Trabajo Colaborativo - Fase 4 - Resultados de La Auditoría - Grupo - 90168 - 62 PDF

AUDITORIA DE SISTEMAS
OMAR CAMILO SANTIAGO GARCÍA.

LIGIA PILAR DAZA RODRIGUEZ
MILLER STIWEL CASTELLANO PRADA
GRUPO 90168_62
GUÍA DE ACTIVIDADES Y RÚBRICA DE EVALUACIÓN

FASE 4 – RESULTADOS DE LA AUDITORIA
ECBTI – INGENERIA DE SISTEMAS

ZONA AMAZONIA ORINOQUÍA - UNAD CEAD
NOVIEMBRE 2019
INTRODUCCIÓN
A continuación, analizamos el desarrollo de la actividad de la fase cuatro (4), de auditoria
de sistemas en este caso los resultados.
¿Qué es un resultado de auditoria? Es un informe que tiene el objetivo de expresar el
resultado de la auditoria que tenemos en responsabilidad, en este caso A16 – Administrar
cambios en el COBIT, el cual tiene el contenido del dictamen, la evaluación del control interno
por medio de hallazgos teniendo en cuenta el cuadro de tratamiento de riesgos y otros aspectos
relacionados con las recomendaciones y controles propuestos.
Todo el desarrollo de esta actividad se ejecuta por medio de las siguientes técnicas de la
unidad tres (3), las cuales son: Control interno informático, medición del nivel de madurez y
metodología de auditoria
Objetivos.
• Detectar vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesto la
organización.
• Implementar el enfoque final de la auditoría realizada en la empresa que se encuentra
trabajando (ALKOSTO).
• Ejecutar un informe completo de auditoria dependiendo del proceso seleccionado.
• Como estudiantes descubrimos las vulnerabilidades, amenazas y riesgos informáticos a
que se ve expuesta la organización empresarial
• Determinamos las causas que originan los riesgos y buscamos las recomendaciones
necesarias para resolver los problemas mediante los hallazgos y las aplicaciones de
controles
• Aprendemos a organizar un informe completo de auditoria dependiendo de cada proceso
seleccionado
• Lograr realizar el enfoque final de la auditoría realizada en la empresa que se encuentra
trabajando.
• Elaborar un dictamen y un informe de auditoría de sistemas.
• Validar y aprender las técnicas del proceso del cobit en los sistemas de información.
Actividad para desarrollar.
Teniendo en cuenta el cuadro de tratamiento de riesgos de cada proceso evaluado, cada estudiante
deberá:
1) Elaborar el formato de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo
o ejercer control.
Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica

Implementaciones tecnologías de la empresa Alkosto
Hallazgos de la Auditoria No. 1
Dominio Adquirir e implementar
Proceso AI3 Adquirir y Mantener infraestructura tecnológica
Pérdida o robo de información de archivos, datos,
Objetivo de control
multimedia y documentos privados
Riesgos Asociados R1
Descripción
El robo de información de una empresa desde información personal, confidencial y hasta
secretos industriales tiene graves consecuencias tanto legales como de reputación, que
pudieran traer consigo diversas sanciones económicas, la responsabilidad penal para la
empresa y la quiebra de la empresa.
Recomendaciones
• Utilice un firewall. Este servidor le permitirá proteger sus equipos contra amenazas que
puedan poner en riesgo su información, bloquear los equipos, o incluso robar sus
contraseñas o datos sensibles.
• Actualice constantemente sistemas operativos, aplicaciones y software (incluido el

antivirus). La mayoría de los incidentes de seguridad tiene como origen una falta de
actualización o parche de seguridad que sirve como agujero de entrada al ciberdelincuente.
• Realice copias periódicas de seguridad de la información. Este proceso debe ser constante
y acompañado de una definición concreta de los procedimientos de restauración de la
información en caso de ataque.
• Establezca políticas de seguridad. Es preciso que les enseñe a sus empleados a hacer un
buen uso de los recursos tecnológicos y a reconocer posibles correos corporativos falsos,
al igual que otras amenazas.
Causa
El gerente de seguridad informática y su equipo técnico no hacen las prevenciones y
estrategias necesarias para evitar amenazas de la delincuencia cibernética que pone en
peligro los datos de la empresa.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados en posible, y en cuanto al impacto
es un desastre.

Objetivo de control Inadecuada capacidad de almacenamiento
Descripción
En la empresa, cada día que vaya pasando, los datos irán creciendo ya que la información se
presenta de muchas maneras, desde documentos de textos, bases de datos de clientes,
mensajes de correo electrónico, fotos, presentaciones, archivos de sonido, archivos de video
que pueden ser enormes, etc. Por eso es necesario tener alternativas de almacenamientos para
que los equipos de cómputo no formen problemas de lentitud, atascos o errores para guardar
un dato.
Recomendaciones
• Disco duro externo: Estas unidades suelen ser usadas por las pequeñas empresas para
almacenar datos adicionales de vez en cuando.
• Unidades Flash: Se utilizan comúnmente como dispositivos de almacenamiento portátil.

Estos dispositivos no deben ser considerados unidades de almacenamiento para respaldo,
sencillamente su mayor uso es para copiar archivos que luego podrás acceder en otro
dispositivo dentro o fuera de la empresa.
• Soluciones en línea: Otra opción es utilizar un servicio de almacenamiento en línea, con

esta modalidad los datos se almacenan en un servidor remoto. Por lo general estos
servicios cifran los datos para así garantizar la seguridad durante el transporte y
almacenamiento. Inclusive algunos servicios ofrecen la posibilidad de usar este tipo de
almacenamiento para copias de seguridad.
• Servidores de almacenamiento: una tecnología de almacenamiento dedicada a compartir la

capacidad de almacenamiento de un computador/ordenador con computadoras personales
o servidores clientes a través de una red, haciendo uso de un sistema operativo optimizado
para dar acceso a ciertos protocolos informáticos.
Causa
El gerente principal no permite que el gerente de tecnologías de información y su equipo
técnico, elabore un sistema avanzado, con tecnologías mejoradas para el almacenamiento
necesario para toda la empresa.
Nivel de riesgo
es moderado.

Fallas en las redes de internet, con tráfico pesado o
Objetivo de control
lentitud
Descripción
A menudo los problemas de conectividad provienen de componentes dañados, a causa de un
clima adverso o por simples errores de configuración. Una vez que su red esté conectada a
Internet o abierta al público en general, aparecerán una gran cantidad de amenazas
provenientes de los mismos usuarios, lo que genera problemas con la velocidad y en
ocasiones la caída de sus sistemas. Estos problemas están vinculados con el mal
funcionamiento de sus redes internas provocadas por una mala instalación.
Recomendaciones
• Verificar la conexión: Que el cableado esté en buenas condiciones, que transmita sin
problemas y hacer pruebas en la continuidad de atenuación y la impedancia.
• Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos
que puedan afectar al rendimiento.
• Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o
los routers funcionen correctamente.
• Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones
de trabajo.
• Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para
ello herramientas como “Network inspector”.
• Observar si en la red hay servicios o protocolos innecesarios que puedan estar
generando tráfico en la red y por lo tanto colapsando las comunicaciones.
• Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas
compartidas funcionan correctamente y que todos tienen acceso a ellos.
Causa
El jefe de tecnologías de información y su equipo no hacen el mantenimiento necesario en
los equipos físicos que proveen el internet y además no hicieron una configuración correcta
de la red para su funcionamiento.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados en casi certero, y en cuanto al
impacto es un desastre.

