FASE 5 – RESULTADOS FINALES DE AUDITORÍA

AUDITORIA DE SISTEMAS

ELABORADO POR:
JEISON ALEXANDER AMADO SILVA
GRUPO: 90168_67

PRESETANDO A:
NILDA BECERRA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

2019
 INTRODUCCION

El presente trabajo tiene como finalidad entregar la última fase de la materia de Auditoria de
Sistemas; Exponer auditorias de distintas empresas con el fin de identificar el proceso y control
de auditoria unificando cada actividad entregada en las unidades anteriores. Para realizar el
proceso de una auditoria se tomó como base la empresa “Sistemas Comerciales SYSCOM” a la
cual se le realizara la auditoria a los procesos desarrollados por la misma teniendo en cuenta
que es una empresa de Servicios de Comunicaciones y en la cual se analizaran las
vulnerabilidades, amenazas y riesgos que se presentan en dicha empresa tomando como
referencia la estructura estándar CobIT, donde se establecerán los dominios, procesos y
objetivos de control que se aplicaran a la auditoria.
 OBJETIVOS

 Identificar todos los procesos que contiene una auditoria enfocada a las empresas del
sector público y privado
 Identificar los puntos fundamentales para estructurar los controles de la empresa
 Definir dominios procesos y objetivos de control
 Identificar y establecer los puntos clave de la empresa para la toma de decisiones
 Contribuir a la mejora continua de los procesos nuevos o ya establecidos
 FASE 5 – RESULTADOS FINALES DE AUDITORÍA

DESCRIPCIÓN DE LA EMPRESA ELEGIDA

SISTEMAS COMERCIALES SYSCOM S.A.

Estructura Organizacional

Cargos y funciones del área de informática

Director de sistemas: Planificación de los proyectos y organización de los recursos del

área.
Ingeniero de soporte de software: Instalación, parametrización y capacitación de software
y aplicativos ERP (Enterprise Resource Planning)
Ingeniero de soporte de infraestructura: Mantenimiento preventivo y correctivo en
hardware, administración de redes y servidores, formateo y reinstalación de equipos.

Servicios de área informática

- Mantenimiento preventivo y correctivo de hardware y software

- Capacitación a uso final en los aplicativos ERP (Enterprise Resource Planning)
- Administración general de infraestructura.
- Garantizar el debido respaldo de la información
- Diseño de proyectos de mejora en infraestructura y software

Activos Informáticos - Equipos de computo

- Servidores
- Dispositivos de red
- Data center
- Copias de seguridad automatizadas en la nube

Sistemas informáticos

- Zeus Front (Manejo operativo, es decir, recepción, reservas, auditoria nocturna, ama de
llaves, mantenimiento, banquetes y eventos)
- Zeus Back (Manejo administrativo, es decir, contabilidad, inventarios, nómina y activos
fijos)
 - PC-Tel (Control de llamadas telefónicas)
- Onity (Software de administración para cerraduras electrónicas de habitaciones)
- SQL Server 2016 (Motor de base de datos de Zeus)

OBJETIVOS Y ALCANCE DE LA AUDITORIA

OBJETIVO GENERAL

Evaluar y conceptuar sobre control de tecnología relacionada a los diversos procesos

operacionales, misionales de hospedería Duruelo, en base a lineamientos y orientaciones
establecidos en el estándar COBIT.

OBJETIVOS ESPECÍFICOS

1. Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten
contribuir al logro de los objetivos de la organización, además de la realización de la visión
estratégica, comunicada y administrada desde todas las perspectivas e implementación
de la estructura organizacional y tecnológica.

2. Evaluar la adquisición e implementación de las soluciones en materia de tecnología de

información, así como la integración en los procesos de la entidad, el cambio y el
mantenimiento de los sistemas existentes.

3. Evaluar la entrega de los servicios requeridos, la prestación del servicio, la administración

de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administración de los datos y de las instalaciones operativas.

4. Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento de los

requerimientos de control, así como también la administración del desempeño, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicación en la
organización.

5. El análisis de la eficiencia de los Sistemas Informáticos mediante prácticas y procesos de

revisión de la eficaz gestión de los recursos informáticos.
 METODOLOGÍA DE LA AUDITORÍA

Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos
planteados, esta se basará y orientará en el estándar COBIT, para la evaluación del
hardware de equipos de cómputo, red física, equipos de protección eléctrica, y seguridad
física.
Para el desarrollo de esta auditoria se hará una inspección física a todos los componentes
que motivan esta auditoria con el ánimo evaluar que la planeación y organización, la
adquisición e implementación, la entrega de los servicios requeridos, el monitoreo y
evaluación y demás acciones pertinentes, están en línea con los objetivos evaluadores de
la auditoria, así como también que estos estén en concordancia con los principios de
eficiencia y eficacia.
De acuerdo con lo anterior la auditoria estará conformada por las siguientes fases y
actividades correspondientes:

Fase de la
auditoria
Fa Nombre de la fase Actividad
se es
Solicitud informe de equipos de cómputo,
1 red física, equipos de protección eléctrica,
Planeación y
1 y seguridad física.
programaci 2 Análisis de la información suministrada
ón 3 Diseño del plan de Visitas
4 Mesa de trabajo
Visitas e inspección de las infraestructuras
5
de telecomunicaciones y eléctrica.
Evaluación de la planeación y organización
5 de las infraestructuras de
. telecomunicaciones
1 y eléctrica.
Ejecución de Evaluación la adquisición e implementación
2
la 5 de las infraestructuras de
auditoria . telecomunicaciones y eléctrica.
2
Evaluación la entrega de los servicios
5 requeridos de las infraestructuras de
. telecomunicaciones y eléctrica.
3
Evaluación el monitoreo y evaluación de las
5 infraestructuras de
. telecomunicaciones y eléctrica.
4
Análisis preliminar de la información
6
recolectada en el desarrollo de la
Informe y plan auditoria.
 3 de acción 7 Mesa de trabajo
8 Consolidación del informe de auditoria
Entrega y exposición del informe de
9
auditoría a la gerencia.

ROCESOS Y OBJETIVOS DE CONTROL

PROCESO Objetivo de control

PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo

PO9 Evaluar y PO9.3 Identificación de Eventos

1
Administrar los PO9.4 Evaluación de Riesgos de TI
Riesgos de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de
Riesgos

El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la

provisión de servicios de TI, mediante la participación de la propia organización en la
identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para
mitigar los riesgos.
 Para nuestro caso de elección se podrá sugerir por optimizar con una pared de
fuego física ya que en las características del sistema físico no la describe

AI1.1 Definición y Mantenimiento de los Requerimientos

Técnicos y Funcionales del Negocio
AI1 Identificar AI1.2 Reporte de Análisis de Riesgos
2 soluciones
automatizadas AI1.3 Estudio de Factibilidad y Formulación de Cursos de
Acción Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación

El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario,
mediante un análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios.

 Las redes siempre se encuentran vulnerables en la red de modo local, y el cifrado

de paquetes bajo MD5 ofrece un novedoso sistema de seguridad bajo un
algoritmo sin hardware, un oportuno servicio confiable a suscriptores.

DS9.1 Repositorio y Línea Base de Configuración

DS9 Administrar la DS9.2 Identificación y Mantenimiento de Elementos de
3
Configuración Configuración
DS9.3 Revisión de Integridad de la Configuración
 El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de
cambios realizando controles que identifiquen y registren todos los activos de TI así como
su localización física y un programa regular de verificación que confirme su existencia.
DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física
DS12 Administración
4 DS12.3 Acceso Físico
del Ambiente Físico
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas

 Como ya es conocido, las ultimas actualizaciones del sistema operativo Windows

10 generan perdida de inicio al sistema, es un buen momento para auditar lo
enterado que se encuentre el área y plan eventual.
El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de
TI contra peligros naturales.
 Aunque la estructura describe un alojamiento en tiempo real a la nube se debe
revisar la contingencia de alimentación eléctrica alterna, como protección al
hardware de importante inversión.

