AUDITORIA DE SISTEMAS

FASE 2- Planeacin de Auditoria

UNIDAD 1

Presentado a:
FRANCISCO NICOLAS SOLARTE
Tutora

Entregado por:
Francisco Escobar Guerrero
Carlos Eduardo Bastidas
Sthevan Kamilo Naranjo
Jose Danilo Coral

Grupo: 90168_15

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
Septiembre de 2017
Pasto, Nario
 INTRODUCCIN

En el estudio del anlisis y valoracin de riesgos como fundamento para avanzar en el curso de
auditoria de sistemas, resulta necesario para conocer y familiarizarse con algunos conceptos
importantes, que permiten avanzar en el proceso de formacin del estudiante Unadista, es as
que esta primera fase, a travs de la elaboracin de un mapa mental y de la identificacin de
una empresa para auditar, cumple con los objetivos esperados.

La auditora se la puede definir como un proceso sistemtico, independiente y documentado

para obtener evidencias, este proceso realizado dentro de una empresa permite la identificacin
de vulnerabilidades y amenazas que pueden afectar un sistema tecnolgico, sea este hardware
o software, el proceso para realizar una auditora se compone una etapa de conocimiento,
planeacin, donde se realiza un estudio general de la empresa a ser auditada, la ejecucin de
la misma y la entrega de resultados, posteriormente la etapa de planeacin se debe realizar el
cronograma, planeacin de actividades y presupuesto, para que de esta manera se pueda
planificar correctamente el proceso y llevar la auditora a buen trmino.
 Tabla de vulnerabilidades consolidadas

