Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORÍA DE SISTEMAS
Código Curso: 90168
ACTIVIDAD: FASE 2
PLANEACIÓN DE AUDITORÍA
Código:
YEIMY BIANNEY GÓMEZ MÉNDEZ
Código: 1122126208
NAHUM JOSE DEAVILA
Código:
RENE ALEJANDRO QUINTERO
Código: 7570522
JEAN NOEL SANCHEZ RODRÍGUEZ
Código: 1140855373
La presente actividad tiene como estrategia para la adquisición de conocimientos sobre auditoría la
estrategia de Aprendizaje Basado en Proyectos-ABP. Una vez asimilado en la fase anterior sobre la
comprensión del proyecto y la recopilación de información relacionada con el mismo, en la presente actividad
procederemos con la Planificación del Proyecto.
La Auditoría de Sistemas el que representa el proceso de revisión, análisis, evaluación y control de las
actividades correspondientes a los procesos productivos mediante el uso de las Tecnologías de la Información-
TI en cualquier organización. Pues dentro de sus actividades está las de definir las Vulnerabilidades, Amenazas
y Riesgos a que están sometidas permanentemente las empresas hoy día, de acuerdo a esto, corresponde a la
auditoría definir los controles adecuados para prevenir fallos en sus sistemas con el consiguiente descalabro
económico.
Mediante esta actividad conoceremos la estructura del estándar Cobit, este nos permitirá conocer los
controles establecido en dicha norma y así poder saber cuáles de esos controles se pueden aplicar en un
determinado caso, después de analizar la vulnerabilidad, amenazas y riesgos que enfrenta una organización en
procesos operativos de sistemas.
El conocimiento anterior es la base de conocimiento con que este grupo emprenderá el desarrollo del
Proyecto para solucionar la posible problemática de la empresa Soluciones Integrales David Rois, pues al
tener esta empresa la operación, comercialización y mantenimiento de hardware y software, estará sometida a
muchos riesgos de vulnerabilidad sino cuenta con la herramientas adecuadas para mantener protegidos todos
sus procesos. A continuación seguimos con el desarrollo del Proyecto de Auditoría aplicada en la prevención
de agresión a la empresa.
OBJETIVOS
Objetivo General
Evaluar la seguridad física, la seguridad lógica y la red de datos para la empresa Soluciones Integrales
David Rois.
Objetivos Específicos
Controlar la entrada y salida, los sistemas de seguridad existentes, la protección contra incendios, el
personal de la empresa, cámaras de vigilancia, alarmas, como seguridad física
Proteger los programas que corren en los diferentes equipos de operación: computadores personales,
base de datos, servidores, prevenir el ataque de virus en las máquina, la entrada de intrusos en los
sistemas tal como hacker, mantenimiento de software en los equipos, limpieza de equipos. Todo esto
como seguridad lógica.
Auditar permanentemente las redes de datos para evitar la vulnerabilidad que se puedan presentar,
mantener los router, suiches y hub, revisar las direcciones IP para evitar intrusos, vigilar los fire Wall.
Disponer de un recurso humano con una capacitación profesional para atender las actividades
anteriores.
INFORME DE CONSTRUCCIÓN GRUPAL
A continuación se realiza el informe grupal, partiendo de la empresa propuesta por el compañero René
Quintero en la primera actividad. Para tal propósito se especifica a continuación dicha empresa:
A continuación se analizan y plantean las diferentes actividades que serán necesario realizar para aplicar
los conceptos de auditoría informática y metodología de la auditoría:
2. PLAN DE AUDITORÍA
A continuación se muestra el plan de auditoría que se le aplicará a la empresa Soluciones Integrales
David Rois:
OBJETIVOS
General:
Realizar la auditoría a la red de datos, la seguridad física y seguridad lógica para la empresa Soluciones
Integrales.
Específicos:
Conocer la red de datos, con qué seguridad física y lógica cuenta la empresa Soluciones Integrales
David Rois con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la
empresa y entrevistas a los usuarios.
Elaborar el plan de auditoria diseñando formatos que permita la recolección de la información, plan de
pruebas seleccionando el estándar para su aplicación y los procesos relacionados con el objetivo de esta
auditoría para lograr información confiable.
Ejecutar las pruebas y aplicar las herramientas que han sido diseñados para determinar los riesgos
existentes en la red de datos, en la seguridad física y lógica.
Realizar el dictamen de la auditoria para los procesos evaluados y presentar el informe final de
auditoria.
ALCANCE
1. Evitar los Riesgo Físico protegiendo adecuadamente todos los recursos de seguridad informáticos y de
recursos humanos, como se identifican a continuación:
Contratar empresa de vigilancia totalmente legalizada y con personal capacitado profesionalmente
en el desempeño de su trabajo.
Disponer de cámaras de seguridad ubicadas y camufladas en sitios estratégicos para la seguridad.
Mantener la subestación de energía comercial con el mantenimiento preventivo adecuado:
transformador, tableros, fusibles, apartarrayos, cableado, buena protección a tierra, un buen Sistema
de n Unidad de Protección-UPS y planta eléctrica.
2. Prevenir los Riesgos en las Redes de Datos para que operen correctamente, para ello es necesario:
Revisión continúa de los cables UTP.
Estar pendiente de la integridad de los conectores RJ11 (teléfonos) y RJ45 (redes de datos).
Evitar daños físicos de los ductos para cableado, hub, suiches y router.
3. Implementar todos los recursos necesarios para evitar los Riesgos de los Sofware (programas), para ello es
necesario:
Disponer de programas con licencias legales
Utilizar programas libres que sean seguros y ampliamente reconocidos y aplicados, como por ejemplo,
Linux.
Capacitación permanente para el recurso humano que opera los programas.
Utilizar antivirus legales y comprobadamente eficientes.
Aplicar el virus en todos los recursos informáticos: programas, mensajes, correos.
Prevenir el robo o deterioro de la información.
Disponer de buenos Corta Fuegos en las entradas de la red (router).
METODOLOGÍA
Para realizar una auditoría de manera exitosa, primeramente, se debe conocer cómo, cuándo y dónde se va a
realizar, para ello se necesita de una metodología, que consiste en una serie de pasos organizados que se debe
proceder para conseguir un resultado final, aquí identificaremos de manera clara los procedimientos para llevar
a cabo dicha auditoria.
Consta de las siguientes etapas:
Objetivo 1: Conocer la red de datos, con qué seguridad física y lógica cuenta la empresa Soluciones Integrales
David Rois con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la empresa
y entrevistas a los usuarios.
Solicitar la normatividad que tenga la empresa para la seguridad de la misma.
Solicitar la documentación de las políticas de manejo de contraseñas seguras para el manejo de
cuentas de usuario.
Solicitar el inventario del hardware.
Realizar una entrevista inicial con el encargado de administrar la red.
Conocer los problemas más frecuentes en la red por parte de los empleados.
Solicitar información de los empleados.
Objetivo 2: Elaborar el plan de auditoria diseñando formatos que permita la recolección de la información,
plan de pruebas seleccionando el estándar para su aplicación y los procesos relacionados con el objetivo de
esta auditoría para lograr información confiable.
Diseñar formatos que permitan la recolección de información.
Diseñar un plan de pruebas seleccionando el estándar y los procesos relacionados.
Objetivo 3: Ejecutar las pruebas y aplicar las herramientas que han sido diseñados para determinar los riesgos
existentes en la red de datos, en la seguridad física y lógica.
Aplicar los formatos diseñados para obtener la información.
Aplicar el plan de pruebas.
Obtener información de forma concisa y confiable.
Objetivo 4: Realizar el dictamen de la auditoria para los procesos evaluados y presentar el informe final de
auditoria
Recoger toda la información obtenida.
Realizar el dictamen de la auditoria.
Presentar el informe final de auditoria.
Luego de haber sido asignado los recursos, la persona encargada de la auditoria y sus personas a cargo, se
procede a la elaboración y programación del plan de trabajo. Se debe de tener en cuenta las siguientes
situaciones:
Si la auditoria se realizará en área general o solo en áreas específicas, si se decide realizar de manera
general, la elaboración de dicha auditoria es más compleja y costosa.
Si dicha auditoria es global, de toda el área de informática o solo en secciones específicas, esto
determinará no solo los auditores necesarios sino también los perfiles específicos del personal.
Una vez dicho plan se encuentre elaborado en su totalidad, damos continuación a la programación de las
actividades, esta debe ser desarrollada de manera completa para permitir modificaciones al transcurrir la
auditoria.
Actividades de la auditoria
Cuando la auditoria es realizada de manera específica a un área, se va directamente a la situación por estudiar
que esté afectando dicha área, así se obtiene más rápidamente el resultado de la auditoria.
Técnicas de trabajo:
Análisis de la información obtenida del auditado.
Análisis información propia
Enlace de las informaciones anteriormente recolectadas
Entrevistas
Simulación
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estándares
Simuladores (generadores de datos)
Paquetes de auditoria (Generadores de programas)
Matrices de riesgo
RECURSOS
Los recursos de tecnología para la empresa Soluciones Integrales David Rois es la siguiente:
Datos: incluye a los objetos de información en su sentido más amplio, considerando información interna y
externa, estructurada y no estructurada, grafica, sonidos, etc.
Sistemas de información: este concepto se entiende como los sistemas de información (aplicaciones) que
integran tanto procedimientos manuales como procedimientos programados (basados en tecnología.)
Tecnología: incluye hardware, sistemas operativos, sistemas de administración de base de datos, equipos de
redes y telecomunicaciones, video conferencia, cámara digital, memoria usb.
Instalaciones: incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recursos humanos: Este proceso incluye, habilidades, conciencia y productividad del personal para planear,
adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.
Yeimy Bianney Gómez Méndez
Rene Alejandro Quintero
Jean Noel Sánchez Rodríguez
Nahúm José Deavila
Recursos económicos:
CRONOGRAMA DE ACTIVIDADES
Elaboración informe
final de auditoria
Fase de resultados
Entrega informe final
de auditoria
3. CONSULTA A LA ESTRUCTURA COBIT: para este ítem tomaremos la versión 4.1 de COBIT,
identificando dentro de esta norma los dominios, procesos y objetivos de control, y de ellos tomaremos
5 procesos que puedan estar en cualquiera de los dominios y que deben tener relación directa con el
objetivo y alcances de la auditoría, además, se seleccionarán inicialmente los procesos y objetivos de
control que estén en concordancia con el objetivo de la auditoría y los alcances definidos en el plan de
auditoría y posteriormente cada uno de nosotros selecciona al menos uno de los procesos para ser
evaluados.
1. PO4 Definir los Procesos, Organización y Relaciones de TI: El objetivo es la prestación de servicios
de TI, por medio de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.
Objetivos a evaluar:
PO4.3 Comité Directivo de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de Calidad TI
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 Propiedad de Datos y de Sistema
PO4.10 Supervisión
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para Personal Contratado
2. PO7 Administrar Recursos Humanos de TI: El objetivo es maximizar las contribuciones del
personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas
sólidas para administración de personal.
Objetivos a evaluar:
PO7.3 Asignación de Roles
PO7.4 Entrenamiento del Personal de TI
PO7.8 Cambios y Terminación de Trabajo
3. PO9 Evaluar y Administrar los Riesgos de TI: El objetivo es asegurar el logro de los objetivos de TI
y responder a las amenazas hacia la provisión de servicios de TI, mediante la participación de la propia
organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos.
Objetivos a evaluar:
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TI
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas,
así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios
y el mantenimiento realizados a sistemas existentes.
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer
servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de
los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
5. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Objetivos a evaluar:
DS11.1 Requerimientos del Negocio para Administración de Datos
DS11.2 Acuerdos de Almacenamiento y Conservación
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
CONCLUSIONES
Como resultado de la investigación y con los datos recopilados y Analizados, se proporcionan las conclusiones
respectivas, concernientes a auditoria, tipos de auditoria y auditoria informática Con la finalidad de aportar con
información valiosa sobre los temas investigados.
A través de los resultados obtenidos en el presente trabajo, la auditoría en informática es la revisión y la
evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo.
Se determinó que la auditoría en la empresa deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
Esta auditoría para la empresa la empresa Soluciones Integrales David Rois ubicada en la ciudad de Valledupar
fue de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
.
REFERENCIAS BIBLIOGRÁFICAS
Tamayo, A. Auditoría de sistemas una visión práctica. (2001). Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+de+sistemas+
de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid – España: Editorial Ra-Ma
ISACA. (2016). Cobit 4.1 en español. Recuperado de http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de
http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.61F234B4
&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3%a9cnicas%20
de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20auditor%C
3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:
OVA Unidad 2 – Metodología de auditoría: la presentación muestra las fases y actividades a desarrollar en la
auditoría
Solarte, F. N. J. (Productor). (2016). Metodología de la auditoria con estándar CobIT. Recuperado de
http://hdl.handle.net/10596/10234