AUDITORIA DE SISTEMAS

FASE 3 – EJECUCIÓN DE LA AUDITORIA

PRESENTADO POR

ANDRES HERNANDEZ MARTINEZ

CÓDIGO: 1.077.970.122

JUAN DANIEL REYES SUAREZ

CÓDIGO: 7.179.442

PRESENTADO A

MARÍA CONCUELO RODRIGUEZ

GRUPO: 90168_65

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

ABRIL DEL 2020

 INTRODUCCIÓN

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para

materializar uno de los conceptos más vitales y necesarios para cualquier organización

empresarial, los Sistemas de Información de la empresa. La Informática hoy, está

subsumida en la gestión integral de la empresa, y por eso las normas y estándares

propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma.

En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado

la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la

empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su

importancia en el funcionamiento de una empresa, existe la auditoria Informática. Este

término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha

considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.

Avanzando en el desarrollo de actividades del curso de auditoria de sistemas nos

encontramos con un ejercicio práctico teórico, en el cual debemos mostrar nuestras

habilidades comunicativas como compañeros de grupo y como profesionales mostrando los

resultados de la auditoria a la empresa Autos y Camiones de Boyacá S.A.S. Ayudándonos

en nuestros conocimiento y habilidades para dar los mejores resultados como auditores

Esto con el fin de generar una buena práctica a través de estrategias de aprendizaje basadas

en problemas, afianzando los conocimientos y generar una mejor dinámica de trabajo tanto

individual como grupal, de tal manera se construya satisfactoriamente al desarrollo de la

fase de resultados de la auditoria.

 OBJETIVOS

OBJETIVO GENERAL

 Realizar la ejecución de la auditoria para empresa Autos y Camiones de Boyacá

S.A.S.

OBJETIVOS ESPECÍFICOS

 Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas

de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y

riesgos para cada proceso asignado.

 Mediante los análisis de riesgos, matrices se analizan aspectos importantes de la

empresa.

 Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada

proceso evaluado.

 Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

 Realizar el análisis y evaluación de riesgos para cada proceso asignado.

 ACTIVIDADES A DESARROLLAR

1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas,

listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades,

amenazas y riesgos para cada proceso asignado.

a. Proceso N° 1

b. Dominio: DS11

c. Procesos: Administración de Datos: El objetivo es asegurar que los datos

permanezcan completos, precisos y válidos durante su entrada, actualización, salida

y almacenamiento, a través de una combinación efectiva de controles generales y

de aplicación sobre las operaciones de TI.

d. Objetivos de control.

 DS11.1 Requerimientos del Negocio para Administración de Datos.

 DS11.2 Acuerdos de Almacenamiento y Conservación.

 DS11.3 Sistema de Administración de Librerías de medios.

 DS11.4 Eliminación.

 DS11.5 Respaldo y Restauración.

 DS11.6 Requerimientos de Seguridad para la Administración de Datos.

1.1. Instrumentos de recolección para el proceso N°1

1.2. Entrevista.

ENTIDAD AUTOS Y CAMIONES DE BOYACÁ S.A.S PAGINA

AUDITADA
1 DE 1
 OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de la
AUDITORÍA empresa.

PROCESO Administración de Datos.

AUDITADO

RESPONSABLE Andrés Hernández

MATERIAL DE SOPORTE COBIT

DOMINIO DS11 PROCESO Administración de Datos: El objetivo es asegurar

que los datos permanezcan completos, precisos y
válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación
efectiva de controles generales y de aplicación
sobre las operaciones de TI.

               

ENTREVISTADO Augusto Martínez

CARGO Auxiliar de sistemas

1. ¿Realizan copias de seguridad en la empresa?

- Si, se realizan copias de seguridad.

2. ¿Cada cuánto realizan copias de seguridad de la información de su computador?

- Cada 2 meses.

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?

- Si, se tiene 3 discos externos de 2TB cada uno y allí es guardado todo lo que se

realizan en las diferentes oficinas.

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la

empresa?

- La empresa se realiza Backup a toda la información que se hace en línea o física.

5. ¿Sabe sobre el manejo del almacenamiento en la nube?

- Si, regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?

- Si, la empresa nos ha hablado mucho de este tema por cuanto se tiene contacto

con muchas personas externas.

7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?

- Si, es sobre la Protección de Datos Personales.

8. ¿La empresa maneja base de datos para los diferentes aplicativos?

- Si cuenta con aplicativos, pero son controlados por la sede principal que está en

Barranquilla.

9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?

- No, es una base de datos privada.

10. ¿Para usted que son los datos personales?

- Es toda la información personal que nos solicitan o que podemos solicitar

11. ¿Cómo protege usted sus datos personales?

- Mediante claves y cambiándolas periódicamente

Augusto Martínez                                              Andrés Hernández

_____________________                    __________________

NOMBRE ENTREVISTADO                       AUDITOR RESPONSABLE

 FIRMA                                                               FIRMA

1.3. Lista de chequeo.

Lista Chequeo
DS11
Dominio Proceso Administración de Datos
DS11.1 Requerimientos del Negocio para Administración
Objetivo de control
de Datos
conforme
N.º Aspecto evaluado Observación
SI NO
¿El manejo de la información la realiza
La información es
1 un tercero u proveedor? X
manejada por la empresa
Objetivo de control DS11.2 Acuerdos de Almacenamiento y Conservación
En algunos casos se utiliza
¿Cuentan con control del
2 X discos externos para lo
almacenamiento de la información?
Backup
Objetivo de control DS11.3 Sistema de Administración de Librerías de medios
¿Dentro de las copias de seguridad se
No conozco, pero me
3 estructura algún tipo de control o X
supongo que debe tenerlo
seguimiento?
Objetivo de control DS11.4 Eliminación
La información debe estar
¿Cuentan con versionamiento en las disponible en cualquier
4 X
copias de seguridad? momento y para cualquier
equipo(sistema)
Objetivo de control DS11.5 Respaldo y Restauración
¿Cuentan con un plan en caso de tener En la sede solo contamos
5 alguna perdida o daño sobre la X con lo que se guarda en el
información? Backup de quipos
DS11.6 Requerimientos de Seguridad para la Administración
Objetivo de control
de Datos
¿Cuentan con políticas para la Si la empresa es muy clara
6 X
protección de datos? en ese sentido
                  
 1.4. Cuestionario.

CUESTIONARIO CUANTITATIVO REF

ENTIDAD AUTOS Y CAMIONES DE BOYACÁ S.A.S PAGINA

AUDITADA 1 DE 1
PROCESO Administración de Datos
AUDITADO
RESPONSABLES Andrés Hernández
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO DS11 PROCESO Administración de Datos: El objetivo es
asegurar que los datos permanezcan
completos, precisos y válidos durante su
entrada, actualización, salida y
almacenamiento, a través de una
combinación efectiva de controles
generales y de aplicación sobre las
operaciones de TI

OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la

Administración de Datos
N PREGUNTA SI NO NA REF
1 ¿La información de su equipo cuenta con 4
copias de seguridad?
2 ¿Almacena usted información en la nube? 3
3 ¿Realiza periódicamente copias de 4 1
seguridad?
4 ¿Cuenta con un plan de trabajo para realizar 2 2
las copias de seguridad?
5 ¿Conoce sobre las políticas frente al plan de 4
seguridad de la información?
6 ¿Sabe sobre las políticas de bases de datos? 4
TOTAL 9 3
TOTAL, CUESTIONARIO 21
Porcentaje de riesgo parcial = (3 * 100) / 21 = 14,2 %
Porcentaje de riesgo total = 100 – 14,2 = 85,8 %
PORCENTAJE RIESGO 85,8 % (Riesgo Alto)
2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las
vulnerabilidades, amenazas y riesgos detectados con los instrumentos de
recolección de información.

ETAPAS PRUEBAS
ETAPA DESCRIPCIÓN
RECOLECCIÓN DE Se pretende recolectar gran volumen de información oficial.
INFORMACIÓN
EXAMINAR Para este caso fueron usadas:
EQUIPAMIENTO
Querying System (sistema de consulta), y documentación DNS.
INFORMÁTICO
Se emplea: TraceRoute (marca el trayecto de la red), Transmisión de sector
Sistema de Nombre de Dominio (brindan información de los hosts
existentes en el sector y de la dirección IP).
Rastreo de puertos. El mapeo ofrece información sobre que puertos percibe
un host. Todo puerto abierto es muy vulnerable.
ANALIZAR LOS Se aplican herramientas de escaneo de puertos y fingerprinting para adquirir
EQUIPOS información acerca de la versión y sistema operativo que están montados.
EXAMINAR LOS Aplicando estudio útil, ordenado, ejecutando ataques contra la confirmación
PROGRAMAS de la identidad de un individuo, permisos, información, condición última de
los procedimientos y los usuarios.

3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para

cada proceso evaluado.

RIESGOS DETECTADOS
ÍTEM RIESGO DOMINIO PROCESOS OBJETIVOS DE CAUSAS
CONTROL
DETALLADOS
1 Error Monitoreo y Monitorear y Monitorear de manera Los errores
humano Evaluación evaluar el interna y de forma humanos se
control continua, estos se hacen pueden
interno a profundidad para producir por
evitar los riesgos. una distracción
del funcionario,
una mala
preparación del
 mismo o un
descuido.
2 Robo Adquirir e Adquirir Garantizar la Fallas internas
de archivos implementar recursos de TI adquisición de en la parte de
o equipos hardware, software, seguridad y
infraestructura e vigilancia de la
instalaciones que empresa o
satisfagan las posible robo
necesidades de la por parte del
empresa personal de la
empresa

3 Fallas en Adquirir e Instalar y Realizar un plan de Las fallas

los sistemas implementar acreditar pruebas para la muchas veces
soluciones y corrección de errores, se producen por
cambios con base en la un error del
evaluación de riesgos mismo sistema
de fallas en el sistema o en algunos
casos por el
manejo que se
les da a éstos
4 Virus Entregar y Administrar Priorizaciones de Bases de datos
informático dar soporte los problemas emergencia, esto se desactualizadas
realiza lo más pronto equipos sin
posible para no perder protección,
información antivirus
desactualizados
5 Desastre Entregar y Administrar el Proporcionar un Fenómenos de
natural dar soporte ambiente ambiente físico que la naturaleza
físico proteja al equipo y al
personal de desastres
naturales

6 Incendio Entregar y Garantizar la Garantizar que las Descuido del

por corto dar soporte seguridad de características de los personal
los sistemas posibles incidentes de encargado de la
seguridad sean seguridad y el
definidas y manejo de las
comunicadas de forma instalaciones
clara, de manera que
los problemas de
seguridad sean
atendidos de forma
apropiada por medio
 del proceso de
administración de
problemas o incidentes

7 Accesos no Entregar y Administrar Monitorear los Información

autorizados dar soporte servicios servicios del proveedor que llega a
de terceros apara asegurarse que manos de
éste está cumpliendo a personas
cabalidad con los inescrupulosas
requerimientos que fácilmente
pueden afectar
la estabilidad
de la empresa.
8 Poco Planear y Administrar Reclutamiento y En muchas
personal organizar recursos retención del personal, ocasiones el
para humanos de asegurarse de contratar personal que se
manejar los TI personas que se ciña a tiene no se
sistemas las políticas de la ajusta a las
empresa y que nuevas
garantice un buen necesidades de
desempeño la empresa
entonces se
necesitan
capacitar el
personal
existente
o conseguir
nuevo personal
9 Fallas del Adquirir e Adquirir y Desarrollar una Las causas de
hardware implementar mantener la estrategia y un plan de este pueden ser
infraestructura mantenimiento de la descaste de los
tecnológica infraestructura y equipos, falta
garantizar que se de control más
controlan los cambios, continuo
de acuerdo con el requerimientos
procedimiento de de
administración de actualizaciones.
cambios de la
organización. Incluir
una revisión periódica
contra las necesidades
del negocio,
administración de
parches y estrategias de
 actualización, riesgos,
evaluación de
vulnerabilidades y
requerimientos de
seguridad.
10 Filtración Monitorear Monitorear y Registrar la La causa de
de la y evaluar evaluar el información referente a esto es un
información control todas las excepciones agente interno
interno de control y garantizar que pasa
que esto conduzca al información a
análisis de las causas personas
subyacentes y a la toma inescrupulosas,
de acciones correctivas. o software
La gerencia debería malicioso que
decidir cuáles se instalan en el
excepciones se equipo y roban
deberían comunicar al información
individuo responsable importante para
de la función y cuáles la empresa.
excepciones deberían
ser escaladas. La
gerencia también es
responsable de
informar a las partes
afectadas.

4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.

 Vulnerabilidades.

a. No se realiza capacitaciones con regularidad.

b. No existe evidencia de las capacitaciones.

c. Los equipos no cuentan con copias de seguridad periódicas.

d. Falta cronograma para las actividades de capacitación.

 Amenaza

a. No existen copias de seguridad periódicas.

b. No hay conocimientos de los periodos para realizar copias de seguridad.

 c. No existe cronograma para la realización de las capacitaciones.

d. Se desconoce sobre las políticas sobre la protección y seguridad de la

información.

e. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo

laboral.

 Riesgos

a. No hay copias de seguridad periódicas.

b. No tienen conocimientos de las herramientas tecnológicas que utilizan.

c. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.

d. Se presentan problemas por falta de conocimiento sobre las políticas.

e. No existe una política clara sobre la protección y seguridad de la información.

f. No cuentan con un plan para eventos de respaldo de la información.

g. Afectación de la integridad de los datos.

h. Afectación de la disponibilidad del respaldo de la información de los procesos.

i. Falta de personal debidamente autorizado para la realización de las actividades

del proceso.

5. Elaborar la matriz de riesgos de cada proceso evaluado.

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias
de seguridad X X
periódicas
R2 Se presentan
problemas por
falta de
X X
conocimiento
sobre las
políticas.
R3 No existe una
política clara
sobre la
X X
protección y
seguridad de la
información.
R4 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R5 Afectación de la
integridad de los X X
datos.
R6 Afectación de la
disponibilidad
del respaldo de X X
la información
de los procesos.
R7 Falta de
personal
debidamente
autorizado para X X
la realización de
las actividades
del proceso.

5.1 Resultado Matriz de riesgos.

Alto R6 R1, R3, R6
61-100%
PROBABILIDAD

Medio R2, R7 R4, R5

31-60%
Bajo
0-30%
Leve Moderado Catastrófico

IMPACTO
 6. Elaborar el cuadro de tratamiento de riesgos para cada proceso evaluado.

RIESGO RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O

DETECTADOS CONTROL CONTROLES

No existen contraseñas de Controlar el acceso a través del

1 acceso a los equipos CORRECTIVO servidor de directorio activo
Falta de conocimiento de los Dictar charlas y capacitación a
usuarios en el manejo de los usuarios acerca del uso
2 herramientas computacionales correcto de la información y
y en el manejo de los sistemas los medios seguros para su
informáticos existentes, no se trasmisión.
han realizado capacitaciones a PREVENTIVO
los usuarios para
concientizarlos sobre la
seguridad de los datos.
Acceso no controlado a Controlar el acceso a internet o
Internet, no se tienen grupos a aquellas páginas no
3 de acceso ni restricciones a CORRECTIVO autorizadas por la
sitios potencialmente organización.
peligrosos.
No existe directriz para el Establecer políticas de
4 adecuado manejo de CORRECTIVO seguridad y controles que
dispositivos de permitan sustraer información
almacenamiento. a través de medios magnéticos,
solo a personal autorizado.
 CONCLUSIONES

 Se encuentra que la recolección de información por medio de la entrevista con las

personas implicadas en los procesos es de vital importancia por cuanto es información

de primera mano, al ser estas las encargadas de gestionar y vigilar los procesos brindan

información que de otra forma o esta modificada o muchas veces no tan veraz como la

que se obtiene de los directamente responsables de los procesos.

 Existen diversos aplicativos que permiten brindar apoyo a las auditorias de sistemas,

realizando inventarios de equipos, seguridad en redes, auditoría a bases de datos,

criptografía, cifrado de código, software sniffer, y otras funciones más.

 Gracias a la matriz de riesgos se puede clasificar los riesgos gracias a su probabilidad e

impacto
 BIBLIOGRAFÍA

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp.

119-181). Recuperado de: http://es.slideshare.net/zhhane/auditoria-de-sistemas-

46686981

 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved from:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=41&docID=3176647&tm=1543338969122

 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,

México: Editorial CECSA. (pp. 29-117)recuperado

de: http://eprints.uanl.mx/6977/1/1020073604.PDF

 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de:

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

 Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado de:

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor

%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Quezada-Sarmiento, P. A. paquezada@utpl. edu. e., Alvarado-Camacho, P.-E.

pealvarado@utpl. edu. e., & Chango-Cañaveral, P. M. 2pmchango@utpl. edu. e. (n.d.).

Retrieved from: http://bibliotecavirtual.unad.edu.co/login?

 url=http://search.ebscohost.com/login.aspx?

direct=true&db=aci&AN=127420924&lang=es&site=eds-live

 Solarte Solarte, F. ( 21,12,2016). Metodología de la auditoria con estándar CobIT.

[Archivo de video]. Recuperado de: https://youtu.be/WHBZCf5B-3Q

 Solarte Solarte, F. ( 07,01,2019). Metodología de Auditoría - Fases y Resultados.

[Archivo de video]. Recuperado de: http://hdl.handle.net/10596/23476

 INTECO. [Incibe]. (2010, 05, 21). Análisis y valoración de riesgos. Metodologías.

[archivo de video]. Recuperado de: https://youtu.be/g7EPuzN5Awg

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de http://hdl.handle.net/10596/10234