Mal funcionamiento de programas y aplicaciones,
Objetivo de control
poniendo en atraso las actividades laborales
Descripción
Los programas son conjuntos de instrucciones que le dicen al computador qué debe hacer, le
da al computador las instrucciones para que realice tareas específicas. Sin los programas, el
computador es una máquina inútil. Por esa razón, las empresas deben controlar que los
programas de los equipos de cómputo funcionen de manera correcta o todas las actividades
laborales obtendrían consecuencias graves, como impuntualidad o procesos en mal estado.
Recomendaciones
• Libere memoria RAM cerrando otros programas abiertos.
• Reinicie el software.
• Apague y reinicie su computadora.
• Desinstale el software y vuelva a instalarlo.
• Escanee para detectar virus o programas malignos.
• Revise posibles conflictos con el firewall.
• Desfragmente su disco duro.
• Actualice los programas y aplicaciones.
Causa
El jefe de tecnologías de información y su equipo técnico no hacen el proceso de
mantenimiento preventivo para el software de los equipos provocando consecuencias para los
procesos que necesiten los empleados de la empresa, incluso sus usuarios.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es posible, y en cuanto al impacto
es un desastre.

Fallas en el sistema eléctrico creando consecuencias
Objetivo de control apagones o voltajes bajos, formando daños en los
implementos físicos
Descripción
Inicialmente algunos sistemas eléctricos de potencia de complejos industriales o sea para
empresas fueron diseñados para operar de manera aislada. Sin embargo, con el incremento en
la demanda de carga, y la necesidad de asegurar la continuidad de sus operaciones, se
interconectaron con la red pública, eso genero ventajas, pero al mismo tiempo
consecuencias, por ejemplo, efectos que han contribuido a la presencia de fallas y por
consiguiente a la reducción de la vida útil de los equipos instalados.
Recomendaciones
El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones
rutinarias, pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o
suprimir problemas en los equipos eléctricos. La intención de realizar un programa de
mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de
accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un
mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el peligro de
muertes; además, minimiza costosos parones no programados y tiempos caídos de las
actividades laborales.
Causa
El jefe de tecnologías de información y su equipo técnico en electricidad no generan el
mantenimiento profesional y correcto a los implementos físicos de los equipos de cómputo.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es improbable, y en cuanto al
Objetivo de control Virus o programas maliciosos
Descripción
El software malicioso, también conocido como programas maliciosos contiene virus,
spyware y otros programas indeseados que se instalan en su computadora, teléfono o aparato
móvil sin su consentimiento. Estos programas pueden colapsar el funcionamiento de su
aparato y se pueden utilizar para monitorear y controlar su actividad en internet. Además,
con estos programas su computadora puede quedar expuesta al ataque de virus y enviar
anuncios indeseados o inapropiados. Los delincuentes usan programas maliciosos para robar
información personal, enviar spam y cometer fraude.
Recomendaciones
• Instale un programa de seguridad y manténgalo actualizado, y también use un
firewall. Configure su software de seguridad, el navegador de internet y el sistema
operativo para que se actualicen automáticamente.
• No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene
las funciones de seguridad predeterminadas de su navegador puede minimizar las
descargas “drive-by” o empaquetadas.
• Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores
tienen incorporada una función de escaneo de seguridad que le mostrará un mensaje de
advertencia antes de visitar una página web infectada o de descargar un archivo
malicioso.
• En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio
web confiable en la barra de su navegador. Los delincuentes envían emails que parecen
enviados por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos,
pero al hacer clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a
un sitio web fraudulento.
• No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué
se trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen
enviados por amigos o familiares – puede instalar programas maliciosos en su
computadora.
• Descargue programas reconocidos directamente desde el sitio del proveedor original. Es
más probable que los sitios que ofrecen descargas gratuitas de varios navegadores
diferentes, lectores de documentos PDF y otros programas populares incluyan software
malicioso.
• Cuando instale un software nuevo lea la información que aparece en cada pantalla. Si no
reconoce un programa o le aparece un mensaje que le indica que instale otro software
“empaquetado”, decline la instalación del programa adicional o salga del proceso de
instalación.
• No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información
sobre el rendimiento de su computadora. Los estafadores insertan programas maliciosos
en carteles de anuncios que lucen legítimos, especialmente en los anuncios que hacen
referencia al funcionamiento de su computadora. Si no conoce la fuente de esos anuncios,
evite hacer clic.
• Escanee las unidades de memoria USB y demás dispositivos externos antes de
usarlos. Estos dispositivos pueden estar infectados con software malicioso, especialmente
si los usa en lugares muy concurridos, como kioscos de impresión de fotografías o
computadoras de uso público.
• Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de
todos los datos importantes para usted, como declaraciones de impuestos, fotos o demás
documentos esenciales, que quiera conservar en caso de que su computadora deje de
funcionar.
Causa
Descuido por no hacer el mantenimiento preventivo en el software por el jefe de tecnologías
de información y su equipo técnico.
Nivel de riesgo
es un desastre.

Incumplimiento del cronograma para hacer
Objetivo de control
mantenimientos preventivos lógicos o físicos
Descripción
Una acción preventiva es una operación, o conjunto de operaciones encaminadas a prolongar
la vida útil de los aparatos y/o instalaciones con el objetivo de evitar la interrupción de las
actividades laborales por acontecimientos imprevistos. Por eso es muy importante cumplir
con el cronograma que organice la empresa para hacer el mantenimiento preventivo, con la
finalidad de mejorar la eficiencia y productividad de la empresa. Cuando no se tiene
disciplina con el cronograma, claramente los implementos tecnológicos pueden ser un
obstáculo en el futuro de la empresa.
Recomendaciones
• Determinar metas y objetivos: El primer paso a realizar cuando se crea un plan de
mantenimiento preventivo es determinar exactamente qué se quiere obtener del mismo.
• Establecer un presupuesto: para realizar el mantenimiento preventivo de los activos de la
empresa se realiza teniendo en cuenta la frecuencia recomendada por el fabricante, costes
de mantenimientos, fechas de revisión, etc.
• Maquinaria y equipo por incluir: Realizar un inventario de los equipos existentes. Es
importante tener una ficha detallada por cada uno de los equipos/máquinas que puedan
ser objeto de mantenimiento.
• Revisar los mantenimientos previos realizados: Si se ha realizado algún mantenimiento
sobre los equipos, es importante revisarlos antes de empezar a planificar, ya que nos
ayudará saber qué sistemas, equipos, responsables y repuestos se han utilizado, y por
supuesto, en qué fecha se hicieron.
• Consultar los manuales de los equipos: Es necesario conocer las especificación y
recomendaciones de los fabricantes, así como los plazos de garantía.
• Obligaciones legales: Tener en cuenta las leyes gubernamentales dependiendo del país.
• Designar a los responsables: Elegir personal calificado y profesional en el tema, como un
Ingeniero de sistemas y su equipo técnico.
• Escoger el tipo de mantenimiento a realizar y planificarlo: Organizarlo en el cronograma.
Causa
El jefe de seguridad informática y/o el jefe de tecnología de información no cumplen con el
cronograma de mantenimientos preventivos, ni siquiera se toman la tarea de revisas o hacer
un cronograma correcto para la empresa.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es inusual , y en cuanto al impacto
es Alto.

