Escuela de Ciencias Básicas, Tecnología e Ingeniería

90168 – Auditoria de sistemas

Fase 2 – Planeación de la auditoria

Elaborado por:
Cristian Valencia - 1077432779
Sandra Patricia Camayo –
Federico Murillo Murillo – 1.107.034.486
Víctor Manuel García Hurtado - 1.094.977.403
Yoly Milena Mosquera González – 1.131.044.115

Tutor:
Francisco Nicolas Solarte

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

PROGRAMA INGENIERÍA DE SISTEMAS

Armenia Quindío, octubre de 2020

Planeacion de la auditoria
 Introducción

En este trabajo se desarrollará la guía de actividades de la unidad 1 fase

2 correspondiente a la fase de planeación de la auditoria, en la cual se
analizarán las vulnerabilidades, amenazas y riesgos que se presentan en
la empresa DIGITAL WARE S.A. a los diferentes equipos de cómputo.
Además, se establecerá el plan y el programa de la auditoria del sistema
que se realizara en la compañía tomando como referencia el estándar de
CobIT (Objetivos de control para tecnologías de la información y
relacionadas), donde se establecerán los dominios, procesos y objetivos
de control que se aplicaran en la auditoria.

Objetivos

Objetivo general

Conocer la estructura informática de una empresa para así determinar

las vulnerabilidades, amenazas y riesgos que se están presentando en
los activos informáticos de hardware, software, redes, seguridad física,
seguridad lógica, talento humano, entre otros.

Objetivos específicos

 Planear la auditoria en la empresa seleccionada con los criterios

establecidos.
 Elaborar la auditoria teniendo en cuenta el estándar CobIT.

Planeacion de la auditoria
 Contenido

Empresa seleccionada: DIGITAL WARE S.A. propuesta por Sandra

Camayo Isaza.

Estructura organizacional
Empresa del sector de tecnología especializada en Software ERP,
Software de Nómina y Gestión Humana y Software para IPS y Clínicas,
con más de 25 años en el mercado, líder en diseño e implantación de
soluciones empresariales en las áreas de RRHH, Finanzas, Logística,
Manufactura, Seguridad, Petróleos, Energía, Cajas de Compensación,
Gobierno, Educación y Salud.

SOCIOS

JUNTA DIRECTIVA

PRESIDENCIA

DIRECCIÓN
SOLUCIONES Y COMERCIAL Y
ADMINISTRACIÓN TECNOLOGÍAS DE LA
SERVICIOS MERCADEO
INFORMACIÓN

COORDINACIÓN COORDINACIÓN HELP ADMINISTRACIÓN DE

CONSULTORÍA DBA
INFRAESTRUCTURA TI DESK TI LA CONFIGURACIÓN

AUXILIAR TÉCNICO

Planeacion de la auditoria
Cargos y funciones del área informática:

 Garantizar el respaldo, resguardo, recuperación, disponibilidad,

veracidad y confiabilidad de la información generada por un
sistema de información que incluye las áreas de negocio
(Administrativa, financiera, comercial y contratación, proyectos
especiales) y de producto de la compañía (Desarrollo, mesa de
apoyo y consultoría).

 Establecer y mantener planes para asegurar la continuidad del

servicio durante y después de una alteración significativa de la
operatividad ordinaria.

 Garantizar la creación, eliminación, modificación, inactivación y

verificación de perfiles y cuentas de usuarios que tiene acceso a
los diferentes sistemas de información y red de datos de la
compañía.

 Mantenimiento de redes.

 Mantenimiento de equipos (Hardware y Software)

Cargos:
 Director Tecnologías de la Información
 Coordinador Infraestructura TI
 Coordinador Help Desk TI
 Consultoría DBA
 Administración de la configuración
 Auxiliar técnico

Servicios del área informática

 Requerimiento de mantenimiento de redes (Internet, Intranet) y
equipos (Hardware, Software)
 Garantías de calidad sobre equipos y elementos
 Apoyo técnico

Planeacion de la auditoria
  Seguridad de la información
 Generación de backups
Activos informáticos
 Equipos de cómputo
 Servidor
 Data Center
 SAC-Service Agreement Center
 Antivirus
 Bases de datos
 Seven ERP
 CRM
 Kactus HCM
 Internet
 GLPI-HelpDesk

SISTEMAS INFORMÁTICOS DE LA EMPRESA

 SAC-Service Agreement Center: HelpDesk incluido dentro del
acuerdo de nivel de servicios ITIL para solicitud de soporte de los
clientes externos.
 Seven ERP-BPM: Software para gestión financiera y
simplificación de los procesos con la filosofía BPM.
 CRM: Agendas y control de actividades, ventas, prospectos,
pronósticos de ventas, entre otros.
 Kactus HCM: Gestión de talento humano y nómina
 GLPI-HelpDesk: Herramienta para solicitudes internas de
soporte
 Imperium BI: Inteligencia de negocios. Convierte los datos en el
principal activo de su organización para tomar las mejores
decisiones basadas en información confiable y oportuna

Planeacion de la auditoria
Actividad por desarrollar

 Elaborar un plan de auditoria que contenga los siguientes puntos.

