FASE 2 PLANEACION DE LA AUDITORIA

ACTIVIDAD COLABORATIVA

CURSO:

AUDITORIA DE SISTEMAS

TUTOR:

FRANCISCO NICOLAS SOLARTE

PRESENTADO POR:

JAIME HUMBERTO VILLAMIL RODRIGUEZ CODIGO: 79458932

LEIZAN NOMELIN CODIGO: 1022358031

DIANA MARCELA CÁCERES PABÓN CODIGO: 52755258

GRUPO:

90168_15

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

2019
 INTRODUCCION

La Seguridad es un aspecto importante en todo ámbito de la vida, es por medio de

este concepto que se involucra a las personas a protegerse desde una perspectiva de

prevención, la cual se puede extender no solamente a las personas, también a los objetos más

preciados, para nuestro caso la información. La mayoría de las organizaciones, empresas,

instituciones etc., poseen activos y procesos que generan el servicio y son el Core de los

negocios, la auditoria es la herramienta por medio de la cual se evalúan y se examinan los

procesos internos de una organización, utiliza el recurso más importante, que son las

personas, profesionales que mediante la experiencia y los estándares mas conocidos como

Cobit , ISO 27000, ITIL y metodologías de recolección de datos, agrupar y evaluar realizan

una revisión practica sobre los recursos informáticos con los que cuenta una entidad con el

fin de emitir un informe o dictamen sobre la situación de la organización y sus procesos

internos.
 OBJETIVOS

Conocer y aplicar los conceptos más relevantes que intervienen en una Auditoria

Informática, seleccionando los Dominios y procesos que se relacionan directamente con la

función del área auditada.

Aplicar el estándar COBIT utilizado en el control de las Tecnologías de la

Información como una guía en la Auditoria informática planeada y programada para la

empresa seleccionada.

Recoger la información mas relevante de la empresa seleccionada y de los procesos

internos que ejecuta la empresa para iniciar mediante una metodología aplicada la practica

de la Auditoria de una manera académica.

 PROPUESTAS DE EMPRESAS CANDIDATAS PARA LA APLICACIÓN

DEL PROCESO DE AUDITORIA

Para realizar la elaboración del plan y el programa de auditoria se realizaron varias

propuestas entre las que se encontraron las siguientes:

 Proponente: Leizan Nomelin

Ingeware S.A.S es una sociedad por acciones simplificadas matriculada el lunes 29

de octubre de 2012 con domicilio registrado en la ciudad de Bogotá. Esta empresa se dedica

principalmente a otras actividades de tecnologías de información y actividades de servicios

informáticos.

Nit: 900565925-7

Cámara de Comercio: Bogotá

Número de Matrícula: 0002269205

Fecha de Matrícula: 29/octubre/2012

Tipo de Organización: Sociedades Por Acciones Simplificadas Sas

Tipo de Sociedad: Sociedad Comercial

Estado de la matrícula: Activa

Última Renovación: 2012

Número de empleados: 2

 Proponente: Diana Cáceres

Empresa "Jaime Torres y Cia S.A", es una empresa que realiza procesamiento de

información cíclica y masiva, pero ellos hacen desarrollo de software como solución a las

diferentes líneas de negocio que tienen.

 La empresa cuenta con área de Redes y Servidores, Análisis y desarrollo de software,

soporte y pruebas y un Departamento de Seguridad informática. Tienen más de 35 años de

experiencia en el mercado y por supuesto en el proceso de desarrollo de soluciones y

prestación de servicios a nivel nacional.

Proponente: Jaime Villamil

La empresa O4IT pionera en servicios en la nube, enfocados en ofrecer servicios de

nubes privadas, públicas, hibridas y on-premise. Actualmente la empresa cuenta con un área

de redes, posicionando estratégicamente la infraestructura de servidores en Bogotá

(Colombia) y en Miami (USA).

Cuenta con escritorios remotos para la gestión de las áreas, validación de usuarios

desde los escritorios, igualmente cuenta con área de seguridad encargada de toda la gestión

de seguridad.

