CORPORACION UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR CUN

AUDITORIA DE SISTEMAS

PROCESO DE AUDITORÍA SEGURIDAD DE LA INFORMACIÓN

AUDITORÍA DE SEGURIDAD DE LA INFORMACIÓN E INFRAESTRUCTURA DE
TI, AL ÁREA DE TI DE LA EMPRESA DE ENERGÍA RANDHELTH E.S.P. DEL
DEPARTAMENTO DEL VALLE DEL CAUCA

Autores Grupo
Maria Fernanda Zuleta Camacho (51167)
Daniel Mateo Casallas Cepeda (56660)
German Esteban Salas Giraldo (56660)
Henry Delgado Cortez (56660)

Docente
Katherine Astrid Romero Ussa

Bogotá, Colombia
Diciembre 2022
 Introducción

En la actualidad, los sistemas de información apoyan en gran medida la actividad gerencial

y la toma de decisiones en las empresas; incluso, la propia información y el acceso a la
misma, los productos y servicios que se intercambian se han convertido en sus principales
activos. Por ello, la gestión de la información no sigue siendo concebida como el resultado
de un accionar para preservar los otros activos de la empresa, sino que se ha transformado
en un condicionante estratégico para operar y/o competir en los sectores productivos y de
esta manera generar valor para la misma. Es por eso, que cada vez existe mayor conciencia
y consenso de la importancia de la Seguridad de la Información y de las redes de datos en
empresas y Organizaciones, cualquiera que sea el rol en la sociedad que éstas desempeñen.
Sin embargo, existen estructuras empresariales que requieren que estos temas sean
analizados con una estrategia diferente, ya sea por la criticidad de la información que
manejan, su dimensión o su estructura empresarial. Por ende, la mejor opción es establecer
controles de seguridad en base a los requerimientos de cada empresa, de tal manera que se
garanticen la integridad, disponibilidad y confidencialidad de la información y evaluarlos
periódicamente con el objeto de evidenciar su nivel de eficiencia. Este proceso de
evaluación se puede realizar a través de una auditoría de seguridad de la información con la
cual, se podrá determinar las vulnerabilidades del sistema y en base a estos resultados los
directivos podrán tomar decisiones y establecer las mejores medidas para dar solución a los
inconvenientes de seguridad. Por consiguiente, gestionar adecuadamente la seguridad de la
información no solo permite a la empresa dar cumplimiento a sus obligaciones y
regulaciones, sino que además genera confianza en sus clientes y potenciales inversores, al
garantizarles que cuentan con la infraestructura tecnológica y las medidas de seguridad
pertinentes para proteger la información y realizar eficientemente las distintas actividades
administrativas, financieras, comerciales y operativas de la empresa. De esta manera, en el
presente documento se dará a conocer el desarrollo de las distintas actividades realizadas en
la ejecución de la respectiva auditoría en seguridad de la información en la empresa de
Energía del Valle del Cauca Randhelth E.S.P. Este documento se encuentra estructurado en
tres capítulos los cuales contienen los siguientes temas respectivamente: Auditoría interna
primera parte, Auditoría externa parte dos y Auditoria Tercera parte, junto con la
descripción del proyecto, un marco referencial donde se presenta una breve definición de
los diferentes términos utilizados, el análisis de riesgos asociados a los activos de
información en la Empresa caso de estudio, la evaluación de cumplimiento de los controles
de la Norma ISO/IEC 27002:2013 y las políticas de seguridad de la información que se
desarrollaron como valor agregado de esta práctica social, empresarial o solidaria.
Preguntas para realizar esta auditoría

1.¿Cuál es el objetivo de realizar esta auditoría para la empresa de energía Randhelth?

2 ¿Cuál es la metodología que voy a implementar?

3. ¿Cómo voy a evaluar el proceso y las recomendaciones de los hallazgos encontrados?