Configuración mal diseñada, creando procesos
Objetivo de control
complejos y sin sentido
Descripción
La configuración tecnológica requiere analizar la forma en la que la tecnología ha
interactuado con los procesos de innovación, fabricación, transformación para los procesos
laborales que requiere la empresa, pero los avances de la tecnología o las actualizaciones que
requieren generan nuevas configuraciones, y la empresa debe tener en cuenta en implementar
esa configuración correcta para el funcionamiento correcto de todos los implementos
tecnológicos.
Recomendaciones
Mantenimiento de la tecnología por el jefe de tecnología de información y su equipo técnico,
o un Ingeniero de sistemas. Al dar el mantenimiento a los recursos tecnológicos es
importante estar consciente de mantener al día lo siguiente, para que la empresa no genere
errores en el futuro:
• Protección antivirus
• Actualizaciones de software.
• Actualizaciones de navegador.
• Si la organización tiene un crecimiento alto, aumentar el ancho de banda y el número
de puntos de acceso para obtener mejor tráfico de la red de internet o de las
impresoras.
Causa
El jefe de tecnología de información y su equipo técnico no le prestan la atención debida a
los equipos que requieran configuraciones nuevas para proveer las herramientas necesarias
para los empleados y ellos pueden usarlas sin ningún problema.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es inusual , y en cuanto al impacto
es Moderado.

Descuido al utilizar los implementos tecnológicos, sin
Objetivo de control cuidado o seguridad haciendo que poco a poco se
deteriore.
Descripción
Cuando la empresa adquiere un producto o servicio tecnológico, ya sea hardware o software,
busca mejorar su infraestructura, su negocio y el servicio al cliente pero los empleados, incluso
los mismos clientes pueden utilizar esos implementos tecnológicos para cosas no seguras, no
aptas para el trabajo, incluso llegan a maltratar o dañar los implementos, por ejemplo:
Malgastar el papel de la impresora, acabando con la tinta, utilizando el internet para ver cosas
inmorales o violentas, rallar o manchar las superficies con esferos o marcadores, etc.
Recomendaciones
El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad
para que haga vigilancia necesaria para estar pendiente de que todos utilicen las herramientas
tecnológicas de manera responsable y con cuidado. Además, el jefe de seguridad informática
y el jefe de tecnologías de información pueden asesorar a los empleados para que utilicen
todos los implementos tecnológicos de manera correcta.
Causa
No se tiene el personal de seguridad responsable de vigilar el personal o clientes para que no
sean irresponsables al utilizar los implementos tecnológicos.
Nivel de riesgo
impacto es Alto.
Objetivo de control Desactualización del elementos físicos o lógicos
Descripción
Los implementos tecnológicos físicos y lógicos de una empresa es tan necesario como los
empleados que trabajan allí, porque con esos implementos se haces procesos laborales
ayudando al funcionamiento de la empresa, pero muchas empresas sufren una lentitud porque
los mismos implementos de tecnología están desactualizados, ya no funcionan o simplemente
no se pueden hacer las actividades laborales por falta de la actualización necesario, ya que la
tecnología avanza cada día.
Recomendaciones
El jefe de tecnología de información y su equipo técnico al hacer los mantenimientos
preventivos, ya sean lógicos o físicos, deben hacer unas anotaciones concretas y argumentos
serios sobre los implementos que están desactualizados, por ejemplo, si hace falta un
complemento o un programa para que los implementos tecnológicos funciones de manera
correcta y cumplan con su funcionamiento.
Causa
El jefe de tecnología de información y su equipo técnico hacen el papeleo necesario y
correcto para informar al gerente principal que actualizaciones de elementos tecnológicos
físicos o lógicos son necesarios para la empresa y sus empleados, pero el gerente no desea
invertir dinero para eso y simplemente el personal de la empresa deben aguantar las
consecuencias de las desactualizaciones de los implementos tecnológicos y tener paciencia
para hacer las actividades laborales.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es Posible, y en cuanto al impacto
es Alto.
Adquirir e implementar - AI6 Administrar Cambios

Proceso A16 Administrar cambios
Objetivo de control
poniendo en atraso las actividades laborales.
Descripción
El mal funcionamiento de las aplicaciones o programas puede generar represamiento de trabajo
dentro del funcionamiento normal de la empresa,
Recomendaciones
• Implementar programas de segundo plano es decir implementar programas de respaldo.
• Mejorar los servidores Proxy para evitar caídas del servicio.
Causa
Carga excesiva del programa, ocasiona caída o perdida de funcionamiento de los programas
o aplicaciones.
Nivel de riesgo
En cuanto el nivel de riesgo es alto y posible que ocurra.

Objetivo de control Fallas en las redes de internet, con tráfico pesado o lentitud
Descripción
El servicio de internet puede presentar fallas debido al tráfico que tiene diariamente el
servicio dentro de la empresa, de igual manera puede presentar lentitud al momento de ser
requerido el servicio que en esta ocasión va a ser 100% utilizado
Recomendaciones
• Aumentar la velocidad de carga y descarga del servicio de internet.
• Implementar nuevos modelos de redes locales dentro de la empresa.
• Amplificar cobertura de señal implementando repetidores.
• Adquirir más servicios de internet y seccionarlos para cada área de funcionamiento.
Causa
Mucha conectividad de dispositivos causa lentitud de señal y el tráfico de la información es
defectuosa debido a lo mencionado, el servicio que presta el internet es muy corto para la
cantidad de equipos conectados.
Nivel de riesgo
En cuanto el nivel de probabilidad es posible y del impacto es alto

Dominio Adquirir e implementar.
Descripción
Al realizar una conexión a internet la gran mayoría de servidores o páginas web que se
acceden traen virus por debajo al momento de ejecutar o abrir algún enlace, por ende, los
equipos se contagian de virus o programas maliciosos causando estragos en los equipos.
Recomendaciones
• Actualizar o adquirir antivirus.
• Adquirir anti- malwares.
• Mejorar protocolos SSL
Causa
Mala actualización o malos antivirus instalados; malos protocolos SSL implementados en la
página web de la empresa
Nivel de riesgo
En cuanto la privacidad es posible y el impacto es desastroso.

Objetivo de control Desactualización de elementos físicos o lógicos
Descripción
La mala actualización de infraestructura física como lógica “hardware y software” causa que
el buen funcionamiento de la empresa empiece a decaer por fallas de tipo físico o lógico.
Recomendaciones
• Actualizar equipos.
• Actualizar infraestructura física.
• Mantenimiento y renovación de infraestructura y de equipos.
Causa
Al tener equipos antiguos causa que el proceso natural del trabajo se restringa debido a fallas
lo mismo pasa con la infraestructura física
Nivel de riesgo
En cuanto al nivel de probabilidad es posible y el nivel de impacto es alto.
Entregar y dar Soporte - DS8 Administrar la Mesa de Servicio y los Incidentes

Dominio Entregar y Dar Soporte
Proceso DS8 Administrar la Mesa de Servicio y los Incidentes
Pérdida de información de archivos, datos en el
Objetivo de control
navegador
Descripción
La pérdida de información de una empresa desde información del usuario y empleador, que
sea confidencial y hasta funciones correspondientes a su manejo dentro y fuera de la empresa
estas nos genera consecuencias tanto legales como económicos, que pudieran traer consigo
diversas sanciones y penalidades.
Recomendaciones
• Utilice un proxy. Este servidor nos permite proteger sus equipos contra inestabilidad en la
red que puedan poner en riesgo el proceso de información entre la conexión a la plataforma
de SharePoint.
• Actualice constantemente los parches de seguridad de Windows, navegador y software

(incluido el antivirus). La mayoría de los incidentes de seguridad tiene como origen por
falta de actualizaciones y políticas de DA.
Causa
La falta de estabilidad de conexión en la red o tiempos de espera se generan retrasos en las
vistas y brechas de la plataforma donde este por parte de equipo de infraestructura no hacen
las prevenciones y estrategias necesarias para evitar las fallas en la conexión de la red
Nivel de riesgo
es un desastre.

