INFORME DE AUDITORIA APLICANDO METODOLOGIA DE ANALISIS DE RIESGO

“MAGERIT” PARA EL SUPERMERCADO MI FUTURO

ELIDA PUELLO MOVIL

DARIO JOSE GUACANEME MARQUEZ
FABIAN QUINTERO
LEANDRO SANCHEZ

PRESENTADO A:

ING. NEHEMIAS SARABIA

UNIVERSIDAD POPULAR DEL CESAR

FACULTAD DE INGENIERIAS Y TECNOLOGICAS
AUDITORIA DE SISTEMAS
VALLEDUPAR (CESAR)
2019
 TABLA DE CONTENIDO

1. Introducción
2. Fase I – Estudio Preliminar o Toma de contacto
Conocimiento de la organización y su contexto
Lineamientos estratégicos
Mapa de procesos
Estructura organizacional de la empresa
Descripcion de los procesos de negocio

3. FASE II – PLANEACION DE LA AUDITORIA

Problemática presentada en la organización
Objetivos de la auditoria
Alcance
Plan programa y presupuesto a utilizar en la auditoria
Identificacion y selección de herramientas para la ejecución de la auditoria
Situación actual de los componentes del sistema de información
Identificacion de activos

Caso de Estudio – Análisis de Riesgo

Identificación y dependencia de Activos en PILAR
Valoración de Activos
Mapa de Riesgos
Valoración de Amenazas por Activos
Valoración de Activos por Amenaza
Evaluación de Salvaguardas
Evaluación de Salvaguardas PILAR
Estado de Riesgo
Plan de Seguridad y ejecución

4. Conclusiones
5. Bibliografía
 INTRODUCCIÓN

Desde hace mucho tiempo la información que se maneja en una organización se

considera uno de los activos más valiosos que puede llegar a tener (los costos que
puede llegar a tener una empresa con una pérdida de información por falta de
seguridad pueden ser catastróficos y afectarían la imagen de la misma) por lo que
vemos que cada vez la seguridad de la información va formando una parte esencial y
primordial de los objetivos de una organización.

Con el auge de la tecnología y su continua evolución, van aumentando los ataques, las
fallas y vulnerabilidades en las empresas y con ellas se ve la necesidad de adoptar
tanto las medidas como los controles que permitan protegerlas ante las amenazas o
vulnerabilidades que podrían afectar a sus activos informáticos.

Con todo lo anterior, el propósito de este trabajo es realizar un informe de auditoria que
permita mediante la recolección de evidencias, determinar la confiabilidad y calidad de
la ejecución de las actividades realizadas en el sistema de información de
supermercados Mi Futuro, aplicando la metodología de gestión de riesgos MAGERIT, la
cual utiliza la herramienta PILAR en congruencia a los criterios establecidos en las
teorias implementadas por el docente para establecer en la organización una toma de
decisiones acertada.
2. FASE 1 – ESTUDIO PRELIMINAR O TOMA DE CONTACTO

2.1 Conocimiento de la organización y su contexto

Supermercado mi futuro es una empresa dedicada a la comercialización de productos y

servicio de la canasta familiar, donde su principal objetivo está orientado en satisfacer
las necesidades y preferencias de los clientes, tiene dentro de sus metas a corto plazo
llegar al sur de la Guajira. Reinaldo Reyes Pacheco, uno de los propietarios del
supermercado tiene claro que la competencia no es nada fácil “Mi futuro antes los
demás supermercados está dando la batalla, es por esto que el negocio familiar es de
gran orgullo”

para la realización del diagnóstico que se desarrollará en este informe de auditoría en el

supermercado mi futuro se tendrá en cuenta toda la información correspondiente a la
organización, como son sus lineamientos estratégicos, su mapa de procesos, entre
otros puntos los cuales son relevantes para dar un diagnostico apropiado y determinar
su situación actual.

DESCRIPCION DEL NEGOCIO

Es una empresa dedicada a la comercialización de productos

Nombre de la
y servicios de la canasta familiar. Está orientada a satisfacer
empresa
las necesidades y preferencias de sus clientes a través de
productos selectos, con la mejor calidad y a los mejores
precios del mercado. Todo esto lo respaldado con sus
colaboradores y con el compromiso por el bienestar de la
comunidad Cesarénse.
REYES LOPEZ
S.A.S
OBJETIVO O RAZÓN DE SER DE LA EMPRESA

Comercio al por mayor y menor en establecimientos

especializados compuesto principalmente por alimentos,
bebidas o tabaco y en general todo tipo de productos de la
 canasta familiar.

PRODUCTOS Y SERVICIOS

Carnes, delicatesen, panadería y repostería, frutas y verduras,

pescadería, refrigerados, alimentación en general, droguería e
higiene.

Lineamientos Estrategicos

Misión

Somos una empresa dedicada a la comercialización de productos y servicios de la

canasta familiar. Estamos orientados a satisfacer las necesidades y preferencias de
nuestros clientes a través de productos selectos, con la mejor calidad y a los mejores
precios del mercado. Todo esto lo respaldamos con nuestros colaboradores y con el
compromiso por el bienestar de la comunidad Cesarénse.

Visión

En el 2020 ser el Supermercado líder en la región Cesarénse y posicionar marca a nivel

nacional; cautivar la lealtad de los consumidores regionales y nacionales, la preferencia
de los proveedores y ser orgullo de todos nuestros empleados y colaboradores

Objetivos estratégicos

Creer en la renovación permanente y la apuesta por las nuevas tecnologías que hagan
prestar una mejor calidad de servicio

Principios y valores
 Nuestro trabajo y desempeño cotidiano siempre se desarrolla pensando en la
satisfacción del cliente al que nos debemos y cuya confianza debemos ganarnos día a
día, por tanto, la organización tiene los siguientes valores:

 Respeto
 Honestidad
 Comunicación
 Responsabilidad
 Transparencia
 Integridad
 Constancia
 Entusiasmo
 Calidad
 Integridad

Mapa de procesos

C C
L Planificación Desarrollo L
I estratégica de gestión I
E E
N N
T T
E E
S Gestión de Gestión de supervisión S
compras ventas de despacho

Logística Gestión contable y RR. HH.

financiera
Fuente: supermercados Mi futuro, 2019

ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA

Fuente: supermercados Mi futuro, 2019

La estructura organizacional de la empresa se encuentra establecida o dividida por

distintos niveles o jerarquias, los cuales son:
  nivel operativo
 nivel tactico o del conocimiento
 el nivel estrategico.