Proceso de Auditoría

Auditoría de primera parte (Auditoría interna)

Teniendo en cuenta que una auditoría de seguridad informática o auditoría de seguridad de

sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas
llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las
diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las
estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad de
sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de
seguridad de SÍ permiten conocer en el momento de su realización cuál es la situación
exacta de sus activos de información en cuanto a protección, control y medidas de
seguridad

Fases de una auditoría interna en los Sistemas de Información

Para este proyecto las fases establecidas son:

1.Enumeración de las redes, topología y protocolos

2. Verificación del cumplimiento de los estándares internacionales; ISO; COBIT; etc
3.Identificación de los Sistemas Operativos instalados
4. Análisis de servicios y aplicaciones.
5.Detección, comprobación y evaluación de vulnerabilidades
6.Medidas específicas de corrección
7. Recomendaciones sobre implantación de medidas preventivas.
Auditoría de seguridad interna

En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales
y corporativas de carácter interno.

Proceso de Auditoría de Sistemas.

Para auditar la empresa de energía Randhelth se requiere seguir varios pasos. El auditor de
sistemas debe hacer una evaluación de los riesgos globales pero también desarrollar un
programa de auditoría que contiene unos objetivos de control y procedimientos de auditoría
que sirvan para satisfacer esos objetivos.

Planificación de la auditoría

En el desarrollo de la planificación se deben cubrir varias áreas, el auditor debe reunir

evidencias, debe evaluar fortalezas y debilidades en este caso de los controles a los accesos
de la información basado en la evidencia recopilada y adicional presentar un informe de
auditoría donde presente las evidencias o temas en forma completamente objetiva a la
gerencia. Una vez la gerencia de auditoría con ese informe debe garantizar disponibilidad y
los recursos para realizar los trabajos de auditoría junto con revisiones sobre el seguimiento
sobre las acciones correctivas emprendidas por la misma gerencia.

1. Comprensión del negocio y su ambiente

2. Riesgo y material de auditoría.
3. Determinar las técnicas de evaluación de riesgos.
4. Contar con objetivos de controles y objetivos de auditoría
5. Realizar procedimientos de auditoría.

Es importante que el auditor cuente con un programa de auditoría, que es conocido como
un conjunto de procedimientos establecidos para alcanzar los objetivos planificados
Esquema programa de auditoría incluye:

*Tema de auditoría: El área auditada: (La infraestructura de TI, Tecnologías de la

Información y las comunicaciones).

*Objetivos de la auditoría: Realizar una auditoría de Seguridad de la información e

Infraestructura de TI basada en las normas ISO/IEC 27000:2013 e ISO/IEC 11801
ANSI/TIA/EIA al área de TI de la Empresa de Energía del Valle Randhelth E.S.P. del
Departamento Valle del Cauca.

*Objetivos específicos:

1.Planificar las distintas actividades que permitan realizar el proceso de auditoría.

2.Desarrollar la auditoría apoyada en una herramienta de recolección de datos. 3.Informar
a los miembros del área de TI los hallazgos obtenidos en el proceso de la auditoría.
4.Presentar mejoras al área de TI en cuanto a la seguridad de la información teniendo en
cuenta los hallazgos obtenidos.

*Alcances de la auditoría: todos los elementos de la Infraestructura TI, en un periodo de

tiempo determinado

*Planificación: Los recursos físicos y financieros, las habilidades con los que se cuenta
para realizar la auditoría así como las fuentes de información para pruebas o revisión,
lugares físicos e instalaciones donde se va a auditar:

En ese orden de ideas el procedimiento estándar utilizado en la empresa de energía

Randhelth para auditar es el siguiente:

1.Recopilación de la información

1.1 Revisión de la documentación (políticas y protocolos)

1.2 Análisis de especificaciones de hardware y software

1.3 Realización de Test y manipulación de herramientas para medir la seguridad de los

sistemas.

2.Identificación de la lista de las personas a entrevistar

3. identificación y selección del enfoque de trabajo.

4. Identificación y obtención de políticas, normas y directivas.

5.Desarrollo de herramientas y metodología para probar y verificar los controles existentes.

6.Procedimientos para evaluar los resultados de las pruebas y revisiones.

7.Procedimientos de comunicación con la gerencia.

8.Procedimientos de seguimiento.

El programa de auditoría se convierte también en una guía para documentar los diversos
pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene
la siguiente estructura:

PROCEDIMIENTOS DE LUGAR PAPELES FECHA:

AUDITORÍA TRABAJO HECHO POR:
REFERENCIA

Gráfica No 01: Elaboración propia.