Objetivo de control Inadecuada capacidad de almacenamiento
Descripción
En la plataforma de sharepoint, se genera cierta información constante a nivel del servicio de
mesa de ayuda de Alkosto donde son varias sedes, los datos irán creciendo ya que la
información se presenta de muchas maneras, desde documentos de textos, bases de datos de
clientes, mensajes de correo electrónico, fotos, presentaciones que pueden ser extensas. Por
eso es necesario tener un monitoreo constante a el servidor de almacenamiento que se
encuentra físicamente.
Recomendaciones
• Disco duro (RAID): Estas unidades son presentación con grandes espacios como storage
para genera almacenamiento de altos impactos.
• Servidor de Backus: Otra opción es utilizar un servicio de almacenamiento en raíz junto

al físico, con esta modalidad los datos se almacenan en un servidor storage como servicio
de Backus de manera conjunta cada 24h o según corresponda.
Causa
El gerente principal no permite que el gerente de tecnologías de información y su equipo
técnico, elabore un sistema de almacenamiento, con capacidad mejorada para el
almacenamiento necesario para toda la empresa.
Nivel de riesgo
es moderado.
Objetivo de control Fallas en las redes de internet, con tráfico pesado o lentitud
Descripción
A menudo los problemas de conectividad provienen de componentes dañados, a causa de un
clima adverso o por simples errores de configuración. Una vez que su red esté conectada a
Internet o abierta al público en general, aparecerán una gran cantidad de amenazas
provenientes de los mismos usuarios, lo que genera problemas con la velocidad y en
ocasiones la caída de sus sistemas. Estos problemas están vinculados con el mal
funcionamiento de sus redes internas provocadas por una mala instalación.
Recomendaciones
• Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos
que puedan afectar al rendimiento.
• Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o
los routers funcionen correctamente.
• Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones
de trabajo.
• Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para
ello herramientas como “Network inspector”.
• Observar si en la red hay servicios o protocolos innecesarios que puedan estar
generando tráfico en la red y por lo tanto colapsando las comunicaciones.
Causa
El jefe de tecnologías de información y su equipo no hacen el mantenimiento necesario en
los equipos físicos que proveen el internet y además no hicieron una configuración correcta
de la red para su funcionamiento.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados en casi certero, y en cuanto al

Objetivo de control
poniendo en atraso la gestión de la mesa de ayuda
Descripción
Los programas son conjuntos de instrucciones que le dicen al equipo qué debe hacer, le da al
sistema las instrucciones para que realice tareas específicas. Sin los programas, la aplicación
no funcionara de manera correcta para el ingreso y visualización de la página que se utiliza
en este caso como SharePoint . Por esa razón, las empresas deben controlar que los
programas de los equipos de cómputo funcionen de manera correcta o todas las actividades
laborales obtendrían consecuencias graves, como impuntualidad o procesos en mal estado.
Recomendaciones
• Libere memoria RAM cerrando otros programas abiertos.
• Reinicie el software.
• Apague y reinicie su computadora al finalizar su jornada laboral.
• Escanee para detectar virus o programas malignos.
• Revise que siempre este actualizado el perfil de red.
• Desfragmente su disco duro.
• Mantenga Actualizado los programas y aplicaciones.
Causa
El Analista senior de tecnología de información y su equipo soporte sitio no hacen el proceso
de mantenimiento preventivo para el software de los equipos provocando consecuencias para
los procesos que requieran los empleados de la empresa, incluso sus usuarios de la tienda.
Nivel de riesgo
es un desastre.

Fallas en el sistema eléctrico creando consecuencias
Objetivo de control apagones o voltajes bajos, formando daños en los
implementos físicos
Descripción
Inicialmente algunos sistemas eléctricos de potencia de complejos industriales o sea para
empresas fueron diseñados para operar de manera aislada. Sin embargo, con el incremento en
la demanda de carga, y la necesidad de asegurar la continuidad de sus operaciones, se
interconectaron con la red pública, eso genero ventajas, pero al mismo tiempo
consecuencias, por ejemplo, efectos que han contribuido a la presencia de fallas y por
consiguiente a la reducción de la vida útil de los equipos instalados.
Recomendaciones
El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones
rutinarias y los equipos de respaldo de energía en sus celdas (UPS), pruebas y servicios en el
equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos
eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un
equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el
sistema y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce
accidentes y con ello el peligro de muertes; además, minimiza costosos parones no
programados y tiempos caídos de las actividades laborales.
Causa
El Analista senior de tecnologías de información y su equipo técnico en electricidad no
generan el mantenimiento profesional y correcto a los implementos físicos de los equipos de
cómputo.
Nivel de riesgo

Descripción
El software malicioso, también conocido como programas maliciosos contiene virus,
spyware, troyano y otros programas indeseados que se instalan en su Equipo, teléfono o
cualquier dispositivo móvil sin su autorización. Estos programas pueden interrumpir el
correcto funcionamiento de su dispositivo y se pueden utilizar para monitorear o controlar su
actividad en internet. Además, con estos programas su computadora puede quedar expuesta
al ataque de virus y enviar anuncios indeseados o inapropiados. Los delincuentes usan
programas maliciosos para robar información personal, enviar spam y cometer fraude.
Recomendaciones
firewall. Configure su software de seguridad, el navegador de internet y el sistema
operativo para que se actualicen automáticamente.
• No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene
las funciones de seguridad predeterminadas de su navegador puede minimizar las
descargas “drive-by” o empaquetadas.
• Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores
tienen incorporada una función de escaneo de seguridad que le mostrará un mensaje de
advertencia antes de visitar una página web infectada o de descargar un archivo
malicioso.
• En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio
web confiable en la barra de su navegador. Los delincuentes envían emails que parecen
enviados por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos,
pero al hacer clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a
un sitio web fraudulento.
• No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué
se trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen
enviados por amigos o familiares – puede instalar programas maliciosos en su
computadora.
• Descargue programas reconocidos directamente desde el sitio del proveedor original. Es
más probable que los sitios que ofrecen descargas gratuitas de varios navegadores
diferentes, lectores de documentos PDF y otros programas populares incluyan software
malicioso.
instalación.
• No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información
sobre el rendimiento de su computadora. Los estafadores insertan programas maliciosos
en carteles de anuncios que lucen legítimos, especialmente en los anuncios que hacen
referencia al funcionamiento de su computadora. Si no conoce la fuente de esos anuncios,
evite hacer clic.
• Escanee las unidades de memoria USB y demás dispositivos externos antes de
usarlos. Estos dispositivos pueden estar infectados con software malicioso, especialmente
si los usa en lugares muy concurridos, como kioscos de impresión de fotografías o
computadoras de uso público.
• Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de
todos los datos importantes para usted, como declaraciones de impuestos, fotos o demás
funcionar.
Causa
Descuido por no hacer el mantenimiento preventivo en el software por el jefe de tecnologías
de información y su equipo técnico.
Nivel de riesgo
es un desastre.

