UNIDAD 2

AUDITORÍA INFORMÁTICA

FASE 3 - PLANEACIÓN Y EJECUCIÓN AUDITORÍA

ACTIVIDAD INDIVIDUAL

MARIO ANDRÉS RODRÍGUEZ VERGARA

CÓDIGO: 1065609164

AUDITORIA DE SISTEMAS
GRUPO N. 90168_4

WILLIAM ORLANDO VARGAS

TUTOR DEL CURSO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

OCTUBRE DE 2018
VALLEDUPAR
Teniendo en cuenta que la auditoria se realizará con el estándar COBIT, los
siguientes son los dominios, procesos y objetivos que se aplicaran en la auditoria.

Dominio: PLANEAR Y ORGANIZAR (PO)

A. PO1 Definir un plan estratégico de TI
 PO1.2 Alineación de TI con el Negocio
 PO1.3 Evaluación del Desempeño y la Capacidad Actual
 PO1.4 Plan Estratégico de TI
B. PO3 Determinar la dirección tecnológica
 PO3.1 Planeación de la Dirección Tecnológica
 PO3.2 Plan de Infraestructura Tecnológica
C. PO4 Definir los procesos, organización y relaciones de la TI
 PO4.4 Ubicación Organizacional de la Función de TI
 PO4.5 Estructura Organizacional
 PO4.6 Establecimiento de Roles y Responsabilidades
 PO4.12 Personal de TI
 PO4.14 Políticas y Procedimientos para Personal Contratado
 PO4.15 Relaciones
D. PO9 Evaluar y administrar los riesgos de TI
 PO9.3 Identificación de Eventos
 PO9.4 Evaluación de Riesgos de TI
 PO9.5 Respuesta a los Riesgos

Dominio: ADQUIRIR E IMPLEMENTAR (AI)

A. AI2 Adquirir y mantener software aplicativo
 AI2.4 Seguridad y Disponibilidad de las Aplicaciones
 AI2.5 Configuración e Implantación de Software Aplicativo
Adquirido
 AI2.7 Desarrollo de Software Aplicativo
 AI2.10 Mantenimiento de Software Aplicativo
B. AI3 Adquirir y mantener infraestructura tecnológica
 AI3.1 Plan de Adquisición de Infraestructura Tecnológica
 AI3.3 Mantenimiento de la Infraestructura
Dominio: ENTREGAR Y DAR SOPORTE (DS)
A. DS5 Garantizar la seguridad de los sistemas
 DS5.2 Plan de Seguridad de TI
 DS5.4 Administración de Cuentas del Usuario
 DS5.9 Prevención, Detección y Corrección de Software Malicioso
 DS5.10 Seguridad de la Red
B. DS7 Educar y entrenar a los usuarios
 DS7.1 Identificación de Necesidades de Entrenamiento y
Educación
 DS7.2 Impartición de Entrenamiento y Educación
Dominio: MONITOREAR Y EVALUAR (ME)
A. ME1 Monitorear y Evaluar el Desempeño de TI / Monitorear los procesos
 ME1.4 Evaluación del Desempeño
 ME1.6 Acciones Correctivas

Esta información es el resultado de entrevistas, encuestas, observaciones y listas

e chequeo. Con el soporte de la guía y las directrices propuestas en el COBIT
para realizar la auditoria.

PLANEAR Y ORGANIZAR (PO)

Las políticas y procedimientos de negocios de la función de servicios de
información siguen un enfoque de planeación estructurado. Se ha establecido una
metodología para formular y modificar los planes y que cubre, como mínimo:

 Misión y las metas de la organización

 Iniciativas de tecnología de información para soportar la misión y las metas
de la organización
 Inversión óptima de las inversiones en tecnología de información actuales
y futuras
 TABLA DE EVALUACIÓN
La siguiente tabla proporciona un resumen de los dominios y procesos de COBIT,
además de cómo están evaluados, y sobretodo no ayudará a conocer cuáles son
los procesos aplicables a nuestra auditoria.

Confidencialidad

Disponibilidad
Cumplimento

Instalaciones
Confiabilidad
Aplicaciones
Información
Efectividad

Integridad
Eficiencia

Personas
Dominio

Proceso

Definir un plan
PO1 estratégico de P S - - - - - √ √ √ √
TI

Evaluar y
PO9 administrar los P - - - - - S √ √ √ √
riesgos de TI

PREGUNTAS DE LA ENCUESTA Y ENTREVISTA.

1 ¿Existe dentro de la empresa un área de sistema?

