Professional Documents
Culture Documents
OBJETIVOS
Objetivo General
Ejecutar los planes de accin definidos en la fase anterior para la empresa Procesos &
Canje S.A mitigando las amenazas y riegos hallados.
Objetivos especficos
Aplicar el estndar CobIT en el diseo y estructura de la Auditoria Informtica en la
empresa Procesos & Canje S.A.
Aplicar los dominios y procesos del estndar CobIT
Ejecutar y dar solucin a los riesgos y amenazas detectados en la compaa de
acuerdo al tratamiento de riesgo definido para cada falla encontrada.
Presentar los resultados de la Auditoria Informtica para la empresa elegida,
formulando las recomendaciones y sugerencias para la mitigacin de riesgos.
Nivel
5
4
3
2
1
Rango
Catastrfic
o
Mayor
Moderado
Menor
Insignifican
te
RANGO
RIESGO
CATASTROFI
CO
R5
CATASTROFI
CO
R3
CATASTROFI
CO
R2
MODERADO
R1
MENOR
R4
DESCRIPCION
Ataques de intromisin
e ingeniera social , robo
o eliminacin de
informacin, no hay
sistema de deteccin de
intrusos.
Dao en equipos,
indisponibilidad en el
sistema y prdida de
informacin.
Prdida, modificacin,
robo de informacin.
No existe proceso de
revisin de contrasea.
Perdida de informacin,
debida a dao de las
cintas de Backus.
Vulnerabilidad
Amenazas
Riesgo
Categora
COBIT # 1
Descripcin del
proceso
Proceso
Planear y
Organizar
Descripcin
Probabilidad
Baj Medi Alt
a
a
a
X
R4
R11
No hay firewall
para manejo de
acceso de envi de
informacin de
interfaces desde
fuera de la Red de
la compaa, desde
Internet.
Acceso
indebido a la
Red de la
compaa
externamente a
travs de Pertas
traseras
asequibles,
Lev
e
Impacto
Moderad
Catastrfico
o
X
Corromper datos,
archivos y hasta el
S.O.
Definir la arquitectura de la
informacin
Seguridad
lgica
PO2
Manipulacin
fsica por parte de
todos los
funcionarios.
Seguridad
fsica
N/A
X
El personal no
cuenta con las
actitudes y
aptitudes
requeridas para
hacer uso de la
informacin por
medio de los
sistemas de
informacin,
X
perdida de
informacin,
retraso en los
procesos.
N/A
X
Administrar los Recursos
Humanos
X
X
Manejo y
control de
personal
PO7
X y entrenamiento
La contratacin
del personal, la motivacin por
medio de planes de carrera claros,
la asignacin de los roles que
X
correspondan a las habilidades, el
establecimiento de procesos de
revisin definidos, la creacin de
X
descripcin de puestos y el
aseguramiento de la conciencia de
la
dependencia
sobre
los
individuos.
X
Dao
en
los
equipos,
indisponibilidad
de algn sistema,
perdida
de
informacin por
causa de virus
Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.
Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.
Seguridad
Red
Seguridad
Red
PO2
PO2
PO2
Seguridad
Red
Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos
Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos
Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
MODERADO
ALTO
R10-R11-R12
MEDIO
BAJO
R4-R9
R15
Riesgo
Controlarlo
R8
Controlarlo
Transferirlo
Aceptarlo
R11
R12
R13
R15
RIESG
O
R9
Tratamiento
R10
R8
Descripcin Riesgo
R8-R13
R4
R9
R4
CATASTROFICO
RIESGOS o
HALLAZGOS
ENCONTRADO
S
No existen contraseas de
acceso a los equipos
Falta de conocimiento de
los usuarios en el manejo
de
herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se
han
realizado
capacitaciones
a
los
usuarios
para
concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a
Internet, no se tienen
grupos de acceso ni
restricciones
a
sitios
TIPO DE
CONTROL
CORRECTIVO
Controlarlo
Transferirlo
Transferirlo
Controlarlo
SOLUCIONES O CONTROLES
R15
potencialmente peligrosos.
No existe directriz para el
adecuado
manejo
de
dispositivos
de
almacenamiento
CORRECTIVO
IMPACTO
L
Seguridad Lgica
R1
R2
R3
R4
No
existe
proceso
de
revisin
de
contraseas
Modificacin no autorizada de informacin o
retrasos en la operacin, por actualizaciones
no
aprobadas
y/o
desarrolladas
debidamente
Ataques de intromisin e ingeniera social y
robo o eliminacin de informacin Falta de
Sistema Deteccin de Intrusiones
Corromper datos, archivos y hasta el S.O.
Software
R5
Seguridad fsica
R6
X
X
Seguridad de red
R9
R10
R11
Hardware
R12
R13
R14
R15
PROBABILIDAD
A: Alta
M: Media
B: Baja
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
R9
R13
R14
R9
MODERADO
CATASTROFICO
R14
R3
R7
R8
Descripcin Riesgo
Tratamiento Riesgo
Controlarlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
Transferirlo
RIESGOS o
HALLAZGOS
ENCONTRADOS
TIPO DE
CONTROL
CORRECTIV
O
y PREVENTIV
O
No existe proceso de
revisin de contraseas
Perdida, modificacin
robo de informacin
DETECTIVO,
PREVENTIV
O
DETECTIVO,
PREVENTIV
O
SOLUCIONES O CONTROLES
Controlar el acceso a travs de
algoritmos de control y bloqueo.
Elaborar
polticas
de
administracin y organizacin de
la informacin, en coordinacin
con el Ingeniero Jefe del rea y
con asesora de personal experto
en el manejo de servidores y
seguridad.
Seguimiento
que
permita
identificar la situaciones problema
y estudio de las soluciones que
minimicen la ocurrencia
Establecer
un
plan
de
capacitacin enfocado en las
falencias detectadas, para lo cual
se hace necesario la identificacin
de las reas temticas a reforzar.
REF
HALLAZGO
001
PROCESO AUDITADO
RESPONSABLE
PGINA
1
DE
MATERIAL DE SOPORTE
DS7 Educar y Entrenar a los Usuarios: se requiere identificar las necesidades de entrenamiento de
los usuarios, definir y ejecutar la estrategia de entrenamiento y medir sus resultados.
DS12 Administracin del Ambiente Fsico: definicin de los requerimientos fsicos del centro de
datos, seleccin y diseo de proceso para monitorear factores ambientales y administrar el acceso
fsico.
DOMINIO
PROCESO
DESCRIPCIN:
Se evidencia falta de planeacin en aspectos formativos, as como en la distribucin de los espacios requeridos para el
adecuado funcionamiento del Centro de Cmputo. Es necesario tomar medidas para restringir el acceso al Centro de
Cmputo, a personal no autorizado y as evitar los riesgos descritos; se requiere mejorar la disposicin de archivo, evitando la
aglomeracin de cajas en puestos de trabajo y pasillos.
REF_PT:
-
CONSECUENCIAS:
-
RIESGO:
R3 Retraso en los procesos
Probabilidad de ocurrencia=50%
Impacto segn relevancia del proceso=Medio
R4 Dao en los equipos
Probabilidad de ocurrencia=50%
Impacto segn relevancia del proceso=Medio
R1-El personal no cuenta con la aptitud y actitud requerida, para hacer uso de la informacin por medio de los sistemas de
informacin
Probabilidad de ocurrencia=20%
Impacto segn relevancia del proceso=Bajo
RECOMENDACIONES:
Desarrollar un plan de capacitacin a bajo coste que permita atender los hallazgos y minimizar los riesgos.
Presupuestas a mediano plazo la ampliacin del Centro de cmputo o en su defecto realizar las inversiones
necesarias para mejorar las condiciones ambientales, especialmente en lo relacionado con el sistema de ventilacin
del rea.
Implementas medidas de control de acceso al rea, las cuales pueden darse a bajo costo y en el corto plazo.
Exigir el cumplimiento de los procesos en Gestin Documental, descritos en las polticas inherentes al tema.
IMPACTO
L
Hardware
R12
R13
R14
R15
R9
R10
R11
R6
R5
X
X
X
X
X
X
R1
R3
R4
R2
R7
R8
PROBABILIDAD
A: Alta
M: Media
B: Baja
X
X
X
X
X
X
X
X
X
X
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
MODERADO
ALTO
MEDIO
BAJO
CATASTROFICO
R3,R11,R12
R2
R1,R4,R5,R7,R9,R10
R14,R15
R6,R8,R13
Descripcin Riesgo
No existe directivas de contraseas para las cuentas de
usuario
No existen en algunos equipos el sistema operativo
licenciado.
Falta de controles en la seguridad del sistema informtico
(sobre usuarios, perfiles, permisos)
No existen contraseas de acceso a los equipos
Servidores y estaciones de trabajo sin actualizaciones de
seguridad en los sistemas operativos
No se cuenta con control fsico de verificacin de
Tratamiento Riesgo
Transferirlo
Aceptarlo
Controlarlo
Transferirlo
Transferirlo
Controlarlo
R7
R8
R9
R10
R11
R12
R13
R14
R15
Transferirlo
Controlarlo
Transferirlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
TIPO DE
CONTROL
PREVENTIVO/
CORRECTIVO
CORRECTIVO
SOLUCIONES O CONTROLES
Elaborar polticas de administracin y
organizacin de la informacin, lo cual se
podra realizar a travs de la contratacin de un
ingeniero de sistemas con experiencia en
manejo de servidores y seguridad para la
realizacin de esta labor.
Control en el manejo de la informacin
analizando el alcance que debe tener cada
empleado para poder cumplir con el desarrollo
de sus labores.
CORRECTIVO
DETECTIVO
informacin de interfaces
desde fuera de la Red de la
compaa, desde Internet.
No se cuenta con equipos de
Contingencias de para sus
sistemas
de
informacin
principales (DRP)
Disponibilidad y continuidad
inmediata de sus sistemas en
lo que se refiere a fallas de
hardware, al no contar con
redundancia en sus equipos.
PREVENTIVO
CORRECTIVO
HHDN_O1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO
Planear
(PO)
Organizar
PROCESO
PGINA
1
DE
Definir
un
plan
estratgico de TI
(PO1)
DESCRIPCIN:
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red
de datos ni los procedimientos que se realizaran por parte de los funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
RIESGO:
100
Probabilidad de ocurrencia:
RECOMENDACIONES:
CONCLUSIONES
VULNERABILIDADES ENCONTRADAS
RICARDO RODRIGUEZ SUAREZ
N
Vulnerabilidad
Amenazas
No existe directivas de
contraseas para las
cuentas de usuario
Accesos no autorizados
Riesgo
No existe proceso de
revisin de
contraseas
Modificacin no
autorizada de
informacin, o
Separacin de ambientes
Perdida de informacin,
retrasos en la
de las aplicaciones, test,
segregacin de
operacin, por
desarrollo y produccin
funciones indebida
actualizaciones no
probadas y/o
desarrolladas
debidamente.
Ataques de
intromisin e
Capacidad para
Falta de controles en la
ingeniera social y
modificar, cambiar o
seguridad del sistema
robo o eliminacin
eliminar la
informtico (sobre usuarios,
de informacin Falta
configuracin del S.O y
perfiles, permisos)
de Sistema
Aplicaciones
Deteccin de
Intrusiones
Control de acceso.
Cambio, modificacin o
Corromper datos,
No existen contraseas de
robo de informacin de
archivos y hasta el
acceso a los equipos
los archivos en la
S.O.
computadora
Servidores y estaciones de
Mal funcionamiento de
Perdida,
trabajo sin actualizaciones
los equipos y errores de modificacin y robo
de seguridad en los
procesamiento.
de informacin
sistemas operativos
No se cuenta con control
Manipulacin fsica
fsico de verificacin de
cambio de los
por parte de todos
documentos (cheques,
documentos fsicos
los funcionarios.
formularios de pensiones).
Ingreso no autorizado Dao en los equipos,
de personal al centro
indisponibilidad de
Acceso no controlado al
de cmputo. Acceso
algn sistema,
centro de computo
fsico a los recursos del
perdida de
sistema
informacin
Categora
Seguridad
lgica
Seguridad
lgica
Seguridad
lgica
Seguridad
lgica
Software
Seguridad
fsica
Manejo y
control de
personal
1
0
1
1
1
2
1
3
1
4
1
5
El personal no
cuenta con las
actitudes y aptitudes
Errores de usuario,
requeridas para
dao accidental de
hacer uso de la
equipos y aplicaciones,
informacin por
uso indebido de los
medio de los
sistemas de
sistemas de
informacin de la
informacin, perdida
compaa
de informacin,
retraso en los
procesos.
Dao en los equipos,
Acceso no contralado a
Ingeniera social y uso
indisponibilidad de
Internet, no se tienen
indebido de los
algn sistema,
grupos de acceso ni
sistemas de
perdida de
restricciones a sitios
informacin.
informacin por
potencialmente peligrosos.
causa de virus
Los usuarios finales
Acceso indebido a la
pueden ver en su red
informacin, prdida
No hay segmentacin
los servidores de
y robo de
adecuada de la red
aplicaciones y Bases de
informacin
Datos
confidencial.
Acceso indebido a la
Red de la compaa
No hay firewall para manejo
Acceso indebido a la
desde fuera de la red
de acceso de envi de
informacin, prdida
corporativa. Pertas
informacin de interfaces
y robo de
traseras asequibles,
desde fuera de la Red de la
informacin
fallas en la instalacin
compaa, desde Internet.
confidencial.
de accesorios de
comunicacin
No tener continuidad
No contar con equipos de
de la operacin, ante
Perdida de
Contingencias de para sus
desastres naturales o
informacin y
sistemas de informacin
eventualidades locales
clientes
principales (DRP)
de orden pblico.
Disponibilidad y continuidad
Cadas de servidores,
Perdida de
inmediata de sus sistemas
donde la recuperacin informacin y Dinero
en lo que se refiere a fallas
lleve ms de 4 horas o
por el retraso en el
de hardware, al no contar
pasen das antes de
procesamiento de
con redundancia en sus
recuperarse.
informacin
equipos.
Control inadecuado de
cintas de backups, no se
Perdida de
sacan externamente las
No poder restaurar
informacin, debida
cintas, solo se almacenan
informacin
a dao de las cintas
internamente y solo en una
de backups.
copia sin duplicidad.
No existe directriz para el
Introduccin de
Alteracin o prdida
adecuado manejo de
informacin falsa, virus,
de la informacin
dispositivos de
troyanos, informacin
registrada en base
almacenamiento
corrupta
de datos o equipos
Falta de conocimiento de
los usuarios en el manejo
de herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
seguridad de los datos.
Manejo y
control de
personal
Seguridad
Red
Seguridad
Red
Seguridad
Red
Hardware
Hardware
Hardware
Hardware
R1
R2
R3
R4
R5
R6
R7
Descripcin
Probabilidad
Baja Media Alta
Lev
e
X
X
Impacto
Moderad
Crtico
o
X
X
X
X
X
X
X
X
Descripcin
Probabilidad
Baja Media Alta
Lev
e
Impacto
Moderad
Crtico
o
R1
R2
R3
R4
R5
R6
R7
R8
No
contar
con
redundancia de hardware
en los equipos que alojan
las aplicaciones crticas
del negocio.
No contar con contratos
de soporte de hardware y
software de los equipos
que
alojan
las
aplicaciones crticas.
No contar con planes de
refresh tecnolgico de los
equipos que alojan las
aplicaciones.
No contar con inventario
de hardware y software
de equipos crticos
No contar son sistemas
de monitoreo de los
equipos que alojan las
aplicaciones crticas.
No tener procedimientos
debidamente
documentados de que
hacer en caso de fallas de
hardware y software de
los equipos que alojan las
aplicaciones crticas.
No contar con SLA
adecuados de soporte de
hardware y software de
los equipos que alojan las
aplicaciones crticas.
No contar con planes de
mantenimiento correctivo
y preventivo de los
equipos que alojan las
aplicaciones crticas
X
X
R1
R2
R3
R4
R5
Descripcin
Probabilidad
Baja Media Alta
Lev
e
X
X
X
X
Impacto
Moderad
Crtico
o
X
X
X
X
haca
el
proveedor
externo
de
almacenamiento.
No tener procedimientos
debidamente
documentados de envo y
recepcin de cintas hacia
y desde el proveedor de
almacenamiento externo.
No contar con SLA
adecuados de envo y
recepcin de cintas con el
proveedor
de
almacenamiento externo.
No tener la capacitacin
adecuada para el manejo
y control de envo de
cintas haca el proveedor
de
almacenamiento
externo.
R6
R7
R8
PROBABILIDAD
Alto
61-100%
Medio
31-60%
Bajo
0-30%
R1
R3
R2,R5,R7,R8
R6
R4
Leve
IMPACTO
Moderado
Crtico
VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Continuidad de La operacin, en la parte de DRP El Jefe de Sistemas:
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
X
X
Hardware
R6
R7
PROBABILIDAD
A: Alta
M: Media
B: Baja
X
X
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
MEDIO
BAJO
MODERADO
CATASTROFICO
R1
R3-R4
R2-R6
R7
R5
Descripcin Riesgo
Tratamiento Riesgo
CONTROLARLO
CONTROLARLO
TRASFERIRLO
CONTROLARLO
R5
R6
R7
del negocio.
No capacitar a los usuarios en los planes de
continuidad del negocio.
No contar con sistemas de redundancia de
hardware de equipos crticos.
No contar con inventario de hardware y
software de equipos crticos
ACEPTARLO
CONTROLARLO
ACEPTARLO
CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
ENCONTRADOS
No contar con planes de
continuidad del negocio
TIPO DE
CONTROL
SOLUCIONES O CONTROLES
CORRECTIVO
Elaborar con
el negocio y las
diferentes reas involucradas, una
poltica para la implementacin de los
planes de continuidad del negocio,
donde se evidencia los pasos y
personas responsables de activar
esos planes.
Elaborar la documentacin necesaria,
mediante
el
levantamiento
de
informacin
con
las
reas
involucradas, donde se evidencia
claramente, los planes del DRP y su
puesta en marcha, estos documentos
deben estar en formato electrnico y
debidamente
autorizado
por
la
gerencia de tecnologa.
Elaborar una poltica de SLA con
contratos
de
Soporte
con
los
proveedores de hardware de las
aplicaciones del negocio, apoyas con
el rea legal de la compaa, estos
contratos deben estar avalados por la
direccin de tecnologa y financiera,
se deben guardar los contratos en
formato electrnico y tener control de
su vencimiento para la renovacin.
Adquirir
en
corto
tiempo
la
infraestructura necesaria, para la
implementacin de la redundancia de
los equipos de cmputo, de las
aplicaciones crticas del negocio y su
correspondiente puesta a punto, se
debe validar peridicamente su
correcto funcionamiento.
No
contar
con
documentacin de planes
de
continuidad
del
negocio.
PREVENTIVO
CORRECTIVO
CORRECTIVO
VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Disponibilidad de continuidad inmediata, redundancia de Equipos Principales,
Coordinador de Sistemas:
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
X
X
Hardware
R6
MODERADO
ALTO
CATASTROFICO
R3
MEDIO
BAJO
R2 R4 R5
R1 R6
Descripcin Riesgo
Tratamiento Riesgo
Riesgo
R1
R2
R3
R4
R5
R6
CONTROLARLO
ACEPTARLO
CONTROLADO
ACEPTARLO
ACEPTARLO
TRASFERIRLO
CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
ENCONTRADOS
No contar son sistemas de
monitoreo de los equipos
que alojan las aplicaciones
crticas.
TIPO DE
CONTROL
SOLUCIONES O CONTROLES
CORRECTIVO
Implementar,
los
sistemas
de
hardware y software necesarios, para
el monitoreo de los equipos que
alojen las aplicaciones crticas del
negocio, implementando las alarmas
necesarias, que permitan prevenir
posibles fallas o reaccionar a tiempo
para que la operacin no se detenga
o se detenga lo menos posible
mientras se soluciona los problemas
reportados por las alarmas.
Elaborar desde la gerencias de
tecnologa una poltica de renovacin
tecnolgica de los equipos de
cmputo, que estn involucrados con
las aplicaciones crticas del negocio y
su posterior implementacin en el
corto tiempo, se debe evidenciar con
los contratos o facturas de los
proveedores, adicional se debe tener
un
inventario
de
obsolescencia
tecnolgica de esos equipos.
Elaborar
una
poltica
de
mantenimiento
preventivo
y
correctivo de los equipos que alojan
PREVENTIVO
PREVENTIVO
VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Envo externo de cintas de backup, Coordiandor de Sistemas.
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
R5
X
X
X
X
X
X
R7
Niveles de Servicio
R8
MODERADO
ALTO
R4
R1
MEDIO
R3-R5
R2-R6-R7-R8
CATASTROFICO
BAJO
TRATAMIENTO DEL RIESGO
ID.
Riesgo
R1
R2
R3
R4
R5
R6
R7
R8
Descripcin Riesgo
Tratamiento Riesgo
TRASFERIRLO
CONTROLARLO
ACEPTARLO
CONTROLARLO
ACEPTARLO
CONTROLARLO
CONTROLARLO
CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
TIPO DE
CONTROL
SOLUCIONES O CONTROLES
ENCONTRADOS
No contar con proveedor
de almacenamiento de
cintas de backps externo
PREVENTIVO
CORRECTIVO
PREVENTIVO
CORRECTIVO
No tener la capacitacin
adecuada para el manejo y
control de envo de cintas
haca el proveedor de
almacenamiento externo
PREVENTIVO
No
contar
con
SLA CORRECTIVO
adecuados de envo y
recepcin de cintas con el
proveedor
de
almacenamiento externo.
Elaborar
una
poltica
de
almacenamiento externo de cintras
de
backups,
documentando
los
procedimientos de manera clara y los
responsable, se debe evidenciar con
la
aprobacin
del
director
de
tecnologa y su almacenamiento en
medio electrnico.
Tener un contrato de transporte y
almacenamiento de medios con un
proveedor externos apoyados con la
direccin
de
tecnologa
y
el
departamento
legal,
se
debe
evidenciar con la copia en electrnico
del contrato y el control de su
vencimiento.
Elaborar procedimiento de control de
envo de planillas haca el proveedor
externo, se debe evidenciar con un
kardex y almacenamiento de las
planillas el cual se deber cruzar vs el
inventario
del
proveedor
de
almacenamiento ecterno.
Implementar en el software de
backup, el log que permita llevar un
control electrnico adecuado del
envo y recepcin de las cintas, se
debe
evidenciar
con
el
almacenamiento de los log por Mes.
Elaborar
los
procedimientos
adecuados para el manejo y control
de envo de las cintas al proveedor
externo, esto se debe evidenciar con
una certificacin que deber ser
expedida para los usuarios que
tengan a su cargo este proceso.
Definir en conjunto entre la gerencia
de tecnologa, los adecuados niveles
de servicio para el trasnporte y envo
de medios, esto debe ser evidente en
otro s al contrato principal con el
proveedor externo.
REFERENCIAS
Contabilidad
Negocios,
1(2),
16-20.
Extrado
de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
Modulo
Auditoria
de
sistemashttp://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_
AUDITORIA_GGGG.pdf
lvarez, M., & Rivera, Z. (2006). La auditora como proceso de control: concepto y
tipologa.
(Spanish).
Ciencias
De
La
Informacin,
37(2/3),
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf
53-