Nivel operativo: en este nivel se encuentra el personal y los procesos primordiales,

como la gestion de las transacciones con los clientes, los procesos de facturacion,
gestion de inventario, estado de los stand de los productos, la gestion de provedores y
sus aportes a la empresa.

Nivel tactico o del conocimiento: en este nivel se encuentra el personal encargado de

gestionar la impormaion proporcianada por el nivel operativo, entre sus proceso esta la
contratacion de nuevos empleados, liquidacion de nomina, pagos a los provedores,
gestion del recurso humano, ademas se encarga del mantenimiento y correcto
funcionamiento de los software o aplicativos que ayudan en los procesos de la
empresa.

Nivel estrategico: este es el nivel encargado de la direccion de la empresa y la toma

de deciciones, esta apollado por los niveles anteriores para realizar sus actividades.

DESCRIPCION DE LAS DEPENDENCIAS

Funciones del área administrativa

 Asesorar a la Dirección General en la formulación de políticas, planes y

programas para la administración del talento humano, los recursos físicos
y financieros de organización.

 Definir y ejecutar las políticas, programas y proyectos de administración

del talento humano, de conformidad con las normas de empleo público.
  Formular, en coordinación con las Direcciones y la Oficina Asesora
Jurídica, el Plan de Formación y Capacitación de los trabajadores de la
organización y velar por su ejecución.

 Definir, ejecutar y controlar las políticas, planes y programas relacionados

con la gestión presupuestal, contable y de tesorería.

 Dirigir, coordinar y controlar los procesos contractuales.

 Dirigir y verificar la elaboración, consolidación y presentación de los

estados financieros y suministrar la información financiera que le sea
solicitada por las autoridades competentes.

 Presentar al Ministerio de Hacienda y Crédito Público el Programa Anual

de Caja, de conformidad con las obligaciones financieras adquiridas.

 Dirigir la elaboración, aprobación y ejecución del Plan de adquisiciones del

supermercado

 Dirigir y controlar las actividades relacionadas con proveedores,

adquisición, almacenamiento, custodia, distribución e inventarios de los
elementos, equipos y demás bienes necesarios para el funcionamiento del
supermercado.

Funciones del area de ventas

 Determinar el valor de las mercancías a vender en el supermercado.

 Hacer estudios de mercado para los productos.
 Supervivencia de los productos.
 Utilidades actuales máximas.
 Participación máxima del mercado.
 Captura máxima del segmento superior del mercado.
 Liderazgo en calidad de productos.
  Administrar y controlar el fondo asignado al Departamento.
 Autorizar los procedimientos del Departamento en coordinación con su
gerencia.
 Rendir informes mensuales, trimestrales, semestrales y anuales a la
Gerencia, de las operaciones realizadas en el Departamento.
 Realizar las demás funciones que expresamente le encomiende el
Gerente del área.

Descripción de los roles

1. Cajero(a): encargado de las ventas en las ventas

en las distintas sucursales de la empresa.

2. Resurtidores: encargados de resurtir los stands de

las sucursales.

3. Los transportadores: encargados de proveer los

Nivel operativo productos desde las bodegas a las distintas
sucursales.

4. Personal de aseo: las personas encargadas de

mantener las sucursales con un buen ambiente
para los clientes.

5. El personal de seguridad: quienes se encarga de la

seguridad y el orden en las distintas sucursales de
la cadena de supermercados.

1. Recursos humanos: personas encargadas de velar

por los intereses de los trabajadores, la
contratación de ellos y sus respectivas
prestaciones sociales.

2. Jefe de sistemas: quien lidera la oficina de

Nivel táctico o del sistemas, el cual tiene como función mantener en
conocimiento óptimo funcionamiento todos las aplicaciones,
software y sistemas de redes de comunicaciones
para el bueno funcionamiento de los procesos en la
empresa.

3. Contador: persona encargada de llevar la

contabilidad de la empresa y la situación
 económica actual en la que ella se presenta.

4. Tesorero: quien administra los recursos

económicos de la empresa.

5. Secretario(a): personal encargado de las gestiones

de las tareas asignadas por sus jefes inmediatos de
las distintas oficinas de la empresa.

1. Gerente general (Reinaldo Reyes): es la

Nivel estratégico
autoridad máxima actual de la empresa, es
quien autoriza todo tipo de proyecto nuevo a
realizar en la empresa y quien da el visto bueno
de las distintas procesas que se presenten en
ella.

2. Gerente comercial (Reinaldo Reyes): encargado

de las relaciones con los proveedores y
asociados de la empresa, reuniones con los
jefes de cada área para velar por el correcto
funcionamiento de los procesos en la empresa,
de la mano del gerente general.

Descripcion de los procesos del negocio

Proceso de ventas
ID NOMBRE DEL DESCRIPCION ACTORES
PROCESO

01 Ventas Es el proceso principal por el que se crea Cliente y

valor para nuestros clientes. Vender supermercado
también supone llevar a cabo un proceso y (Vendedor)
una secuencia de actividades que en su
versión más simplificada van desde la
introducción en nuestro sistema del pedido
de un cliente hasta la entrega del
producto/servicio.

