Está en la página 1de 62

UNIDAD 1, 2 Y 3 FASE 5 – RESULTADOS FINALES DE LA AUDITORIA

DANIEL ALEJANDRO JIMENEZ


CÓDIGO: 1.126.910.368
JAVIER STEVEN ZAPATA VEGA
CODIGO: 1.113.644.811
JUNIOR STEBAN BENAVIDES
CÓDIGO: 1.004.600.265

GRUPO
90168_31

TUTOR
FRANCISCO NICOLAS SOLARTE

CURSO
AUDITORIA DE SISTEMAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


INGENIERIA EN SISTEMAS
AÑO 2020
TABLA DE CONTENIDO
INTRODUCCION

En este trabajo se pretende entregar todos los aportes que cada compañero realizo en cada
actividad durante todo el transcurso de esta materia donde se organiza la planeación de una
auditoria, ejecución de la auditoria y los resultados de la auditoria, en la auditoria se explica los
resultados que se obtuvieron de la empresa seccionada PSL S.A con el fin de comprobar cómo
está la situación de la empresa, se hará la verificación de toda la información obtenida para
analizar cada situación y detectar cualquier fallo
OBJETIVOS

 Identificar las funciones de una auditoria


 Conocer la situación de la empresa seleccionada
 Descubrir errores fallas
 Emitir un diagnóstico sobre la información de la empresa
1. Empresa a auditar:

PSL S.A
PSL es una empresa de desarrollo de software ágil, especializada en ofrecer servicios de TI desde
sus centros de desarrollo en Latinoamérica. Nuestro equipo de 500+ colaboradores y
desarrolladores de software, es pionero en la adopción de mejores prácticas de ingeniería de
Software (desarrollo ágil, SCRUM) y es el principal exportador Colombiano de Servicios de
software hacia EEUU.

PSL se ha enfocado en ayudar a sus clientes para resolver retos de negocio a través de
herramientas de software de clase mundial. PSL fue la octava empresa en el mundo en ser
valorada en el máximo nivel de madurez (CMMi-5). Han sido reconocidos con prestigiosos
premios internacionales de Ingeniería de Software, tales como el IEEE/SEI Watts Humphrey
Award (ganado antes por la NASA e IBM) y el premio a la Excelencia del Software Europeo.

PSL está compuesta por dos grandes líneas de negocio: servicios de outsourcing de TI (desarrollo
de software, aplicaciones web, aplicaciones móviles, aplicaciones de misión crítica, software
factory, outsourcing de recursos, BPO) y el desarrollo de productos preprogramados de software
(sistemas de gestión empresarial ERP, sistemas de gestión de garantías, plataformas web-
banking, entre otras).

Constituirse en el 2002 como la primera empresa Iberoamericana (y la octava en el mundo en su


momento) en alcanzar el nivel 5 del CMMI. Desarrollado conjuntamente por el Departamento de
Defensa de los EEUU y el Instituto de Ingeniería de Software de Carnegie Mellon (SEI), el
CMMI busca promover las mejores prácticas en desarrollo de software existentes.

PSL es una de las primeras casas de software Latinoamericanas en certificarse en el estándar de


seguridad informática ISO27001. Diseñado en conjunto con las más exigentes instituciones
financieras a nivel mundial, este exigente estándar garantiza a nuestros clientes un manejo seguro
de su información confidencial. Adicionalmente, garantiza que el código entregado por PSL sea
altamente resistente a los ataques informáticos.
En Octubre de 2012, PSL fue certificada con el estándar internacional OHSAS 18001, norma
relacionada con la Implementación de Sistemas de Salud ocupacional y Seguridad. Para obtener
esta certificación, las compañías tienen que demostrar que cuentan con procesos maduros y
sistemas eficientes para garantizar el bienestar de sus empleados a través de programas de salud
ocupacional y seguridad. Con la obtención del certificado OHSAS 18001, PSL se convierte en
una de las pocas compañías de tecnología en Latinoamérica reconocidas por proporcionar
servicios de TI enmarcados por las mejores prácticas internacionales de calidad, seguridad y
protección al medio ambiente.

PSL se convirtió en la primera compañía de habla hispana (y también la novena en el mundo) en


recibir el prestigioso Software Process Achievement Award, para muchos considerado como el
premio más importante de la Ingeniería de Software. Dicho reconocimiento, otorgado por la
IEEE y el Software Engineering Institute de los EEUU, es tan exigente que ha sido declarado
desierto más de la mitad de las veces.

En la cuarta versión de los Premios Internacionales a la Excelencia en Software, otorgados por el


Instituto Europeo de Software (ESI), la compañía colombiana PSL, obtuvo el premio en la
categoría de mediana empresa, por su constante compromiso en la búsqueda de la excelencia en
el desarrollo de software. Este premio, recibido en 2010, se une a los múltiples reconocimientos
mundiales que ya ha recibido la compañía a través de los años.
PSL tiene un profundo conocimiento sobre la arquitectura Java/JEE. A través de los últimos 15
años.

Las aplicaciones desarrolladas son altamente escalables y soportan altos niveles de concurrencia,
proporcionando a la vez una hermosa interfaz y experiencia de usuario. PSL es altamente
conocedor en muchas de las tecnologías y patrones de tanto arquitectura como desarrollo que
componen Java/JEE. Algunos de ellos son: Java Object Oriented Programming, Java Component
Oriented Design, arquitecturas SOA, JSP, Java Servlets, Portlets, Spring, Richfaces, Java
ServerFaces, EJBs (Enterprise Java Beans), Web Services, IOC, MVC, etc.
Como Partner Oracle, PSL es actualmente un punto de referencia en Latinoamérica para
desarrollos Java complejos, como el desarrollo de aplicaciones críticas para el sector gobierno,
sistemas core bancarios y sistemas logísticos. PSL tiene una amplia experiencia en el despliegue
de soluciones bajo tecnologías Microsoft, de las cuales es un Gold Partner en Application
Development. Específicamente, han trabajado con el framework ASP.NET desde su versión 1.1 y
tienen amplia experiencia con las versiones 1.1. 2.0, 3.5, 4.0 y 4.5. Con la versión 4.5, han
desarrollado complejas aplicaciones web de más de 700,000 líneas de código. Recientemente han
trabajado con varios proyectos importantes bajo Microsoft .NET para Ecopetrol, Deloitte (en
EEUU) y Bridgestone, al igual que para decenas de pujantes empresas medianas y startups.

PSL puede crear su aplicación móvil en iOS que siguen los patrones de usabilidad de Apple para
permitir a sus nuevos usuarios acostumbrarse rápidamente a la aplicación y disfrutar de sus
beneficios. Sin embargo, PSL también ha utilizado tecnologías innovadoras para lograr
aplicaciones altamente personalizadas para lograr la funcionalidad y la interfaz gráfica que el
cliente tenía en mente.

Dado el conocimiento de PSL en Java, Android es un ambiente familiar para sus equipos de
desarrolladores de software. Con múltiples aplicaciones ya en producción bajo Android, PSL
cuenta con la experiencia y el conocimiento para construir una gran diversidad de aplicaciones
bajo Android.
Cargo. Descripción
Gerente general. Es el encargado de coordinar los recursos internos,
representar a la compañía frente a terceros y
controlar las metas y objetivos.
Gerente administrativa y Es la encargada de garantizar la ejecución de los
financiera. procesos y actividades de tipo administrativo y
financiero propios de la Empresa.
Gerente de tecnología. Es el encargado de planificar, diseñar, ejecutar y
monitorear la estrategia de tecnologías de
información
Coordinador de desarrollo. Es el encargado de llevar a cabo el plan de
desarrollo de tecnología de la compañía liderando al
equipo de desarrollo.
Coordinador de infraestructura. Es el encargado de implementar, monitorear y
soportar la infraestructura tecnológica de la
compañía.
Asistente de contabilidad. Es el encargado de llevar el control de la gestión
contable de la compañía.
Asistente de recursos humanos. Es el encargado de reunir y administrar toda la
información perteneciente a los empleados de la
empresa y reclutamiento del nuevo personal.
Desarrollador Web Es el encargado de realizar los desarrollos web
planificados.
Desarrollador Movil Es el encargado de realizar los desarrollos de
aplicativos móviles planificados.
Asistente de SQA Es el encargado de realizar el plan y ejecución de
pruebas a los diferentes aplicativos web y móviles
finalizados.
Asistente de soporte Es el encargado de realizar mantenimiento
preventivo y correctivo a los equipos de la
compañía.
Asistente de infraestructura Es el encargado de monitorear los servidores de la
compañía y asistir en nuevas implementaciones de
infraestructura tecnológica.

Servicio Área Informática Descripción


Asesoría a clientes para el diseño de
Asesoramiento
soluciones informáticas.

Desarrollo de soluciones informáticas propias


Desarrollo de software
y a la medida.
Soporte técnico a los dispositivos
Servicio técnico
tecnológicos de la compañía, tanto en
mantenimientos preventivos y correctivos.
Utilización de servicios tercerizados, tales
Alquiler de servicios informáticos
como dominios, alojamiento en la nube,
sistema contable de la compañía.

