CURSO

AUDITORÍA DE SISTEMAS
Código Curso: 90168

ACTIVIDAD: FASE 2

PLANEACIÓN DE AUDITORÍA

Planeación de Auditoría Informática, Metodología de la Auditoría

FRANCISCO NICOLÁS SOLARTE

Tutor

Código:
YEIMY BIANNEY GÓMEZ MÉNDEZ
Código: 1122126208
NAHUM JOSE DEAVILA
Código:
RENE ALEJANDRO QUINTERO
Código: 7570522
JEAN NOEL SANCHEZ RODRÍGUEZ
Código: 1140855373

Barranquilla, 3 de octubre de 2018

 INTRODUCCIÓN

La presente actividad tiene como estrategia para la adquisición de conocimientos sobre auditoría la
estrategia de Aprendizaje Basado en Proyectos-ABP. Una vez asimilado en la fase anterior sobre la
comprensión del proyecto y la recopilación de información relacionada con el mismo, en la presente actividad
procederemos con la Planificación del Proyecto.

La Auditoría de Sistemas el que representa el proceso de revisión, análisis, evaluación y control de las
actividades correspondientes a los procesos productivos mediante el uso de las Tecnologías de la Información-
TI en cualquier organización. Pues dentro de sus actividades está las de definir las Vulnerabilidades, Amenazas
y Riesgos a que están sometidas permanentemente las empresas hoy día, de acuerdo a esto, corresponde a la
auditoría definir los controles adecuados para prevenir fallos en sus sistemas con el consiguiente descalabro
económico.

Mediante esta actividad conoceremos la estructura del estándar Cobit, este nos permitirá conocer los
controles establecido en dicha norma y así poder saber cuáles de esos controles se pueden aplicar en un
determinado caso, después de analizar la vulnerabilidad, amenazas y riesgos que enfrenta una organización en
procesos operativos de sistemas.

El conocimiento anterior es la base de conocimiento con que este grupo emprenderá el desarrollo del
Proyecto para solucionar la posible problemática de la empresa Soluciones Integrales David Rois, pues al
tener esta empresa la operación, comercialización y mantenimiento de hardware y software, estará sometida a
muchos riesgos de vulnerabilidad sino cuenta con la herramientas adecuadas para mantener protegidos todos
sus procesos. A continuación seguimos con el desarrollo del Proyecto de Auditoría aplicada en la prevención
de agresión a la empresa.
 OBJETIVOS

Objetivo General

Evaluar la seguridad física, la seguridad lógica y la red de datos para la empresa Soluciones Integrales
David Rois.

Objetivos Específicos
 Controlar la entrada y salida, los sistemas de seguridad existentes, la protección contra incendios, el
personal de la empresa, cámaras de vigilancia, alarmas, como seguridad física
 Proteger los programas que corren en los diferentes equipos de operación: computadores personales,
base de datos, servidores, prevenir el ataque de virus en las máquina, la entrada de intrusos en los
sistemas tal como hacker, mantenimiento de software en los equipos, limpieza de equipos. Todo esto
como seguridad lógica.
 Auditar permanentemente las redes de datos para evitar la vulnerabilidad que se puedan presentar,
mantener los router, suiches y hub, revisar las direcciones IP para evitar intrusos, vigilar los fire Wall.
 Disponer de un recurso humano con una capacitación profesional para atender las actividades
anteriores.
 INFORME DE CONSTRUCCIÓN GRUPAL

A continuación se realiza el informe grupal, partiendo de la empresa propuesta por el compañero René
Quintero en la primera actividad. Para tal propósito se especifica a continuación dicha empresa:

Nombre de la empresa: Soluciones Integrales David Rois

Descripción General de actividad económica que desarrolla: Empresa dedicada a brindar soluciones
técnicas, tecnológicas.
Ubicación: Carrera 19 c # 9b 65 Valledupar Cesar
Organigrama:

Descripción del área de sistemas:

Gran parte de la actividad que desarrolla en el Área de Sistemas corresponde a la administración de los sistemas
operativos y al soporte a los usuarios de los computadores centrales o corporativos, con los objetivos de
garantizar la continuidad del funcionamiento de las máquinas y del "software" al máximo rendimiento, y
facilitar su utilización a todos los sectores de la comunidad de la Empresa.
Esta labor se desarrolla en tareas como:
 Mantenimiento y reparación de computadores, portátiles e impresoras.
 Sistemas de alarmas y circuitos de cerrados de televisión
 Instalaciones de redes cableadas e inalámbricas.
Recursos y sistemas de información:
Se Realizan tareas de reparación de desperfectos y/o mantenimiento preventivo en computadores, portátiles e
impresoras. Sistemas de alarmas y circuitos de cerrados de televisión Instalaciones de redes cableadas e
inalámbricas.
Nuestro stock de repuestos nos permite solucionar rápidamente la mayoría de las fallas típicas de estos equipos.
Cargos y funciones del personal:
David Rois (Propietario)
Carlos Padilla (Responsable A)
Oscar Fuentes (Responsable B)
Juan Noche (Operario 1)
Camilo Bermúdez (Operario2)
Miguel Jiménez (Operario 1)
Federico Espinosa (Operario 2)
Damián Pinto (Responsable C)
Matías Vega (Operario 1)
Sebastián Ríos (Operario 2)

A continuación se analizan y plantean las diferentes actividades que serán necesario realizar para aplicar
los conceptos de auditoría informática y metodología de la auditoría:

1. IDENTIFICACIÓN: a continuación se presenta la identificación y descripción las vulnerabilidades,

amenazas y riesgos de la empresa en estudio, para ello, se elabora el siguiente cuadro:

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Falta de ejecución de Propagación de virus Daño o pérdida Software

escaneos periódicos con el informático. de información.
antivirus a las distintas
unidades de los equipos.
2 No se aplican las políticas de Accesos no autorizadosNo existe Seguridad
manejo de contraseñas proceso de lógica
seguras para el manejo de revisión de
cuentas de usuario. contraseñas
3 Se encuentran activas cuentasSuplantación de identidad Errores en la Seguridad
de usuario de personal que ya desactivación de lógica
no labora en la empresa. cuentas de
usuario.
4 No se realizan copias de Desastres naturales. Ausencia de Seguridad
seguridad de manera planes para lógica
periódica de los datos e Fallas en unidades de recuperación de
información de la operación. almacenamiento. información.
5 Los puertos USB de los Introducción de información Alteración o Seguridad
equipos se encuentran falsa o software malicioso. pérdida de la lógica
habilitados y no existe un información
control de acceso por medio registrada en
de dispositivos extraíbles. base de datos o
equipos.
6 Falta de compromiso por Errores de usuario Personal no Manejo y
parte de los usuarios en el idóneo para control de
manejo de herramientas hacer uso de la personal
computacionales y del información por
sistema informático existente. medio de los
sistemas de
información.
7 Acceso libre a Internet desde Utilización de los recursos del Sistema de Seguridad
cualquier cuenta de usuario. sistema para fines no información lógica
previstos. inseguro.
8 Los equipos del área de Acceso físico a los recursos Red local Redes
sistemas (Router, Switch) no del sistema. insegura
se encuentran bajo algún
armario cerrado o en alguna
oficina con acceso
restringido.
9 Uso indebido del correo No se utilizan para fines Fuga de Seguridad
electrónico corporativo y netamente relacionados con la información lógica
personal. comunicación laboral.
10 Falta de controles para el Falta de precaución y control Robo de Seguridad
acceso a internet. de acceso información lógica
11 No existe ups que respalde el Bajas de voltaje. Fallas en el Hardware
funcionamiento de los suministro de
elementos de la red (Router, energía.
Switch).
12 Solo dos de los cinco equipos Bajas de voltaje. Fallas en el Hardware
de cómputo que hacen parte suministro de
de la red cuentan con respaldo energía.
de ups de bajo rendimiento,
en caso de un bajón de
energía, no alcanza a soportar
con la conectividad de todos
los computadores e
impresoras multifuncionales
de la empresa.
 13 El uso no aceptable de Concientizar al personal de no Uso indebido de Hardware
hardware, tales como usar módems de Internet dispositivos
módems. personal sin un firewall. personales
externos para
lucro propio
14 El cableado estructurado que La red puede presentar daños Fallas en las Redes
hace parte de la red se o rupturas por agentes comunicaciones
encuentra en evidente externos (roedores) afectando de los equipos y
desorden y en algunos tramos la conectividad de los equipos. recursos físicos.
a la intemperie.
15 Fallos en la red LAN Mala configuración al instalar Fallas en las Redes
router, switches y otros comunicaciones.
equipos de red sin las
ramificaciones de seguridad
de cada dispositivo.

