Auditoría de Sistemas

Presentado por:

Jorge Enrique Duque Escobar - 1070943672

Sandra Patricia Cañas Melo - 28205959

Andrés Cruz -80241418

Hamilton Gómez Melo - 1026303803

Presentado a:

FRANCISCO NICOLÁS SOLARTE

Universidad nacional abierta y a distancia

Bogotá 05/03/2020

Ingeniería de Sistemas

Grupo 90168_19

Introducción
Según la norma ISO 19011:2011 la auditoría se define como: “proceso
sistemático, independiente y documentado para obtener evidencias”,
este proceso realizado dentro de una empresa permite la identificación
de vulnerabilidades y amenazas que pueden afectar un sistema
tecnológico, sea este hardware o software.

Nosotros realizaremos un proceso completo de una auditoría donde se

pasará por una etapa de conocimiento, planeación, donde se realiza un
estudio general de la empresa Permoda LTDA, la ejecución de la misma
y la entrega de resultados.

En la etapa de planeación se realizará el cronograma, planeación de

actividades y presupuesto, para que de esta manera se pueda planificar
correctamente el proceso y llevar la auditoría a buen término.

Dentro de este trabajo realizaremos el plan de auditoría basado en

COBIT, lo que nos permitirá desarrollar nuestros conocimientos en este
proceso tan importante para el desarrollo de nuestro perfil profesional
en el área de sistemas.

Esperamos que la información recopilada incremente nuestras

capacidades y nos brinde el conocimiento necesario de este tema para la
aplicación en nuestra vida profesional.
 Objetivos del documento

• Que los estudiantes identifiquen paso a paso lo que es la elaboración

de cada fase de una auditoria informática.

• Aplicar los conocimientos en 27001:2013 para la realización del

trabajo de la auditoria.

• Afianzar los conocimientos desarrollados en el primer trabajo.

• Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.

• Elaborar un plan de auditoria para aplicarlo a la empresa real, en un

ambiente de trabajo real.

• Realizar el programa de auditoria teniendo en cuenta los estándares

solicitados.
 Objetivos generales

Implementar un modelo de seguridad informática en un sistema de

monitoreo para los canales de comunicaciones en la empresa Permoda
Ltda.

Adicionalmente, en esta auditoria se evaluará la infraestructura física de

la Compañía Permoda Ltda, tales como los equipos de cómputo,
Seguridad lógica y de redes, ya que estos son los que permiten el
funcionamiento de todos los aplicativos, sistemas de información y
soluciones tecnológicas que permiten el desarrollo de los procesos
misionales por parte de las personas que conforman el talento humano
de esta entidad.

Objetivos específicos

• Identificar las posibles problemáticas de seguridad informática que

pueden surgir en el desarrollo de los procesos realizados en la empresa.

• Diseñar políticas de seguridad y modelo de implementación de las

mismas.

• Evaluar la adquisición e implementación de las soluciones en materia

de tecnología de información, así como la integración en los procesos de
la entidad, así como el cambio y el mantenimiento de los sistemas
existentes.

• Evaluar la entrega de los servicios requeridos, la prestación del

servicio, la administración de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administración de los datos y de las
instalaciones operativas.

• Evaluar el monitoreo y evaluación en cuanto a su calidad y

cumplimiento de los requerimientos de control, así como también la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación en la organización.

• Evaluar los procedimientos para captura, verificación y

almacenamiento de datos.

• Revisar los procedimientos para asignación de claves de acceso a los

equipos y aplicaciones, modificaciones, cancelaciones, etc.

• Identificar y evaluar los riesgos y/o fraudes de mayor incidencia al

interior de la compañía.

Propósito

El propósito de este documento es ofrecer un instructivo de orientación

para el diligenciamiento de la herramienta de diagnóstico.

Alcance

Por medio de esta auditoría pretendemos asesorar a la gerencia y

directivos de PERMODA, en lo relacionado con sistemas de información,
permitiendo que la toma de decisiones se lleve a cabo
satisfactoriamente. Es necesario conocer las políticas generales y
posición de los directivos frente a la auditoría y la importancia de la
seguridad de los sistemas de información.