item Vulnerabilidad. Amenaza. Riesgo. CATEGORIA

Instalacin de posible
Activacin de software malware, que exponga
Uso de software no
licenciado mediante la problemas de seguridad y
1 licenciado en la Software
utilizacin de crack y/o acceso a terceros a travs de
empresa
keygen apertura de puertos y/o envi
de informacin sensible
Software
desactualizado o Informacin incompleta Glosas en la prestacin del
Software
versin anterior a la del sistema de facturacin servicio.
2 actual
Uso de software
Posible afectacin en el
innecesario no Daos en SO y perdida de la
rendimiento del
3 permitido para el informacin, causado por Software
computador y posible
funcionamiento de la virus
ingreso de virus al sistema
empresa
prdida o manipulacin de
Fallos de proteccin de la
Falta de proteccin a la informacin, sin
4 informacin contable y Software
servidor de datos posibilidad de seguimiento
operativa de la empresa
o trazabilidad.
Aplicaciones de El no aprovechamiento y
Servicio no disponible o
Software utilizacin del potencial
5 con retrasos por Software
configurado del aplicacin por mal
correcciones.
incorrectamente funcionamiento
Ausencia de
seguridad en Mala conciliacin de
archivos fsicos o cuentas con las eps que Problemas de Facturacin . Software
digitales del sistema contratan el servicio
6 de facturacin .
Choques por virus
informticos que no Perdida de Informacin
7 Mala facturacin Software
consigue eliminar el valiosa
antivirus
Falta de asignacin de algn
No existe control de
nivel de seguridad sobre
8 acceso a la Accesos no autorizados Seguridad lgica
equipos de cmputo con
informacin
informacin sensible.
Ausencia de las Perdida de Archivos
Perdidas econmicas para el Seguridad
9 Backups del sistema necesarios para la eventual
hospital lgica
de facturacin facturacin
Cuentas de usuario que no
Falta de control de Suplantacin de identidad Seguridad
han sido actualizadas por el
cuentas de usuario y libre acceso a los datos lgica
10 nuevo personal
Utilizacin de los activos
Falta de capacitacin Confusin, danos y perdida Seguridad
11 para diligencias no propias
sobre seguridad de informacin corporativa lgica
de la empresa
 informtica y buen
uso de los recursos
No existen Perdida de la informacin No existen planes de
protocolos de por falta de backup contingencia en caso de Seguridad
12
proteccin contra externo a la oficina prdidas de informacin y lgica
desastres naturales principal copias de seguridad.
Falta de capacitacin
por parte del
propietario del
software hacia las Perdidas econmicas en las
Permite que se cometan seguridad
13 personas encargadas conciliaciones de cuentas de
errores de Facturacin lgica
de manejar el la empresa
sistema de
facturacin de la
institucin
Falta de
conocimiento de los
usuarios en el
manejo de
herramientas
computacionales y
en el manejo de los Errores en los procesos de Perdidas econmicas y
sistemas facturacin que adelanta la errores en la atencin del seguridad
informticos ese frente a los servicios paciente como tambin lgica
existentes, no se han que presta. atraso en las consultas
realizado
capacitaciones a los
usuarios para
concientizarlos
sobre la seguridad
14 de los datos.
No existen
procedimientos para la Traslado o cambio de Perdida de informacin al no
15 Seguridad lgica.
administracin de la equipos. conocer su ubicacin exacta.
informacin
Distintos antivirus de Archivos corruptos,
licencia gratuita y sin Ataques de virus informacin encriptada y
16 Seguridad lgica
funcionalidades informticos perdida permanente de
completas informacin.
Ausencia de procesos No se realizan copias de
17 para recuperacin de Remodelaciones locativas seguridad de los equipos que Seguridad lgica.
informacin son trasladados de ubicacin.
Contrasea dbil o Perdida de informacin,
inexistente en el Acceso remoto sin acceso a la red intranet, robo
Seguridad lgica
sistema de video autorizacin de informacin, desactivacin
18 vigilancia del sistema de vigilancia.
 No existe control de acceso
No existe un Control Utilizacin de los recursos a direcciones de internet por
seguridad
19 y monitoreo en el del sistema para fines no parte del administrador, lo
lgica
acceso a Internet previstos que hace insegura a la red de
datos
Como se tiene ausencia del
cuarto de sistemas, se tiene
Control de personal Robo de informacin o dao Manejo y control
20 la amenaza del ingreso de
no autorizado de la misma de personal
personal malicioso que
puede ingresar al servidor
Usuarios desconocen
Configuraciones errneas de
el tema de seguridad Manejo y control
21 Errores de usuario perifricos de salida, sesiones
informtica y de la de personal
abiertas.
informacin
Demoras en la resolucin de
Falla de todo el sistema o
Falta de un rea problemas del sistema Manejo y control
parte del sistema
informtica computacional y de de personal
informtico
22 informacin
Actualizacin del
Psimo rendimiento en
hardware necesario Facturacin errada de los
23 cuanto a la ejecucin del Hardware
que exige el sistema servicios
software de facturacin
de informacin
No existen planes de
contingencia ni de No se cuenta con elementos
No existe software o
rescate en caso de para la realizacin de copias
24 hardware para recuperar la Hardware
prdidas de energa de seguridad de la
informacin
y por ende de informacin
informacin
Utilizacin de dispositivos
No existe control de
USB en equipos externos a la
25 los dispositivos de Dispositivos USB con virus Hardware
entidad y equipos sin
almacenamiento USB
proteccin con algn antivirus.
Picos de voltaje que generan
Reguladores y
Fallas en el suministro fallas de lectura en los discos
estabilizadores con ms de Hardware
de energa duros y daos en la fuente del
dos aos de uso
26 equipo
Obstruccin de las
Fallas elctricas y daos
reas de ventilacin
27 Recalentamiento permanentes de procesadores, Hardware
de los equipos de
memorias ram y discos duros.
computo
No existe proteccin Dao de los equipos por
Equipo electrnico
en la red elctrica en apagones inesperados u
28 quemado, siendo necesario Hardware
cada uno de las subidas de tensin
el cambio.
estaciones de trabajo elctrica
Inestabilidad en los
equipos
Se presenta Cada de la red
informticos que
29 por mucho tiempo y Red inestable Redes
controlan la red de
muchas ocasiones
conexin entre el
servidor y las
 estaciones de
facturacin

No existe un control y Utilizacin de los recursos Acceso a sitos web

monitoreo en el acceso del sistema para fines no fraudulentos y posible Redes
30 a Internet previstos instalacin de virus
Reduccin en la velocidad de
Switch conectados en Perdida de estabilidad en las
31 acceso a la red y errores de Redes
cascada conexiones de red
conexin.
Carpetas compartidas Acceso externo a Perdida o modificacin de
32 en red sin control de informacin sensible de la informacin de inventario y Redes
usuario y contrasea empresa financiera
No existe control y
Fallos de transmisin de
normalizacin de Caida de red e inoperancia
33 datos, ocasionando Redes
ubicacin de nuevos de las estaciones de trabajo
lentitud y desconexin
puntos de red
Algunos de los segmentos
de la red se encuentran a la
El cableado intemperie lo que puede
estructurado no Daos de las causar manipulacin de red,
Redes
cumple con las comunicaciones. daos a la red, rupturas y su
normas transmisin de datos
presentan cadas de
34 paquetes de informacin.
 PLAN DE AUDITORIA