ACTIVIDADES (descripción de las actividades del

proceso)
ID ACTIVIDAD DESCRIPCION ACTOR
01 Recibir pedido Se recibe la petición de solitud de compra Supermercado
por parte del cliente.
02 Consultar Se consulta en el software contable la Supermercado
disponibilidad disponibilidad en el módulo de inventario

03 Facturación Se realiza factura a crédito o contado según Supermercado

indicación del cliente.

04 Orden de Se emite una orden de entrega del pedido a Supermercado

entrega bodega para que se inicialice el proceso de
entrega del articulo comprado.
Proceso Recibo y almacenamiento

ID NOMBRE DEL DESCRIPCION ACTORES

PROCESO

02 Abastecimiento Proceso de adquisición de todos los Gerente,

recursos necesarios para poder ejecutar administrador,
los distintos procesos de Suministro de Almacenista,
Productos y Servicios en el supermercado. contabilidad, ventas,
logística operativa,
oficios varios

ACTIVIDADES (descripción de las actividades del

proceso)
ID ACTIVIDAD DESCRIPCION ACTOR
01 Consultar Esta actividad tiene dos ítems: uno es la Gerente,
Inventario inspección física y la otra es la administrador,
comprobación de inventario en el sistema. Almacenista,

02 Verificar estado Se verifica el estado físico y de administrador,

vencimiento de los productos. Almacenista, logística
operativa

03 Llenar planilla de Son planillas de pedido con formato para administrador,

pedido cada proveedor de insumos. Almacenista,

04 Aprobar compra Se supervisan por parte de gerencia todas Gerente,

las compras. administrador,
contabilidad

05 Solicitar pedido a Se envía por correo electrónico la solicitud Gerente,

proveedor de aprovisionamiento a los proveedores. administrador,

06 Realizar depósito Se realiza el depósito de pago a cuenta del Gerente, contabilidad

bancario proveedor.
07 Recibir los Los suministros pueden llegar entre 2 y 5 administrador,
suministros días luego de concertada la operación de Almacenista, logística
compra de insumos. operativa

ID NOMBRE DEL DESCRIPCION ACTORES

PROCESO

03 Recibo y Es el proceso que sigue para recibir los Administrador,

Almacenamiento productos y almacenarlos almacenista,
de productos contabilidad, empresa
transportadora,
logística operativa

ACTIVIDADES (descripción de las actividades del proceso)

ID ACTIVIDAD DESCRIPCION ACTOR
01 Recibir factura de Se recibe factura enviada con el Administrador,
compra. transportador por parte del proveedor. almacenista,
contabilidad,

02 Verificar factura Se verifica que tanto la factura como la Administrador,

de compra con orden de compra concuerden. almacenista,
orden de compra. contabilidad

03 Preparar espacio Se dispone el espacio para almacenaje de almacenista

en bodega. los insumos.

04 Permitir el Se da luz verde para que los encargados del almacenista

descargue de los descargue procedan.
insumos.

05 Clasificar insumos El tipo de almacenaje es clave, se clasifican Almacenista y logística

para tipo de teniendo en cuenta los que necesiten operativa
almacenaje cadena de frio o niveles de humedad
apropiados.
 06 Verificar Se ordena, supervisa y verifica la forma Almacenista y logística
acomodación de como los encargados del descargue operativa
los insumos acomodan los insumos.

07 Firmar planilla de La planilla contiene información de recibido Almacenista y

recibido. con éxito. administrador

08 Pagar el Se paga a los encargados de descargue Administrador y

descargue (vienen con el transportador). contabilidad

Proceso inventario

ID NOMBRE DEL DESCRIPCION ACTORES

PROCESO

04 Inventario Es la contabilización y comprobación de Gerente, administrador,

estado de todos los productos que hay en contabilidad,
bodega. almacenista, logística
operativa

ACTIVIDADES (descripción de las actividades del

proceso)
 ID ACTIVIDAD DESCRIPCION ACTOR
01 Se programa Se informa a todos los empleados la fecha Gerente, administrador,
inventario (todos del inventario. contabilidad,
los empleados almacenista, logística
participan) operativa

02 Verificación física Se verifica de manera física el estado y administrador,

cantidad de insumos. almacenista, logística
operativa

03 Verificación en Se imprime reporte de inventario del administrador,

sistema. sistema. contabilidad

04 Comparar Se comprueba la información del inventario Gerente, administrador,

inventario físico físico con reporte del sistema. contabilidad,
con el del
sistema.

05 Analizar posibles Se analiza las incongruencias y posibles Gerente, administrador,

causas. causas de éxito o falla. contabilidad, almacenista

06 Se realizan Se realizan ajustes correctivos en las Gerente, administrador,

ajustes operaciones y en el sistema. contabilidad, almacenista

Proceso contabilidad
ID NOMBRE DEL DESCRIPCION ACTORES
PROCESO

05 Contabilidad Procesos que recogen aquellas actividades Gerente, contador,

relacionadas con registrar las entradas y auxiliar contable,
salidas de dinero en una organización o logística administrativa
empresa

ACTIVIDADES (descripción de las actividades del proceso)

ID ACTIVIDAD DESCRIPCION ACTOR
01 Recibir pagos de Recibir todos los dineros por parte de Gerente, contador,
clientes ventas. auxiliar contable

02 Contabilizar Contabilizar en el software y en libretas de contador, auxiliar

pagos o abonos apoyo la información. contable
de clientes

03 Pagar a Realizar pago a los proveedores. Gerente, contador,

proveedores auxiliar contable

04 Liquidación de Liquidar quincenalmente la nómina. Gerente, contador,

nomina auxiliar contable,
logística administrativa

05 Pago de gastos Corresponde a pagos ligados directamente Gerente, contador,

varios de la con la operación de la empresa. auxiliar contable,
empresa. logística administrativa

06 Elaboración y Gestionar Información exógena e informes a contador, auxiliar

entrega de gerencia. contable, logística
informes administrativa

07 Cobro y manejo Recupera la cartera morosa de la empresa. Gerente, contador,

de cartera auxiliar contable,
logística administrativa
Proceso de mantenimiento de equipos

ID NOMBRE DEL DESCRIPCION ACTORES

PROCESO

06 Mantenimiento de Procesos y procedimientos que ponen en Gerencia, administrador,

equipos marcha con el objetivo de mantener y contabilidad
reparar los equipos empleados en la
distribución y evitar que ésta se pueda ver
afectada por un mal funcionamiento.

