Fase 2: Planeación de la auditoría

Tutor: Francisco Nicolás Solarte

Estudiantes: Jhony Rafael Aragón

Keith Rafael Guardiola
Sebastián Elías Guarín Palacio

Grupo: 32

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Ingeniería de Sistemas

Curso: Auditoría de Sistemas (90168)

Octubre 2020
 Introducción

El presente trabajo tiene como fin proponer un plan de auditoría, cubriendo los
aspectos necesarios para satisfacer que los posibles escenarios donde la
información sea comprometida dentro de una empresa no logren suceder, y así
mantener la integridad objetiva y laboral de dicha compañía.
 Objetivo general

 Estipular un plan de auditoría, conociendo los aspectos generales de la

empresa que requiera una validación de sus sistemas informáticos.

Objetivos específicos

 Reconocer a fondo la jerarquía dentro de una empresa y la relación del

departamento tecnológico con las demás áreas laborales.
 Analizar posibles escenarios de riesgo, donde vulnerabilidades y amenazas
sean determinantes de una mala implementación y utilización de los
sistemas informáticos.
 Generar un plan de auditoría capaz de solventar los aspectos vulnerables
dentro de los sistemas informáticos de la empresa.
 Complementar un programa de auditoría, con objetivos y actividades
delimitadas que pueda avalar la utilidad de los sistemas informáticos dentro
de una empresa.
Informe: Empresa escogida – Entidad Bancaria “Failsafe”.

Una entidad bancaria es aquella que ofrece servicios financieros a sus clientes
y afiliados:

 Operaciones pasivas: cuentas corrientes, de ahorro y depósitos.

 Operaciones activas: préstamos y créditos, poseer encaje bancario,
cuentas de crédito, etc.
La jerarquía dentro de un banco puede variar: con un gerente de sucursal que
supervisa la sede, seguido de los asesores de servicios financieros que
resuelven dudas, inquietudes y/u otorgan nuevos servicios para los clientes; los
cajeros que realizan las transacciones de los clientes y a un técnico o
ingeniero anteriormente mencionado.

Manejo y acceso de la información.

 Al ser un banco, por supuesto que manejan mucha información de sus

clientes (personas naturales y empresas) así que, para mantenerla, se
debe tener personal informático que monitoree todo el flujo de información,
ya que cada servicio se revisa, realiza y envía de manera electrónica desde
las estaciones operativas de la empresa.

 Los cajeros automáticos y cada sucursal de la entidad están conectados

con un servidor y el banco de datos principal, aquel que almacena toda la
información financiera de los clientes. De esta manera, una persona puede
realizar cualquier transacción (depósito, pago, consignación, apertura de
crédito, convenio en pago de nómina, etc.) si está afiliado al banco,
quien es el que posee los datos que identifican cada cliente (Número de
Identificación, datos personales como teléfono y dirección,
información laboral, si posee cuentas bancarias bajo su nombre,
tarjetas de crédito, préstamos realizados, etc.). Además de que también
debe tener registro de las características de la sucursal (presupuesto,
contabilidad general, nomina, manejo de impuestos, activos fijos, etc.)

Asumiendo esto, por ciudad las sucursales deben tener personal de

sistemas ante cualquier novedad, algún Ingeniero o Técnico para el soporte
del sistema bancario ante cualquier problema o inconveniente.
  Las transacciones realizadas por los cajeros se realizan en determinado
software financiero, capaz de manipular los activos de los clientes y
permitan movimientos de dinero, consignación, actualización de estado, etc.

Toda la entidad debe estar conectada bajo una plataforma que pueda mantener un
flujo constante de información entrante y saliente para la resolución de sus
actividades, donde ciertos cargos sean capaces de sólo conocer la información,
mientras que otros permitan manipular (añadir, editar, eliminar) datos precisos de
clientes y/o empresas, además de que la plataforma pueda ser accesible para los
clientes y puedan conocer su estado bancario.
Diagrama de jerarquía dentro de la entidad bancaria.
Sistemas de información.

La entidad bancaria cuenta con diferentes softwares:

 Sistemas de virtualización, ya que el banco maneja diferentes sistemas

operativos y aplicativos virtualizados.
 Base de datos, sistema de almacenamiento y acumulación de datos
debidamente codificados y disponibles para procesamiento y obtención
financiera. Tales Como:
o Información recopilada.
o Registro de personal.
o Registro de cargos.
o Registro de secciones.
o Registro de remuneraciones.
o Registro de beneficios.
o Registro de candidatos.
o Servicios de cajeros automáticos bancarios por internet.
o Servicios de banca electrónica que hace referencia a por medios
electrónicos como cajeros, teléfono y otras redes de comunicación.
o Sistemas de Backup.
o Sistema de monitoreo.
o Sistemas de telecomunicaciones.
o Softwares contables.

Activos informáticos.

 Equipos computadores, centro de datos, redes, laboratorios, teléfonos ip.

