AUDITORIA DE SISTEMAS

FASE 2 – EJECUCIÓN DE LA AUDITORIA

PRESENTADO POR

ANDRES HERNANDEZ

CÓDIGO: 1.077.970.122

PRESENTADO A

MARÍA CONCUELO RODRIGUEZ

GRUPO: 90168_65

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

MARZO DEL 2020

 INTRODUCCIÓN

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para

materializar uno de los conceptos más vitales y necesarios para cualquier organización

empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en

la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos

deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las

organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa.

Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de

decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento

de una empresa, existe la auditoria Informática. Este término de Auditoria se ha empleado

incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es

detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como

sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.

La auditoría es un examen, que no implica la preexistencia de fallas en la entidad auditada y que

persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

Para esta fase debemos identificar las vulnerabilidades, amenazas y riesgos informáticos a que se

ve expuesta la organización empresarial, para determinar las causas que originan los riesgos y

resolver los problemas mediante la definición y aplicación de controles. En este trabajo

manejamos el control interno, este es primordial para la protección y seguridad de la empresa

también con estos con estos controles logramos mantener de la mejor forma estados financieros o

la parte informática de la empresa este control busca siempre la mayor eficacia para la empresa,
el control interno informático es el que principalmente trabajamos en este trabajo haciendo uso

de software especializados para ello.

OBJETIVOS

OBJETIVO GENERAL

 El estudiante descubre las vulnerabilidades, amenazas y riesgos informáticos a que se

ve expuesta la organización empresarial, para determinar las causas que originan los

riesgos y resolver los problemas mediante la definición y aplicación de controles.

OBJETIVOS ESPECÍFICOS

 Identificar los conceptos de Auditoría Informática.

 Aplicar la metodología de la Auditoría.

 Aplicar la metodología de análisis y evaluación de riesgos informáticos.

 Realizar lista de herramientas de software propuesto y seleccionado, evidencias de la

aplicación de los mismos en el proceso de auditoría.

 Realizar cuadro de riesgos, causas que los originen y los controles definidos para cada

uno de ellos.
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de

chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para

cada proceso asignado.

 Proceso N° 1

 Dominio: DS11

 Procesos: Administración de Datos: El objetivo es asegurar que los datos permanezcan

completos, precisos y válidos durante su entrada, actualización, salida y

almacenamiento, a través de una combinación efectiva de controles generales y de

aplicación sobre las operaciones de TI.

 Objetivos de control.

 DS11.1 Requerimientos del Negocio para Administración de Datos

 DS11.2 Acuerdos de Almacenamiento y Conservación

 DS11.3 Sistema de Administración de Librerías de medios

 DS11.4 Eliminación

 DS11.5 Respaldo y Restauración

 DS11.6 Requerimientos de Seguridad para la Administración de Datos

1.1. Instrumentos de recolección para el proceso N° 1

1.2. Entrevista.

ENTIDAD AUTOS Y CAMIONES DE BOYACÁ S.A.S PAGINA

AUDITADA 1 DE 1
OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de la
AUDITORÍA empresa.
PROCESO Administración de Datos.
 AUDITADO
RESPONSABLE Andrés Hernández
MATERIAL DE SOPORTE COBIT
DOMINIO DS11 PROCESO Administración de Datos: El objetivo es
asegurar que los datos permanezcan
completos, precisos y válidos durante su
entrada, actualización, salida y
almacenamiento, a través de una
combinación efectiva de controles
generales y de aplicación sobre las
operaciones de TI.

ENTREVISTADO Augusto Martínez

CARGO Auxiliar de sistemas

1. ¿Realizan copias de seguridad en la empresa?

Si, se realizan copias de seguridad.

2. ¿Cada cuánto realizan copias de seguridad de la información de su computador?

Cada 2 meses.

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?

Si, se tiene 3 discos externos de 2TB cada uno y allí es guardado todo lo que se realizan

en las diferentes oficinas.

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la empresa?

La empresa se realiza Backup a toda la información que se hace en línea o física.

5. ¿Sabe sobre el manejo del almacenamiento en la nube?

Si, regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?

Si, la empresa nos ha hablado mucho de este tema por cuanto se tiene contacto con

muchas personas externas.

7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?

 Si, es sobre la Protección de Datos Personales.

8. ¿La empresa maneja base de datos para los diferentes aplicativos?