Actualización correcta de los complementos del
Objetivo de control
navegador
Descripción
El no mantener los complementos del navegador actualizados estos no permiten abrir o
visualizar ciertas paginas emergentes ya sea de interacción por java o archivos, en este caso
por el SharePoint nos genera formularios o vistas para poder describir o interactuar con la
misma .
Recomendaciones
Mantenimiento de la tecnología por parte del analista senior de tecnología de información y
su equipo soporte en sitio Al dar el mantenimiento a los recursos tecnológicos es importante
estar consciente de mantener al día lo siguiente, para que la plataforma y sistemas de
información no genere errores por actualizaciones:
• Protección antivirus
• Actualizaciones de complementos.
• Actualizaciones de navegador.
Si la organización tiene un crecimiento alto, aumentar el ancho de banda y el número de
puntos de acceso para obtener mejor tráfico de la red de internet o de las impresoras.
Causa
El jefe de analista senior informática no cumplen con el cronograma de mantenimientos
preventivos a nivel de software, ni siquiera se toman la tarea de revisas o hacer un
cronograma correcto para la empresa.
Nivel de riesgo
En cuanto a la probabilidad de los sucesos están clasificados es inusual, y en cuanto al impacto
es Alto.

Descuido al utilizar los implementos tecnológicos, sin
Objetivo de control cuidado o seguridad haciendo que poco a poco se
deteriore
Descripción
Cuando la empresa adquiere un producto o servicio tecnológico, ya sea hardware o software,
busca mejorar su infraestructura, su negocio y el servicio al cliente pero los empleados,
incluso los mismos clientes pueden utilizar esos implementos tecnológicos para cosas no
seguras, no aptas para el trabajo, incluso llegan a maltratar o dañar los implementos, por
ejemplo: Malgastar el papel de la impresora, acabando con la tinta, utilizando el internet para
ver cosas inmorales o violentas, rallar o manchar las superficies con esferos o marcadores,
etc.
Recomendaciones
El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad
Causa
No se tiene el personal de seguridad responsable de vigilar el personal o clientes para que no
sean irresponsables al utilizar los implementos tecnológicos.
Nivel de riesgo
impacto es Alto.
2) Elaborar un cuadro de los controles propuestos, y clasificarlos como controles preventivos,
detectivos y correctivos.
• Preventivos: es el destinado a la conservación de equipos o instalaciones mediante

la realización de revisión y limpieza que garanticen su buen funcionamiento y
fiabilidad.
• Detectivos: descubrir, localizar, revelar, manifestar inconvenientes de la
implementación tecnológica que no se muestran en los mantenimientos preventivos y
surjan por investigación del equipo técnico que tenía la predicción de que pasaba algo
inusual.
• Correctivos: aquel que corrige los defectos observados en los equipamientos o
instalaciones, es la forma más básica de mantenimiento y consiste en localizar averías
o defectos para corregirlos o repararlos.
Tipos
Descripción de los controles propuestos
Preventivos Detectivos Correctivos
Supervisión del personal o empleados x x
Evaluación del desempeño de la empresa x x
Encuestas para verificar estado de la empresa x
Capacitación para conocer nueva tecnología x x
Entrenamiento para usar la tecnología actualizada x x
Registro de las tecnologías de toda empresa x
Cronogramas de mantenimientos tecnológicos x x
Inspección de que la tecnología funcione bien x
Verificación del cumplimiento legal de la empresa x x
Registros de los manteamientos de la tecnología x
Manual concreto para el uso de la tecnología x
Auditoria de seguridad informática x x
Protocolos de conducta empresarial x
Cámaras de seguridad x x
Tipos

Tipos
3) Elaborar el dictamen de la auditoría para la medición del nivel de madurez de cada proceso
evaluado.
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: AI3 Adquirir y Mantener Infraestructura Tecnológica
Objetivo de la Auditoria: Las organizaciones, empresas o negocio, en este caso: Alkosto, debe
contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto
requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo
con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnológico continuo para las implementaciones tecnologías
lógicas o físicas de la empresa Alkosto.
Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios a la infraestructura para cada

implementación tecnológica de Alkosto, sea lógica o física, con un conjunto de estrategias
organizado por profesionales para ser desarrollado, todo por medio de un cronograma para cada
área específica de la empresa. Aunque se tiene la percepción de que la infraestructura de
Tecnología de la información es importante, no existe un enfoque general consistente. La
actividad de mantenimiento reacciona a necesidades de corto plazo dependiendo del cronograma,
aunque en situaciones de emergencia, se actúa con rapidez, pero con el mantenimiento preventivo
se evita esos acontecimientos.
Hallazgos que tolera el Dictamen:
• Pérdida o robo de información de archivos, datos, multimedia y documentos privados

• Inadecuada capacidad de almacenamiento
• Fallas en las redes de internet, con tráfico pesado o lentitud
• Mal funcionamiento de programas y aplicaciones, poniendo en atraso las actividades
laborales
• Fallas en el sistema eléctrico creando consecuencias apagones o voltajes bajos, formando
daños en los implementos físicos
• Virus o programas maliciosos
• Incumplimiento del cronograma para hacer mantenimientos preventivos lógicos o físicos
• Configuración mal diseñada, creando procesos complejos y sin sentido
• Descuido al utilizar los implementos tecnológicos, sin cuidado o seguridad haciendo que
poco a poco se deteriore
• Desactualización del elementos físicos o lógicos
Recomendaciones:
• Para la seguridad de los equipos de cómputo u otras tecnologías utilice un firewall, actualice
constantemente sistemas operativos, aplicaciones y software (incluido el antivirus), realice
copias periódicas de seguridad de la información y establezca políticas de seguridad.
• Utilice almacenamiento extra como: Disco duro externo, unidades Flash, soluciones en línea
y servidores de almacenamiento.
• Para prevenir fallos de la red en una empresa es necesario verificar la conexión, observar que
las conexiones sean las correctas, comprobar que los equipos de comunicación de equipos,
como los switchs, los hubs o los routers funcionen correctamente, comprobar el estado de la
tarjeta de red, tanto de los servidores como de las estaciones de trabajo, verificar que haya el
menor número de colisiones posibles para ello el técnico puede utilizar herramientas como
“Network inspector”, observar si en la red hay servicios o protocolos innecesarios que puedan
estar generando tráfico en la red y por lo tanto colapsando las comunicaciones y Verificar
que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas
funcionan correctamente y que todos tienen acceso a ellos.
• Es importante librar atascos de programas y aplicaciones es necesario liberar memoria RAM

cerrando otros programas abiertos, reiniciar el software, apagar y reiniciar la computadora,
desinstalar el software e instalarlo de nuevo, escanear para detectar virus o programas
malignos, revisar posibles conflictos con el firewall, desfragmentar el disco duro y actualizar
los programas y aplicaciones.
• El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones

rutinarias, pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o
suprimir problemas en los equipos eléctricos. La intención de realizar un programa de
mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de
accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un
mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el peligro de
muertes; además, minimiza costosos parones no programados y tiempos caídos de las
actividades laborales.
• Para prevenir virus maliciosos en los implementos tecnológicos es necesario lo siguiente:

Instale un programa de seguridad y manténgalo actualizado, y también use
un firewall, configure su software de seguridad, el navegador de internet y el sistema
operativo para que se actualicen automáticamente, no cambie la configuración de las
funciones de seguridad de su navegador, preste atención a las advertencias de seguridad de
su navegador, en lugar de hacer clic en el enlace de un email, escriba directamente el URL
de un sitio web confiable en la barra de su navegador, no abra los archivos adjuntos de los
emails a menos que sepa quién se los envió y de qué se trata, descargue programas
reconocidos directamente desde el sitio del proveedor original, no haga clic en las ventanas
pop-up ni en los carteles de los anuncios con información sobre el rendimiento de su
computadora, escanee las unidades de memoria USB y demás dispositivos externos antes de
usarlos y por ultimo haga copias de seguridad de sus datos con regularidad
• Para generar un buen plan del cronograma de mantenimientos en una empresa es importante:
Determinar metas y objetivos, establecer un presupuesto, maquinaria y equipo por incluir,
revisar los mantenimientos previos realizados, consultar los manuales de los equipos, leer las
obligaciones legales, designar a los responsables, y finalmente escoger el tipo de
mantenimiento a realizar y planificarlo: Organizarlo en el cronograma.
• La configuración correcta es importante para los trabajos laborales de la empresa por eso el
jefe de tecnología de información y su equipo técnico, o un Ingeniero de sistemas debe
generar un mantenimiento a los recursos tecnológicos, asegurando que la empresa no genere
errores en el futuro para eso hace configuraciones importantes como: Protección antivirus,
Actualizaciones de software y Actualizaciones de navegador, además, si la empresa tiene
un crecimiento alto es necesario aumentar el ancho de banda y el número de puntos de acceso
para tener mejor tráfico de la red de internet o de impresoras.
• El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad

• El jefe de tecnología de información y su equipo técnico cuando hagan los mantenimientos

preventivos, ya sean lógicos o físicos, deben hacer anotaciones concretas con argumentos
serios sobre los implementos que están desactualizados, por ejemplo, si hace falta un
complemento o un programa para que los implementos tecnológicos funciones de manera
correcta y cumplan con su funcionamiento.
PROCESO COBIT: A16 Administrar cambios
contar administrador de cambios. Esto requiere de un enfoque planeado para adquirir, de acuerdo
con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnológico continuo para las implementaciones tecnologías
lógicas o físicas de la empresa Alkosto.
Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y

operabilidad de la plataforma de servicio e incidentes tecnológicos de Alkosto, sea lógica o física,
con un conjunto de estrategias organizado por profesionales para ser desarrollado, todo por medio
de un cronograma para el área de tecnología de la empresa. Aunque se tiene la percepción de que
el departamento de Tecnología de la información es importante, no existe un enfoque general
consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo dependiendo
del cronograma, aunque en situaciones de emergencia, se actúa con rapidez, pero con el
mantenimiento preventivo se evita esos acontecimientos.
• Perdida de información de archivos, datos en el navegador

• Mal funcionamiento aplicaciones, poniendo en atraso la gestión de la mesa de ayuda
• Actualización correcta de los complementos del navegador
Recomendaciones:
1. Aumentar la velocidad de carga y descarga del servicio de internet.

2. Implementar nuevos modelos de redes locales dentro de la empresa.
3. Amplificar cobertura de señal implementando repetidores.
4. Adquirir más servicios de internet y seccionarlos para cada área de funcionamiento.
5. Actualizar o adquirir antivirus.
6. Adquirir anti- malwares.
7. Mejorar protocolos SSL
8. Actualizar equipos.
9. Actualizar infraestructura física.
10. Mantenimiento y renovación de infraestructura y de equipos.
PROCESO COBIT: DS8 Administrar la Mesa de Servicio y los Incidentes
contar con procesos Administrar la Mesa de Servicio y los Incidentes. Esto requiere de un
enfoque planeado para adquirir, de acuerdo con las estrategias tecnológicas convenidas y la
disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte
tecnológico continuo para las implementaciones tecnologías lógicas o físicas de la empresa
Alkosto.
Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y

operabilidad de la plataforma de servicio e incidentes tecnológicos de Alkosto, sea lógica o física,
con un conjunto de estrategias organizado por profesionales para ser desarrollado, todo por medio
de un cronograma para el área de tecnología de la empresa. Aunque se tiene la percepción de que
el departamento de Tecnología de la información es importante, no existe un enfoque general
consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo dependiendo
del cronograma, aunque en situaciones de emergencia, se actúa con rapidez, pero con el
mantenimiento preventivo se evita esos acontecimientos.
• Perdida de información de archivos, datos en el navegador

• Mal funcionamiento aplicaciones, poniendo en atraso la gestión de la mesa de ayuda
• Actualización correcta de los complementos del navegador
Recomendaciones:
• Utilice un proxy. Este servidor nos permite proteger sus equipos contra inestabilidad en la
red que puedan poner en riesgo el proceso de información entre la conexión a la plataforma
de SharePoint.
• Actualice constantemente los parches de seguridad de Windows, navegador y software
(incluido el antivirus). La mayoría de los incidentes de seguridad tiene como origen por falta
de actualizaciones y políticas de DA.
• Disco duro (RAID): Estas unidades son presentación con grandes espacios como storage para
genera almacenamiento de altos impactos.
• Servidor de Backus: Otra opción es utilizar un servicio de almacenamiento en raíz junto al
físico, con esta modalidad los datos se almacenan en un servidor storage como servicio de
Backus de manera conjunta cada 24h o según corresponda.
• Para prevenir fallos de la red en una empresa es necesario verificar la conexión, observar que
las conexiones sean las correctas, comprobar que los equipos de comunicación de equipos,
como los switchs, los hubs o los routers funcionen correctamente, comprobar el estado de la
tarjeta de red, tanto de los servidores como de las estaciones de trabajo, verificar que haya el
menor número de colisiones posibles para ello el técnico puede utilizar herramientas como
“Network inspector”, observar si en la red hay servicios o protocolos innecesarios que puedan
estar generando tráfico en la red y por lo tanto colapsando las comunicaciones y Verificar
que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas
funcionan correctamente y que todos tienen acceso a ellos.
• Es importante librar atascos de programas y aplicaciones es necesario liberar memoria RAM
cerrando otros programas abiertos, reiniciar el software, apagar y reiniciar la computadora,
desinstalar el software e instalarlo de nuevo, escanear para detectar virus o programas
malignos, revisar posibles conflictos con el firewall, desfragmentar el disco duro y actualizar
los programas y aplicaciones.
• El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones
rutinarias y los equipos de respaldo de energía en sus celdas (UPS), pruebas y servicios en el
equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos
eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un
equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el sistema
y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce
accidentes y con ello el peligro de muertes; además, minimiza costosos parones no
programados y tiempos caídos de las actividades laborales.
firewall. Configure su software de seguridad, el navegador de internet y el sistema operativo
para que se actualicen automáticamente.
• No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene las
funciones de seguridad predeterminadas de su navegador puede minimizar las descargas
“drive-by” o empaquetadas.
• Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores tienen
incorporada una función de escaneo de seguridad que le mostrará un mensaje de advertencia
antes de visitar una página web infectada o de descargar un archivo malicioso.
• En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio web
confiable en la barra de su navegador. Los delincuentes envían emails que parecen enviados
por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos, pero al hacer
clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a un sitio web
fraudulento.
• No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué se
trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen enviados
por amigos o familiares – puede instalar programas maliciosos en su computadora.
• Descargue programas reconocidos directamente desde el sitio del proveedor original. Es más
probable que los sitios que ofrecen descargas gratuitas de varios navegadores diferentes,
lectores de documentos PDF y otros programas populares incluyan software malicioso.
instalación.
• No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información sobre
el rendimiento de su computadora. Los estafadores insertan programas maliciosos en carteles
de anuncios que lucen legítimos, especialmente en los anuncios que hacen referencia al
funcionamiento de su computadora. Si no conoce la fuente de esos anuncios, evite hacer clic.
• Escanee las unidades de memoria USB y demás dispositivos externos antes de usarlos. Estos
dispositivos pueden estar infectados con software malicioso, especialmente si los usa en
lugares muy concurridos, como kioscos de impresión de fotografías o computadoras de uso
público.
• Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de todos
los datos importantes para usted, como declaraciones de impuestos, fotos o demás
funcionar.
• El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad
4) Elaborar el informe final de auditoría con los hallazgos y recomendaciones.
INFORME FINAL DE AUDITORIA