ME1.1 Enfoque del Monitoreo

ME1.2 Definición y Recolección de Datos de Monitoreo
ME1 Monitorear y
5 Evaluar el Desempeño ME1.3 Método de Monitoreo
de TI
ME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo y a Ejecutivos

El objetivo es asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la
implementación de sistemas de soporte, así como la atención regular a los reportes emitidos.
 La portabilidad de un sistema es un tema de evaluación, el cómo coexiste la
atracción, recuperación de fallos y adaptabilidad deben ser de conocimiento
gerencial.
 ROLES Y RESPONSABILIDADES DEL GRUPO AUDITOR

Proceso
Nombre
auditado Objetivos de control proceso elegido
Auditor
CobIT
PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9 Evaluar
CHRISTIA
y Administrar PO9.3 Identificación de Eventos
N
los Riesgos PO9.4 Evaluación de Riesgos de TI
BAUTISTA
de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y
Funcionales del Negocio
AI1 Identificar
JEISON soluciones AI1.2 Reporte de Análisis de Riesgos
AMADO automatizada AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción
s Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
DS9.1 Repositorio y Línea Base de Configuración
DS9
JOHN
Administrar la DS9.2 Identificación y Mantenimiento de Elementos de Configuración
CASTRO
Configuración
DS9.3 Revisión de Integridad de la Configuración

MESAS DE TRABAJO
Se efectuarán, las mesas de trabajo cada treinta (30) días y las que se requieran de acuerdo a
los resultados que se obtengan.

TIEMPO ESTIMADO
Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre el 07
de octubre al 07 de noviembre de 2019. De requerir ampliación de términos se solicitará su
diligencia oportunamente.

RECURSO HUMANO
El equipo auditor que desempeñara la auditoria está conformado por los siguientes
profesionales:

FUNCIONARIO R
OL
 Ejecutivo Superior
CHRISTIAN
BAUTISTA
NILDA BECERRA Auditor
JEISON AMADO Auditor
JOHN CASTRO Auditor

Se ha considerado que de requerir personal adicional será oportunamente gestionado.

PRESUPUESTO

ELEMENT COSTOS TOTALES

OS
Salario Ejecutivo Superior $ 2.943.450 $ 2.943.450
Salarios auditores: equipos auditores (dos auditores) $ 2.000.000 $ 4.000.000
Utilitarios (3 computadores portátiles) $ 1.000.000 $ 3.000.000
Videocámara $ 300.000 $ 300.000
Viáticos para visitas $ 100.000 $ 300.000
Viáticos para la realización de las mesas de trabajo $ 600.000 $ 1.200.000
(2 mesas de trabajo)
Viáticos para posibles gastos adicionales o por si $ 2.000.000 $ 2.000.000
se requiere más personal auditor ser contratado
con tiempo
TOTAL: $13.743.45
0

En la anterior tabla de presupuestos de consideró:

 El salario del Ejecutivo Superior y los auditores, corresponde a los honorarios que
reciben los auditores implicados en realizar el procedimiento teniendo en cuenta los
cargos y responsabilidades de cada auditor.
 Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones
y conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por
auditor porque cada uno tiene a su cargo distintos sectores de la empresa.
 Se considera de gran importancia tener una videocámara de buenas especificaciones
para apoyar las visitas.
 Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que
los implicados en el proceso no todos pertenecen a la región en la cual se encuentra
ubicada la entidad auditada.
 Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en
cuenta aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte
vital de que la auditoria este bien encaminada, y para esto se necesita un ambiente
cómodo en el cual los auditores tengan a su disposición lo que sea necesario.
 Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de un
auditor o simplemente por razones obvias de bastante carga laboral se requiere de
más personal capacitado.
 CRONOGRAMA DE ACTIVIDADES

PLAN DE
AUDITORÍA

Entidad: HOSPEDERÍA DURUELO

Octub Noviemb
N ACTIVIDAD re re
o
7 8 9 1 1 1 1 1 1 1 2 2 2 1 4 5 6 7
0 1 4 5 6 7 8 1 2 3
Solicitud informe de
equipos de
1 cómputo, red física,
equipos de
protección
eléctrica, y
seguridad física.
Análisis de la
2 informació
n
suministra
da
Diseño del plan
3
de Visitas
4 Mesa de trabajo
Visitas e inspección
de las
5 infraestructuras de
telecomunicaciones
y
eléctrica.
Evaluación de la
planeación y
5 organización de las
. infraestructuras de
1 telecomunicacione
sy
eléctrica.
Evaluación la
adquisición e
5 implementación de
. las infraestructuras
2 de
telecomunicacione
s y eléctrica.
Evaluación la
entrega de los
5 servicios
. requeridos de las
3 infraestructuras de
telecomunicaciones
y
eléctrica.
Evaluación
5 el
. monitoreo
4 y
evaluación de las
 infraestructuras de
telecomunicacione
sy
eléctrica.
Análisis preliminar
de la información
6 recolectada en el
desarrollo de
la auditoria.
7 Mesa de trabajo
Consolidación del
8
informe de
auditoria
Entrega y
9 exposición del
informe de
auditoría a
la
gerencia.
ENTIDAD AUDITADA: Sistemas comerciales SYSCOM
PROCESO AUDITADO: Departamento de Tecnología e información.
RESPONSABLES: Jeison Alexander Amado Silva

FORMATO DE FUENTES DE CONOCIMIENTO

RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
01

PAGINA
ENTIDAD AUDITADA Sistemas Comerciales SYSCOM
1 DE 1
PROCESO
Servicios ofrecidos por el departamento de IT
AUDITADO
RESPONSABLE Jeison Alexander Amado Silva

MATERIAL DE
COBIT
SOPORTE
DOMINIO DS (Soporte y Servicios)
PROCESO DS8: Asistir a los clientes de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Coordinador a cargo del Se refiere a la exactitud Prueba de Integración:
departamento de la documentación del Tener Acceso al código
usuario. Una manera de fuente del sistema.
lograrlo es utilizar la Cuando se descubre un
documentación para problema, el equipo de
determinar la integración intenta
representación de los encontrar la fuente del
casos anteriores de problema e identificar los
prueba del sistema, componentes que tiene
también debe ser tema de que ser depurados, esta
inspección comprobándola se ocupa de identificar
para saber si hay problemas en el sistema.
exactitud y claridad

Prueba de Entrega: Se
ocupa de validar que el
sistema satisface los
requerimientos y asegura
que el sistema es
confiable para el usuario,
 es decir son prueba de
caja negra en las que el
equipo de prueba se
ocupa simplemente de
demostrar si el sistema
funciona o no
correctamente

AUDITOR RESPONSABLE:
Jeison Alexander Amado Silva

LISTAS DE CHEQUEO

LISTA CHEQUEO
DS8 Asistir a los clientes
DOMINIO Soporte y Servicios (DS) PROCESO
de TI
DS8.1 Detección de Problemas en el Sistema
OBJETIVO DE CONTROL
CONFORM
Nº ASPECTO EVALUADO E OBSERVACIÓN
SI NO
¿Cuenta con un sistema que permita
1 la detección de problemas en tiempo x
real?
OBJETIVO DE CONTROL DS8.2 Soporte a Usuarios
¿Existe un grupo capacitado para dar
soporte de manera inmediata y eficaz
2 x
a los usuarios en caso de presentar
problemas en el sistema?
OBJETIVO DE CONTROL DS8.3 Identificación de eventos:
¿Se realiza actualización de los
3 diferentes tipos de riesgos que x
pueden afectar el sistema?
OBJETIVO DE CONTROL DS8.4 Evaluación de los riesgos de TI:
¿Se utilizan métodos cualitativos o
cuantitativos para medir la
4 x
probabilidad e impacto de los riesgos
que pueden afectar a los usuarios?
OBJETIVO DE CONTROL DS8.5 Respuesta a los riesgos:
¿Existe un plan de acción para
5 x
mitigar los riesgos del sistema de
 forma segura y sin generar pérdidas
para el usuario?
DS8.6 Mantenimiento y monitoreo de un plan de acción de
OBJETIVO DE CONTROL
riesgos:
¿Se monitorea el plan de acción en
6 contra de los riesgos que puede x
presentar el sistema?

