UNIDAD 2: FASE 3 – EJECUCIÓN DE LA AUDITORIA

PRESENTADO POR:
MILTON ANDRES ZUÑIGA
COD:83091923
CARLOS HERNAN LARA MOLINA
COD:1117507881

PRESENTADO A:
FRNCISXO NICOLAS SOLARTE
TUTOR
AUDITORIA DE SISTEMAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ABRIL 2019
 INTRODUCCIÓN

Existen herramientas muy prácticas para diagnosticar vulnerabilidades,

amenazas y riesgos en las compañías o empresas que se dedican a cualquier tipo
de ejercicio comercial, las cuales permiten dar información del estado actual de
las mismas y tener un plan de acción que contrarreste este tipo de
inconsistencias con el fin de salvaguardar los intereses y la continuidad de cada
una de estas empresas.

En la herramienta que nos basamos para el desarrollo del presente trabajo, es

la ejecución de la auditoria de sistemas, en la cual encontraremos nuevos
diagnósticos de riesgos de la empresa Comercios ubicada en la ciudad de
Florencia Caquetá, aquí, tendremos una visión mas clara de lo que realmente
sucede en esta empresa, ya que encontraremos un diagnostico completo con la
matriz de riesgos ejecutada, la cual nos da la información necesario para
determinar a que se debe preparar la empresa y lo que debe aplicar para evitar
inconsistencias a futuro.
 OBJETIVOS
Realizar la ejecución de los instrumentos para recolectar información por
medio de los formatos de fuentes de conocimiento, formato de entrevistas,
listas de chequeo, formato de pruebas y cuestionarios.

Ejecutar el cuadro de tratamientos de riesgos por medio de la aplicación de

los instrumentos para cada proceso, como el cuadro de valoración de los
riesgos por probabilidad e impacto, y la matriz de riesgos resultante.
 INFORME DE CONSTRUCCIÓN GRUPAL
Diseño de instrumentos para recolectar la información en cada proceso:
 Formato de fuentes de conocimiento

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA
1 DE 1
Funcionamiento del aspecto físico de la red de datos y el sistema de
PROCESO AUDITADO
instrucción.
RESPONSABLE Estudiantes del Curso Auditoria de Sistemas de la UNAD
MATERIAL DE SOPORTE COBIT
DOMINIO Planificar y Organizar (PO)
PO3 Determinar la Dirección Tecnológica
PROCESO
PO9 Evaluar y administrar los riesgos de TI
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION

Pruebas que se hacen por Pruebas mediante uso

análisis de documentos de software, pruebas
(contratos, manuales) o para levantar inventarios,
Documento, o persona que tiene comparaciones (compara los pruebas de seguridad en
la información que necesita el contenidos de un manual redes, pruebas de
auditor respecto a lo que dice la teoría seguridad en bases de
que debe contener) comparar( datos, pruebas de
la empresa auditada con una intrusión, pruebas de
empresa certificada) testeo.

AUDITOR RESPONSABLE:
CARLOS HERNAN LARA MOLINA
MILTON ANDRES ZUÑIGA
  formato de entrevista

FORMATO ENTREVISTA
PAGINA
ENTIDAD AUDITADA Comercios
1 DE 2
Conocer los problemas relacionados con el sistema de
OBJETIVO AUDITORÍA
instrucción al área administrativa de la empresa

PROCESO AUDITADO PO3 Determinar la Dirección Tecnológica

RESPONSABLE Carlos Hernan Lara Molina

MATERIAL DE SOPORTE COBIT
Planificar y
PO3 Determinar la Dirección
DOMINIO Organizar PROCESO
Tecnológica
(PO)

ENTREVISTADO Roymer López

CARGO Analista de Mantenimiento
Tema 1: Hardware y equipos de cómputo
1. ¿Los equipos con los que cuenta la entidad son los adecuados para las funciones que se realizan?

Si, todos los equipos cuentan con sistemas operativos actualizados y de última generación.

2. ¿Conoce de equipos mejores en el mercado que optimicen el funcionamiento de la entidad?

Si conozco de mejores equipos, pero el funcionamiento y rendimiento que se necesita en la entidad es

realizado a satisfacción por los equipos que poseemos actualmente.

3. ¿Cuántos Mantenimiento se han realizado a los equipos?

Se hace un mantenimiento cada seis meses, o cuando algún equipo lo necesita.

