AUDITORIA DE SISTEMAS

UNIDAD 2: FASE 3 - EJECUCIÓN DE LA AUDITORÍA

PLANEACIÓN DE LA AUDITORÍA

ESTUDIANTE

EDWIN FERNEY VELASCO BÁEZ

CÓDIGO 1.057.546.591

TUTOR

FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA “ECBTI”

ABRIL

2020
 P03

1- Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de

chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para

cada proceso asignado.

RIESGOS RELACIONADOS CON EL PO3 PLANEAR Y ORGANIZAR

DETERMINAR LA DIRECCIÓN TECNOLÓGICA

Entrevista

ENTIDAD Institución Educativa San Luis Beltrán PAGINA

AUDITADA 1 D 2
E
OBJETIVO Indagar sobre el direccionamiento tecnológico que posee actualmente
AUDITORÍA la institución San Luis Beltrán y el enfoque futurista que se desea
implementar
PROCESO PO3: Determinar la dirección tecnológica
AUDITADO
RESPONSABLE Nombre Auditor Responsable: Edwin Ferney Velasco Báez
MATERIAL DE SOPORTE COBIT
DOMINI Planear y Organizar PROCESO PO3: Determinar la dirección
O tecnológica

ENTREVISTADO
CARGO

Población muestra: Entorno educativo del Colegio San Luis Beltrán

Fecha de aplicación: 3 de abril de 2020 hora: lugar: Covarachía Boyacá

1 ¿Cree usted que la tecnología implementada hoy en día por la institución San Luis

Beltrán es apropiada para materializar la estrategia educativa?

Si __

No __
¿Por qué?

____________________________________________________________________

2 ¿Usted cree que con la visión tecnológica impartida por la institución educativa San Luis

Beltrán los estudiantes se proyectan como grandes Innovadores?

Si __

No __

¿Por qué?

____________________________________________________________________

3 ¿Cree usted que el plan de infraestructura tecnológica implementado por la institución

esta acorde con las proyecciones tecnológicas de esta década?

Si __

No __

¿Por qué?

____________________________________________________________________

4 ¿Cómo le gustaría que la institución orientara los recursos para la adquisición de nuevas

tecnologías?

Respuesta:

5 ¿Le gustaría que la institución implementara tendencias tecnológicas de la región?

Si __

No __

¿Por qué?

6 ¿Cómo valoraría el aporte de las tendencias de diferente índole en un estudiante?

Respuesta:

7 ¿Considera que hace falta un foro tecnológico en la institución?

Si __

No __

¿Por qué?

8 ¿Cree que hace falta mayor rigor en la Institución educativa San Luis aplicando

estándares y directrices tecnológicas?

Si __

No __

¿Por qué?

9 ¿Cree que hacen falta empleados para direccionar la arquitectura de un sistema de

información institucional?

Si __

No __

¿Por qué?

10 ¿Le gustaría hacer parte de la estrategia de implementación de tecnología innovadora de

la institución?

Si __

No __

¿Por qué?

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

FIRMA FIRMA
 Infraestructura tecnológica
Cuestionario de Control: C1
Dominio Planear y organizar
Proceso PO3: Determinar la dirección Tecnológica

Cuestionario

Población muestra: Entorno educativo del Colegio San Luis Beltrán.

Objetivo: Investigar el concepto tecnológico general de la comunidad vinculada con la

Institución Educativa San Luis Beltrán entorno a sus procesos actuales de educación

moderna

Fecha de aplicación: 3 de abril de 2020 hora: lugar: Covarachía Boyacá

Pregunta Selección Múltiple

1 ¿Qué tecnología le gustaría que a) Digital
implementaran en la institución? b) Analógica
c) La actual está bien
d) No necesita ninguna
2 Cree que la tecnología de ahora puede a) Aprender más fácil
contribuir a: b) Conseguir trabajo
c) Ganar dinero
d) Ninguna
3 ¿Sabe que es un plan de infraestructura a) Es un sistema de información
tecnológica? b) Es un proyecto de software
c) Es una idea de negocio
d) Ninguna de las anteriores
4 Al manejar una plataforma, ¿qué a) Que sea rápida
prefiere? b) Que tenga muchas instrucciones
c) Que tenga mucha operabilidad
d) No le gustan las plataformas virtuales