Instrumento 3: FORMATO ENTREVISTA

Formato de entrevista

ENTIDAD Sistemas Comerciales SYSCOM PAGINA

AUDITADA 1 DE 1
OBJETIVO Conocer los problemas relacionados con el servicio de tecnología
AUDITORÍA que presta a los usuarios
PROCESO DS8 Asistir a los clientes de TI
AUDITADO
RESPONSABLE Jeison Alexander Amado Silva
MATERIAL DE SOPORTE COBIT
DOMINIO Servicios y Soporte PROCESO DS8 Asistir a los clientes de TI

ENTREVISTADO Miguel Pulido

CARGO Auxiliar de contabilidad

Tema 1: Calidad de los Servicios

1. ¿Cuáles es su cargo en la compañía? ¿Tiene herramienta suficiente para cumplir con

esas funciones?
Mi cargo en la compañía es de auxiliar contable, para cumplir mis funciones se debe
tener conexión a internet, acceso por red al servidor, tener instalado el paquete de
office y el equipo que tengo asignado en el momento es lo suficiente potente para usar
estas herramientas.

2. ¿Ha tenido inconvenientes con su herramienta de trabajo?

Si, en ocasiones se cae la conexión a la red y solo sucede en mi equipo. Otra
situación que se presento fue la presencia de virus en mi equipo y se encripto el
archivo pst del buzón correos.

3. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?

Debo reportar al encargado del área de IT y el área de IT atiende la solicitud.
4. ¿Es eficiente el soporte que le dan para solucionar el problema reportado?
En ocasiones es muy demorado para dar soluciones por falta de conocimientos y
herramientas.
5. ¿Al momento de reportar la novedad, la atención que le prestan es?
Inmediata _______ De 1 a 2 Horas __X__ Más de 5 Horas _____
1 o 2 días _____

6. ¿Cuántos mantenimientos le ha realizado a su equipo?

Llevo trabajando en SYSCOM 2 años y le han realizado uno.

7. Para usted ¿que debe mejorar el área de sistemas?

Los tiempos de respuesta.

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

FIRMA FIRMA
 INSTRUMENTO 4: FORMATO CUESTIONARIO

Formato de Cuestionario
Sistemas comerciales SYSCOM
Cuestionario de Control: C1
Dominio Servicios y Soporte
Proceso DS8: Asistir a los Clientes TI

Pregunta Si No OBSERVACIONE
S
¿Se cuenta con un sistema para crear las incidencias X
de los usuarios? (Helpdesk)
¿Se cuenta con personal capacitado para dar soporte y X
soluciones a las fallas presentadas en los servicios de
los usuarios?
¿Se cuenta un formato registrar fallas? X
Usuario
Servicio
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas? X
¿Se maneja un sistema de copias de seguridad óptimo X
de la información de los usuarios?
¿Al momento de presentar una falla en el equipo, la X
atención que se presta es? Inmediata
¿Se cuenta con procedimiento de mantenimiento X
periódico para todos los equipos?
¿Se brinda asesoría vía telefónica a usuarios X
externos?
¿Los equipos como lo son Módems y switches cuentan X
con la tecnología soportada para brindar un buen
servicio?
TOTALES 5 4
 ANÁLISIS DE RIESGOS

IDENTIFICACIÓN DE LAS VULNERABILIDADES

Para realizar una correcta identificación de vulnerabilidades es necesario conocer la lista

de amenazas comunes, la lista de inventario de activos y el listado de controles
existentes.
Se pueden identificar vulnerabilidades en las siguientes áreas:
 Procesos y procedimientos.
 Ambiente físico
 Configuración del sistema de información.
 Hardware, software y equipos de comunicaciones.
 Dependencia de partes externas.

