Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ejecuciondeauditoria Grupo901
Ejecuciondeauditoria Grupo901
Actividad Colaborativa
Auditoría de sistemas
Grupo: 90168A
Tutor
Francisco Nicolás Solarte
System Plus cuenta con la necesidad de evaluar los procesos del área de sistemas como
plan de mejora empresarial y crecimiento académico de sus estudiantes. Para llevar a
cabo la auditoría se toma como referencia el modelo CobiT4.1 de donde se seleccionan
y aplican los procesos adecuados dentro de cada dominio relativo. En esta entrega se
realiza la aplicación de instrumentos de auditoría tomando como referencia distintas
actividades de validación del sistema, encontrando así resultados precisos en busca de la
mejora del plantel.
OBJETIVOS
PO4
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Definición de los procesos, organización y relaciones de TI
AUDITADO
RESPONSABLE Carlos Andrés Ramírez Navia
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
ENTREVISTA
Nº CUESTIONARIO RESPUESTA
Se retroalimenta de acuerdo a la
ejecución de pruebas y
¿Qué prácticas de supervisión se han
posteriormente cuando se detecta
implementado para garantizar que los
6 una falla o restricción inadecuada
roles y responsabilidades se ejerzan de
o inexistente. Se comunican
forma apropiada?
expresamente vía telefónica con el
administrador de red.
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Existen procedimientos y
herramientas que permitan enfrentar
1 las responsabilidades de propiedad x
sobre los datos y los Sistemas de
información?
¿Existen tomas de decisiones por
2 parte del dueño de la información x
sobre como clasificarla y protegerla?
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CC04
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
¿Existe una estructura organizaciones
1 interna y externa que refleje las 1
necesidades del negocio?
TOTAL 10 10
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Administración de los recursos humanos de TI
AUDITADO
RESPONSABLE Carlos Andrés Ramírez Navia
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
ENTREVISTA
Nº CUESTIONARIO RESPUESTA
Administración de redes
Mantenimiento de equipos
¿Qué habilidades para TI están de cómputo e impresoras
3 definidas como requerimiento Cableado estructurado
esencial?
Administración de bases de
datos.
Manejo avanzado de
paquete de ofimática de
Microsoft.
LISTA CHEQUEO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
1 ¿Existe documentación? x
REF
CUESTIONARIO CUANTITATIVO
CC07
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
6 ¿Existe documentación? 1
TOTAL 11 3
DS3
RE
CUADRO DE DEFINICION DE FUENTES DE
F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA DS3
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
DS3 Administrar el Desempeño y la Capacidad
AUDITADO
RESPONSABLE Carlos Andrés Ordoñez Hernández
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar soporte (DS)
ENTREVISTA
LISTA CHEQUEO
DS3 Administrar el
Entregar y Dar soporte
DOMINIO PROCESO Desempeño y la
(DS)
Capacidad
SI NO
¿Existen planes de contingencia sobre
1 X
el sistema?
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
DS3
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 12 9
TOTAL CUESTIONARIO 21
RE
CUADRO DE DEFINICION DE FUENTES DE
F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA DS7
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
DS7 Educar y entrenar a los usuarios
AUDITADO
RESPONSABLE Carlos Andrés Ordoñez Hernández
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar soporte (DS)
ENTREVISTA
Nº CUESTIONARIO RESPUESTA
LISTA CHEQUEO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
DS7
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 18 4
TOTAL CUESTIONARIO 22
ME1
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
ME1 Monitorear y Evaluar el Desempeño de TI
AUDITADO
RESPONSABLE Carlos Andrés Ordoñez Hernández
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Monitorear y Evaluar(ME)
ENTREVISTA
Nº CUESTIONARIO RESPUESTA
LISTA CHEQUEO
ME1 Monitorear y
Monitorear y Evaluar
DOMINIO PROCESO Evaluar el Desempeño de
(ME)
TI
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
ME1
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 11 3
TOTAL CUESTIONARIO 14
PAGINA
ENTIDAD
System Plus D
AUDITADA 1 1
E
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLE Natalia Isabel García Burbano
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Dar Soporte (DS)
ENTREVISTA
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO Seguridad de los
Sistemas
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
¿Hay roles establecidos y las acciones
de la administración están en línea con
los requerimientos del negocio, se
Si hay roles establecidos para cada
1 definen las responsabilidades de
área
seguridad, política, estándares y
procedimientos?
LISTA CHEQUEO
DS5 Garantizar la
DOMINIO Dar Soporte (DS) PROCESO
Seguridad de los Sistemas
OBJETIVO DE CONTROL DS5.1 Administración de la Seguridad de TI
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Hay roles establecidos y las acciones
de la administración están en línea
con los requerimientos del negocio, se
1 definen las responsabilidades de x
seguridad, política, estándares y
procedimientos?
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
¿Hay roles establecidos y las acciones de 1
la administración están en línea con los
requerimientos del negocio, se definen las
1
responsabilidades de seguridad, política,
estándares y procedimientos?
No. Vulnerabilidad
No. Vulnerabilidad
No. Vulnerabilidad
No. Vulnerabilidad
No. Vulnerabilidad
PROBABILIDAD
No se ha presentado
El evento puede ocurrir sólo en
1 Raro en los últimos 5
circunstancias excepcionales
años
Se ha presentado al
El evento puede ocurrir en algún
2 Improbable menos 1 vez en los
momento
últimos 5 años
Se ha presentado al
El evento puede ocurrir en algún
3 Posible menos de 1 vez en
momento
los últimos 2 años
Se ha presentado al
El evento probablemente ocurrirá en
4 Probable menos 1 vez en el
la mayoría de las circunstancias
último año
Con las escalas de medición se construye la matriz de riesgos general que se aplica para
cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
EVALUACIÓN Y MEDIDAS DE RESPUESTA
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
PROBABILIDAD IMPACTO
Insignificante = 1
Raro = 1
Menor = 2
Improbable = 2
Moderado = 3
Posible = 3
Mayor = 4
Probable = 4
Catastrófico = 5
Casi Seguro = 5
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Catastrófico
Mayor (4)
(1) (2) (3) (5)
R1,R5 R7,
Improbable (2) R4, R7 R3,
R8,R11,R15
R7,
Posible (3) R5, R9 R2,R1
R10
Mediante el proceso de auditoría del sistema bajo el CobiT4.1 es más claro que
el proceso de auditoría de sistemas abarca más que solo la evaluación de
equipos, y que se debe prestar mucha importancia al proceso organizativo como
pieza clave del sistema.
Se aprendió la realización y aplicación de los instrumentos de recolección de
información basados en la metodología propuesta (COBIT 4.1).
Se conoció como es el proceso requerido para conformación de la matriz de
riesgos y como se interpreta la información contenida en ella.
Mediante la aplicación de los distintos instrumentos de recolección de
información se obtienen nuevos hallazgos que en una primera instancia fueron
obviados y que pueden llegar a ser de trascendencia para la seguridad del área de
TI.
Referencias