5 ¿Cómo le gustaría implementar a) Aplicando técnicas de conservación

tendencias ambientales?
6 ¿Qué tipos de tendencia le gustaría que
la Institución San Luis Beltrán
implementara?
b) Realizando todo de manera virtual en
casa para no salir
c) Creando presentaciones educativas de
buenas prácticas
d) Implementando modelos tradicionales
de cuidado en la fauna y flora
a) Ambientales
b) Industriales
c) tecnológicas de infraestructura
 d) Legales
7 Cree que la asesoría tecnológica de la a) Muy buena
institución es: b) Cumple
c) Mala
d) Deficiente
8 ¿Qué le aportaría a la creación de un a) Modelos de interfaz
foro en la Institución San Luis Beltrán? b) Métodos de participación sencillos
c) Sugerencias de temáticas
d) No conozco el término foro
9 ¿Qué tipo de aplicación le gustaría que a) Deportiva
la Institución San Luis Beltrán b) Didáctica
implementara? c) Bilingüe
d) Netamente Administrativo

10 Al crear un comité de arquitectura a) Proceso de diseño

Tecnológica ¿Para usted qué proceso b) Proceso de implementación
sería más relevante? c) Proceso de desarrollo
d) Proceso de socialización
ENTIDAD PAGINA
Institución Educativa San Luis Beltrán
AUDITADA 1 DE 2
PROCESO
Determinar la Dirección Tecnológica
AUDITADO
RESPONSABLE Edwin Ferney Velasco Báez
MATERIAL DE
COBIT
SOPORTE
DOMINIO PO Planear y Organizar
PROCESO PO3 Determinar la Dirección Tecnológica

LISTA CHEQUEO
PO3 Determinar la
DOMINIO Planear y Organizar (PO) PROCESO
Dirección Tecnológica
OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Existe una planeación diversificada
para incluir la tecnología de ahora y
1 X
evaluar nuevas incorporaciones a
largo plazo?
OBJETIVO DE
PO3.2 Plan de Infraestructura Tecnológica
CONTROL
¿Existe alguna planificación para la
gestión de recursos en pro de las
2 x
renovaciones de software y
plataformas?
OBJETIVO DE
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
CONTROL
¿Existe alguna estrategia para
3 monitorear tendencias ambientales, x
industriales y tecnológicas?
OBJETIVO DE
PO3.4 Estándares Tecnológicos
CONTROL
¿Existen mecanismos para
4 proporcionar soluciones tecnológicas x
consistentes y seguras?
OBJETIVO DE
PO3.5 Consejo de arquitectura de TI
CONTROL
¿Existe un comité que proporcione
directrices sobre la arquitectura y
5 x
aplicación de los sistemas de
información?
2- Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades,

amenazas y riesgos detectados con los instrumentos de recolección de información.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis que se

van a realizar para evaluar el proceso especifico que se encuentre en estudio.

DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de ejecución que

se van a realizar para evaluar el proceso especifico que se encuentre en estudio.

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
Nit 12345-5

PAGINA
ENTIDAD AUDITADA Institución Educativa San Luis Beltrán
1 DE 2
PROCESO AUDITADO Prueba de conexión en la sala de tecnología
RESPONSABLE Edwin Ferney Velasco Báez
MATERIAL DE SOPORTE COBIT
DOMINIO PO Planear y organizar
PROCESO PO3: Determinar la Dirección Tecnológica