En esta auditoría se evaluará la infraestructura física de la compañía

Permoda tales como los Seguridad lógica, redes, y equipos de cómputo
a ya que estos son los que permiten el funcionamiento de todos los
aplicativos, sistemas de información y soluciones tecnológicas que
permiten el desarrollo de los procesos misionales por parte de las
personas que conforman el talento humano de esta empresa.

Este proyecto comprende el diseño de una política de seguridad

orientada al cumplimiento de los controles de la norma ISO/IEC
27001:2013 dirigida a procesos, activos y riesgos que pertenecen al
área de TI en la empresa Permoda Ltda.

Procederemos a realizar las recomendaciones pertinentes, derivadas del

análisis realizado y la funcionalidad de la seguridad aplicada a los
sistemas de información utilizados por la compañía, adicionalmente, se
pretende concientizar sobre los costos involucrados en la sistematización
de los diferentes procesos, así como los beneficios obtenidos en la
misma.
 Contexto Permoda LTDA

¿Quiénes somos?

Una multinacional del sector retail con presencia en Colombia, México,

Costa Rica, Ecuador y Panamá; con operaciones en China, Bangladesh e
India. Nuestra sede principal está ubicada en Bogotá – Colombia, donde
generamos más de 6000 empleos directos que impulsan el desarrollo del
país.

Somos expertos en interpretar la moda del mundo y hacerla posible en

gran medida con manos colombianas, teniendo como aliados a
productores internacionales con quienes garantizamos look, calidad,
precio y actualidad.

A continuación, les presento un pequeño video donde se brinda

información de la compañía.
 Canal Oficial

KOAJ / Permoda LTDA

Centros de distribución

Es una empresa textil donde se vende productos textiles donde se

cuanta por varios medios de distribución una directa por medio de
tiendas y virtual por medio de la página web, se cuenta con varios tipos
de tienda los cuales son las siguientes.
Tiendas

Se identifica que las únicas tiendas que tienen equipos propios de la

compañía son las de Bogotá, Ecuador y Costa Rica, donde cada una de
las tiendas manejan entre 1 y 15 equipos.
 Plantas

Estas son las plantas donde se elaboran los productos.

En estas plantas se diseñan y se fabrican las prendas vendidas por la

compañía con la marca KOAJ. A nivel tecnológico se manejan hasta 10
equipos por área.
 Logística

En esta área se maneja la distribución y almacenamiento de las prendas

producidas por la compañía.
 Corporativo

En este edificio esta toda el área administrativa de la compañía donde a

nivel tecnológico tienen la mayor cantidad de dispositivos electrónicos
ya sean computadores, impresoras, móviles como también se ubica el
datacenter y el área de tecnología de la compañía.
Focos de actuación
 Área informática

Director General

Se encargan de que los departamentos de informática funcionen sin

contratiempos y eficientemente. Trabajan, por ejemplo, con analistas de
sistemas para mejorar los sistemas informáticos. Asimismo, gestionan
bases de datos, organizan la formación del personal, gestionan
presupuestos, organizan el mantenimiento de los ordenadores y ponen
en práctica sistemas de respaldo en caso de que surja un fallo de TIC.

Jefe de infraestructura

Es el responsable de administrar y coordinar la infraestructura

tecnológica de la empresa, asegurando la disponibilidad de los servicios
de hardware, software base y comunicaciones.

Ingeniero infraestructura

Un ingeniero de infraestructura o de redes es el responsable de

gestionar el área de operaciones de Infraestructura de TI asegurando el
correcto funcionamiento de los procesos a su cargo.

Jefe de aplicaciones

Es el responsable de administrar y coordinar las aplicaciones utilizadas

en todas las tiendas de la compañía, asegurando la disponibilidad de los
servicios de dichas aplicaciones.

Analista de Aplicaciones

UN analista de aplicaciones responsable de administrar las aplicaciones

corporativas de las tiendas de la compañía y mantener el correcto
funcionamiento de los procesos a su cargo.
Jefe de soporte

Planificar, dirigir y supervisar el servicio de Soporte Técnico, quedando a

cargo de la operación del mismo y de su recurso humano. ·Documentar
y mantener procesos, procedimientos y normas para el servicio de
Soporte Técnico de acuerdo con las políticas de la Organización

Técnico de soporte

Brindar soporte técnico y asistencia a usuarios de equipos informáticos

en el ámbito de la Universidad. Documentar procesos y capacitar a los
usuarios en el uso del recurso informático. Asesorar a los usuarios y sus
necesidades en la compra de software, hardware y dispositivos
informáticos

Jefe de mesa de ayuda

Asegurar el nivel de Servicio, gestión y organización del equipo de

trabajo e interacción con el responsable por parte de Nuestro Cliente.

Aplicar las mejores prácticas definidas por Nuestro Cliente en el

Servicios. Liderar y conducir el equipo de trabajo, brindando dirección
(coaching) y motivación.

Analista mesa de ayuda

Brindar soporte al usuario, Garantizar que los tickets sean cerrados en

los tiempos comprometidos. Alertas que mantienen al cliente al tanto de
las incidencias. Hacer entrega de reportes con los indicadores de
desempeño más importantes.
Activos informáticos de la compañía

Servicios del área informática

Los servicios del área de tecnología son los siguientes y están divididos
por áreas:

Servicio al cliente:

Call center de la compañía donde se presenta servicio de atención a

todos los clientes que realizan sus compras en nuestras tiendas.

Mesa de servicios

Mesa de servicios tiendas:

Se brinda soporte remoto o telefónico, Whatsapp o Skype a todas las

tiendas a nivel internacional de la compañía, dichas tiendas están
ubicadas entre otros países como México costa Rica, Ecuador, Colombia.
En dichas tiendas se brinda soporte a software corporativo de la
compañía como también a sistema operativo. En esta área hay 6
analistas
Mesa de servicios Administrativos:

En este núcleo de operación de la mesa de servicios se brinda soporte

remoto o telefónico, WhatsApp o Skype tanto a la parte administrativa
como operativa de la compañía los cuales también están ubicados en los
siguientes países México, costa Rica, Ecuador, Colombia, Panamá,
China. En esta área hay 6 analistas.

Soporte en sitio:

Se brinda soporte en sitio de segundo nivel de hardware, software y

aplicaciones corporativa de la empresa a todas las tiendas y al área
administrativa de la compañía, en esta área hay 6 técnicos

Aplicaciones tercer nivel:

Esta área se divide el tres subáreas el área de aplicaciones

Dynamics:

Aplicación que maneja la parte contable, operativa y de bodegas de la

compañía.

Aplicaciones Post:

Donde se maneja la aplicación de las cajas de las tiendas, informes de

ventas, entre otros.

Power BI:

Aplicación de desarrollo de la compañía donde se manejan los informes

y entregas de resultados de la compañía.
Aplicaciones Dynamics:

Esta área la componen 4 ingenieros donde cada uno tiene unos roles
diferentes:
Ingeniero 1: Maneja Arquitectura y bodega de la empresa.
Ingeniero 2: Maneja la contabilidad y países.
Ingeniero 3: Maneja la parte de producción y contable.
Ingeniero 4: Maneja la parte de compras y corporativa de la empresa.

Aplicaciones Post:

Se brinda soporte y aplicación de cambios a la herramienta front de las

tiendas de la empresa. En el área de aplicaciones hay 10 analistas.

Aplicaciones Power BI:

Consta de 1 ingeniero encargado del desarrollo del servicio de las

plataformas.

Sistemas informáticos de la empresa

En la compañía Permoda se manejan varios sistemas informáticos

dependiendo el área se maneja la aplicación, ya que por ejemplo en el
área de tecnología se maneja un sistema de monitoreo de red la cual no
se maneja en otra área, los sistemas de información se utilizan de la
siguiente manera:

Contabilidad:

Maneja un sistema llamada ICG, ADAM, donde manejar la información

financiera de las tiendas como también la información de todos los
empleados.
Gestión humana:

Manejan universidad de la moda donde le brindan capacitación a todos

los empleados de la compañía, como también manejan ADAM para
entregar los certificados laborales y de empleados.