(Ejemplo)
Villavicencio (Meta), 23 de octubre de 2019
Ingeniera Pilar Daza

Directora Encargada de: Seguridad informática y jefe de tecnología de información
Ingeniera de sistemas.
Referencia. Auditoria de sistemas aplicada a la implementación tecnológica

(Hardware/Software) que maneja la empresa Alkosto para sus clientes y empleados de todas
diferentes áreas empresariales, entre ellas y las más importante: La página web de Alkosto.
Cordial Saludo.
Como es de su conocimiento la tecnología lógica y física que manipulan para las actividades
laborales de Alkosto, fue sometido a una auditoria de sistemas para evaluar los diferentes
tipos que hacen parte de las implementaciones tecnologías, tanto en entradas, procesos y
salidas que hacen parte del personal, de igual manera se hizo para la seguridad de
información de los datos empresariales.
Esta evaluación se realizó en un lapso comprendido entre octubre de 2018 y octubre 2019.
Los resultados obtenidos fueron los siguientes.
Después de realizar las pruebas y la verificación de procedimientos realizados sobre los

diferentes tipos que hacen parte de las implementaciones tecnologías que conforman los
sistemas lógicos y físicos de Alkosto se relacionan algunos aspectos generales y positivos
extraídos del informe de la presente auditoría.
La auditoría se realizó con buena disposición por parte del personal encargado del manejo de
los distintos tipos de implementaciones de tecnología lógica y física.
La tecnología posee un buen avance para esta generación, sobre todo para el personal de la
empresa, lo que permite que los procesos sean eficaces, agilizando las actividades laborales
requeridos por los distintos gerentes de cada área de control como la contabilidad registrada
por ofimática o el informe de productos vendidos mensualmente, minimizando trabajos
operativos, haciéndolos de forma más simple y organizada.
Cada proceso laboral hecho por los empleados que recluta el área de recursos humanos tiene
incluido asesorías tecnologías y practicas lo que facilita la recolección de actividades
cumplidas y su correcto procesamiento para campañas comerciales de ventas, promociones
y ofertas donde se utilizan implementos tecnológicos y eso permite ampliar el crecimiento de
clientes, gracias al aprendizaje que han obtenido.
Alkosto facilita y ofrece el proceso de ventas online por medio de la nueva generación de
páginas webs didácticas, una tecnología utilizada por muchas empresas. Aquella innovación
permite cercanía para los clientes de una forma sistemática, donde ellos obtienen diferentes
estrategias para la compra de productos que ofrece Alkosto, además, el mismo cliente puede
pagar en línea y recibir sus productos en sus propios hogares, esta herramienta tecnológica
reduce el tiempo necesario para gestionar las ventas que controla Alkosto.
La página web didáctica genera datos concretos e importantes para brindar información
legitima y segura para los clientes, ya que muchos de ellos tienen dudas o no conocen el
proceso de comprar en línea, eso permite que los clientes se sientan seguros y a gusto por
utilizar esa innovadora tecnología.
Este tipo de tecnología, tipo software o lógica permite que el cliente se acerque virtualmente
a la empresa Alkosto virtualmente, solo es necesario un dispositivo inteligente e internet. La
página web permite, comprar en línea, pedir asesorías, generar quejas o recomendaciones,
etc., todo de manera ágil y fácil.
El software provee búsquedas fáciles por medio de herramientas didácticas y creativas,
organizada por códigos y tipos, permitiendo agilizar la práctica de comprar en línea o
comunicarse con Alkosto de rápida.
Alkosto implementa formularios, archivos, datos, multimedia en el cual el cliente o el

personal que está conociendo Alkosto haga seguimiento general de la empresa y verifique la
seguridad de utilizar los implementos tecnológicos. Las herramientas que se encuentran son:
Nuestra Compañía, Quiénes somos, Nuestras tiendas, Trabaje con nosotros, Para
proveedores, Certificados tributarios, Contáctenos, Tarjeta de crédito Alkosto, Fondo de
empleados, convenios y cooperativas, Garantía Extendida, Hiper verde, Servicios,
Instalaciones, Compras en línea, Ayuda, Marcas, Seguridad, Entregas por ciudad, Ganadores
de Rifas, Política de entrega, Política de cambio y devoluciones, Garantías y centros de
servicio técnico, Política de privacidad, Términos y condiciones, Contrato de compraventa
en línea, Entidad de protección al consumidor www.sic.gov.co, Todo lo que debes saber sobre
TDT y Línea Ética. Todo eso en beneficio de la empresa y sus clientes.
El área de tecnología de Facturación en línea permite llevar un control de los productos en

compra, su garantía, su estado, sus características y sobre la seguridad de manejar cuentas de
dinero por internet de acuerdo con la parametrización realizada en el momento de crear los
contratos, en ciertas circunstancias la información puede ser modificada de acuerdo con las
necesidades.
Todas estas herramientas tecnologías y creativas permite que el personal responsable en ese
sector lleve de manera registrada el Inventario de existencias productos y tener la oportunidad
de organizarlo, realizando un seguimiento del inventario, de manera fácil y correcta.
En cuanto a su funcionamiento, su desempeño es bueno, procesa los datos y realiza las

acciones debidas que ofrece la tecnología, sin embargo, presenta algunas fallas debido a la
baja conexión y congestión de usuario, algo negativo para la empresa.
Por lo tanto, se podría decir que la implementación tecnológica de Alkosto en sus diferentes
tipos lógicos y físicos tiene un funcionamiento adecuado del 80% y el restante 20% del
sistema debe ser corregido y mejorado para lograr la optimización en un 99%, ya que es un
sistema de tecnología muy importante para los procesos laborales que necesita la empresa
para seguir avanzando y mejorando, además, de esa manera logre sus procesos de manera
más fácil y eficaz.
Respecto al Cableado estructurado de la red.
Hallazgos
• Fallas en las redes de internet, con tráfico pesado o lentitud, formando problemas para la
comunicación con clientes, proveedores y gerentes de las distintas áreas de la empresa.
Recomendaciones
• Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos que
puedan afectar al rendimiento.
• Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los
routers funcionen correctamente.
• Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de
trabajo.
• Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para ello
herramientas como “Network inspector”.
• Observar si en la red hay servicios o protocolos innecesarios que puedan estar generando
tráfico en la red y por lo tanto colapsando las comunicaciones.
Atentamente
Ligia Pilar Daza Rodríguez.
Auditor.
(Ejemplo)
Villavicencio (Meta), 17 de nov. de 19