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Conexión masiva de
Documento de la Empresa estudiantes con acceso a
Supernet en donde se pacta los equipos de cómputo
Contrato de Prestacion de la implementación de un con utilización de
servicios de Supernet sistema de información en algunos complementos
la Institución y suministro de sistema operativo y
de internet por fibra óptica. búsqueda personalizadas
en la red
Manual de normas para el Acceso a las bases de
Protocolo institucional con manejo de la información datos, pruebas básicas de
bases de datos institucional en la seguridad y análisis de
comunidad educativa interfaz
Dispositivos de Requerimiento de Ejecución de archivos
almacenamiento externo unidades externas con almacenados con
información institucional atributos de lectura y
de alta seguridad y cifrados con seguridad de
comparación de archivos contraseñas
 con los del sistema
Verificación de
Chequeo de estado de
licenciamiento software e
Proveedor de software software ofimático, de
implementación de
seguridad e historiales de
herramientas de seguridad
Pc
en la web
Requerimiento de
Chequeo de la web para
PEI Proyecto educativo planificaciones y
verificar la Entrega y el
institucional propuestas para recursos
estado de proyectos al
tecnológicos a corto y
ministerio de educación
largo plazo
Chequeo al personal
Ingeniero o especialista de Prueba de protocolos de
calificado en ámbitos
Sistemas institucional emergencia en seguridad
tecnológicos, sistemas de
informática
información y plataformas
Prueba de caracterización
Análisis de accesibilidad informática y uso de
Estudiante en la web, conocimiento interfaz con
de plataformas y procesos requerimiento de
de información sistémica especificaciones
computacionales
Solicitudes y anotaciones
Acceso al espacio
Foro institucional masivas con evaluación
comunitario institucional
de tiempo de notificación
de información general
y de respuesta
Creación de perfiles e
Verificación de registro de
Docente, estudiante y Padre inicio de sesión de
actividades tecnológicas
de familia usuarios registrados en la
institucionales de manera
comunidad virtual de la
periódica
institución
Prueba de latencia de
Adquisición de Análisis y chequeo de
redes, arranque de
infraestructura tecnología equipos y redes
equipos y tiempo de
institucionales
respuesta.
AUDITOR RESPONSABLE:
Edwin Ferney Velasco Báez
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada

proceso evaluado.

PROCESO EVALUADO PO3

Vulnerabilidades Amenazas Riesgos Procedimiento

Falla en los Pérdida de Si un administrador Cambiar las

protocolos de información por de bases de datos contraseñas de
seguridad básicos, robo o falla en el no cambia las acceso
afectando la sistema. contraseñas, hasta periódicamente y
institucionalidad un cracker sin hacer escaneo de
con un sistema de mucha experiencia software malicioso.
información puede utilizar una
vulnerable. contraseña
conocida por todo
el mundo para
ganar acceso con
privilegios
administrativos a
las bases de datos.
Falta de medios Información con No se realizan Adquisición de
extraíbles y ubicaciones copias de seguridad cuenta para
desorden y desconocidas y de manera almacenamiento de
acumulación de posibles periódica de la la nube y de
información infecciones de información dispositivos
archivos. sensible en medios extraíbles
externos.
Falta de Contacto con Algunas páginas Restricción de
mantenimiento y páginas ilegales y como pornografía, sitios web no
asesoría navegable ciberdelincuentes anuncios deseados
en donde los publicitarios, etc.
estudiantes pueden pueden contribuir a
verse involucrados al daño del
al interactuar con el software y datos de
sistema. la institución
educativa.
Sistema arcaico Sistema inoperable Caída de red por Implementación de
que con más de 10 exceso de usuarios un nuevo sistema
usuarios colapsa de información
Falta de propuestas Retraso en la 5- Falta de Planificación a
innovadoras en la adquisición de TI planificación corto y largo plazo
institución visionaria para la
relación e
implementación de
TI
Baja gestión de Si se requiere Insuficiencia de Capacitando al
recursos para la implementar un equipo de trabajo personal interno de
contratación del sistema de predispuesto para la institución y a la
personal requerido. información de el área tecnológico. comunidad en
nada sirve sino se general
cuenta con el
personal idóneo
Retroceso en la Baja calidad Implementación de Haciendo un paneo
planeación de educativa y poca modelos educativos general de cambios
actualización de motivación no convencionales primordiales con
infraestructura experimental a la tecnología causa, efecto y
moderna ejecución
Colapso de vida Baja fluidez en Carencia de Actualización de
útil de software y procesos campus flexible de software y diseño
plataformas administrativos y seguridad y acceso de sitios web
institucionales académicos
Falta de Creación de un Desconocimiento Realizaciones
información espacio o foro de los sistemas de frecuentes de
sistemática a la informativo al información y actividades como
comunidad alcance de la escasez de ciencia y
educativa comunidad incentivo para la tecnología en la
educativa. interacción. institución
Falla en Estancamiento en Tecnológica Creación de un
constitución de una procesos institucional comité gestor de
visión modernista académicos, arcaica. recursos para fines
acorde al desarrollo administrativos y de infraestructura y
de tipo emocional. herramientas
pedagógicas