Si cuenta con aplicativos, pero son controlados por la sede principal que está en

Barranquilla.

9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?

No, es una base de datos privada.

10. ¿Para usted que son los datos personales?

Es toda la información personal que nos solicitan o que podemos solicitar

11. ¿Cómo protege usted sus datos personales?

Mediante claves y cambiándolas periódicamente

Augusto Martínez Andrés Hernández

__________________________ _________________________

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

FIRMA FIRMA

1.3. LISTA DE CHEQUEO.

LISTA CHEQUEO
DS11
DOMINIO PROCESO Administración de Datos
DS11.1 Requerimientos del Negocio para Administración de
OBJETIVO DE CONTROL
Datos
CONFORME
N.º ASPECTO EVALUADO OBSERVACIÓN
SI NO
1 ¿El manejo de la información la realiza X La información es
un tercero u proveedor? manejada por la empresa
 OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación
En algunos casos se utiliza
¿Cuentan con control del
2 X discos externos para lo
almacenamiento de la información?
Backup
OBJETIVO DE CONTROL DS11.3 Sistema de Administración de Librerías de medios
¿Dentro de las copias de seguridad se
No conozco, pero me
3 estructura algún tipo de control o X
supongo que debe tenerlo
seguimiento?
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe estar
¿Cuentan con versionamiento en las disponible en cualquier
4 X
copias de seguridad? momento y para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
¿Cuentan con un plan en caso de tener En la sede solo contamos
5 alguna perdida o daño sobre la X con lo que se guarda en el
información? Backup de quipos
DS11.6 Requerimientos de Seguridad para la Administración de
OBJETIVO DE CONTROL
Datos
¿Cuentan con políticas para la protección Si la empresa es muy clara
6 X
de datos? en ese sentido

2.2.3 CUESTIONARIO.

CUESTIONARIO CUANTITATIVO REF

ENTIDAD AUTOS Y CAMIONES DE BOYACÁ S.A.S PAGINA

AUDITADA 1 DE 1
PROCESO Administración de Datos
AUDITADO
RESPONSABLES Andrés Hernández
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO DS11 PROCESO Administración de Datos: El objetivo es
asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada,
actualización, salida y almacenamiento, a
través de una combinación efectiva de
controles generales y de aplicación sobre las
operaciones de TI
 OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la
Administración de Datos
N PREGUNTA SI NO NA REF
1 ¿La información de su equipo cuenta con copias 4
de seguridad?
2 ¿Almacena usted información en la nube? 3
3 ¿Realiza periódicamente copias de seguridad? 4 1
4 ¿Cuenta con un plan de trabajo para realizar las 2 2
copias de seguridad?
5 ¿Conoce sobre las políticas frente al plan de 4
seguridad de la información?
6 ¿Sabe sobre las políticas de bases de datos? 4
TOTAL 9 3
TOTAL, CUESTIONARIO 21
Porcentaje de riesgo parcial = (3 * 100) / 21 = 14,2 %
Porcentaje de riesgo total = 100 – 14,2 = 85,8 %
PORCENTAJE RIESGO 85,8 % (Riesgo Alto)

2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades,

amenazas y riesgos detectados con los instrumentos de recolección de información.

ETAPAS PRUEBAS

ETAPA DESCRIPCIÓN
RECOLECCIÓN DE
INFORMACIÓN Se pretende recolectar gran volumen de información oficial.
Para este caso fueron usadas:
EXAMINAR
 Querying System (sistema de consulta), y documentación DNS.
EQUIPAMIENTO
INFORMÁTICO
 Se emplea: TraceRoute (marca el trayecto de la red),
Transmisión de sector Sistema de Nombre de Dominio (brindan
información de los hosts existentes en el sector y de la dirección
IP).
 Rastreo de puertos. El mapeo ofrece información sobre que
puertos percibe un host. Todo puerto
abierto es muy vulnerable.
ANALIZAR LOS Se aplican herramientas de escaneo de puertos y fingerprinting para
EQUIPOS adquirir información acerca de la versión y sistema operativo que
están montados.
EXAMINAR LOS Aplicando estudio útil, ordenado, ejecutando ataques contra la
PROGRAMAS confirmación de la identidad de un individuo, permisos,
información, condición última de
los procedimientos y los usuarios.
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso

evaluado.