ACTIVOS SERVICIOS
INFORMATICOS INFORMATICOS
Computadores de escritorio. Software GLPI.
(Gestión de servicios de
tecnología)
Computadores portátiles. Software CRM.
(Gestión de administración de
clientes)
Servidores locales. Software Contable.
(Gestión contable de clientes y
empleados)
Enrutadores. Software Control Acceso.
(Gestión de entrada y salida
de empleados)
Switches.
Impresoras.
Telefonía.

CUADRO DE VULNERABILIDADES DETECTADAS

# Vulnerabilidad Amenazas Riesgo Categoría


Sanción Sanción económica por
1 Uso de software no licenciado. Software
económica. parte de la DIAN.
Bloqueo de sistema por Perdida de Daño o corrupción de la Seguridad de la
2
inactividad. información. información. Información
Imposibilidad de
3 Segregación de funciones. Indisponibilidad. Operaciones.
mantener la operación.
Copia redundante de la
Perdida de Reproceso en la
4 información del directorio Operaciones.
información. operación de la empresa.
activo y dominio.
Libertad de puertos de salida de Perdida de Robo de información Seguridad de la
5
computadores. información. sensible. Información
Información de clientes no Información Robo de información Seguridad de la
6
cifrada. sensible. sensible. Información
Perdida de Robo de información Seguridad de la
7 Uso de dispositivos móviles.
información sensible. Información
Credenciales de acceso no
8 No acceso. Imposibilidad de acceso. Operaciones.
centralizadas.
Sistema de antivirus Perdida de Daño o corrupción de la Seguridad de la
9
desactualizado. información. información. Información
1 Perdida de Plagio o robo de Seguridad de la
Acceso a internet libremente.
0 información. información. Información
1 Perdida de Robo de información Seguridad de la
WiFi en la red de la compañía.
1 información. sensible. Información
1 Perdida de Ataque y daño de Seguridad de la
Base de datos desactualizada.
2 información. información. Información
Sistema de documentos de la
1 Perdida de Seguridad de la
compañía no respaldados o Perdida de información.
3 información. Información
centralizados.
1 Indisponibilidad de
Fallo en respaldo de internet. Inoperatividad. Operaciones.
4 ofrecer soporte.

En el anterior cuadro de vulnerabilidades de la empresa PSL S.A.S, podemos apreciar que en


la inspección realizada los activos informáticos más afectados por las vulnerabilidades
detectadas son el área de sistemas y operaciones de la compañía en la cual su información al
ser una empresa de desarrollo de software la seguridad de la información es su activo mas
importante.

2. Plan de auditoria

2.1. Objetivo.
General:
Evaluar la seguridad de la información y operación de la empresa PSL S.A.S.

Específicos:
 Identificar los diferentes medios de captura, almacenamiento, tratamiento y
respaldo de la información la cual garantice la operación continua de la empresa.
 Determinar el nivel de cumplimiento de las prácticas de calidad y aseguramiento
de la información con relación a las políticas que lo rigen.
 Identificar debilidades y fortalezas que se presenten en el proceso de tratamiento
de datos.
 Construir una guía con opciones de mejora con base en los hallazgos encontrados
en las respectivas pruebas realizadas.

2.2. Alcance.
 Estaciones de trabajo (Computadores) Entradas y salidas periféricas.
 Sistema operativo (Inspección de software).
 Repositorio de información empresarial.
 Repositorio de código fuente de desarrollo.
 Administración de dominio y directorio activo.
 Infraestructura empresarial (Servidores).
 Administración de control de acceso.
 Administración de redes.
 Segregación de funciones.
 Capacitación al personal.

2.3. Metodología.
La metodología de trabajo para la evaluación del Área de Informática y sistemas de
información se llevarán a cabo las siguientes actividades:
 Solicitud de los estándares utilizados y programa de trabajo
 Aplicación de encuestas al personal
 Análisis y evaluación de la información recaudada
 Elaboración del informe.
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a
cabo las siguientes actividades:
 Solicitud del análisis y diseño de los sistemas de información.
 Solicitud de la documentación de los sistemas de información (manuales técnicos,
operación del usuario, diseño de archivos y programas).
 Recopilación y análisis de los procedimientos administrativos de cada sistema
(flujo de información, formatos, reportes y consultas).
 Solicitud de diagrama de redes de la empresa.
 Análisis de redundancia, control, seguridad, confidencialidad y respaldos.
 Entrevista con los usuarios de los sistemas.
 Análisis y evaluación de la información recopilada.
 Elaboración del informe final.

2.4. Recursos.
Apellidos y Nombres Roles en la Auditoria
Javier Steven Zapata Vega Líder Auditor
Daniel Alejandro Jimenez Auditor Junior
Junior Esteban Benavides Auditor Junior

2.5. Cronograma de actividades.


MARZO ABRIL MAYO
Objetivo Actividad
3sem 4sem 1sem 2sem 3sem 4sem 1sem 2sem 3sem 4sem

Visita e inspección.                    

Conocimiento de la
Identificar Medios                    
operación.
Características del
                   
sistema.
Evaluar y analizar
                   
Determinar cumplimiento.
cumplimiento Determinar
                   
incumplimientos
Analizar
incumplimientos y                    
cumplimientos
Identificar
Debilidades y Identificación de
                   
Fortalezas hallazgos.

Evaluación de riesgos.                    

Elaboración y
Construir Guía sustentación del                    
informe.

Programa de auditoria

Procesos:

a. PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de


tecnología de información, permite la gestión y dirección de los recursos de TI de
acuerdo a las estrategias y requerimientos de la dependencia.

Los objetivos de control relacionados con los alcances de la auditoría son los siguientes:

PO1.3 Evaluación del desempeño y la capacidad actual: La dependencia de registro y control


académico mantiene una evaluación periódica del desempeño de los planes institucionales y de
los sistemas de información encaminados a la contribución del cumplimiento de los objetivos de
la dependencia.

b. PO2 Definir la Arquitectura de la Información: Permite definir un modelo de


información, con el fin de integrar de forma transparente las aplicaciones dentro
de los procesos de la dependencia. 
Los objetivos de control que se evaluaran son los siguientes:

PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de un


diccionario de datos del sistema en la dependencia y las actualizaciones que se hayan realizado al
mismo en las actualizaciones del sistema de acuerdo a los nuevos requerimientos.

PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de referencia de los
datos, clasificándolos por categorías, y con la definición de normas y políticas de acceso a dichos
datos.

PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación deben


garantizar la integridad y consistencia de los datos almacenados mediante la creación de procesos
y procedimientos.

c. PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de


sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento
de servicios que satisfagan los objetivos de la Institución.

Los objetivos de control que se evaluarán son los siguientes:

PO4.6 Establecer roles y responsabilidades: Evaluar el comportamiento de los roles y las


responsabilidades definidas para el personal de TI, en el área informática (administradores de la
red. administrador de sistema, supervisor de los indicadores de cumplimiento, otros)

PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la responsabilidad


para el desempeño de la función de aseguramiento de la calidad (QA) proporcionando el grupo
QA del área informática los controles y la experiencia para comunicarlos. Además se debe
asegurar que la ubicación organizacional, la responsabilidad y el tamaño del grupo de QA
satisfacen los requerimientos de la dependencia.

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe establecer la


propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado.
Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad
específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer
responsabilidad sobre la administración del riesgo y la seguridad a nivel de toda la dependencia
para manejar los problemas a nivel institucional. Es necesario asignar responsabilidades
adicionales de administración de la seguridad a nivel del sistema específico para manejar
problemas relacionados con la seguridad.

PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y control los
procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad
sobre los datos y los sistemas de información.

PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la


dependencia de una sola persona desempeñando la función de trabajo crítico.
d. PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de
administración de calidad, el cual incluya procesos y estándares probados de
desarrollo y de adquisición. Esto se facilita por medio de la planeación,
implantación y mantenimiento del sistema de administración de calidad,
proporcionando requerimientos, procedimientos y políticas claras de calidad. Los
requerimientos de calidad se deben manifestar y documentar con indicadores
cuantificables y alcanzables. La mejora continua se logra por medio del constante
monitoreo, corrección de desviaciones y la comunicación de los resultados a los
interesados. La administración de calidad es esencial para garantizar que TI está
dando valor a la información de la dependencia, mejora continua y transparencia
para los interesados.

Los objetivos de control que serán evaluados son los siguientes:

PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para desarrollo


y adquisición que siga el ciclo de vida, hasta los entregables finales incluyendo la aprobación o
no en puntos clave con base en los criterios de aceptación acordados. Los temas a considerar
incluyen los estándares de codificación del software, normas de nomenclatura, los formatos de
archivos, estándares de diseño para los esquemas y diccionarios de datos, estándares para interfaz
de usuario, inter operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares
para el desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas
unitarias, y de integración.

PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad que
promueva la mejora continua.

e. PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar


y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas
de la dependencia, con el objetivo de asegurar el logro de los objetivos de TI.

PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco de referencia


de evaluación sistemática de riesgos que contenga una evaluación regular de los riesgos de la
parte física  de las comunicaciones, servidores y equipos con indicadores de cumplimiento.

PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificándolas si son relevantes y en qué medida afectan al área
informática y la dependencia de registro y control donde se maneja el sistema de información.

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación periódica de la
probabilidad e impacto de los riesgos identificados, usando métodos cuantitativos y cualitativos,
que permitan la medición del riesgo encontrado.

PO9.5 Respuesta a los riesgos: Definir  un plan de acción contra riesgos, el proceso de respuesta
a riesgos debe identificar las estrategias tales como evitar, reducir, compartir o aceptar los riesgos
determinando los niveles de tolerancia a los riesgos y los controles para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear las
actividades de control y respuesta a la solución de riesgos encontrados, teniendo en cuenta
también la parte económica de la solución de esta prioridad. Monitorear la ejecución de los
planes y reportar cualquier desviación a la alta dirección.

Programa de Auditoria
Objetivo de Establecer la empresa seleccionada y Procedimiento Fase de la planeación de Año 2020
programa llevar a cabo la auditoria la auditoria

N Proceso Dependencia Objetivo Alcance Fecha Inicial Fecha Final Criterio Recursos Equipo
auditor

1 PO1 Definir un Gestión y dirección Evaluación del Esta actividad 15/03/2020 31/03/2020 PSL S.A Computadore Líder
Plan Estratégico de los recursos de TI desempeño y la se desarrollara s Auditor:
de TI: capacidad actual: en el 2020 en Javier
el mes marzo Steven
3 y 4 semana Zapata.
Auditor
Junior:
Daniel
Alejandro.
Auditor
Junior:
Junior
Esteban
Benavides
2 PO2 Definir la Permite definir un Diccionario de datos Esta actividad 01/04/2020 14/04/2020 PSL S.A Computadore Líder
Arquitectura de modelo de y reglas de sintaxis de se desarrollara s Auditor:
la Información: información datos, Esquema de en el 2020 en Javier
clasificación de los el mes abril 1 Steven
datos, Administración y 2 semana Zapata.
de la integridad de Auditor
datos: Junior:
Daniel
Alejandro.
Auditor
Junior:
Junior
Esteban
Benavides
3 PO4 Definir los Definir el personal Establecer roles y Esta actividad 15/04/2020 30/04/2020 PSL S.A Computadore Líder
Procesos, de la tecnología de la responsabilidades, se desarrollara s Auditor:
Organización y información, los Responsabilidad del en el 2020 en Javier
Relaciones de roles, las funciones y aseguramiento de la el mes abril 3 Steven
TI:  responsabilidades calidad de TI, y 4 semana Zapata.
Responsabilidad Auditor
sobre el riesgo, la Junior:
seguridad y el Daniel
cumplimiento, Alejandro.
Propiedad de datos y Auditor
del sistema, Personal Junior:
clave de TI. Junior
Esteban
Benavides
4 PO8 Mantener un sistema Estándares de Esta actividad 01/05/2020 14/05/2020 PSL S.A Computadore Líder
Administrar la de administración de desarrollo y de se desarrollara s Auditor:
Calidad:  calidad adquisición, Mejora en el 2020 en Javier
continua. el mes mayo 1 Steven
y 2 semana Zapata.
Auditor
Junior:
Daniel
Alejandro.
Auditor
Junior:
Junior
Esteban
Benavides
5 PO9 Evaluar y Identificar, analizar Marco de trabajo de Esta actividad 15/05/2020 31/05/2020 PSL S.A Computadore Líder
administrar los y comunicar los administración de se desarrollara s Auditor:
riesgos de TI:  riesgos de TI riesgos, Identificación en el 2020 en Javier
de eventos, el mes mayo 3 Steven
Evaluación de los y 4 semana Zapata.
riesgos de TI, Auditor
Respuesta a los Junior:
riesgos, Daniel
Mantenimiento y Alejandro.
monitoreo de un plan Auditor
de acción de riesgos. Junior:
Junior
Esteban
Benavides

Formato de fuentes de conocimiento

ENTIDAD AUDITADA PSL S.A.

PROCESO AUDITADO Seguridad de los Sistemas


RESPONSABLE Junior Esteban Benavides

MATERIAL DE COBIT
SOPORTE
DOMINIO Servicio y soporte DS
PROCESO DS2 administrar servicios de terceros

FUENTES DE DE ANALISIS DE EJECUCION


CONOCIMIENTO
Fuentes internas Evitar el robo de Herramientas de software
información especializadas para evitar la pérdida de
información
Fuentes externas Personal de Contratar personal de vigilancia que
vigilancia analice cualquier situación irregular
Cooperación Motivar al Dar capacitaciones y permitir
personal ascensos

Formato de entrevista

Detalles de la entrevista
Nombre de la empresa PSL S.A Fecha: 09/04/2020 Hora: 8:10
Nombre del Junior Esteban Benavides Arias
entrevistador
Ocupación del Estudiante Número de teléfono del
entrevistador entrevistador:3186933247
Conocimientos Técnico de Sistemas
necesarios

Preguntas que debe realizar el entrevistador

Pregunta n°1: ¿Los roles están bien definidos y limitan o aumentan las posibilidades de las
personas?
Notas: Los roles se dividen para cada empleado según en lo que se desempeñe cada uno.

Pregunta n°2: ¿El equipo de desarrollo y jefes de producto están físicamente en la misma área?
– De no ser así, ¿Cuál es el motivo? ¿Es este conocido por todos los integrantes de la empresa?
¿Qué pasaría si estuviesen todas las partes interesadas en el mismo lugar?

Notas: No, cada quien debe tener su espacio para poder desempeñar una mejor labor, si se le dio
a conocer a todos los integrantes, no se sabría por que no se ha aplicado este caso.

Pregunta n°3: ¿La compañía invierte activamente en capacitación o es el propio desarrollador el


que debe buscar su camino?
– ¿Cuál es el motivo real de la capacitación?

Notas: Las personas que trabajan en esta empresa primero pasan por un exhaustivo examen para
comprobar si pueden ejercer el cargo al que piden acceder, luego si en dicho aso son aptos la
empresa capacita sobre algunos manejos que deben realizar pero cada persona debe tener los
estudios necesarios y requeridos, el motivo de capacitarlos es para que se vinculen más con la
empresa.

Formato de listas de chequeo

Puntos chequeados: 1 x 2 3 4 5 Inspector: Junior Fecha: 09/04/2020


Esteban Benavides
Arias
1. Componentes usados
¿Los componentes usados son correctos? x SI NO
N/A
¿Se poseen los registros de recepción de los componentes? x SI NO
N/A
Código de los informes de recepción: Si

2. Actividades realizadas
¿Se siguieron los procedimientos? x SI NO
N/A
¿Se usaron las revisiones vigentes de los procedimientos? x SI NO
N/A
¿Se rellenaron los registros y estos son correctos? x SI NO
N/A
3. Incidencias
¿Producto final conforme? x SI NO
N/A
¿Existe alguna incidencia relacionada? SI NO x
N/A
Código incidencias relacionadas: Ninguno

4. Tiempos de producción
¿Existieron retrasos en la fabricación? SI NO x
N/A
¿Hubo máquinas indisponibles? x SI NO
N/P

5. Entrega y logística
¿Producto correctamente identificado? x SI NO
N/A
¿Producto conforme a las especificaciones del cliente? x SI NO
N/A

Formato de pruebas

Tipo de Requerimiento
X Reporte de problemas (Inconsistencia)
Nuevo requerimiento (Mejora)

Datos Básicos
Fecha 09/04/2020
Empresa PSL S.A
Actividad Especializada En Desplegar Servicios De TI
Bajo Metodologías Ágiles
Ciudad Bogotá
Teléfono (571) 623 69 99

Concepto: Problema Consecuencia

Es muy típico que los usuarios reporten “un problema”, cuando en realidad lo que están
reportando es “su consecuencia”.
Lo que haremos a través de este formulario es registrar el resultado de una serie de pruebas sobre
“síntomas” para así llegar a la raíz del problema, y con esto proceder a dar la respectiva solución.

Parte 1 – Descripción Básica del Problema

1.1. Describa en detalle el problema


1.2. Describa cuando SI sucede
1.3. Describa cuando NO sucede
1.4. Si es una inconsistencia ¿A partir de cuándo empezó?

Existen tres tipos de Pendientes (o de respuestas):

 Errores: Siempre se resuelven. Tiempo de entrega de 1 a 3 semanas.


 Mejoras: Son aquellas mejoras al software que son aplicable “al menos” al 10% de
nuestros clientes. Tiempo de entrega de 3 a 6 meses.
 Desarrollo Específico: Son mejoras o requerimientos que no aplican si no a unas pocas
empresas (menos del 10%), por lo tanto nuestra área de Ingeniería no las desarrolla, deben
ser desarrolladas por el cliente directamente como un Desarrollo Especifico.

1.1) Describa en detalle el problema:

Uso de software sin licencia dentro de la compañía

1.2) Describa cuando SI sucede:

Los posibles riesgos del uso de software sin licencia son la pérdida de datos, fallos críticos
del sistema informático o una mayor exposición a los ataques de virus informáticos y
malware, así como el daño a la reputación de la empresa.

1.3) Describa cuando NO sucede:

La información se mantiene, no hay perdida de datos y menor exposición a los ataques de


virus

1.4) Si es una inconsistencia ¿A partir de cuándo empezó?


Ej. Alguna nueva versión de software, sistema operativo, antivirus, un nuevo equipo, un nuevo
usuario, una caída de energía, bloqueo del servidor
No hay inconsistencia

Errores En la comunicación, definición de los


alcances
Mejoras Actualización de software y seguridad, se
reforzara la comunicación con los
empleados
Desarrollo especifico La investigación de mercado y la
estrategia 

Formato de cuestionarios

Proyecto: Formato de cuestionarios


Dirigido a: PSL S.A
Ciudad: Bogotá
Cargo: Jefe de nómina
Sección: Nómina
Tel Fijo: (571) 623 69 99 Línea 01 8000 111775
gratuita:
Fecha: 09/04/20120 Hora: 9:00

1. ¿Qué tipo de contratos maneja con sus empleados?


a. Fijo
b. Indefinido
c. Integral
d. Prestación de servicios
e. Aprendizaje

2. ¿Qué jornada tienen los trabajadores en la empresa?


8 Horas

3. ¿Se paga prima dominical?


a. Si
b. No
4. ¿Cuáles son los periodos de pago?
a. Semanal
b. Quincenal
c. Mensual

5. ¿Qué tipos de nómina se elaboran?


a. Nómina ejecutiva
b. Nómina de empleados

6. ¿Qué obligaciones de pago (Prestaciones) tiene la empresa con los empleados?


Seguro social, laboral, salud y cesantías

7. ¿Cada cuánto tiempo se realizan deducciones en la nómina de la empresa?


a. Semanal
b. Quincenal
c. Mensual
8. ¿Qué tipo de deudas puede adquirir el empleado con la empresa?
Un adelanto de salario

9. ¿Qué pagos extralegales se hacen dentro de la empresa?


Primas, bonificaciones o gratificaciones ocasionales y participación de utilidades

10. ¿Cómo se liquidan las horas extras?


a. Pago vencido
b. Pago adelantado

11. ¿Se pagan comisiones y cuál es su porcentaje?

Si al trabajador se le paga un 10%, su remuneración dependerá de lo que logre producir,

no de las horas de trabajo que dedique a producir.

12. ¿En qué tipo de medio pagan la nómina?


a. Cuenta bancaria
b. Cheque
c. Contado
d. Otro

13. ¿Paga incapacidades a empleados?


a. Si ¿Cómo?
Por medio de transacciones bancarias
b. No.

14. ¿Qué sistemas adicionales tienen para la gestión de ingreso y salida de los
empleados?
El Sistema EP-300 controla la entrada y salida y controla los tiempos y asistencia de
todo el personal de su Empresa, es un equipo que tiene capacidad de 2.000 huellas
digitales, almacena hasta 50.000 registros, viene con pantalla LCD, teclado, puertos
USB, y de red TCP/IP.

15. ¿Se hace registro de los usuarios?


Si
16. ¿Se registra las fallas de los equipos?
Si

17. ¿Se cuenta con mecanismos de identificación de usuarios?


Si

Análisis y evaluación de riesgos

No Riesgo Probabilidad Impacto


Improbable Ocasional Frecuente Insignificante Moderado Critico

1 Uso de x x
software sin
licencia dentro
de la compañía
2 Uso de SO sin x x
licencias dentro
de la compañía
3 Manejo de x x
información por
parte de
terceros
4 Inexperiencia x x
en procesos por
parte del
personal de la
empresa
Cuadro de riesgos detectados y de valoración

Riesgos detectados Valoración de Riesgos Impactos


Uso de software sin Fallos y uso de programas obsoletos Difusión de software dañino en la
licencia dentro de la ya que las copias no permiten empresa
compañía actualizaciones
Uso de SO sin Perdida de información de los Caída de los Sistemas Operativos de
licencias dentro de trabajadores los equipos de la compañía
la compañía
Manejo de Robo de información en caso de que Perdida de información vital de la
información por la compañía contratada no maneje de compañía y sus procesos
parte de terceros forma adecuada la información
Inexperiencia en Pérdida de clientes debido al Disminución en cuanto a calidad del
procesos por parte desconocimiento por parte de los producto vendido por la empresa
del personal de la empleados
empresa

Matriz de riesgos resultante y cuadro de tratamiento de riesgos

Bajo
Medio
Alto

Aplica (Realiza tratamiento de riesgos)


En algunos casos (En algunos casos realiza tratamiento)
No aplica (No realiza tratamiento)

No. Riesgos Procedimiento Objetivo Ranking Tratamiento de


de riesgos riesgos
1 Software sin Adquirir software Evitar
licencia con licencia software ilegal
2 Acceso de Más seguridad Evitar que la
información a información se
terceros divulgue
3 Perdida de Personal técnico Evitar la
información capacitado pérdida de
vital datos
importantes
para la
empresa
4 Falta de Capacitaciones al Mayor eficacia
experiencia por personal de trabajo
parte del
personal
5 Actualización Mantenerse al día Evitar hackers
de software con las
actualizaciones

Matriz de riesgos
LEVE MODERADO CATASTROFICO
ALTO R3
MEDIO R2 R1
BAJO R4

Cuadro de tratamiento de riesgos


ID.RIESGO Descripción riesgo Tratamiento riesgo
R1 Uso de software sin licencia Controlarlo o reducirlo
dentro de la compañía
R2 Uso de SO sin licencias dentro de Controlarlo o reducirlo
la compañía
R3 Manejo de información por parte Controlarlo o reducirlo
de terceros
R4 Inexperiencia en procesos por Controlarlo o reducirlo
parte del personal de la empresa

Formato de hallazgos para los riesgos


EVALUACION DE RIESGOS #1 Y #2

Empresa: PSL S.A Fecha de


evaluación:
COBIT: AI2 ADQUIRIR Y MANTENER SOFTWARE DE APLICACIÓN DEL
SIC DE LA EMPRESA.

Responsable: Junior Esteban Benavides


Peligro Probabilidad Consecuencias Recomendaciones Impacto del proceso
identificado
Uso de software 56% El uso de programas Evite adquirir software o Cuando se usa un producto
sin licencia no licenciados en las programas informáticos en pirata, los equipos están más
dentro de la organizaciones es lugares de dudosa expuestos a los ataques de
compañía una práctica procedencia. Prefiera los virus informáticos. Los
extendida en el proveedores formales que programas instalados sin
mundo que ha puedan brindar asesoría contar con las licencias
cobrado gran técnica y exija respectivas incrementan el
cantidad de comprobante de pago al riesgo de que el equipo de
problemas por realizar la compra cómputo se vea afectado por
pérdidas de data, virus, que ponen en peligro
filtraciones y hackeos la seguridad de la
debido a las brechas información, además de
de seguridad que ocasionar problemas
produce el utilizar técnicos en los dispositivos.
este tipo de software
Uso de SO sin 45% Mal funcionamiento No permita que el El uso de los SO ilegales no
licencias dentro del equipo vendedor del equipo de solo tiene consecuencias
de la compañía cómputo le ofrezca la negativas para los usuarios,
instalación gratuita del SO, también para las empresas
práctica frecuente de propietarias, que ven cómo
vendedores inescrupulosos sus productos son utilizados
para incentivar y concretar de manera fraudulenta, lo
la venta del equipo. cual les genera pérdidas
económicas.

EVALUACION DE RIESGOS #3

Empresa: PSL S.A Fecha de


evaluación:
COBIT: DS2 ADMINISTRAR SERVICIOS DE TERCEROS DEL SIC DE LA
EMPRESA.

Responsable: Junior Esteban Benavides


Peligro Probabilidad Consecuencias Recomendaciones Impacto del proceso
identificado

Manejo de 65% Robar información, Utilizar contraseñas Un robo de información


información por borrar datos fuertes. puede conllevar al cierre o a
parte de terceros Mantener el equipo seguro la bancarrota de la empresa
y actualizado.

EVALUACION DE RIESGOS #4
Empresa: PSL S.A Fecha de
evaluación:

Responsable: Junior Esteban Benavides


Peligro Probabilidad Consecuencias Recomendaciones Impacto del proceso
identificado

Inexperiencia en 5% Improductividad y El entrenamiento enseña a La confusión y la frustración


procesos por pérdida de ingresos nuevos empleados a conllevan al conflicto ya que
parte del satisfacer las expectativas los empleados pueden
personal de la de la empresa discutir entre sí o desafiar la
empresa gestión debido a una
capacitación inadecuada.