1. Objetivo de la auditoria.
2. Alcances de la auditoria.
3. Metodología.
4. Recursos para el desarrollo.
5. Cronograma de actividades.

 Consulta en el blog la estructura del estándar CobIT (Dominios,

procesos, y los objetivos de control), seleccionan 5 procesos con
sus respectivos objetivos de control y actividades de control y
elabora el programa de auditoría.

Planeacion de la auditoria
Desarrollo de la actividad

1. El objetivo de esta auditoria es evaluar las vulnerabilidades,

seguridad, amenazas y riesgos que se presentan en la empresa
DIGITAL WARE S.A. a los diferentes equipos de cómputo.

N VULNERABILIDAES AMENAZAS RIESGO CATEGORIA

°
1 Adquirir datos Ruptura o robo Falta de mayor Seguridad
valiosos con fácil seguridad en el lógica
acceso acceso de
información
2 Falta de calidad en No seguros No son del todo Seguridad
las pruebas del seguros pueden lógica
programa provocar
problemas de
seguridad
3 Poco mecanismo Suprimir No se tiene Software
para prevenir y datos, equipos implementado
detectar la lentos un sistema de
introducción de identificación
códigos maliciosos de códigos
maliciosos
4 Falta de control Suplantación Cuentas activas Seguridad
en cuentas de de identidad de usuarios que lógica
usuarios ya no laboran
en la empresa
5 No contar con la Robos de Incumplimiento Seguridad
tecnología datos, fugas de legislación lógica
necesaria para las de información en materia de
operaciones de la protección de
empresa datos
6 Propagación de Alterar Daños leves o Software
virus funcionamiento inutilizar
del equipo completamente
el equipo
7 Ausencia de Modificación No se realizan Seguridad
planes para la copias de lógica
recuperación de seguridad

Planeacion de la auditoria
 información constantement
e de la
información
8 Control de Destruir No hay un Software
aplicaciones información de control activo
instaladas en el disco duro en las
equipo aplicaciones de
los equipos de
la empresa

Objetivos Específicos.
Objetivo 1: Conocer el funcionamiento de los sistemas, la seguridad
lógica y los usuarios con acceso al mismo, aumentar la seguridad para el
acceso de la información, implementar sistema de identificación de
códigos maliciosos, eliminar cuentas de usuarios de personas que ya no
laboren en la empresa, realizar copias de seguridad constantemente.
Objetivo 2: Elaborar el plan de auditoría de acuerdo a los objetivos
planteados, analizar la vulnerabilidad para elaborar plan de pruebas que
permita evidenciar las amenazas y riesgos que presentan los diferentes
equipos de cómputos de la empresa, seleccionar el estándar que será
aplicado para realizar la auditoria (CobIT).
Objetivo 3: Aplicar los instrumentos de recolección de información que
se han diseñado, y ejecutar las pruebas que han sido diseñadas para
encontrar los riesgos existentes para los procesos de CobIT que se haya
elegido, luego hacer el estudio y evaluación de los riesgos descubiertos
y el mayor impacto que estos provocan al interior de la empresa para
así darle un debido tratamiento a cada uno de ellos.
Objetivo 4: Elaborar los informes de los hallazgos encontrados, el
dictamen de la auditoría con la medición del nivel de madurez, y el
informe final de resultados de la auditoria.

Alcances de la Auditoria.

Planeacion de la auditoria
De la seguridad física se evaluará:
 Daños físicos
 Perdida de la información
 Sistema de seguridad de la empresa
 Los sistemas contra incendios
 Los planes de contingencia en caso de desastre
 Capacitación de personal para eventos de desastre.

De la seguridad lógica se evaluará:

 Control de la información generada
 Seguridad de la información almacenada
 Control de cada usuario y sus actividades en el sistema
 seguridad de programas
 Antivirus y licencias
 seguridad el acceso a los programas y archivos

Metodología
 Solicitar un usuario para la valoración sistemática individual de
equipos y sistemas internos
 Solicitar el inventario de hardware y software.
 Solicitar Información retroactiva y seguimiento
 Información retroactiva y seguimiento
 Solicitar información sobre los sistemas de seguridad para conocer
su funcionamiento.
 Realizar entrevistas al personal para conocer el funcionamiento de
acceso a la información de seguridad.

