FASE 2 – PLANEACIÓN DE LA AUDITORIA

PRESENTADO A:
DAVID ALBERTO CASTAÑO ALDANA

PRESENTADO POR:
OSCAR MAURICIO JIMENEZ URREA
PEDRO DEMETRIO RONCANCIO
HENRY SEBASTIAN MUNOZ
OSCAR FELIPE CAMPUZANO TORRES
DIEGO ALBERTO SUA SANDOVAL

GRUPO 11

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
INGENIERÍA DE SISTEMAS
2020
Introducción
Avanzando en el desarrollo de actividades del curso de auditoria de sistemas no encontramos con un
ejercicio práctico teórico, en el cual debemos mostrar nuestras habilidades comunicativas como
compañeros de grupo y como profesionales mostrando los resultados de la auditoria a la empresa café
internet el quijote.

Ayudándonos en nuestros conocimiento y habilidades para dar los mejores resultados como auditores
Objetivos
- Aplicar los conceptos fundamentales de la auditoría y la seguridad informática en el entorno
empresarial mediante el desarrollo de las actividades programadas en el curso.
- Encontrar fallos en las áreas y los sistemas del café internet el quijote, y de la misma manera
dando soluciones a los fallos localizados
Informe de construcción grupal
Empresas Propuestas
 Café internet el quijote con 5 computadores y se maneja con un programa llamado el ciber (un
activo), este tipo de empresa se nos facilita porque en toda parte hay un café internet y podemos
preguntar qué problemas son los que se presentan
 Metaza SA. Es una empresa comercial de productos de acero, tiene alrededor de 100
empleados, al menos 50 computadores, además de un software de facturación y envió bastante
robusto.
 Empresa de construcción Deeb y asociados ubicada en bogota cuenta en la sede principal con
30 computadores propios y 10 alquilados, en los campamentos de las 3 construcciones actuales
cuentan con 5 computadores cada campamento.

 El estudiante describe la empresa seleccionada:

Café internet el quijote con 5 computadores y se maneja con un programa llamado el ciber (un
activo), este tipo de empresa se nos facilita porque en toda parte hay un café internet y podemos
preguntar qué problemas son los que se presentan

 La estructura organizacional,
LOS CARGOS Y FUNCIONES

- GERENTE GENERAL

Dirigir y tomar decisiones económicas, administrativas y sociales.

ADMINISTRADOR.
- Planificar, organizar, ejecutar y controlar.
CONTADOR.
- Registrar las actividades económicas y financieras.
OPERADOR ADMINISTRADOR.
- Atiende todos los servicios del café-internet.
OPERADOR DE FOTOCOPIAS.
- Realiza las fotocopias.
- Procura insumos.
OPERADOR DE INTERNET.
- Realiza la activación del sistema de control y accesos.
- Verificación de altas y bajas del uso de computadoras.
OPERADOR DE IMPRESIONES.
- Imprime a requerimiento del cliente.
- Procura insumos.
OPERADOR DE LLAMADAS.
- Verifica el tarifador en monto cero.
- Verifica la finalización del uso.
ENCARGADO DE SERVICIO TECNICO.
- Mantiene preventivo y correctivo el estado de las computadoras, fotocopiadoras, impresoras,
redes y telefonía.
ENCARGADO DE COMPUTADORAS Y FOTOCOPIADORAS.
- Verifica el buen funcionamiento en forma periódica de los equipos de cómputo y
fotocopiadoras.
- Reparación a requerimiento y necesidad.
ENCARGADO DE REDES Y TELEFONIA.
- Verificación de la conectividad entre equipos de cómputo.
- Verificación de la conectividad telefónica como ser el tarifador y aparatos telefónicos.
ENCARGADO DE VENTAS.
- Cobro de todos los servicios ofrecidos, además de la venta de material de escritorio y
generación e impresión de reportes para realizar el arqueo de caja diario.
CAJERO.
- Recibe el dinero por servicios prestados o venta de material.
- Registro de toda transacción o venta realizada.

 Los servicios del área informática.

 Los activos y los sistemas informáticos de la empresa.

  Los cargos y funciones, y

 Los servicios del área informática.

 Los activos y los sistemas informáticos de la empresa.

Plan de Auditoría
Empresa a Auditar: Café internet el quijote con 5 computadores y se maneja con un
programa llamado el ciber (un activo), este tipo de empresa se nos
facilita porque en toda parte hay un café internet y podemos preguntar
qué problemas son los que se presentan

Auditor Líder Diego Alberto

Sua Sandoval Tipo de Auditoria Interna

Fecha Inicio 20 marzo Fecha de Cierre 10 de abril

Auditores
Criterio de Auditoria o
Documentos de referencias
Oscar Mauricio Jiménez Urrea
Pedro Demetrio Roncancio
Henry Sebastián Muñoz
Oscar Felipe Campuzano Torres
Diego Alberto Sua Sandoval
ISO 9011
ISO 14001

Experto técnico N. A
Observadores N. A
Objetivo de la auditoria
1. Confirmar que el sistema de gestión cumple los requisitos aplicables de la norma auditada

2. Confirmar que la organización ha implementado las disposiciones planificadas

3. Confirmar que el sistema de gestión es capaz de cumplir la política y alcanzar los objetivos de la
organización
4. Confirmar las competencias compromiso e interrelación de las dependencias internas de la
organización con el cumplimiento de las normativas que rigen sus procesos.

Aspectos a Evaluar
Matriz de aspectos e impactos de los procesos.
Matriz de requisitos legales.
Uso, adquisición y manejo de proveedores de materias primas.
Manejo, control y disposición de residuos.
Plan de contingencia a emergencias.

Funciones Y Responsabilidades Del Equipo Auditor:

AUDITOR LÍDER (1): Los Auditores líderes de UNAD Consultores tienen la autoridad para el
control y el rendimiento de las actividades de auditoría en sitio, incluyendo cualquier planificación,
revisión, y control de los miembros del equipo de auditoría. Están autorizados a conducir las
Auditorias de UNAD Consultores, tomar aquellas decisiones que sean necesarias durante las
auditorias.
AUDITOR ACOMPAÑANTE (1): Autoridad para el control y ejecución de las actividades de
auditoría, incluyendo cualquier planificación y Realización de la Auditoria.
EXPERTO TECNICO (1): Aportar su experiencia en una disciplina definida en UNAD
CONSULTORES (2): Relacionar los aspectos técnicos referentes al estándar auditado aplicables al
cliente. 3. Informar al Auditor Líder antes de la auditoria, los puntos pertinentes que requieran la
investigación durante el curso de la auditoria. 4. Ayudar al Auditor Líder con el proceso de asignación
de tareas de auditoría específicos a los Miembros del equipo.5. Proporcionar aclaraciones información
solicitada por un auditor. OBSERVADOR (1): La presencia y la justificación de los observadores
durante una actividad de auditoría serán acordadas por la UNAS Consultores y el cliente antes de la
realización de la auditoria. El equipo de auditoría se cerciorará de que los observadores no influyen o
interfieren en el proceso de auditoría o en el resultado del ejercicio. Los observadores pueden ser
miembros de la organización del cliente, consultores, organismos reguladores u otras personas
justificadas.
Alcances de la auditoría:

Con la presente auditoria se pretende establecer el estado del hardware, las redes y el software usado en
el café internet el Quijote, con el fin de verificar el cumplimiento de las normas locales y para
garantizar el funcionamiento óptimo y duración de la planta física de la empresa.

Se evaluará:
- El estado de la red eléctrica.
- Sistemas de protección eléctrica.
- El estado de la red de datos.
- El inventario de los equipos.
- Hoja de vida de los equipos.
- Vida útil de los equipos, posibilidad de actualizarlos o necesidad de reemplazo.

Metodología,

Recursos:

Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de

datos con la asesoría metodológica de un Ingeniero Auditor.

Físicos: Instalaciones del local comercial, el cableado estructurado del sitio, herramientas de
medición eléctrica.

Tecnológicos: equipos de cómputo, software instalado para la red, cámara digital.

Cronograma de actividades.
CRONOGRAMA DE ACTIVIDADES

AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA, EQUIPOS DE

PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.

Entidad: Café internet El Quijote

N Marzo Abril
ACTIVIDAD
° 16 17 20 21 22 23 24 27 28 29 30 1 4 5 6 7 8 11
Solicitud informe de equipos
de cómputo, red física,
1
equipos de protección
eléctrica, y seguridad física.
Análisis de la información
2
suministrada
3 Evaluación de Riesgos
Ejecución de Pruebas y
Obtención de Evidencias
Consolidación del informe de
auditoria
Entrega y exposición del
informe de auditoría a la
gerencia.

El grupo consulta en el blog la estructura del estándar CobIT

PROGRAMA DE AUDITORIA
(Dominios, procesos, y los objetivos de control),

seleccionan 5 procesos con sus respectivos objetivos de control y actividades de control y elabora el
programa de auditoría.

PLANEAR Y ORGANIZAR (PO): Este dominio cubre las estrategias y las tácticas, y tiene que ver
con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio.

a) ¿Las estrategias de manejo de información son adecuadas?

b) ¿Los recursos se están usando de manera óptima?
c) ¿Los empleados entienden los objetivos de TI?
d) ¿los riesgos se están gestionando de forma adecuada?
 Se eligen los siguientes procesos y objetivos
PO1 Definir el plan estratégico de TI.
PO1.2 Alineación de TI con el Negocio
PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO2 Definir la arquitectura de la información
PO2.1 Modelo de Arquitectura de Información Empresarial
PO3 Determinar la dirección tecnológica.
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
PO4 Definir procesos, organización y relaciones de TI.
PO4.7 Responsabilidad de Aseguramiento de Calidad TI
PO4.14 Políticas y Procedimientos para Personal Contratado
PO5 Administrar la inversión en TI.
PO5.4 Administración de Costos de TI
PO5.5 Administración de Beneficios
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO6.4 Implantación de Políticas de TI
PO7 Administrar recursos humanos de TI.
PO7.4 Entrenamiento del Personal de TI
PO7.7 Evaluación del Desempeño del Empleado

ENTREGAR Y DAR SOPORTE

DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Los niveles de servicio se diseñan acorde de las necesidades del negocio para lo se evalúa la
situación y condición de la empresa o negocio con el fin de establecer los niveles de alcance
(dentro del alcance y fuera del alcance) los cuales se tendrían en cuenta
- La negociación de requisitos de los servicios actuales y a futuro tenido en cuenta los
objetivos y visión de la empresa a corto y largo plazo.
- El desarrollo y gestión de los niveles operativos.
- La revisión de los contratos con los proveedores externos, para asegurar su correcta
ejecución (proveedores de equipos, servicio de internet, líneas telefónicas, correos
electrónicos, licencias sistemas operativos, licencias programas)
- Revisión periódica de los sistemas y contratos de terceros
- Planteamiento y revisión a planes de mejoramiento
ADMINISTRAR LOS SERVICIOS DE TERCEROS
La administración de servicios de terceros se encarga de revisar los servicios con los cuales
cuenta la empresa y se ofertan por empresas especializadas.
Teniendo en cuenta se busca la eficiencia y el mejoramiento de dichos servicios, en el caso la
empresa café internet el quijote se puede establecer.
- La mejora en el servicio de internet, manteniendo los pagos al día, y buscando
mejores ofertas en el mercado
- Identificar y categorizar los servicios que se prestan por los terceros
- Minimizar los riesgos con los proveedores que no se desempeñan de forma
inadecuada
- Establecer relaciones y responsabilidades bilaterales con los proveedores de los
servicios
- Monitorear el desempeño de los proveedores
- Identificar el número de quejas de los servicios contratados

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

El desempeño y la capacidad de los recursos depende directamente de los equipos de cómputo
de la empresa, lo cual se debe monitorear el rendimiento y desempeño de los equipos
(computadores, teléfonos, celulares), impresoras, redes, cableado, Router, teniendo en cuenta
los requerimientos del café internet don quijote
- Se establecen tiempos de monitoreo y medición de los equipos
- Se recomienda el monitoreo para establecer reportes de desempeño de los equipos
- Se debe pronosticar y moldear el desempeño de los sistemas para prevenir los
futuros inconvenientes

GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Se establecen planes de mejoramiento a corto y largo tiempo para establecer una garantía y la
continuidad del servicio, ofreciendo mejoras y asesoramiento para asegurar el mini impacto en
caso de una interrupción de los servicios de la empresa, enfocándonos en el desarrollo de las
soluciones automatizadas y desarrollando planes de mantenimiento en la continuidad de los
servicios.

GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

 Garantizamos la integridad de la información de los usuarios de la empresa como de sus
clientes, protegiendo los activos vinculados al área de sistemas y tecnología de la empresa.
- Realizando monitoreo de seguridad (implementación de antivirus, scanner de
malware)
- Realizando acciones correctivas en las vulnerabilidades encontradas en los
monitoreo de seguridad
- Mantener actualizado las condiciones de seguridad con actualizaciones
- Administrar las identidades de los usuarios controlando los permisos de los usuarios.

IDENTIFICAR Y ASIGNAR COSTOS

Identificar los costó ajustando a las necesidades de los usuarios de la empresa para optimizar un
sistema justo y equitativo. Para esto se requiere una estructura precisa y llegar a un acuerdo con
la empresa sobre a la asignación justa de un presupuesto para el área de sistemas.
- Un sistema equitativo le permite a la empresa tomar decisiones más informadas
respecto a los servicios del área de sistemas
- La elaboración y aprobación de un sistema de costos completo
- Tener control de las facturas de los servicios del área de sistemas (las facturas
pagadas y facturas aprobadas)

EDUCAR Y ENTRENAR A LOS USUARIOS

Buscamos las fallas y falencias de los usuarios, para identificar las necesidades de capacitar a
los usuarios. También identificar las necesidades de los usuarios en las aplicaciones o sistemas
operativos, estas capacitaciones se llevan a cabo para medir el rendimiento y resultados de los
usuarios para disminuir los errores.
Esto lo lograríamos estableciendo
- Capacitaciones y entrenamientos
- Organización de capacitación por demanda de los usuarios
- Monitorear y reportarla efectividad de las capacitaciones

ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Responde de manera pronta y correcta a los requerimientos del usuario cuando presente
problemas en el área de sistemas de la empresa, para esto se requiere diseñar una mesa de
trabajo o servicio que incluya
- Registro de las fallas
 - Escalamiento de los incidentes o fallas
- Análisis del problema con recurrencias
- Monitoreo de los reportes para crear tendencias
- Analizar y localizar la raíz y resolución del problema
- Crear una base de datos con los problemas y posibles soluciones, para minimizar el
tiempo de procesos
Gracias a esto de incrementa de forma notable la productividad de los servicios de la empresa
ofreciendo mejores resultados a los clientes.

ADMINISTRAR LA CONFIGURACIÓN
Establecer las configuraciones adecuadas de los programas informativos y sistemas operativos
para garantizar el mayor rendimiento de los equipos y mejorar el rendimiento de la empresa, y
mantener los programas con las últimas actualizaciones disponibles, esto se realiza para
optimizar los futuros problemas que se puedan presentar en el área de seguridad y
compatibilidad de software y hardware de los equipos de la empresa café internet quijote.

ADMINISTRAR LOS PROBLEMAS

Crear una base de datos con los problemas que se han presentado en los equipos de la empresa,
como lo son fallos físicos, problemas de software, problemas de compatibilidad de software,
errores de arranque, entre otros problemas que se pueden presentar, esto para optimizar el
tiempo de respuesta para mejorar el mantenimiento y la revisión del status de las acciones del
plan correctivos.
Se enfoca en registrar todos los posibles nuevos fallos y resolver los problemas desde la causa
principal o la raíz del problema para su identificación futura.
Se lograría
- Realizando análisis a los sistemas regularmente
- Revisando las bases de datos de los antivirus
- Anotando las frecuencias del error y los equipos que los presentan
- Llevar los avances y actualizaciones sobre los problemas
- Tener anotaciones sobre los fallos en el momento de solucionarlo
ADMINISTRAR LOS DATOS
Tener actualizadas los registros o las hojas de vida de los computadores con los cambios
realizados, partes cambiadas, cambios de software.
Administrar las librerías de medios, crear y mantener actualizados los respaldos y la
recuperación de datos de la empresa y los usuarios, la eliminación de datos y programas
innecesarios lo cual ayuda a garantizar la calidad, la oportunidad y la disponibilidad de la
información de la empresa cuando se necesite disponer de ella.
Asegurarnos de mantener la disponibilidad, la exactitud, la integridad y la seguridad de los
datos.

ADMINISTRAR EL AMBIENTE FÍSICO

Buscamos optimizar el espacio y la infraestructura de la red para su mejor distribución, y
monitorear los factores ambientales de los equipos y los usuarios velando por la seguridad de
los usuarios y de los equipos para su optimo desempeño en un área segura que minimice las
interrupciones a la empresa ocasionadas por daños a los usuarios o a los equipos.

ADMINISTRAR LAS OPERACIONES

Administramos los procesos realizados, los cambios efectuados y la programación de
mantenimientos de hardware de los equipos de la empresa garantizando su optima rendimiento,
llevando acabo monitoreo de la infraestructura de las oficinas y la red de cableado, optimizando
la labor de reducir los retrasos en trabajo y el costo de operaciones de la empresa.
Asegurarnos de la integridad de los datos y garantizar que la infraestructura del área de sistemas
puede resistir y recuperarse de los errores y fallas que pueden presentarse.
Conclusiones
- Se aplicaron los conceptos de la auditoria y la seguridad informática en la empresa seleccionada por
el grupo “Café internet el quijote”.
- Se estudio la empresa
- Se realizo el diagrama organizacional de la empresa.
- Se realizo el objetivo de la auditoria, los alcances y la metodología, el cronograma de actividades y el
(PO)
- Por consiguiente, se definió que la auditoría como herramienta nos permite evaluar los procesos con
el ánimo de optimizar un error, un riesgo o una vulnerabilidad y proponer soluciones para mitigar sus
causas.
- Logramos identificar los pasos necesarios para elaborar un plan de auditoria
- Se logró elaborar un plan de auditoria para una empresa en especifico
- Las listas de chequeo es una herramienta útil para el auditor al momento de enfrentar una
auditoria.
Referencias bibliográficas
- Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
- Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).
Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica
- Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión
práctica. (pp. 9- 29).Recuperado de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
- Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su clasificación.
Recuperado de http://hdl.handle.net/10596/10236