Descripcin de la empresa:
Empresa: Imedsur
Descripcin: Empresa enfocada en el sector biomdico especialmente en el mantenimiento y calibracin
de equipos de primer, segundo y tercer nivel en centros de salud y hospitalarios, adems cuenta con la
lnea de mantenimiento de equipo industria e infraestructura
Ubicacin: Sede en la ciudad de Pasto-Nario.
rea de informtica: En la oficina administrativa no se cuenta con un rea de sistemas, pero se hace uso
del personal de mantenimiento de sistemas para su mantenimiento preventivo y correctivo de estos
equipos.
Cargos-personal: Jefe de mantenimiento de sistemas: Jess Rosero
Ingeniero de mantenimiento: Daro Criollo
Ingeniero de mantenimiento: Patricia Coral
Ingeniero de mantenimiento: Sthevan Naranjo
Ingeniero de mantenimiento: Marco Cchala

Antecedentes:
En la empresa imedsur, se realiza constantemente auditorias en sus procesos de trabajo operativo, por
motivos de acreditacin en alta calidad y procesos eficientes, pero se ha tenido muchos inconvenientes en
su infraestructura informtica, tanto lgica como fsica, antecediendo a esta auditoria se han venido
realizando correcciones pequeas sobre este tema, adems de realizar evaluaciones sobre las condiciones
y funcionalidad de los procedimientos, con el fin de identificar las amenazas y vulnerabilidades que se
pueden presentar.
Objetivos:
Objetivo general: Desarrollar un proceso de auditora a los sistemas de seguridad y software de
la empresa Imedsur, ubicada en la ciudad de Pasto.

Objetivos especficos:

- Objetivo 1: Conocer el tipo y manejo de informacin y software usados en la empresa

con el fin de analizar algunos de los riesgos de seguridad que puedan presentarse,
realizando visitas a la empresa y entrevistas con los usuarios.
- Objetivo 2: Elaborar el plan de auditora diseando los formatos de recoleccin de
informacin, el plan de pruebas a realizar, seleccionando el estndar a aplicar y los
procesos relacionados con el objetivo de esta auditora, para obtener una informacin
confiable.
 - Objetivo 3: Ejecutar las pruebas que han sido diseadas y aplicar los instrumentos que
se han diseado para determinar los riesgos existentes de seguridad para la informacin
y software para elaborar la matriz de riesgos y medir la probabilidad de ocurrencia y el
impacto que causa.
- Objetivo 4: Realizar el dictamen de la auditora para los procesos evaluados en el
estndar, y presentar el informe de resultados de la auditora.

Alcance. La auditora evaluar los siguientes aspectos:

- Control de acceso a la informacin

- Backups del sistema contable
- Control de cuentas de usuario
- Procedimientos para la administracin de la informacin
- Anlisis de los antivirus usados
- Procesos para recuperacin de informacin
- Niveles y tipos de contraseas usados en los distintos sistemas
- Control y monitoreo en el acceso a Internet

Metodologa para el objetivo 1: Conocer el tipo y manejo de informacin y software usados en

la empresa con el fin de analizar algunos de los riesgos de seguridad que puedan presentarse,
realizando visitas a la empresa y entrevistas con los usuarios.

- Solicitar un informe sobre el tipo y nivel de acceso a la informacin sensible de la

empresa.
- Solicitar informacin de los sistemas de proteccin como antivirus, firewall.
- Aplicar una encuesta inicial para medir el grado de dominio de los usuarios de los
recursos tecnolgicos

Metodologa para el objetivo 2: Elaborar el plan de auditora diseando los formatos de

recoleccin de informacin, el plan de pruebas a realizar, seleccionando el estndar a aplicar y los
procesos relacionados con el objetivo de esta auditora, para obtener una informacin confiable.

- Elaborar el plan de auditoria

- Disear los formatos de recoleccin de informacin
- Disear el plan de pruebas
- Determinar el estndar a aplicar

Metodologa para el objetivo 3: Ejecutar las pruebas que han sido diseadas y aplicar los
instrumentos que se han diseado para determinar los riesgos existentes de seguridad para la
informacin y software para elaborar la matriz de riesgos y medir la probabilidad de ocurrencia y
el impacto que causa.

- Implementar los distintos formatos diseados

- Elaborar una matriz de riesgos
- Determinar el impacto causado por las vulneraciones identificas.
 Metodologa para el objetivo 4: Realizar el dictamen de la auditora para los procesos evaluados
en el estndar, y presentar el informe de resultados de la auditora.

- Analizar e interpretar los resultados entregados por al auditoria.

- Elaborar un informe de auditoria

Recursos humanos

Equipo auditor:

- Jos Danilo Coral

- Francisco Escobar Guerrero
- Carlos Eduardo Bastidas
- Sthevan Kamilo Naranjo

Recursos fsicos: la auditora se llevar a cabo en la empresa IMEDSUR de la ciudad de Pasto a

los planes de seguridad para la informacin y software de la empresa.

Recursos tecnolgicos: grabadora digital para entrevistas, cmara fotogrfica para pruebas que
servirn de evidencia, computador porttil, impresora.

Recursos econmicos:

tem Cantidad subtotal

Computador
Cmara digital
Grabadora digital
Papelera (fotocopias)
Impresora
Gastos generales: cafetera,
transportes, etc
Honorarios x auditoria
Otros gastos e imprevistos
2 2.000.000
1 400.000
1 120.000
100.000
1 200.000
250.000
1 2.500.000
1 150.000
Total 5.720.000
 Cronograma

MES 1 MES 2 MES 3

ACTIVIDAD
1 2 3 4 1 2 3 4 1 2 3 4
Estudio preliminar del
software instalado y el
manejo de la informacin
RECONOCIMIENTO Determinacin de
DEL SISTEMA Vulnerabilidades,
amenazas y riesgos
Seleccin de reas a
evaluar
Elaboracin de formatos
de recoleccin de
PLANIFICACIN DE informacin
AUDITORIA Evaluacin y seleccin del
personal a ser
entrevistado
Realizacin de entrevistas
EJECUCIN DE
y encuestas la personal
PLANES
seleccionado
PROPUESTOS
Ejecucin de pruebas y
PARA LA
toma de evidencia(registro
AUDITORIA
fotogrfico)
Tratamiento y depuracin
Entrega de de la informacin
resultados Elaboracin de informes
Sustentacin de informes
 PROGRAMA DE AUDITORIA

Para la realizacin de la auditoria en la empresa IMEDSUR, se hara uso del estndar de mejores prcticas
en el uso de Tecnologa de informacin (TI) COBIT (Objetivos de Control para la Informacin y
Tecnologas Relacionadas), en donde se relacionan, los dominion, procesos y objetivos de control que se
debern seguir en la auditoria, el cual representara un lineamiento para el buen funcionamiento de la
misma, dentro de estos se seleccion.

Dominio: Planificar y Organizar: este dominio permitir a la auditoria implementar estrategias y

tcticas de como las TI pueden contribuir al logro de los objetivos propuestos en el plan de
auditoria.
o Proceso: PO1 Definir un plan estratgico de TI: este proceso permitir a la auditoria generar
un plan en donde se puedan gestionar y direccionar los recursos TI, con relacin a los
requerimientos de las vulnerabilidades del rea.
PO1.3 Evaluacin del Desempeo y la Capacidad Actual: el rea de sistemas posee
un control sobre el desempeo y la capacidad del persona por medio de reportes de
servicio.
PO1.4 Plan Estratgico de TI: es necesario definir las estrategias a seguir para el
buen desempeo del personal con los recursos tecnolgicos.
o Proceso: PO8 Administrar la calidad: es necesario la consolidacin de procesos y mtodos
que permitan el mximo aprovechamiento de los recursos, adems de mantener la
eficiencia de trabajo que permita la calidad del servicio en el rea.
PO8.2 Estndares y Prcticas de Calidad: es necesario la creacin de estos
estndares, los cuales permiten la coordinacin de trabajos a realizar y el buen
funcionamiento del rea.
PO8.5 Mejora Continua: con la implementacin de los estndares, se podr realizar
la mejora continua gracias a los datos y eventos que se puedan evaluar y mejorar.
PO8.6 Medicin, Monitoreo y Revisin de la Calidad: se ve la necesidad de realizar
la medicin de la calidad, para tener como referencia la efectividad de las acciones
de mejora.
o PO9 Evaluar y Administrar los Riesgos de TI: permitir la identificacin de riesgos y
vulnerabilidades criticas que deberan ser tenidas en cuenta por su alto nivel de afectacion.
PO9.3 Identificacin de Eventos: Se deben registrar cada uno de los eventos que
pudiesen generar riesgo o peligro a los recursos TI.
PO9.4 Evaluacin de Riesgos de TI: Con el registro de los eventos adversos, se
podr realizar una evaluacin de posibles daos y las condiciones de mejora.
PO9.5 Respuesta a los Riesgos: Entregar las posibles acciones de mejora.
Dominio: Adquirir e implementar: Lo que se pretende en este dominio es tomar la identificacin
de las riesgos, vulnerabilidades y soluciones del dominio anterior e implementarlas para integrarlas
al sistema de la empresa y a los procesos afectados, los cuales ya se determinaron.
o AI2 Adquirir y Mantener Software Aplicativo: evitar la instalacin de software no
licenciado, mediante la adquisicin de copias legales y el mantenimiento y control de
instalaciones.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones: procedimiento mediante
el cual se llevar un control en la instalacin de aplicaciones que no sean de uso
corporativo y que no lleven licencia, para que se usen nicamente los recursos
adquiridos legalmente.
 AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Controlar las aplicaciones
de seguridad que posee el sistema, sus licencias e implementacin en la empresa.
AI2.10 Mantenimiento de Software Aplicativo: revisin de funcionamiento a los
aplicativos que son de uso corporativo y la desinstalacin de software no permitido.
o AI5 Adquirir Recursos de TI: regular las diferentes licencias que se adquieran, mirando la
necesidad y la capacidad de la empresa.
AI5.1 Control de Adquisicin: priorizar la adquisicin por licencias que sean de
uso cotidiano que generen alto impacto en el desarrollo de las actividades.
Dominio: Entregar y dar soporte: se encargar de proveer los recursos informticos planteados
como solucin a la necesidad de la empresa.
o DS5 Garantizar la Seguridad de los Sistemas: mediante la implementacin de este proceso
se realizara la administracin de factores que puedan incidir en la seguridad de la
informacin.
DS5.3 Administracin de Identidad: Control de y seguimiento del personal que
hace uso de informacin corporativa, mediante el registro de entrada, salida y
funcin que desarrolla.
DS5.4 Administracin de Cuentas del Usuario: crear un protocolo de seguridad que
garantice el cambio y buen uso de las contraseas de seguridad de los empleados,
colocando pautas de cantidad de caracteres y el uso de contraseas alfanumricas.
o DS7 Educar y Entrenar a los Usuarios: Este proceso permitir generar capacitaciones sobre
seguridad informtica y concientizacin del buen uso de los recursos de TI.
DS7.2 Imparticin de Entrenamiento y Educacin: Asignar y realizar
capacitaciones por rea y definiendo las mayores necesidades de seguridad.
Dominio: Monitorear y Evaluar: todas las acciones de mejora que se tomen en cuanto a la
seguridad de la informacin, debern ser evaluadas y monitoreadas mediante los eventos
registrados, para saber su eficiencia.
o ME2 Monitorear y Evaluar el Control Interno: el proceso permitir la consolidacin del
buen uso de los recursos, mediante la evaluacin de las acciones y su monitorizacin en el
tiempo de ejecucin del programa.
ME2.3 Excepciones de Control: verificara y analizar los incidentes tomando las
bases del problema y generar una accin correctiva que pueda solucionarlo.
ME2.4 Control de Auto Evaluacin: Evaluara la eficacia del sistema de control que
se est llevando y las acciones correctivas que se estn proponiendo, en cuanto a su
efectividad.
ME2.7 Acciones Correctivas: Revisar los eventos planteados y sus acciones que
han permitido llegar a la raz del problema y evaluar las acciones correctivas que
se plantearon, para en caso de ser necesario replantear una nueva accin.
 CONCLUSIONES

La auditora es una herramienta que nos permite revisar y evaluar uno o varios procesos con el
nimo de corregir un error y proponer soluciones para mitigar sus causas.
El planteamiento de una auditoria permite la evaluacin de diferentes riesgos que se puedan estar
afectando los procesos de funcionamiento y algunas violaciones de control de la informacin.
 REFERENCIAS BIBLIOGRFICAS

Espino, M. G. (2014). Fundamentos de auditora. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg=4
INTECO. (Productor). (2010). Conceptos bsicos de auditora. De Recursos educativos adicionales Solarte, F. N. J.
(30 de noviembre de 2011). Auditora informtica y de sistemas. (Video) Recuperado de
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html