Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS
ELABORADO POR:
JEISON ALEXANDER AMADO SILVA
GRUPO: 90168_67
PRESETANDO A:
NILDA BECERRA
El presente trabajo tiene como finalidad entregar la última fase de la materia de Auditoria de
Sistemas; Exponer auditorias de distintas empresas con el fin de identificar el proceso y control
de auditoria unificando cada actividad entregada en las unidades anteriores. Para realizar el
proceso de una auditoria se tomó como base la empresa “Sistemas Comerciales SYSCOM” a la
cual se le realizara la auditoria a los procesos desarrollados por la misma teniendo en cuenta
que es una empresa de Servicios de Comunicaciones y en la cual se analizaran las
vulnerabilidades, amenazas y riesgos que se presentan en dicha empresa tomando como
referencia la estructura estándar CobIT, donde se establecerán los dominios, procesos y
objetivos de control que se aplicaran a la auditoria.
OBJETIVOS
Identificar todos los procesos que contiene una auditoria enfocada a las empresas del
sector público y privado
Identificar los puntos fundamentales para estructurar los controles de la empresa
Definir dominios procesos y objetivos de control
Identificar y establecer los puntos clave de la empresa para la toma de decisiones
Contribuir a la mejora continua de los procesos nuevos o ya establecidos
FASE 5 – RESULTADOS FINALES DE AUDITORÍA
Estructura Organizacional
Sistemas informáticos
- Zeus Front (Manejo operativo, es decir, recepción, reservas, auditoria nocturna, ama de
llaves, mantenimiento, banquetes y eventos)
- Zeus Back (Manejo administrativo, es decir, contabilidad, inventarios, nómina y activos
fijos)
- PC-Tel (Control de llamadas telefónicas)
- Onity (Software de administración para cerraduras electrónicas de habitaciones)
- SQL Server 2016 (Motor de base de datos de Zeus)
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
1. Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten
contribuir al logro de los objetivos de la organización, además de la realización de la visión
estratégica, comunicada y administrada desde todas las perspectivas e implementación
de la estructura organizacional y tecnológica.
Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos
planteados, esta se basará y orientará en el estándar COBIT, para la evaluación del
hardware de equipos de cómputo, red física, equipos de protección eléctrica, y seguridad
física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los componentes
que motivan esta auditoria con el ánimo evaluar que la planeación y organización, la
adquisición e implementación, la entrega de los servicios requeridos, el monitoreo y
evaluación y demás acciones pertinentes, están en línea con los objetivos evaluadores de
la auditoria, así como también que estos estén en concordancia con los principios de
eficiencia y eficacia.
De acuerdo con lo anterior la auditoria estará conformada por las siguientes fases y
actividades correspondientes:
Fase de la
auditoria
Fa Nombre de la fase Actividad
se es
Solicitud informe de equipos de cómputo,
1 red física, equipos de protección eléctrica,
Planeación y
1 y seguridad física.
programaci 2 Análisis de la información suministrada
ón 3 Diseño del plan de Visitas
4 Mesa de trabajo
Visitas e inspección de las infraestructuras
5
de telecomunicaciones y eléctrica.
Evaluación de la planeación y organización
5 de las infraestructuras de
. telecomunicaciones
1 y eléctrica.
Ejecución de Evaluación la adquisición e implementación
2
la 5 de las infraestructuras de
auditoria . telecomunicaciones y eléctrica.
2
Evaluación la entrega de los servicios
5 requeridos de las infraestructuras de
. telecomunicaciones y eléctrica.
3
Evaluación el monitoreo y evaluación de las
5 infraestructuras de
. telecomunicaciones y eléctrica.
4
Análisis preliminar de la información
6
recolectada en el desarrollo de la
Informe y plan auditoria.
3 de acción 7 Mesa de trabajo
8 Consolidación del informe de auditoria
Entrega y exposición del informe de
9
auditoría a la gerencia.
El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario,
mediante un análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios.
El objetivo es asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la
implementación de sistemas de soporte, así como la atención regular a los reportes emitidos.
La portabilidad de un sistema es un tema de evaluación, el cómo coexiste la
atracción, recuperación de fallos y adaptabilidad deben ser de conocimiento
gerencial.
