FASE 5 –FINAL

AUDITORIA DE SISTEMAS

PRESENTADO A:
ANGELA DAYAN GARAY VILLADA
TUTOR

ENTREGADO POR:

JAVIER ANDRES CALDERON HERRERA

CÓDIGO: 1030539322

GRUPO: 90168A_951

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
19 MAYO -2021
INFORME DE CONSTRUCCIÓN
La empresa que se encuentra ubicada en la ciudad de acacias se llama “carpetrol sas”, es
una micro empresa joven que se dedica a la prestación de bienes y servicios para Ecopetrol.

ORGANIGRAMA
La empresa carpetrol sas cuenta con arbol organizacional comformado por u parte visible la
gerencia luego dirigida por el director generar, se divide en un area de gestion de negocios
y sub areas como es la area de compras, ejecuccion de contratos, hseq,tecnologia, recurso
humano y contabilidad.

gerencia

director gestion de
general negocios

ejecuccion
compras hseq
cntratos

recurso
tecnologia contabilidad
humano

Imagen tomada: http://www.carpetrol.com.co/

 1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas,
listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades,
amenazas y riesgos para cada proceso asignado.
Para la realización de los elementos de toma de información se deben tener en cuenta tanto
el hardware como el software. Para que la información recolectada abarque todo el sistema
que aneja la empresa CARPETROL SAS.

Objetivo: se busca con la recolección de chicha información evaluar la infraestructura que

maneja la empresa y detectar las posibles fallas que está presentando.

ENCUESTA
CARPETROL SAS
“conocer la percepción que se tiene sobre los sistemas de información de la
empresa carpetrols sas.”
NOMBRE EMPRESA
NOMBRE APELLIDOS
CARGO
FECHA
PREGUNTAS
1. 1 Seleccione por favor el rango de edad 18 años a 25 años
al que pertenece? 25 años a 35 años
35 años a 45 años
45 años en adelante

2. Seleccione su género Masculino

Femenino

3. Cree usted que la empresa carpetrol Si

cuenta con los equipos correctos para
su funcionamiento? No
4. los equipos de cómputo de la empresa Si
son de última generación?
No
5. Se realizan copias de seguridad Si
mensual a los equipos?
No
6. La organización tanto física de los Si
puesto de trabajo es correcta?
No
7. Empresa cuenta con un servidor de Si
datos que proteja la información?
No
8. La empresa cuenta con herramientas Si
virtuales como página web, software
propios? No
 9. El hardware de los equipos de Si
cómputo son modelos nuevos fácil de
utilizar? No
Teniendo en cuenta el cuadro de tratamiento de riesgos de cada proceso evaluado,
cada estudiante deberá:

1. Elaborar el formato de hallazgos para cada uno de los riesgos cuyo tratamiento
sea controlarlo o ejercer control.

MATRIZ DE RIESGOS
PROBABILIDAD IMPACTO
Sin importancia bajo moderado alto desastre
Inusual (1)
Probable(2) R1
Posible(3) R2,R5 R7
Probable(4) R6 R3,R4
Casi certero(5)

IMPACTO
Sin importancia 1
bajo 2
moderado 3
alto 4
desastre 5
PROBABILIDAD
Inusual 1
Improbable 2
Posible 3
Probable 4
Casi certero 5

NUMEROS DE DESCRIPCION IMPACTO PROBABILIDAD

RIESGOS
1 Equipos antiguos 4 2
hardware
2 Mal estado de la 3 3
red
3 Presenta perdida 4 4
de información
4 Falta de 4 4
seguridad
informática
firewall
5 Falta de 3 3
actualización
 pagina web
6 Presenta 3 4
inconsistencia en
el respaldo de los
Backud
7 Falta de alcance 4 3
red wifi muy débil
señal

Riesgo 1)
REF
HALLAZGO 1 R1

PROCESO AUDITADO Gestión tecnológica PAGINA 1

RESPONSABLE Javier andres calderón herrera

MATERIAL DE cobit
SOPORTE
DOMINIO Equipos muy antiguos

PROCESO Adquisición de equipos modernos

DESCRIPCIÓN Equipos muy antiguos, Poco rendimiento en las tareas

HALLAZGO: diarias. Incompatibilidad con nuevas tecnologías

CAUSAS Falta de gestión o aprobación por parte de la gerencia

de compra de nuevos equipos modernos.
CONSECUENCIAS Poca credibilidad con el cliente, perdida de fidelización
de clientes.

