PLAN DE AUDITORIA

CAMARA DE COMERCIO DE ARAUCA

1. OBJETIVO GENERAL.

Realizar auditoria de Sistemas a la Infraestructura tecnolgica de la CAMARA de COMERCIO DE

ARAUCA para detectar las vulnerabilidades, amenazas y posibles riesgos que afecten la seguridad
de la informacin, los procesos internos y la prestacin de Servicios en la Entidad.

1.1 Objetivo especficos.

Revisin y pruebas a la infraestructura de Redes y equipos que la conforman para la

deteccin de vulnerabilidades
Revisin y pruebas del estado y funcionamiento de los equipos de cmputo, impresoras y
scanners, para determinar su seguridad, estabilidad y rendimiento.
Revisin al programa de mantenimientos y copias de seguridad para determinar su
implementacin y eficacia.
Revisin del estado de las licencias y software instalado en los equipos y sistemas de
informacin para determinar la legalidad de su uso.
Revisin a la cuentas de usuario y seguridad en claves de acceso para determinar su
seguridad.
Revisin a los puestos de trabajo y entrevistas a los usuarios e ingenieros de
Sistemas para evidenciar buenas prcticas en el uso de los recursos informticos.
Revisin e inspeccin a la infraestructura fsica del centro de cmputo y rea de sistemas
para determinar su seguridad.
Revisin y pruebas a la infraestructura elctrica y dispositivos de soporte para determinar
su, seguridad, eficacia y eficiencia.

2. ANTECEDENTES.

La cmara de comercio de Arauca, en los ltimos aos ha presentado una serie de incidentes e
inconvenientes relacionados con la prestacin de los servicios registrales y la ejecucin de algunos
procesos internos especficamente en el rea de Registro y Financiera, relacionados con fallas en la
Red de Datos, Deficiencias con los proveedores de Internet, y fallas en los equipos de cmputo a
causa de una mala ejecucin del programa de mantenimientos preventivos y la restriccin en la
cuentas de usuario para la instalacin de software pirata y no autorizado en la entidad y el uso de
dispositivos de almacenamiento como memorias y pendrives no autorizados que contaminan los
equipos de malware. Adicionalmente se han presentado dos casos de la perdida irrecuperable de
informacin en 2 equipos de cmputo por no tener copias de seguridad actualizadas.

3. METODOLOGA

Realizar un inventario de los recursos informativos de hardware y software, sistemas de

informacin, Redes de Datos y Wifi, Red elctrica y equipos de soporte, servicios de
 comunicaciones e internet y Recursos humanos que hacen parte la infraestructura
informtica en la entidad.
Hacer un inventario y revisin de los procedimientos documentados que hacen parte de los
procesos en el rea de Informtica
Elaborar un cronograma y plan de Auditoria y socializarlo en la Entidad.
Elaborar un infograma o diagrama de flujo que sirva de mapa o gua para determinar por
etapas el proceso de auditora y el plan a ejecutar.
Segn el cronograma y plan de auditoria, determinar los recursos necesarios para su
realizacin.
Elaborar un formato de entrevistas y listas de verificacin para implementar durante la
auditoria.
Realizar la auditoria segn el cronograma y plan de auditoria, por etapas.
Recolectar toda la evidencia fsica, electrnica, documental y fotogrfica durante el proceso.
Consolidar, revisar y analizar las evidencias para la elaboracin del informe de auditora.
Elaborar el Informe y socializarlo con el Personal.
Incluir recomendaciones y planes de accin para mitigar los hallazgos relacionados con
vulnerabilidades o fallas encontradas en el proceso.
Acordar con el Ingeniero de Sistema los plazos y responsabilidades para la implementacin
de los planes de accin.
Implementar un plan de Induccin al personal acorde al objetivo del Estndar COBIT 7.DS7
Educar y Entrenar a los Usuarios.

DS7.1 Identificacin de Necesidades de

DS7 Educar y Entrenamiento y Educacin
Entrenar a los
DS7.2 Imparticin de Entrenamiento y Educacin
Usuarios
DS7.3 Evaluacin del Entrenamiento Recibido

Dominio: Entregar y Dar soporte.

Justificacin: Teniendo en cuenta que en la mayora de los casos, las fallas de seguridad informtica
corresponde al desconocimiento de los procesos y a la falta de sensibilizacin y socializacin a los
usuarios sobre prcticas seguras en el uso de los Recursos Informticos.

Por lo tanto aplicando los respectivos objetivos de control el plan a ejecutar seria el siguiente:

DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin:

Analizando el cuadro de vulnerabilidades, amenazas y riesgos, identificamos en cuales hay

intervencin o responsabilidad del usuario que conlleve a la manifestacin de un riesgo por
aplicacin malas prcticas en el uso de recursos informticos.

DS7.2 Imparticin de Entrenamiento y Educacin.

Segn el anlisis anterior se elabora un plan y cronograma de capacitaciones por rea si es

necesario, y se estructuran los respectivos temas de formacin relacionados con buenas prcticas y
sensibilizacin del cuadro de amenazas, vulnerabilidades y riesgos y sus consecuencias para con los
activos de la empresa y su impacto dentro de las operaciones. De la misma manera se establece y
socializa una poltica de Seguridad de la informacin y se elabora y comunica un plan de acciones
correctivas y preventivas para la mitigacin de riesgos.

DS7.3 Evaluacin del Entrenamiento Recibido.

Se evala la formacin a travs de pruebas y talleres escritos y prcticos, y segn los resultados
obtenidos se realiza un refuerzo y reinduccin en aquel personal que no haya entendido y asimilado
los temas anteriormente propuestos. Con el paso del tiempo se hace el respectivo seguimiento al
personal mediante inspecciones peridicas y revisin de los registros o LOGs de los sistemas, y
revisin de las funciones y actividades relacionadas con el uso de recursos informativos para
determinar el impacto de la formacin y de la necesidad de planes de reinduccin peridicos.

4. RECURSOS.

Formatos prediseados de entrevistas y listas de chequeo

Disco duro externo.
Cmara fotogrfica
Libreta de apuntes y lapicero
Pinza y multmetro
Computador porttil.
Software para auditoria y anlisis de Redes.
Software antivirus y antispyware.

5. CRONOGRAMA

Actividad Julio Agosto

Sem1 Sem2 Sem3 Sem4 Sem1 Sem2 Sem3 Sem4
Inventario de los
recursos x
informativo
Inventario y revisin
de los x
procedimientos
documentados
Elaborar un
cronograma y plan x
de Auditoria
Socializacin
cronograma y plan x
de Auditoria
Elaboracin un
infograma o x
diagrama de flujo
Determinar los
recursos necesarios x
Elaborar formato de
entrevistas y listas x
de verificacin
Realizar la auditoria
x x
Consolidar, revisar y
analizar las x
evidencias
Elaborar el Informe
y socializarlo con el x
Personal.
Acordar con el
Ingeniero de x
Sistema los plazos y
responsabilidades
para la
implementacin de
los planes de
accin.
Induccin al
personal acorde al x
objetivo del
Estndar COBIT
7.DS7