RIESGOS DETECTADOS
ÍTEM RIESGO DOMINIO PROCESOS OBJETIVOS DE CAUSAS
CONTROL
DETALLADOS
1 Error Monitoreo y Monitorear y Monitorear de manera Los errores
humano Evaluación evaluar el interna y de forma continua, humanos se
control interno estos se hacen a pueden producir
profundidad para evitar los por una
riesgos. distracción del
funcionario, una
mala
preparación del
mismo o un
descuido.
2 Robo Adquirir e Adquirir Garantizar la adquisición de Fallas internas
de archivos implementar recursos de TI hardware, software, en la parte de
o equipos infraestructura e seguridad y
instalaciones que satisfagan vigilancia de la
las necesidades de la empresa o
empresa posible robo por
parte del
personal de la
empresa

3 Fallas en Adquirir e Instalar y Realizar un plan de Las fallas

los sistemas implementar acreditar pruebas para la corrección muchas veces se
soluciones y de errores, con base en la producen por un
cambios evaluación de riesgos de error del mismo
fallas en el sistema sistema o en
algunos casos
por el manejo
que se les da a
éstos
4 Virus Entregar y Administrar Priorizaciones de Bases de datos
informático dar soporte los problemas emergencia, esto se realiza desactualizadas
lo más pronto posible para equipos sin
no perder información protección,
antivirus
desactualizados
5 Desastre Entregar y Administrar el Proporcionar un ambiente Fenómenos de
natural dar soporte ambiente físico que proteja al equipo la naturaleza
 físico y al personal de desastres
naturales

6 Incendio Entregar y Garantizar la Garantizar que las Descuido del

por corto dar soporte seguridad de características de los personal
los sistemas posibles incidentes de encargado de la
seguridad sean definidas y seguridad y el
comunicadas de forma manejo de las
clara, de manera que los instalaciones
problemas de seguridad
sean atendidos de forma
apropiada por medio del
proceso de administración
de problemas o incidentes

7 Accesos no Entregar y Administrar Monitorear los servicios del Información

autorizados dar soporte servicios proveedor apara asegurarse que llega a
de terceros que éste está cumpliendo a manos de
cabalidad con los personas
requerimientos inescrupulosas
que fácilmente
pueden afectar
la estabilidad de
la empresa
8 Poco Planear y Administrar Reclutamiento y retención En muchas
personal organizar recursos del personal, asegurarse de ocasiones el
para humanos de TI contratar personas que se personal que se
manejar los ciña a las políticas de la tiene no se
sistemas empresa y que garantice un ajusta a las
buen desempeño nuevas
necesidades de
la empresa
entonces se
necesitan
capacitar el
personal
existente
o conseguir
nuevo personal
9 Fallas del Adquirir e Adquirir y Desarrollar una estrategia y Las causas de
hardware implementar mantener la un plan de mantenimiento este pueden ser
infraestructura de la infraestructura y descaste de los
tecnológica garantizar que se controlan equipos, falta de
los cambios, de acuerdo con control más
 el procedimiento de continuo
administración de cambios requerimientos
de la organización. Incluir de
una revisión periódica actualizaciones.
contra las necesidades del
negocio, administración de
parches y estrategias de
actualización, riesgos,
evaluación de
vulnerabilidades y
requerimientos de
seguridad.
10 Filtración Monitorear Monitorear y Registrar la información La causa de esto
de la y evaluar evaluar el referente a todas las es un agente
información control interno excepciones de control y interno que pasa
garantizar que esto información a
conduzca al análisis de las personas
causas subyacentes y a la inescrupulosas,
toma de acciones o software
correctivas. La gerencia malicioso que
debería decidir cuáles se instalan en el
excepciones se deberían equipo y roban
comunicar al individuo información
responsable de la función y importante para
cuáles excepciones deberían la empresa.
ser escaladas. La gerencia
también es responsable de
informar a las partes
afectadas.

4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.

- Vulnerabilidades

1. No se realiza capacitaciones con regularidad.

2. No existe evidencia de las capacitaciones.

3. Los equipos no cuentan con copias de seguridad periódicas.

4. Falta cronograma para las actividades de capacitación.

 - Amenaza

1. No existen copias de seguridad periódicas.

2. No hay conocimientos de los periodos para realizar copias de seguridad.

3. No existe cronograma para la realización de las capacitaciones.

4. Se desconoce sobre las políticas sobre la protección y seguridad de la información.

5. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo

laboral.

