone de un plan de
6 entrenamiento del sistema para X
los usuarios de la entidad?
¿Se disponen de parámetros de
7 retroalimentación de los usuarios X
para la entidad?
¿Se cuenta con accesibilidad de
información necesaria para la
8 X
eficiencia de los usuarios dentro
de la entidad?
AI4.4 Transferencia de conocimiento al personal de
OBJETIVO DE CONTROL
operaciones y soporte
¿Se dispone de un plan de
9 entrenamiento del sistema para X
los operarios de la entidad?
¿Cuenta la entidad con un manual
10 de funcionamiento para los X
operadores?
¿Se realizan juntas de verificación
11 y avaluación del funcionamiento X
operacional de la entidad?
CONCLUSIÓN
En el presente documento podemos concluir que la auditoria de sistema es un
entrevista, la lista de chequeo, el formulario, las matrices y de más con las cuales