2. PLAN DE AUDITORÍA
A continuación se muestra el plan de auditoría que se le aplicará a la empresa Soluciones Integrales
David Rois:

OBJETIVOS
General:
Realizar la auditoría a la red de datos, la seguridad física y seguridad lógica para la empresa Soluciones
Integrales.

Específicos:
 Conocer la red de datos, con qué seguridad física y lógica cuenta la empresa Soluciones Integrales
David Rois con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la
empresa y entrevistas a los usuarios.
 Elaborar el plan de auditoria diseñando formatos que permita la recolección de la información, plan de
pruebas seleccionando el estándar para su aplicación y los procesos relacionados con el objetivo de esta
auditoría para lograr información confiable.
 Ejecutar las pruebas y aplicar las herramientas que han sido diseñados para determinar los riesgos
existentes en la red de datos, en la seguridad física y lógica.
 Realizar el dictamen de la auditoria para los procesos evaluados y presentar el informe final de
auditoria.
 ALCANCE

1. Evitar los Riesgo Físico protegiendo adecuadamente todos los recursos de seguridad informáticos y de
recursos humanos, como se identifican a continuación:
 Contratar empresa de vigilancia totalmente legalizada y con personal capacitado profesionalmente
en el desempeño de su trabajo.
 Disponer de cámaras de seguridad ubicadas y camufladas en sitios estratégicos para la seguridad.
 Mantener la subestación de energía comercial con el mantenimiento preventivo adecuado:
transformador, tableros, fusibles, apartarrayos, cableado, buena protección a tierra, un buen Sistema
de n Unidad de Protección-UPS y planta eléctrica.

2. Prevenir los Riesgos en las Redes de Datos para que operen correctamente, para ello es necesario:
 Revisión continúa de los cables UTP.
 Estar pendiente de la integridad de los conectores RJ11 (teléfonos) y RJ45 (redes de datos).
 Evitar daños físicos de los ductos para cableado, hub, suiches y router.

3. Implementar todos los recursos necesarios para evitar los Riesgos de los Sofware (programas), para ello es
necesario:
 Disponer de programas con licencias legales
 Utilizar programas libres que sean seguros y ampliamente reconocidos y aplicados, como por ejemplo,
Linux.
 Capacitación permanente para el recurso humano que opera los programas.
 Utilizar antivirus legales y comprobadamente eficientes.
 Aplicar el virus en todos los recursos informáticos: programas, mensajes, correos.
 Prevenir el robo o deterioro de la información.
 Disponer de buenos Corta Fuegos en las entradas de la red (router).

4. Proteger de Riesgos del Hardware de la empresa mediante:

 Disponer de personal capacitado en equipos de utilizados en informática.
 Inspeccionar el estado físico de computadoras, impresoras, servidores y elementos de entrada
(monitores, teclados, ratones).
 Realizar mantenimiento preventivo y correctivo del Hardware utilizado.

5. Garantizar un cien por ciento la invulnerabilidad de la empresa mediante:

 Protección de la empresa de cualquier Amenaza a causa de la vulnerabilidad de la empresa.
 Evitar que la vulnerabilidad y las amenazas pongan en riesgo los procesos de operación y producción
de la empresa.
 Estar permanentemente en alerta por cualquier riesgo que se pueda presentar en la empresa.
 Tener recurso humano disponible permanentemente para prevenir cualquier eventualidad.
6. Mejorar los procesos productivos de la empresa, para ello, es necesario:
 Capacitación del personal en el cumplimiento de sus funciones y responsabilidades dentro de la
empresa.
 Establecer horarios de trabajo y responsabilidades de los operarios de los sistemas de información
descanso de los trabajadores.
 Capacitación continuada del recurso humano
 Imponer equipos de hardware con las últimas tecnologías disponibles en el mercado (tecnologías de
punta)
 Dar confort al Mejorar al entorno de trabajo: buena iluminación, sillas y escritorios confortables,
descansos programados, bebidas estimulantes y pasa bocas.

METODOLOGÍA

Para realizar una auditoría de manera exitosa, primeramente, se debe conocer cómo, cuándo y dónde se va a
realizar, para ello se necesita de una metodología, que consiste en una serie de pasos organizados que se debe
proceder para conseguir un resultado final, aquí identificaremos de manera clara los procedimientos para llevar
a cabo dicha auditoria.
Consta de las siguientes etapas:

Objetivo 1: Conocer la red de datos, con qué seguridad física y lógica cuenta la empresa Soluciones Integrales
David Rois con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la empresa
y entrevistas a los usuarios.
 Solicitar la normatividad que tenga la empresa para la seguridad de la misma.
 Solicitar la documentación de las políticas de manejo de contraseñas seguras para el manejo de
cuentas de usuario.
 Solicitar el inventario del hardware.
 Realizar una entrevista inicial con el encargado de administrar la red.
 Conocer los problemas más frecuentes en la red por parte de los empleados.
 Solicitar información de los empleados.

Objetivo 2: Elaborar el plan de auditoria diseñando formatos que permita la recolección de la información,
plan de pruebas seleccionando el estándar para su aplicación y los procesos relacionados con el objetivo de
esta auditoría para lograr información confiable.
 Diseñar formatos que permitan la recolección de información.
 Diseñar un plan de pruebas seleccionando el estándar y los procesos relacionados.
Objetivo 3: Ejecutar las pruebas y aplicar las herramientas que han sido diseñados para determinar los riesgos
existentes en la red de datos, en la seguridad física y lógica.
 Aplicar los formatos diseñados para obtener la información.
 Aplicar el plan de pruebas.
 Obtener información de forma concisa y confiable.

Objetivo 4: Realizar el dictamen de la auditoria para los procesos evaluados y presentar el informe final de
auditoria
 Recoger toda la información obtenida.
 Realizar el dictamen de la auditoria.
 Presentar el informe final de auditoria.

ELABORACIÓN DEL PLAN DE TRABAJO

Luego de haber sido asignado los recursos, la persona encargada de la auditoria y sus personas a cargo, se
procede a la elaboración y programación del plan de trabajo. Se debe de tener en cuenta las siguientes
situaciones:
 Si la auditoria se realizará en área general o solo en áreas específicas, si se decide realizar de manera
general, la elaboración de dicha auditoria es más compleja y costosa.
 Si dicha auditoria es global, de toda el área de informática o solo en secciones específicas, esto
determinará no solo los auditores necesarios sino también los perfiles específicos del personal.
Una vez dicho plan se encuentre elaborado en su totalidad, damos continuación a la programación de las
actividades, esta debe ser desarrollada de manera completa para permitir modificaciones al transcurrir la
auditoria.
Actividades de la auditoria
Cuando la auditoria es realizada de manera específica a un área, se va directamente a la situación por estudiar
que esté afectando dicha área, así se obtiene más rápidamente el resultado de la auditoria.
Técnicas de trabajo:
 Análisis de la información obtenida del auditado.
 Análisis información propia
 Enlace de las informaciones anteriormente recolectadas
 Entrevistas
 Simulación
 Muestreos

Herramientas:
 Cuestionario general inicial
 Cuestionario Checklist
 Estándares
  Simuladores (generadores de datos)
 Paquetes de auditoria (Generadores de programas)
 Matrices de riesgo

Redacción del informe final

Todo el proceso realizado por el auditor debe materializarse exclusivamente por escrito. Por lo tanto, la
redacción del informe final es el factor de calidad de su servicio.
Para redactar un informe final, previamente se ve la necesidad de elaborar borradores e informes parciales, que
contienen aportes entre auditor y auditado y que en los cuales se pueden encontrar fallos de apreciación en el
auditor.
Estructura:
 Fecha comienzo de auditoria y fecha de redacción.
 Nombres del equipo auditor
 Nombres de personas entrevistadas, indicando jerarquía.
 Definición de objetivos y alcance de la auditoria
 Enumeración de temas considerados.
 Cuerpo expositivo
 Situación actual
 Tendencias
 Puntos débiles y amenazas
 Recomendaciones y planes de acción
 Redacción posterior de la carta de presentación.
Redacción carta de presentación del informe final.
Esta es de vital importancia el porqué de este resumen la auditoría realizada.
Esta va dirigida exclusivamente al responsable máximo de la empresa, o la persona que encargó directamente
el contrato de la auditoría.

 La carta de presentación contendrá los siguientes ítems:

 Máximo 4 folios
 Fecha, naturaleza, objetivos y alcance
 Cuantificará la importancia de las áreas analizadas
 Proporcionará una conclusión general, concretando las áreas de gran debilidad
 Presentará las debilidades en orden de importancia y gravedad
 En la carta de presentación no se escribe nunca recomendaciones.

RECURSOS

Los recursos de tecnología para la empresa Soluciones Integrales David Rois es la siguiente:
Datos: incluye a los objetos de información en su sentido más amplio, considerando información interna y
externa, estructurada y no estructurada, grafica, sonidos, etc.
Sistemas de información: este concepto se entiende como los sistemas de información (aplicaciones) que
integran tanto procedimientos manuales como procedimientos programados (basados en tecnología.)
Tecnología: incluye hardware, sistemas operativos, sistemas de administración de base de datos, equipos de
redes y telecomunicaciones, video conferencia, cámara digital, memoria usb.
Instalaciones: incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recursos humanos: Este proceso incluye, habilidades, conciencia y productividad del personal para planear,
adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.
 Yeimy Bianney Gómez Méndez
 Rene Alejandro Quintero
 Jean Noel Sánchez Rodríguez
 Nahúm José Deavila
Recursos económicos:

Ítem Cantidad Subtotal

Computador 2 2.000.000
Cámara digital 1 400.000
Memoria usb 1 15.000
Papelería 2 20.000
Total 2.435.000

CRONOGRAMA DE ACTIVIDADES

Septiembre Octubre Noviembre Diciembre

Actividad
1 2 3 4 1 2 3 4 1 2 3 4 1

Fase conocimiento Estudio preliminar

del sistema Determinación de
áreas
Fase Planeación de la Elaborar el plan de
auditoría auditoría
Evaluación de los
Fase Ejecución riesgos
auditoria
Ejecución de pruebas
 Obtención de
resultados

Elaboración informe
final de auditoria
Fase de resultados
Entrega informe final
de auditoria

3. CONSULTA A LA ESTRUCTURA COBIT: para este ítem tomaremos la versión 4.1 de COBIT,
identificando dentro de esta norma los dominios, procesos y objetivos de control, y de ellos tomaremos
5 procesos que puedan estar en cualquiera de los dominios y que deben tener relación directa con el
objetivo y alcances de la auditoría, además, se seleccionarán inicialmente los procesos y objetivos de
control que estén en concordancia con el objetivo de la auditoría y los alcances definidos en el plan de
auditoría y posteriormente cada uno de nosotros selecciona al menos uno de los procesos para ser
evaluados.

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología información
puede contribuir de la mejor manera al logro de los objetivos de la organización. La consecución de la visión
estratégica debe ser planeada, comunicada y administrada desde diferentes perspectivas y debe establecerse
una organización y una infraestructura tecnológica apropiadas.

1. PO4 Definir los Procesos, Organización y Relaciones de TI: El objetivo es la prestación de servicios
de TI, por medio de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.
Objetivos a evaluar:
 PO4.3 Comité Directivo de TI
 PO4.5 Estructura Organizacional
 PO4.6 Establecimiento de Roles y Responsabilidades
 PO4.7 Responsabilidad de Aseguramiento de Calidad TI
 PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
 PO4.9 Propiedad de Datos y de Sistema
 PO4.10 Supervisión
 PO4.13 Personal Clave de TI
 PO4.14 Políticas y Procedimientos para Personal Contratado

2. PO7 Administrar Recursos Humanos de TI: El objetivo es maximizar las contribuciones del
personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas
sólidas para administración de personal.
Objetivos a evaluar:
  PO7.3 Asignación de Roles
 PO7.4 Entrenamiento del Personal de TI
 PO7.8 Cambios y Terminación de Trabajo

3. PO9 Evaluar y Administrar los Riesgos de TI: El objetivo es asegurar el logro de los objetivos de TI
y responder a las amenazas hacia la provisión de servicios de TI, mediante la participación de la propia
organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos.
Objetivos a evaluar:
 PO9.2 Establecimiento del Contexto del Riesgo
 PO9.3 Identificación de Eventos
 PO9.4 Evaluación de Riesgos de TI
 PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos

Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas,
así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios
y el mantenimiento realizados a sistemas existentes.

4. AI3 Adquirir y Mantener Infraestructura Tecnológica: El objetivo es proporcionar las plataformas

apropiadas para soportar aplicaciones de negocios mediante la realización de una evaluación del
desempeño del hardware y software, la provisión de mantenimiento preventivo de hardware y la
instalación, seguridad y control del software del sistema.
Objetivos a evaluar:
 AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
 AI3.3 Mantenimiento de la infraestructura
 AI3.4 Ambiente de Prueba de Factibilidad

Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer
servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de
los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

5. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Objetivos a evaluar:
 DS11.1 Requerimientos del Negocio para Administración de Datos
 DS11.2 Acuerdos de Almacenamiento y Conservación
 DS11.4 Eliminación
 DS11.5 Respaldo y Restauración
 CONCLUSIONES

Como resultado de la investigación y con los datos recopilados y Analizados, se proporcionan las conclusiones
respectivas, concernientes a auditoria, tipos de auditoria y auditoria informática Con la finalidad de aportar con
información valiosa sobre los temas investigados.
A través de los resultados obtenidos en el presente trabajo, la auditoría en informática es la revisión y la
evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo.
Se determinó que la auditoría en la empresa deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
Esta auditoría para la empresa la empresa Soluciones Integrales David Rois ubicada en la ciudad de Valledupar
fue de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

Con la realización de la presente actividad podemos relacionar las siguientes conclusiones:

 Tener una nueva visión de la Auditoría aplicada y su importancia.

 Familiarizarnos con conceptos tan importantes en la vida moderna como son la vulnerabilidad,
amenazas y riesgos que pueden afectar a las instituciones.
 La estrategia del Aprendizaje Basado en Proyectos-ABP podremos aplicar los conocimientos teóricos
en la creación de un Plan de Auditoría para una empresa.
 Estudiar y analizar la herramienta Cobit V4.1 para aplicarla al momentos de desarrollan el Plan de
Auditoría.

.
 REFERENCIAS BIBLIOGRÁFICAS
Tamayo, A. Auditoría de sistemas una visión práctica. (2001). Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+de+sistemas+
de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid – España: Editorial Ra-Ma
ISACA. (2016). Cobit 4.1 en español. Recuperado de http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de
http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.61F234B4
&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3%a9cnicas%20
de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20auditor%C
3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:
OVA Unidad 2 – Metodología de auditoría: la presentación muestra las fases y actividades a desarrollar en la
auditoría
Solarte, F. N. J. (Productor). (2016). Metodología de la auditoria con estándar CobIT. Recuperado de
http://hdl.handle.net/10596/10234