ACTIVIDADES (descripción de las actividades del

proceso)
ID ACTIVIDAD DESCRIPCION ACTOR
01 Reportar daño de Se reporta de parte de administración a Administración
la infraestructura gerencia la novedad en la infraestructura
tecnológica. tecnológica.

02 Solicitar Se solicita vía telefónica el servicio técnico. Administración

manteniendo o
soporte técnico.
 03 Concertar visita Se agenda la visita técnica ajustada al Administración
técnica. horario de la empresa y según la prioridad.

04 Atender visita Se ponen a disposición del técnico los Administración

técnica. equipos o sistemas que necesitan
mantenimiento o soporte.

05 Realizar pago de Se realiza el pago según cuenta de cobro Administración y

servicio técnico. por parte de técnico. contabilidad.

FASE II – PLANEACION DE LA AUDITORIA

Problemática presentada en la organización

Supermercados mi futuro cuenta con un gran volumen de clientes, lo cual indica que
está facturando grandes volúmenes de datos en la actualidad, es por esto, que es de
vital importancia para esta, llevar un control de todos sus activos, entre estos, su
sistema de información, el cual ha presentado fallas en los últimos meses, lo que indica
una amenaza a tanto a su seguridad, como a su integridad, disponibilidad y
confidencialidad de sus datos, por tanto, es necesario realizar una auditoría para tomar
las medidas necesarias, dado que, si estos requerimientos no se estan cumpliendo,
ejercerá un impacto deficiente en la toma de decisiones de la organización, lo que
genera un escape de datos y una deficiencia en la funcionalidad de su sistema de
información.

Objetivos de la auditoria

Objetivo General
Desarrollar un informe de auditoría aplicando la metodología de análisis de riesgo
MAGERIT en supermercados “Mi futuro”.

Objetivos específicos
 Analizar la situación actual del sistema utilizado por supermercados “Mi Futuro”
 Identificar, describir y evaluar los activos de la organización
 Identificar, describir y evaluar los riesgos latentes en la organización.
  Identificar, describir y evaluar las amenazas presentes en la organización.
 Aplicar la valoración correspondiente a las amenazas encontradas
 Desarrollar un plan de seguridad para la empresa “Mi Futuro”.
 Desarrollar un informe final soportado bajo los lineamientos de la metodología
MAGERIT.

Alcance

El desarrollo de esta auditoria abarcara un análisis respectivo a sus activos, lo que

incluye su sistema de información, comprendiendo sus activos de hardware y software.
Con esto, se pretende entregar un informe a la gerencia de la organización que refleje
la situación actual de los mismos en donde se aplicaran los correctivos necesarios y las
medidas correspondientes para mitigar los riesgos y vulnerabilidades encontradas.

Plan, Programa y Presupuesto a utilizar en la auditoria

RECURSOS NECESARIOS PARA EL DESARROLLO DE LA AUDITORIA

RECURSO DESCRIPCION PRESUPUESTO ($)

1. Equipo Humano Asesorías

2. Equipos y Software 3 Computadores Portátiles $ 2.800.000
1 Impresora multifuncional $ 350.000
Modem de internet Portatil $ 80.000

3. Viajes y Salidas de 5 salidas de campo al lugar de aplicación $ 100.000

Campo de la auditoria
4. Materiales y 2 Resmas de papel tamaño carta $ 20.000
suministros
Lapiceros $ 5.000
Marcadores $ 4.000
Carpetas $ 4.000
Papel bond $ 2.000
Tinta para impresora $ 60.000
TOTAL $ 3.425.000
 ACTIVIDAD SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4

FASE I - TOMA DE CONTACTO

Identificacion y conocimiento de la organización objeto de

la auditoria

FASE II - PLANEACION DE LA AUDITORIA

Identificacion del origen de la auditoria

Visitas preliminares al area objeto de evaluación

Elaboración del plan, programa y presupuesto

Selección de métodos, herramientas e instrumentos

Asignación de recursos para la auditoria

FASE III – EJECUCION DE LA AUDITORIA

Realización de acciones planteadas para la ejecución de la

auditoria

FASE IV – SINTESIS Y DIAGNOSTICO

Elaboración de documentos y no conformidades

Identificacion de evidencias

FASE V – PRESENTACION DE CONCLUSIONES

FASE VI – REDACCION DEL INFORME FINAL

IDENTIFICACION Y SELECCIÓN DE METODOS Y HERRAMIENTAS PARA LA

REALIZACION DE LA AUDITORIA

Para la realización de la auditoria se utilizará el software PILAR el cual corresponde a la

metodología de Análisis y gestión de riesgos de los Sistemas de Información MAGERIT,
como respuesta a la percepción de que la Administración, y, en general, toda la
sociedad, dependen de forma creciente de las tecnologías de la información para el
cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del

uso de las tecnologías de la información, que supone unos beneficios evidentes para
los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza.
Situación actual de los componentes del sistema de información de la
organización

A continuacion, se realizará una descripcion de los componentes del sistema de

información de la organización:

Infraestructura física: Actualmente la organización, consta de una sede central

localizada en el mercado público de la ciudad de Valledupar y 4 sedes más localizadas
en puntos estratégicos de la ciudad, la sede cdv que es en donde se está realizando la
auditoria cuenta con una planta de 2 pisos, donde se almacenan algunas de las
herramientas que hacen parte del funcionamiento del sistema de información,
específicamente el rack de comunicaciones, donde se almacena el servidor único y
principal de la sede, una oficina para la administración y gestión del software principal,
esta sala cuenta con sistema de refrigeración para la regulación de temperatura del
rack de comunicaciones.