Para los servicios ofrecidos a los clientes se cuenta con infraestructura de recursos a

nivel de nube publica hibrida o servicios on-premise, cada área interna gestiona un nivel de

infraestructura dedicada exclusivamente al éxito del servicio al cliente.

La empresa O4IT pionera en servicios en la nube, enfocados en ofrecer servicios de

nubes privadas, públicas, hibridas y on-premise. Actualmente la empresa cuenta con un área

de redes, posicionando estratégicamente la infraestructura de servidores en Bogotá

(Colombia) y en Miami (USA).

 Cuenta con escritorios remotos para la gestión de las áreas, validación de usuarios

desde los escritorios, igualmente cuenta con área de seguridad encargada de toda la gestión

de seguridad.

Para los servicios ofrecidos a los clientes se cuenta con infraestructura de recursos a

nivel de nube publica hibrida o servicios on-premise, cada área interna gestiona un nivel de

infraestructura dedicada exclusivamente al éxito del servicio al cliente.

Luego de un consenso de llego a la conclusión que la empresa seleccionada para

realizar el proceso de auditora es O4IT.

 DESCRIPCIÓN DE LA EMPRESA O4IT

O4IT cuenta con áreas estructuradas para la gestión y prestación de sus servicios en

la nube las cuales están determinadas por procesos misionales, Infraestructura como

servicio, centros de datos y software como servicio, la cual sería el área para auditar.

Debido a que la empresa presenta procesos extensos tomaremos una sola área para

aplicar la auditoria ‘Software como servicio’ esta área constituye servicios como escritorios

remotos, gestión de sistemas operativos e implementación de servicios VoIP.

Para la prestación de estos servicios se presentan los siguientes procedimientos:

Servicios del área auditada

O4IT LINUX VoIP

AREA DE Linux y Sistemas Operativos Linux

Servicios ofrecidos a clientes

 Administración de Sistemas Operativos Linux en la nube IaaS

 Administración de Sistemas Operativos Linux en la nube SaaS

 administración de Sistemas Operativos Linux en la nube PaaS

 Infraestructura como servicio, recursos físicos y virtuales, como máquinas virtuales

bajo Linux, proporciona recursos informáticos:

Por ejemplo, en vez de tener 10 ordenadores físicos con Linux y 4 GB de RAM

cada uno, podemos «virtualizarlos» en la nube y trabajar con ellos como si fueran sistemas

físicos, aunque en realidad no lo son, están virtualizados dentro de un servidor.

Plataforma como servicio PaaS, el cliente puede ejecutar, desarrollar y administrar

aplicaciones sin preocuparse por la infraestructura que haya por debajo.

PaaS puede ejecutarse por encima de IaaS.

SaaS Software como servicio, modelo de distribución de software para que terceros

desarrollen y ofrezcan ciertas aplicaciones a través de Internet.

DESCRIPCIÒN DE ACTIVOS INFORMÁTICOS Y SISTEMAS DE

INFORMACIÓN

Los aspectos de los activos informáticos y sistemas de información que se evaluaran son los

siguientes:

Plantas
Sistemas Linux

Dispositivos Activos

Fortinet 80C

Switch Cisco Sg500 x 48 ptos

Hostname IP Rol S.O.

SWTCH01
SWTCH02
SWTCH03
SWTCH04
SWTCH05
SWTCH06
SWTCH07
SWTCH08
SWTCH09
SWTCH10
 DESCRIPCIÓN DE CARGOS DEL ÁREA AUDITADA

CARGO NIVEL 1

CARGO: ADMINISTRADOR LINUX VoIP Nivel 1

OBJETIVOS DEL CARGO:

Análisis, diseño e implementación plataforma Linux, para soportar roles y aplicaciones

de misión crítica, en ambiente VoIP, manejo de interfaces de configuración VoIP sobre
aplicaciones Asterisk. Elastix Issabel.

Educación Profesional en Ingeniería de Sistemas o afines

Formación Deseable certificación LPI 101 LPI 102

Experiencia Diseño e implementación de S.O Linux 2 Años; Administración de

servicios básicos de Linux 2 Años

Conocimientos Conocimiento en Networking Conocimiento en Datacenter

Conocimiento avanzado de Linux Conocimiento avanzado en File
Systems, Conocimiento avanzado en servicios de sistemas Linux.

