Auditoria de sistemas

Jorge Enrique Duque Escobar

1070943672

Presentado por:

MARIA CONSUELO RODRIGUEZ

Presentado a:

Universidad nacional abierta y a distancia

Bogotá 05/03/2020

Ingeniería de Sistemas

Grupo 90168_19
 Introducción

Según la norma ISO 19011:2011 la auditoría se define como: “proceso

sistemático, independiente y documentado para obtener evidencias”, este
proceso realizado dentro de una empresa permite la identificación de
vulnerabilidades y amenazas que pueden afectar un sistema tecnológico,
sea este hardware o software.

Nosotros realizaremos un proceso completo de una auditoría donde se

pasara por una etapa de conocimiento, planeación, donde se realiza un
estudio general de la empresa Permoda LTDA, la ejecución de la misma y la
entrega de resultados.

En la etapa de planeación se realizará el cronograma, planeación de

actividades y presupuesto, para que de esta manera se pueda planificar
correctamente el proceso y llevar la auditoría a buen término.

Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT,

lo que nos permitirá desarrollar nuestros conocimientos en este proceso tan
importante para el desarrollo de nuestro perfil profesional en el área de
sistemas.

Esperamos que la información recopilada incremente nuestras capacidades

y nos brinde el conocimiento necesario de este tema para la aplicación en
nuestra vida profesional.

OBJETIVOS DEL DOCUMENTO

• Que los estudiantes identifiquen paso a paso lo que es la
elaboración de cada fase de una auditoria informática.

• Aplicar los conocimientos en 27001:2013 para la realización del

trabajo de la auditoria.

• Afianzar los conocimientos desarrollados en el primer trabajo.

• Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.

• Elaborar un plan de auditoria para aplicarlo a la empresa real, en un

ambiente de trabajo real.

• Realizar el programa de auditoria teniendo en cuenta los estándares

solicitados.
 Contexto Permoda LIDA

Quienes Somos:

Una multinacional del sector retail con presencia en Colombia, México,

Costa Rica, Ecuador y Panamá; con operaciones en China, Bangladesh e
India. Nuestra sede principal está ubicada en Bogotá – Colombia, donde
generamos más de 6000 empleos directos que impulsan el desarrollo del
país.

Somos expertos en interpretar la moda del mundo y hacerla posible en

gran medida con manos colombianas, teniendo como aliados a productores
internacionales con quienes garantizamos look, calidad, precio y actualidad.

A continuación, les presento un pequeño video donde se brinda información

de la compañía.

Canal Oficial:

KOAJ / Permoda LTDA

 Centros de distribución.

Es una empresa textil donde se vende productos textiles donde se cuanta

por varios medios de distribución una directa por medio de tiendas y virtual
por medio de la pagina web, se cuenta con varios tipos de tienda los cuales
son las siguientes.

Tiendas:

Se identifica que las únicas tiendas que tienen equipos propios de la

compañía son las de Bogotá ecuador y costa rica., donde cada una de las
tiendas manejan entre 1 y 15 equipos.
Plantas:

Estas son las plantas donde se elaboran los productos.

En estas plantas se diseñan y se fabrican las prendas vendidas por la

compañía con la marca KOAJ. A nivel tecnológico se manejan hasta 10
equipos por área.
Logística:

En esta área se maneja la distribución y almacenamiento de las prendas

producidas por la compañía.
Corporativo:

En este edificio esta toda el área administrativa de la compañía donde a

nivel tecnológico tienen la mayor cantidad de dispositivos electrónicos ya
sean computadores, impresoras, móviles como también se ubica el
datacenter y el área de tecnología de la compañía.
Focos de actuación:
Área informática
Director General:

Se encargan de que los departamentos de informática funcionen sin

contratiempos y eficientemente. Trabajan, por ejemplo, con analistas de
sistemas para mejorar los sistemas informáticos. Asimismo, gestionan
bases de datos, organizan la formación del personal, gestionan
presupuestos, organizan el mantenimiento de los ordenadores y ponen en
práctica sistemas de respaldo en caso de que surja un fallo de TIC.

Jefe de infraestructura:

Es el responsable de administrar y coordinar la infraestructura tecnológica

de la empresa, asegurando la disponibilidad de los servicios de hardware,
software base y comunicaciones.

Ingeniero infraestructura:

Un ingeniero de infraestructura o de redes es el responsable de gestionar el

área de operaciones de Infraestructura de TI asegurando el correcto
funcionamiento de los procesos a su cargo.