INFRAESTRUCTURA DE RED: La sede CDV cuenta con una conexión a internet de 20

MB, distribuida de manera integral, por todo el supermercado, mediante cableado
estructurado, utilizando una red LAN, interconectada con routers.

Cableado horizontal: Se empleó el cableado horizontal entre piso y techo del edificio
protegidos por canaletas metálicas esto con el fin de evitar amenazas de inundaciones
y manipulación del cableado por personas ajenas al departamento de sistemas.

El cableado horizontal incluye:

Las salidas (cajas/placas/conectores) de telecomunicaciones en el área de trabajo

Cables y conectores de transición instalados entre las salidas del área de trabajo y el
cuarto de telecomunicaciones.

Paneles de empalme (patch panels) y cables de empalme utilizados para configurar las
conexiones de cableado horizontal en el cuarto de telecomunicaciones

Tipo de cable utilizado: cable coaxial y cable par trenzado UTP y STP categoría 5
La señal wifi abierta para los usuarios del supermercado es transmitida a través de un
Access point llamado “wifi abierto” de referencia: UniFi Uap-lr Indoor con 2.4ghz
300mbps y un radio de 183m

Circuito cerrado de televisión: el lugar se encuentra monitoreado con cámaras de IP

y sensores de movimiento, las cámaras IP se encuentras conectadas con cable de red
y también tienen función de wifi y están monitoreando secuencias en tiempo real.

Cuarto de comunicaciones: el cuarto central de comunicaciones se encuentra en la

sede principal del supermercado mi futuro sede mercado, está diseñado de acuerdo a
la norma TIA/EIA 569, interconectando todas las sedes del supermercado con una
antena yagi de largo alcance para poder satisfacer todas las sedes de los
supermercados “mi futuro”

IDENTIFICACION DE ACTIVOS

Equipamiento – Hardware
Servidores: se posee un servidor de base de datos, en el cual se guardan los
datos de los procesos llevados a cabo en la empresa.

Equipos de personal: se cuenta con 6 equipos de computación.

Equipos de hardware:

Nombre Dependencia Cantidad

PC HP Prodesk business Facturación 6
Slim 6306
Portátil HP 14” NOTEBOOK Administración 1
Portátil HP 14” NOTEBOOK Inventario 1
Lector de código de barras Facturación e 5
Honeywell Power Supply inventario
PS-12-1250W-G
Impresoras Epson Tm-t20 Facturación 4
Usb
Impresora HP Multifunción Administración 1
HP ENVY 4508
 Cámaras IP FOSCAM Bodega y 24
FI9816P supermercado
Sensores de movimiento Supermercado 24
Infrarrojo PIR DSC LC100
DSC
Access point UBIQUITI Supermercado 1
UniFi Uap-lr Indoor 2.4ghz
300mbps 183m
Disco duro portable Toshiba 2
1 TB

Equipamiento – Software
 Sistemas de información contable y administrativos: se cuenta con un
sistema de información en el cual se desarrollan los procesos administrativos y
contables de la organización.
 Almacenamiento: se cuenta con un sistema de almacenamiento de
información, es decir, una base de datos en la nube.
 Correo electrónico: se cuenta con correos internos en la organización.
 Sistemas de antivirus: se cuenta con servicio de licencia de antivirus.
 Sistemas informáticos auxiliares: se cuenta con servicios de office.

Aplicaciones usadas

APLICACIÓN S.O. BASE DE PROCESOS

DATOS
Siesa v. 1.17.131 Windows 7 TOTVS CLOUD Facturación, Inventario y
Administración
7Time Windows 7 TOTVS CLOUD Registra control de entrada
y salida de los empleados
Office 2016 Windows 7 Ofimática
Spark Windows 7 Comunicación entre
dependencias

Personal: Solo se cuenta con 1 técnico en sistemas encargados de hacer labores

netamente de mantenimiento, en caso de una eventualidad se cuenta con el ingeniero
de sistemas de la empresa, el cual se encuentra en la sede central monitoreando todos
los procesos de las demás sedes.

Equipamiento Auxiliar

UPS: se consideran a las baterías que protegen a los servidores y equipos de

comunicación de fallos eléctricos.

Generador eléctrico: se posee una planta o generador de energía eléctrica, para

cuando no hay servicio eléctrico.

Equipos de climatización: se cuenta con 1 aire acondicionado integral

Cableado eléctrico: se cuenta con cableado en la organización.

Identificación de Activos en la herramienta PILAR.

A continuacion se describirán paso a paso la identificacion de activos con la

herramienta pilar, esta herramienta los clasifica mediante un código especifico y le
aplica las siguientes categorías:

 Activos esenciales
 Servicios internos
 Equipamiento
 Servicios Subcontratados
 Instalaciones
 Personal
Para ejemplificar la teoría anterior, a continuacion se presenta en pilar la identificacion
de activos por categorías en la herramienta PILAR:

En la ilustración anterior se encuentra distribuida de forma jerárquica los activos de

acuerdo al nivel de dependencia que existe entre estos. Personal Cuartos de rack
Centro de datos, Equipos, Hardware, Servidor, Software, Sistemas, Almacenamiento
Virtualización, Equipos de Comunicación, Correo electrónico, Internet, Comunicaciones,
Red inalámbrica, Red alámbrica, Equipamiento auxiliar, UPS, Generadores eléctricos,
Equipos de climatización, Cableado eléctrico, entre otros.