Perdida de nuevas tecnologías desarrollo de nuevas

tecnologías adquisición de nuevos software que
simplifiquen nuestro trabajo.
VALORACIÓN DEL Probabilidad de ocurrencia: probable
RIESGO Impacto según relevancia del proceso: Alto.

RECOMENDACIONES Se debe siempre crear un cronograma anual de

actualización de equipos tecnológicos quedar
establecido dentro de presupuesto de la empresa
carpetrol.

Riesgo 2)
REF
HALLAZGO 2 R2
 PROCESO AUDITADO Gestión tecnológica PAGINA 1

RESPONSABLE Javier andres calderón herrera

MATERIAL DE cobit
SOPORTE
DOMINIO Protección por medio de firewall

PROCESO Verificación servidores corta fuegos

DESCRIPCIÓN Falta seguridad para posibles ataques cibernéticos.

HALLAZGO:
Falta servidor de archivos.
CAUSAS Falta de planeación es una estructura de seguridad
informática
CONSECUENCIAS Perdida de información, robo de información
confidencial.

Estamos desprotegidos contra los hackers, vulnerables

a que nos infecten con virus nuestra información
VALORACIÓN DEL Probabilidad de ocurrencia: posible
RIESGO Impacto según relevancia del proceso: moderado.

RECOMENDACIONES Se debe reestructurar el sistema de seguridad de la

empresa carpetrol sas, se debe adquirir un servido y
posteriormente hacer su respectiva configuración.co
todas las medidas de seguridad de salida a internet.

Riesgo 3)
REF
 HALLAZGO3 R3

PROCESO AUDITADO Gestión tecnológica PAGINA 1

RESPONSABLE Javier andres calderón herrera

MATERIAL DE cobit
SOPORTE

DOMINIO Estructura física

PROCESO Verificación de toda la estructura físico en las 2

plantas.
DESCRIPCIÓN Mal estado cableado utp
HALLAZGO:
Tomas de corriente mal estado

gabinete en un lugar al alcance de todo

CAUSAS La empresa ha venido creciendo pero no siempre ha
estado en actualización digital de los equipos de
cómputo.
CONSECUENCIAS Perdida de contratos y rapidez de los procesos.

Daño de equipos pérdida de información.

Daño en configuración y pérdida de información y de

acceso a las diferentes plataformas, robo de
información.
VALORACIÓN DEL Probabilidad de ocurrencia: probable
RIESGO Impacto según relevancia del proceso: alto.

RECOMENDACIONES Se creara un inventario de depreciason de los equipos

tecnológicos con eso año tras año se irán cambiando
dependiendo de su tiempo de uso y la implementación
de las nuevas tecnologías.

2. Elaborar un cuadro de los controles propuestos, y clasificarlos como controles

preventivos, detectivos y correctivos.
 RIESGOS O TIPO DE CONTROL SOLUCIONES O
HALLAZGOS CONTROLES
ENCONTRADOS

Estructura física CORRECTIVO Se creara un inventario

de depreciason de los
equipos tecnológicos
con eso año tras año se
irán cambiando
dependiendo de su
tiempo de uso y la
implementación de las
nuevas tecnologías.
Protección por medio CORRECTIVO Se debe reestructurar
de firewall el sistema de seguridad
de la empresa carpetrol
sas, se debe adquirir un
servido y
posteriormente hacer
su respectiva
configuración.co todas
las medidas de
seguridad de salida a
internet.
CORRECTIVO Se debe siempre crear
Equipos muy antiguos un cronograma anual
de actualización de
equipos tecnológicos
quedar establecido
dentro de presupuesto
de la empresa
carpetrol.