2 ¿Se ha nombrado un jefe para esta área?
3 ¿Está identificada dicha área dentro del organigrama de la empresa?
4 ¿Aparte se tiene un organigrama específico de dicha área?
5 ¿Existe un manual de organización y funciones de dicha área, el personal lo conoce?

6 ¿Cada integrante del área de sistema tiene funciones específicas?

7 ¿Los gerentes y otros funcionarios de nivel superior pueden dar órdenes directas a cualquier
empleado del área de informática?

8 ¿Cada empleado del área de informática es especialista en aspectos distintos de programación?

ASPECTOS RELACIONADOS AL HARDWARE

9 ¿En alguna ocasión se ha extraviado algún periférico de una computadora?
10 ¿Si hay vigilante, ¿Revisa éste que los empleados no lleven artículos que no son de su propiedad?
11 ¿En alguna ocasión le han quemado discos o guardada información en los equipos de la entidad?
12 ¿Cada componente de su computadora y periféricos tiene la numeración respectiva del inventario?
ASPECTOS RELACIONADOS AL SOFTWARE
13 ¿Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya
comprado las licencias correspondientes?
14 ¿Los empleados pueden utilizar el equipo informático de la entidad para elaborar documentos o diseños para
uso personal?
15 ¿Hay una persona nombrada como responsable de resguardar el software comprado por la
empresa?
16 ¿El software comprado por la entidad le facilita su trabajo?

17 ¿Los programas antes mencionados son justo lo que necesita para sus actividades laborales?

18 ¿Existen programas diseñados y elaborados por el área de informática, con los procedimientos
específicos para las actividades que la entidad desarrolla?

19 ¿Para el resguardo de los diversos discos de programas, se tiene un archivo adecuado?

20 ¿El software comprado por la entidad le facilita su trabajo?

21 ¿Los programas antes mencionados son justo lo que necesita para sus actividades laborales?
22 ¿Existen programas diseñados y elaborados por el área de informática, con los procedimientos específicos
para las actividades que la entidad desarrolla?
23 ¿Las capacitaciones recibidas, a que aspectos han sido enfocadas?
24 ¿Se ha capacitado en su momento a los usuarios de los sistemas informáticos?

ASPECTOS RELACIONADOS A LA SEGURIDAD

25 ¿Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los
computadores?

26 ¿Le han dado clave para ingresar al sistema?

27 ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que
tiene dentro de la empresa?
28 ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado?
29 ¿El acceso a Internet es para todos los empleados?

30 ¿Existe un plan estratégico informático

31 ¿Se realiza un presupuesto y se lo asigna a la unidad informática

32 ¿Con que tipo de seguridades físicas y lógicas cuenta la información de la empresa

33 ¿Existe capacitación de los usuarios de los sistemas informáticos

34 ¿Hay mantenimiento de software y hardware

35 ¿Qué piensa del funcionamiento de los sistemas informáticos

36 ¿Existe planes de contingencia para el área informática

37 ¿Cuáles son los riesgos que han identificado y como se los mitiga

38 ¿Cómo se realiza la adquisición de la infraestructura tecnológica?

39 ¿La computadora que utiliza funciona?

40 ¿Cuánto tiempo ha perdido en el último año por fallas de hardware?
41 ¿Qué actividades tiene permitidas en su oficina?

42 ¿Cuántas veces ha recibido su computadora un mantenimiento preventivo?

43 ¿La red está siempre disponible?

 Objetivos de Control Pruebas realizadas
PO1.2 Alineación de TI con el Entrevista al director de TI.
Negocio
Entrevista a un auxiliar
administrativo del hospital.
PO1.3 Evaluación del Entrevista al director de TI.
Desempeño y la Capacidad
Actual Entrevista a un médico del
hospital.
Entrevista a un auxiliar
administrativo del hospital.
PO1.4 Plan Estratégico de TI Entrevista al director de TI.
Entrevista a un empleado de
soporte técnico.
Documentos de respaldo
Orgánico Funcional del área de TI.
Presentación del sistema
seguridad y del software dinámica
gerencial.
Orgánico Funcional del Hospital
Rosario Pumarejo de López
Orgánico Funcional del Hospital
Rosario Pumarejo de López.
Orgánico Funcional del área de TI.
Resultados de la evaluación
 El área de TI está en proceso de
de adaptación y actualización de algunos
procesos directamente alineados con la
actividad económica y con las políticas y
normativas vigentes.
 El área de TI está aportando con
herramientas que facilitan procesos de
la actividad económica del hospital.
 El área de TI está identificada como el
área que cumple su trabajo
adecuadamente según las entrevistas.
 Se tiene un déficit de personal para
cubrir con todas las tareas que el
hospital demanda.
 No se tiene una metodología para
resolver problemas dentro del hospital.
No existe un plan estratégico informático dentro
del hospital.
 Dominio: Planear y Organizar