- Riesgos

1. No hay copias de seguridad periódicas.

2. No tienen conocimientos de las herramientas tecnológicas que utilizan.

3. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.

4. Se presentan problemas por falta de conocimiento sobre las políticas.

5. No existe una política clara sobre la protección y seguridad de la información.

6. No cuentan con un plan para eventos de respaldo de la información.

7. Afectación de la integridad de los datos.

8. Afectación de la disponibilidad del respaldo de la información de los procesos.

9. Falta de personal debidamente autorizado para la realización de las actividades del

proceso.

5. Elaborar la matriz de riesgos de cada proceso evaluado.

6.
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias de
seguridad X X
periódicas
R2 Se presentan
problemas por
falta de X X
conocimiento
sobre las políticas.
R3 No existe una
política clara
sobre la
protección y X X
seguridad de la
información.
R4 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R5 Afectación de la
integridad de los X X
datos.
R6 Afectación de la
disponibilidad del
respaldo de la X X
información de
los procesos.
R7 Falta de personal
debidamente
autorizado para la
realización de las X X
actividades del
proceso.

5.1. Resultado Matriz de riesgos.

Alto R6 R1, R3, R6

61-100%
PROBABILIDAD

Medio R2, R7 R4, R5

31-60%
Bajo
0-30%
Leve Moderado Catastrófico

IMPACTO
7. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

RIESGO RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

DETECTADOS CONTROL

No existen contraseñas de Controlar el acceso a través del

1 acceso a los equipos CORRECTIVO servidor de directorio activo

Falta de conocimiento de los Dictar charlas y capacitación a

usuarios en el manejo de los usuarios acerca del uso
2 herramientas computacionales y correcto de la información y los
en el manejo de los sistemas medios seguros para su
informáticos existentes, no se trasmisión.
han realizado capacitaciones a PREVENTIVO
los usuarios para concientizarlos
sobre la seguridad de los datos.

Acceso no controlado a Internet, Controlar el acceso a internet o a

no se tienen grupos de acceso ni aquellas páginas no autorizadas
3 restricciones a sitios CORRECTIVO por la organización.
potencialmente peligrosos.

No existe directriz para el Establecer políticas de seguridad

4 adecuado manejo de CORRECTIVO y controles que permitan sustraer
dispositivos de almacenamiento. información a través de medios
magnéticos, solo a personal
autorizado.

CONCLUSIONES
 La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más

importante de una compañía, el cual es la información, como profesionales de sistemas,

debemos tener los conceptos claros de la unidad formativa, esto con el propósito de salva

guardar toda la infraestructura dentro de una compañía.

 La auditoría de sistemas nos permitirá generar correctivos, por medio planes de trabajo,

planes de acción proyectos, o demás implementaciones que enriquecerán la seguridad del

ecosistema en el cual se mueve la información.

 BIBLIOGRAFÍA

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp. 119-

181). Recuperado de: http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de seguridad

informática. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved from:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=41&docID=3176647&tm=1543338969122

 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara, México: Editorial

CECSA. (pp. 29-117)recuperado de: http://eprints.uanl.mx/6977/1/1020073604.PDF

 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de:

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

 Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado de:

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor

%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Quezada-Sarmiento, P. A. paquezada@utpl. edu. e., Alvarado-Camacho, P.-E.

pealvarado@utpl. edu. e., & Chango-Cañaveral, P. M. 2pmchango@utpl. edu. e. (n.d.).

Retrieved from: http://bibliotecavirtual.unad.edu.co/login?

url=http://search.ebscohost.com/login.aspx?

direct=true&db=aci&AN=127420924&lang=es&site=eds-live
 Solarte Solarte, F. ( 21,12,2016). Metodología de la auditoria con estándar CobIT. [Archivo

de video]. Recuperado de: https://youtu.be/WHBZCf5B-3Q

 Solarte Solarte, F. ( 07,01,2019). Metodología de Auditoría - Fases y Resultados. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23476

 INTECO. [Incibe]. (2010, 05, 21). Análisis y valoración de riesgos. Metodologías. [archivo

de video]. Recuperado de: https://youtu.be/g7EPuzN5Awg

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de http://hdl.handle.net/10596/10234