Cuadro de controles propuestos


Peligro Controles
identificado Preventivos Detectivos Correctivos
Uso de software sin -Alinear los programas con -Ejecutar una evaluación -Eliminar todo software ilegal
licencia dentro de la necesidad de la empresa interna -Reinstalar el software afectado
la compañía -Establecer políticas y -Integrar programas de desde la página oficial
procedimientos de control antivirus en los equipos
interno
-Integrar programas de
SAM dentro de la empresa
Uso de SO sin -Instalación de sistema -Ejecutar aplicaciones -Reinstalar el sistema operativo de
licencias dentro de operativo solo por personal para detectar el uso ilegal la página del fabricante con su
la compañía autorizado de sistemas operativos respectiva licencia
-Realizar controles
periódicos
-Privilegios de
administrador
Manejo de -Procedimiento para -Instalar software para -Desinstalar los programas
información por ingreso seguro a los para la protección de indeseables
parte de terceros sistemas de información información -Denunciar la irregularidad
-Procedimiento de gestión -Notar el rendimiento del encontrada
de usuarios y contraseñas equipo
-Procedimiento de ingreso -Ejecutar el antivirus
y desvinculación del periódicamente
personal

Inexperiencia en -Supervisar la actividad -Evaluar la puntualidad o -Despedir a la persona sino cumple


procesos por parte laboral de los empleados las incidencias laborales con los parámetros asignados
del personal de la -Capacitaciones -Realizar un test de -Realizar una reestructuración al
empresa complementarias en horas prueba a los empleados empleado que lo amerite
laborales
Dictamen de auditoria

DICTAMEN DE LA AUDITORÍA

A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de


mejoramiento por cada proceso auditado, una vez revisadas las observaciones y aclaraciones
hechas por la empresa:

AI2 ADQUIRIR Y MANTENER SOFTWARE DE APLICACIÓN

Objetivo de la Auditoria: Conceptuar sobre la importancia de software con licencia entre: el


personal, recursos de hardware y software, documentos soporte, centro de cómputo; a fin de
establecer el grado de eficiencia de los procesos que ejecutan en el PSL S.A.

Dictamen:
Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos de la utilización de
licencias legales en diferente software implementado en la empresa.

Hallazgos:

Los recursos de hardware y software son adecuados, se observa excesiva dependencia en la


capacidad y conocimiento que empleados clave tienen de la licencias de software

Recomendaciones:

Utilizar una política de control de los equipos pertenecientes a la empresa y realizar seguimiento
al software instalado en los equipos de la PSL S.A, con el fin de minimizar el riesgo de uso ilegal
del mismo.
El nivel de Madurez emitido en el dictamen se clasificará en los siguientes niveles
0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto
1-INICIAL: Los procesos son espontáneos y desorganizados. No se ha implementado procesos estándar para el procesamiento de
información.
2-REPETIBLE: Los procesos siguen un patrón regular o estándar; pero no se ha documentado suficientemente. Falta capacitación del
personal encargado. La eficiencia y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y
contratistas.
3-DEFINIDO: Los procesos están estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se
miden o se hacen mediciones parciales de las metas.
4-ADMINISTRADO: Los procesos están estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se
miden: Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
5-OPTIMIZADO: Las buenas prácticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para
implementarlos.

COBIT DS2 ADMINISTRAR SERVICIOS DE TERCEROS

Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo,


personal, recursos.

Dictamen:
Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y evaluación al
SIC.

Hallazgos:

La detección de este tipo de riesgos es de forma tardía, se encontró algunas irregularidades pero
no son muy perjudiciales.

Recomendaciones:

Desarrollar una política de seguridad de la información, que establece que no se permite la


descarga, uso, intercambio o instalación de juegos, música, videos, películas, imágenes,
protectores y fondos de pantalla, software de libre distribución, información o productos que
atenten contra la propiedad intelectual, archivos ejecutables que comprometan la seguridad de la
información.

INEXPERIENCIA EN PROCESOS POR PARTE DEL PERSONAL DE LA EMPRESA


Objetivo de la Auditoria: Detectar que los empleados cumplan las calificaciones necesarias, su
probabilidad e impacto sobre el aplicativo, personal, recursos, tiene gran afectación a la empresa.

Dictamen:
Se califica un nivel de madurez 3 DEFINIDO, por cuanto a la inexperiencia en proceso por parte
del personal.

Hallazgos:

Falta capacitación del personal encargado. La detección de riesgos y el establecimiento de


controles se hacen gracias a la iniciativa de los empleados, y no es un procedimiento que surja de
la empresa regularmente.

Recomendaciones:

Implementar el cumplimiento de políticas, de métodos de control del personal realizando


cuestionarios, entrevistas que demuestren si el personal está capacitado para cumplir con sus
labores, desarrollar capacitaciones para reforzar la experiencia del empleado

3. Programa de auditoria

Procesos:

1.1. DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información e


infraestructura de TI con el fin de minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI. Los objetivos de control que se evaluarán son los siguientes:

DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del módulo definidas y documentadas y que
los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la implementación de la


seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser re-
acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una
función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de
actividades inusuales o anormales que pueden requerir atención.

Proceso Descripción Alcance Fecha Fecha Final Tipo prueba Nombre


CobIT prueba Inicial auditor
DS5.3 Realizar un Esta 15/04/2020 30/04/2020 documental Daniel
monitoreo de los actividad se Jimenez
usuarios usados desarrollar
por los empleados á en el
de la empresa 2020 en el
PSL, tomando en mes abril 3
cuenta su y 4 semana
actividad y
verificando
mediante el uso
de software
especializado sus
actividades
durante el uso de
las cuentas.

DS5.5 Verificar la Esta 15/05/2020 31/05/2020 fotográfica Daniel


identificación de actividad se Jimenez
los empleados desarrollar
mediante el uso á en el
de identificación 2020 en el
personal mes mayo
3y4
semana
INTRUMENTOS DE RECOLECCION DE INFORMACION USADOS DURANTE EL
PROCESO DE AUDITORIA CON LA FINALIDAD DE REUINIR INFORMACION
VERIFICABLE PARA REALIZAR UN DICTAMENT FINAL

Para el proceso DS5 Garantizar la seguridad de los sistemas, la auditoria se desarrolló de la


siguiente manera.

FUENTES DE CONOCIMIENTO

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

PAGINA
ENTIDAD AUDITADA PSL S.A.
1 DE 1
PROCESO AUDITADO Seguridad de los Sistemas
RESPONSABLE Daniel Alejandro Jimenez Palomino
MATERIAL DE
COBIT
SOPORTE
DOMINIO DS Entregar y dar Soporte
PROCESO DS5 Garantizar la seguridad de los sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION
Prueba comparativa entre la
Pruebas mediante uso de
empresa auditada y una
software, pruebas de
Coordinador de empresa previamente
seguridad en redes, pruebas
infraestructura. certificada, para comprobar el
de seguridad en bases de
nivel de seguridad de usuarios
datos, pruebas de intrusión,
y contraseñas para ingresar a
pruebas de testeo.
los sistemas

AUDITOR RESPONSABLE:
Daniel Alejandro Jimenez Palomino

LISTA DE CHEQUEO

LISTA CHEQUEO
Entregar y Dar Soporte DS5 Garantizar la seguridad
DOMINIO PROCESO
(DS) de los sistemas
OBJETIVO DE CONTROL DS5.3 Administración de Identidad
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Existe un protocolo de referencia para la Al solicitar los protocolos de
1 identificación de los todos los usuarios x identificación, no se
(internos, externos y temporales)? encontraban disponibles.
¿Existe un protocolo para el monitoreo de
la actividad en los sistemas de TI No existe un protocolo físico
2 (Entorno de TI, operación de sistemas, X en el área donde fue
desarrollo y mantenimiento) además de solicitado
ser identificables de manera única?
Los usuarios usados por
¿Los usuarios (internos, externos y
todos los miembros de la
3 temporales) pueden ser identificados de x
compañía no presentan
manera única?
ningún tipo de identificación.
OBJETIVO DE CONTROL DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
Hasta el momento de la
¿Se monitorea periódicamente de forma
auditoria no existe un
1 efectiva la implementación de la x
cronograma de monitoreos
seguridad en TI?
previamente realizados.
Al momento de solicitar
¿Existe la evidencia de la última evidencia sobre la
2 reacreditación del sistema de seguridad x reacreditación de la
TI? seguridad, no la tienen
disponible.

