FASE 2 – PLANEACION DE AUDITORIA

AUDITORIA DE SISTEMAS
CÓDIGO: 90168_32

Presentado a:
ANGELA DAYAN GARAY VILLADA

Entregado por:

Francisco Javier Rendón Arroyave

Código: 1152434057

Grupo: 44

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E
INGENIERÍA 22/02/2021
Medellín
 INTRODUCCION

En el presente trabajo, se pretende abordar el aprendizaje y

comprensión de los conceptos fundamentales de la auditoría de sistemas
y la seguridad informática, tomando como base un entorno empresarial,
que permita validar los entornos y sistemas de la misma y garantizar la
correcta gestión de TI, para llevar a cabo guías de buenas prácticas,
garantizando el buen uso de los recursos tecnológicos y humanos.
 OBJETIVOS

 Comprender e identificar los conceptos fundamentales de la

auditoria de sistemas y la seguridad informática.
 Identificar los diferentes componentes del estándar CobIT para
llevar a cabo una correcta planeación de una auditoria en un
entorno empresarial.
 FASE DE PLANEACION DE LA AUDITORÍA

1. Empresa Propuesta

Se propone para el desarrollo de la actividad, la empresa Emerge BPO, la cual es

una PYME que se encuentra en proceso de especialización de la gestión integral
de clientes, consultoría y outsourcing de procesos de negocio en el ámbito
contact center. En cuanto al tema estructural, se encuentran varias
dependencias, guiadas al performance operativo, garantizar el correcto
relacionamiento con los clientes externos y finales. Con el fin de poder garantizar
la sostenibilidad y confianza en su infraestructura, modelo de soporte y sistemas
internos, decide llevar a cabo un plan de auditoría basado en el estándar CobIT,
sobre su departamento de TI.

 Organigrama Departamento TI
  Cargos y funciones

 Presidente: dirigir y controlar el funcionamiento de la empresa, representar

a la empresa en todos los negocios y contratos con terceros en relación con
el objeto de sociedad y preside y convoca las reuniones de la junta directiva.
 CEO: informar los objetivos de la empresa, gestión y logros de la empresa,
toma decisiones sobre la estrategia empresarial y tomar decisiones
organizativas para un tiempo determinado.
 Chief Technology Officer: gestiona el equipo de profesionales TI de la
compañía, mantiene, desarrolla y articula la evolución de la dirección de la
estrategia técnica de la empresa y establece planes de actuación y protocolos para
la gestión de incidencias TI.
 Director TI: se encarga de que los departamentos de informática funcionen sin
contratiempos y eficientemente, trabaja con analistas de sistemas para mejorar
los sistemas informáticos.
 Gerentes de Soporte, Sistemas y Desarrollo: Planear y dirigir todo el
funcionamiento del área, elaborar e implementar nuevos sistemas que necesite la
empresa, así como supervisar y revisar la elaboración de proyectos.
 Coordinadores de Soporte, Sistemas y Desarrollo: asegurar la operación e
información de los sistemas y plataformas de la empresa, coordinar con los grupos
de trabajo y las operaciones internas, intervenciones y actualizaciones sobre los
equipos de TI.
 Técnico Helpdesk: brindar soporte técnico eficaz y oportuno de acuerdo a las
necesidades del cliente interno, dar apoyo en las intervenciones y actualizaciones
requeridas.
 Administrador de sistemas: garantizar el correcto funcionamiento de los
servidores y elementos de telecomunicaciones, dar apoyo en las intervenciones y
actualizaciones requeridas.
 Desarrollador de software: creación y/o actualización del diferente software y
BBDD, propiedad de la empresa garantizando su correcto funcionamiento y con la
disponibilidad requerida.