3. Elaborar el dictamen de la auditoría para la medición del nivel de madurez de

cada proceso evaluado
 Dictamen auditorio

PROCESO COBIT 5: solución problemas tecnológicos

Objetivo de la Auditoria: mejoramiento de la planta tecnológica por medio de adquisición

equipos modernos

Dictamen:
Se estableció por medio del análisis COBIT 5 los fallos en la estructura de sistemas de la
empresa carpetrolsas, falta de cambio de tecnología nueva, falta de sistema de seguridad
firewall. Por eso se debe hacer una reestructuración tecnológica.

Hallazgos que soportan el Dictamen:

• Perdida de nuevas tecnologías desarrollo de nuevas tecnologías adquisición de

nuevos software que simplifiquen nuestro trabajo.
• Perdida de información, robo de información confidencial.

• Estamos desprotegidos contra los hackers, vulnerables a que nos infecten con virus
nuestra información.

• Perdida de contratos y rapidez de los procesos.

• Daño de equipos pérdida de información.

• Daño en configuración y pérdida de información y de acceso a las diferentes

plataformas, robo de información.

c. Recomendaciones:

• Se debe siempre crear un cronograma anual de actualización de equipos

tecnológicos quedar establecido dentro de presupuesto de la empresa carpetrol.

• Se debe reestructurar el sistema de seguridad de la empresa carpetrol sas, se debe

adquirir un servido y posteriormente hacer su respectiva configuración.co todas las
medidas de seguridad de salida a internet.

• Se creara un inventario de depreciaron de los equipos tecnológicos con eso año tras
año se irán cambiando dependiendo de su tiempo de uso y la implementación de las
nuevas tecnologías.

4. Elaborar el informe final de auditoría con los hallazgos y recomendaciones

 INFORME EJECUTIVO DE AUDITORIA

Acacias, 10 de mayo de 2021

Ing Gustavo salinas

REF: AUDITORIA SOPORTE TÉCNICO

Según lo revisado en la parte tecnológica de esta empresa podemos encontrar defices en la
parte más que todo de infraestructura obsoleta o antigua y falta la implementación de
nuevas tecnologías, a su vez se requiere invertir fuete en seguridad informática ay que es
una empresa que aneja mucha información y es propenso a posibles ataque cibernéticos, e
importante a implementación de un firewall.

Respecto a: solución problemas tecnológicos

Auditor encargado:
Javier andres calderon herrera

Hallazgos
Una vez realizado la auditoria basados en el modelo Cobit 5, se encontraron problemas
estructurales, como equipos muy antiguo redes muy antiguas, Falta de planeación es una
estructura de seguridad informática, esto permite ue la empresa este muy inestable no
brinde seguridad externa si no solo copias de seguridad en un disco duro que se realiza
manual. La empresa ha venido creciendo pero no siempre ha estado en actualización digital
de los equipos de cómputo. Se debe actualizar realizar un presupuesto actualizado con el fin
de poder adquirir nuevas tecnologías y nuevas software que permitan simplificar el trabajo
en cada uno de los puestos de trabajo software contable y de aneja de transporte de carga,
Recomendaciones:
Se recomienda hacer a unificación de la información realizar una modificación
organizacional, compra de equipos por medio de un presupuesto anual, el uso de servidor
de archivos programados bajo Linux-adquisición de nuevas tecnologías de la información.

Cordialmente,
_______________________
Javier andres calderon herrera
Lider equipo auditor
 BIBLIOGRAFIA

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp.

119-181). Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-
46686981
 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de
seguridad informática. Recuperado
de https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44136
 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 5 – 119). Recuperado
de https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/45891