ENTREVISTA

ENTIDAD PSL S.A. PAGINA


AUDITADA 1 D 1
E
OBJETIVO Conocer los problemas relacionados con la seguridad de los sistemas TI
AUDITORÍA
PROCESO DS5 Garantizar la seguridad de los sistemas
AUDITADO
RESPONSABLE Daniel Alejandro Jimenez Palomino
MATERIAL DE SOPORTE COBIT
DOMIN Entregar y Dar Soporte (DS) PROCES DS5.3 Administración de Identidad
IO O
ENTREVISTADO Juan Carlos Loaiza
CARGO Coordinador de Infraestructura

Tema: Seguridad del Sistemas y Usuarios

1. ¿Usted ha recibido asesoramiento o capacitación sobre el manejo de los sistemas y programas usados
por la empresa? _______________________________________________________________
2. ¿Puede usted describir el proceso que garantice la seguridad de los sistemas TI?
_____________________________________________________________
3. ¿Conoce y ha hecho uso de manuales para el manejo de los sistemas y programas?
____________________________________________________________
4. ¿Ha tenido problemas con el manejo de la seguridad de los sistemas TI? ¿Cuáles?
_____________________________________________
5. ¿Hay un control sobre la asignación de usuarios y claves a los empleados?_________
6. ¿Cuál es el tiempo máximo en solucionar los problemas de ingreso a los sistemas?___________

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE


FIRMA FIRMA

CUESTIONARIO

FORMATO CUESTIONARIO

Cuestionario de Control: C1
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la seguridad de los sistemas

Pregunta Si No OBSERVACIONE
S
¿Se cuenta con un registro para la identificación de los 5
usuarios?
¿Si existe este registro contiene los siguientes ítems? 5
Número del usuario
Contraseña de Usuario
Responsable
¿Se posee un registro de fallas detectadas en los equipos? 4
¿En el registro de fallas se tiene en cuenta con los siguientes 3
datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, la atención 1 De 1 a 5 días
que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con algún mecanismo de autentificación para los 4
usuarios?
¿Se puede confirmar que los permisos de acceso del usuario 2
al sistema y los datos están en línea con las necesidades del
módulo?
¿Se puede verificar que los derechos de acceso del usuario se 3
solicitan por la gerencia del usuario y son aprobados por el
responsable del sistema e implementado por la persona
responsable de la seguridad?
¿Los usuarios con sus claves de acceso pueden instalar y 5 Debe haber
desinstalar programas en el computador, y acceder a toda la restricciones en los
información de la empresa? usuarios de acuerdo
al área que maneja
¿Las identidades del usuario y los derechos de acceso se 2
mantienen en un repositorio central?
¿El personal que se encarga del mantenimiento de los 4
sistemas es personal capacitado?
¿Existen técnicas efectivas en coste y procedimientos 3
rentable para mantener actualizados la identificación del
usuario, realizar la autenticación y habilitar los derechos de
acceso?
¿La infraestructura tecnológica de los equipos soporta la 3
instalación de diferentes sistemas operativos?
TOTALES 17 27

Porcentaje de riesgo parcial = (Total SI * 100) / Total


Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (17 * 100) / 44 = 38,63


Porcentaje de riesgo = 100 – 38,63 = 61, 37

RIESGO:

Porcentaje de riesgo parcial: ¿ 38,63 %


Porcentaje de riesgo = 61,37%
Impacto según relevancia del proceso: Riesgo Medio

Matriz de Riesgo

ANALISIS Y EVALUACIÓN DE RIESGOS


N° Descripción Impacto Probabilidad
R1 Incumplimiento en el cronograma de copias de seguridad de equipos de 5 3
cómputo de usuarios y servidores
R2 Funcionamiento inadecuado de las aplicaciones de software 4 3
institucionales
R3 Indisponibilidad del servidor o equipos de computo 4 4
R4 Funcionamiento inadecuado del almacenamiento 3 2
R5 Desactualización Software 2 2
R6 Perdida de información por virus informáticos 5 3
R7 Incumplimiento en el reporte re la información 4 3
R8 Uso indebido de la información 3 2
R9 Accesos no autorizados a las instalaciones del área tecnológica 3 3
R10 Bloqueo de sistema por inactividad. 3 3
R11 Plagio o robo de información. 5 1
R12 Robo de información sensible. 5 1

Una vez usado los procesos de recolección de información sobre el proceso evaluado, se encontraron nuevos
riegos que podrían afectar el sistema que constituye la empresa.

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Catastrófico
Insignificante (1) Menor (2) Moderado (3) Mayor (4)
(5)

Raro (1) R11,R12

Improbable (2) R5 R4,R8

Posible (3) R9,R10 R2,R7 R1,R6

Probable (4) R3

Casi Seguro (5)


Cuadro de tratamiento de riesgos

No Riesgo Nivel Control Periodicidad


Incumplimiento en el Revisión De copias
cronograma de copias de de seguridad de
R1 seguridad de equipos de CATASTROFICO equipo de cómputo PERIODICO
cómputo de usuarios y de usuarios y
servidores servidores.
Funcionamiento Visita técnica para
inadecuado de las revisión del
R2 MAYOR MENSUAL
aplicaciones de software funcionamiento del
institucionales software.
Indisponibilidad del Revisión de
servidor o equipos de equipos de
R3 MAYOR PERIODICO
computo cómputo y
servidores.
Funcionamiento Visita técnica para
inadecuado del revisión del
R4 MODERADO MENSUAL
almacenamiento almacenamiento de
la información.
Desactualización Software Visita técnica para
revisión del
R5 MENOR PERIODICO
funcionamiento del
software.
Perdida de información por Implementación de
virus informáticos protocolos de
R6 CATASTROFICO seguridad y SEMESTRAL
actualización de
antivirus.

Incumplimiento en el Realizar reportes


reporte re la información mensuales sobre la
R7 MAYOR MENSUAL
información
almacenada
Uso indebido de la Seguir protocolos
información de seguridad para
R8 CATASTROFICO DIARIO
el manejo de la
información.
Accesos no autorizados a Capacitación del
las instalaciones del área personal de
tecnológica seguridad para el
R9 MODERADO tratamiento de la ANUAL
seguridad en las
áreas donde son
requeridos
Bloqueo de sistema por Mantenimiento
R10 inactividad. MODERADO MENSUAL
mensual de
usuarios y
contraseñas para
evitar bloqueos del
sistema.
Seguir protocolos
de seguridad para
R11 Plagio o robo de información. MODERADO DIARIO
el manejo de la
información
Seguir protocolos
Robo de información de seguridad para
R12 sensible.
CATASTROFICO DIARIO
el manejo de la
información

FORMATO DE HALLAZGOS ENCONTRADOS

REF

HALLAZGO 1
ADS_O1

PÁGINA
PROCESO AUDITADO Administración de Identidad
1 DE 1

RESPONSABLE Daniel Alejandro Jimenez Palomino

MATERIAL DE SOPORTE COBIT

Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO seguridad de los
(DS)
sistemas (DS5)

DESCRIPCIÓN:

 Incumplimiento en el cronograma de copias de seguridad de equipos de cómputo de


usuarios y servidores
 Incumplimiento en el reporte de la información
 Uso indebido de la información
 Bloqueo de sistema por inactividad
 Robo de información sensible
CAUSAS:

 No hay una persona encargada de realizar un cronograma para la creación de las copias de
seguridad
 Falta de comunicación por parte de los empleados, y descuido por parte de los supervisores
de cada área.
 No se cuenta con un control de los usuarios y contraseñas de los equipos de cómputo y
servidores, haciendo que la información se accesible para todos
 No hay mantenimiento de los usuarios y contraseñas para acceder a los equipos de cómputo
del personal.
 No existe un control sobre los usuarios y contraseñas, y el nivel de acceso a información que
estos tienen.

CONSECUENCIAS:

 Perdida de información de los equipos de cómputos de los usuarios y los servidores


 Retraso en la comunicación de eventos o suceso que puedan afectar a la empresa de
muchas formas
 Robo de información tanto de clientes como de la empresa
 Atraso de la entrega de servicios y productos de la empresa
 Perdida y robo de información confidencial de la empresa, como métodos de desarrollo de
software o actividad financiera

RECOMENDACIONES:

 Mejorar la comunicación entre todos los empleados involucrados en el proceso para


designar las personas idóneas que abordaran los diversos procesos y mejoras

 Elaborar e implementar políticas y procedimientos relacionados con auditorias que


permitan mantener actualizados todos los procesos que involucren la administración de
usuarios para la empresa.

HALLAZGO 2 REF
ADS_O2

PÁGINA
PROCESO AUDITADO Pruebas, Vigilancia y Monitoreo de la Seguridad
1 DE 1

RESPONSABLE Daniel Alejandro Jimenez Palomino

MATERIAL DE SOPORTE COBIT

Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO seguridad de los
(DS)
sistemas (DS5)

DESCRIPCIÓN:

 Indisponibilidad del servidor o equipos de computo


 Funcionamiento inadecuado del almacenamiento
 Desactualización Software
 Perdida de información por virus informáticos
 Accesos no autorizados a las instalaciones del área tecnológica
 Plagio o robo de información.

CAUSAS:

 Falta de mantenimiento de las instalaciones de los servidores y los equipos.


 No se cuenta con el hardware necesario para preservar y almacenar toda la información.
 Equipos sin el mantenimiento adecuado y uso de software sin licencia.
 Uso de antivirus que no tienen licencias o esta desactualizados, además del descuido por
parte de los empleados a la hora de revisar correos sospechosos o visitar páginas web.
 No hay control por parte del personal de seguridad para el acceso de áreas restringidas
dentro de la empresa y del personal que no forma parte de la misma.
 La empresa no cuenta con licencias correspondientes para el software creado.
CONSECUENCIAS:

 Imposibilidad de mantener información de la empresa y usuarios


 Perdida masiva de información tanto de la empresa como de los usuarios.
 Atraso en la entrega de productos y servicios.
 Se pierde información de los servidores y equipos de cómputo, además que los virus
informáticos también forman parte del robo de información.
 Robo de información tanto de clientes como de la empresa
 Robo de la información sobre procesos y actividades del software desarrollado por la
empresa

RECOMENDACIONES:

 Crear un comité de seguridad que permita supervisar constantemente el buen


funcionamiento de los sistemas y equipos de la empresa

 Elaborar e implementar políticas y procedimientos relacionados con auditorias que


permitan mantener actualizados todos los procesos que involucren pruebas, Vigilancia y
Monitoreo de la Seguridad para la empresa.