VULNERABILIDADES
ITE TIPO DE UBICACIÓN
VULNERABILIDADES RIESGOS
M VULNERABILIDAD AMENAZA
El riesgo se basa en que
no tienen un sistema
Ausencia de licencias Vulnerabilidad
1 Software informático que haga
de antivirus o firewall Sofware
bloqueos para spam,
ramsonwer, troyanos, etc.
El riesgo es la falta de
Ausencia de equipos Vulnerabilidad Parque equipos backup para dar
2
de contingencia. Hardware computacional continuidad del negocio
en caso de desastre.
Debido a que el
encargado debe
responder con funciones
Agilidad en la
Vulnerabilidad Recurso adicionales a las del área
4 ejecución de los
Recurso Humano Humano se presenta demora en
trámites
los tiempos de respuesta
para dar solución a un
incidente.

Falta de fuentes de Vulnerabilidad
5
energía respaldada Hardware
La infraestructura del
Parque edifico no cuenta con
computacional UPS que soporte las
oficinas de la propiedad
horizontal, por tal motivo
 deben adquirir UPS por
cada equipo para evitar
pérdidas de información.

ANÁLISIS Y EVALUACIÓN DE RIESGOS

CARACTERISTIC CRITERIO DE
A EVALUACIÓN RIESGO TRATAMIENTO
*Llevar una bitácora de copias
Llevar procedimiento de seguridad de cada
*Perdida de
en donde se detalle proceso. *Realizar auditoria
DS9.1 Sistema de información
que copias de por parte de un jefe para
respaldos de cada *Reprocesos.
seguridad se deben validar que las copias se
proceso de la *Mayor inversión
generar en cada estén generando
empresa de tiempo y
proceso de la correctamente. *Tener
dinero.
empresa. documentado cada proceso y
su respectivo respaldo.
*Inventario de equipos.
*Seguridad de la
documentación de sistemas.
Procedimientos de
DS9.2 *Carencia en *Señalización en puertos de
mantenimiento
Programación de identificación de redes y demás equipos de
preventivos
mantenimiento equipos. *Daños red. *Restricciones en los
programados de
preventivos en hardware. cambios a los paquetes de
manera periódica.
software *Control y
identificación de
vulnerabilidades técnicas.
*Sanciones por
Revisión periódica de
uso de software *Revisar de manera periódica
DS9.3 Revisión de la integridad de los
no licenciado. la funcionalidad de las copias
la funcionalidad de datos de backup.
*Perdida completa de seguridad *Al realizar los
los backups y *Control de software
de informa por mantenimientos preventivos
software licenciado licenciado y software
fallas en los revisar el software licenciado.
no autorizado.
backups.

MATRIZ DE RIESGOS
 PROBABILIDAD IMPACTO
No DESCRIPCIÓN MEDI MODERAD
BAJA ALTA LEVE CATASTRÓFICO
A O

R1 Perdida de información.   X      X

R2 Inventario de activos fijos. X     X    

Programación y ejecución
R3 de mantenimiento    X   X  
preventivo.

Carencia en identificación
R4 X       X  
de equipos.

R5 Caídas de internet.     X     X
Error de conexión de red
R6  X     X  
interna.
Sanciones por uso de
R7    X   X  
software no licenciado.

Insuficiente conocimiento
R8  X   X    
en soporte de servidores

Demora en contratación
R9 de encargado de  X     X  
sistemas.