Riesgos iniciales
1- Si un administrador de bases de datos no cambia las contraseñas, hasta un cracker
sin mucha experiencia puede utilizar una contraseña conocida por todo el mundo para
ganar acceso con privilegios administrativos a las bases de datos.
2- No se realizan copias de seguridad de manera periódica de la información sensible
en medios externos.
3- Algunas páginas como pornografía, anuncios publicitarios, etc. pueden contribuir a
al daño del software y datos de la institución
4- Caída de red por exceso de usuarios
Riesgos detectados con la aplicación de instrumentos
 5-Falta de planificación visionaria para la relación e implementación de TI
6- Insuficiencia de equipo de trabajo predispuesto para el área tecnológico.
7- Implementación de modelos educativos no convencionales a la tecnología moderna
8- Carencia de campus flexible de seguridad y acceso
9- Desconocimiento de los sistemas de información y escasez de incentivo para la
interacción.
10- Tecnológica institucional arcaica.
4 realizar el análisis y evaluación de riesgos para cada proceso asignado.

Impacto y probabilidad

IMPACTO
DESCRIPTO
NIVEL DESCRIPCIÓN
R
Si el hecho llegara a presentarse, tendría
1 Insignificante consecuencias o efectos mínimos sobre la
entidad
Si el hecho llegara a presentarse, tendría bajo
2 Menor
impacto o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría
3 Moderado medianas consecuencias o efectos sobre la
entidad
Si el hecho llegara a presentarse, tendría
4 Mayor altas consecuencias o efectos sobre la
entidad
Si el hecho llegara a presentarse, tendría
5 Catastrófico desastrosas consecuencias o efectos sobre la
entidad

PROBABILIDAD
DESCRIPTO
NIVEL DESCRIPCIÓN
R FRECUENCIA
El evento puede ocurrir sólo en No se ha presentado en
1 Raro
circunstancias excepcionales los últimos 5 años
Se ha presentado al
2 Improbable El evento puede ocurrir en algún momento menos 1 vez en los
últimos 5 años
Se ha presentado al
3 Posible El evento puede ocurrir en algún momento menos de 1 vez en los
últimos 2 años
4 Probable El evento probablemente ocurrirá en la Se ha presentado
mayoría de las circunstancias al menos 1 vez en el
 último año
Se espera que el evento ocurra en la mayoría Se ha presentado más de
5 Casi Seguro
de las circunstancias 1 vez al año

Análisis y evaluación

N° Descripción Impacto Probabilidad

R1 Si un administrador de bases de datos no cambia las contraseñas, 5 2
hasta un cracker sin mucha experiencia puede utilizar una
contraseña conocida por todo el mundo para ganar acceso con
privilegios administrativos a las bases de datos.
R2 No se realizan copias de seguridad de manera periódica de la 4 3
información sensible en medios externos.
R3 Algunas páginas como pornografía, anuncios publicitarios, etc. 4 4
pueden contribuir a al daño del software y datos de la institución
R4 Caída de red por exceso de usuarios 3 4
R5 Falta de planificación visionaria para la relación e 3 3
implementación de TI
R6 Insuficiencia de equipo de trabajo predispuesto para el área 4 4
tecnológico.
R7 Implementación de modelos educativos no convencionales a la 4 5
tecnología moderna
R8 Carencia de campus flexible de seguridad y acceso 5 4
R9 Desconocimiento de los sistemas de información y escasez de 3 5
incentivo para la interacción.
R10 Tecnológica institucional arcaica. 4 4

5- Elaborar la matriz de riesgos de cada proceso evaluado

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2) R1

Posible (3) R5 R2
Probable (4) R4 R3, R6, R10 R8

Casi Seguro (5) R9 R7

6- Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

Tratamiento a aplicar en cada caso

B Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

R7 Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo

R4,R10 Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
R5, R4 Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
R1,R2,R3,R6,R7,R8,R Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o
9 transferir
Cuadro de tratamiento de riesgos