Ingeniero Omar García.
Auditor interno.
Departamento de tecnología

diferentes áreas empresariales, entre ellas y las más importante: Administrar cambios.
Cordial Saludo.
Después de realizar las pruebas y la verificación de procedimientos realizados sobre el

manejo de la plataforma Qualys, webpagetest y con las encuestas realizadas tanto
internamente con los empleados como con los usuarios “clientes” valida los diferentes
manejos en estas plantillas que conforman el proceso de atención de la mesa de servicio de
Alkosto para su atención se relacionan algunos aspectos generales y positivos extraídos del
informe de la presente auditoría.
La auditoría se realizó con buena disposición por parte del personal encargado de la
administración de cambios físicos y lógicos de la empresa.
cumplidas y su correcto procesamiento para el mejor manejo y funcionamiento correcto de
las cajas y dispositivos de información y de pagos de ventas, promociones y ofertas donde se
utilizan implementos tecnológicos.

Y para proceso que se maneja en las compras se lleva a cabo la gestión de los servicios fallas
atenciones PQR que presentan los usuarios esto se lleva a cabo en la mesa de servicios e
incidentes que se generan en todo el proceso que conlleva en todo tipo de atención en la tienda
ya sea física o virtual.
Atentamente
Omar Camilo Santiago García.
Auditor.

(Ejemplo)
Villavicencio (Meta), 23 de octubre de 2019
Ingeniero Miller Castellano.
Coordinador senior
Departamento de tecnología

diferentes áreas empresariales, entre ellas y las más importante: Administrar la mesa de
servicio de los incidentes
Cordial Saludo.

Después de realizar las pruebas y la verificación de procedimientos realizados sobre el
manejo de la plataforma de SharePoint se valida los diferentes manejos en estas plantillas que
conforman el proceso de atención de la mesa de servicio de Alkosto para su atención se
relacionan algunos aspectos generales y positivos extraídos del informe de la presente
auditoría.
La auditoría se realizó con buena disposición por parte del personal encargado del manejo de
la plataforma y su gestión y manejo para la atención de los distintos tipos de soluciones a los
diferentes dispositivos y herramientas tecnológicas.
cumplidas y su correcto procesamiento para el mejor manejo y funcionamiento correcto de
las cajas y dispositivos de información y de pagos de ventas, promociones y ofertas donde se
utilizan implementos tecnológicos.

Y para proceso que se maneja en las compras se lleva a cabo la gestión de los servicios fallas
atenciones PQR que presentan los usuarios esto se lleva a cabo en la mesa de servicios e
incidentes que se generan en todo el proceso que conlleva en todo tipo de atención en la tienda
ya sea física o virtual.
Atentamente
Miller S. Castellano Prada
Auditor.
Conclusión.
Se finaliza el informe completo de la auditoria con su proceso de COBIT con tres procesos el
cual es AI3 Adquirir y Mantener Infraestructura Tecnológica, A16 Administrar cambios y DS8
Administrar la Mesa de Servicio y los Incidentes
Con este proceso se aprende lo más importante sobre el cuidado que debemos tener con los
implementos tecnológicos, sobre su seguridad y los pasos a seguir para evitar consecuencias
negativas para la empresa Alkosto.
Se concluye que para proveer una buena auditoria de sistemas en un sector empresarial es
necesario organizar y planear las estrategias a utilizar para cada proceso seleccionado.
Bibliografía.
Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado
de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
Alexander Velásquez Rímac (2011/30/Octubre). Auditoría de sistemas controles. Recuperado de
https://es.slideshare.net/villarrealino/auditora-de-sistemas-controles

Trabajo Colaborativo - Fase 4 - Resultados de La Auditoría - Grupo - 90168 - 62 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Colaborativo - Fase 4 - Resultados de La Auditoría - Grupo - 90168 - 62 PDF

Cargado por

Copyright:

Formatos disponibles

AUDITORIA DE SISTEMAS

OMAR CAMILO SANTIAGO GARCÍA.

GUÍA DE ACTIVIDADES Y RÚBRICA DE EVALUACIÓN

ECBTI – INGENERIA DE SISTEMAS

A continuación, analizamos el desarrollo de la actividad de la fase cuatro (4), de auditoria

de sistemas en este caso los resultados.

¿Qué es un resultado de auditoria? Es un informe que tiene el objetivo de expresar el

resultado de la auditoria que tenemos en responsabilidad, en este caso A16 – Administrar

relacionados con las recomendaciones y controles propuestos.

• Detectar vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesto la

• Implementar el enfoque final de la auditoría realizada en la empresa que se encuentra

• Ejecutar un informe completo de auditoria dependiendo del proceso seleccionado.

• Como estudiantes descubrimos las vulnerabilidades, amenazas y riesgos informáticos a

que se ve expuesta la organización empresarial

• Aprendemos a organizar un informe completo de auditoria dependiendo de cada proceso

• Lograr realizar el enfoque final de la auditoría realizada en la empresa que se encuentra

• Elaborar un dictamen y un informe de auditoría de sistemas.

Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica

• Actualice constantemente sistemas operativos, aplicaciones y software (incluido el

Implementaciones tecnologías de la empresa Alkosto

• Unidades Flash: Se utilizan comúnmente como dispositivos de almacenamiento portátil.

• Soluciones en línea: Otra opción es utilizar un servicio de almacenamiento en línea, con

• Servidores de almacenamiento: una tecnología de almacenamiento dedicada a compartir la

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Entregar y dar Soporte - DS8 Administrar la Mesa de Servicio y los Incidentes

• Actualice constantemente los parches de seguridad de Windows, navegador y software

Implementaciones tecnologías de la empresa Alkosto

• Servidor de Backus: Otra opción es utilizar un servicio de almacenamiento en raíz junto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

Implementaciones tecnologías de la empresa Alkosto

• Preventivos: es el destinado a la conservación de equipos o instalaciones mediante

Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica

Entregar y dar Soporte - DS8 Administrar la Mesa de Servicio y los Incidentes

Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios a la infraestructura para cada

• Pérdida o robo de información de archivos, datos, multimedia y documentos privados

• Es importante librar atascos de programas y aplicaciones es necesario liberar memoria RAM

• El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones

• Para prevenir virus maliciosos en los implementos tecnológicos es necesario lo siguiente:

• El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad

• El jefe de tecnología de información y su equipo técnico cuando hagan los mantenimientos

Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y

Hallazgos que tolera el Dictamen:

• Perdida de información de archivos, datos en el navegador

1. Aumentar la velocidad de carga y descarga del servicio de internet.

Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y

• Perdida de información de archivos, datos en el navegador

4) Elaborar el informe final de auditoría con los hallazgos y recomendaciones.

INFORME FINAL DE AUDITORIA

Villavicencio (Meta), 23 de octubre de 2019

Ingeniera Pilar Daza

Referencia. Auditoria de sistemas aplicada a la implementación tecnológica