Las auditorías realizadas a la empresa de energía Randhelth cuenta con una asignación de
recursos para el trabajo de auditoría donde considera las técnicas empleadas para la
administración de proyectos, el cual cuenta con un plan detallado por tareas, personal
disponible, comparación del progreso real con el tiempo planificado, pudiendo efectuar el
control en un diagrama de Gantt.

Diagrama de Gantt Fecha Fecha Real Real Sem2 Sem3-

No Inicio Seml 4
Auditoría 1 Término Inicio Término
Pers dd/mm/aa dd/mm/aa dd/mm/aa
Actividad 1 dd/mm/aa
X

Actividad 2 dd/mm/aa dd/mm/aa dd/mm/aa

X dd/mm/aa

Actividad 3 dd/mm/aa dd/mm/aa dd/mm/aa

X dd/mm/aa

Actividad 4 dd/mm/aa dd/mm/aa dd/mm/aa

X dd/mm/aa

Actividad 5 dd/mm/aa dd/mm/aa dd/mm/aa

X dd/mm/aa

Gráfica No 2. Elaboración propia.

También incluye esta auditoría una Hoja de control del proceso.

General Detalle L M M J V S D

Auditoría 1 Activador 1

Auditoría 1 Actividad 2

Auditoría 1 Actividad 3
 Auditoría 2 Actividad 1

Auditoría 2 Actividad 2

Gráfica No 3: Elaboración propia

Metodología implementada para realizar la auditoría

Para la realización de este proyecto de auditoría se pretende utilizar las fases del ciclo
PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo principal que es la auditoría
en seguridad de la información. Como complemento se utiliza MAGERIT que es una
metodología de análisis y gestión de riesgos de los sistemas de información elaborada por
el Consejo Superior de Administración Electrónica de España y el modelo SSE-CMM
(Systems Security Engineering – Capability Maturity Model) como parte del desarrollo de
la primera etapa del ciclo PDCA, donde se elabora y aplica los diferentes instrumentos para
recopilar la información, se evalúan los controles de seguridad de la información existentes,
y se crean las respectivas medidas de seguridad que permitan proteger los activos de
información de la Empresa caso de estudio

Auditoría de Segunda Parte: (Auditoría Externa requerida por Clientes o

Proveedores)
La auditoría de segunda parte es una evaluación externa que se realiza a solicitud de un
cliente o un organismo regulador. La auditoría de segunda parte verifica que la
organización auditada hace lo que se espera, de acuerdo con una obligación contractual
contraída.

Una de las ventajas más significativas de externalizar este tipo de auditoría es que la
empresa puede centrar sus esfuerzos y tiempos en sus propios proyectos, sin invertir más
horas y recursos internos en la realización de una auditoría de segunda parte.

Preguntas para realizar esta auditoría

1.¿Cuál es el objetivo de realizar esta auditoría para la empresa de energía Randhelth?

2 ¿Cuál es el alcance y la metodología?

3. ¿Cuáles son los criterios de evaluación de los controles?

Objetivo de la auditoría externa contratada

Realizar la revisión de los controles generales del área de seguridad de TI con el que cuenta
actualmente la empresa de energía Randhelth, validando el diseño e implementación en
torno al funcionamiento de los diferentes controles a nivel de seguridad de TI, con el fin de
evaluar el ambiente de seguridad de la información, e identificar oportunidades de
mejoramiento.

Alcance y metodología

La evaluación se realiza para las siguientes áreas de control:

 ● Acceso a datos y programas
● Cambios a programas
● Operaciones de Computadora
● Administración de Usuarios
● Administración de Incidentes y Problemas
● Control de Cambios y Desarrollos

Para la ejecución de estos procedimientos, se realizan las siguientes actividades, como arte
de la metodología aplicada:

● Entendimiento de los procesos y flujos de información en el área de Tecnologías de

la Información
● Entrevista con los profesionales del Área de Tecnología de Información de la
Entidad.
● Observación, inspección, indagación y comprobación de asuntos relacionados con
los controles de TI de los sistemas mencionados.
● Revisión; análisis de la información recopilada e identificación de oportunidades de
mejoramiento.
● Validación de los hallazgos con el personal del Área de TI.