Jefe de aplicaciones

Es el responsable de administrar y coordinar las aplicaciones utilizadas en

todas las tiendas de la compañía, asegurando la disponibilidad de los
servicios de dichas aplicaciones.

Analista de Aplicaciones:

UN analista de aplicaciones responsable de administrar las aplicaciones

corporativas de las tiendas de la compañía y mantener el correcto
funcionamiento de los procesos a su cargo.
Jefe de soporte:

Planificar, dirigir y supervisar el servicio de Soporte Técnico, quedando a

cargo de la operación del mismo y de su recurso humano. ·Documentar y
mantener procesos, procedimientos y normas para el servicio de Soporte
Técnico de acuerdo con las políticas de la Organización

Técnico de soporte:

Brindar soporte técnico y asistencia a usuarios de equipos informáticos en

el ámbito de la Universidad. Documentar procesos y capacitar a los
usuarios en el uso del recurso informático. Asesorar a los usuarios y sus
necesidades en la compra de software, hardware y dispositivos informáticos

Jefe de mesa de ayuda:

Asegurar el nivel de Servicio, gestión y organización del equipo de trabajo e

interacción con el responsable por parte de Nuestro Cliente.

Aplicar las mejores prácticas definidas por Nuestro Cliente en el Servicios.

Liderar y conducir el equipo de trabajo, brindando dirección (coaching) y
motivación.

Analista mesa de ayuda:

Brindar soporte al usuario, Garantizar que los tickets sean cerrados en los
tiempos comprometidos. Alertas que mantienen al cliente al tanto de las
incidencias. Hacer entrega de reportes con los indicadores de desempeño
más importantes.
 Activos informáticos de la compañía

A cti v o s afe ctad o s e n la e m p re s a U b ica ció n fi sica U b icació n v irtu al

S e rv id o re s d e a rch iv o s F u n z a Se d e Fun za 10.1.1.139

S e rv id o re s d e a rch iv o s g e n e ral Ed ifi cio C o rp o ra ti v o , D a ta ce n te r te cn o lo g ia p iso 3
S e rv id o r re p o s ito rio Ed ifi cio C o rp o ra ti v o , D a ta ce n te r te cn o lo g ia p iso 3 NA
E q u ip o s d e co m p u to Ed ifi cio C o rp o ra ti v o , s e d e te q u e n d a m a , se d e cal le 22, ti eNnAd a s p ro p ia s, S e d e s M e x ico p a n a m
se rv id o r d e d y n a m ics Ed ifi cio C o rp o ra ti v o , D a ta ce n te r te cn o lo g ia p iso 3 10.1.1.86
S e rv id o r p l an ta s Ed ifi cio C o rp o ra ti v o , D a ta ce n te r te cn o lo g ia p iso 3 10,1,1,119
D o b le En la ce d e in te rn e t p ro v e e d o r ti e n d a s Tie n d a s NA
 servicios del área informática

Los servicios del área de tecnología son los siguientes y están divididos por
áreas:

Servicio al cliente:

Call center de la compañía donde se presenta servicio de atención a todos

los clientes que realizan sus compras en nuestras tiendas.

Mesa de servicios:

Mesa de servicios tiendas:

Se brinda soporte remoto o telefónico,whatsapp o Skype a todas las

tiendas a nivel internacional de la compañía, dichas tiendas están ubicadas
entre otros países como México costa Rica, Ecuador, Colombia. En dichas
tiendas se brinda soporte a software corporativo de la compañía como
también a sistema operativo. En esta área hay 6 analistas

Mesa de servicios Administrativo:

En este núcleo de operación de la mesa de servicios se brinda soporte

remoto o telefónico,whatsapp o Skype tanto a la parte administrativo
como operativa de la compañía los cuales también están ubicados en los
siguientes países México, costa Rica, Ecuador, Colombia, Panama, China.
En esta área hay 6 analistas.
Soporte en sitio:

Se brinda soporte en sitio de segundo nivel de hardware, software y

aplicaciones corporativa de la empresa a todas las tiendas y al área
administrativa de la compañía, en esta área hay 6 técnicos

Aplicaciones tercer nivel:

Esta área se divide el tres sub áreas el área de aplicaciones

Dynamics:

Aplicación que maneja la parte contable, operativa, y de bodegas de la

compañía,

Aplicaciones Post:

Donde se maneja la aplicación de las cajas de las tiendas informes de

ventas entre otros.

Powerbi:

Aplicación de desarrollo de la compañía donde se manejan los informes

entrega de resultado de la compañía.

Aplicaciones Dynamics:

Esta área la componen 4 ingenieros donde cada uno tiene unos roles
diferentes:

Ingeniero 1: Maneja Arquitectura y bodega de la empresa.

Ingeniero 2: Maneja la contabilidad y países.

Ingeniero 3: Maneja la parte de producción y contable.

Ingeniero 4: Maneja la parte de compras y corporativa de la empresa.

Aplicaciones Post:
Se brinda soporte y aplicación de cambios a la herramienta front de las
tiendas de la empresa. En el área de aplicaciones hay 10 analistas.

Aplicaciones Powerbi:

Consta de 1 ingeniero encargado del desarrollo del servicio de las

plataformas.
 Sistemas informáticos de la empresa

En la compañía Permoda se manejan varios sistemas informáticos

dependiendo el área se maneja la aplicación, ya que por ejemplo en el área
de tecnología se maneja un sistema de monitoreo de red la cual no se
maneja en otra área, los sistema de información se utilizan de la siguiente
manera:

Contabilidad: Maneja un sistema llamada ICG,ADAM, donde manejar la

información financiera de las tiendas como también la información de todos
los empleados.

Gestión humana:

Manejan universidad de la moda donde le brindan capacitación a todos los

empleados de la compañía , como también manejan ADAM para entregar
los certificados laborales y de empleados.

Cortes:

Manejan una herramienta llamada BI5 manejada por el área para la

división de las prendas.

Dynamics

Maneja Arquitectura y bodega de la empresa.

Maneja la contabilidad y países.

Maneja la parte de producción y contable.

Maneja la parte de compras y corporativa de la empresa.

Activos que mas se afectan en la empresa:

N° Vulnerabilidad Amenazas Riesgo Categoría

No es posible implementar los lineamientos de seguridad en materia de red de datos, toda vez que la El riesgo radica en la vulnerabilidad que poseen los redes inalámbricas, debido a que los
Intercepción Seguridad
1 infraestructura física de la red de datos no es suficiente para abarcar la totalidad de los usuarios y fue protocolos de seguridad de esta tecnología son fáciles de penetrar y existen gran
Modificación lógica
necesario instalar acces point para darles acceso a la red. cantidad de herramientas que permiten hacerlo.

El riesgo radica en la imposibilidad de atender un requerimiento de manera oportuna,

No se cuenta con la codificación de los puntos de red en el edificio, ni en el gabinete del rack de Acceso físico a los recursos del
4 toda vez que no se cuenta con la codificación requerida para la identificación de los Redes
telecomunicaciones. sistema
puntos de acceso a la red, lo cual va en contra vía a los principios de eficiencia y eficacia.

El riesgo radica en la imposibilidad de realizar una copia de seguridad en un equipo-

No existe perfiles de usuario en el Seguridad
5 Ausencia de servidor como repositorio de archivos. servidor que actué como repositorio de archivos, con el ánimo de realizar un respaldo
sistema lógica
global.

El riesgo radica en la ausencia de equipos de cómputo de respaldo, toda vez que en el

Fallas en la configuración de los Seguridad
7 Ausencia de equipos de contingencia. momento que se genera un daño, no es posible reemplazarlo, para que continué
equipos lógica
funcionando en pro de la correcta operación de los sistemas informáticos.

Debido a que el trámite de las garantías se encuentra centralizado en el nivel central esta
8 Agilidad en la ejecución de los trámites de las garantías de los equipos de cómputo ante los contratistas. no se gestionan dentro los tiempos establecidos, ocasionando traumatismo y afectando Hardware
los procesos y trámites que se deben hacer en los sistemas de información.

Talento
Los procesos de capacitación al momento de implementar las soluciones tecnológicas
humano -
10 Falta de capacitación específica para la ejecución de actividades inherentes. no son los adecuados, con el ánimo de garantizar el correcto funcionamiento de las
proceso de
herramientas tecnológicas y de información.
capacitación

Existe el constante riesgo de pérdida de información, toda vez que los funcionarios no
Talento
11 Ausencia de copias de seguridad por parte de los funcionarios sacan copias de seguridad, ni usan el servidor destinado como repositorio de archivos
humano
para conservar las mismas.

Seguridad
Ataques de virus Sistemas de seguridad Estos ataques se producen por tener equipos desprotegidos o desactualizados
lógica

Es de vital importancia mantener las contraseñas o la información importante en lugares Seguridad

13 Perdida de información importante como contraseñas Sistemas de seguridad
seguros y respaldados. lógica

Al momento de desarrollar software a la medida parala empresa, no se tienen reglas ni

Seguridad
14 No existe una política de desarrollo de software Vulnerabilidades tecnológicas estructura, lo que ha generado varias soluciones incompatibles entre sí y que no siguen
lógica
lineamientos de desarrollo.
 Objetivos

Implementar un modelo de seguridad informática en un sistema de

monitoreo para los canales de comunicaciones en la empresa Permoda
Ltda.

Adicionalmente en esta auditoria se evaluara la infraestructura física de la

Compañía Permoda Ltda,tales como los equipos de cómputo, Seguridad
lógica y de redes, ya que estos son los que permiten el funcionamiento de
todos los aplicativos, sistemas de información y soluciones tecnológicas que
permiten el desarrollo de los procesos misionales por parte de las personas
que conforman el talento humano de esta entidad.

1.2 Específicos

 Identificar las posibles problemáticas de seguridad informática que

pueden surgir en el desarrollo de los procesos realizados en la
empresa.
 Diseñar políticas de seguridad y modelo de implementación de las
mismas.
 Evaluar la adquisición e implementación de las soluciones en materia
de tecnología de información así como la integración en los procesos
de la entidad así como el cambio y el mantenimiento de los sistemas
existentes.
 Evaluar la entrega de los servicios requeridos, la prestación del
servicio, la administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los datos y de
las instalaciones operativas
 Evaluar el monitoreo y evaluación en cuanto a su calidad y
cumplimiento de los requerimientos de control, así como también la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación en la organización.

2. Propósito
El propósito de este documento es ofrecer un instructivo de orientación
para el diligenciamiento de la herramienta de diagnóstico.

3. Alcance

Este proyecto comprende el diseño de una política de seguridad orientada

al cumplimiento de los controles de la norma ISO/IEC 27001:2013 dirigida
a procesos, activos y riesgos que pertenecen al área de TI en la empresa
Permoda Ltda.

En esta auditoria se evaluara la infraestructura física de la compañía

permoda tales como los Seguridad lógica, redes, y equipos de computo a ya que
estos son los que permiten el funcionamiento de todos los aplicativos,
sistemas de información y soluciones tecnológicas que permiten el
desarrollo de los procesos misionales por parte de las personas que
conforman el talento humano de esta empresa.
MESAS DE TRABAJO
Se efectuarán, las mesas de trabajo cada diez (7) días y las que se requieran de
acuerdo a los resultados que se obtengan.
TIEMPO ESTIMADO
Se estima que la duración de la auditoria se realizara los días hábiles comprendidos
entre el 15 de febrero al 22 de mayo de 2020. De requerir ampliación de términos se
solicitará su diligencia oportunamente.
RECURSO HUMANO
El equipo auditor que desempeñara la auditoria está conformado por los siguientes
profesionales:
FUNCIONARIO ROL
Jorge Enrique Duque Auditor 1
xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor
xxxxxxxxxxxxxxxx Auditor

Se ha considerado que para la auditoria solo se necesita del personal informado

Recursos económicos

ELEMENTOS COSTOS TOTALES

Computador 4 4000000
Celular 1 700000
Espacio en la nube 0 00000

TOTAL: 4700000

Toda auditoría realizada tiene un costo tanto en tiempo como en términos

económicos, esto depende de la entidad, empresa u organización a auditar, para este
caso y por ser la empresa Permoda LTDA. Se requerirá en tiempo el semestre
universitario, acciones que comenzarán a realizarse desde el día 15 de febrero al 22
de mayo del año en curso, se ha realizado el plan de trabajo para tratar de utilizar solo
los días planificados en un principio y para tratar de realizar la auditoria de una forma
más llevadera. El costo presentado en la anterior tabla es basado en la infraestructura
y los requerimientos de la empresa.
 AUDITORÍA Seguridad lógica, redes, y equipos de computo

AUDITORÍA Seguridad lógica, redes, y equipos de computo

Entidad:
Marzo Abril Mayo
Actividad
 1  2  3  4  1  2  3  4  1  2  3  4
ACTIVIDAD 1
Planeacion auditoria elaborar plan
ACTIVIDAD 2
de auditoria y programa de
…….
auditoria
ACTIVIDAD 3
Objetivo 2 ACTIVIDAD 4
ACTIVIDAD 5
ACTIVIDAD 6
Objetivo 3
ACTIVIDAD 7

Objetivo 4
ACTIVIDAD 8

AUDITORÍA
Seguridad lógica, redes, y equipos de computo.xlsx