Aca 2

TRABAJO DE AUDITORIA DE SISTEMAS (ACA No.
2)
FERNEY ENRIQUE DURAN RODRÍGUEZ FICHA 55514

LUIS CARLOS BELTRÁN FICHA 55514
YEISON DAVID BARBOSA SANTIAGO FICHA 55514
Profesor
ROGER MAURICIO TOVAR
Corporación Unificada Nacional de Educación Superior

Escuela de Ingeniería
Auditoria De Sistemas
2023
Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia.
Todos los derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería
Jurídica: Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co
Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Introducción
Se tiene como fin evaluar todos los escenarios en los que se procesan
las auditorias, a través de sistemas de información, la confiabilidad,
oportunidad, exactitud, seguridad y confidencialidad, de la información que se
genera por medio de los mismos.
uno de los fines principales es disminuir errores al margen más bajo ya

que siempre existe el riesgo de error, podemos decir que los errores pueden
ser por un riesgo inherente, un riesgo de control o un riesgo de detección.
Para eso es necesario aplicar métodos y planes de contingencia en los que
se procura tener cubierta cualquier tipo de situación que se pueda llegar a
dar.

Objetivos
General
Llevar a cabo la realización de la auditoria informática en el cual se
evaluarán los controles en el hardware, software y aquellos procedimientos
informáticos en los equipos computacionales y en las licencias de uso de los
programas que se tienen instalados en cada uno de ellos, con el fin de tener
más eficiencia y seguridad en los datos estando alineados con el reglamento
que se tiene para el uso de los equipos de cómputo.
Específicos
 Determinar que los controles de hardware y software que contribuyen al
orden dentro del área de los equipos de los consultorios y demás
oficinas.
 Evaluar que todos los procedimientos se lleven a cabo de forma

eficiente, analizando la estandarización y el cumplimiento de estos.
 Evaluar los procedimientos que se tiene para el manteniendo de los

equipos de cómputo cuando estos fallan.
 Llevar a cabo la evaluación de cómo se administran los recursos

informáticos en las oficinas y consultorios.

ACA II
1. Se debe realiza una investigación sobre cómo realizar paso a paso una
Auditoria de Sistemas, la investigación debe ser muy profunda para poder
resolver las siguientes preguntas:
A continuación, encontrara los puntos que debe desarrollar para el aca II,
encontrara los puntos a realizar en la empresa de uno de los integrantes, si
presenta alguna duda he inquietud frente al proceso puede realizar todas las
preguntas necesarias para poder resolver las preguntas en el desarrollo de la
actividad, recuerde que este trabajo es consecuente con el aca III.
Alcance
La auditoría se realizará sobre los sistemas informáticos en computadoras
personales que estén conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la
seguridad física, las políticas de utilización, transferencia de datos y seguridad
de los activos.
Recursos
El número de personas que integraran el equipo de auditoria será de tres, con
un tiempo máximo de ejecución de 3 a 4 semanas.
Etapas de trabajo
1. Recopilación de información básica
Una semana antes del comienzo de la auditoria se envía un cuestionario a los

gerentes o responsables de las distintas áreas de la empresa. El objetivo de
este cuestionario es saber los equipos que usan y los procesos que realizan en
ellos.

Los gerentes se encargarán de distribuir este cuestionario a los distintos
empleados con acceso a los computadores, para que también lo completen. De
esta manera, se obtendrá una visión más global del sistema.
Es importante también reconocer y entrevistarse con los responsables del área
de sistemas de la empresa para conocer con mayor profundidad el hardware y
el software utilizado.
En las entrevistas incluirán:
 Director / Gerente de Informática

 Subgerentes de informática
 Asistentes de informática
 Técnicos de soporte externo
2. Identificación de riesgos potenciales
Se evaluará la forma de adquisición de nuevos equipos o aplicativos de

software. Los procedimientos para adquirirlos deben estar regulados y
aprobados en base a los estándares de la empresa y los requerimientos
mínimos para ejecutar los programas base.
Dentro de los riesgos posibles, también se contemplarán huecos de seguridad

del propio software y la correcta configuración y/o actualización de los equipos
críticos como el cortafuego.
Los riesgos potenciales se pueden presentar de la más diversa variedad de

formas.
3. Objetivos de control
Se evaluarán la existencia y la aplicación correcta de las políticas de seguridad,

emergencia y desastre recovery de la empresa.

Se hará una revisión de los manuales de política de la empresa, que los
procedimientos de los mismos se encuentren actualizados y que sean claros y
que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de

los riesgos que puedan existir, respecto a la seguridad del mantenimiento de
los equipos, programas y datos.
4. Determinación de los procedimientos de control
Se determinarán los procedimientos adecuados para aplicar a cada uno de los

objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y documentado.
 Se debe contar con todas las órdenes de compra y facturas con el fin de
contar con el respaldo de las garantías ofrecidas por los fabricantes.
 El acceso a los componentes del hardware esté restringido a la directo a
las personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Objetivo N 2: Política de acceso a equipos.
 Cada usuario deberá contar con su nombre de usuario y contraseña

para acceder a los equipos.
 Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
 Los usuarios se bloquearán después de 5 minutos sin actividad.
 Los nuevos usuarios deberán ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relación
laboral.
 Uso restringido de medios removibles (USB, CD-ROM, discos externos
etc.)

Ejemplo:
Se debe realizar aplicadas a la realiza de la empresa de uno de los 3

compañeros del grupo, se debe entregar el trabajo escrito bajo normas APA 7ª
edición.
Desarrollo
Empresa a Auditar: este proyecto de Auditoria de Sistemas, se ha
concretado a la Empresa Multiactiva de Salud Sermultisalud SAS ubicada en la
calle 14 No. 11 – 81 en la ciudad de Agustín Codazzi departamento del Cesar
Colombia, en el cual se hará un control de software y hardware.
La magnitud de la auditoria es la revisión del software y el hardware,
también es verificar recursos, es decir, información energía, equipo, personal,
programas de cómputo y materiales sean adecuadamente concurrentes por la
Gerencia o por los designados.
Para evitar el mal del uso inadecuado del mismo, especialmente en
informática, se ha mostrado la conveniencia por alcanzar el costo y problemas
de productividad de la misma manera, verificación de licencias de software
utilizado.
Tener acceso y contacto con los responsables del área encargada que
permitan realizar visita al sitio o área correspondiente, en una segunda
instancia obtener información y autorización al proceso realizado. El contacto
se hace por medio del ingeniero que trabaja en la entidad como parte de
soporte técnico de software y hardware, para obtener la autorización y recibir la
ayuda oportuna para poder realizar la auditoria.
Auditoria Escogida: una Auditoría que le permite auditar la parte técnica y

especializada que se enfoca, en la evaluación, funcionamiento y uso de equipos
de cómputo, así como el hardware, el software y periféricos asociados, a la
Empresa Multiactiva de Salud en los consultorios, oficinas y recepción, esta
auditoria también se realiza a la conformación de las partes físicas de los equipos
informáticos.
Incluyendo equipos internos y externos, incluyendo equipos asociados,
instalaciones y comunicaciones internas o externas, así como al diseño,
desarrollo y uso del software de operación, de apoyo y de aplicación, ya sean
sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o
paquetería de aplicación empresarial que se utiliza en la entidad donde se

encuentra la sala de cómputo, la operatividad del sistema que serán
debidamente evaluados.
Este tipo de auditoria nos permite evaluar el equipamiento sistema

computacional, sobre todo, analiza su funcionamiento adecuado, lo importante
de estas revisiones es evaluar, los sistemas computacionales, tanto desde el
punto de vista físico (hardware) como desde el punto de vista lógico (software),
así como todos los elementos que ayudan a su funcionamiento, incluyendo las
funciones de su personal y usuarios, la información, telecomunicaciones y
demás componentes del sistema.

Software y Hardware a Auditar: Se señala el tipo software, de hardware a
auditar, considerando que se deben tomar en cuenta los sistemas
computacionales:
Software
Los sistemas operativos, lenguajes, programas de desarrollo y aplicación,
utilerías y demás software del sistema computacional.
Las aplicaciones concretas para las que está destinado el sistema
computacional en la institución.
El sistema de administración de bases de datos e información manejado.
Las plataformas, ambientes, el tamaño y configuración del sistema

computacional.
Hardware
El tipo del procesador del sistema computacional, así como su velocidad,
capacidad, memoria y demás características con los cuales opera el sistema de
cómputo.
Los fabricantes del hardware, software y periféricos del sistema
computacional.
Las características y especificaciones del diseño del sistema computacional.
La forma de administrar el sistema y sus componentes asociados.
La arquitectura del sistema, sus periféricos, equipos asociados y demás
componentes.

1. Recopilación de información básica
(Una semana antes del comienzo de la auditoria se envía un cuestionario a los
gerentes o responsables de las distintas áreas de la empresa. El objetivo de
este cuestionario es saber los equipos que usan y los procesos que realizan en
ellos.)
Con el fin de iniciar el proceso de auditoría interna de equipos y sistemas de
la información, se crea la siguiente encuesta con el fin de tomar una muestra
amplia de datos, sobre el manejo que se les da a los equipos de trabajo y a sus
sistemas de información, a continuación, detallamos el cuestionario aplicado.

Dando como resultado la toma de 63 muestras
En la tabulación evidenciamos, que la mayoría de personas que dejan los

equipos y usuarios sin bloqueo, son en su mayoría personal del área de la
salud.
Adjuntamos enlace donde se puede descargar un archivo realizado con power
bi, para la tabulación de la encuesta
https://drive.google.com/file/d/1AsB54O-
ij1Hu7xOqgi_lHTAGR7uZXeT2/view?usp=drive_link
2. Identificación de riesgos potenciales
Evaluación y Adquisición de Equipos de Cómputo Y Software

Inicialmente se realiza la evaluación exhaustiva de las características de los
equipos necesarios y que cumplan el criterio específico para lo cual se van a
revisar. En este caso hacemos énfasis en que los equipos deben tener
capacidad para bases de datos medicas lo cual tanto como el procesador y su
capacidad tienen que ser primordiales, adicionalmente tenemos que evaluar
sus licenciamientos para poder ser utilizados y a sí mismo instalar los
programas necesarios.
Las siguientes medidas nos ayudan a tener presente que los riesgos no
solamente vienen en una adquisición de equipos si no del control que se realiza
para que ese equipo sea seguro.
Sabotaje Informático
Este comprende de todas las situaciones que se pueden presentar a nivel
de manipulación indebida y accesos a equipos sin previa autorización, es decir
que cuando estamos haciendo la auditoria los equipos deben contar con el
pleno control de accesos para que no todo el mundo pueda acceder.
Los sabotajes se pueden presentar por descuidos humanos en el momento
de dejar los equipos desatendidos o por contraseñas de baja seguridad.
Fraude a través de redes o computadoras

La alteración de información es algo que se presenta frecuente mente por
descuidos, la manipulación de información y creación de datos falsos mediante
redes es algo que podemos evitar, sabemos que la información esta creada por
estructura de bases de datos y algo que podemos hacer para ello es con la
limitación de accesos y permisos otorgados de acuerdo con los roles
específicos.
Utilizar ilegalmente los sistemas informáticos de otras personas
En los hospitales se manejan distintas áreas tanto en puntos de atención
como en consultorios, las bases generales de los pacientes, esto se debe a
una gran cadena de información la cual se va distribuyendo en segmentos por
tipologías de usuarios, una de las maneras de evitar un riesgo de fuga de
información es evitar los accesos de usuarios no autorizados a utilizar equipos
de cómputo que no estén asignados a su rol.
Riesgo de asociaciones con contrapartes
Estos riesgos son poco usuales, pero se pueden presentar a la hora de
compartir información con otras partes, si manejamos información y tenemos
un contrato con un tercero, o se hace envíos, accesos y de más con otras
personas que no están en el rol de la compañía corremos el riesgo de caer en
fugas de datos y manipulación indebida de la información.

Los de infraestructura ascendente
La adquisición de softwares, redes y accesos a servidores son cosas
frecuentes que las compañías hoy en día pueden tener acceso, el acceso a
ellas es donde se elige si efectivamente la adquisición de un bien o servicio es
seguro o se aplica de la manera correcta, es decir que la adquisición de un
programa licenciado debe ser verificado de manera correcta y que cumpla con
los requisitos específicos, los servicios de información quizá son uno de los
puntos neurálgicos que se tiene como precedente.
3.Objetivos de control
Desastre Recovery
Evaluación general de los daños de acuerdo con la incidencia presentada la
cual se tiene como plan recovery las siguientes acciones:
 Interrupción de los sistemas operativos por desastres naturales.
 Interrupción de los sistemas operativos por errores humanos.
 Protocolo según falla.
 Metodologías para dar solución.
 Plan para poner en marcha nuevamente el sistema.
 Plan RTO.
 Plan RPO.
Interrupción de los sistemas operativos por desastres naturales

Para estos casos se tiene como contingencia manejar copias de seguridad
en la nube, esto nos ayudara a poner el resguardo la información y que pronto
podamos volver a estar en línea.
Interrupción de los sistemas operativos por errores humanos
En cuanto a este tipo de errores las copias de información y los respaldos
de datos nos ayudara a tener un refresh o más conocido como un respaldo de
información, con esto la compañía no se va a ver en riesgo de perder y/o
vulnerar la información.
Protocolo según falla

Los protocolos son procedimientos establecidos que podemos utilizar para
evitar cualquier tipo de falla, es decir que para cada problema tenemos una
solución como lo definen los siguientes protocolos.
1. Fallas eléctricas
2. Fallas de servicios internet o servicios públicos.
3. Protocolos de auto guardado.
4. Plantas eléctricas o estabilizadores de luz.
Metodologías para dar solución
Las metodologías se tienen preestablecidas para tener una respuesta ante
toda posible falla como lo mostramos anteriormente, es definir, entender y
poner a corte cualquier punto que podamos presentar. Tener planes de acción
establecidas con cada ítem presentado, la contingencia debe ser total
garantizando cobertura y solución a posibles problemas.
Plan para poner en marcha nuevamente el sistema
Este plan es el mas crucial ya que los planes de respaldo de ejecución son
tipos de acciones que se juegan casi de inmediato, el restablecimiento de los
sistemas debe ser total, los sistemas de respaldo deben estar listos en todo
momento para ser la contingencia ante posibles fallas de servidores y demás.
Los panes a largo plazo por fallas graves que son de servicios de primera
necesidad deben trabajar en segundo plano mientras se reestablecen los
servicios principales.
Plan RTO
tiempo máximo que la actividad de la empresa puede verse detenida.
Plan RPO
el punto anterior en el tiempo al que estamos dispuestos a volver para
recuperar los datos y funcionalidad de la empresa.

Actualización De Manuales y políticas de la compañía

4.Determinación de Procedimientos De Control
OBJETIVO N 1: NORMATIVA DE
PROCEDIMIENTO
HARDWARE
Identificar cada equipo con su
nombre, serie, y dirección
Mac, guardar registro
El hardware de la clínica está identificado y fotográfico y un documento
documentado, con todas sus licencias en físico y en la nube de este
originales mismo.
En el área de contabilidad
cuenta con órdenes de compra, factura y reposan órdenes de compra
garantía para eventuales casos de fallo facturas y efectos de garantía
Cada equipo de hardware de
la empresa está restringido
para el personal en general y
El acceso a los componentes del hardware solo se tiene acceso el
esté restringido a la directo a las personas encargado de T.I y sus
que lo utilizan auxiliares
Los dispositivos de red y
servidores están
resguardados bajo llave y con
el acceso al cuarto de equipos de red y autenticación Biométrica, que
servidores está restringido para el equipo de solo permite acceso del
sistemas especializado personal designado
La empresa cuenta con un
cronograma de
mantenimiento preventivo, los
cuenta con un plan de mantenimiento y cuales incluyen
registro de fechas, problemas, soluciones y mantenimiento físico e
próximo mantenimiento propuesto. instalación de actualizaciones
Restricción de todos los
Uso restringido de medios removibles (USB, puertos en los equipos para
CD-ROM, discos externos etc.) conectar medios extraíbles
OBJETIVO N 2: POLITICA DE ACCESO A
LA INFORMACION
Todo personal con acceso al
sistema principal de la
Cada usuario cuenta con su nombre de empresa cuenta con su
usuario y contraseña para acceder a los usuario y contraseña
equipos. diferente para cada empleado
Las claves deberán ser seguras (mínimo 8
Se utiliza la combinación de
caracteres, alfanuméricos y alternando
caracteres para la contraseña
mayúsculas y minúsculas).

de acceso al sistema
principal
Por configuración general del
dominio, todo equipo en la
Los usuarios se bloquearán después de 5 red local se bloquea después
minutos sin actividad. de 5 minutos de inactividad
Cada usuario se autoriza
desde el área de talento
Los nuevos usuarios deberán ser humano, y todos firman un
autorizados mediante contratos de acta de recibimiento y acta de
confidencialidad y deben mantenerse luego confidencialidad de la
de finalizada la relación laboral. información

BIBLIOGRAFÍA
Nuño, P. (2017, abril 25). Auditoría de sistemas. Emprendepyme.

https://emprendepyme.net/auditoria-de-sistemas.html
2018 Grupo de Auditores Públicos | Auditoria de Cuentas Y Financiera. Todos

los derechos reservados.
Auditores, G. (2021, November 30). Auditoria de Sistemas de Información -

Gap Auditores. Grupo de Auditores Publicos | Auditoria de Cuentas Y
Financiera; Grupo de Auditores Públicos.
https://www.gapauditores.com/blog/auditoria-sistemas-informacion/
EGM Copyright © 2023
Manzanilla, V. H. (2022, mayo 30). 5 Ejemplos de Control Interno de una

Empresa + Definición. Emprendedor Growth Model; EGM.
https://metodoegm.com/emprendimiento/control-interno-de-una-empresa/
UNIR - Universidad Internacional de La Rioja 2023
Vive. (2021, septiembre 23). Funciones y responsabilidades de un auditor

informático. UNIR. https://ecuador.unir.net/actualidad-unir/funciones-auditor-
informatico/

Aca 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aca 2

Cargado por

Copyright:

Formatos disponibles

TRABAJO DE AUDITORIA DE SISTEMAS (ACA No.

FERNEY ENRIQUE DURAN RODRÍGUEZ FICHA 55514

ROGER MAURICIO TOVAR

Corporación Unificada Nacional de Educación Superior

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

uno de los fines principales es disminuir errores al margen más bajo ya

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Evaluar que todos los procedimientos se lleven a cabo de forma

 Evaluar los procedimientos que se tiene para el manteniendo de los

 Llevar a cabo la evaluación de cómo se administran los recursos

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

1. Recopilación de información básica

Una semana antes del comienzo de la auditoria se envía un cuestionario a los

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

En las entrevistas incluirán:

 Director / Gerente de Informática

2. Identificación de riesgos potenciales

Se evaluará la forma de adquisición de nuevos equipos o aplicativos de

Dentro de los riesgos posibles, también se contemplarán huecos de seguridad

Los riesgos potenciales se pueden presentar de la más diversa variedad de

Se evaluarán la existencia y la aplicación correcta de las políticas de seguridad,

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Debe existir en la Empresa un programa de seguridad, para la evaluación de

Se determinarán los procedimientos adecuados para aplicar a cada uno de los

Objetivo N 1: Existencia de normativa de hardware.

Objetivo N 2: Política de acceso a equipos.

 Cada usuario deberá contar con su nombre de usuario y contraseña

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Se debe realizar aplicadas a la realiza de la empresa de uno de los 3

Auditoria Escogida: una Auditoría que le permite auditar la parte técnica y

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Este tipo de auditoria nos permite evaluar el equipamiento sistema

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Las plataformas, ambientes, el tamaño y configuración del sistema

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

En la tabulación evidenciamos, que la mayoría de personas que dejan los

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Fraude a través de redes o computadoras

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Protocolo según falla

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Nuño, P. (2017, abril 25). Auditoría de sistemas. Emprendepyme.

2018 Grupo de Auditores Públicos | Auditoria de Cuentas Y Financiera. Todos

Auditores, G. (2021, November 30). Auditoria de Sistemas de Información -

EGM Copyright © 2023

Manzanilla, V. H. (2022, mayo 30). 5 Ejemplos de Control Interno de una

UNIR - Universidad Internacional de La Rioja 2023

Vive. (2021, septiembre 23). Funciones y responsabilidades de un auditor

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

También podría gustarte