Criterio de evaluación y de los controles

Se han clasificado las situaciones observadas de la siguiente manera:

● Control Adecuado: el control evaluado cumple con su diseño e implementación,

contribuyendo al logro de los objetivos sujetos al alcance de la auditoría.
● Oportunidad de Mejora: corresponde a aquellos hallazgos que no siendo una
deficiencia, presentan oportunidad para aprovechar en aspectos de

eficiencia y/o eficacia en el logro del objetivo de control que se persigue. Estas
circunstancias están relacionadas con actividades de ajuste que
 buscan fortalecer los procesos y, por tanto, conllevan acciones de adopción
potestativa por parte de la Institución.

● Deficiencia: es una situación que afecta el cumplimiento de los objetivos sujetos al

alcance de la auditoría.
● Deficiencia alta: implica que la organización debe tomar medidas inmediatas
correctivas para evitar el incumplimiento del logro de los objetivos sujetos al
alcance de la auditoría.
● Deficiencia mayor: implica que existe la posibilidad de que la debilidad impacte
severamente uno o más componentes y principios relevantes que reducen la
probabilidad de que la Institución pueda alcanzar sus objetivos.

No tomar medidas correctivas mitigantes a corto plazo sobre los hallazgos presentados
podría llevar al Revisor Fiscal a calificar o generar una salvedad sobre el dictamen de los
Estados Financieros.

A continuación, se detalla la escala cualitativa de calificación asignada a los factores

previamente descritos asociados a las situaciones observadas para el cumplimiento del
alcance de esta auditoría.

Auditoría de Tercera Parte: (Auditoría Externa con fines de Certificación)

La empresa necesita un organismo independiente y reconocido para llevar a cabo esta

auditoría. El objetivo de esta auditoría es evaluar la organización para formular sus
actividades en el marco de un determinado modelo (por ejemplo, la norma ISO 9001).
Estas auditorías otorgan, retienen o revocan ciertas aprobaciones, certificados,
calificaciones, consentimientos o autorizaciones. Existen varias reglas para este tipo de
auditoría (que varían según el tipo de evaluación).

Las auditorías de sistemas de calidad más conocidas se realizan de acuerdo con la norma
internacional ISO 9001. Estos son certificados del sistema de calidad, pero también son
posibles los certificados de productos y servicios.

Preguntas para realizar esta auditoría

1.¿Cuál es el objetivo de realizar esta auditoría para la empresa de energía Randhelth?

2 ¿Cuál es el alcance y la metodología?

3. ¿Cuáles son los criterios de evaluación de los controles?

Objetivo de la auditoría externa para certificación

La auditoría de calidad es una herramienta esencial de gestión de la calidad. Pero necesitas

saber cómo usar esta herramienta. Por ello, antes de realizar una auditoría de calidad, debe
preguntarse: ¿Cuál es el motivo de esta auditoría?

Las auditorías brindan una comparación del "es" y el "debería", por lo que se convierten en
la base para lograr el proceso de mejora continua de la empresa.

Para lograrlo hay que seguir los siguientes pasos:

1. Establecer las desviaciones a través de las auditorías de calidad

2. Analizar dichas desviaciones

3. Establecer objetivos y planificar acciones correctoras

4. Llevar a cabo las correspondientes acciones correctoras

5. Controlar los resultados

6. Asegurar los resultados

7. Establecer nuevos objetivos

Las auditorías son uno de los instrumentos que nos proporciona la gestión de la calidad
para el logro de la mejora continua. (esta mejora puede explicarse empleando el ciclo
PDCA que aparece en la figura anterior).

Alcance y metodología

1. Estudio General: Es la apreciación y juicio de las características generales de la empresa,

las cuentas o las operaciones, a través de sus elementos más significativos para elaborar las
conclusiones se ha de profundizar en su estudio y en la forma que ha de hacerse.
2. Análisis: Es el estudio de los componentes de un todo. Esta técnica se aplica
concretamente al estudio de las cuentas o rubros genéricos de los estados financieros.

3. Inspección: Es la verificación física de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representación material,
(efectivos, mercancías, bienes, etc.).

4. Confirmación: Es la ratificación por parte del Auditor como persona ajena a la empresa,
de la autenticidad de un saldo, hecho u operación, en la que participó y por la cual está en
condiciones de informar válidamente sobre ella.

5. Investigación: Es la recopilación de información mediante entrevistas o conversaciones

con los funcionarios y empleados de la empresa.

