AUDITORIA DE LA SEGURIDAD

ACTIVIDAD EVALUATIVA EJE 4

PRESENTADO A:
ROBERT ANTONIO GUZMAN CAVADIA

PRESENTADO POR:
ANGELA MEDRANO GAVIRIA
CHRISTIAN ARLEY CALDERÓN RODRÍGUEZ
MICHAEL ANDRES VELASQUEZ NAVARRETE

FUNDACION UNIVERSITARIA DEL AREA ANDINA

FACULTAD DE INGENIERIA DE SISTEMAS
BOGOTA D.C.
2019
Contenido

INTRODUCCION.............................................................................................................................3
Objetivos de Aprendizaje............................................................................................................4
Descripcion Actividad evaluativa..............................................................................................4
Descripcion de las Actividades Realizadas............................................................................4
1. Carta Presentacion Auditoria.............................................................................................5
2. Auditoría General..................................................................................................................6
2.1.1...........................................................................................................................................6
2.1.2...........................................................................................................................................6
1.1.3...........................................................................................................................................6
1 Conclusiones..........................................................................................................................6
 INTRODUCCION

Las empresas entendiendo la importancia y el valor de sus activos de informacion,

se esfuerzan e invierten en recursos tecnologicos, humanos y en servicios
especializados para salvaguardar los mismos. Pero como hemos visto a lo largo
de nuestra asignatura, el hecho de contar con politicas y procedimientos, con
dispositivos de ultima tecnologia y un area de IT encargada de su gestion y de la
seguridad de la informacion no significa que los activos de la informacion estan a
salvo de las amenazas que dia a dia amenazan las redes de comunicación.
Es por esto que como Ingenieros de Sistemas debemos tener las competencias
necesarias para auditar el cumplimiento de las politicas y procedientos
establecidos por la organización, la correcta configuracion de los equipos
tecnologicos y las capacidades tecnicas del personal los administran.
De acuerdo a las actividades propuestas en el taller evaluativo del Eje 4, se realiza
una auditoria a nivel general del area de IT en la que trabajamos. Se levantan no
conformidades u observaciones, evaluando los posibles riesgos que generan las
mismas.
Finalizando la auditoria se entregan formatos de levantamiento de informacion,
matriz de riesgos e informe de auditoria con las conclusiones, recomendaciones
generales, riesgos evidenciados y su clasificacion y el plan de mejoramiento
recomendado.
 Objetivos de Aprendizaje

Proponer un plan de mejoramiento sobre los activos tecnológicos de la empresa.

Descripcion Actividad evaluativa

1. Realizar la auditoría de los dispositivos (mínimo tres, por ejemplo: router

-impresora – equipo de cómputo – switch – access point – router wifi) de la
compañía en la cual labora.
2. Analizar mediante la matriz de riesgos los activos de una empresa.
3. Generar un plan de acción que optimice los procesos y riesgos en cada
dispositivo.
4. Presentar un informe que evidencie la actividad.

Descripcion de las Actividades Realizadas

La compañía objeto de la auditoria se reserva el derecho para la publicacion de

sus datos. Si bien se permite la ejecucion de la auditoria, permitiendo la revision
de sus politicas, procesos y procedimientos, la toma de evidencias y entrevistas a
los funcionarios, no se autoriza la publicacion de su razon social, nit, direccion,
telefono o cualquier otra informacion que pueda relacionar a la compañía con este
trabajo.
Es por esto que se utiliza una razon social de muestra y se omite cualquier
informacion relacionada a la organización. A pesar de esto, toda la informacion
consignada en el informe que se presentan a continuacion es obtenida de manera
rigorosa, dentro el marco de una auditoria al area de IT en una organización
privada.
A continuacion se detallan las actividades realizadas en el proceso de auditoria,
los documentos en formato .doc se agregan a este documento, mientras los
formatos en excel se adjuntan por separado en la entrega final.
 1. Carta Presentacion Auditoria

ACTA INICIO AUDITORIA DE TECNOLOGIA DE LA INFORMACION SEVEN

TECHNOLOGIES
CONFIDENCIAL
FECHA: 20 de noviembre de 2019 08:00
LUGAR: Bogotá D.C., Oficinas de la Organización Carrera 101 # 70-14
ASISTENTES:

Nombre y Apellido Compañía

Juan Sebastian Velasquez Seven Technologies
Michael Andres Velasquez Equipo Auditor

Por medio de la presente se da inicio a la auditoria al área de tecnología de la compañía

SEVEN TECHNOLOGIES. La auditoria se realiza en sitio con el acompañamiento de Juan
Sebastian Velasquez, quien se desempeña como SYSTEMS ADMINISTRATOR en la
organización. Para la auditoria se solicita una disponibilidad de dos (2) días, los cuales
tendrán la siguiente programación:

DIA1: 08:00 PRESENTACION AUDITORIA

08:30 REDACCION Y FIRMA DE ACTA DE AUDITORIA
09:00 AUDITORIA GENERAL
11:00 REVISION POLITICAS, PROCESOS Y PROCEDIMIENTO TI
12:00 RECESO ALMUERZO
14:00 SOCIALIZACION DOCUMENTACION CON ADMIN TI
17:00 FIN DIA UNO

DIA2: 08:00 AUDITORIA EQUIPOS DE COMPUTO

10:00 TOMA DE EVIDENCIAS Y ENTREVISTAS
12:00 RECESO ALMUERZO
14:00 ANALISIS DE AUDITORIA
17:00 SOCIALIZACION AUDITORIA Y REDACION INFORME FINAL

Cabe destacar que durante el curso de la auditoria se pueden requerir todos los
documentos o evidencias necesarias que acrediten la situación del área de IT en la
organización.

Firma de los Asistentes

Juan Sebastian Velasquez Michael Andres Velasquez
SYSTEMS ADMINISTRATOR AUDITOR IT

2. Auditoría General

Con el fin de conocer el estado actual y la madurez de los procesos y políticas

asociadas a los mismos se realiza una auditoria general sobre la gestión de IT,
para conocer en detalle los servicios que el área ofrece a la organización y la
interacción de esta con los demás procesos de la compañía.
Para esto nos apoyamos en un formato que encontramos en internet y que
modificamos de acuerdo con la información del referente de pensamiento del eje 4
y nuestros conocimientos previos del tema.
Se adjunta formato “CheckList Auditoria IT” (hoja AudGeneral), con las evidencias
de las actividades realizadas.

3. Matriz de Riesgos Operativos

Se crea una matriz de riesgos para la gestión de los mismos, usando un formato
existente en la organización el cual se comparte dentro de los adjuntos
entregables.
 4. Informe Final Auditoria de TI

Proceso: Gestión Infraestructura

Sub proceso:
Fecha Informe: 21 de noviembre de
2019

Objetivos de la Auditoría
La auditoria tiene como objetivo validar el estado de madurez de las políticas, procesos
y procedimientos del área de TI y la identificación de los riesgos asociados a los
sistemas de computo y la operación de los mismos.

Alcance
Se realiza auditoria sobre toda la plataforma tecnológica de la organización, incluyendo
sus sedes a nivel nacional.

Conclusiones Generales
De acuerdo a la recolección de evidencias y la revisión de la documentación del área
podemos notar el esfuerzo de la organización por implementar las mejores practicas y
seguir los modelos de referencia para los sistemas de gestión de seguridad de la
información. Sin embargo estos esfuerzos aun no alcanzan para que los proceso
cuenten con la madures suficiente ya que en su mayoría no están socializados con los
usuarios finales.

Fortalezas
- Creación documento de Políticas de Seguridad de la Información
- Creación de Procesos y Procedimientos de TI
- Esfuerzo del equipo de TI por la aplicación de las políticas y los procedimientos
establecidos.

Recomendaciones Generales
-Se recomienda realizar el levantamientos de los activos de información de la
compañía, sus responsables y respectiva clasificacion

Distribución del Informe

Nombre y Cargo
 Juan Sebastian Velasquez – SYSTEMS ADMINISTRATOR
Auditor
 Michael Andres Velasquez

Entregables
 Carta inicio Auditoria
 Checklist Auditoria General
 Matriz Gestión de Riesgos

TABLA DE CALIFICACIÓN DE HALLAZGOS

Tipo de hallazgo
Observación
No Conformidad
Menor
No Conformidad
Mayor

PERFIL DE RIESGO COMPARATIVO AUDITORÍA (INHERENTE Y RESIDUAL)

(Mapa de Calor)

Riesgo Riesgo
N. Riesgo Descripción de Riesgo
Inherente Residual

3
4
 CUADRO IDENTIFICACIÓN DE RIESGOS Y VALORACIÓN DE CONTROLES

Descripción de Descripción del Efectividad

N. Riesgo Control
riesgo Control del Control

HALLAZGOS EVALUACION DE RIESGOS – CONTROLES

NO CONFORMIDADES MAYORES

1. Descripción

2. Riesgos asociados al proceso

Descripción del Riesgo Causas del Riesgo

3. Recomendaciones:
 NO CONFORMIDADES MENORES

1. Descripción

2. Riesgos asociados al proceso

Descripción del Riesgo Causas del Riesgo

3. Recomendaciones:
 OBSERVACIONES DE AUDITORÍA

1. Descripción

2. Recomendaciones:

1 Conclusiones