Dentro de los servicios prestados por el departamento de TI se encuentran el establecer

y mantener la arquitectura de red y de servidores, con el fin de garantizar la operatividad
de controladores de dominio, servidores DNS, PBX distribuidos, virtualizaciones, firewalls
y los diferentes switches, monitoreo y remediaciones de fallas lógicas o físicas sobre
todos los equipos comprometidos en la infraestructura, así como la creación de software
a la medida para el desarrollo de las labores dentro del cliente interno, bridar soporte
eficaz y oportuno ante las incidencias y solicitudes del cliente interno.
Dentro de los activos informáticos de la empresa, se cuentan Switch de core, firewalls
principal y backup, clúster de servidores que cumplen funciones de controlador de
dominios, DNS, web, FTP, de correo, de impresión, BBDD, entornos de pruebas de
desarrollo, proxy, switches de acceso y distribución y equipos de cómputo.
 2. PROPUESTA DE AUDITORIA

 Alcance de la auditoría

El siguiente trabajo de auditoría aplicará CobIT como metodología para la evaluación y

análisis de los diferentes procesos y controles que se aplican en departamento de TI.
Aunque la metodología trabaja en conjunto con los objetivos principales de la empresa,
la auditoría se centrará en el análisis de las tecnologías de información, aplicada al área
con sede en Medellín.
Debido a que la sede está dedicada de manera exclusiva a garantizar la atención y
requerimientos de cliente extranjero (USA y España), con recurso humano competente,
con servicios articulados estratégicamente y en la cual debe garantizar operación
constante, por lo cual depende del servicio brindado por las diferentes áreas de TI.
De aquí, se partirá el análisis donde se identificarán las debilidades existentes y sus
riesgos potenciales, se expondrán una serie de conclusiones sobre los actuales
procedimientos en lo que refiere a TI, el cual ayudará a emitir recomendaciones para el
mejoramiento de gestión TI.

 Objetivos de la auditoría
 Analizar y diagnosticar la actual gestión del departamento de TI de Emerge
BPO en la sede de Medellín.
 Plantear mejoras para la gestión del departamento de TI.
 Proponer nuevos procesos y actividades que ayudarán a identificar los
controles que se requieren para garantizar la gestión del departamento de
TI.

 Recursos

Dentro del alcance de los recursos se debe asignar personal que lleve a cabo las
distintas actividades de la auditoria y adicionalmente la empresa debe asumir los costos
correspondientes a las remediaciones a las que se tenga lugar, para lograr dan
cumplimiento a los objetivos de la auditoria.

 Cronograma de actividades

 Elaboración de encuestas – Duración 1 día

 Realización de encuestas por parte de los colaboradores del área de TI -
Duración 1 día
 Realización de encuestas por parte de las demás áreas – Duración 2 días
 Recolección, agrupación y análisis de resultados de las encuestas –
Duración 2 días
 Revisiones de políticas de seguridad de infraestructura tecnológica de
primera categoría – Duración 5 días
 Revisiones de seguridad en equipos de usuario final – Duración 2 días
  Remediación de vulnerabilidades encontradas por parte de la empresa –
Duración 15 días

 Determinación de Procesos

Permitirá llevar a cabo el desarrollo de la auditoría, siguiendo las recomendaciones de

CobIT y expone los objetivos de control detallados de CobIT que tiene relación con la
gestión de TI. Del estudio de estos, se han seleccionado aquellos que tienen relación
con la gestión de TI en la sede Medellín de acuerdo a la encuesta realizada a dicha área
y en otras áreas de manera general, las cuales contribuirán a alcanzar los objetivos del
negocio. A continuación, se exponen los objetivos de control por dominios que han sido
escogidos para la ejecución del trabajo de auditoría de la gestión de TI del área en la
sede Medellín.

 Dominio: Alinear, planificar y organizar (APO)

Se ha elegido el proceso Gestionar los Recursos Humanos, de los cuales aplican 4
objetivos de control:

APO07: Gestionar los Recursos Humanos

 APO07.01 Mantener la dotación de personal suficiente y adecuado.

 APO07.03 Mantener las habilidades y competencias del personal
 APO07.04 Evaluar el desempeño laboral de los empleados
 APO06.06 Gestionar el personal contratado

 Dominio: Entrega De Servicios Y Soporte (DSS)

Se han elegido los siguientes procesos: Gestionar las Peticiones y los Incidentes del
Servicio, Gestionar los servicios de seguridad y Gestionar los Controles de los Procesos
del Negocio, de los cuales aplican los siguientes objetivos de control

DSS02 Gestionar las Peticiones y los Incidentes del Servicio

 DSS02.01: Definir esquemas de clasificación de incidentes y
peticiones de servicio.
 DSS02.02: Registrar, clasificar y priorizar peticiones e incidentes.
 DSS02.04: Investigar, diagnosticar y localizar incidentes.