En este orden, en el primer nivel se han considerado al centro de datos, que es el lugar
donde se concentran los servidores y equipos de comunicación, estos se encuentran en
el segundo nivel al igual que el equipamiento auxiliar. En el tercer nivel se encuentran
los servicios y aplicaciones que corren sobre los equipos de hardware. Además, se han
considerado a los equipos que generan electricidad y la climatización en el centro de
datos que son de suma importancia para el normal funcionamiento de los equipos.

Dependencia de Activos en PILAR.

En la siguiente figura se ha determinado la dependencia existente entre los servidores
con el equipamiento auxiliar, personal e instalaciones. El proceso se repite para cada
uno de los activos.

Valoración de Activos.

A continuación, se realizará la evaluación de los activos en cada uno de los parámetros

de seguridad en que se verían afectados al exponerse ante los diversos tipos de
amenazas que causarían la pérdida de información o daños sobre el equipo que la
almacena, cabe aclarar que esta valoración de activos la realiza el software PILAR.
Escala para evaluación de criterios

Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos
 Mapa de Riesgos.

Tipos de
Degradació Frecuenc
Activos Activos Amenazas Relevantes Riesgo
n ia

Incendio MA MB Medio
Terremoto MA MB Medio
Robo A B Medio
Acceso no autorizado A M Alto
Falla de generador
Equipamiento –Hardware

A M Alto
eléctrico
Acceso no autorizado M B Alto
Servidores Desconexión Física
o MA A Alto
lógica
Falla de
generador A M Medio
eléctrico
Incendio MA MB Medio
Computador Terremoto MA MB Medio
de personal Robo MA B Medio
Sistemas Incendio MA MB Medio
académicos, Terremoto MA MB Medio
financieros y
Acceso no autorizado M A Alto
administrativos
Acceso no autorizado M M Medio
Almacenamient Desconexión física
Equipamiento – Software

MA M Medio
o bases de lógica
Agotamiento de
datos MA M Alto
recursos
Incendio MA MB Medio
Terremoto MA MB Medio
Internet Desconexión física
Sistema
o MA MA Alto
operativo
lógica
Acceso no autorizado MA B Media
Desconexión física
MA A Alta
lógica
Falla de equipos MA A Alta
Incendio MA MB Medio
Comunicacion

Red alámbrica Terremoto MA MB Medio

es

Incendio MA MB Medio
Red
inalámbrica Terremoto MA MB Medio
Incendio MA MB Medio
 Terremoto MA MB Medio

Falla de equipos
UPS de A MA Alto
climatización

Generador
Equipamiento Auxiliar Incendio MA MB Medio
eléctrico

Terremoto MA MB Medio
Incendio MA MB Medio
Equipos de Terremoto MA MB Medio
climatización Falla de equipos
de MA MA Alto
climatización
Incendio MA MB Medio
Terremoto MA MB Medio
Cableado
eléctrico Desconexión física
o MA B Medio
lógica
Incendio MA MB Medio
Centro de datos Terremoto MA MB Medio
Instalaciones

Acceso no autorizado MA B Medio

Incendio MA MB Medio
Cuarto de rack Terremoto MA MB Medio
Acceso no autorizado MA B Medio
Incendio MA MB Medio
Equipo
Terremoto MA MB Medio
desarrollo
Fuga de información A M Medio
Incendio MA MB Medio
Personal

Equipo técnico Terremoto MA MB Medio

Fuga de información A A Alto
Incendio MA MB Medio
Administradore
Terremoto MA MB Medio
s
Fuga de información A A Alto

Valoración de Activos por Amenaza

Tipo
Amenaza Activo Degradac Frecuen Ries
ión cia go
de
Amenaz
a
Servidores MA MB Medio
Computador de personal MA MB Medio
 Sistemas académicos, MA MB Medio
financieros y administrativos
Incendio
y Terremoto Almacenamiento – bases MA MB Medio
de datos
Correo electrónico MA MB Medio
Virtualización MA MB Medio
Internet MA MB Medio
Red alámbrica MA MB Medio
Red alámbrica MA MB Medio
Naturales y de Entorno

Enlace con proveedor MA MB Medio

UPS MA MB Medio
Generador eléctrico MA MB Medio
Equipos de climatización MA MB Medio
Cableado eléctrico MA MB Medio
Centro de datos MA MB Medio
Equipo de desarrollo MA MB Medio
Equipo técnico MA MB Medio
Administradores MA MB Medio
Falla d Servidores A B Medio
generador e Equipos de comunicaciones A B Medio
Ataque no deliberado

eléctrico
Agotamiento Almacenamiento – bases MA M Medio
de de datos
recursos
Falla de UPS A MA Alto
equipos Equipos de climatización MA MA Alto
de
climatización
Servidores A M Alto
Equipos d M B Alto
comunicaciones e

Sistemas académicos, M A Alto

Ataque deliberado Ataque deliberado

financieros y
Acceso no administrativos
autorizado Almacenamiento – bases MA M Medio
de datos
Correo electrónico A A Alto
Virtualización MA A Alto
Centro de datos MA B Medio
Servidores A B Medio
Equipos de comunicaciones A B Medio
Robo
Robot de cintas MA B Medio
Computador de personal MA B Medio
Equipos de comunicaciones M A Alto
Almacenamiento – bases MA B Medio
de datos
 Correo electrónico MA M Alto
Desconexión Virtualización MA M Alto
Física o lógica Internet MA MA Alto
Cableado eléctrico MA B Medio
Equipo de desarrollo A B Medio
Fuga de
Equipo técnico A A Alto
información
Administradores A A Alto

IDENTIFICACION DE AMENAZAS CON LA HERRAMIENTA PILAR

Los datos arrojados por Pilar en cuanto a la evaluación son los siguientes:

Evaluación de Salvaguardas.