Riesgos Causas Consecuencias


Incumplimiento en el cronograma de copias de seguridad de No hay una Perdida de
equipos de cómputo de usuarios y servidores persona información de los
encargada de equipos de
realizar un cómputos de los
cronograma usuarios y los
para la creación servidores
de las copias de
seguridad
Funcionamiento inadecuado de las aplicaciones de software Falta de Atraso en la
institucionales mantenimiento y entrega de
actualizaciones productos y
del software de servicios.
la información.
Indisponibilidad del servidor o equipos de computo Falta de Imposibilidad de
mantenimiento mantener
de las información de la
instalaciones de empresa y
los servidores y usuarios
los equipos.
Funcionamiento inadecuado del almacenamiento No se cuenta Perdida masiva de
con el hardware información tanto
necesario para de la empresa
preservar y como de los
almacenar toda usuarios.
la información.
Desactualización Software Equipos sin el Atraso en la
mantenimiento entrega de
adecuado y uso productos y
de software sin servicios.
licencia.
Perdida de información por virus informáticos Uso de antivirus Se pierde
que no tienen información de los
licencias o esta servidores y
desactualizados, equipos de
además del cómputo, además
descuido por que los virus
parte de los informáticos
empleados a la también forman
hora de revisar parte del robo de
correos información.
sospechosos o
visitar páginas
web.
Incumplimiento en el reporte de la información Falta de Retraso en la
comunicación comunicación de
por parte de los eventos o suceso
empleados, y que puedan
descuido por afectar a la
parte de los empresa de
supervisores de muchas formas
cada área.
Uso indebido de la información No se cuenta Robo de
con un control información tanto
de los usuarios de clientes como
y contraseñas de la empresa
de los equipos
de computo y
servidores,
haciendo que la
información se
accesible para
todos
Accesos no autorizados a las instalaciones del área No hay control Robo de
tecnológica por parte del información tanto
personal de de clientes como
seguridad para de la empresa
el acceso de
áreas
restringidas
dentro de la
empresa y del
personal que no
forma parte de
la misma.
Bloqueo de sistema por inactividad. No hay Atraso de la
mantenimiento entrega de
de los usuarios y servicios y
contraseñas para productos de la
acceder a los empresa.
equipos de
cómputo del
personal.
La empresa no Robo de la
cuenta con información sobre
licencias procesos y
Plagio o robo de información. correspondientes actividades del
para el software software
creado. desarrollado por la
empresa.
No existe un Perdida y robo de
control sobre los información
usuarios y confidencial de la
contraseñas, y el empresa, como
Robo de información sensible. nivel de acceso a métodos de
información que desarrollo de
estos tienen. software o
actividad
financiera.

FORMATO DE CONTROLES

Riesgos Control Control


Preventivo Correctivo
Incumplimiento en el cronograma de copias de seguridad Asignar a un
de equipos de cómputo de usuarios y servidores empleado para Asignar y
la revisión capacitar al
periódica de las empleado para la
copias de creación de las
seguridad de los copias de
equipos de seguridad de los
cómputo y equipos de
servidores. computo y
servidores.
Funcionamiento inadecuado de las aplicaciones de software Revisión Desinstalar el
institucionales periódica de las programa y
aplicaciones del volverlo a instalar
software
institucional por
parte de un
empleado.
Indisponibilidad del servidor o equipos de computo Mantenimiento Realizar una lista
preventivo de chequeo para
mensual de los verificar el
equipos de funcionamiento
cómputo y los correcto de los
servidores. equipos de
cómputo.
Funcionamiento inadecuado del almacenamiento Realizar Cambio del
chequeo hardware usado
mensual del para almacenar
hardware usado información.
para el
almacenamiento
de información.
Desactualización Software Realizar un Reemplazar o
chequeo instalar
periódico del nuevamente de
software fuentes oficiales el
instalado en los software usado.
equipos de
cómputo.
Perdida de información por virus informáticos Actualizar Realizar copias
antivirus de diarias en
forma periódica dispositivos de
para evitar almacenamiento
daños causados que no estén
por virus conectado a la red
informáticos. de la empresa
Incumplimiento en el reporte de la información Realizar Solicitar la
informes documentación
mensuales por respectiva para
parte de cada verificar que se
equipo de este cumpliendo
trabajo al con el reporte de
supervisor o el la información.
director del área,
y luego realizar
un informe para
el gerente de la
empresa.
Uso indebido de la información Realizar Investigar la
chequeo información
mensual de los manejada en la
accesos de última semana
información por para sancionar a
parte de los la persona
usuarios y responsable de
contraseñas de uso indebido de la
la empresa. información.
Accesos no autorizados a las instalaciones del área Realizar Exigir la
tecnológica capacitación del identificación
personal de pertinente del
seguridad de la personal que esta
empresa. accediendo a las
distintas áreas de
la empresa.
Bloqueo de sistema por inactividad. Realizar un Creación de nuevo
mantenimiento usuario y
periódico de los contraseña para
equipos de acceder al sistema.
computo y un
chequeo a laos
usuarios y las
contraseñas que
maneja la
empresa.
Licenciamiento Licenciamiento del
del software software creado
Plagio o robo de información.
creado por la por la empresa.
empresa.
Delimitar el nivel Bloqueo inmediato
de acceso que de usuario y
puedan tener los contraseña.
Robo de información sensible. usuarios y
contraseñas para
acceder a la
información.

PROCESO COBIT: DS5: GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS DE LA EMPRESA.

a. Objetivo de la Auditoria: Garantizar la seguridad de los sistemas de la empresa implementado


de manera eficiente los controles necesarios para mantener en perfecto funcionamiento todos
los sistemas utilizados, así como también un personal altamente capacitado para ello.

b. Dictamen:

Se califica un nivel de madurez 2, por cuanto alguno de los procesos auditados al solicitar la
documentación no existía, pero el personal verbalmente afirmo haber realizado los controles
respectivos. Sin embargo, se encontraron manuales sin actualizar con respecto a la evolución
que ha tenido el Sistema. Se observa poco mantenimiento de los sistemas en general de la
empresa, junto con la desactualización de la mayoría del software utilizado. Se evidencia fallas
en el mantenimiento preventivo de los sistemas, así como falta de documentación escrita donde
se observen los cronogramas de actualización de las licencias.
c. Hallazgos que soportan el Dictamen:

 Incumplimiento en el cronograma de copias de seguridad de equipos de cómputo de usuarios y


servidores
 Incumplimiento en el reporte de la información
 Uso indebido de la información
 Bloqueo de sistema por inactividad
 Robo de información sensible
 Indisponibilidad del servidor o equipos de computo
 Funcionamiento inadecuado del almacenamiento
 Desactualización Software
 Perdida de información por virus informáticos
 Accesos no autorizados a las instalaciones del área tecnológica
 Plagio o robo de información.

d. Recomendaciones:

 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y


procedimientos de la administración de riesgos, la seguridad de la información, la propiedad de
datos y del sistema.
 Diseñar un plan donde se tengan en cuanta los cronogramas para actualizaciones, copias de
seguridad, uso debido de la información, actualización de software y revisión de amenazas por
virus informáticos
 Crear una comisión que controle los accesos autorizados a las instalaciones el área tecnológica
de la empresa, para evitar el plagio o robo de información.
 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de registrar los
movimientos realizados por los súper usuarios del sistema, pudiendo el mismo realizar auditorías
y ejerciendo controles adecuados sobre la seguridad del servidor e producción y sobre la base de
datos.
Lista de chequeo
Empresa PSL S.A.S
Auditor Javier Steven Zapata Vega
Responsable
Dominio Entregar y dar soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas
Objetivo de Control DS5.1 Administración de la Seguridad de TI

Pregunta SI N N/A
O
¿Se permite el ingreso de dispositivos celulares?

¿Se permite la conexión de dispositivos USB a los computadores?


 ¿Se tiene acceso a internet desde los computadores?

 ¿Se tiene acceso a los datos de la base de datos de


producción?

¿Se permite acceder a los ficheros de producción?

¿Se cuenta con procedimientos definidos para la subida a


producción de desarrollos?
¿Tienen acceso de redes externas como wifi o puntos de red
publicos?

PSL S.A.S R/PT: C1


Guía de Pruebas P1
Dominio Entregar y dar soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas
Objetivo de DS5.1 Administración de la Seguridad de TI
Control
No Evidencia Descripción

1 N/A Inspeccionar visualmente escritorios y accesorios de trabajadores.


2 N/A Conectar dispositivos periféricos USB.
Verificar conexión a internet mediante el acceso a
3 N/A
www.google.com.co
4 N/A Intentar acceder por SCP o FTP a producción.
5 N/A Intentar conectarse a redes wifi de la compañía.

Lista de chequeo
Empresa PSL S.A.S
Auditor Javier Steven Zapata Vega
Responsable
Dominio Adquirir e implementar
Proceso AI5 Adquirir Recursos de TI
Objetivo de Control AI5.2 Administración de Contratos con Proveedores

Pregunta SI N N/A
O
¿Se tiene instalado software open source ?