Alto R5
61-100%
PROBABILIDAD

Medio R3, R7 R1
31-60%
Bajo R2, R8 R4, R6,
0-30% R9
Leve Moderado Catastrófico

IMPACTO

FORMATOS DE HALLAZGOS Y DEFINICIÓN DE CONTROLES

ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 Sistema de copias de seguridad Controlarlo
R2 Tratamiento de incidencias o mesas de Controlarlo
servicio
R3 Pocos indicadores e informes de gestión Aceptarlo

REF
HALLAZGO No 1

PROCESO PÁGINA
Departamento TI
AUDITADO 1 DE 1

RESPONSABLE Jeison Alexander Amado Silva

MATERIAL DE
COBIT
SOPORTE
Sistema de
respaldos de cada
DOMINIO DS8 PROCESO
proceso de la
empresa

DESCRIPCIÓN HALLAZGO:
Sistema de copias de seguridad

CAUSAS:
 Falta de recursos para diseñar un sistema de respaldos y almacenamiento
 Poca capacitación al personal que maneja esta tarea
 Falta de conocimiento en estrategias de respaldos

CONSECUENCIAS:
 Aumenta el riesgo de pérdida de información.
 En caso de pérdida obliga a tener reprocesos.
 Inversión imprevista de tiempo y dinero.

VALORACIÓN DEL RIESGO:

Probabilidad de ocurrencia: 70%
Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:

Diseñar una estrategia de copias de seguridad automática ya sea con estructura

completa o incremental con el fin de reciclar el espacio de los discos duros donde se
almacén las copias adicionales implementar copias en la nube, discos duros externos
y demás medios.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01

REF
HALLAZGO No 2
PROCESO PÁGINA
Servicios y Soporte
AUDITADO 1 DE 1

RESPONSABLE Jeison Alexander Amado Silva

MATERIAL DE
COBIT
SOPORTE
Administrar la
DOMINIO DS8 PROCESO Mesa Servicio y
los incidentes

DESCRIPCIÓN HALLAZGO:
Tratamiento de incidencias o mesas de servicio

CAUSAS:
 Se considera innecesario además que esto genera un costo más para la
empresa
 Poca capacitación al personal que maneja esta área
 Falta de recursos para adaptar la infraestructura necesaria

CONSECUENCIAS:
 Aumenta el riesgo de recuperar la funcionalidad del servicio y de minimizar el
impacto que genera al usuario
 Disminuye la calidad del servicio y la disponibilidad de este
 Se tiende a repetir los errores ya conocidos, generando pérdida de tiempo

VALORACIÓN DEL RIESGO:

Probabilidad de ocurrencia: 70%
Impacto según relevancia del proceso: Catastrófico

RECOMENDACIONES:

Conformar un grupo determinado de funcionarios los cuales sea capacitados para

responder a este tipo de situaciones de manera eficaz y que favorezca a la empresa y
al usuario

Elaborar e implementar procedimientos relacionados con Gestión de Incidentes para

dar respuesta correcta a las fallas reportadas por los usuarios

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01

REF
HALLAZGO No 3

PROCESO Servicios y Soporte PÁGINA

AUDITADO 1 DE 1
RESPONSABLE Jeison Alexander Amado Silva
MATERIAL DE
COBIT
SOPORTE
Administrar la
DOMINIO DS8 PROCESO Mesa Servicio y
los incidentes

DESCRIPCIÓN HALLAZGO:
Pocos indicadores e informes de gestión

CAUSAS:
 Falta de organización o persona a cargo que realice indicadores y pida
informes de gestión diarios

CONSECUENCIAS:
 A falta de los pocos indicadores e informes de gestión, no se tienen en cuenta
que todos los días muchos usuarios llaman a reportan sus fallas y que son
importantes para mejorar la calidad de los servicios

VALORACIÓN DEL RIESGO:

Probabilidad de ocurrencia: 60%
Impacto según relevancia del proceso: Catastrófico

RECOMENDACIONES:

 Crear un formato en el que todos los encargados de recibir el reporte de las

fallas presentadas en los servicios, al final del día puedan dar un informe
concreto y preciso sobre dichas fallas y las más comunes, de esta manera se
puede dar solución más eficaz.

EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01

RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
No existe una CORRECTIVO Conformar un grupo determinado de
correcta Gestión funcionarios los cuales sea capacitados para
de Incidentes responder a este tipo de situaciones de manera
 eficaz y que favorezca a la empresa y al usuario

Elaborar e implementar procedimientos

Pocos indicadores CORRECTIVO
e informes de
gestión
Sistema de copias CORRECTIVO
de seguridad
relacionados con Gestión de Incidentes para dar
respuesta correcta a las fallas reportadas por los
usuarios
Crear un formato en el que todos los encargados
de recibir el reporte de las fallas presentadas en
los servicios, al final del día puedan dar un
informe concreto y preciso sobre dichas fallas y
las más comunes, de esta manera se puede dar
solución más eficaz.
Diseñar una estrategia de copias de seguridad
automática ya sea con estructura completa o
incremental con el fin de reciclar el espacio de
los discos duros donde se almacén las copias
adicionales implementar copias en la nube,
discos duros externos y demás medios.

DICTAMEN DE AUDITORIA

PROCESO COBIT: DS8- PROCESO DE TI

a. Objetivo de la Auditoria: Analizar y corregir la organización y posibles fallas que
se estén cometiendo en la mesa de servicio, la cual debe estar bien diseñada para
dar respuesta oportuna y efectiva a los usuarios de TI

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto se reconoce la necesidad

de organizar el departamento de TI mejorando el proceso de copias de seguridad,
estandarizando documento y proceso de solicitudes

c. Hallazgos que soportan el Dictamen:

 No existe una correcta Gestión de Incidentes

 Se presentan usuarios y clientes inconformes debido a la lenta o mala gestión de
sus incidentes
 Pérdida de información relacionada con las causas y efectos de los incidentes
para futuras restructuraciones
 Pocos indicadores e informes de gestión

d. Recomendaciones:

 Conformar un grupo determinado de funcionarios los cuales sea capacitados para

responder a este tipo de situaciones de manera eficaz y que favorezca a la
empresa y al usuario
 Elaborar e implementar procedimientos relacionados con Gestión de Incidentes
para dar respuesta correcta a las fallas reportadas por los usuarios
 Adaptar un sistema de monitoreo automático que permita avisar de un fallo en los
sistemas gestionados, y programar una acción en caso de encontrar algunas
incidencias
 Crear unos protocolos y lineamientos necesarios para las fallas comunes entre los
usuarios, que permitan al personal dar repuesta y solución
 Crear un formato en el que todos los encargados de recibir el reporte de las fallas
presentadas en los servicios, al final del día puedan dar un informe concreto y
preciso sobre dichas fallas y las más comunes, de esta manera se puede dar
solución más eficaz.

VIDEO

https://www.youtube.com/watch?v=5NKjGGkA2cY
CONCLUSIONES
 La planificación en términos generales es un proceso mediante el cual se toma
decisiones sobre los objetivos y metas que se debe alcanzar en una determinada
actividad y en un determinado tiempo.
 La planificación comienza por una evaluación de los problemas y/o resistencias
que se hayan podido encontrar en la toma de contacto con la Empresa a auditar.
 La planificación estratégica, como un primer paso en la auditoría, es fundamental
para orientar coordinadamente todos los esfuerzos de auditoría, evitar
dispersiones de trabajo, trasmitir a todo el equipo de trabajo
 Todos los procesos realizados en la auditoria son esenciales para un mejor
desarrollo y control de la empresa
 Todas las empresas necesitan de una auditoria con el fin de identificar tanto
puntos a favor como puntos en contra los cuales ayudaran con el crecimiento
empresarial y organizacional del negocio.