HOSPITAL ROSARIO PUMAREJO DE LÓPEZ

Proceso: PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI

Niveles de los Modelos de Madurez Cumple Observaciones
SI No
Nivel 0

No se lleva a cabo la planeación estratégica de TI. No existe

conciencia por parte de la gerencia de que la planeación √ Grado de Madurez
estratégica de TI es requerida para dar
El proceso de definir un plan
soporte a las metas del negocio.
estratégico de TI se
La gerencia de TI conoce la necesidad de una planeación encuentra en un nivel 2.
estratégica de TI. La planeación de TI se realiza según se
necesite como respuesta a un requerimiento de negocio
Objetivos no Cumplidos
específico. La planeación estratégica de TI se discute de forma
ocasional en las reuniones de la gerencia de TI. La alineación
Nivel 1

√ En el Hospital rosario
de los requerimientos de las aplicaciones y tecnología del
Pumarejo de López” no se
negocio se lleva a cabo de modo reactivo en lugar de hacerlo por
ha establecido un plan
medio de una estrategia organizacional. La posición de riesgo
estratégico consistente
estratégico se identifica de
para la unidad de TI que
manera informal proyecto por proyecto. permita tener las políticas
actualizadas y que cubra
La planeación estratégica de TI se comparte con la gerencia todas las necesidades
del negocio según se necesite. La actualización de los requeridas por las normas
planes de TI ocurre como respuesta a las solicitudes de la políticas.
dirección. Las decisiones estratégicas se toman proyecto
Nivel 2

por proyecto, sin ser consistentes con una estrategia global √

de la organización. Los riesgos y beneficios al usuario,
resultado de decisiones estratégicas
importantes se reconocen de forma intuitiva.

Una política define cómo y cuándo realizar la planeación

estratégica de TI. La planeación estratégica de TI sigue un
enfoque estructurado, el cual se documenta y se da a
conocer a todo el equipo. El proceso de planeación de TI
es razonablemente sólido y garantiza que es factible realizar
Nivel 3

una planeación adecuada. Sin embargo, se otorga

discrecionalidad a gerentes individuales específicos con
respecto a la implantación del proceso, y no existen √
procedimientos para analizar el proceso. La estrategia
general de TI incluye una
definición consistente de los riesgos que la
organización esta dispuesta a tomar
COBIT plantea para el PO1 la necesidad de cumplir los requisitos
con los siguientes objetivos de control:

1. TI como parte del Método a corto y largo plazo

2. Plan a largo plazo de TI - Enfoque y Estructura
3. Permutaciones al Plan a largo plazo de TI
4. Planeación a corto plazo para la Función de Servicios de Información
5. Comunicación de los planes de TI
6. Monitoreo y evaluación de los planes de TI.
7. Evaluación de los sistemas

El PO1 debería tener algunos cambios para que pueda ascender a

un nivel de madurez de 3, para lo cual se deberían manejar
habilidades a corto y largo plazo de acuerdo a la metodología de
COBIT, se recomiendan las siguientes:

 Definir un plan estratégico a corto plazo que se ajuste

Estrategias a directamente con la línea del negocio, para con ello se logre una correcta
estrategia dentro del área de TI.
corto plazo
 Una vez creado el plan estratégico para la unidad de TI, se debe
comenzar a identificar los riegos a los cuales está sujeta la unidad dentro
de la ESE.
 Se recomienda, que, una vez creado este plan, se formalice las
decisiones a todos los funcionarios del hospital, para que estos conozcan
cuales son las
responsabilidades que tiene la unidad de TI.
 Crear un plan estratégico a largo plazo, en donde se consideren
Estrategias a los objetivos del negocio, la definición del área de TI y su ubicación dentro
del hospital y se tome en cuenta las soluciones tecnológicas que el área
largo plazo tenga que plantear.
 Se recomienda tener una comunicación más directa con la
dirección y gerencia del hospital, ya que sesto permitirá un mejor control
y monitoreo de los planes y acciones de la unidad de TI. Al igual que
manejar una política clara dentro del plan estratégico para la unidad.
 PO9 ANÁLISIS DE RIESGOS

