AUDITORIA DE SISTEMAS

FASE 2 – PLANEACIÓN DE LA AUDITORIA

Presentado por:

JENIFFER PAOLA CEDIEL BEJARANO

FERNANDO VARGAS LOPEZ

SEBASTIAN LASSO

GILBERTO VALDERRAMA

JHON ARLENSON ROJAS

Presentado a:

FRANCISCO NISCOLAS SOLARTE

GRUPO: 45

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

INGENIERIA DE SISTEMAS

MARZO - 2020
 INTRODUCCIÓN

El presente trabajo contiene el desarrollo de la fase 2 el cual

contiene varias temáticas entre ellas la identificación y los
objetivos de la auditoria a la empresa que se estudió.

Dentro de las etapas de las auditorias se encuentra la planeación

la cual es una fase fundamental en todo el proceso, gracias a una
buena planeación proyectaremos de una mejor forma las
actividades propuestas en la guía, de esta manera facilitando el
proceso y haciendo un desarrollo más certero.

En esta fase también se analizarán las vulnerabilidades, amenazas

y riesgos que se presentan en la empresa Galaxia
Comunicaciones, de esta manera se establecerá el plan y
programa de la auditoria de sistemas que se realizara en la
compañía tomando como referencia el estándar CobIT donde se
establecerán los dominios procesos y objetivos de control que se
aplicaran en la auditoria.
 OBJETIVOS

- Evaluar todos los activos informáticos de la empresa para poder

evidenciar los problemas que se están presentando.

- Obtener procesos por medio del estándar CobIT que ayuden a dar
soluciones a los problemas que se están presentando en la
empresa seleccionada.

- Buscar medios que ayuden a la solución de los problemas

presentados en la empresa para que así esta pueda cumplir con
sus objetivos.

- Utilizar las tecnologías de la información y la comunicación como

elemento para informarse, aprender y comunicarse.

- Buscar y seleccionar recursos disponibles en la red para

incorporarlos a producciones propias.

- Establecer estrategias y acciones de comunicación, que permita un

mejoramiento de las comunicaciones.
 INFORME DE CONSTRUCCIÓN GRUPAL

PROPUESTAS DE EMPRESA

 Claro Colombia 

Claro es una empresa operadora de televisión por suscripción y telefonía

móvil, filial de Claro en Colombia. Antes conocida el área de telefonía
móvil bajo el nombre Comcel, y la de televisión por cable e internet al
hogar como Telmex, en diciembre de 2011 tenía más de 30 millones de
líneas activas (de un total de 40,7 millones en el país). 

Hoy estamos escribiendo un gran momento para nuestras Compañías,

porque desde junio 26 de 2012 las marcas Telmex y Comcel se
consolidaron como una única marca llena de entretenimiento,
innovación, cobertura y servicio; nuestras operaciones serán
independientes y nos fortaleceremos como una mega marca, para así
siempre ofrecerle lo mejor a nuestros clientes. 

Con Claro nuestros clientes podrán obtener lo que más desean:

entretenimiento, diversión, mejores oportunidades de negocios, cercanía
con sus seres queridos y sentir más próxima la realización de sus
sueños; con Claro podremos brindarles a los clientes todas las
soluciones de tecnología, comunicación y la mejor experiencia de
servicio en un solo lugar.

 Galaxia comunicaciones
 DESCRIPCIÓN DE LA EMPRESA ELEGIDA

Galaxia comunicaciones

1. Estructura organizacional

Auxiliar del Atención al

Gerente
gerente público

2. Cargos y funciones

GERENTE:

 Administrar su empresa.
 Verificar que en la empresa se esté cumpliendo con lo establecido.
 Contratar el personal de trabajo.
 Asesorar y arreglar equipos móviles o de cómputo.

AUXILIAR DE GERENTE

 Ayudar en las tareas de la empresa.

 Llevar la contabilidad de los ingresos.
 Estar al pendiente de los proveedores y de los pagos de facturas.

ATENCION AL CLIENTE

 Atender a los clientes de la empresa.

 Prestar un buen servicio.
 Entregar resultados a la auxiliar de gerente.

3. Servicios del área informática.

 Asesoramiento.
 Servicio técnico.
 Mantenimiento preventivo.
 Servicio de recarga y minutos
 Venta, adaptación y mantenimiento de hardware.
 Internet.

4. Activos informáticos.

 Computadores para el uso de los clientes que necesiten acceso a

internet.
 Celulares para arreglo.
 Accesorios: Pantallas, micrófonos, baterías, etc.
 Red de internet.
 Uso de Drive o discos duros para el almacenamiento de
información.
 Licencias de software
 Red eléctrica.

5. Sistemas informáticos.

 Sistema de administración humana (Gerente)

 Sistema de administración financiera realizada en Excel (Auxiliar
de gerente)
 PLAN DE AUDITORIA

N° Vulnerabilidad Amenazas Riesgo Categoría

No existen planes
Falta de de contingencia o
procesos para la Desastres backups de la
Seguridad
1 administración naturales, información para
lógica
de la domésticos. recuperarla en
información. caso de perder la
información.
El personal no
cuenta con
conocimientos
básicos en
Falta de Errores o seguridad
conocimiento perdidas de informática, lo Talento
2
sobre seguridad información o que hace más fácil Humano
informática programas a los intrusos el
acceso a la red de
internet o acceso
a los
computadores
Solo existe una
UPS la cual se
utiliza para 4
computadores Hp,
Fallas en el Bajas en los
en caso de un
3 suministro de voltajes de Hardware
bajón de energía,
energía energía.
no alcanza a
soportar con la
conectividad de
todos los
4 No existe un Robos en las La empresa puede Seguridad
sistema de instalaciones sufrir robos y no fisica
vigilancia de la empresa se puede hacer
(Cámaras de una investigación
 a fondo por falta
cámaras de
seguridad que
seguridad)
registren los
hechos.

Falta de revisión Daño o perdidas

constante de Demoras en el en los programas
virus que están servicio de de los Seguridad
5
en los internet computadores y lógica
computadores. demoras en los
SO.
Modificación sin
Falta de control No existen autorización de
en los permisos perfiles los datos y Seguridad
6
y privilegios de definidos en el perdidas de lógica
los usuarios sistema información.

El cableado se
Daños al
El cableado no encuentra a la
momento de
cumple con las intemperie lo que
acceder a la
7 normas causa la caída de Redes
red de
correspondiente la red y demoras
internet.
s en la reconexión.

Objetivo general de la auditoria:

Evaluar el software, hardware, seguridad lógica, seguridad física, redes

y talento humano de la empresa galaxia comunicaciones ubicada en el
corregimiento de Guacacallo – Pitalito – Huila.

Objetivos específicos:

Objetivo 1: Proteger los activos útiles para el procesamiento de datos,

evitando robos, destrucción, usos no adecuados.

Objetivo 2: Saber cuál es la situación verdadera y precisa de la

empresa en el área de Sistemas.

Objetivo 3: Encontrar posibles fallas técnicas que se estén haciendo.

Objetivo 4: Analizar si la manera de trabajo de la empresa es eficiente.

Objetivo 5: Evaluar las herramientas y procesos que se usan para el

uso de la información.

Objetivo 6: Definir una estrategia adecuada que le permita a la

empresa tener un buen control y uso de su información.

Aspectos a evaluar según las categorías.

SEGURIDAD LÓGICA

- Acceso a datos o contenidos de la empresa.

- Libre uso de contenido de software empresarial.
- Permisos de administración sobre el software.

TALENTO HUMANO

- Contar con gente capacitada para el uso de software.

- Gente capaz de cumplir con los requerimientos.
- Personas capaces de manipular el hardware y software

SOFTWARE

- Facilidad de manejo para los empleados.

- Capacidad limitada de acceso de datos al público.
- Usuarios y contraseñas para empleados y libre acceso para
clientes.

REDES

- Contar con acceso a internet como de redes sociales para la

comunicación.
- Acceso a un número público para despejar dudas.
- Atención con servidor autónomo

SEGURIDAD FÍSICA
- Cámaras de seguridad.
- Gente especializada en seguridad empresarial.
 - Celadores.

Metodología del objetivo 1: Proteger los activos útiles para el

procesamiento de datos, evitando robos, destrucción, usos no
adecuados
- Asegurar físicamente los activos a disposición de los clientes de la
empresa para evitar robos y perdidas.
- Formular controles que permitan minimizar el riesgo generado por
el acceso a Internet y a redes públicas, el intercambio de medios
de
almacenamientos removibles, el intercambio de información etc.,
los cuales exponen los sistemas de la empresa a la propagación
interna y externa de software con código malicioso o nocivo.
- Contar con registros de los movimientos que se realizan dentro de
los sistemas, buscando evitar conductas inapropiadas y minimizar
riesgos de seguridad en el uso de estos sistemas.

Metodología del objetivo 2: Saber cuál es la situación verdadera y

precisa de la empresa en el área de Sistemas.
- Se deben evaluar los riesgos, fortalezas y debilidades de los
controles existentes basado en la evidencia recopilada.
- Realizar revisión y evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad.
- La realización de un informe de auditoría, donde se den a conocer
los riesgos y fallos de la empresa, para que estos puedan ser
corregidos.

Metodología del objetivo 3: Realizar análisis de los procedimientos

que se realizan en la empresa para encontrar fallas y poder evitarlas y
así que estas vulnerabilidades no se conviertan en riesgos.

- Solicitar información del hardware de redes y el inventario de

software instalado en cada equipo.

- Realizar mantenimientos preventivos constantes.

- Evaluar los procedimientos y formas en como se realizan los
mantenimientos.
Metodología del objetivo 4: Evaluar la forma en cómo se están
realizando las actividades y así poder cumplir con los objetivos de la
empresa.

- Realizar pruebas a los empleados de la empresa

- Supervisar la labor de los trabajadores de la empresa
- Realizar balances constantes de los resultados de la empresa

Metodología del objetivo 5: Evaluar las herramientas que se están

utilizando para el manejo de la información y así poder analizarlas para
saber si son las indicadas para este tipo de actividad.

- Solicitar bases de datos o el medio donde se almacena la

información.
- Obtener información sobre perdidas o robos de información.
- Realizar investigaciones para ver que las herramientas sean
oportunas para el almacenamiento de la información.

Metodología del objetivo 6: Analizar la empresa y definir estrategias

que ayuden a el uso adecuado de la información y que este ayude a que
la empresa mejore.
- Solicitar documentación de la administración de la empresa.
- Analizar el medio en cómo se está manejando y almacenando la
información.
- Crear medio que ayuden a corregir las fallas de la empresa

Recursos humanos:

Apellidos y Nombres Roles en la Auditoria

JENIFFER PAOLA CEDIEL Auditor Junior
FERNANDO VARGAS Auditor Junior
SEBASTIAN LASSO Líder Auditor
GILBERTO VALDERRAMA Auditor Junior
JHON ARLENSON ROJAS Auditor Junior

Recursos físicos: La auditoría se llevará a cabo en la empresa Galaxia

comunicaciones de la ciudad de Pitalito corregimiento de Guacacallo
específicamente en el área de las TICs.
Recursos tecnológicos: Se utilizará un celular para grabar lo problemas que se
están presentando en la empresa y guardar esos videos y fotografías como
evidencia. De igual forma un computador para guardar y procesar la información
que se tome de la empresa.
Recursos económicos:

Ítem Cantidad subtotal

Computador 1 1.200.000
Celular 1 350.000
Total 1.550.000

Planeacion Estrategica Cronograma

Propuesta Mes 1 Mes 2 Mes 3
Etapas Actividades 1 2 3 4 1 2 3 4 1 2 3 4
Establecer los Identificar y definir los principios,valores,
Principios comportamientos y compartirlos en la organizacion
corporativos
Establecer las Identificar lo que distingue o diferencia a la
acinoes de organización, cual es su negocio y lo que quieres
Mision y Vision ser.
Establecer los Estableser las rutas generales que conlleven a la
objrtivos vision relaconados con el desarrollo en mercadeo
estrategicos ,finanzas, srvicio al cliente, talento humano.
Realizar analisis Desarrollar una auditoria externa para determinar
externo, factores claves del éxito.
Realizar analisis Desarrolar una auditoria interna para identificar las
interno acciones basicas de la competencia y evaluar los
factores internos.
Hacer analisis Identificar con el grupo estrrategico las
DOFA y oportunidaes, amaenazas, fortalezas y devilidades
vulnerabilidad de mayor impacto con el fin de acercarse a la
formulacion de estrategias y de igual forma evaluar
el grado de la vulnerabilidad de la organización.
Formulacion de Definir los proyectos estrategicos y planes de accion
la estrategia que conlleven a la consecucion de los objetivos.
Diseñar un Diseñar un programa de control y seguimiento que
sistema de debe ejecutarse diciplinadamente para que se
seguimiento y convierta en cultura estrategica.
medicion de
gestion
 PROGRAMA DE AUDITORIA

Software. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

El objetivo es proporcionar funciones automatizadas que soporten
efectivamente la organización mediante declaraciones específicas sobre
requerimientos funcionales y operacionales y una implementación
estructurada con entregables claros.

AI2.1 Diseño de Alto Nivel

AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
AI2.5 Configuración e Implementación de Software Aplicativo Adquirido
AI2.6 Actualizaciones Importantes en Sistemas Existentes
AI2.7 Desarrollo de Software Aplicativo
AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administración de los Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo

Hardware. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA

TECNOLÓGICA
El objetivo es proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios mediante la realización de una evaluación del
desempeño del hardware y software, la provisión de mantenimiento
preventivo de hardware y la instalación, seguridad y control del software
del sistema.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
AI3.3 Mantenimiento de la infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
Seguridad de los sistemas. DS5 GARANTIZAR LA SEGURIDAD DE
LOS SISTEMAS
El objetivo es salvaguardar la información contra uso no autorizados,
divulgación, modificación, daño o pérdida, realizando controles de
acceso lógico que aseguren que el acceso a sistemas, datos y programas
está restringido a usuarios autorizados.

DS5.1 Administración de la Seguridad de TI

DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5.8 Administración de Llaves Criptográficas
DS5.9 Prevención, Detección y Corrección de Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos

Administración de datos. DS11 ADMINISTRACIÓN DE DATOS

El objetivo es asegurar que los datos permanezcan completos, precisos

y válidos durante su entrada, actualización, salida y almacenamiento, a
través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI.

DS11.1 Requerimientos del Negocio para Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación
DS11.3 Sistema de Administración de Librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad para la Administración de Datos
Seguridad física. DS12 ADMINISTRACIÓN DEL AMBIENTE FÍSICO

El objetivo es proporcionar un ambiente físico conveniente que proteja

al equipo y al personal de TI contra peligros naturales (fuego, polvo,
calores excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.

DS12.1 Selección y Diseño del Centro de Datos

DS12.2 Medidas de Seguridad Física
DS12.2 Medidas de Seguridad Física
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas

Objetivos de control
Nombre Auditor Proceso auditado CobIT
proceso elegido
AI3.1 Plan de
Adquisición de
Infraestructura
Tecnológica
AI3.2 Protección y
AI3. ADQUIRIR Y
Disponibilidad del
FERNANDO VARGAS MANTENER
Recurso de
LOPEZ INFRAESTRUCTURA
Infraestructura
TECNOLÓGICA
AI3.3 Mantenimiento
de la infraestructura
AI3.4 Ambiente de
Prueba de Factibilidad