 Software, sistema contable, sistema de monitoreo, entre otros sistemas.
 Información: nombre los clientes, facturas de ventas, factura de compra,
menús, promociones, descuentos, estudios de mercados, correspondencia.
Servicios prestados por el departamento informático.

El departamento informático compete todas y cada una de las áreas

jerárquicas del banco (y en esencia en cualquier tipo de empresa), ya que debe
estar preparado para resolver alguno de los dos casos posibles: administrativo y
operaciones.

Los casos administrativos competen cualquier evento o novedad que sea

realizado dentro de los puestos de trabajos, lo que el departamento de IT puede
solucionar: eventos con estaciones de trabajo funcionando incorrectamente,
errores de software, irregularidades que afecten el desarrollo administrativo dentro
de la empresa.

Por otra parte, los casos de operaciones pueden reflejarse en eventos de soporte
y de comunicaciones. Si alguna red se ve afectada, si una unidad de cajero tiene
problemas y no opera como es debido, si se imposibilita la comunicación entre
clientes y servidores, etc.

Se concluye que cada departamento dentro de la empresa debe estar relacionado

con el departamento de sistemas y este a su vez debe resolver las posibles
situaciones que puedan presentarse en la entidad bancaria, para poder mantener
la eficiencia laboral mientras se salvaguarda la información que es manejada.
Posibles factores de riesgo, amenaza y vulnerabilidades que afecten a la
entidad bancaria.

Las particularidades de la entidad bancaria han sido detalladas anteriormente, y

analizando cómo almacenan la información y las comunicaciones que posee la
entidad con los diferentes departamentos laborales y administrativos y cómo
interactúan con la misma, se pueden prever estos posibles casos en que la
información pueda ser afectada:

N Vulnerabilidad Amenazas Riesgo Categoría

°
1 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no
labora en la empresa.
2 No existe control de Intercepción No se utiliza ningún Seguridad
acceso a la Modificación sistema de cifrado de lógica
información discos en el servidor o
en los equipos.
3 Falta de Errores de usuario El personal no cuenta Manejo y
conocimiento de los con programas de control de
usuarios en el tema capacitación y formación personal
de seguridad en seguridad informática
informática y de la y de la información.
información
4 No existe un Control Utilización de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos.
5 No existe control de Introducción de Alteración o pérdida de Hardware
los dispositivos de información falsa la información registrada
almacenamiento en base de datos o
(usb, cd, discos) equipos.
6 Fuga de información Mal uso del correo Uso indebido del correo Seguridad
institucional, ya que no de electrónico para el lógica
se utiliza solo para envío de información a
comunicación laboral. personal externo.
7 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
8 No existe sistema de Atentados a las El empleado o trabajador Manejo y
vigilancia y personal instalaciones de la puede ser una víctima control de
 suficiente para empresa (vandalismo) directa o indirecta de una personal
vigilancia interna. agresión externa en
contra de la Empresa.

9 Fallos en la red LAN Mala configuración de Existen fallas en la Redes

la seguridad de los seguridad y las
dispositivos de red comunicaciones
tales como routers, originadas por la
switches. inadecuada
configuración de los
dispositivos de la red.
Plan de auditoría a desarrollar

Habiendo presenciado el listado de los riesgos que la entidad tiene bajo su

operatividad, se llega a la conclusión de que el objetivo general de la auditoría es
evaluar la seguridad lógica, manejo y control de personal, el hardware
(almacenamiento) y las redes dentro de la empresa bancaria “Failsafe”. Por
consecuente, los objetivos específicos a resolver son propuestos:

 Objetivo 1: Capacitar al personal de trabajo al uso correcto de las

herramientas de comunicación ofrecidas interna y externamente para la
entidad, controlar el acceso a internet y/o las redes, y cómo la información
es manipulada y enviada; evaluar los dispositivos de almacenamiento
existentes en la empresa, conocer y vigilar la integridad del personal de
trabajo por medio de visitas a la empresa y entrevistas.
 Objetivo 2: Elaborar el plan de auditoría de acuerdo con los objetivos
planteados, diseñar el plan de pruebas que permitan aclarar los riesgos,
diseñar los formatos de fuentes de recolección de información, y
seleccionar el estándar que será aplicado para realizar la auditoria (CobIT).
 Objetivo 3: Aplicar los instrumentos de recolección de información que se
han estipulado, y ejecutar las pruebas que han sido diseñadas para
encontrar los riesgos existentes para los procesos de CobIT que se haya
elegido y posteriormente hacer el análisis y evaluación de riesgos hasta
descubrir los riesgos de mayor probabilidad e impacto y el tratamiento que
se les dará a cada uno de ellos con los planes de mejoramiento.
 Objetivo 4: Elaborar los informes de los descubrimientos encontrados, el
dictamen de la auditoría y el informe final de resultados de la auditoria.
 1. Delimitación

La siguiente auditoría busca corroborar cómo el manejo de personal, las redes de

datos, los dispositivos de almacenamiento y la seguridad lógica se han llevado a
cabo; esto con el fin de saber cómo la información bancaria es manipulada,
compartida y guardada por el personal de trabajo a través de las redes de la
empresa en busca de un servicio eficiente para los usuarios de la entidad.