ROLES Y RESPONSABILIDADES DEL GRUPO AUDITOR
Proceso
Nombre
auditado Objetivos de control proceso elegido
Auditor
CobIT
PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9 Evaluar
CHRISTIA
y Administrar PO9.3 Identificación de Eventos
N
los Riesgos PO9.4 Evaluación de Riesgos de TI
BAUTISTA
de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y
Funcionales del Negocio
AI1 Identificar
JEISON soluciones AI1.2 Reporte de Análisis de Riesgos
AMADO automatizada AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción
s Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
DS9.1 Repositorio y Línea Base de Configuración
DS9
JOHN
Administrar la DS9.2 Identificación y Mantenimiento de Elementos de Configuración
CASTRO
Configuración
DS9.3 Revisión de Integridad de la Configuración
MESAS DE TRABAJO
Se efectuarán, las mesas de trabajo cada treinta (30) días y las que se requieran de acuerdo a
los resultados que se obtengan.
TIEMPO ESTIMADO
Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre el 07
de octubre al 07 de noviembre de 2019. De requerir ampliación de términos se solicitará su
diligencia oportunamente.
RECURSO HUMANO
El equipo auditor que desempeñara la auditoria está conformado por los siguientes
profesionales:
FUNCIONARIO R
OL
Ejecutivo Superior
CHRISTIAN
BAUTISTA
NILDA BECERRA Auditor
JEISON AMADO Auditor
JOHN CASTRO Auditor
PRESUPUESTO
El salario del Ejecutivo Superior y los auditores, corresponde a los honorarios que
reciben los auditores implicados en realizar el procedimiento teniendo en cuenta los
cargos y responsabilidades de cada auditor.
Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones
y conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por
auditor porque cada uno tiene a su cargo distintos sectores de la empresa.
Se considera de gran importancia tener una videocámara de buenas especificaciones
para apoyar las visitas.
Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que
los implicados en el proceso no todos pertenecen a la región en la cual se encuentra
ubicada la entidad auditada.
Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en
cuenta aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte
vital de que la auditoria este bien encaminada, y para esto se necesita un ambiente
cómodo en el cual los auditores tengan a su disposición lo que sea necesario.
Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de un
auditor o simplemente por razones obvias de bastante carga laboral se requiere de
más personal capacitado.
CRONOGRAMA DE ACTIVIDADES
PLAN DE
AUDITORÍA
Octub Noviemb
N ACTIVIDAD re re
o
7 8 9 1 1 1 1 1 1 1 2 2 2 1 4 5 6 7
0 1 4 5 6 7 8 1 2 3
Solicitud informe de
equipos de
1 cómputo, red física,
equipos de
protección
eléctrica, y
seguridad física.
Análisis de la
2 informació
n
suministra
da
Diseño del plan
3
de Visitas
4 Mesa de trabajo
Visitas e inspección
de las
5 infraestructuras de
telecomunicaciones
y
eléctrica.
Evaluación de la
planeación y
5 organización de las
. infraestructuras de
1 telecomunicacione
sy
eléctrica.
Evaluación la
adquisición e
5 implementación de
. las infraestructuras
2 de
telecomunicacione
s y eléctrica.
Evaluación la
entrega de los
5 servicios
. requeridos de las
3 infraestructuras de
telecomunicaciones
y
eléctrica.
Evaluación
5 el
. monitoreo
4 y
evaluación de las
infraestructuras de
telecomunicacione
sy
eléctrica.
Análisis preliminar
de la información
6 recolectada en el
desarrollo de
la auditoria.
7 Mesa de trabajo
Consolidación del
8
informe de
auditoria
Entrega y
9 exposición del
informe de
auditoría a
la
gerencia.
ENTIDAD AUDITADA: Sistemas comerciales SYSCOM
PROCESO AUDITADO: Departamento de Tecnología e información.
RESPONSABLES: Jeison Alexander Amado Silva
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
01
PAGINA
ENTIDAD AUDITADA Sistemas Comerciales SYSCOM
1 DE 1
PROCESO
Servicios ofrecidos por el departamento de IT
AUDITADO
RESPONSABLE Jeison Alexander Amado Silva
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS (Soporte y Servicios)
PROCESO DS8: Asistir a los clientes de TI
Prueba de Entrega: Se
ocupa de validar que el
sistema satisface los
requerimientos y asegura
que el sistema es
confiable para el usuario,
es decir son prueba de
caja negra en las que el
equipo de prueba se
ocupa simplemente de
demostrar si el sistema
funciona o no
correctamente
AUDITOR RESPONSABLE:
Jeison Alexander Amado Silva
LISTAS DE CHEQUEO
LISTA CHEQUEO
DS8 Asistir a los clientes
DOMINIO Soporte y Servicios (DS) PROCESO
de TI
DS8.1 Detección de Problemas en el Sistema
OBJETIVO DE CONTROL
CONFORM
Nº ASPECTO EVALUADO E OBSERVACIÓN
SI NO
¿Cuenta con un sistema que permita
1 la detección de problemas en tiempo x
real?
OBJETIVO DE CONTROL DS8.2 Soporte a Usuarios
¿Existe un grupo capacitado para dar
soporte de manera inmediata y eficaz
2 x
a los usuarios en caso de presentar
problemas en el sistema?
OBJETIVO DE CONTROL DS8.3 Identificación de eventos:
¿Se realiza actualización de los
3 diferentes tipos de riesgos que x
pueden afectar el sistema?
OBJETIVO DE CONTROL DS8.4 Evaluación de los riesgos de TI:
¿Se utilizan métodos cualitativos o
cuantitativos para medir la
4 x
probabilidad e impacto de los riesgos
que pueden afectar a los usuarios?
OBJETIVO DE CONTROL DS8.5 Respuesta a los riesgos:
¿Existe un plan de acción para
5 x
mitigar los riesgos del sistema de
forma segura y sin generar pérdidas
para el usuario?
DS8.6 Mantenimiento y monitoreo de un plan de acción de
OBJETIVO DE CONTROL
riesgos:
¿Se monitorea el plan de acción en
6 contra de los riesgos que puede x
presentar el sistema?
Formato de Cuestionario
Sistemas comerciales SYSCOM
Cuestionario de Control: C1
Dominio Servicios y Soporte
Proceso DS8: Asistir a los Clientes TI
Pregunta Si No OBSERVACIONE
S
¿Se cuenta con un sistema para crear las incidencias X
de los usuarios? (Helpdesk)
¿Se cuenta con personal capacitado para dar soporte y X
soluciones a las fallas presentadas en los servicios de
los usuarios?
¿Se cuenta un formato registrar fallas? X
Usuario
Servicio
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas? X
¿Se maneja un sistema de copias de seguridad óptimo X
de la información de los usuarios?
¿Al momento de presentar una falla en el equipo, la X
atención que se presta es? Inmediata
¿Se cuenta con procedimiento de mantenimiento X
periódico para todos los equipos?
¿Se brinda asesoría vía telefónica a usuarios X
externos?
¿Los equipos como lo son Módems y switches cuentan X
con la tecnología soportada para brindar un buen
servicio?
TOTALES 5 4
ANÁLISIS DE RIESGOS
VULNERABILIDADES
ITE TIPO DE UBICACIÓN
VULNERABILIDADES RIESGOS
M VULNERABILIDAD AMENAZA
El riesgo se basa en que
no tienen un sistema
Ausencia de licencias Vulnerabilidad
1 Software informático que haga
de antivirus o firewall Sofware
bloqueos para spam,
ramsonwer, troyanos, etc.
El riesgo es la falta de
Ausencia de equipos Vulnerabilidad Parque equipos backup para dar
2
de contingencia. Hardware computacional continuidad del negocio
en caso de desastre.
Debido a que el
encargado debe
responder con funciones
Agilidad en la
Vulnerabilidad Recurso adicionales a las del área
4 ejecución de los
Recurso Humano Humano se presenta demora en
trámites
los tiempos de respuesta
para dar solución a un
incidente.
La infraestructura del
Falta de fuentes de Vulnerabilidad Parque edifico no cuenta con
5
energía respaldada Hardware computacional UPS que soporte las
oficinas de la propiedad
horizontal, por tal motivo
deben adquirir UPS por
cada equipo para evitar
pérdidas de información.
CARACTERISTIC CRITERIO DE
A EVALUACIÓN RIESGO TRATAMIENTO
*Llevar una bitácora de copias
Llevar procedimiento de seguridad de cada
*Perdida de
en donde se detalle proceso. *Realizar auditoria
DS9.1 Sistema de información
que copias de por parte de un jefe para
respaldos de cada *Reprocesos.
seguridad se deben validar que las copias se
proceso de la *Mayor inversión
generar en cada estén generando
empresa de tiempo y
proceso de la correctamente. *Tener
dinero.
empresa. documentado cada proceso y
su respectivo respaldo.
*Inventario de equipos.
*Seguridad de la
documentación de sistemas.