JENIFFER PAOLA AI2 ADQUIRIR Y AI2.1 Diseño de Alto

CEDIEL MANTENER SOFTWARE Nivel
APLICATIVO AI2.2 Diseño
Detallado
AI2.3 Control y
Posibilidad de Auditar
las Aplicaciones
AI2.4 Seguridad y
Disponibilidad de las
Aplicaciones

AI2.5 Configuración
 e Implementación de
Software Aplicativo
Adquirido
AI2.6
Actualizaciones
Importantes en
Sistemas Existentes
AI2.7 Desarrollo de
Software Aplicativo
AI2.8 Aseguramiento
de la Calidad del
Software
AI2.9 Administración
de los
Requerimientos de
Aplicaciones
AI2.10
Mantenimiento de
Software Aplicativo

GILBERTO DS5 GARANTIZAR LA DS5.1

VALDERRAMA SEGURIDAD DE LOS Administración de la
SISTEMAS Seguridad de TI
DS5.2 Plan de
Seguridad de TI
DS5.3
Administración de
Identidad
DS5.4
Administración de
Cuentas del Usuario
DS5.5 Pruebas,
Vigilancia y Monitoreo
de la Seguridad
DS5.6 Definición de
Incidente de
Seguridad
DS5.7 Protección de
la Tecnología de
Seguridad
DS5.8
Administración de
Llaves Criptográficas
DS5.9 Prevención,
Detección y
Corrección de
Software Malicioso
DS5.10 Seguridad de
 la Red
DS5.11 Intercambio
de Datos Sensitivos

DS11.1
Requerimientos del
Negocio para
Administración de
Datos
DS11.2 Acuerdos de
Almacenamiento y
Conservación
DS11.3 Sistema de
DS11 ADMINISTRACIÓN
SEBASTIAN LASSO Administración de
DE DATOS
Librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y
Restauración
DS11.6
Requerimientos de
Seguridad para la
Administración de
Datos
DS12.1 Selección y
Diseño del Centro de
Datos
DS12.2 Medidas de
Seguridad Física
DS12.2 Medidas de
JHON ARLENSON DS12 ADMINISTRACIÓN Seguridad Física
ROJAS DEL AMBIENTE FÍSICO DS12.4 Protección
Contra Factores
Ambientales
DS12.5
Administración de
Instalaciones Físicas

Proceso CobIT Descripción Tipo prueba Nombre auditor

 prueba
Verificar si en la
empresa, la
estructura
tecnológica es la FERNANDO
AI3 Análisis
adecuada, que el VARGAS LOPEZ
cableado este
canalizado
correctamente
Realizar las
debidas
actualizaciones y
mantenimiento de
las aplicaciones
de la empresa,
JENIFFER
reemplazar o
AI2 Control PAOLA CEDIEL
cambiar los
BEJARANO
softwares que
sean necesarios
para mantener la
calidad y
seguridad del
mismo.
 CONCLUSIONES

Del anterior trabajo podemos concluir que la auditoria nos permite

identificar diferentes fallas que una empresa puede estar presentando,
que normalmente nosotros como gerentes no las podemos evidenciar,
pero que pueden estar afectando a la empresa y que pueden ser
barreras para poder cumplir con los objetivos de la empresa.
La actividad desarrollada nos enseñó cómo realizar organizar planes,
programas, presupuestos y los métodos de herramientas necesarias
para realizar una auditoría.

Se tomó como referencia el estándar CobIT 4.1 donde se establecieron

los dominios procesos y objetivos del control que se aplica en la auditora
de un sistema.
 REFERENCIAS BIBLIOGRÁFICAS

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123).

Recuperado
de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122                                    
Huesca, G. (2012). Introducción a la auditoría informática. Auditoria
informática. (pp. 4-35). Recuperado
de https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica                                

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de

sistemas una visión práctica. (pp. 9- 29).Recuperado
de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage
&q&f=false

Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos

informáticos y su clasificación. Recuperado
de http://hdl.handle.net/10596/10236