FUNCIONES Y RESPONSABILIDADES

 Implementación de la infraestructura para soportar nuevos productos o servicios.

 Supervisión y control de toda la infraestructura Linux.

 Seguimiento y control de las actividades asignadas al área.

 Planear y sugerir mejoras para la infraestructura existente.

 Administrar las herramientas y sistemas que sean asignados al área

 Supervisión de actividades de monitoreo y control de los servidores con rol de

Linux, así como cualquier otro producto o servicio que se encuentre bajo custodia
del área.
CARGO NIVEL 2

CARGO: ADMINISTRADOR LINUX VoIP Nivel 2

OBJETIVOS DEL CARGO:

Análisis, diseño e implementación plataforma Linux, para soportar roles y aplicaciones

de misión crítica, en ambiente VoIP, manejo de interfaces de configuración VoIP sobre
aplicaciones Asterisk. Elastix Issabel.

Educación Profesional en Ingeniería de Sistemas o afines

Formación Deseable certificación LPI 101 LPI 102

Experiencia Diseño e implementación de S.O Linux 4 Años; Administración de

servicios básicos de Linux 4 Años

Conocimientos Conocimiento en Networking Conocimiento en Datacenter

Conocimiento avanzado de Linux Conocimiento avanzado en File
Systems, Conocimiento avanzado en servicios de sistemas Linux.

FUNCIONES Y RESPONSABILIDADES

 Implementación de la infraestructura para soportar nuevos productos o servicios.

 Supervisión y control de toda la infraestructura Linux.

 Seguimiento y control de las actividades asignadas al área.

 Planear y sugerir mejoras para la infraestructura existente.

 Administrar las herramientas y sistemas que sean asignados al área

 Supervisión de actividades de monitoreo y control de los servidores con rol de

Linux, así como cualquier otro producto o servicio que se encuentre bajo custodia
del área.
CARGO ANALISTA DE SEGURIDAD INFORMATICA
 PLANEACIÓN DE LA AUDITORÍA

Objetivo General. Realizar la Auditoria de los Sistemas de Información de la empresa

O4IT, específicamente en el área que da soporte a Sistemas de Comunicaciones VoIP y

Sistemas Operativos Linux, con base en el estándar COBIT, garantizando la operatividad,

funcionamiento y mejora de sus procesos de gestión de usuarios y seguridad del sistema.

Objetivos Específicos

 Buscar una mejor relación de costo - beneficio de los diferentes sistemas diseñados e

implementados en el portafolio de los activos Linux plantas de VoIP y sistemas

operativos involucrados

 Verificar el cumplimiento de la Normativa en el ámbito de los sistemas informáticos.

 Incrementar la satisfacción de los usuarios de los sistemas diseñados por O4IT.

 Asegurar una mayor integridad y confidencialidad de la información mediante las

recomendaciones de seguridad y control.

 Analizar la eficiencia de los Sistemas Informáticos.

 Conocer la situación actual del área de informática indicando las actividades y

esfuerzos necesarios para lograr los objetivos propuestos.

 Revisar la eficacia de la gestión de los recursos informáticos.

ALCANCES

El alcance de la Auditoria Informática a la empresa O4IT está determinada al examen,

la evaluación y efectividad de los sistemas de gestión de comunicaciones VoIP y sistemas

operativos Linux que involucran el servicio hacia los clientes, en la ciudad de Bogotá, la

seguridad lógica, las políticas de utilización de software, seguridad en hardware que con

lleven a obtener transferencia de datos y seguridad de los activos involucrados en los

procesos respectivos críticos.

 La auditoría abarcará solamente el área de tecnología e informática de O4IT de las

plantas de VolP y sistemas operativos involucrados.

 El proyecto de auditoria se llevará a cabo en la red corporativa e instalaciones de la

empresa O4IT ubicada en la ciudad Bogotá.

 Evaluar la calidad y eficacia en la gestión de incidentes relacionados con VoIP

 Examinar detalladamente los registros ingresados al sistema, brindando mayor

integridad, confidencialidad y confiabilidad de la información.

 Comprobar si O4IT. posee un sistema para la comprobación y reparación de errores

y si este los enmendada de manera eficiente.

 Indicar los riesgos de seguridad asociados con sus operaciones cotidianas utilizando

la tecnología de información.

 Examinar la estimación de riegos y el plan para minimizarlos y controlarlos.

 Diseñar y evaluar los procesos identificados en los sistemas de información de la

empresa O4IT.
METODOLOGIA

Como auditor se debe recolectar toda la información general, que permita así mismo

definir un juicio objetivo siempre amparado en pruebas. Dar como resultado un informe

claro, conciso y a la vez preciso depende del análisis y experiencia del auditor, frente a

diferentes entornos a evaluar, dependiendo de las debilidades y fortalezas encontradas en

O4IT.

La recolección de información, el análisis, la aplicación de diferentes normas de

acuerdo con el tipo de auditoria, los hallazgos encontrados y pruebas que avalen estos

resultados son indispensables en la realización de una auditoria.

La planeación de la auditoria se basará en un enfoque mixto con los objetivos de

control, contenidos en el estándar COBIT que brinda buenas prácticas a través de un marco

referencial las cuales, se enfocan fuertemente en el control e ilustran un modelo hacia

procesos de acuerdo, las áreas de responsabilidad como lo son planear, construir, ejecutar y

monitorear.

El método de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y objetivos de la auditoria informática.

2. Estudio inicial del entorno auditable.

3. Determinación de los recursos necesarios para realizar la auditoria.

4. Elaboración del plan y de los programas de trabajo.

5. Actividades propiamente dichas de la auditoria.

6. Confección y redacción del informe final.

7. Redacción de la carta de introducción o carta de presentación del informe final.

RECURSOS

Recursos Humanos:

 Jaime Humberto Villamil

 Diana Marcela Cáceres

 Leizan Nomelin

Recursos Físicos:

 La auditoría se llevará a cabo en las instalaciones de la empresa O4IT.

ubicada en la ciudad de Bogotá.

 Formularios de entrevistas a personal directivo y personal empleados.

 Soporte de control de versiones de sistemas operativos por fabricantes.

Recursos tecnológicos:

 Equipo de escritorio

 Portátil

 Celular

 Cámara de video
Recursos económicos:

Ítem Cantidad Subtotal

Portátil 3 8´500.000
Papel entrevistas 50 10.000
Celular 1 500.000

Total 9´010.000

CRONOGRAMA

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la
auditoría Determinación de
empresa y área
Elaboración de
Programa de
Aplicar el
Evaluación de
modelo de
Riesgos
auditoria
Ejecución de
Pruebas y Obtención
Elaboración de
Construir los
Informe
planes de
mejoramiento Sustentación de
Informe
El proceso de auditoría se realiza de la siguiente manera:

 Reunión de apertura.

Con la disponibilidad de tiempo del grupo auditor, se declara el objetivo de la

auditoría, el alcance y los criterios de esta, metodología y procedimientos a ser empleados

durante el transcurso de esta.

El auditor principal confirma la disponibilidad de los recursos asignados: hora,

fecha, lugar de la reunión de cierre.

El auditor principal somete a consideración de los presentes el plan presentado y

resuelve cualquier inquietud al respecto.

 Levantamiento de la información.

El equipo recolecta evidencias por medio de observación directa (documentos,

lugar de trabajo, visitar a la oficina, entrevistas con preguntas abiertas y cerradas de

acuerdo con la lista de chequeo.

Si alguna condición no cumple con los requisitos se debe pedir más evidencias y

anotarlas en la lista de chequeo.

 Revisión

El equipo una vez finalizado la auditoria se reúne, revisa y realiza un análisis de

las evidencias, registran hallazgos en un formato resumen.

 Reunión de cierre

Se efectúa la reunión de cierre al final de la auditoria, presentando los resultados

de la auditoría encontrados frente a los funcionarios.

 Los puntos que se tienen en cuenta en la reunión de cierre son: Agradecimientos,

lista de asistencia, aspectos relevantes de la auditoría.

 Informe final

Elaborar y entregar el informe final de auditoria y guardar otra copia como

evidencia que el informe fue entregado. El informe contiene lo siguiente:

- Aspectos relevantes positivos.

- Aspectos relevantes por mejorar

- No conformidades y/u observaciones

- Conclusiones de la auditoria.

- Evaluación de la eficacia del proceso.

- Evaluación de la eficacia de la auditoria

 PROGRAMA DE AUDITORIA

De acuerdo a las siguientes vulnerabilidades que fueron detectadas de manera a

priori se seleccionaron los dominios y procesos del estándar Cobit los cuales serán

aplicados junto a los objetivos de control:

 Problemas de validación de usuarios y cambio de claves.

 El servicio de logs en los Linux llena la partición raíz constantemente

 Algunas distribuciones Linux no permiten las actualizaciones

 Crecimiento de los discos no es dinámico

 En las extensiones audio entre cortado

 Intentos de llamadas internacionales

 Se presentan problemas de espacio en los servidores

 Problemas de fluido eléctrico

Metodología COBIT

A continuación, se relacionan los dominios, procesos y objetivos de control

relacionados directamente con el objetivo y alcances de la auditoria y que serán aplicados al

área Linux VoIP de la empresa O4IT

Dominio: Entregar y dar Soporte (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca

desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos

de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,

frecuentemente clasificados como controles de aplicación.

Proceso DS5 Garantizar la Seguridad de los Sistemas:

La necesidad de mantener la integridad de la información y de proteger los activos de

TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el

establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas,

estándares y procedimientos de TI. La administración de la seguridad también incluye

realizar monitoreo de seguridad y pruebas periódicas, así como realizar acciones correctivas

sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de

la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado

por vulnerabilidades o incidentes de seguridad.

El objetivo es salvaguardar la información contra uso no autorizados, divulgación,

modificación, daño o pérdida, realizando controles de acceso lógico que aseguren que el

acceso a sistemas, datos y programas está restringido a usuarios autorizados.

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y

eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las

primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad,

la configuración de hardware y software, pruebas de integración y desempeño, migración

entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

 Objetivos de control

o DS5.1 Administración de la Seguridad de TI

Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de

manera que las acciones de administración de la seguridad estén en línea con los

requerimientos del negocio.

o DS5.2 Plan de Seguridad de TI

Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de

seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de

seguridad. Asegurar que el plan esta implementado en las políticas y procedimientos de

seguridad junto con las inversiones apropiadas en los servicios, personal, software y

hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los

usuarios.

o DS5.3 Administración de Identidad

Asegurar que todos los usuarios (internos, externos y temporales) y su actividad de sistemas

de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y

mantenimiento) deben ser identificables de manera única. Permitir que el usuario se

identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso

del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y

documentadas y que los requerimientos de trabajo están adjuntos a las identidades del

usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del

usuario, aprobados por el responsable del sistema e implementado por la persona responsable

de la seguridad. Las identidades del usuario y los derechos del acceso se mantienen en un

repositorio central. Se despliegan técnicas efectivas de coste y procedimientos rentables, y

se mantienen actualizados para establecer la identificación del usuario, realizar la

autenticación y habilitar los derechos de acceso.

o DS5.4 Administración de Cuentas del Usuario

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de

cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto

de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de

aprobación que describa al responsable de los datos o del sistema otorgando los privilegios

de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo

administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y

de emergencia. Los derechos y obligaciones relativos al accesos a los sistemas e información

de la empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar

revisiones regulares de la gestión de todos las cuentas y los privilegios asociados.

o DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma

proactiva. La seguridad en TI debe ser Re acreditada periódicamente para garantizar que se

mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (Login) y de

monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden

requerir atención.

o DS5.6 Definición de Incidente de Seguridad

Definir claramente y comunicar las características de incidentes de seguridad potenciales

para que puedan ser clasificados propiamente y tratados por el proceso de gestión de

incidentes y problemas.
 o DS5.7 Protección de la Tecnología de Seguridad

Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no

revele documentación de seguridad innecesaria.

o DS5.8 Administración de Llaves Criptográficas

Determinar que la políticas y procedimientos para organizar la generación, cambio,

revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo

de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra

modificaciones y divulgación no autorizadas.

o DS5.9 Prevención, Detección y Corrección de Software Malicioso

Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de

seguridad y control de virus actualizados) en toda la organización para proteger los sistemas

de la información y a la tecnología contra malvare (virus, gusanos, spyware, correo basura).

o DS5.10 Seguridad de la Red

Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo,

firewall, dispositivos de seguridad, segmentación de redes y detección de intrusos) para

autorizar acceso y controlar los flujos de información desde y hacia las redes.

o DS5.11 Intercambio de Datos Sensitivos

Transacciones de datos sensibles se intercambian solo a través de una ruta o medio con

controles para proporcional autenticidad de contenidos, prueba de envío, prueba de recepción

y no repudio del origen.

 DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y

proporcionar una base para el sano manejo de cambios realizando controles que identifiquen

y registren todos los activos de TI así como su localización física y un programa regular de

verificación que confirme su existencia.

o DS9.1 Repositorio y Línea Base de Configuración

Establecer una herramienta de soporte y un repositorio central que contenga toda la

información relevante sobre los elementos de configuración. Monitorear y grabar todos los

activos y los cambios a los activos. Mantener una línea base de los elementos de la

configuración para todos los sistema y servicios como punto de comprobación al que volver

a tras el cambio.

o DS9.2 Identificación y Mantenimiento de Elementos de Configuración

Establecer procedimientos de configuración para soportar la gestión y rastro de todos los

cambios al repositorio de configuración. Integrar estos procedimientos con la gestión de

cambios, gestión de incidentes y procedimientos de gestión de problemas.

 Proceso - DS10 Administración de Problemas

Una efectiva administración de problemas requiere la identificación y clasificación

de problemas, el análisis de las causas desde su raíz, y la resolución de problema. El proceso

de administración de problemas también incluye la identificación de recomendaciones para

la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones

correctivas, Un efectivo proceso de administración de problemas mejora los niveles de

servicio, reduce costos y mejora la conveniencia y satisfacción del usuario.

Objetivos de control

o DS10.1 Identificación y Clasificación de Problemas

Implementar procesos para reportar y clasificar problemas que han sido identificados como

parte de la administración de incidentes. Los pasos involucrados en la clasificación de

problemas son similares a los pasos para clasificar incidentes; son determinar la categoría,

impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en

grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte).

Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de

usuario y clientes, y son la base para asignar los problemas al personal de soporte.

o DS10.2 Rastreo y Resolución de Problemas

Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las

solicitudes de cambio por medio del proceso de administración de cambios establecidos. En

todo el proceso la resolución, la administración de problemas debe obtener reportes regulares

de la administración de cambios sobre el progreso en la resolución de problemas o errores.

La administración de problemas debe monitorear el continuo impacto de problemas debe

escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la

prioridad de la solución del cambio (RFC) o para implementar un cambio urgente, lo que

resulte más pertinente. El avance de la resolución de un problema debe ser monitoreado

contra los SLAs.

o DS10.3 Cierre de Problemas

Disponer de un procedimiento para cerrar registros de problemas ya sea después de

confirmar la eliminación exitosa del error conocido o después de acordar con el negocio

como manejar el problema de manera alternativa.

o DS10.4 Integración de las Administraciones de Cambios, Configuración y

Problemas

Para garantizar una adecuada administración de problemas e incidente, integrar los

procesos relacionados de administración de cambios, configuración y problemas. Monitorear

cuando esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio, y en los

casos que sean necesarios, mejorar estos procesos para minimizar los problemas.
 Proceso - DS11 Administración de Datos: El objetivo es asegurar que los datos

permanezcan completos, precisos y válidos durante su entrada, actualización, salida y

almacenamiento, a través de una combinación efectiva de controles generales y de aplicación

sobre las operaciones de TI.

Objetivos de control

o DS11.1 Requerimientos del Negocio para Administración de Datos

Verificar que todos los datos que se espera procesar se reciben y procesan completamente,

de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los

requerimientos del negocio. Las necesidades de reinicio y reproceso están soportadas.

o DS11.2 Acuerdos de Almacenamiento y Conservación

Definir e implementar procedimientos para el archivo, almacenamiento y retención de los

datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la política de

seguridad de la organización y los requerimientos regulatorios.

o DS11.3 Sistema de Administración de Librerías de medios

Definir e implementar procedimientos para mantener un inventario de medios almacenados

y archivados para asegurar su usabilidad e integridad.

o DS11.4 Eliminación

Definir e implementar procedimientos para asegurar que los requerimientos de negocio para

la protección de datos sensitivos y el software se consiguen cuando se eliminan o transfieren

los datos y /o hardware.

o DS11.5 Respaldo y Restauración

Definir e implementar procedimientos de respaldo y restauración de los sistemas,

aplicaciones, datos y documentación en línea con los requerimientos de negocio y el plan de

continuidad.
 o DS11.6 Requerimientos de Seguridad para la Administración de Datos

Definir e implementar las políticas y procedimientos para identificar y aplicar los

requerimientos de seguridad aplicables al recibo procesamiento, almacén y salida de los datos

para conseguir los objetivos de negocio, las políticas de seguridad de la organización y

requerimientos regulatorios.
Dominio - Adquirir e implementar:

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del

negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas

existentes.

Proceso - AI3 Adquirir y Mantener Infraestructura Tecnológica

Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la

infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y

proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la

disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte

tecnológico continuo para las aplicaciones del negocio.

o AI3.1 Plan de Adquisición de Infraestructura Tecnológica

Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica

que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté

de acuerdo con la dirección tecnológica de la organización. El plan debe considerar

extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y

vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad

y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica.

o AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

Implementar medidas de control interno, seguridad y auditabilidad durante la

configuración, integración y mantenimiento del hardware y del software de la

infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se

deben definir y comprender claramente las responsabilidades al utilizar componentes de

 infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes

de infraestructura. Se debe monitorear y evaluar su uso.

o AI3.3 Mantenimiento de la infraestructura

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y

garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración

de cambios de la organización. Incluir una revisión periódica contra las necesidades del

negocio, administración de parches y estrategias de actualización, riesgos, evaluación de

vulnerabilidades y requerimientos de seguridad.

o AI3.4 Ambiente de Prueba de Factibilidad

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y

eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura,

en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la

funcionalidad, la configuración de hardware y software, pruebas de integración y

desempeño, migración entre ambientes, control de la versiones, datos y herramientas de

prueba y seguridad.
 DOMINIOS, PROCESOS Y OBJETIVOS CONTROL

Dominio Proceso Objetivo Control Estudiante

DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del
Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de
Seguridad
DS5.8 Administración de Llaves
Criptográficas
DS5 DS5.9 Prevención, Detección y Corrección
ENTREGAR Y Garantizar la de Software Malicioso
DAR Seguridad de DS5.10 Seguridad de la Red Jaime Humberno
SOPORTE los Sistemas DS5.11 Intercambio de Datos Sensitivos Villamil
DS9.1 Repositorio y Línea Base de
ENTREGAR Y DS9 Configuración
DAR Administrar la DS9.2 Identificación y Mantenimiento de
SOPORTE Configuración Elementos de Configuración Leizan Nomelín
DS10.1 Identificación y Clasificación de
Problemas
DS10.2 Rastreo y Resolución de Problemas
ENTREGAR Y DS10 DS10.3 Cierre de Problemas
DAR Administración DS10.4 Integración de las Administraciones
SOPORTE de Problemas de Cambios, Configuración y Problemas Diana Cáceres
DS11.1 Requerimientos del Negocio para
Administración de Datos
DS11.2 Acuerdos de Almacenamiento y
Conservación
DS11.3 Sistema de Administración de
Librerías de medios
DS11.4 Eliminación
ENTREGAR Y DS11 DS11.5 Respaldo y Restauración
DAR Administración DS11.6 Requerimientos de Seguridad para
SOPORTE de Datos la Administración de Datos Leizan Nomelín
AI3.1 Plan de Adquisición de Infraestructura
Tecnológica
AI3 Adquirir y AI3.2 Protección y Disponibilidad del
Mantener Recurso de Infraestructura
ADQUIRIR E Infraestructura AI3.3 Mantenimiento de la infraestructura
IMPLEMETAR Tecnológica AI3.4 Ambiente de Prueba de Factibilidad Diana Cáceres
 PLAN DE PRUEBAS POR PROCESO
Proceso Description de la prueba Tipo de prueba Auditor
Verificación de los procesos de
Autenticación de usuarios, gestión Entrevista y verificación de
de claves, políticas de uso de políticas
contraseñas
Verificación de logs y monitoreo
Entrevista y recolección de
de eventos en los servidores
documentación
Linux y Plantas gestionadas.
Verificación de los procesos de
Recolección de
actualización y parcheo de los
documentación
DS5 Garantizar servidores Linux Jaime
la Seguridad de Documentación del proceso que Humberno
Entrevista y verificación
los Sistemas gestiona las llaves criptográficas Villamil
Verificación de los procesos de
configuración en el área objeto de Entrevisa y verificación
auditoria documental
Validar documentación de la
trazabilidad de los proceso de
DS9 Administrar configuración y mantenimiento Entrevisa y verificación Leizan
la Configuración que aplique el área auditada documental Nomelín
Verificar si existe un proceso
definido dentro del área auditada Recolección de información
para el registro de incidencias, documental
fallas o problemas

Verificar la documentación y la
trazabilidad de las incidencias, Recolección de información
fallas o problemas desde que se documental
registra, se analiza, se da trámite
( solución) y se da respuesta.
Verificar si se realizan reuniones
periodicas para tratar los
Recolección de información
DS10 procedimientos para el
documental
Administración tratamiento y solución de Diana
de Problemas incidencias, fallas o problemas. Cáceres
Validar si exite un proceso
definido para monitorear el Entrevista, observación y
rendimiento de servidores para verificación documental
garantizar el servicio.
Validar el proceso definido desde
la parte operativa para monitorear Entrevista, observación y
y tratar el llenado de los discos verificación documental
debido a los logs
Validar el proceso administrativo
para el tratamiento y corrección
Entrevista, observación y
DS11 de problemas tecnologicos que
verificación documental
Administración pueden generar una caida de los Leizan
de Datos servidores afectando el servicio. Nomelín
 Validar el proceso de
Entrevista, observación y
restauración, depuración y
verificación documental
respaldo de las bases de datos
Entrevista, observación y
Verificar las normas de seguridad verificación documental
para la administración de datos
que aplican actualmente. Entrevista, observación y
verificación documental
Validar el proceso que se ejecute
el área auditada para la Entrevista y recolección de
adquisición de tecnología ó información documental
infraestructura
Verificar el proceso y la
periodicidad del mantenimiento
Entrevista y recolección de
que se aplica actualmente a los
información documental
recursos tecnologicos e
infraestructura
AI3 Adquirir y Verificar el registro de los reportes
Mantener Entrevista y recolección de
de falla de los recursos
Infraestructura información documental Diana
tecnologicos e infraestructura
Tecnológica Cáceres
 CONCLUSIONES

La auditoría en informática deberá comprender no sólo la evaluación de los equipos

de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.

De la aplicación de la metodología se puede concluir, que puede ser aplicada a

cualquier tipo de organización y empresa no importando el tamaño, ya que las fases y
actividades son genéricas para cualquier tipo de auditoría. También se concluye que,
comparativamente con otros métodos, esta metodología es una forma nueva de llevar a la
práctica los conceptos teóricos de auditoría y las normas de mejores prácticas con la
rigurosidad y exigencia que el proceso amerita.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad.
 BIBLIOGRAFIA

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=31766

47&tm=1543338969122

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática.

(pp. 4-35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-

informatica

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas

una visión práctica. (pp. 9- 29). Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%A

Da+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su

clasificación. Recuperado de http://hdl.handle.net/10596/10236

Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas.

Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html