6. Declaraciones y Certificaciones: Es la formalización de la técnica anterior, cuando, por

su importancia, resulta conveniente que las afirmaciones recibidas deban quedar escritas
(declaraciones) y en algunas ocasiones certificadas por alguna autoridad (certificaciones).

7. Observación: Es una manera de inspección, menos formal, y se aplica generalmente a

operaciones para verificar cómo se realiza en la práctica.

8. Cálculo: Es la verificación de las correcciones aritméticas de aquellas cuentas u

operaciones que se determinan fundamentalmente por cálculos sobre bases precisas.

Conclusiones

Como bien se sabe, hoy en día la importancia de la administración de la seguridad de la

información es un factor importante para proteger los activos de la información, ya que hay
que tener en cuenta que se debe establecer una administración efectiva de la seguridad de la
información.

Se deberá someter a un control estricto para la evaluación de eficacia y eficiencia, ya que

hoy en día la mayoría de las empresas tiene toda su información estructurada en sistemas
informáticos, de aquí viene la vital importancia, de que los sistemas de información
funcionen de manera adecuada. Sin mencionar que su éxito dependerá de la eficiencia del
sistema, por ello es importante que la auditoría se lleve a cabo de manera correcta.

Se debe tener en cuenta que el trabajo de la auditoría precisa de un gran conocimiento de

informática, seriedad, capacidad, minuciosidad y responsabilidad, ya que esta siempre se
debe realizar por medio de gente con una adecuada capacitación, ya que si no es realizada
de manera correcta, esta puede llegar a traer consecuencias drásticas e irreversibles para la
empresa.

Esta será la indicada para evaluar de manera más profunda, la empresa de Energía del Valle
del Cauca Randhelth a través de su sistema de información automatizado, de ahí su
importancia y relevancia, ya que este consiste en lograr obtener toda la información
necesaria para emitir un juicio global objetivo, siempre amparando las evidencias
comprobatorias.

Por otra parte, cabe aclarar que siempre habrá factores que aumenten los niveles de riesgo
de los activos de información, los cuales son el desconocimiento o la falta de conciencia
por parte del personal, para evitar aquellas situaciones que puedan afectar la disponibilidad,
integridad y confidencialidad de la información.

Sin embargo se pueden llegar a evidenciar determinadas causas, las cuales pueden llegar a
afectar la gestión de la información, tal sería como la unificación de la red de datos que
genera un retardo en la transmisión de la información, debido a no documentar los distintos
procesos y procedimientos realizados en la empresa.

Por último cabe mencionar, que el principal beneficio para mayor eficiencia en el trabajo,
es contar con una base de conocimiento, la cual pueda llegar a retroalimentar a los auditores
y apoyar sus funciones, tales como la flexibilidad de los procesos, la estandarización y
control, la mayor comunicación, entre otros.

Bibliografía.

Team A. 2017. ¿Qué es una auditoría de seguridad informática? Tipos y Fases

https://www.ambit-bst.com/blog/qu%C3%A9-es-una-auditor%C3%ADa-de-seguridad-
inform%C3%A1tica-tipos-y-fases#:~:text=Una%20auditor%C3%ADa%20de
%20seguridad%20inform%C3%A1ti,pol%C3%ADticas%20de%20seguridad%20se
%20cumplen.

Gómez Vieites Á. Auditoría de Seguridad Informática. Ediciones de la U ; Madrid :

StarBook Editorial; 2013. Accessed December 8, 2022.
https://search.ebscohost.com/login.aspx?
direct=true&db=cat09355a&AN=dcun.KOHA.CUN.1279&lang=es&site=eds-live

Piattini Velthuis, Mario, Mar del Peso Ruiz, and Navarro Emilio del Peso. Auditoría de
Tecnologías y Sistemas de Información. Alfaomega: 1378. Alfaomega, 2008.
https://search.ebscohost.com/login.aspx?
direct=true&db=cat09355a&AN=dcun.KOHA.CUN.1280&lang=es&site=eds-live.

AENOR (2000): Norma UNE-EN ISO 9001. Sistemas de gestión de la calidad. Requisitos.
Asociación Española de Normalización y Certificación.

https://www.iso.org/obp/ui/#iso:std:iso:9000:ed-4:v1:es

ISHIKAWA, K. (1994): Introducción al control de calidad. Díaz de Santos.

https://www.uv.mx/iiesca/files/2017/03/11CA201602.pdf