4. ¿Cree que puede mejorar los sistemas internos de la entidad? ¿Como?

Si, pero a medida que las nuevas tecnologías surjan la planta de equipos seguramente serán actualizados,
todo a medida de la necesidad que se presente.

Tema 2: PO3.2 Plan de Infraestructura Tecnológica

5. ¿Cree que es viable adquirir mejores tecnologías para la entidad?

Siempre es necesario adquirir nuevas y mejores tecnologías con el propósito de mejorar el rendimiento y
calidad en los servicios que brindamos.

6. ¿La entidad estaría dispuesta a evaluar sus sistemas de seguridad física?

Esta entidad siempre evalúa los sistemas de seguridad física con los que cuenta, por tal motivo,
mensualmente se exige al responsable de esta dependencia un informa llamado matriz de riesgos, en el
que se indica cómo se encuentra la seguridad en tiempo real, y nos brinda una visión del panorama a
futuro.
7. ¿La entidad cuenta con los recursos para realizar cambios significativos en seguridad física?
En efecto, como le he mencionado, esta entidad está muy pendiente de los temas de seguridad, por tal
motivo maneja un presupuesto anual considerable, que permite tomar decisiones prudentes y a tiempo
con el fin de evitar novedades y minimizar riesgos latentes.

CARLOS HERNAN LARA

ROIMER RAFAEL LOPEZ MOLINA
FIRMA ENTREVISTADO FIRMA AUDITOR RESPONSABLE

ENTIDAD AUDITADA Empresa de actividad comercialo PAGINA

11 22
De
OBJETIVO Conocer los problemas relacionados con el aspecto físico de la red de datos
AUDITORÍA y el sistema de control de acceso
PROCESO PO9: Evaluar y administrar los riesgos de TI
AUDITADO
RESPONSABLE Milton Andres Zuñiga
MATERIAL DE SOPORTE COBIT
DOMINIO Planificar y Organizar (PO) PROCESO PO9: Evaluar y administrar los riesgos de
TI
ENTREVISTADO Roymer López
CARGO Analista de Mantenimiento
Tema 1: Hardware y equipos de cómputo
1. ¿Las características de los equipos son eficientes para el correcto funcionamiento de las redes en
la empresa?
Si todos los equipos cuentan con hardwares especializados para el correcto funcionamiento de
redes en la empresa
2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
Primero se hace un análisis minusioso observando las causas de su falla y se acude al técnico
encargado de estos equipos.
3. ¿Con que peridiocidad se le hace mantenimiento a los equipos?
Cada 5 o 6 meses o cuando un equipo lo necesita
4. ¿Qué nivel de conocimientos tiene en el manejo de las redes de la empresa?
Un buen conocimiento claro, debido a que en caso de alguna falla poder responder ante esta si
no es grave, de lo contrario se llamaría al ingeniero encargado de esta área.

Roymer Rafael López Milton Andrés Zúñiga

FIRMA FIRMA

 Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los
riesgos de TI.

LISTA CHEQUEO
PO9 Evaluar y
DOMINIO Planificar y organizar (PO) PROCESO administrar los riesgos
de TI
PO9.1 Marco de Trabajo de Administración de Riesgos
OBJETIVO DE CONTROL
CONFORME
Nº ASPECTO EVALUADO SSI NNO OBSERVACIÓN
¿Cuentan con un marco de trabajo
basado en la identificación,
1 definición y actualización de riesgos XX X
en la estructura tecnologíca de la
empresa?
PO9.2 Establecimiento del Contexto del Riesgo
OBJETIVO DE CONTROL
¿Se registra los parámetros internos
2 y externos en la tecnología de X x
riesgos?
PO9.3 Identificación de Eventos
OBJETIVO DE CONTROL
¿Cuentan con un plan de
3 mantenimiento frente a eventos X x
potenciales?
PO9.4 Evaluación de Riesgos de TI
OBJETIVO DE CONTROL
¿Cuentan con un sistema de
4 X
evaluación periódica de los riesgos?
PO9.5 Respuesta a los Riesgos
OBJETIVO DE CONTROL
¿Existe respuesta en acciones y
5 opciones para reducir las amenzas y X
alcanzar los objetivos?
PO9.6 Mantenimiento y Monitoreo de un Plan de
OBJETIVO DE CONTROL Acción de Riesgos
 ¿Existe monitoreo y mantenimiento
6 en respuesta ante un inminente X
riesgo?

 Lista chequeo aplicado al proceso PO3 estándar CobIT: Determinar la dirección

tecnológica.

LISTA CHEQUEO
PO3 Determinar la
DOMINIO Planear y Organizar (PO) PROCESO Dirección
Tecnológica
OBJETIVO DE
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras:
CONTROL
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Existe un proceso para monitorear la
1 infraestructura de seguridad existentes X
en las instalaciones?
OBJETIVO
DE PO3.4 Estándares Tecnológicos:
CONTROL
¿Existen canales de comunicación con
personal especializado, donde se reciban
2 sugerencias de correcciones a los X
sistemas y las debidas soluciones viables
para la compañía?
OBJETIVO
DE PO3.5 Consejo de Arquitectura de TI:
CONTROL
¿Existe un consejo de arquitectura de
TI, que brinde los pasos a seguir para
3 las mejoras que se implementaran y X
vigile el cumplimiento adecuado del
mismo?
  Formato de cuestionarios

FORMATO CUESTIONARIO
Comercios
Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO3 Determinar la Dirección Tecnológica

Pregunta Si No OBSERVACIONES
¿Se cuenta con un
inventario de equipos de 5
cómputo?
¿Si existe inventario
contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
5
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida
por equipo
¿La hoja de vida del
equipo tiene los datos?
Numero de hoja de vida
Número del computador
5
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de
fallas detectadas en los 4
equipos?
¿En el registro de fallas se
tiene en cuenta con los
siguientes datos?
Fecha
4
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar
una falla en el equipo, la
atención que se presta es? 4 De 1 a 5 días
Inmediata
De una a 24 horas
 De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de Semestral
mantenimiento para todos los 5
equipos?
¿Qué tipo de Correctivo
mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Los empleados pueden
instalar y desinstalar programas 4
en el computador?
¿Al finalizar la jornada
laboral, se hace una revisión de 5
los equipos?
¿El personal que se
encarga del mantenimiento es 5
personal capacitado?
¿Se lleva un
procedimiento para la 4
adquisición de nuevos equipos?
¿La infraestructura
tecnológica de los equipos
4
soporta la instalación de
diferentes sistemas operativos?
¿Son compatibles software
5
y hardware?
TOTALES 37 17
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (37 * 100) / 54 = 68,52

Porcentaje de riesgo = 100 – 68,52 = 31,48

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:
Porcentaje de riesgo parcial: 68,52
Porcentaje de riesgo = 31,48
Impacto según relevancia del proceso: Riesgo Medio
 Empresa de actividad comercial
Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO9: Evaluar y administrar los riesgos de TI

Pregunta Si No OBSERVACIONES
¿Se cuenta con un inventario de 5 4
equipos de cómputo?
¿Si existe inventario contiene los 4
siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida por
equipo
¿La hoja de vida del equipo tiene 5 3
los datos?
Numero de hoja de vida
Número del computador
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas 3
detectadas en los equipos?
¿En el registro de fallas se tiene 4
en cuenta con los siguientes datos?
Fecha 3
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una 4 De 1 a 5 dias
falla en el equipo, la atención que se
presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de 5 Semestral
mantenimiento para todos los equipos?
 ¿Qué tipo de mantenimiento se Correctivo
lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Los empleados pueden instalar y 3
desinstalar programas en el
computador?
¿Al finalizar la jornada de trabajo, 5
se hace una revisión de los equipos?
¿El personal que se encarga del 5 4
mantenimiento es personal capacitado?
¿Se lleva un procedimiento para la 4
adquisición de nuevos equipos?
¿La infraestructura tecnológica de 15
los equipos soporta la instalación de
diferentes sistemas operativos?
¿Son compatibles software y 5
hardware?
TOTALES 45 11
Porcentaje de riesgo parcial = (45 * 100) / 56=80.35
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (37 * 100) / 54 = 68,52

Porcentaje de riesgo = 100 – 80.35 = 19.64

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 80.35
Porcentaje de riesgo = 19.64
Impacto según relevancia del proceso: Riesgo Bajo
 PROCESO GESTIÓN DE RIESGOS
RIESGOS INICIALES:

1. Incorrecto funcionamiento de las redes de conexión

2. Funcionamiento inadecuado de algunos equipos
3. Incumplimiento de las normas de conexión a red
4. Funcionamiento inadecuado del almacenamiento de información
5. Fallas en las telecomunicaciones y/o fluido eléctrico
6. Sistema magnético de puertas al ingreso de las instalaciones donde ingresan
personas ajenas a empleados de la empresa, sin control de las tarjetas que se
pueden extraviar.
7. Funcionamiento de los equipos para almacenar los datos cuando ocurre alguna
incidencia en la red sin soporte externo.
8. Falta de redes de internet de apoyo.
9. Ubicación sin acceso donde se encuentran los equipos de red, demorando una
respuesta inmediata en caso de un mantenimiento o revisión de emergencia.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

10. Desconocimiento de registro en fallas de los equipos.

11. Incumplimiento en el proceso de revisión de revisión de equipos al finalizar
la jornada laboral.
12. Uso indebido en la instalación y desinstalación de programas.
13. No poseen un registro de fallas detectadas en los equipos.
14. No existe una lista de chequeo a los equipos al finalizar la jornada laboral de
los empleados.
Con las escalas de medición se construye la matriz de riesgos general que se aplica para
cualquiera de los procesos, teniendo en cuenta los riesgos encontrados

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
PROBABILIDAD IMPACTO
Insignificante = 1
Menor = 2
Raro = 1
Moderado = 3
Improbable = 2
Mayor = 4
Posible = 3
Catastrófico = 5
Probable = 4
Casi Seguro = 5

Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de

evaluación de los riesgos encontrados en cada uno de los procesos evaluados,
teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de estos
y el impacto que pueden causar en la empresa Comercios.
ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impacto Probabilidad

Sistema magnético de puertas
al ingreso de las instalaciones donde
ingresan personas ajenas a
R1 empleados de la empresa, sin control 3 4
de las tarjetas que se pueden
extraviar.

Funcionamiento de los equipos

sin soporte externo para almacenar
R2 los datos cuando ocurre alguna 5 4
incidencia en la red.

Falta de redes de internet de

R3 apoyo. 4 4

Ubicación sin acceso donde se

encuentran los equipos de red,
demorando una respuesta inmediata
R4 3 3
en caso de un mantenimiento o
revisión de emergencia.

No poseen un registro de
R5 fallas detectadas en los equipos. 4 4

No existe una lista de chequeo

a los equipos al finalizar la jornada
R6 3 4
laboral de los empleados.
 R7 Incorrecto funcionamiento de las redes de 3 2
conexión

R8 Funcionamiento inadecuado de algunos 3 3

equipos

R9 Incumplimiento de las normas de conexión 2 2

a red

R10 Funcionamiento inadecuado del 4 3

almacenamiento de información

R11 Fallas en las telecomunicaciones y/o fluido 4 4

eléctrico

R12 Desconocimiento de registro en fallas de 1 3

los equipos

R13 Incumplimiento en el proceso de revisión de 3 5

revisión de equipos al finalizar la jornada
laboral

R14 Uso indebido en la instalación y 4 3

desinstalación de programas

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)

Raro (1) R12

Improbable (2) R9

R1, R4, R6,

Posible (3)
R7, R8, R13
R3, R5,
R10,
Probable (4)
R11,
R14
Casi Seguro (5) R2
 Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se
indica las acciones que pueden realizarse para el tratamiento de los riesgos de
acuerdo a la siguiente tabla donde se indica por cada color, el tratamiento que se
puede aplicar en cada caso.

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
 CONCLUSIONES

Comprendimos que las herramientas existentes para diagnosticar

vulnerabilidades, amenazas y riesgos en las compañías o empresas que se
dedican a cualquier tipo de ejercicio comercial, permiten salvaguardar los
intereses y la continuidad de cada una de ellas.

Reconocemos que la Auditoria de Sistemas permite tener una visión clara de

lo que realmente sucede en una empresa, ya que brinda un diagnostico completo
para determinar a qué se debe preparar la empresa y lo que debe aplicar para
evitar inconsistencias a futuro.
 BIBLIOGRAFIA
Solarte Solarte, F. (07,01,2019). Metodología de Auditoría - Fases y
Resultados. [Archivo de video]. Recuperado
de: http://hdl.handle.net/10596/23476

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de:

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

Gómez, V. Á. (2014). Auditoría de seguridad informática. (pp. 15 -

40).Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=14
&docID=3229127&tm=1543339301803