Cortes:

Utilizan una herramienta llamada BI5 y es utilizada para la división de

las prendas.

Dynamics:

Maneja la Arquitectura y bodega de la empresa.

Maneja la contabilidad y países.
Maneja la parte de producción y contable.
Maneja la parte de compras y corporativa de la empresa.
Evaluación inicial:

N° Vulnerabilida Amenazas Riesgo Categoría

d
1 No es posible Intercepció El riesgo radica en la Seguridad
implementar n vulnerabilidad que lógica
los Modificación poseen las redes
lineamientos de inalámbricas, debido
seguridad en a que los protocolos
materia de red de seguridad de esta
de datos, toda tecnología son fáciles
vez que la de penetrar y existen
infraestructura gran cantidad de
física de la red herramientas que
de datos no es permiten hacerlo.
suficiente para
abarcar la
totalidad de los
usuarios y fue
necesario
instalar acces
point para
darles acceso a
la red.
4 No se cuenta Acceso El riesgo radica en la Redes
con la físico a los imposibilidad de
codificación de recursos del atender un
los puntos de sistema requerimiento de
red en el manera oportuna,
edificio, ni en el toda vez que no se
gabinete del cuenta con la
rack de codificación
telecomunicacio requerida para la
nes. identificación de los
puntos de acceso a la
red, lo cual va en
contra vía a los
principios de
eficiencia y eficacia.
5 Ausencia de No existe El riesgo radica en la Seguridad
servidor como perfiles de imposibilidad de lógica
repositorio de usuario en realizar una copia de
archivos. el sistema seguridad en un
equipo-servidor que
actué como
repositorio de
archivos, con el
ánimo de realizar un
respaldo global.
7 Ausencia de Fallas en la El riesgo radica en la Seguridad
equipos de configuració ausencia de equipos lógica
contingencia. n de los de cómputo de
equipos respaldo, toda vez
que en el momento
que se genera un
daño, no es posible
reemplazarlo, para
que continué
funcionando en pro
de la correcta
operación de los
sistemas
informáticos.
8 Agilidad en la Debido a que el Hardware
ejecución de los trámite de las
trámites de las garantías no se
garantías de los encuentra
equipos de centralizado, no se
cómputo ante gestionan dentro los
los contratistas. tiempos establecidos,
ocasionando
traumatismo y
afectando los
procesos y trámites
que se deben hacer
en los sistemas de
información.
10 Falta de Los procesos de Talento
capacitación capacitación al humano -
específica para momento de proceso de
la ejecución de implementar las capacitación
 actividades soluciones
inherentes. tecnológicas no son
los adecuados, con el
ánimo de garantizar
el correcto
funcionamiento de
las herramientas
tecnológicas y de
información.
11 Ausencia de Existe el constante Talento
copias de riesgo de pérdida de humano
seguridad por información, toda vez
parte de los que los funcionarios
funcionarios no sacan copias de
seguridad, ni usan el
servidor destinado
como repositorio de
archivos para
conservar las
mismas.
Ataques de Sistemas de Estos ataques se Seguridad
virus seguridad producen por tener lógica
equipos
desprotegidos o
desactualizados
13 Pérdida de Sistemas de Es de vital Seguridad
información seguridad importancia lógica
importante mantener las
como contraseñas o la
contraseñas información
importante en
lugares seguros y
respaldados.
14 No existe una Vulnerabilid Al momento de Seguridad
política de ades desarrollar software lógica
desarrollo de tecnológicas a la medida para la
software empresa, no se
tienen reglas ni
estructura, lo que ha
generado varias
soluciones
incompatibles entre
 sí y que no siguen
lineamientos de
desarrollo.

Recursos humanos:

Apellidos y Nombres
Jorge Duque Auditor Junior

Patricia Cañas Auditor Junior

Andrés Cruz Auditor Junior

Hamilton Gómez Auditor Junior

Recursos físicos: La auditoría se llevará a cabo en la empresa

Permoda LTDA en la ciudad de Bogotá, específicamente en el área de las
TICs.

Recursos tecnológicos: Grabadora digital para entrevistas, cámara

fotográfica para pruebas que servirán de evidencia, computador portátil,
software para pruebas de auditoría sobre escaneo y tráfico en la red.
Recursos económicos:

Ítem Cantidad subtotal

Computador 4 6.000.000

Celular 1 800.000

Tester de red 1 150.000

Total 6.950.000

Toda auditoría realizada tiene un costo tanto en tiempo como en

términos económicos, esto depende de la entidad, empresa u
organización a auditar, para este caso y por ser la empresa Permoda
LTDA. Se requerirá en tiempo el semestre universitario, acciones que
comenzarán a realizarse desde el día 15 de febrero al 22 de mayo del
año en curso, se ha realizado el plan de trabajo para tratar de utilizar
solo los días planificados en un principio y para tratar de realizar la
auditoría de una forma más llevadera. El costo presentado en la anterior
tabla es basado en la infraestructura y los requerimientos de la
empresa.
Cronograma de actividades:

Y finalmente se hace el cronograma de actividades, donde se determina

el tiempo de duración de cada una de las actividades programadas para
cumplir los objetivos específicos. Se representa mediante un diagrama
de GANNT, para construirlo se toman las actividades generales de cada
objetivo y se especifica el tiempo de duración de cada actividad. Para el
tiempo, deben tener en cuenta la agenda de actividades del curso.

AUDITORÍA Seguridad lógica, redes, y equipos de computo

Entidad:
Febrero Marzo Abril Mayo
Actividad
15 14 16 12 13 8 9 22
Evaluar las políticas y criterios
• Identificar los procedimientos
existentes con respecto al uso del
software, hardware, operación y
mantenimiento de los sistemas de
Planeacion auditoria elaborar plan de información de la compañía.
…….
auditoria y programa de auditoria
Verificar los procedimientos
relacionados con el desarrollo de
software siguiendo el proceso de
análisis, desarrollo e implementación del
mismo.
Ejecución de la auditoría Revisar los procedimientos existentes
Diseñar y aplicar instrumentos de recolección sobre la seguridad física de las
de información; Realizar el proceso de instalaciones, personal, equipos,
análisis y evaluación de riesgos; Elaborar el documentación, back-ups, pólizas y
cuadro de tratamiento de riesgos planes de contingencia.
• Evaluar los procedimientos para
Resultados de la auditoría
captura, verificación y almacenamiento
Determinar los hallazgos de la auditoria;
de datos.
Definir los controles y tipo de control;
Revisar los procedimientos para
Elaborar Dictamen de la auditoria; Elaborar
• Verificar el cronograma establecido
informe final de auditoría
para el mantenimiento de aplicaciones y
Resultados finales de la auditoría
Identificar y evaluar los riesgos y/o
Compilar trabajo completo de la auditoría,
fraudes de mayor incidencia al interior
Elaborar video metodología auditoria
de la compañía. Para que posteriro a
 Conclusiones

Hoy en día la planeación en la auditoría de sistemas es de vital

importancia para las empresas modernas con visión de futuro, sobre
todo aquellas que están inmersas en el mundo globalizado, porque si no
se prevén los mecanismos de control, seguridad y respaldo de la
información dentro de una institución, se verá sumida a riesgos lógicos,
físicos y humanos, que conllevan a fraudes, no solamente económicos,
sino de información, es decir, pérdidas para la empresa.

La auditoría de sistemas de información deberá comprender no solo la

evaluación de los equipos de cómputo de un sistema o procedimiento
específico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos y controles.
 Referencias bibliográficas

ECHENIQUE GARCIA, José A., Auditoría en informática, 2ª Ed., Mc

GRAW-HILL, México D.F., 2005.

http://bibdigital.epn.edu.ec/handle/15000/1019

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html

http://www.isaca.org/knowledge-center/cobit/Pages/Overview.aspx