Procedimientos de
DS9.2 *Carencia en *Señalización en puertos de
mantenimiento
Programación de identificación de redes y demás equipos de
preventivos
mantenimiento equipos. *Daños red. *Restricciones en los
programados de
preventivos en hardware. cambios a los paquetes de
manera periódica.
software *Control y
identificación de
vulnerabilidades técnicas.
*Sanciones por
Revisión periódica de
uso de software *Revisar de manera periódica
DS9.3 Revisión de la integridad de los
no licenciado. la funcionalidad de las copias
la funcionalidad de datos de backup.
*Perdida completa de seguridad *Al realizar los
los backups y *Control de software
de informa por mantenimientos preventivos
software licenciado licenciado y software
fallas en los revisar el software licenciado.
no autorizado.
backups.
MATRIZ DE RIESGOS
PROBABILIDAD IMPACTO
No DESCRIPCIÓN MEDI MODERAD
BAJA ALTA LEVE CATASTRÓFICO
A O
R1 Perdida de información. X X
Programación y ejecución
R3 de mantenimiento X X
preventivo.
Carencia en identificación
R4 X X
de equipos.
R5 Caídas de internet. X X
Error de conexión de red
R6 X X
interna.
Sanciones por uso de
R7 X X
software no licenciado.
Insuficiente conocimiento
R8 X X
en soporte de servidores
Demora en contratación
R9 de encargado de X X
sistemas.
Alto R5
61-100%
PROBABILIDAD
Medio R3, R7 R1
31-60%
Bajo R2, R8 R4, R6,
0-30% R9
Leve Moderado Catastrófico
IMPACTO
REF
HALLAZGO No 1
PROCESO PÁGINA
Departamento TI
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Sistema de
respaldos de cada
DOMINIO DS8 PROCESO
proceso de la
empresa
DESCRIPCIÓN HALLAZGO:
Sistema de copias de seguridad
CAUSAS:
Falta de recursos para diseñar un sistema de respaldos y almacenamiento
Poca capacitación al personal que maneja esta tarea
Falta de conocimiento en estrategias de respaldos
CONSECUENCIAS:
Aumenta el riesgo de pérdida de información.
En caso de pérdida obliga a tener reprocesos.
Inversión imprevista de tiempo y dinero.
REF
HALLAZGO No 2
PROCESO PÁGINA
Servicios y Soporte
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
Administrar la
DOMINIO DS8 PROCESO Mesa Servicio y
los incidentes
DESCRIPCIÓN HALLAZGO:
Tratamiento de incidencias o mesas de servicio
CAUSAS:
Se considera innecesario además que esto genera un costo más para la
empresa
Poca capacitación al personal que maneja esta área
Falta de recursos para adaptar la infraestructura necesaria
CONSECUENCIAS:
Aumenta el riesgo de recuperar la funcionalidad del servicio y de minimizar el
impacto que genera al usuario
Disminuye la calidad del servicio y la disponibilidad de este
Se tiende a repetir los errores ya conocidos, generando pérdida de tiempo
RECOMENDACIONES:
REF
HALLAZGO No 3
DESCRIPCIÓN HALLAZGO:
Pocos indicadores e informes de gestión
CAUSAS:
Falta de organización o persona a cargo que realice indicadores y pida
informes de gestión diarios
CONSECUENCIAS:
A falta de los pocos indicadores e informes de gestión, no se tienen en cuenta
que todos los días muchos usuarios llaman a reportan sus fallas y que son
importantes para mejorar la calidad de los servicios
RECOMENDACIONES:
DICTAMEN DE AUDITORIA
b. Dictamen:
d. Recomendaciones:
VIDEO
https://www.youtube.com/watch?v=5NKjGGkA2cY
CONCLUSIONES
La planificación en términos generales es un proceso mediante el cual se toma
decisiones sobre los objetivos y metas que se debe alcanzar en una determinada
actividad y en un determinado tiempo.
La planificación comienza por una evaluación de los problemas y/o resistencias
que se hayan podido encontrar en la toma de contacto con la Empresa a auditar.
La planificación estratégica, como un primer paso en la auditoría, es fundamental
para orientar coordinadamente todos los esfuerzos de auditoría, evitar
dispersiones de trabajo, trasmitir a todo el equipo de trabajo
Todos los procesos realizados en la auditoria son esenciales para un mejor
desarrollo y control de la empresa
Todas las empresas necesitan de una auditoria con el fin de identificar tanto
puntos a favor como puntos en contra los cuales ayudaran con el crecimiento
empresarial y organizacional del negocio.