¿Se tiene instalado software licenciado pirata?

 ¿Desconoce el tipo de licenciamiento de software?

 ¿Usa software libre con fines comerciales?


 ¿Se le hace seguimiento a las librerías de terceros que
utilizan?

PSL S.A.S R/PT: C1


Guía de Pruebas P2
Dominio Adquirir e implementar
Proceso AI5 Adquirir Recursos de TI
Objetivo de AI5.2 Administración de Contratos con Proveedores
Control
No Evidencia Descripción

1 N/A Verificar software instalado Open Source.


2 N/A Verificar software instalado no Open Source y confirmar licencia.

3 N/A Verificar software gratuito con usos comerciales.

Vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado.

# Vulnerabilidad Amenazas Riesgo Proceso


Sanción económica
Uso de software no Sanción Desarrollo de
1 por parte de la
licenciado. económica. software.
DIAN.
Bloqueo de sistema por Perdida de Daño o corrupción Desarrollo de
2
inactividad. información. de la información. software
Imposibilidad de
Segregación de Indisponibilidad Despliegue de
3 mantener la
funciones. . entornos.
operación.
Copia redundante de la
Reproceso en la
información del Perdida de
4 operación de la Operación.
directorio activo y información.
empresa.
dominio.
Robo de
Libertad de puertos de Perdida de Desarrollo de
5 información
salida de computadores. información. software.
sensible.
Robo de
Información de clientes Información
6 información Uso de software.
no cifrada. sensible.
sensible.
Robo de
Uso de dispositivos Perdida de Desarrollo de
7 información
móviles. información software.
sensible.
Acceso a internet Perdida de Plagio o robo de Desarrollo de
8
libremente. información. información. software.
Robo de
WiFi en la red de la Perdida de
9 información Operación
compañía. información.
sensible.
Sistema de documentos
1 de la compañía no Perdida de Perdida de
Operación
0 respaldados o información. información.
centralizados.
1 Fallo en respaldo de Indisponibilidad de
Inoperatividad. Operación.
1 internet. ofrecer soporte.

Realizar el análisis y evaluación de riesgos para cada proceso asignado.

Probabilidad Impacto
N
Riesgo
o Improba Ocasion Frecuen Insignifica Modera Critic
ble al te nte do o
Sanción económica
1 por parte de la   x     x 
DIAN.
Daño o corrupción
2  x   x   
de la información.
Imposibilidad de
3 mantener la  x     x 
operación.
Reproceso en la
4 operación de la   x  x   
empresa.
Robo de información
5    x    x  
sensible.
Perdida de
6   x    x  
información.

Elaborar la matriz de riesgos de cada proceso evaluado.

MATRIZ DE RIESGOS
DPROBABILIDA

Frecuente ALTO ALTO ALTO


Ocasional MEDIO MEDIO ALTO

Improbabl
BAJO MEDIO MEDIO
e

Insignificant Moderad
Critico
e o
  IMPACTO

RIESGOS DETECTADOS

No Riesgo Nivel
Sanción económica por parte
1 ALTO
de la DIAN.
Daño o corrupción de la
2 MEDIO
información.
Imposibilidad de mantener la
3 MEDIO
operación.
Reproceso en la operación de
4 MEDIO
la empresa.
Robo de información
5 MEDIO
sensible.
6 Perdida de información. ALTO

Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

No Riesgo Nivel Control Periodicidad


Sanción económica por parte Revision de
1 ALTO PERIODICO
de la DIAN. licencias.
Daño o corrupción de la Validación de
2 MEDIO OCASIONAL
información. información.
Imposibilidad de mantener la Verificación de
3 MEDIO PERIODICO
operación. respaldo.
Reproceso en la operación de Automatización de
4 MEDIO OCASIONAL
la empresa. funciones.
Implementacion de
Robo de información
5 MEDIO protocolos de OCASIONAL
sensible.
seguridad.
Implementacion de
6 Perdida de información. ALTO protocolos de OCASIONAL
seguridad.

Formato de hallazgos para los riesgos

Aulas de informática Institución Educativa R/PT: P1

Hallazgos de la Auditoría H1

Dominio Entregar y dar soporte

Proceso DS5 Garantizar la Seguridad de los Sistemas


Objetivo de Control DS5.1 Administración de la Seguridad de TI

Riesgos Asociados R5, R6, R8


Descripción

En las actividades de los desarrolladores, se evidencia el acceso deliberado a


recursos de internet permitiendo el robo de información, de igual manera se
evidencia la conectividad con dispositivos externos a los equipos de trabajo.

Recomendación

Bloquear el acceso a internet y los puertos de acceso al equipo de trabajo.

Causa

La falta de monitoreo permite que se filtre o se plagie información importante para


la compañía.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto


al impacto es moderado

Aulas de informática Institución Educativa R/PT: P2

Hallazgos de la Auditoría H2

Dominio Adquirir e implementar


Proceso AI5 Adquirir Recursos de TI

Objetivo de Control AI5.2 Administración de Contratos con Proveedores

Riesgos Asociados R1
Descripción

En la visita realizada se evidencia el uso de software no licenciado y software a


punto de vencerse, sotware cuyo uso es recurrente.

Recomendación

Adquirir las licencias y tener un recordatorio de fechas de adquisición.

Causa

La falta de recursos económicos y la falta de organización hace que esta


adquisición se venza y pueda causar sanciones económicas a la compañía.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto


al impacto es alto.

Cuadro de controles propuestos

CONTROL TIPO
Bloqueo de acceso a internet.  PREVENTIVO

Bloqueo de puertos de equipos


PREVENTIVO
internos.

Revisión de puertos bloqueados. CORRECTIVO


Bitacora de registro de compra
PREVENTIVO
de licencias.

Revisión de licencias adquiridas. CORRECTIVO

Dictamen de la auditoria

PROCESO COBIT: DS5 Garantizar la Seguridad de los Sistemas.

Objetivo de la Auditoria:
 Conceptuar sobre la organización de la compañía y los procesos que afecten la
seguridad de la información con relación a la eficiencia de los procesos que se
ejecutan en el sistema.
Dictamen:
 Se califica un nivel de madurez 1 NO DEFINIDO, por cuanto los procesos,
organización y relaciones del área evaluada no están contenidos en ningún manual
de procesos de la compañía y el cual genera una dependencia de los
programadores del sistema de qué información confidencial o del negocio no se
filtre..

Hallazgos que soportan el Dictamen:


 Se encontró acceso deliberado a internet el cual permite extraer información y
publicarla inmediatamente.

 Se encontró acceso a de conexión con dispositivos externos USB y celulares el


cual permite el plagio de información.

Recomendaciones:
 Inhabilitar el acceso a internet o únicamente a sitios permitidos como recursos
académicos o de investigación.

 Inhabilitar puertos de los equipos y estaciones de trabajo.

PROCESO COBIT: AI5 Adquirir Recursos de TI

Objetivo de la Auditoria:
 Conceptuar sobre la organización de la compañía y los procesos que afecten las
sanciones económicas por parte de la adquisición de software licenciado.

Dictamen:
 Se califica un nivel de madurez 1 NO DEFINIDO, por cuanto los procesos,
organización y relaciones del área evaluada no están contenidos en ningún manual
de procesos de la compañía y el cual genera una dependencia del departamento de
soporte y los programadores en la instalación y uso de software no licenciados.

Hallazgos que soportan el Dictamen:


 Se encontró uso de software no licenciado.

 Se encontró uso de software a punto de vencerse.

 Se encontró uso de software a vencido.

Recomendaciones:
 Diseñar una bitácora de software usado y adquirido en el cual se lleve un registro
de adquisición de licencias.

 Realizar una revisión de la bitácora periódicamente para analizar vencimientos de


licencias.

CONCLUSIONES
BIBLIOGRAFIA

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de


https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-
35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica
 Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una
visión práctica. (pp. 9- 29). Recuperado de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su
clasificación. Recuperado de http://hdl.handle.net/10596/10236
 Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática.
[Archivo de video]. Recuperado de: http://hdl.handle.net/10596/23475
 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas.
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp.
119-181). Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de
seguridad informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara, México:
Editorial CECSA. (pp. 29-117) Recuperado de:
http://eprints.uanl.mx/6977/1/1020073604.PDF
 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
 Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de
desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
 Quezada-Sarmiento, P. A. paquezada@utpl. edu. e., Alvarado-Camacho, P.-E.
pealvarado@utpl. edu. e., & Chango-Cañaveral, P. M. 2pmchango@utpl. edu. e. (n.d.).
Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?
direct=true&db=aci&AN=127420924&lang=es&site=eds-live
 Solarte Solarte, F. ( 21,12,2016). Metodología de la auditoria con estándar CobIT.
[Archivo de video]. Recuperado de: https://www.youtube.com/watch?
time_continue=1&v=WHBZCf5B-3Q
 Solarte Solarte, F. ( 07,01,2019). Metodología de Auditoría - Fases y Resultados.
[Archivo de video]. Recuperado de: http://hdl.handle.net/10596/23476

También podría gustarte