Riesgos Salvaguardas Actual Objetivo

Instalación de sistemas contra incendio L0 L3

Instalación de alarmas contra incendio L1 L4

Incendio y
Terremoto Uso y mantenimiento de extintores L2 L5

Desarrollo de plan de emergencia ante incendios L1 L3

 Desarrollo de plan de contingencia ante
L0 L3
desastres
Realizar simulacros de forma periódica
L0 L3

Almacenar las cintas de respaldo en otra oficina L3 L3

Falla de
generador
eléctrico Mantenimiento semanal de generador eléctrico L3 L5

Mantenimiento de equipos de climatización L3

Falla de equipos
de climatización
Adquirir nuevos equipos de climatización L1 L3

Mantenimiento preventivo de servidores y robot

de Cinta L0 L3

Agotamiento de
recursos Revisión de directiva de copias de seguridad de
forma Regular L0 L3

Monitoreo de recursos de los equipos críticos L2 L4

Asegurar los equipos de comunicaciones y

Desconexión servidores
Física o lógica L1 L3
en armarios cerrados

Robo Uso de cables de seguridad para computadores

de personal y portátiles L0 L3

Instalación de antivirus en servidores L1 L3

Instalación de antivirus en equipos de personal L1 L4
Virus
Actualizar periódicamente las firmas del antivirus L2 L4

Malware Instalación de antimalware en servidores L0 L3

 Instalación de antimalware en equipos de personal
L0 L3

Errores de Realizar pruebas de actualizaciones previo a la

L1 L3
configuración Instalación

Pruebas periódicas del cortafuegos L0 L3

Establecer controles de acceso físico L1 L4

Analizar directivas de cortafuegos con regularidad L1 L3

Implementación de sistema de detección de

intrusos L0 L3

Asignar cuentas para la administración de

sistemas
L1 L3

Acceso no
Utilizar autenticación multifactor para conexión L0 L3
autorizado
Remota

Implementar control de cuarentena en VPN L0 L3

Implementar directivas de contraseñas complejas L2 L4

Implementar controles avanzados de gestión de L2 L4

Cuentas
Fuga de
Implementar cifrado de datos L1 L3
información
Contratar personal responsable de la seguridad L0 L4

Solicitar historial de personal antes de ser L2 L3

contratado
 Dar charlas al personal referente a la seguridad
L1 L3

En la tabla se tienen las salvaguardas que indican el nivel de madurez de la

seguridad. En el nivel L0 se consideran a los procedimientos inexistentes y que no
han sido evaluados como son:

 La implementación de un sistema contra incendio.

 Desarrollo de un plan de contingencias ante desastres.
 Realizar simulacros de forma periódica.
 Coordinar una revisión periódica de las directivas de las copias de
seguridad y de las reglas de acceso aplicadas a los cortafuegos para
verificar que éstas se encuentren configuradas correctamente.
 Iniciar el uso de cables de seguridad para los computadores y portátiles.
 La instalación de antimalware en los servidores y equipos del personal.
 Implementar control de cuarentena en VPN
 La contratación de personal responsable de la seguridad, encargado de
documentar los procedimientos, normas y directrices de seguridad de la
información, identificar los roles y responsabilidades que deben
asignarse al personal administrativo; reflejando los cambios en la
política de seguridad, la cual debe someterse a una revisión periódica
en participación conjunta con la Gerencia.

Entre las salvaguardas referentes a la parte lógica se tienen:

 Adquirir la buena práctica de realizar pruebas de las actualizaciones

previas a su instalación en los servidores, haciendo un seguimiento
continuo de los parches de seguridad mediante herramientas de gestión
de vulnerabilidades o actualizaciones automáticas.

 Analizar las directivas de cortafuegos con regularidad asegurando el nivel

de protección equilibrado entre los controles de seguridad de la red
perimetral e interna.
  Asignar cuentas dedicadas a la administración con contraseñas
complejas y que sean cambiadas de forma regular para reducir el riesgo
de acceso no autorizado.

 Para evitar la fuga de información sería recomendable conocer un poco

más sobre el nuevo personal a contratar solicitando un historial,
trabajando de forma conjunta con el personal de Talento Humano para
verificar los antecedentes de forma proporcional a la clasificación de
seguridad de aquella información a la que va a acceder el empleado a
contratar, ya que los accesos para un administrador serian diferentes del
de un administrativo.
 Implementar el cifrado de los datos almacenados y en tránsito.

 Dar charlas al personal referente a la seguridad.

Las salvaguardas con nivel L3 y L4 son aquellas que están siendo implementadas de
forma correcta y que podrían optimizarse para mejorar la seguridad física y lógica.
Los niveles de salvaguardas objetivo son nivel L4 y L5 dependiendo del caso,
siempre tratando de aplicar y optimizar los procedimientos de protección.

Se puede ver reflejado en los resultados obtenidos que existe un desequilibrio en

cuanto a las protecciones físicas y lógicas; las protecciones físicas se han estado
implementando de forma correcta y tan solo requieren ser optimizados; en cambio en
la protección lógica, referente a la definición de procedimientos y directivas aún
requieren ser analizadas, desarrolladas y gestionadas.

Evaluación de Salvaguardas PILAR

 Estado de Riesgo

En la siguiente tabla se clasificará el impacto potencial, actual, y a los objetivos que