Gracias a la existencia del marco referencial para la evaluación sistemática de

riesgos, se incorporan los riesgos de información relevantes para el logro de los
objetivos de la organización y formando una base para determinar el modelo en
la que los riesgos deben ser manejados a un nivel aceptable y los objetivos de
toda la organización están incluidos en el proceso de identificación de riesgos.
 Objetivos de Control Pruebas realizadas Documentos de respaldo Resultados de la evaluación

PO9.3 Identificación de Entrevista a un empleado del área No existen documentos en donde se Los riesgos de área de TI son
Eventos de TI. identifiquen los riesgos del área de identificados de manera reactiva,
TI. primero suceden para saber que se
Entrevista a un auxiliar
debe realizar para corregirlos.
administrativo del hospital.

PO9.4 Evaluación de Riesgos de TI Entrevista al director de TI. No existen documentos en donde se No se evalúan los riesgos, solo se
evalúen los riesgos del área de TI. intenta mitigarlos.

No se evalúa el impacto de los

riegos.

PO9.5 Respuesta a los Entrevista a un empleado del área No existen documentos en donde se Las respuestas a los riesgos son
Riesgos de TI. propongan las respuestas a los reactivas y de ser posible
riesgos del área de TI. inmediatas, pero no están
Entrevista a un auxiliar administrativo
del hospital. programadas por lo que resultan e
algunas ocasiones ineficientes.
 Dominio: Planeación y Organización

HOSPITAL ROSARIO PUMAREJO DE LÓPEZ

Proceso: PO9 EVALUACIÓN / ANÁLISIS DE RIESGOS

Niveles de los Modelos de Madurez CUMPLE

SI NO
Observaciones

La evaluación de riesgos para los procesos y las decisiones

de negocio no ocurre. La organización no toma en cuenta los
impactos en el negocio asociados a las vulnerabilidades de
seguridad y a las incertidumbres del desarrollo de √
proyectos. La administración de riesgos no se ha identificado
como algo relevante para adquirir soluciones de TI y para
Nivel 0

prestar servicios de TI.

Grado de Madurez.

El proceso de evaluación
/ Análisis de riesgos se
encuentra en un nivel 0.

Objetivos no Cumplidos
Los riesgos de TI se toman en cuenta de manera ad hoc. Se El área de TI del Hospital
realizan evaluaciones informales de riesgos según lo Rosario Pumarejo de
determine cada proyecto. En algunas ocasiones se López no toma en cuenta
identifican evaluaciones de riesgos en un plan de proyectos, los riesgos, ni los evalúa o
pero se asignan rara vez a gerentes específicos. Los genera planes de respuesta
riesgos específicos relacionados con TI tales como a los mismos.
seguridad, disponibilidad e integridad se toman en cuenta
ocasionalmente proyecto por proyecto. Los riesgos relativos a √
Nivel 1

TI que afectan las operaciones del día a día, son rara vez
discutidas en reuniones gerenciales. Cuando se toman en
cuenta los riesgos, la mitigación es inconsistente. Existe un
entendimiento emergente de que los riesgos de TI son
importantes y necesitan
ser considerados.

Existe un enfoque de evaluación de riesgos en desarrollo y

se implementa a discreción de los gerentes de proyecto. La
administración de riesgos se da por lo general a alto nivel y
Nivel 2

típicamente se aplica solo a proyectos grandes o como

respuesta a problemas. Los procesos de mitigación de
riesgos están empezando a ser implementados donde se
Identifican riesgos.
El COBIT plantea para el PO9 la necesidad de cumplir con los siguientes
objetivos de control.

1. Evaluación del Riesgo del Negocio

2. Enfoque de Evaluación de Riesgos
3. Identificación de Riesgos
4. Medición de Riesgos
5. Plan de Acción contra Riesgos
6. Aceptación de Riesgos
7. Selección de seguridades o salvaguardas
8. Compromiso con el análisis o evaluación de riesgos

El PO9 debería tener algunos cambios para que pueda ascender a un nivel
de madurez de 1, para lo cual se deberían manejar estrategias a corto y
largo plazo de acuerdo a la metodología de COBIT, se recomiendan las
siguientes:

 Identificar los riegos generales y los específicos de

Estrategias a cada proyecto existentes dentro de área de TI.
corto plazo  Realizar una evaluación de todos los riesgos que estén
presentes, asignando el control de cada uno de ellos a los
responsables del servicio.
 Realizar una evaluación de los impactos de riesgos y
como afectarían al normal funcionamiento de hospital.
 Crear planes de contingencia para sanear estos
riegos, y evitar que la continuidad del negocio se vea
afectada.
  Crear planes de acción a largo plazo para sanear los
Estrategias a riegos con la menor afección en cuanto a costo y tiempo
largo plazo posible.
 Crear un comité que se encargue de dar seguimiento
y controlar los riesgos que puedan aparecer dentro del área
de TI.
 Crear balance entre las medidas de detección,
prevención, corrección y recuperación utilizadas
 Supervisar las acciones realizadas por los empleados
para disminuir la cantidad de incidentes generados.
RIESGOS INICIALES:
1. Propagación de virus en todos los equipos de Clientes finales.
2. Incompatibilidad para poner a correr sistema y errores al visualizar información.
3. El programa dinámica gerencial está desactualizado en el componente de
homologación de códigos CUPS a SOAT.
4. Perdida de información por falla de Hardware.
5. Divulgación de información o pérdida de esta.
6. Retraso en llegada de información.
7. Red inalámbrica expuesta al acceso no autorizado
8. Comunicaciones inestables.
9. Perdida de datos por error de usuario.
10. Personal externo o interno de la empresa se podría llevar algún equipo.
11. Perdida de información.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
1. Las fallas se corrigen a largo plazo
2. Demoras en las reparaciones
3. Los funcionarios no conocen el manual de funciones
4. A veces no se les informa de la fecha de mantenimiento de
equipos.
5. La red eléctrica no es segura por falta de ups y reguladores.

Valoración de riesgo. Teniendo en cuenta los riesgos encontrados, se realiza la

valoración de los riesgos teniendo en cuenta la probabilidad de ocurrencia y el impacto
del riesgo dentro de lo que es Hardware de Comunicaciones, Servidores, equipos de
Cómputo e Indicadores de funcionamiento del Hospital Rosario Pumarejo de López. En
la siguiente tabla se unen los riesgos, de acuerdo al caso de estudio del proyecto, se
valora los riesgos y se clasifican dentro de los dominios a los cuales corresponda según
previo análisis, quedando definidos los riesgos así:
 PROBAB IMPACTO DOMI

N. RIE
RIESGO ILIDAD NIO

SGO
B M A B M A
R1 Los funcionarios no conocen el manual de
funciones X X

R2 Propagación de virus en todos los equipos de

Clientes finales. X X (PO9)

R3 Incompatibilidad para poner a correr sistema y

errores al visualizar información. X X (PO9)

R4 El programa dinámica gerencial está

desactualizado en el componente de X X (PO9 )
homologación de códigos CUPS a SOAT.

R5 Perdida de información por falla de Hardware.

X X (PO9 )

R6
Divulgación de información o pérdida de esta. X X (PO9)

R7 Red inalámbrica expuesta al acceso no

autorizado X X (PO9)

R8 Perdida de datos por error de usuario.

X X (PO9 )
Mantenimiento de equipos de cómputo,
Servidores, equipos de comunicación y
red eléctrica.
R9 La red eléctrica no es segura por falta de (PO9)
ups y reguladores. X X

R10 Demoras en las reparaciones

X X (PO9)
R11 A veces no se les informa de la fecha de
mantenimiento de equipos. X X (PO9)

Posteriormente y de acuerdo a las normas aplicadas se construye las escalas de

medición del impacto y la probabilidad de ocurrencia de los riesgos.
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS
Los riesgos encontrados durante la aplicación de la auditoria a través de visitas,
cuestionarios y entrevistas, se aplican dentro de la matriz de probabilidad e impacto
donde se clasifican los riesgos de menor y mayor probabilidad e impacto, dando
como resultado el siguiente:

Impacto

BAJO MEDIO ALTO

ALTO
Probabilidad

R2, R4, R5,

R8, R9

MEDIO
R6, R7, R10

BAJO
R1, R11 R3

De acuerdo al resultado mostrados en el cuadro anterior se toman los riesgos

moderados (color amarillo) y riesgos altos (color rojo) como hallazgos encontrados
durante la auditoria, por ser los de mayor probabilidad de ocurrencia y mayor
impacto, los riesgos de color verde por ser de menor riesgo serán tomados como
recomendaciones.
BIBLIOGRAFÍA

Del Hierro Cadena, Pablo Fernando (2012)

Auditoría del sistema informático del hospital del sur "Enrique Garcés" Trujillo
Bazante, Freddy Mauricio Recuperado de
http://bibdigital.epn.edu.ec/bitstream/15000/4484/1/CD-4095.pdf

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (pp. 31-67). Recuperado de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%
C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

dehttp://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx