UNIVERSIDAD NACIONAL PEDRO HENRIQUEZ URENA

Facultad de Ciencias y Tecnologías

Escuela de Ingeniería en Sistemas

Tema: Auditoría en un área de TIC

Materia: Admin. Procesamiento electrónico de datos

Profesor/a: José Anibal Tolentino Susana

Fecha: 16/4/2022

Luis Daniel Figuereo Alvarez

21-0587

I-Imagen de la Página de Internet y la dirección de sus oficinas en Santo Domingo,

de las siguientes organizaciones de auditoria:

1-KPMG
Dirección:
Acropolis (mall), suite 2300. Avenida winston churchill, Santo Domingo.

2-Deloitte & Touche

Dirección:

Edificio Deloitte. Calle Rafael Augusto Sánchez No. 65. Ensanche Piantini. Santo
Domingo.

3-Guzmán Tapia PKF

Dirección:
Calle 14 No. 3A. Ensanche urbanización Fernandez. Santo Domingo.

4-PWC (Price Waterhouse Coopers)

Dirección:
Av. Lope de Vega 29. Edificio novo centro.

5-BDO República Dominicana

Dirección:
Av. Ortega y Gasset, calle Tetelo Vargas No. 43. Santo Domingo.

6-EY Dominicana (Ernst & Young Dominicana)

Dirección:
Av. Pedro Henriquez Urena No. 138, Torre empresarial Reyna II, suite 900, Ens. La
Esperilla, Santo Domingo.

II-Localizar en la Internet, un informe de Auditoria de Tecnología de Información y

Comunicación (TIC) o Auditoria Informática. Luego identificar en la misma cuál
fue el Propósito, según el mapa conceptual de la página #2, del tema #20:
Introducción a la Auditoria en un Área de TIC.
Proceso: Gestión de servicios TIC.
Numero de auditoria: 2020-AE-04. Auditoria interna combinada de seguridad de la
información bajo la norma NTC ISO/ IEC 27001:2013.
Propósito: Evaluar el sistema de gestión de seguridad de la información y modelo de
seguridad y privacidad de la información, en su alcance correspondiente al proceso de
gestión de servicios TIC del ministerio de educación nacional (MEN), conforme a los
requisitos legales vigentes de gobierno digital del ministerio de tecnologías de la
información y las comunicaciones (MIN) y la norma NTC ISO/IEC 27001:2013.

III-Sobre el mismo informe del punto anterior, determinar si el contenido del

mismo tiene la estructura especificada en la página #8, del tema #20: Introducción
a la Auditoria en un Área de TIC. De no ser así detalle cual es la estructura de su
contenido.

 Proceso

 Numero de auditoria

 Reunión de apertura

 Reunión de cierre

 Equipo auditor

 Objetivo de auditoria

 Alcance de auditoria

 Criterios de auditoria

 Metodología

 Sesiones de auditoria

 Resumen general

 Resultado de auditoria

 Conclusiones

 Recomendaciones

IV-Sobre el mismo informe del punto #2, identificar los siguientes aspectos
cubiertos en la auditoria:
a) Área que se revisó
Se revisaron 130 requerimientos de norma NTC/ ISO 27001: 2013 repartidos en 7
numerales, y 114 controles del anexo.
b) Detalles que se estudiaron
Contexto de la entidad, sistema de gestión de la seguridad de la información,
determinar el alcance del sistema de gestión de seguridad, liderazgo y compromiso,
política, roles en la entidad, organización de la seguridad de la información, planeación,
acciones para abordar los riesgos y las oportunidades, objetivos de seguridad de la
información y planificación para lograrlos, operación, control y planificación operacional,
gestión de activos, clasificaciónde la información, manejo de medios, comunicación,
seguridad de recursos humanos, etc.
c) Procesos que se evaluaron
La verificación, el hacer, el actuar, y el planear.
d) Factores que se valoraron
Se realizan las evaluaciones de riesgos a intervalos planificados semestralmente,
aplicando la evaluación de riesgos de seguridad de la información. Se evalúa la
prioridad de cada tipo de información mediante una puntuación o valoración del riesgo.
Finalmente, se definen los controles necesarios para asegurar la información que
supere determinado nivel de riesgo establecido, según los criterios de riesgo del
sistema de gestión de seguridad de la información.

V-Sobre el mismo informe del punto #2, identificar el enfoque de auditoria del
Marco Conceptual:
a) Auditoria “alrededor” del computador.
La oficina tecnológica presenta mensualmente un informe de la gestión realizada a nivel
de los servicios especializados de ejecución, administración y operación de seguridad
informática del ministerio de educación nacional, en cuanto a planes de seguridad,
gestión de vulnerabilidades operativas, disponibilidad de dispositivos de seguridad,
gestión de identidad y acceso, cumplimiento del modelo operativo y planes de
actualización tecnológica, entre otros.
b) Auditoria “a través” del computador.
El ministerio cuenta con un centro de datos alterno, para garantizar la disponibilidad de
los servicios críticos de la entidad, teniendo en cuenta las buenas prácticas de
seguridad de la información establecidas en los documentos. Los data center del MEN
están instalados en un centro de datos principal y otro está sujeto a cambios según el
acuerdo AMP; estos cuenta con capacidades de respaldo de energía ininterrumpida,
ajustados a la capacidad de cada uno, sistemas de control de acceso, seguridad
perimetral, sistemas de detección, y prevención de incendios, cableado estructurado,
conexión mediante fibra oscura entre aplicaciones de procesamiento de datos,
monitoreo, plataformas tecnológicas de respaldo y virtualización, redes y comunicación.
c) Auditoria “con” el computador.
Se realizan pruebas a través de aplicaciones específicas como el pentesting, con el fin
de identificar debilidades de seguridad sobre un servidor, aplicación, etc. Estas pruebas
permiten comprobar los controles de seguridad, las aplicaciones web, detectando
vulnerabilidades que un atacante podría explotar, y posteriormente introduciento los
correctivos de remediación y neutralización de la amenaza.

VI-) Localizar en la Internet el nombre de tres Aplicaciones usadas para la

realización de auditoria y el nombre de las empresas que desarrollaron esas
Aplicaciones.
1-AuditBrain
Nombre de la empresa: Audit Brain
2-iAuditoria Software
Nombre de la empresa: iAuditoria
3-Auge Software Auditoría
Nombre de la empresa: Augetotal