pueden surgir o están presentes debido a las amenazas planteadas, además se
clasificaran los riesgos potenciales, actuales y a los objetivos. Por tanto, el sistema
de calificación es de 1 a 10 siendo 1 el nivel más bajo y 10 el nivel más alto.
Impacto Impacto Impacto Riesgo Riesgo Riesgo
Activos Amenaza
Potencial Actual Objetivo Potencial Actual Objetivo
Incendio 8 6 6 5 3 2
Terremoto 7 7 6 5 3 2
Robo 9 7 5 6 3 3
Servidores
Acceso no autorizado 9 6 3 6 4 4
Falla de generador 8 6 4 6 4 4
eléctrico
Incendio 19 6 5 5 3 2
Terremoto 7 6 5 5 3 2
Equipo
Robo 9 5 4 7 3 2
s de
Acceso no autorizado 9 7 4 7 5 3
comuni
Desconexión Física o 8 7 4 6 3 3
cacion
lógica
es
Falla de generador 7 5 4 6 3 3
eléctrico
Incendio 9 6 5 5 3 2
Computador Terremoto 9 6 5 5 3 2
de personal Robo 7 8 3 7 4 3
Malware 7 6 3 7 5 4
Incendio 9 8 5 5 3 2
Sistemas Terremoto 9 8 5 5 3 2
contables y Acceso no autorizado 8 6 3 7 5 3
administrativ
os
Acceso no autorizado 10 8 3 7 6 2
Desconexión física o 9 5 3 6 5 2
Almacena
lógica
miento –
Agotamiento de 7 7 3 7 4 2
bases de
recursos
datos
Incendio 6 6 5 5 1 2
Terremoto 6 6 5 5 1 2
Correo Acceso no autorizado 9 7 3 7 6 3
electrónico Desconexión física o 8 6 3 6 6 3
lógica
Incendio 9 6 5 5 3 2
Internet
Terremoto 9 6 5 5 3 2

Desconexión física o 9 5 4 5 6 3
lógica
Incendio 9 7 4 4 4 3
Red
Terremoto 8 6 4 3 3 2
alámbrica
Incendio 9 7 4 4 4 3
Red
alámbrica Terremoto 8 6 4 3 3 2
Incendio 9 7 3 4 4 3
Terremoto 8 6 3 3 3 2
UPS
Falla de equipos de 9 8 3 7 7 4
climatización
Generador Incendio 9 7 5 4 4 3
eléctrico Terremoto 8 6 5 3 3 2
Equipos de Incendio 9 7 5 4 4 3
climatizació Terremoto 8 6 6 3 3 2
n Falla de equipos de 9 7 3 7 7 4
climatización
Cableado Incendio 9 7 5 4 4 3
eléctrico Terremoto 8 6 5 3 3 2
Desconexión física o 8 8 5 6 6 3
lógica
Centro de Incendio 9 7 6 4 4 3
datos
Terremoto 8 6 6 3 3 2
Acceso no autorizado 8 7 5 6 4 3
Equipo Incendio 8 7 4 4 4 3
de Terremoto 8 6 4 3 3 2
desarr Fuga de información 9 6 3 6 5 3
ollo
Equipo Incendio 9 7 4 4 4 3
técnico Terremoto 8 6 4 3 3 2
 Fuga de información 9 6 5 6 5 3
Administrad Incendio 9 7 4 4 4 3
ores Terremoto 8 6 4 3 3 2
Fuga de información 9 7 5 6 5 3

Impacto acumulado potencial.

El impacto acumulado según los datos ingresados en Pilar, se muestran a continuación,

este informe nos muestra los resultados resaltados por colores siendo el rojo el ámbito

donde más impacto puede existir y el azul el ámbito donde menos hay.
Riesgo Acumulado

Pilar también nos arroja datos sobre el riesgo acumulado teniendo en cuenta los activos
y las amenazas ingresadas, otorgando una clasificación ente 1 y 10 estos son:
Plan de seguridad y ejecución
En esta etapa del proceso de la auditoria es de vital importancia informar tanto a la
gerencia como al personal de las áreas implicadas sobre los activos evaluados con sus
respectivas amenazas y las salvaguardas viables para el proceso. Con esto, toca
describir cada amenaza que requiere eliminarse o reducirse de forma urgente para
optimizar la funcionalidad del sistema de información.

En este orden, como plan principal se deberán aplicar e implementar las salvaguardas
con prioridad mayor es decir las de nivel L0 como medias preventivas, luego las
salvaguardas con niveles superiores que conforman las medidas correctivas. Luego de
haber definido e implementado los diversos procesos a realizar dentro del plan de
seguridad es necesario volver a realizar un nuevo análisis de riesgo para conocer el
nivel de riesgo obtenido, y así tratar de aplicar las medidas de seguridad necesarias
para mantener la seguridad de la información.

Por consiguiente, para que la aplicación de la metodología de gestión de riesgos

MAGERIT sea exitosa debe permanecer en constante revisión por el auditor, puesto
que es un proceso que debe retroalimentarse para así poder asegurarse de que los
niveles de riesgo dentro de la empresa no aumenten y la aplicación de las salvaguardas
sea correcta, para este proceso deben aplicarse las listas de chequeo, los registros de
incidentes y las técnicas de información visual o en su defecto las encuestas

CONCLUSION

La realización de este trabajo, ha sido muy importante para el ejercicio de la auditoria

de sistemas, puesto que, la aplicación de conceptos como la administración de riesgos,
las fases de aplicación de la auditoria entre otros, son esenciales para la confección de
un informe de auditoría, el cual como ingenieros de sistemas que somos, aplicaremos
en algun momento que se requiera en cualquier organización. En este caso, aplicamos
el informe en una sede del supermercado Mi futuro en la ciudad de Valledupar, con
esto, aplicamos toda la información aprendida en clases de forma estandarizada
utilizando herramientas y metodologías fundamentales para el proceso.

En este orden de ideas, gracias a la herramienta PILAR se pudo realizar de forma

rápida la aplicación de la metodología MAGERIT, obteniendo un estudio actualizado de
la gestión de riesgo de la organización MI FUTURO, donde se aplicaron las medidas
correspondientes para mitigar los riesgos encontrados y establecer las salvaguardas
apropiadas, permitiendo ingresar las valoraciones para realizar la evaluación
correspondiente a los activos de la organización. Por ende, después de realizar todo el
proceso que abarca la aplicación de la metodología Magerit se procede a la entrega del
veredicto con el informe de auditoría el cual será un documento de aplicación y
retroalimentación para la organización el cual propondrá una mejora continua a su
sistema de información.