Así mismo, se evaluará:

Manejo y control de personal:

 Cuentas activas de todos los trabajadores, activos y no activos.

 Capacitación del personal con los conocimientos de seguridad
informática general y uso de medios de comunicación.
 Personal a cargo de la vigilancia de las instalaciones.

Seguridad lógica:

 Usos de los correos electrónicos provistos por la entidad para los

trabajadores.
 Las cuentas de usuario con permisos y privilegios.
 Softwares y/o hardware de cifrado de datos.
 Restricciones de acceso a internet.

Redes:

 Dispositivos de enlace y su configuración.

 Control de acceso a internet.

Hardware:

 Dispositivos de almacenamiento provistos para el personal y la

empresa.
 2. Metodología

De acuerdo con los objetivos, la metodología de la auditoría será de la siguiente

manera:

 Objetivo 1:
o Solicitar un usuario para conocer el sistema y el funcionamiento
de la seguridad lógica del sistema.
o Solicitar el registro de todos los usuarios activos en el sistema
con permisos y privilegios.
o Realizar capacitaciones con el personal de trabajo para enseñar
medidas de uso de los medios de comunicación y seguridad de la
información manipulada.
o Realizar una inspección del hardware de almacenamiento de la
empresa.
o Realizar una inspección de la red bancaria y los dispositivos
conectados que la proveen.
o Realizar una entrevista con el administrador del sistema y
usuarios para obtener información sobre incidentes de seguridad
lógica que se hayan presentado.
o Verificar la vigilancia del lugar y el personal a cargo de esta.

 Objetivo 2:
o Diseñar encuestas para los trabajadores sobre el comportamiento
de equipos dentro de la red.
o Elaborar encuestas a los trabajadores sobre cómo la información
guardada se mantiene a través del tiempo.
o Elaborar un cuestionario para la administración sobre las cuentas
de usuarios activas del personal.
o Organizar un inventario de los dispositivos de almacenamiento de
la entidad.
  Objetivo 3:
o Ejecutar pruebas en los dispositivos conectados a la red
bancaria.
o Ejecutar pruebas sobre los dispositivos de almacenamiento.
o Ejecutar pruebas para la seguridad lógica de la red.
o Ejecutar pruebas a los sistemas de vigilancia de la entidad.

 Objetivo 4:
o Determinar el grado de madurez de la empresa en el manejo de
cada uno de los procesos evaluados, medir el grado de madurez
de acuerdo con los hallazgos detectados en cada proceso.

3. Recursos de la auditoría
 Humanos:

Nombres y apellidos Rol o papel en la auditoria

Sebastián Guarín Auditor líder
Jhony Aragón Auditor redes
Keith Guardiola Auditor seguridad lógica

 Físicos:

La auditoría se lleva a cabo en la entidad bancaria Failsafe, de la ciudad

de Bogotá, específicamente en el área de las TICs.

 Tecnológicos:
Grabadora para entrevistas, computador portátil, software para pruebas
de auditoría sobre escaneo y tráfico en la red, software para pruebas de
encriptación de información almacenada.
  Económicos:

Ítem Cantidad Subtotal

Computador Portátil 1 $1.500.000
Grabadora digital 1 $320.000
Pago de Honorarios (1
- $3.000.000
millón mensual x c/au)
Gastos generales:
Cafetería, imprevistos, - $275.000
transporte, etc.
Medios de
almacenamiento:
3 de c/u $150.000
memorias USB, tarjetas
SD
Total $5.245.000

4. Cronograma de la auditoria

De acuerdo con satisfacer las necesidades, metodologías y temáticas de la

auditoría, se delimita el siguiente cronograma de actividades:

Mes 1 Mes 2 Mes 3

Fase Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudios
preliminares
Fase de sobre la
conocimiento empresa.
de los
sistemas Determinación
de áreas
afectadas.

Diseñar los
parámetros de
encuesta.

Aplicar los
Fase de mecanismos
planeación de recolección
de auditoría de
información.

Elaboración
de un plan de
auditoria.

Fase de
 Ejecución de
pruebas en
las áreas
ejecución de afectadas.
la auditoría
Evaluación de
riesgos.

Elaboración
del informe de
Fase de resultados.
resultados
Sustentación
del informe
 Conclusión

Toda empresa, pública o privada, que posean sistemas de información

medianamente complejos, deben de someterse a un control estricto de evaluación
de eficacia y eficiencia. Hoy en día, un alto porcentaje de las empresas tienen toda
su información estructurada en sistemas informáticos, de aquí, la vital importancia
que los sistemas de información funcionen correctamente. Las empresas de hoy
deben y precisan informatizarse, ya que su éxito depende de la eficiencia de sus
sistemas de información y para ello son efectuados los planes y programas de
auditoría, según la estructura y funcionalidad de las empresas.
 Referencias Bibliográficas

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de

sistemas. Recuperado de
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123).
Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/45891