DSS05 Gestionar los servicios de seguridad

 DSS05.02: Gestionar la seguridad de la red y las conexiones.
 DSS05.03: Gestionar la seguridad de los puestos de usuario final.

DSS06 Gestionar los Controles de los Procesos del Negocio

 DSS06.01: Alinear actividades de control embebidas en los procesos

de negocio con los objetivos corporativos.
  DSS06.06: Asegurar los activos de información.

 Dominio: Supervisar, Evaluar Y Valorar (MEA)

Se ha elegido los siguientes procesos: Supervisar, Evaluar y Valorar Rendimiento y
Conformidad y Supervisar, Evaluar y Valorar el Sistema de Control Interno, de los
cuales aplican los objetivos de control que se detallarán más adelante.

MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

 MEA01.01: Establecer un enfoque de la supervisión.

 MEA01.04: Analizar e informar sobre el rendimiento.
 MEA01.05: Asegurar la implantación de medidas correctivas.

MEA02.Supervisar, Evaluar y Valorar el Sistema de Control Interno

 MEA02.01: Supervisar el control interno.

 MEA02.02: Revisar la efectividad de los controles sobre los procesos de
negocio.
 MEA02.03: Realizar autoevaluaciones de control.
 MEA02.06: Planificar iniciativas de aseguramiento.
 MEA02.07: Estudiar las iniciativas de aseguramiento

 Dominio: Alinear, Planificar y Organizar

 APO07.03: Mantener las habilidades y competencias del personal

Se eligió este subproceso ya que se debe definir y gestionar las habilidades y
competencias necesarias del personal en el área del CSI, además de verificar
regularmente que el personal tenga las competencias necesarias para cumplir con
sus funciones sobre la base de su educación, formación y/o experiencia y verificar
que estas competencias se mantienen, con programas de capacitación y certificación
en su caso y por supuesto también proporcionar a los empleados aprendizaje
permanente y oportunidades para mantener sus conocimientos, habilidades y
competencias al nivel requerido para conseguir las metas empresariales.

 Dominio: Entrega De Servicios y Soporte

 DSS02.01: Definir esquemas de clasificación de incidentes y peticiones

de servicio
Se eligió este subproceso ya que, al definir esquemas de clasificación y priorización
de incidentes y peticiones de servicio y criterios para el registro de problemas, se
podrá asegurar enfoques consistentes en el tratamiento, informando a los usuarios y
realizando análisis de tendencias
 DSS05.02: Gestionar la seguridad de la red y las conexiones
Se eligió este subproceso ya que se recomendable utilizar medidas de seguridad y
procedimientos de gestión relacionados para proteger la información en todos los
modos de conexión de la sede Medellín.

 DSS05.03: Gestionar la seguridad de los puestos de usuario final

Se eligió este subproceso ya que se recomienda asegurar que los puestos de usuario
se eligieron a un nivel que es igual o mayor al definido en los requerimientos de
seguridad de la información procesada, almacenada o transmitida. Así mismo
gestionar la configuración de la red de forma segura ya que esto permitirá asegurar el
correcto funcionamiento de los procesos que existen.

 Dominio: Supervisar, Evaluar y Valorar

 MEA01.04: Analizar e informar sobre el rendimiento

Se eligió este subproceso ya que, si bien revisará e informará de forma periódica

sobre el desempeño respecto de los objetivos, utilizando métodos que proporcionen
una visión completa y concisa del rendimiento de las TI y encaje con el sistema
corporativo de supervisión, ya que esto permitirá al personal de la sede Medellín
documentar las incidencias para contar con guía adicional si el problema vuelve a
aparecer y documentar los resultados.

3. PROGRAMA DE AUDITORIA Y MATRIZ DE PRUEBA DE LOS

PROCESOS
 CONCLUSIONES

 Se logran comprender los conceptos correspondientes a

estándar CobIT y su aplicación.
 Se logran identificar y aplicar conceptos fundamentales de la
auditoria de sistemas y la seguridad informática en entornos
laborales.
 BIBLIOGRAFÍA

 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx