Cátedra Tecnología de

Sistemas
Seguridad y Auditoria en las TICs Código:03070

Proyecto
Caso Práctico: La Auditoria de Sistemas de
Información

Objetivo

Tomando en cuenta los conocimientos adquiridos durante el curso,

tales como: controles internos, metodología para realizar una auditoría
y los recursos con que cuenta, instrumentos de recopilación de
información y detalle de informes, variedad de técnicas de
evaluación y especiales, así como las diferentes áreas que se deben
evaluar; aplicarlos en una Auditoría.

Desarrollo.

El proyecto se realizará en la empresa Créditos Digitales S.A.

Esta es una empresa ubicada cerca de la zona franca del Coyol de

Alajuela, lacual está dedicada a dar servicios de Call Center y
Contact Center.

En el Call Center un grupo de personas específicamente

entrenadas que se encargan de brindar algún tipo de atención o
servicio telefónico especialmente sobre servicios financieros.
Actualmente cuenta con 100 personas para atender llamadas y 5
supervisores.

Y el Contact Center es un centro de llamadas donde agentes, asesores,

supervisores o ejecutivos, especialmente entrenados, realizan
llamadas (llamadas salientes) o reciben llamadas (llamadas entrantes)
desde o hacia: clientes (externos o internos).

Actualmente cuentan con un equipo de 60 personas y 2 supervisores

de grupo, los cuales realizan servicios de contact center y operan
tanto en el país como fuerade este.
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

Préstamo Seguro nació en 2015 y su gerente es Minor Guadamuz

Vargas, fundador de la empresa la cual cuenta con un primer piso
para el áreaadministrativa que la conforman (el gerente general, un
subgerente y una asistente administrativa) conjuntamente con los 4
supervisores de áreas. En ese mismo piso se encuentra ubicado el
centro de cómputo y sala de reuniones con video llamadas. El
segundo piso es para los empleados de call center, el tercer piso
para los empleados de contact center.

Toda la información de contactos, préstamos y morosidad es

totalmente digital desde el 2015, ya que la empresa cuenta con la
política de cero papeles y cuentan con un gestor documental el cual
opera todos los expedientes digitales, además un BPM que
administra los flujos de llamadas de contact center según el servicio
solicitado vía telefónica.

La empresa ha realizado una gran inversión en equipos tanto de

tecnológica como de telecomunicaciones y software, por lo tanto,
requiere contratar una auditoría externa con el propósito principal de
asegurar que el centro de cómputo de la empresa, resguarde los
equipos como la información que estos administran y minimice los
riesgos.

La función principal de esta auditoria es la observación del espacio

destinado al equipo de cómputo, mismo donde es procesada la
información, para asegurar que este cuente con el resguardo
óptimo. Se deberá hacer uso de la observación, revisión de
procedimientos, revisión de documentos, utilizar instrumentos para
la recolección y análisis posterior de la información tales como:
entrevista, cuestionario o lista de chequeo. Debe documentar y
presentar cualquiera de losantes indicados.
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

Entregables esperados Descripción

1. Carta de formalización
2. Informe final de la Auditoria
Desglose Introducción, Objetivo, alcance,
datos de la organización
Cronograma
Matriz de riesgos
Metodología
Situaciones relevantes
Situaciones detectadas
Anexos
3. Portada y referencias bibliográficas.
APA

Para facilitar este caso práctico se definen los controles que deberá
evaluar a lolargo del ejercicio.

• Procedimiento.
a. Evaluar el control de salidas e ingresos de equipos de
cómputo y personal. (cuando es funcionario). Precisar el
ingreso de personal externo en el área.
i. Se deberá revisar en los formularios la información
referente a: la fecha de ingresos y salidas, el nombre
del personal que ingresa o si es acompañado, el
motivo del ingreso, las autorizaciones firmadas
para la salida o ingreso del equipo de cómputo.
b. Claves de acceso.
i. Se deberá revisar las claves para ingreso a la red.
Revisión de los funcionarios con claves activos en la
red, fecha de activación, nombre del usuario, fecha
de expiración de la clave, cambios de claves, fechas
de accesos, estatus de la clave (funcionarios
pensionados, despedidos u otros).
c. Revisión del inventario de equipos (activo).
i. Se deberá solicitar el registro de inventario del
equipo de cómputo, verificando su existencia
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

física, plaqueado de
identificación, asignación de activos por
funcionario, actualización del valor y el estatus del
activo. Se podrá solicitar información del Software
utilizado para el mantenimiento del inventario de
equipos.
d. Revisión del procedimiento de respaldo de la información
procesada.
i. Se deberá verificar el proceso actual de respaldos,
así como laperiodicidad y efectuar al menos un
proceso de recuperación de respaldo. Con esto se
procederá a verificar su funcionalidad.
e. Procesos (Ver generalidades)
i. Protección y acceso al área. Revisión de la
protección de losequipos físicos.
ii. Respaldos de la información. Revisión de los
procedimientos derespaldos y recuperación.
iii. Inventario de equipo. Análisis y revisión de las pólizas
de seguros, presupuestos para nuevas compras y
mantenimiento general.
iv. Verificación del Plan de continuidad del
negocio (incluyedesastres naturales o
emergencias nacionales).
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

Controles por verificar Generalidades

1. Acceso al área • Cámaras de vigilancia y la calidad de las
imágenes.
• Extintores de incendios.
• Aire acondicionado.
• Alarmas detectoras. (humo y/o
temperatura).
• Control de acceso al departamento o
área.

2. Respaldos de la información • Existencia o no de procedimientos para el

respaldo de la información.
• Existencia o no de ejecución de los
respaldos.
• Tipo de herramienta de respaldo.
• Periodicidad.
3. Inventario de equipos • Existencia o no de procedimientos para el
inventario de equipos.
• Existencia o no de una herramienta
automatizada o semi automatizada para
garantizar el inventario de equipos.
• Periodicidad.
4. Plan de continuidad del • Existencia o no de un plan de continuidad
negocio. del negocio.
• Verificación del plan de continuidad del
negocio.
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

Instrucciones
1. Elaborar la carta de formalización del inicio de la Auditoria.
2. Elaborar el Informe final de la Auditoria.
a. Introducción.
b. Objetivo.
c. Alcance.
d. Cronograma propuesto de las sesiones de revisión para la
auditoria.
e. Matriz de de riesgo operacional. Incluir riesgos por cada
control antes identificado (Acceso al área, respaldos de la
información, inventario de equipo y plan de continuidad de
negocios)

Control No. Nombre Probabilidad Mitigo

Acceso al área 1 Aaaaa Bajo
Respaldos de la n Bbbbb Medio
información
Inventario de equipo n
Plan de continuidad de n
negocios

f. Indicar la metodología, por cada control, la herramienta

utilizada para la respectiva verificación (revisión de
documentos, observación, cuestionarios, entrevistas o lista
de chequeo)

g. Incluir las tablas de trabajo, cuestionarios, entrevistas y lista

de chequeo utilizadas en el apartado de anexos.
Control Herramienta Anexo
Acceso al área Entrevista 1
Respaldos de la información .. 2
Inventario de equipo .. 3
Plan de continuidad de negocios 4
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

h. Situaciones relevantes por cada control.

Control Situación (es) Causa (s) Solución (es)

Acceso al área
Respaldos de la
información
Inventario de equipo
Plan de continuidad
de negocios

i. Situaciones detectadas por cada control.

Control Situación (es) Causa (s) Solución (es)
Acceso al área
Respaldos de la
información
Inventario de equipo
Plan de continuidad
de negocios
 Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070

3. Anexos

Rúbrica de evaluación de Proyecto Final.

A continuación, se detallan los temas que se consideran en la rúbrica
para laevaluación del Proyecto Final.

Criterio Cumple a Cumple Cumple No cumple

satisfacción medianamente contenido y o no
lo indicado en lo indicado formato, pero presenta lo
en la en la aportes no son solicitado
evaluación evaluación significantes
Documento: Carta de 10 7.5 4 0
formalización
Introducción, objetivo, 15 10 5 0
alcance, datos de la
organización
Cronograma 10 7.5 4 0
Matriz de riesgos 15 10 5 0
Metodología 10 7.5 4 0
Situaciones relevantes 10 7.5 4 0
Situaciones detectadas 10 7.5 4 0
Anexos 15 10 5 0
Portada y referencia 5 3 2
bibliográficas. APA
Nota: las rúbricas se incluyen dentro de la plataforma de aprendizaje en línea
Moodle