Recursos

Planeacion de la auditoria
Recursos humanos: Nombres y apellidos de los integrantes del grupo.
Nombres y apellidos Rol o papel en la auditoria
Sandra Camayo Auditor líder
Federico Murillo Auditor seguridad física
Víctor García Auditor software
Cristian Valencia Auditor hardware
Yoly Mosquera Auditor Seguridad Lógica

Recursos físicos: la auditoría se llevará a cabo en la empresa DIGITAL

WARE S.A de la ciudad de Bogotá.
Recursos tecnológicos:
 software para pruebas de auditoría sobre escaneo y tráfico en la
red
 cámara fotográfica para registros.
 Portátiles.
 Grabadora para la realización de entrevista.
Recursos económicos:
Ítem Cantidad subtotal
Portátil 5 8.000.000
Cámara fotográfica 1 300.000
Grabadora digital 1 200.000

Total 8,500,000

Planeacion de la auditoria
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la
entrega de los servicios requeridos por la empresa y se evalúan los
siguientes:

DS5 Garantizar la seguridad de los sistemas: Garantizar la

protección de la información e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de seguridad
de la TI. Los objetivos de control que se evaluarán son los siguientes:

 DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la

dependencia, riesgos y cumplimiento dentro de un plan de
seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el
plan esta implementado en las políticas y procedimientos de
seguridad junto con las inversiones apropiadas en los servicios,
personal, software y hardware. Comunicar las políticas y
procedimientos de seguridad a los interesados y a los usuarios.
 DS5.3 Administración de Identidad: Asegurar que todos los
usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir
que el usuario se identifique a través de mecanismos de
autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del módulo
definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado
por la persona responsable de la seguridad. Las identidades del
usuario y los derechos de acceso se mantienen en un repositorio
central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para
establecer la identificación del usuario, realizar la autenticación y
habilitar los derechos de acceso.
 DS5.4 Administración de Cuentas del Usuario: Garantizar que la
solicitud, establecimiento, emisión, suspensión, modificación y

Planeacion de la auditoria
 cierre de cuentas de usuario y de los privilegios relacionados, sean
tomados en cuenta por un conjunto de procedimientos. Debe
incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios,
incluyendo administradores (usuarios privilegiados), usuarios
externos e internos, para casos normales y de emergencia. Los
derechos y obligaciones relativos al acceso a los sistemas e
información del módulo deben acordarse contractualmente para
todos los tipos de usuarios. Realizar revisiones regulares de la
gestión de todas las cuentas y los privilegios asociados.
 DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar
que la implementación de la seguridad en TI sea probada y
monitoreada de forma pro-activa. La seguridad en TI debe ser re-
acreditada periódicamente para garantizar que se mantiene el
nivel seguridad aprobado. Una función de ingreso al sistema
(logging) y de monitoreo permite la detección oportuna de
actividades inusuales o anormales que pueden requerir atención.

Planeacion de la auditoria
 cronograma de actividades

Octubre Noviembre Diciembre

Actividad 2020 2020 2020
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar                        
Planificar la Determinación de áreas                        
Auditoría Críticas de Auditoría                        
Elaboración de programa de
auditoría                        
Evaluación de riesgos                        
Aplicar el modelo Ejecución de pruebas y
de auditoría obtención de evidencias                        
Construir los Elaboración de informe                        
planes de
mejoramiento Sustentación de informe                        

Planeacion de la auditoria
 Conclusiones

Al finalizar este trabajo podemos concluir que se han desarrollado las

temáticas de la fase anterior y esta nueva fase donde realizamos los
primeros pasos de un plan de auditoria enfatizándonos en la seguridad
informática en el entorno empresarial

Planeacion de la auditoria
 Bibliografía

 Solarte Solarte, F. N. (2011, 30 noviembre). CONCEPTOS DE

AUDITORÍA. AUDITORÍA INFORMÁTICA Y DE SISTEMAS.
http://auditordesistemas.blogspot.com/2011/11/conceptos.html

 Solarte Solarte, F. N. (2011, 30 noviembre). METODOLOGÍA PARA

REALIZAR AUDITORÍA. AUDITORÍA INFORMÁTICA Y DE
SISTEMAS.
http://auditordesistemas.blogspot.com/2011/11/conceptos.html

Planeacion de la auditoria