DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN

VASP DE LA EMPRESA SMSAMERICAS LTDA

LADY JOHANA TORO

FREDY ALEXANDER DÍAZ

CAMILO ANDRÉS GÓMEZ

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE

INFORMACION

BOGOTÁ D.C – 2016

DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN
VASP DE LA EMPRESA SMSAMERICAS LTDA

LADY JOHANA TORO

FREDY ALEXANDER DÍAZ

CAMILO ANDRÉS GÓMEZ

Trabajo de grado para obtener el título de especialista en Auditoria de Sistemas de

Información.

ASESOR: OSCAR GORDILLO

INGENIERO DE SISTEMAS, MSC.

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE

INFORMACION
BOGOTÁ D.C – 2016
 Nota de aceptación

______________________________________

______________________________________

______________________________________

______________________________________
Presidente del Jurado

______________________________________
Jurado

______________________________________
Jurado

Bogotá D.C., noviembre de 2016.

 DEDICATORIA

Quiero dedicar este proyecto a Dios quien me ha dado salud y vida para realizar este
proyecto educativo y permitirme culminarlo satisfactoriamente. Dedicárselo a mi esposa que es un
pilar de fortaleza, consejo y acompañamiento constante. A mi familia que han sido un apoyo muy
grande durante todo el proceso y una dedicación muy especial a la familia Rodríguez Rodríguez,
familia que han sido los artífices principales de mi ingreso y culminación de esta Especialización,
el apoyo y continua preocupación por mi proceso me permitió sentirme acompañado en todo
momento.

Camilo Andrés Gómez Téllez

Agradezco primeramente a Dios quien abrió las puertas para iniciar y ahora culminar un
reto más en mi vida, por permitirme conocer nuevas personas, superar cada paso de esta etapa y
ahora cerrar un ciclo lleno de éxitos profesional y personalmente. A mi esposo por apoyar mis
decisiones y acompañarme en este camino. A los directivos de la empresa SMSAmericas Ltda.,
quienes depositaron su confianza en nosotros y nos apoyaron para trabajar en el desarrollo de este
proyecto y a mis compañeros de grupo quienes fueron un soporte durante la realización de la
especialización.

Lady Johana Toro

Este proyecto se lo dedico a mi familia que gracias a ellos soy lo que soy. A mis padres por
su apoyo, consejos, comprensión, amor, ayuda en los momentos difíciles, quienes forjaron mis
valores, mis principios, mi empeño, mi perseverancia para conseguir mis objetivos. A mis
hermanos por estar siempre presentes, acompañándome para poderme realizar como profesional.
A mi hija Gabriela quien ha sido y es una motivación, inspiración y felicidad.
 Así mismo le agradezco a Dios por concederme grandes logros personales y profesionales
en mi vida, por guiarme por el buen camino y darme la oportunidad de poder culminar
satisfactoriamente un logra más en mi vida.
“La dicha de la vida consiste en tener siempre algo que hacer, alguien a quien amar y alguna cosa que esperar”. Thomas
Chalmers

Fredy Alexander Díaz Rubio

 AGRADECIMIENTOS

Los autores de este proyecto agradecen primero que todo a Dios por la vida y la salud para
estar siempre presentes en el desarrollo de este trabajo. A sus padres y familiares que siempre han
sido un pilar importante en sus vidas, siempre han estado dispuestos a apoyarlos
incondicionalmente.

Agradecen de manera especial a los tutores que tuvieron mientras se desarrollaba esta
actividad y a los profesores que dieron todo para transmitir los conocimientos que ahora plasman
en este trabajo.
 TABLA DE CONTENIDO

INTRODUCCIÓN ................................................................................................................................ 16

1 GENERALIDADES DEL TRABAJO DE GRADO ................................................................... 18

1.1 LÍNEA DE INVESTIGACIÓN .......................................................................................................... 18

1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................................................... 18
1.2.1 Antecedentes del problema ............................................................................................... 18
1.2.2 Pregunta de investigación ................................................................................................ 19
1.3 JUSTIFICACIÓN .......................................................................................................................... 21
1.4 OBJETIVOS ................................................................................................................................ 21
1.4.1 Objetivo general .............................................................................................................. 21
1.4.2 Objetivos específicos ........................................................................................................ 21

2 MARCOS DE REFERENCIA..................................................................................................... 23

2.1 MARCO CONCEPTUAL ................................................................................................................ 23

2.1.1 Wiki. ................................................................................................................................ 23
2.1.2 Google Sites. .................................................................................................................... 23
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas) ................. 24
2.1.4 ISACA (isaca.org) ............................................................................................................ 24
2.1.5 Circular Externa 038 de 2009 - Superfinanciera............................................................... 25
2.1.6 Riesgo.............................................................................................................................. 25
2.1.7 Amenaza .......................................................................................................................... 25
2.1.8 Vulnerabilidad ................................................................................................................. 26
2.1.9 Probabilidad.................................................................................................................... 26
2.1.10 Impacto ........................................................................................................................... 27
2.2 MARCO TEÓRICO ....................................................................................................................... 27

3 METODOLOGÍA........................................................................................................................ 29

3.1 AUDITORIA BASADA EN RIESGOS ............................................................................................... 29

4 DESARROLLO ........................................................................................................................... 30

4.1 FAMILIARIZACION ............................................................................................................... 30

4.1.1 Cuestionario de Control de Auditorias de Sistemas. .......................................................... 32
4.1.2 Familiarización por Entornos .......................................................................................... 33
 4.1.2.1 Bases de Datos ...........................................................................................................................33
4.1.2.2 Redes y Comunicaciones ............................................................................................................35
4.1.2.3 Control de Seguridad Lógica e Informática .................................................................................36
4.1.2.4 Control de Compra y Garantía de Hardware ................................................................................37
4.1.2.5 Control y Seguridad de Instalaciones ..........................................................................................38
4.1.2.6 Control de Impacto Ambiental ....................................................................................................38
4.1.2.7 Control Seguridad Física ............................................................................................................39
4.1.2.8 Control Riesgos .........................................................................................................................39
4.1.2.9 Control de Entrenamiento ...........................................................................................................39
4.1.2.10 Control de Mesa de Ayuda .......................................................................................................40
4.2 ANALISIS DE INFORMACION OBTENIDA .......................................................................... 40
4.2.1 Definición y Calificación de Riesgos ................................................................................ 40
4.2.2 Análisis de riesgos en los diferentes entornos ................................................................... 43
4.2.2.1 Entorno de Base de Datos ...........................................................................................................44
4.2.2.2 Redes y Comunicaciones ............................................................................................................45
4.2.2.3 Control de Seguridad Lógica ......................................................................................................45
4.2.2.4 Compras y Garantía de HW ........................................................................................................46
4.2.2.5 Seguridad de Instalaciones..........................................................................................................47
4.2.2.6 Continuidad del negocio .............................................................................................................47
4.2.2.7 Entrenamiento del Personal ........................................................................................................48
4.2.3 Mapa De Riesgos ............................................................................................................. 49
4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y Cobit 5 .... 49
4.3 DISEÑO Y EVALUACION .............................................................................................................. 52
4.3.1 Programación de Prueba de Auditoria ............................................................................. 52
4.3.2 Diseño Pruebas de Auditoria............................................................................................ 56
4.3.3 EJECUCION DE PRUEBAS ............................................................................................ 98
4.3.3.1 BASE DE DATOS: P001 ...........................................................................................................98
4.3.3.2 BASE DE DATOS: P002 ......................................................................................................... 100
4.3.3.3 BASE DE DATOS: P003 ......................................................................................................... 102
4.3.3.4 BASE DE DATOS: P004 ......................................................................................................... 103
4.3.3.5 BASE DE DATOS: P005 ......................................................................................................... 105
4.3.3.6 BASE DE DATOS: P006 ......................................................................................................... 105
4.3.3.7 BASE DE DATOS: P007 ......................................................................................................... 107
4.3.3.8 BASE DE DATOS: P008 ......................................................................................................... 108
4.3.4 INFORME ..................................................................................................................... 108

5 CONCLUSIONES Y RECOMENDACIONES ......................................................................... 111

BIBLIOGRAFÍA ................................................................................................................................ 113

ANEXOS ............................................................................................................................................. 115

 LISTA DE ILUSTRACIONES

ILUSTRACIÓN 1 INGRESO DE USUARIO Y CONTRASEÑA ........................................................................................... 98

ILUSTRACIÓN 2 PROGRAMA ASTERISK KEY............................................................................................................ 99
ILUSTRACIÓN 3 ERROR DE AUTENTICACIÓN ........................................................................................................... 99
ILUSTRACIÓN 4 LISTADO DE USUARIOS REGISTRADOS .......................................................................................... 100
ILUSTRACIÓN 5 INGRESO DE USUARIO Y CONTRASEÑA ......................................................................................... 100
ILUSTRACIÓN 6 VALIDACION DE RESTRICCIONES DE USUARIO .............................................................................. 101
ILUSTRACIÓN 7 COMPARACIÓN PROCESO DE CONTRATACIÓN ............................................................................... 102
ILUSTRACIÓN 8 DOCUMENTACIÓN EN LINEA ........................................................................................................ 103
ILUSTRACIÓN 9 DOCUMENTACIÓN EN LINEA 2 ..................................................................................................... 104
ILUSTRACIÓN 10 DOCUMENTACIÓN EN LINEA 3 ................................................................................................... 104
ILUSTRACIÓN 11 PANTALLA DE COMANDO BACKUP ............................................................................................. 106
ILUSTRACIÓN 12 PANTALLA RESTAURACIÓN DE BACKUP ..................................................................................... 106
ILUSTRACIÓN 13 VALIDACIÓN DE LA INFORMACIÖN RESTAURADA ....................................................................... 107
ILUSTRACIÓN 14 MODIFICACIÓN PROCESO ENVÍOS .............................................................................................. 107
ILUSTRACIÓN 15 MODIFICACIÓN DE PARAMETROS ............................................................................................... 107
 LISTA DE TABLAS

TABLA 1 AUDITORIA BASADA EN RIESGOS............................................................................................................. 29

TABLA 2 FICHA TÉCNICA ...................................................................................................................................... 30
TABLA 3 CUESTIONARIO DE CONTROL DE AUDITORIA DE SISTEMAS ....................................................................... 32
TABLA 4 CLASIFICACIÓN, CALIFICACIONES Y CRITERIOS USADOS .......................................................................... 41
TABLA 5 DEFINICIÓN DEL RIESGO.......................................................................................................................... 41
TABLA 6 IDENTIFICACIÓN DE RIESGOS ................................................................................................................... 42
TABLA 7 MATRIZ DE RIESGOS DE BASE DE DATOS ................................................................................................. 44
TABLA 8 MATRIZ DE RIESGOS DE REDES Y COMUNICACIONES ................................................................................ 45
TABLA 9 MATRIZ DE RIESGOS DE CONTROL DE SEGURIDAD LÓGICA ....................................................................... 46
TABLA 10 MATRIZ DE RIESGOS DE COMPRAS Y GARANTÍA DE HW ......................................................................... 46
TABLA 11 MATRIZ DE RIESGOS DE SEGURIDAD DE INSTALACIONES ........................................................................ 47
TABLA 12 MATRIZ DE RIESGOS DE CONTINUIDAD DEL NEGOCIO ............................................................................. 48
TABLA 13 MATRIZ DE RIESGOS DE ENTRENAMIENTO DEL PERSONAL ...................................................................... 48
TABLA 14 MAPA DE RIESGOS ................................................................................................................................ 49
TABLA 15 NORMATIVIDAD: CIRCULAR 038 DE SPTIEMBRE DE 2009 - COBIT 5 ......................................................... 50
TABLA 16 PROGRAMACIÓN DE PRUEBA DE AUDITORÍA........................................................................................... 52
TABLA 17 PRUEBA P001 POLÍTICAS DE CONTROL DE ACCESO A BASE DE DATOS ..................................................... 56
TABLA 18 PRUEBA P002 POLÍTICAS DE CREACIÓN DE USUARIOS Y CONTRASEÑAS. ................................................. 57
TABLA 19 PRUEBA P003 POLÍTICAS DE SELECCIÓN DE PERSONAL. .......................................................................... 58
TABLA 20 PRUEBA P004 DOCUMENTACIÓN ENTREGADA AL PERSONAL. ................................................................. 59
TABLA 21 PRUEBA P005 CONTRATO CON PROVEEDOR DE ALOJAMIENTO DE SERVIDORES ....................................... 60
TABLA 22 PRUEBA P006 RECUPERACIÓN DE INFORMACIÓN. ................................................................................... 61
TABLA 23 PRUEBA P007 CONTROL DE CAMBIOS. ................................................................................................... 62
TABLA 24 PRUEBA P008 DOCUMENTACIÓN SOBRE LA BASE DE DATOS DEL VASP. ................................................. 63
TABLA 25 PRUEBA P009 GARANTIZAR QUE CADA USUARIO SE AUTENTIQUE AL INGRESAR A KA RED EMPRESARIAL 64
TABLA 26 PRUEBA P010 COMPROBAR LA SEGURIDAD CONFIGURADA DE SEGURIDAD DEL SOFTWARE UTILIZADO
PARA LA CONEXIÓN REMOTA. ...................................................................................................................... 65

TABLA 27 PRUEBA P011 VALIDAR EL ACCESO A LAS PERSONAS QUE INGRESAN A LAS INSTALACIONES Y QUE
TRABAJOS SE DISPONEN A REALIZAR. ........................................................................................................... 66
TABLA 28 PRUEBA P012 COMPROBAR LA INTEGRIDAD DEL CABLEADO ESTRUCTURADO. ........................................ 67
TABLA 29 PRUEBA P013 VERIFICAR LAS POLÍTICAS DE ACCESO A INTERNET CONFIGURADAS EN EL FIREWALL........ 68
TABLA 30 PRUEBA P014 VERIFICAR LA CONEXIÓN DE RED A INSTALADA EN LAS OFICINAS Y LA PRESTACIÓN DEL
SERVICIO POR PARTE DEL PROVEEDOR. ........................................................................................................ 69
TABLA 31 PRUEBA P015 COMPROBAR LAS CONFIGURACIONES DEL FIREWALL POR PARTE DEL PROVEEDOR. ........... 70
TABLA 32 PRUEBA P016 VERIFICAR LEL FUNCIONAMIENTO DE LA UPS. ................................................................. 71
TABLA 33 PRUEBA P017 VERIFICAR LOS LOGS DE LSO BACKUPS REALIZADOS. ....................................................... 72
TABLA 34 PRUEBA P018 VERIFICAR EL PROCEDIMIENTO PARA LAS PRUEBAS DE CAMBIOS EN EL CÓDIGO FUENTE. .. 73
TABLA 35 PRUEBA P019 VERIFICAR EL SOFTWRAE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ............................... 74
TABLA 36 PRUEBA P020 REVISAR LAS LICENCIAS DEL SOFTWARE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ........ 75
TABLA 37 PRUEBA P021 COMPROBAR LA ELIMINACIÓN DE ARCHIVOS TEMPORALES Y OBSOLETOS. ........................ 76
TABLA 38 PRUEBA P022 REVISIÓN DEL CUBRIMIENTO DE LA GARANTÍA DE LOS EQUIPOS DE CÓMPUTO. ................. 77
TABLA 39 PRUEBA P023 CONFIRMAR LA CAPACITACIÓN DEL PERSONAL DE SOPORTE TÉCNICO DE EQUIPOS DE
CÓMPUTO. ................................................................................................................................................... 78
TABLA 40 PRUEBA P024 REVISAR LAS ESPECIFICACIONES TÉCNICAS DE LOS EQUIPOS DE CÓMPUTO NECESARIOS PARA
LA LABOR EN LA COMPAÑIA. ........................................................................................................................ 79

TABLA 41 PRUEBA P025 SUPERVISAR LOS ELEMENTOS DE OFICINA. ....................................................................... 80

TABLA 42 PRUEBA P026 CONFIRMAR EL FUNCIONAMIENTO DE LA VENTILACIÓN DE LA OFICINA............................. 81
TABLA 43 PRUEBA P027 VERIFICACIÓN DE LA LUMINOSIDAD DE LOS DIFERENTES ESPACIOS DE LA COMPAÑIA. ...... 82
TABLA 44 PRUEBA P028 COMPROBAR LAS SEÑALIZACIONES DE EMERGENCIA INSTALADOS EN LA COMPAÑÍA. ........ 83
TABLA 45 PRUEBA P029 VALIDAR LOS CARGOS Y LOS PROCESOS ESTABLECIDOS PARA LA CONTINUIDAD DEL
NEGOCIO. .................................................................................................................................................... 84
TABLA 46 PRUEBA P030 CONTINUIDAD DEL NEGOCIO POR PARTE DE LOS PROVEEDORES Y DISTRIBUIDORES. .......... 85
TABLA 47 PRUEBA P031 VERIFICAR LAS ESTRATEGIAS PARA LA MEJORA DEL PLAN DE CONTINUIDAD DEL NEGOCIO.
................................................................................................................................................................... 86
TABLA 48 PRUEBA P032 RESPALDO DE LA INFORMACIÓN. ...................................................................................... 87
TABLA 49 PRUEBA P033 REANUDACIÓN DE LAS OPERACIONES DESPUÉS DE UNA INTERRUPCIÓN. ............................ 88
TABLA 50 PRUEBA P034 REALIZACIÓN DE LOS BACKUPS. ...................................................................................... 89
TABLA 51 PRUEBA P035 RUSTAS DE ESCALAMIENTO PARA LA CONTINUIDAD DEL NEGOCIO TRAS UNA E VENTUAL
CATÁSTROFE. .............................................................................................................................................. 90
TABLA 52 PRUEBA P036 VALIDAR LOS CONTROLES DE ACCESO. ............................................................................ 91
TABLA 53 PRUEBA P037 ACTUALIZACIONES DE LAS DESCRIPCIONES Y REQUISITOS DE LOS PUESTOS DE TRABAJO. .. 92
TABLA 54 PRUEBA P038 TIEMPO DETERMINADO PARA CUBRIR UNA VACANTE. ...................................................... 93
TABLA 55 PRUEBA P039 POLÍTICAS PAR EL RECLUTAMIENTO INTERNO Y EXTERNO. ............................................... 94
TABLA 56 PRUEBA P040 FORMULARIOS DE DESEMPEÑO DE LOS EMPLEADOS. ......................................................... 95
TABLA 57 PRUEBA P041 PLANES PARA CUBRIR LAS VACANTES EN UN FUTURO. ..................................................... 96
TABLA 58 PRUEBA P042 PROCESO DE CAPACITACIÓN. ........................................................................................... 97
 RESUMEN

En este proyecto se observará como se desarrolla una auditoria de sistemas de información

a una aplicación de la empresa SMSAMERICA LTDA. Esto para mostrar a la alta gerencia de la
compañía las fortalezas y vulnerabilidades de las políticas y procedimientos implementadas sobre
el software con respecto al manejo de la información, la estructura de los datos, la seguridad de
esta aplicación y los tiempos de respuesta hacia los clientes internos y externos. Todo esto tomando
como base a normas y estándares internacionales como COBIT para brindar opciones de mejora y
posibilidades de crecimiento para esta empresa.

Palabras clave: Auditoria, políticas, procedimientos, estándares, bases de datos, software,

COBIT, ISO, normas

ABSTRACT

In this project, will be an audit of information systems develops an application of the

company SMSAMERICA LTDA. This to show senior management of the company's strengths
and vulnerabilities of the policies and procedures implemented on the software with respect to
information management, the structure of the data, the security of this application and response
times to customers internal and external. All this based on international norms and standards such
as COBIT to provide options for improvement and growth opportunities for the company.

Keywords: Audit, policies, procedures, standards, databases, software, COBIT, ISO

standards.

15
 INTRODUCCIÓN

El mercado de mensajería móvil en Latinoamérica y especialmente en Colombia ha venido

sufriendo una caída en sus ingresos, por lo cual estas empresas han ido buscando nuevas
alternativas de captación de clientes. Debido a la necesidad de dar una respuesta rápida a los
requerimientos de clientes internos y externos, sus procesos no tienen un desarrollo, ni
metodología clara, lo cual ha permitido la perdida de información y falla en los procesos.

Es por esto que la empresa SMSAmericas Ltda., ha visto la necesidad de implementar

controles, políticas y planes de mejora, que le permitan diseñar y ejecutar sus procesos de la manera
adecuada, proporcionando disponibilidad rápida y eficiente de la información, dándoles la
oportunidad de aprovechar el tiempo para desarrollar e incursionar en nuevos mercados.

Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna para el sistema
de información VASP, que sea fácil de aplicar en la empresa y sin que ello implique un alto costo.

A continuación, se describen algunas de las falencias que se han identificado hasta el

momento y que se deben atacar:

 Demora en obtener la información debido a la falta de centralización.

 Fallas en los controles de acceso que no permite identificar responsables de los
cambios que pueden afectar el desarrollo del negocio.
 Falta de políticas de seguridad de la información.
 Falta de documentación de los desarrollos y procesos internos.
 Se necesita implementar mecanismos de control de cambios, que permitan
disminuir el riesgo de fallas en producción.
 Definir planes de contingencia que permitan la continuidad del negocio.
 Mantener procesos que permitan validar la calidad del software.

16
  Controlar el acceso a la base de datos de tal manera que se disminuya la posibilidad
de pérdida o daños de la información.

Por lo cual, al desarrollar el plan de auditoría interna para el sistema de información Core
de la empresa, les dará herramientas que permitirán mejorar sus procesos y sacar mayor provecho
a los recursos físicos, tecnológicos y humanos con los que cual cuentan actualmente.

Se utilizará como referencia el modelo COBIT para auditar la gestión y el control de los
sistemas de información internos de la organización. Y con el acompañamiento y dirección del
director IT y del equipo de tecnología, se recopilará la información y el estado de cada proceso, a
través de entrevistas, encuestas y visitas, para identificar los puntos más críticos y enfocar en ellos
el plan de auditoría.

17
 1 GENERALIDADES DEL TRABAJO DE GRADO

1.1 LÍNEA DE INVESTIGACIÓN

La línea de investigación que adopta este proyecto es La Gestión Integral y Dinámica de

las Organizaciones Empresariales, según lineamientos de la Universidad Católica de Colombia.

Como sub-línea se puede determinar que está en la rama de la Auditoria de sistemas en

pequeñas empresas.

1.2 PLANTEAMIENTO DEL PROBLEMA

1.2.1 Antecedentes del problema

En las últimas décadas en Colombia se ha aumentado la cantidad de medianas y pequeñas

empresas en el país. En 2013 había 2.9 millones de estas empresas registradas en la cámara de
comercio y responden al 40% del PIB nacional. Este dato es tomado de un artículo de la revista
DINERO del 16 de septiembre de 2015, articulo “La revolución de las “Big Litte” colombianas”.

Para poderse mantener en el mercado y no terminar siendo “absorbidas” por las grandes
empresas, estas PYME deben prestar más atención a todo lo relacionado con la tecnología, y
manejo de la información. Esto lleva a que deban certificar todos los procesos internos de la
compañía y para esto se requiere auditoria para evaluar todo el sistema, verificar como están los
controles y emitir un diagnostico que permita mantener de forma adecuada la infraestructura
tecnológica y la integridad de la información. (Revista Dinero, 2015)

La PYME de mensajería móvil que se está tomando como base para realizar el plan de
auditoria a tratado de implementar mecanismos de control, documentación y centralización de la
información utilizando herramientas como Wikis y Google Sites, los cuales se han quedado cortos

18
al momento de atender las necesidades de la empresa. Esto ha hecho que la información se
encuentre dispersa y no centralizada, dificultando el acceso rápido a la misma.

Se buscaron algunos trabajos de grado e investigaciones que colaboraran como base

documental para el desarrollo del plan de auditoria que se busca realizar para una PYME de
mensajería móvil. Los proyectos tomados son:

• Seminario de Integración y Aplicación “Auditoria en PYMES”. Este trabajo fue

elaborado por Roxana Julia Russo de la Universidad de Buenos Aires.

Aporte. Aunque es un proyecto que va dirigido a información de los estados contables,

otorga una mirada a la aplicación de la auditoria de para empresas PYMES.

• Tesis Una Metodología Para Auditar Tecnologías De Información. fue

elaborada por los estudiantes de la Facultad de Ingeniería de la Universidad Nacional Autónoma
de México, David Plata Sánchez y Eduardo Hilario Ponce Casanova, como requisito para obtener
en Título de Ingeniero en Computación. La Tesis se realizó bajo la dirección del Ing. Heriberto
Olguín Romo en septiembre de 2009.

Aporte. Este proyecto aporto algunas herramientas para la realización de auditorías de

tecnologías de información (TI), asimismo, ponen a disposición unas recomendaciones para sean
tenidas en cuenta al momento de dar recomendación sobre las políticas, normas o procedimientos
a mejorar en la empresa auditada.

1.2.2 Pregunta de investigación

Debido a la disminución del uso de mensajes móviles en el mercado colombiano, causadas

por el aumento de uso de herramientas como WhatsApp, Line, Facebook, Twitter, e incluso el
mismo internet, entre otras. Las empresas de mensajería móvil en los últimos años han venido

19
sufriendo una caída en sus ingresos, lo cual ha llevado a que deban buscar nuevas estrategias de
recuperación.

Dentro de ellas buscar alternativas de nuevos mercados y mejoras en la calidad de sus

procesos, por lo cual al diseñar un modelo o plan de auditoria interna para su sistema de
información VASP, se busca que al ejecutarlo, les proporcione herramientas que ayuden a
encontrar puntos de falencia, para así poder desarrollar e implementar mecanismos de control que
permita dar soluciones optimas y de calidad, para poder mejorar sus procesos y tiempos de
respuesta a sus usuarios y clientes finales, aumentado así el tiempo de incursionar en nuevas
actividades de recuperación del mercado (Como el desarrollo de juegos de celular, desarrollo de
CRMs, entre otras).

Debido a que el VASP fue un desarrollo a la medida para la empresa SMSAmericas, con
el pasar de los años, este se ha expuesto a cambios que no han sido desarrollados bajo una
metodología concreta, ni con el análisis y pruebas debidas. Por lo cual, al tratar de implementar
dichos cambios, se ha expuesto el negocio a varios problemas (Saturación de los servidores o Base
de datos, Errores en la lógica de negocio, Indisponibilidad de la plataforma, entre otros) que han
generado quejas por parte de los usuarios, multas por parte de los operadores y pérdida de ingresos
durante horas o incluso días. Lo cual hace necesario que se ejecuten procesos de auditoria sobre
cada uno de los ambientes que comprenden dicho sistema (Base de Datos, Software, Redes y
Continuidad del negocio), con el fin de mitigar y reducir las falencias que actualmente se tienen y
poder brindar al nuevo desarrollo del VASP 3, los mecanismos de control y calidad necesarios
para dar una respuesta rápida y eficaz.

¿De qué manera se realiza un plan de auditoria para el sistema de información VASP de la
empresa de mensajería móvil SMSAmericas Ltda.?

20
1.3 JUSTIFICACIÓN

La empresa de mensajería móvil SMSAMERICAS, debido a la caída del mercado no

dispone de los recursos necesarios para efectuar una auditoria en sus procesos, lo cual no le permite
disponer de mayores competencias para crecer y posicionarse en el mercado, quedándose atrás con
respecto a su competencia directa e indirecta.

Por lo cual se busca diseñar un modelo de auditoria para el sistema de información VASP,
sin que esto implique un alto costo para la empresa, permitiendo a su vez obtener un diagnostico
muy exacto y real del estado de sus procesos, dándole las herramientas necesarias, para la toma de
decisiones y creación de medidas de control que permitirá la mejora en la calidad del sistema y
tiempo de respuesta a las solicitudes que se le realizan.

Actualmente se cuenta con el conocimiento del VASP, sus procedimientos y manejo, por
lo cual es viable poder identificar las necesidades de la empresa y así poder proponer un modelo
que pueda cumplir con sus expectativas y necesidades.

1.4 OBJETIVOS

1.4.1 Objetivo general

Diseñar un plan de auditoria para el sistema de información VASP, implementado en la

empresa de mensajería móvil SMSAmericas Ltda.

1.4.2 Objetivos específicos

• Recopilar la información asociada al sistema de información VASP para generar un

diagnóstico del sistema acertado.
• Analizar la información recolectada del sistema de información VASP, haciendo
uso de normas y estándares internacionales.

21
• Diseñar y evaluar el plan de auditoria para el sistema de información VASP, de
acuerdo a la información recolectada.

22
 2 MARCOS DE REFERENCIA

2.1 MARCO CONCEPTUAL

2.1.1 Wiki.

Un wiki es una colección de documentos web escritos en forma colaborativa. Básicamente,

una página de wiki es una página web puede crear desde el navegador de Internet, sin que necesiten
saber HTML. Un wiki empieza con una portada. Cada autor puede añadir otras páginas al wiki,
simplemente creando un enlace hacia una página (nueva) que todavía no existe.

Los wikis obtuvieron su nombre del término hawaiano "wiki wiki," que significa "muy
rápido". Un wiki es, de hecho, un método rápido para crear contenido como grupo. Es un formato
tremendamente popular en la web para crear documentos como un grupo. Usualmente no existe
un editor central del wiki, no hay una sola persona que tenga el control editorial final. En su lugar,
la comunidad edita y desarrolla su propio contenido.

Emergen visiones de consenso del trabajo de muchas personas sobre un documento.

(Moodle, 2016)

2.1.2 Google Sites.

Es una aplicación online gratuita ofrecida por la empresa estadounidense Google. Esta
aplicación permite crear un sitio web o una intranet de una forma tan sencilla como editar un
documento. Con Google Sites los usuarios pueden reunir en un único lugar y de una forma rápida
información variada, incluidos vídeos, calendarios, presentaciones, archivos adjuntos y texto.
Además, permite compartir información con facilidad para verla y compartirla con un grupo
reducido de colaboradores o con toda su organización, o con todo el mundo. (Wikipedia, 2016)

23
 2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas)

Es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA

(Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el
departamento de informática de una compañía.

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave

(KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para
recoger datos que la compañía puede usar para alcanzar sus objetivos.

El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes

que abarcan 318 objetivos:

• Entrega y asistencia técnica

• Control
• Planeamiento y organización
• Aprendizaje e implementación (Benchmark, 2016)

2.1.4 ISACA (isaca.org)

Ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo

digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin
ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity
Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio
para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y
certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones
globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information
Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y

24
Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200
capítulos en todo el mundo. (ISACA, 2016)

2.1.5 Circular Externa 038 de 2009 - Superfinanciera

La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de

servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento. Por lo tanto, se tendrá que velar porque el diseño del SCI para la gestión de la
tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las
exigencias normativas sobre la materia. De otra parte, el sistema deberá ser objeto de evaluación
y el mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales
y a la prestación de los servicios en las condiciones señaladas.

Las entidades deben establecer, desarrollar, documentar y comunicar políticas de

tecnología y definir los recursos, procesos, procedimientos, metodologías y controles necesarios
para asegurar su cumplimiento. (Superintendencia Financiera de Colombia, 2009)

2.1.6 Riesgo

La incertidumbre de que ocurra un evento y pueda tener un impacto en el logro de los

objetivos. El riesgo se mide en términos de impacto y probabilidad. (Instituto de Auditores
Internos, 2012)

2.1.7 Amenaza

Es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto

periodo de tiempo, en un sitio dado.

25
 En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo,
de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de
exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y
durante un tiempo de exposición determinado.

Una amenaza informática es un posible peligro del sistema. Puede ser una persona
(cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (UNAD, 2016)

2.1.8 Vulnerabilidad

Es el grado de pérdida de un elemento o grupo de elementos bajo riesgo, resultado de la

probable ocurrencia de un suceso desastroso expresada en una escala.

La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la

factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno que caracteriza la
amenaza.

En el campo de la informática, la vulnerabilidad es el punto o aspecto del sistema que es

susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o
aspectos falibles o atacables en el sistema informático. (UNAD, 2016)

2.1.9 Probabilidad

Para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o

cuantitativamente, considerando lógicamente, que la medida no debe contemplar la existencia de
ninguna acción de control, o sea, que debe considerarse en cada caso que las posibilidades existen,
que la amenaza se presenta independiente del hecho que sea o no contrarrestada. (UNAD, 2016)

26
 2.1.10 Impacto

Son las consecuencias de la ocurrencia de las distintas amenazas y los daños por pérdidas
que éstas puedan causar. Las pérdidas generadas pueden ser financiaras, económicas, tecnológicas,
físicas, entre otras. (UNAD, 2016)

2.2 MARCO TEÓRICO

El proyecto realizado es un es un plan de auditoria diseñado específicamente para una

PYME de mensajería móvil llamada SMSAmericas. Este tendrá como base los estándares de
mejores prácticas como COBIT e ISO, pero modificado para que se acomode a las necesidades de
la empresa mencionada.

SMSAmericas fue creada a mediado del 2004, iniciando su mercado en los países de
Colombia, Nicaragua, El Salvador y Ecuador. Y actualmente se encuentra en 9 países de
Latinoamérica. Por lo cual la primera versión que se desarrolló del VASP, era sencilla y su
esquema no era de fácil manejo, por lo cual con el pasar de los años se desarrolló el VASP 2, el
cual tiene un esquema mucho más estructurado, pero al que se le han tenido que implementar
desarrollos que no van acorde a su modelo, ni su estructura inicial.

Actualmente los 2 VASP se encuentran trabajando simultáneamente, cada uno haciéndose

cargo de mecánicas específicas.

• VASP 1 – Servicios de concurso, clasificaciones, trivias, juegos, etc.

• VASP 2 – Servicios de suscripción diaria (Que son la mayoría de los servicios), de
igual manera maneja los procesos de cobros que varían por operador.
• Actualmente se está trabajando en el desarrollo de VASP 3, el cual abarcara las
mecánicas que en su anterior versión no se contemplaba, al igual que manejara de

27
manera más óptima la implementación de nuevas mecánicas que puedan salir con
el tiempo y el manejo óptimo de las peticiones realizadas a la plataforma.

28
 3 METODOLOGÍA

La presente investigación se basara en un enfoque mixto con los objetivos de control

contenidos en el estándar COBIT que brinda buenas prácticas a través de una marco referencial
las cuales, se enfocan fuertemente en el control e ilustran un modelo hacia procesos de acuerdo las
áreas de responsabilidad como lo son planear, construir, ejecutar y monitorear, ofreciendo una
visión de punta a punta de TI dentro de la empresa de mensajería móvil donde garantiza lo alineado
del negocio, el uso de los recursos responsables y la administración de los riesgos; por otro lado la
Circular 038 del 2009 que da un enfoque en el cumplimiento de los objetivos y la prestación de
servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento.

3.1 AUDITORIA BASADA EN RIESGOS

Tabla 1 Auditoria Basada en Riesgos

AUDITORIA BASADA EN RIESGOS

RECOPILACIÓN DE LA INFORMACION Y PLANIFICACIÓN
Conocimiento del Negocio
Presentacion del Plan de Auditoria a la Empresa
Levantamiento de Información

COMPRENSIÓN DEL CONTROL INTERNO

Analisis de la Información recolectada
Identificación de Riesgos por Entorno
Evalución de riesgos
Valoración de Riesgos

PRUEBAS DE CUMPLIMIENTO
Realización de Pruebas
Politicas y Normativas de procedimientos de la Organización

REALIZACIÓN DE PRUEBAS
Procedimientos Analiticos
Diseño de Pruebas detalladas por entorno

CONCLUSIÓN DEL PLAN DE AUDITORIA

Recomendaciones en el entorno evaluado
Conclusiones del Plan de Auditoria

29
 4 DESARROLLO

Con el siguiente capítulo se busca desarrollar uno a uno los objetivos presentados al inicio
de este documento.

Cada uno de los objetivos hacen parte de una fase del programa de auditoria de sistemas
diseñado para la empresa SMSAmericas y dirigidos al sistema de información VASP.

4.1 FAMILIARIZACION

La familiarización es la relación que deben tener los auditores inicialmente con la empresa
y más detalladamente con los empleados que están involucrados constantemente con los procesos
de esta.

Los auditores deben tener conocimiento de los objetivos de la actividad o procesos a

auditar, para esto deben obtener información detallada de los mismos.

Inicialmente se realizará una ficha técnica de los servidores que contienen el SI y la base
de datos y equipos que son usados en la empresa para acceder a estos. Tabla 2 Ficha

Tabla 2 Ficha Técnica

FICHA TÉCNICA

OBJETIVO DE LA APLICACIÓN

Gestionar la recepción y envíos de mensajería móvil en tiempo real y con disponibilidad 7/24, manejando
diferentes mecánicas, adicional de gestionar el proceso de cobro de diferentes operadores de acuerdo a las
políticas de cada uno.

ESTADO
En producción.
DEPENDENCIAS
Área Comercial, Operativa y Clientes Externos.

30
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
S.O. Red Hat Ram: 32 Gigas Cualquier Navegador (Explorer, FireFox, Ram: 1GB
Opera, Chrome, etc)
Disco Duro:
BD: Superior a 80
Postgres/pgs Disco Duro: - Microsoft Office desde versión 2003 en Gigas
ql-9.0 1 Raid Cero y 1 Raid 5 con 3 adelante.
discos de 1.2 Teras. - S.O Linux cualquier versión.
- Mac OS X
Procesador:
Procesador: Desde Dual
Intel Xeon Processor E5-4669 Windows 7 en adelante. Core.
v3 (45M Cache, 2.10 GHZ) 18
Núcleos.
REDES
Servidor PCs
Canal dedicado de 20 Megas, se tiene un Una buena conexión a internet
Juniper, un Switch
MÓDULOS
1) Alta a suscripción diaria: MO 2) Generación de Batchs
* Combo text avance y wap * Un solo opt-in para 3) Generación de Mts
club contenido definido 4) Mecanicas Ondemand
* Combo Texto Programado y * Un solo opt-in para * Trivias
Wap Push contenido programado * Clasificaciones
* Combo Texto y Wap Push * Wap push del club * Tarjetas
* Combo text y wap club * Welcome + Url Portal with 5) Generación de cobros.
* Contenido ordenado por bill * Tornado
fecha * Welcome + URL y adiciona * SMT
* Contenido ordenado por registro en mongo Miknal * CDC
secuencia infinita * Welcome y guarde en * Por MT
* Doble opt-in mongo para completar mecanica 6) Recobros
* Double Send Free Welcome adicional 7) Validación de palabras (Baja,
and Content * Welcome y Wap Push with Info, Ayuda).
bill 8) Reminder Messages
* Welcome y Wap Push 9) Envio de Noticias.
without bill
* Welcome y Wap Push
without bill Type Club
* Welcome y Wap Push
without bill Type Club y Miknal
OTRA DOCUMENTACIÓN
No hay.

31
 Para continuar con este acercamiento se diseñó un Cuestionario con preguntas sobre los
entornos involucrados en el sistema de información VASP de la empresa SMSAmericas. Dichas
preguntas fueron formuladas a la persona responsable del personal que realiza las operaciones
cotidianas sobre este SI.

Los entornos que fueron consultados son: Base de datos, Redes y comunicaciones, Control
de Seguridad Lógica e Informática, Control de Compras y Garantía de Hardware, Control y
Seguridad de Instalaciones, Control de Impacto Ambiental, Control Seguridad Física, Control de
Riesgos, Control de Entrenamiento y Control de Mesa de Ayuda.

4.1.1 Cuestionario de Control de Auditorias de Sistemas.

A continuación, se describe una parte de las plantillas de preguntas aplicadas a los

empleados de SMSAmericas, ver Tabla 3. Para acceder a los cuestionarios completos, ver el anexo
número 1.

Tabla 3 Cuestionario de Control de Auditoria de Sistemas

32
 4.1.2 Familiarización por Entornos

En los siguientes numerales se podrá observar la familiarización por cada uno de los
entornos seleccionados. Esta familiarización salió a partir del cuestionario anterior.

4.1.2.1 Bases de Datos

Se realiza un levantamiento de información de los procesos, tecnología, redes, base de

datos asociados al sistema de información VASP, en esta se indica que la base de datos no cuenta
con logs que registren las acciones que se efectúan sobre esta. Aunque indican que realizan copias
de seguridad a los datos y tablas más importantes, diaria o semanalmente de acuerdo al volumen
de información que se mueva en estas. Se observa que los usuarios que ingresan a la base de datos
del área de sistema tienen acceso a la base de datos, donde pueden ingresar, borrar o modificar la
información de la misma sin tener un registro propio, ni restricción de cada usuario, ya que estos
utilizan el mismo usuario. Actualmente no hay un administrador propio de base de datos, ni de la
gestión o creación de usuarios. Ya que se tiene el mismo usuario y la mayoría de los procesos lo
utilizan, no se realiza cambio de la clave, pero para acceder a la base de datos desde un navegador,
se cuenta con otro acceso, la cual permite hacer el cambio de la contraseña sin afectar los procesos
actuales.

Debido a que la persona que diseño e implemento la base de datos ya no se encuentra y no

se pudo hacer una entrega formal del puesto, falta el modelo Entidad Relación, diccionario de
datos o algún diseño físico o lógico que permita entender la estructura de manera rápida.

Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.

El volumen de información (Causada por la cantidad de envíos) va creciendo a diario, por

esto, es necesario hacer backups de las tablas de envíos, donde a diario, en horas de la noche se
corre un proceso que cambia de servidor la tabla del día anterior, dejando solo la tabla del día

33
actual en el servidor principal. Y cada mes se hace el backup del mes anterior y se restaura en otro
servidor, para tener disponible la información de envíos de los últimos 6 meses.

Los backups se tienen en 2 de los servidores principales (Contratados con el proveedor),

de igual manera se tiene otro servidor en la oficina, el cual es espejo de uno de los servidores del
proveedor. Y a medida que el espacio de estos servidores se va agotando, se bajan a algunos
computadores de la oficina.

Si se sufre de daños en algunos de los equipos de cómputo de la empresa, se tienen otros

de respaldo con características similares. Y si se presenta algún otro tipo de problema o se va la
luz, se puede acceder desde los equipos que se encuentran en la casa de algunos de los empleados.

Cuando se solicitan hacer cambios sobre la base de datos o el sistema de información

VASP, se debe recibir un correo con la solicitud formal y se confirma el cambio por Skype, correo
o WhatsApp con la persona que lo solicito. De igual manera todo cambio sobre el sistema queda
guardado y almacenado por versiones, permitiendo devolver a una versión anterior en el caso de
que el cambio que se hizo, no responda de acuerdo a lo solicitado, así mismo todo cambio principal
se deja documentado en una bitácora.

A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el VASP, cada empleado cuenta con su usuario
y contraseña, permitiendo identificar quien realizo cada cambio. Este acceso es entregado a cada
desarrollador y es desactivado cuando alguno ya no se encuentra en la empresa, por parte de un
proveedor que se encuentra en planta.

Actualmente la base de datos no cuenta con procesos o herramientas de auditoria.

34
 Si se presenta un problema con la base de datos en el servidor principal, se tiene un respaldo
de esta en otro servidor y viceversa, al igual que se cuentan con los backups de las tablas
principales.

4.1.2.2 Redes y Comunicaciones

Todos los equipos se encuentran conectados al router principal y en el momento no se hace

gestión alguna sobre la red inalámbrica.

Si se evidencia algún ataque a la red, se procede a hacer las validaciones y a hacer pruebas
sobre esta cuando se considera necesario. La longitud del cableado de la red no excede los 90
metros y hace falta tener un estándar de colores con el cableado. El mapa de la estructura de los
nodos de la red se tiene de manera informal, aunque es fácil de identificar debido a que la oficina
actual es más pequeña.

El firewall está a cargo del proveedor para el acceso a los servidores.

Para poder conectarse a los servidores el router principal cuenta con una IP fija la cual tiene
la autorización de acceso a estos y los equipos de cómputo tienen configuradas las direcciones IP
por medio de DHCP.

No se hace uso de conmutadores, ya que no se trabaja con una red LAN. Se cuenta con
UPS, para regular el voltaje, al igual que el sistema eléctrico cuenta con polo a tierra, con el fin de
disminuir la posibilidad de daños en los equipos.

No se cuenta con un sistema de control de acceso al centro de cómputo, no se tiene

implementado un modelo de QoS. A nivel de la red local de la oficina, no se tiene implementado
más allá de los antivirus y de los sistemas operativos (Linux y Mac) para evitar ataques externos.

35
 En caso de presentarse fallas con el proveedor principal de internet, se cuenta con un
proveedor de backup que está disponible en todo momento, el cual permite conectarse y trabajar a
todos los empleados de la empresa para continuar con las actividades diarias.

Debido a que no se tiene un área de telecomunicaciones, el proveedor de planta valida

algunos temas que se puedan presentar con la red, pero no se llevan a cabo pruebas internas de
ataques periódicas para detectar posibles vulnerabilidades.

4.1.2.3 Control de Seguridad Lógica e Informática

Actualmente la empresa cuenta con procesos automáticos que generan backups diarios de
la información principal de cada servidor y base de datos, que es almacenada afuera del servidor
y cuando se exceden los 60 días, algunos backups se descargan a equipos y en el servidor de la
oficina.

Para desarrollar cualquier tipo de cambio sobre el VASP, se debe tener su propio usuario
y contraseña, la cual es intransferible, proporcionada por el proveedor que se encuentra en planta.

Actualmente no se pide cambio de contraseña, pero esta cumple con la política de números
y letras.

Si se presenta algún problema con el VASP, se entra a analizarlo y a corregir los problemas
en el menor tiempo posible, y por lo general no maneja mantenimiento correctivo.

La mayoría de equipos tienen como sistema operativo Linux o Mac y los que son Windows
cuentan con el antivirus propio del sistema.

La mayoría de software que se tiene en la empresa es libre, pero se cuenta con la licencia
del paquete Office, que está distribuida de acuerdo a la cantidad de equipos que permite.

36
 Si un empleado instala software no permitido, este tiene una sanción.

No se tienen áreas restringidas, por esto no se controla el acceso a la oficina.

Los equipos que se encuentran en uso, cuentan con las capacidades tanto en disco, RAM,
procesador, etc. que se requieren para las actividades diarias.

4.1.2.4 Control de Compra y Garantía de Hardware

Desde el área administrativa no existe un inventario formal actualizado de los equipos que
se tienen actualmente. Los equipos ya tienen la garantía expirada y no hay un plan de
mantenimiento preventivo de los computadores.

Si algún equipo necesita mantenimiento, este es realizado por el mismo equipo del área de
TI. Solo en caso de que se presente un daño grave, es llevado a una empresa de mantenimiento
especializada.

Cuando se necesita adquirir un nuevo equipo, se cuenta con un proceso informal de

validación de las características principales, pero no se tiene un proceso establecido que permita
identificar a tiempo cuando es necesario hacer el cambio y comprar nuevos equipos.

En caso de daños o problemas en la infraestructura de la empresa, se tiene un acuerdo con

algunos empleados para hacer teletrabajo, permitiendo la continuidad del negocio.

Cualquier instalación de software en los servidores de producción se hace con la

autorización previa del IT o el proveedor de planta, ya que se debe habilitar el usuario o se debe
hacer con el usuario administrativo.

37
 Para poder trabajar desde afuera de la oficina, se debe tener registrada la IP, o se debe
acceder a los computadores de la oficina.

4.1.2.5 Control y Seguridad de Instalaciones

La oficina donde se encuentra la empresa, se encuentra acondicionada para funcionar como

el área de TI y el equipo y recursos que fueron entregados a cada empleado, cumplen con las
características necesarias para cumplir las actividades, sin afectar al empleado.

No se tienen lugares restringidos, el espacio es bueno y permite el acceso rápido y fluido.

El sistema de control de emergencias es inexistente, no se tienen extintores, alarmas o

detectores de humo. Únicamente se tiene una entrada y salida, por lo cual no hay salida de
emergencia. Si se cuenta con buena iluminación adentro de la oficina.

No se tienen implementados sistemas de seguridad que permita identificar rápidamente la

sustracción de equipos, información o recursos de la empresa. Esto se trabaja con el nivel de
confianza que se tiene en las personas de acuerdo a lo analizados en el proceso de selección del
personal.

No se permite fumar o beber bebidas alcohólicas dentro de la oficina, ni en horas laborales,

pero si se tiene permitido el consumo de comida. Todo esto se maneja de manera verbal y no por
escrita.

4.1.2.6 Control de Impacto Ambiental

Los procesos que midan y controlen el impacto ambiental que pueda generar la actividad
diaria de la empresa son nulos.

38
 4.1.2.7 Control Seguridad Física

Son escasas las áreas restringidas dentro de la empresa y no se lleva registro o control de
las personas que ingresan a la empresa.

Las contraseñas del sistema se cambian esporádicamente. En caso de presentarse algún

problema con la plataforma se procede con la revisión, análisis y solución de la falla en el menor
tiempo posible.

4.1.2.8 Control Riesgos

En el caso de presentarse algún desastre o problema mayor que impida trabajar desde las
instalaciones de la oficina, no se cuenta con un centro de cómputo alterno, el único medio para
continuar las actividades diarias, es que algunos de los empleados trabajen desde sus casas, dando
autorización de dichas IPs por parte del CEO.

No existe un proceso se mida y administre los posibles riesgos a los que está expuesta la
empresa.

Se tiene identificados cuales son los procesos críticos y a que se le debe dar prioridad ante
una falla del sistema, debido al impacto negativo que puede traer para la empresa de manera
informal.

4.1.2.9 Control de Entrenamiento

Cada vez que ingresa una nueva persona a formar parte del equipo se le explica el
funcionamiento principal del negocio y la plataforma y se le asigna una persona la cual está
pendiente de las inquietudes y trabajo de la persona.

Se tiene un proceso de entrenamiento inicial, el cual se maneja de manera informal y se le

da los accesos para estudiar la documentación de los procesos.

39
 No hay cursos de formación adicional en la empresa.

4.1.2.10 Control de Mesa de Ayuda

Cuando se presenta una falla se detienen las actividades y se le da prioridad a solucionar el

incidente en el menor tiempo posible, pero dependiendo del tipo de falla puede tardar una hora o
un día aproximadamente.

Problemas a nivel de infraestructura de la red o de la empresa, son esporádicas. A nivel de

la plataforma, ya sea por cobros o envíos, aunque ha bajado el porcentaje de problemas, se siguen
presentando fallas.

Se tiene una herramienta hecha a la medida que permite registrar las actividades, los
avances y el tiempo invertido en las solicitudes de los usuarios.

Cuando se está en una llamada, conferencia o charla por Skype u otro medio de
comunicación con los country manager, clientes o el CEO, el porcentaje de interrupción de estas,
es muy bajo.

4.2 ANALISIS DE INFORMACION OBTENIDA

En el siguiente capítulo se llevará a cabo la descripción del análisis realizado a la

información recopilada y entregada por parte de empresa SMSAmericas Ltda. donde se evidencio
que no contaban con una matriz, ni una gestión de riesgos apropiadas.

4.2.1 Definición y Calificación de Riesgos

Debido a las actividades diarias y a lo establecido con el área IT y las evidencias

encontradas, la clasificación, la definición, probabilidad y el impacto del riesgo para la empresa se
muestra a continuación. Ver Tabla 4, Tabla 5

40
 Tabla 4 Clasificación, Calificaciones y Criterios Usados

Tabla 5 Definición del Riesgo

De acuerdo a la familiarización del capítulo anterior, se realizó la matriz de riesgos y su

calificación (Realizada a cada entorno).

A continuación, se describen los riesgos encontrados a partir de la familiarización

realizada. Ver Tabla 6

41
 Tabla 6 Identificación de Riesgos
CODIGO RIESGO

R-01 Perdida de información de la base de datos, causada por robo desde la parte externa de la empresa.

R-02 Perdida de información de la base de datos, causada por robo desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por personal con mala intención.
R-04 Perdida de información de la base de datos, causada por desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información, causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del proveedor.
R-07 Eliminación de información, causada por el personal sin intención o por accidente.
R-08 Eliminación o daño de la información, causada por la ejecución de un proceso inadecuado.

R-09 Daño en la estructura de la base de datos, causada por administración inadecuada de la base de datos.

R-10 Daño de la estructura de la base de base de datos, causada por falta de documentación de su estructura.

R-11 Retrasos en la implementación de cambios en la base de datos, causada por administración inadecuada.

Daño en la base de datos, causada por falta de conocimiento del personal en la estructura de la base de
R-12
datos.
R-13 Robo de información a causa de intrusión a la red por personas ajenas a la empresa.
R-14 Daños en la estructura de la red, causados por ingreso a las oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la detección del cableado interno oportuno.
Infección de la red por causa de la permisividad al acceso a cualquier página de internet por parte de
R-16
los empleados.
R-17 Fallos en la conexión de red, causado por perdida del servicio del proveedor de Internet.
R-18 Ataques a la red a causa de malas configuraciones en el firewall por parte del proveedor.
R-19 Interrupción del servicio, causado por perdida del fluido eléctrico.
R-20 Perdida de información, causada por la no ejecución del proceso de Backup diario.
Daño del código del VASP, causado por hacer cambios directamente en producción y no en el sistema
R-21
de versiones.
R-22 Pérdida de ingresos para la empresa, causado por cambios inadecuados sobre el sistema VASP.

Generación de Multas por parte de los operadores de telefonía móvil, causadas por cambios inadecuados
R-23
sobre el sistema VASP.
R-24 Daño de equipos de cómputo, causado por instalación de software con virus.
R-25 Generación de Multas por parte de la Dian, a causa de instalación de software sin licencia de uso.
R-26 Perdida de información, causada por falta de espacio en los servidores.
R-27 Robo de equipos de cómputo, causado por personal con mala intención.
R-28 Daño de equipos de cómputo, a causa de fallas de fábrica.
R-29 Daño de equipos de cómputo, causado por arreglos hechos por personal no capacitado.
Perdida de dinero, causado por compra de equipos de cómputo no adecuados para llevar a cabo las
R-30
funciones diarias.

42
 R-31 Daño en los servidores, causado por instalación de software malicioso.
R-32 Perdida de información, causado por instalación de software malicioso.
R-33 Perdida de dinero, causado por compra de equipos que no cumplen con el objetivo de la compra.
R-34 Problemas de salud de los empleados, causado por implementos de oficina inadecuados.
R-35 Problemas de salud de los empleados, causado por ventilación inadecuada.
Demandas por parte de los empleados, a causa de caídas dentro de las instalaciones por cables eléctricos
R-36
o de red atravesados en los pasillos.

R-37 Fatiga visual de los empleados, causado por falta de iluminación adecuada dentro de las instalaciones.

R-38 Perdida de la vida de los empleados, causa por falta de salidas alternas ante una catástrofe natural.

R-39 Perdida de equipos de cómputo y objetos de la empresa, causadas por personal mal intencionado.
R-40 Perdida de información, causada por personal mal intencionado.
R-41 Perdida de información, causada por ingreso de personas externas a la empresa.
Perdida de equipos de cómputo y objetos de la empresa, causada por ingreso de personas externas a la
R-42
empresa.
Perdida de la infraestructura, recursos y de información, causada por incendio ocasionado por fumar
R-43
dentro de las instalaciones.
R-44 Pérdida de ingresos, causada por daño en las instalaciones.
R-45 Pérdida de ingresos, causada por no ejecutar todos los procesos que deben correr diariamente.

Generación de multas por parte de los operadores, causada por no ejecutar todos los procesos que deben
R-46
correr diariamente.
Cierre del contrato con el operador, causada por no ejecutar o la mala ejecución de los procesos que
R-47
deben correr diariamente.

R-48 Daño de la información, causado por desconocimiento del personal sobre los procesos de la empresa.

R-49 Perdida de la información, causado por desconocimiento del personal sobre los procesos de la empresa.

Generación de multas por parte de los operadores, causado por desconocimiento del personal sobre los
R-50
procesos de la empresa.
R-51 Rotación constante del personal, causado por no escalamiento dentro de la empresa.
R-52 Daño de la información, causado rotación constante del personal.

4.2.2 Análisis de riesgos en los diferentes entornos

A continuación, se realizará un análisis de riesgos en cada uno de los entornos mencionados

anteriormente en la familiarización.

43
 4.2.2.1 Entorno de Base de Datos

Después del análisis de la información recopilada se encuentra que la mayor amenaza a

nivel de la base de datos del sistema de información VASP es la perdida de información causada
por la ejecución de procesos inadecuados por parte del personal con o sin intención y aunque se
crean backups diarios, se evidencio que no siempre se revisa su estado y que se han presentado
problemas con tablas de las cuales no se tienen procesos de backups.

A continuación, se muestra la matriz y calificación de riesgos para el entorno de base de

datos. Ver Tabla 7

Tabla 7 Matriz de Riesgos de Base de Datos

44
 4.2.2.2 Redes y Comunicaciones

A nivel de la red de la empresa se encontró que está expuesta a daños de la misma, por falta
de controles para el acceso a las instalaciones de personal ajeno, lo cual hace potencial el ataque.

A continuación, se muestra la matriz de riesgos del entorno de redes y comunicaciones.

Ver Tabla 8

Tabla 8 Matriz de Riesgos de Redes y Comunicaciones

4.2.2.3 Control de Seguridad Lógica

Sobre el sistema de información VASP se encontró que cada empleado del área de sistemas
cuenta con un usuario y contraseña para la revisión y cambios sobre este a nivel del sistema de
versiones, pero se encuentra vulnerable a cambios directamente en el ambiente de producción, ya
que se ingresa con el mismo usuario al servidor y su nivel de gestión para mitigar los riesgos
evidenciados actualmente es muy débil.

A continuación, se describe la matriz de riesgos a nivel de Control de seguridad lógica. Ver

Tabla 9

45
 Tabla 9 Matriz de Riesgos de Control de Seguridad Lógica

4.2.2.4 Compras y Garantía de HW

A pesar de que la empresa no cuenta con un sistema de compras y garantía efectivo, no se

encontró evidencia de que esto afecte directamente a la operación del VASP.

A continuación, se muestra la matriz de riesgos para el entorno de Compras y garantía de

HW. Ver Tabla 10

Tabla 10 Matriz de Riesgos de Compras y Garantía de HW

46
 4.2.2.5 Seguridad de Instalaciones

Se encontró que el ingreso de personal ajeno a la empresa, es una de las vulnerabilidades

más latentes, ya que puede ocasionar perdida de información o de equipos.

También se encontró que hay deficiencia en los niveles de control para mitigar algunas
lesiones para los empleados.

A continuación, se muestra la matriz de riesgos del entorno de Seguridad de instalaciones.

Ver Tabla 11

Tabla 11 Matriz de Riesgos de Seguridad de Instalaciones

4.2.2.6 Continuidad del negocio

El mayor riesgo encontrado en este entorno es perder ingresos y el cierre del contrato con
cualquiera de los operadores causado por la ejecución inadecuada de los procesos que se deben
ejecutar a diario por parte del personal y por falta de documentación completa y actualizada de
cada proceso. Ver Tabla 12

47
 Tabla 12 Matriz de Riesgos de Continuidad del Negocio

4.2.2.7 Entrenamiento del Personal

En este entorno de acuerdo a la familiarización y al análisis inicial, se encontró que a pesar

de las acciones que la empresa ha tomado con respecto a la capacitación de los empleados nuevos
y los actuales, sigue presentando falencias.

Por lo cual el personal se considera como uno de los mayores riesgos y retos para la
organización, como se muestra a continuación. Ver Tabla 13

Tabla 13 Matriz de Riesgos de Entrenamiento del Personal

48
 4.2.3 Mapa De Riesgos

A continuación, se detalla el mapa de calor de acuerdo a la calificación de riesgos y se

observa que a la mayoría de riesgos encontrados se les debe hacer una validación mucho más
profunda con la auditoria. Ver Tabla 14

Tabla 14 Mapa de Riesgos

4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y

Cobit 5

Se toma la Circular 38 de septiembre de 2009 de la Superfinanciera como base normativa

para iniciar la compañía en el entorno de estándares internacionales ya que esta no tiene ninguna
norma como base. Luego de revisar de la Circular 038 cuales son los procesos que aplican para la
empresa SMSAmericas, se realiza una comparación con Cobit 5 para saber cuáles van a ser los
pilares para iniciar la empresa en estas buenas prácticas de reconocimiento internacional. Ver
Tabla 15

49
 Tabla 15 Normatividad: Circular 038 de Sptiembre de 2009 - Cobit 5
PROCE NORMATIVIDAD: CIRCULAR 038 DE SEPTIEMBRE DE 2009 - COBIT
RISGO INDICADOR DE GESTIÓN
SO SUPERFINANCIERA 5
7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.
PO5 / Cantidad de procesos evaluados /
I
Evaluación de la tecnología actual. R-26 AI3 Cantidad de procesos
DS4 / Cantidad de alternativas presentadas /
III Estudios de mercado y factibilidad de alternativas tecnológicas que R-29 / R-30 / R-33
DS6 Cantidad de necesidades de la entidad
respondan a las necesidades de la entidad.
7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.
Cantidad de cambios solicitados /
I Identificación clara del cambio a realizar en la infraestructura. R-22 AI6 Cantidad de cambios de infraestructura
realizados
AI6 / Cantidad de cambios evaluados /
III Evaluación del impacto que ocasiona el cambio en la infraestructura. R-23
PO5 Cantidad de realizados
Cantidad de cambios solicitados / la
III Procedimiento de autorización de los cambios. R-11 AI6
cantidad de cambios autorizados
Cantidad de incidentes solucionados en
PO9 /
IV Procedimiento de administración de versiones. R-21 cada versión / Cantidad de versiones
AI6
implementadas en un año.
Cantidad de solicitudes de cambio /
AI2 /
V Políticas de distribución del software. R-24 / R-25 Cantidad de Software con políticas de
AI3
distribución.
7.6.2.4 SEGURIDAD DE LOS SISTEMAS.
Cantidad de solicitudes de autorizadas /
I Autorización, autenticación y control de acceso. R-01 / R-02 / R-39 / R-40 DS5
Cantidad de solicitudes Autorizadas
DS4/ Cantidad de casos reportados / Cantidad
II
Prevención y detección de código malicioso, virus, entre otros. R-03 / R-13 / R-31 / R-32 / R-18 DS9 de detectados
Empleados capacitados / Total de
III
Entrenamiento de usuarios. R-04 / R-07 / R-12 / R-48 / R-49 DS7 empleados
7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.
DS4 /
I Establecer controles de entrada, procesamiento y salida para garantizar la R-05 / R-09 -
DS11
autenticidad e integridad de los datos.

50
 Preservar la segregación de funciones en el procesamiento de datos y la Cantidad de Procesos no ejecutados por
DS7 /
II verificación rutinaria del trabajo realizado. Los procedimientos deberán R-08 / R-10 / R-45 / R-46 / R-47 semana / Cantidad de procesos
AI6
incluir controles de actualización adecuados, como totales de control Ejecutados por semana
"corrida a corrida" y controles de actualización de archivos maestros.

III Establecer los mecanismos necesarios para garantizar la integridad R-20 DS4 -
continua de los datos almacenados.
Cantidad de controles en las plataformas /
IV Establecer controles para garantizar la integración y consistencia entre
Total de plataformas
plataformas. R-06 DS2
7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.
Cantidad de incidentes de seguridad /
I Acceso a las instalaciones. R-14 / R-27 / R-28 / R-41 / R-42 DS5
Cantidad de registro en las instalaciones

Cantidad de ataques de seguridad

II Controles de seguridad física. R-43 / DS6 / R-44 DS12 registrados bimensualmente / Cantidad de
sistemas de seguridad implementados

Cantidad de ataques de seguridad

III Planeamiento de continuidad del negocio y administración de crisis. R-15 / R-16 / R-17 / R-19 registrados bimensualmente / la cantidad
de sistemas de seguridad implementados
DS4
Cantidad de casos reportados de
R-34 / R-35 / R-36 / R-37 / R-38 /
IV Salud y seguridad del personal. PO7 accidentalidad / Total de Empleados
R-51 / R-52
contratados Activos

51
4.3 DISEÑO Y EVALUACION

4.3.1 Programación de Prueba de Auditoria

Inicialmente en este literal se realizará la programación de las pruebas de auditoría por

entornos. Ver Tabla 16

Tabla 16 Programación de Prueba de Auditoría

REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS TAB

ENTORNO: BASE DE DATOS

P001 Verificar si existe fuga de información, por falta de políticas de R-01 Tabla 17
control de acceso.

P002 Verificar si existe fuga de información, por falta de políticas de R-02 Tabla 18
creación de usuarios y contraseñas.

P003 Validar el proceso de selección de personal y ver si cumple con R-03, R-05 Tabla 19
los objetivos del negocio.

P004 Validar si la documentación entregada al personal está R-04 Tabla 20

actualizada y si este cumple con el procedimiento estipulado.

P005 Revisar el contrato con el proveedor que presta el servicio de R-06 Tabla 21
alojamiento de servidores Tenzing y confirmar si se tienen
cláusulas que permitan asegurar el buen estado de los
servidores, recuperación de la información ante un daño en las
instalaciones del proveedor.

P006 Verificar el proceso de recuperación de información de la base R-07, R-08 Tabla 22

de datos, cuando es eliminada accidentalmente.

P007 Validar el proceso de control de cambios establecidos para la R-09, R-11, Tabla 23
base de datos. R-12

P008 Validar la documentación de la base de datos del sistema de R-10 Tabla 24

información VASP.

52
 PROCESO: REDES Y COMUNICACIONES

P009 Garantizar que cada usuario se autentique al ingresar a la red R-13 Tabla 25
empresarial.

P010 Comprobar la seguridad configurada en el software para acceso R-13 Tabla 26

remoto al SI VASP.

P011 Validar el acceso de las personas que ingresan a las R-14, R-27, Tabla 27
instalaciones y que trabajos se disponen a realizar. R-39, R-40,
R-41

P012 Comprobar la integridad del cableado estructurado. R-15, R-36 Tabla 28

P013 Verificar las políticas de acceso a internet configuradas en el R-16 Tabla 29

firewall.

P014 Verificar la conexión de red instalada en las oficinas y la R-17 Tabla 30

prestación del servicio por parte del proveedor

P015 Comprobar las configuraciones del firewall por parte del R-18 Tabla 31
proveedor.

P016 Verificar el funcionamiento de la UPS. R-19 Tabla 32

PROCESO: SEGURIDAD LOGICA

P017 Verificar los logs de los backups realizados. R-20 Tabla 33

P018 Verificar el procedimiento para las pruebas de cambios en el R-21, R-22, Tabla 34
código fuente. R-23

P019 Verificar el software instalado en los equipos de cómputo. R-24, R-31, Tabla 35
R-32

P020 Revisar las licencias del software instalado en los equipos de R-25 Tabla 36
cómputo.

P021 Comprobar la eliminación de archivos temporales y obsoletos. R-26 Tabla 37

PROCESO: RIESGOS DE COMPRAS Y GARANTÍA DE HW

53
P022 Revisión del cubrimiento de la garantía de los equipos de R-28 Tabla 38
cómputo.

P023 Confirmar la capacitación del personal de soporte técnico de R-29 Tabla 39

equipos de cómputo.

P024 Revisar las especificaciones técnicas de los equipos de R-30 Tabla 40

cómputo necesarios para la labor en la compañía.

PROCESO: SEGURIDAD DE INSTALACIONES

P025 Supervisar los elementos de oficina. R-34 Tabla 41

P026 Confirmar el funcionamiento de la ventilación de la oficina. R-35 Tabla 42

P027 Verificación de la luminosidad de los diferentes espacios de la R-37 Tabla 43

compañía.

P028 Comprobar las señalizaciones de emergencia instalados en la R-38 Tabla 44

compañía.

ENTORNO: CONTINUIDAD DEL NEGOCIO

P029 Validar los cargos y los procesos establecidos para la R-45 / R- Tabla 45
continuidad del Negocio. 46 / R-47

P030 Asegurar que los proveedores y distribuidores principales o R-42 / R- Tabla 46

críticos aseguran la continuidad de los procesos ante una falla 44
o catástrofe.

P031 Verificar las estrategias para la mejora del plan de continuidad R-43 Tabla 47
del negocio.

P032 Validar si se hace respaldos periódicos de la información. R-44 Tabla 48

P033 Validar si se sabe qué tan rápido debe reanudar operaciones tras R-50 Tabla 49
una interrupción para evadir impactos severos que amenacen
su supervivencia.

P034 Validar si se realizan Backup. R-40 Tabla 50

54
P035 Validar si ante una eventual catástrofe o incidencia, se conocen R-43 Tabla 51
y se tienen claras las rutas de escalamiento, para poder dar
continuidad al negocio

P036 Validar si se tiene controles de acceso a las diferentes áreas R-41 / R- Tabla 52
dentro de la empresa. 42

ENTORNO: ENTRENAMIENTO DEL PERSONAL

P037 Validar si se tiene actualizadas las descripciones y requisitos de R-52 Tabla 53

los puestos de trabajo.

P038 Validar cual es el tiempo medio para cubrir un puesto de trabajo R-51 Tabla 54
de acuerdo a las diferentes categorías de empleados al
momento de reclutar.

P039 Validar las políticas que se tiene en marcha respecto del R-51 Tabla 55
reclutamiento interno y externo.

P040 Revisar si se cuenta con formularios de evaluación del R-50 / R- Tabla 56

desempeño que se emplean para las diferentes categorías de 51 / R-52
empleados.

P041 Validar los planes tiene para cubrir las necesidades futuras de R-51 Tabla 57
recursos humanos en las diferentes áreas.

P042 Validar si se realizan proceso de capacitación de los diferentes R-48 / R- Tabla 58

cargos. 49 / R-50 /
R-52

55
 4.3.2 Diseño Pruebas de Auditoria

Se realizar el diseño de las pruebas de auditoria basados en la programación descrita en el

apartado anterior.

Las siguientes son pruebas que evaluaran el entorno de base de datos. La prueba P001 está
relacionada con las políticas de control de acceso a las bases de datos y verificara si existe fuga de
información por este motivo. Ver Tabla 17

Tabla 17 Prueba P001 Políticas de Control de Acceso a base de datos

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P001
PROCESO: Políticas de control de acceso a base de datos.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de

control de acceso.

TIPO: Mixta

CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al pgadmin

desde la Web y la segunda clave de acceso

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y

Disco Duro de 250 GB)

PROCEDIMIENTO A EMPLEAR

56
  Ingresar con el usuario entregado por el área IT y confirmar si se tienen validaciones de
ingreso erróneo.
 Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo desde
la web.
 Digitar erróneamente la contraseña 5 veces.
 Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.
 Se trabaja con el programa Asterisk key 10.0
 Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base
de datos del VASP.
 Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk
Key.
 Capturar el resultado de la prueba.

La prueba P002 está relacionada con las políticas de creación de usuarios y contraseñas y
verificara si existe fuga de información por este motivo. Ver Tabla 18

Tabla 18 Prueba P002 Políticas de Creación de Usuarios y Contraseñas.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P002
PROCESO: Políticas de creación de usuarios y contraseñas.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de

creación de usuarios y contraseñas.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

57
 HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)

DOCUMENTACIÓN: Listado de usuarios activos.

PROCEDIMIENTO A EMPLEAR

 Solicitar la lista de usuarios asociados en la base de datos.

 Validar con recursos humanos que personas se encuentran aún en la empresa y
compararlos contra la lista de usuarios entregada.
 Validar el ingreso a la base con usuarios que se encuentren activos y confirmar si el
sistema tiene restricción para los usuarios que se encuentran inactivos.
 Validar si el ingreso a la base de datos es único por sección y usuario.
 Ingresar al mismo tiempo desde dos navegadores diferentes con el usuario
entregado.

La prueba P003 está relacionada con las políticas de selección del personal y validar el
proceso el proceso para esto. Ver Tabla 19

Tabla 19 Prueba P003 Políticas de Selección de Personal.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P003
PROCESO: Políticas de selección de personal.

OBJETIVO DE LA PRUEBA: Validar el proceso de selección de personal y ver si cumple con

los objetivos del negocio.

TIPO: Mixta

CONTROLES A PROBAR: Se tiene un proceso de selección que permite contratar personal

idóneo y de confianza.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN
DOCUMENTACIÓN: Contratos de 4 empleados.

58
 Pruebas técnicas y psicotécnicas realizadas a los empleados.
PROCEDIMIENTO A EMPLEAR

 Solicitar el proceso de contratación para las personas del área de Sistemas.

 Analizar las políticas de contratación del personal.
 Analizar las pruebas técnicas realizadas de acuerdo al cargo al que ingreso.
 Comparar el proceso de contratación de la empresa SMSAmericas Ltda. para el área de
IT vrs el proceso de otras empresas para el mismo cargo.

La prueba P004 está relacionada con la documentación entregada al personal y la

verificación de si la misma está actualizada. Ver Tabla 20

Tabla 20 Prueba P004 Documentación Entregada al Personal.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P004
PROCESO: Documentación entregada al personal.

OBJETIVO DE LA PRUEBA: Validar si la documentación entregada al personal está

actualizada y si este cumple con el procedimiento estipulado.

TIPO: Mixta

CONTROLES A PROBAR: Antes de dar acceso a la base de datos, se entrena al empleado y

se le hace acompañamiento durante la fase de entrenamiento.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

59
 DOCUMENTACIÓN: Instructivos, Procedimientos y Manuales entregados al personal para
capacitación.

PROCEDIMIENTO A EMPLEAR

 Revisar la documentación entregada al personal.

 Ejecutar el paso a paso de uno de los procesos encontrados en la documentación en
compañía de personal calificado.
 Comparar proceso ejecutado por el personal, contra lo indicado en la documentación
entregada.

La prueba P005 está relacionada con el contrato con el proveedor del servicio de
alojamiento y arrendamiento de los servidores. Ver Tabla 21

Tabla 21 Prueba P005 Contrato con Proveedor de Alojamiento de Servidores

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P005
PROCESO: Contrato con proveedor de alojamiento de servidores.

OBJETIVO DE LA PRUEBA: Revisar el contrato con el proveedor que presta el servicio de

alojamiento y arrendamiento de servidores Tenzing y confirmar si se tienen cláusulas que
permitan asegurar el buen estado de los servidores, recuperación de la información ante un daño
en las instalaciones del proveedor.

TIPO: Mixta

CONTROLES A PROBAR: Se tiene un contrato con el proveedor de alojamiento y

arrendamiento de servidores Tenzing, con quienes se tienen cláusulas de aseguramiento de la
información.

RECURSOS NECESARIOS PARA APLICARLA

60
 INFORMACIÓN

DOCUMENTACIÓN: Contrato de prestación de servicios con el proveedor Tenzing.

PROCEDIMIENTO A EMPLEAR

 Solicitar a la gerencia el contrato vigente con el proveedor Tenzing.

 Evaluar las cláusulas del contrato.

La prueba P006 está relacionada con la recuperación de información y verificar el proceso

para esta cuando se elimina accidentalmente. Ver Tabla 22

Tabla 22 Prueba P006 Recuperación de Información.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P006
PROCESO: Recuperación de Información.

OBJETIVO DE LA PRUEBA: Verificar el proceso de recuperación de información de la base

de datos, cuando es eliminada accidentalmente.

TIPO: Mixta

CONTROLES A PROBAR: Se realizan backups de la información principal a diario.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

61
 HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB).

DOCUMENTACIÓN: Procedimiento de generación de backups.

PROCEDIMIENTO A EMPLEAR

 Solicitar el proceso de creación de backups.

 Listado de los procesos a los que se le hace backups.
 Restaura un backup y validar su integridad.

La prueba P007 está relacionada con el control de cambios y la validación de los procesos
establecidos para estos. Ver Tabla 23

Tabla 23 Prueba P007 Control de Cambios.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P007
PROCESO: Control de cambios.

OBJETIVO DE LA PRUEBA: Validar el proceso de control de cambios establecidos para la

base de datos.

TIPO: Mixta

CONTROLES A PROBAR: Antes de poner en producción cualquier cambio es evaluado por

el jefe de operaciones o por el desarrollador master.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

62
 SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

DOCUMENTO: Manual de control de cambios.

PROCEDIMIENTO A EMPLEAR

 Solicitar el manual de control de cambios.

 Solicitar documentación de los últimos 2 cambios realizados en el VASP.
 Validar si los cambios afectaron directamente a la base de datos.

La prueba P008 está relacionada con la documentación sobre la base de datos del Sistema
de Información VASP y validar que este actualizada. Ver Tabla 24

Tabla 24 Prueba P008 Documentación sobre la Base de Datos del VASP.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Base de Datos

PRUEBA No: P008
PROCESO: Documentación sobre la base de datos del VASP.

OBJETIVO DE LA PRUEBA: Validar la documentación de la base de datos del sistema de

información VASP.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

63
 HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)

DOCUMENTO: Modelo E/R, Diccionario de Base de Datos.

PROCEDIMIENTO A EMPLEAR

 Solicitar el Modelo E/R.

 Solicitar el Diccionario de datos.

Las siguientes son pruebas que evaluaran el entorno de redes y comunicaciones. La prueba
P009 está relacionada con garantizar que cada usuario se autentique al ingresar a la red empresarial
validando que cada uno tenga su propio identificador. Ver Tabla 25

Tabla 25 Prueba P009 Garantizar que Cada Usuario se Autentique al Ingresar a ka

Red Empresarial

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P009
PROCESO: Garantizar que cada usuario se autentique al ingresar a la red empresarial.
OBJETIVO DE LA PRUEBA: Validar que cada persona que acceda a la red de SMS Américas
tenga asignado un usuario y contraseña para que se autentique en el Sistema.

TIPO: Mixta

CONTROLES A PROBAR: Se tiene configurado clave de acceso.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Postgres/pgsql-9.0 Motor de Base de Datos, Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

64
PROCEDIMIENTO A EMPLEAR

 Solicitar al IT o al Jefe de Operaciones los usuarios que tienen acceso a la red de la

compañía.
 Ingresar a la dirección electrónica http://database.smsamericas.net/ donde solicitara el
usuario y contraseña.
 Se evidenciará si se cuenta con el acceso a la base, se realiza este mismo procedimiento
con varios usuarios ya confirmados por el IT o el Jefe de Operaciones.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P010 está relacionada con la comprobación de la seguridad configurada en el

software para el acceso remoto al VASP. Ver Tabla 26

Tabla 26 Prueba P010 Comprobar la seguridad Configurada de Seguridad del

Software Utilizado para la Conexión Remota.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P010
PROCESO: Comprobar la seguridad configurada en el software para acceso remoto al SI
VASP.
OBJETIVO DE LA PRUEBA: Validar la configuración de seguridad del software utilizado para
la conexión remota.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: TeamViewer, Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

65
PROCEDIMIENTO A EMPLEAR

 Solicitar al IT o al Jefe de Operaciones los usuarios que tienen autorizado el acceso

remoto por TeamViewer.
 Solicitar el acceso al equipo de alguno de los usuarios para verificar la configuración.
 Revisar si las configuraciones de seguridad del TeamViewer cumple con las políticas de
seguridad de la compañía.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P011 está relacionada con validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar comprobando la seguridad que se otorga. Ver
Tabla 27

Tabla 27 Prueba P011 Validar el Acceso a las Personas que Ingresan a las
Instalaciones y que Trabajos se Disponen a Realizar.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P011
PROCESO: Validar el acceso de las personas que ingresan a las instalaciones y que trabajos se
disponen a realizar.

OBJETIVO DE LA PRUEBA: Comprobar la seguridad al otorgar acceso de las personas a las

instalaciones.

TIPO: Mixta

CONTROLES A PROBAR: N/E

66
RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

PERSONAL: IT o al Jefe de Operación y personal de seguridad

PROCEDIMIENTO A EMPLEAR

 Solicitar al personal de seguridad la minuta de acceso de visitantes.

 Confirmar si en la minuta queda consignado la razón de la visita.
 Verificar si los visitantes tendrán o no acceso a lugares no permitidos o confidenciales de
la empresa.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P012 está relacionada con la comprobación de la integridad del cableado

estructurado instalado en las oficinas de la compañía. Ver Tabla 28

Tabla 28 Prueba P012 Comprobar la Integridad del Cableado Estructurado.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P012
PROCESO: Comprobar la integridad del cableado estructurado.

OBJETIVO DE LA PRUEBA: Comprobar la infraestructura del cableado estructurado instalado

en las oficinas de la compañía.

TIPO: Mixta

CONTROLES A PROBAR: N/E

67
RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

PERSONAL: IT o al Jefe de Operación y personal de seguridad

PROCEDIMIENTO A EMPLEAR

 Solicitar los planos del cableado estructurado instalado en las oficinas.

 Verificar la marcación en los equipos de red y cableado estructurado.
 Inspeccionar los sectores en el que el cableado no se ve en óptimas condiciones.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P013 está relacionada con la verificación de las políticas de acceso a internet
configuradas en el firewall comprobando los permisos otorgados. Ver Tabla 29

Tabla 29 Prueba P013 Verificar las Políticas de Acceso a Internet Configuradas en

el Firewall.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P013
PROCESO: Verificar las políticas de acceso a internet configuradas en el firewall.
OBJETIVO DE LA PRUEBA: Comprobar las configuraciones de los permisos de acceso a
internet configuradas en el firewall.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.

PERSONAL: IT o al Jefe de Operación.

68
PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación el acceso a la configuración del firewall.

 Verificar las políticas de restricción de acceso a páginas de internet.
 Inspeccionar el listado de páginas no permitidas y probar el ingreso a las mismas.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P014 está relacionada con los fallos en la conexión de red a causa de pérdida del
servicio por parte del proveedor verificando el servicio por parte del proveedor secundario. Ver
Tabla 30

Tabla 30 Prueba P014 Verificar la Conexión de Red a Instalada en las Oficinas y la

Prestación del Servicio por Parte del Proveedor.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P014
PROCESO: Verificar la conexión de red instalada en las oficinas y la prestación del servicio
por parte del proveedor.
OBJETIVO DE LA PRUEBA: Verificar la correcta prestación del servicio por parte del
proveedor secundario.

TIPO: Mixta

CONTROLES A PROBAR: Se cuenta con un proveedor alterno para el servicio de internet.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.

PERSONAL: IT o al Jefe de Operación.

69
PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación las direcciones IP asignadas por el proveedor secundario.

 Realizar un cambio de proveedor y configurar el acceso por el segundo.
 Realizar un ping a direcciones externas haciendo uso del servicio del segundo proveedor.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

La prueba P015 está relacionada con comprobar las configuraciones del firewall por parte
del proveedor confirmando su correcta configuración partiendo desde las necesidades dadas por
SMSAmericas. Ver Tabla 31

Tabla 31 Prueba P015 Comprobar las Configuraciones del Firewall por Parte del
Proveedor.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P015
PROCESO: Comprobar las configuraciones del firewall por parte del proveedor.
OBJETIVO DE LA PRUEBA: Confirmar la correcta configuración del firewall por parte del
proveedor del servicio.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del

servicio.
 Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

70
 La prueba P016 está relacionada con la verificación del funcionamiento de la UPS siendo
esta un respaldo eléctrico instalado en la compañía. Ver Tabla 32

Tabla 32 Prueba P016 Verificar lel Funcionamiento de la UPS.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Redes y Comunicaciones

PRUEBA No: P016
PROCESO: Verificar el funcionamiento de la UPS.

OBJETIVO DE LA PRUEBA: Verificar el correcto funcionamiento del respaldo eléctrico

instalado en la compañía.

TIPO: Mixta

CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos equipos
mientras la luz se restaura.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del

servicio.
 Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

71
 Las siguientes son pruebas que evaluaran el entorno de seguridad lógica. La prueba P017
está relacionada con la verificación de los logs de los backups realizados para comprobar que se
estén realizando en los tiempos estipulado. Ver Tabla 33

Tabla 33 Prueba P017 Verificar los Logs de lso Backups Realizados.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad Lógica

PRUEBA No: P017
PROCESO: Verificar los logs de los backups realizados.
OBJETIVO DE LA PRUEBA: Revisar los logs para confirmar que los backups se estén
realizando en los tiempos estipulados.

TIPO: Mixta

CONTROLES A PROBAR: Ejecutar el proceso manual al día siguiente.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación las políticas y procedimientos para la realización de los

backups.
 Solicitar al jefe de operaciones el acceso al servidor donde se encuentran alojados los
logs de los backups.
 Revisar los logs para verificar las últimas fechas de los backups y comparar los tiempos
con lo estipulado en las políticas y procedimientos.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

72
 La prueba P018 está relacionada con la verificación del procedimiento para las pruebas de
cambios en el código fuente. Ver

Tabla 34 Prueba P018 Verificar el Procedimiento para las Pruebas de Cambios en el

Código Fuente.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad Lógica

PRUEBA No: P018
PROCESO: Verificar el procedimiento para las pruebas de cambios en el código fuente.
OBJETIVO DE LA PRUEBA: Revisar los procedimientos realizados al momento de hacer
cambios en el código fuente.

TIPO: Mixta

CONTROLES A PROBAR: Revertir el cambio y subir la última versión sin fallas en la

producción.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación las políticas y procedimientos para la realización de los

cambios en el código fuente.
 Indagar con el personal del área los procedimientos que siguen al momento de realizar
cambios en el código fuente.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

73
 La prueba P019 está relacionada con la verificación del software instalado en los quipos de
computo sea el autorizado para el uso corporativo. Ver Tabla 35

Tabla 35 Prueba P019 Verificar el Softwrae Instalado en los Equipos de Cómputo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad Lógica

PRUEBA No: P019
PROCESO: Verificar el software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar si el software instalado en los computadores es el
autorizado para uso corporativo.

TIPO: Mixta

CONTROLES A PROBAR: La mayoría de equipos tienen como sistema operativo Linux o

Macintosh.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
 Seleccionar algunos equipos de muestra y realizar la revisión en el panel de control,
programas y verificar el listado del software instalado.
 Realiza una comparación entre el software encontrado y el aprobado por la compañía.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

74
 La prueba P020 está relacionada con la revisión de las licencias del software instalado en
los equipos de cómputo. Ver Tabla 36

Tabla 36 Prueba P020 Revisar las Licencias del Software Instalado en los Equipos
de Cómputo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad Lógica

PRUEBA No: P020
PROCESO: Revisar las licencias del software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar que el software instalado en la empresa esté
debidamente licenciado.

TIPO: Mixta

CONTROLES A PROBAR: La mayoría de equipos tienen como sistema operativo Linux o

Macintosh.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
 Solicitar las licencias de cada software instalado en los equipos.
 Compara la cantidad de licencias adquiridas con respecto a la cantidad de equipos o
usuarios que hacen uso de este software.
 Realiza una verificación del tiempo de vigencia de las licencias.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

75
 La prueba P021 está relacionada con la comprobación de la eliminación de archivos
temporales y obsoletos para la liberación del espacio en los servidores. Ver Tabla 37

Tabla 37 Prueba P021 Comprobar la Eliminación de Archivos Temporales y

Obsoletos.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad Lógica

PRUEBA No: P021
PROCESO: Comprobar la eliminación de archivos temporales y obsoletos.
OBJETIVO DE LA PRUEBA: Verificar el procedimiento para la liberación del espacio en los
servidores.

TIPO: Mixta

CONTROLES A PROBAR: Se tienen implementadas alertas que informan cuando se está

acabando el espacio en cada partición del disco y servidor.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación el documento de procedimientos para la liberación de

espacio y eliminación de archivos obsoletos.
 Solicitar al operador abrir las carpetas de temporales locales y de usuario para verificar
el tamaño de cada carpeta.
 Verificar el historial de backups almacenados en los discos del servidor para saber la
antigüedad de cada uno de ellos.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

76
 Las siguientes son pruebas que evaluaran el entorno de compras y garantía de Hardware.
La prueba P022 está relacionada con la revisión del cubrimiento de la garantía de los equipos de
cómputo y su vigencia. Ver Tabla 38

Tabla 38 Prueba P022 Revisión del Cubrimiento de la Garantía de los Equipos de

Cómputo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Riesgos De Compras Y Garantía De Hw

PRUEBA No: P022
PROCESO: Revisión del cubrimiento de la garantía de los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar el cubrimiento de la garantía de los equipos de
cómputo y su vigencia.

TIPO: Mixta

CONTROLES A PROBAR: Llevar un control del tiempo de garantía de los equipos.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operación el archivo de las garantías de los equipos de cómputo.

 Verificar que la fecha de vigencia de las garantías todavía este activa.
 Solicitar soporte si existen extensiones a las garantías vencidas.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

77
 La prueba P023 está relacionada con la confirmación de capacitación del personal de
soporte técnico de equipos de cómputo. Ver Tabla 39

Tabla 39 Prueba P023 Confirmar la Capacitación del Personal de Soporte Técnico

de Equipos de Cómputo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Riesgos De Compras Y Garantía De Hw

PRUEBA No: P023
PROCESO: Confirmar la capacitación del personal de soporte técnico de equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar la experticia y la capacidad que posee el personal de
soporte técnico de los equipos de cómputo.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al director de recurso humano las pruebas realizadas al personal de soporte

técnico.
 Solicitar al jefe de operaciones los soportes de mantenimiento a los equipos de cómputo
por parte del área de soporte técnico.
 Comparar los soportes entregados por el jefe de operaciones con los reportes de los
daños de computo.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

78
 La prueba P024 está relacionada con la revisión de las especificaciones técnicas de los
equipos de cómputo aprobados por la gerencia, necesarios para la labor en la compañía. Ver Tabla
40

Tabla 40 Prueba P024 Revisar las Especificaciones Técnicas de los Equipos de

Cómputo necesarios para la Labor en la Compañia.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Riesgos De Compras Y Garantía De Hw

PRUEBA No: P024
PROCESO: Revisar las especificaciones técnicas de los equipos de cómputo necesarios para la
labor en la compañía.
OBJETIVO DE LA PRUEBA: Verificar que los equipos de cómputo que son utilizados en la
compañía cumplan con las especificaciones técnicas aprobadas por la gerencia.

TIPO: Mixta

CONTROLES A PROBAR: Se valida de manera informal, las características que se necesitan

para la adquisición de nuevos equipos.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de operaciones las políticas para compra de equipos de cómputo y las
especificaciones que deben tener.
 Solicitar al operador de sistemas una impresión de las especificaciones técnicas de un
computador. Información que se obtendrá desde la herramienta de información del
sistema.
 Comparar las políticas con los reportes de información del sistema impresos.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

79
 Las siguientes son pruebas que evaluaran el entorno de seguridad de instalaciones. La
prueba P025 está relacionada con la supervisión de los elementos de oficina, entregados a los
empleados. Ver Tabla 41

Tabla 41 Prueba P025 Supervisar los Elementos de Oficina.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P025
PROCESO: Supervisar los elementos de oficina.
OBJETIVO DE LA PRUEBA: Verificar que los elementos de oficina entregados a los
empleados son acordes a sus labores diarias.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al jefe de recurso humano el listado de los elementos de trabajo autorizados por
la gerencia para entregar a los empleados.
 Solicitar al jefe de recurso humano los lineamientos de ergonomía y seguridad aprobados
para los elementos y equipos de trabajo entregados a los empleados.
 Verificar que los equipos de oficina y computo cumplan con los estándares de
ergonomía y seguridad aprobados.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

80
 La prueba P026 está relacionada con la confirmación del funcionamiento de la ventilación
de la oficina. Ver

Tabla 42 Prueba P026 Confirmar el Funcionamiento de la Ventilación de la Oficina.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P026
PROCESO: Confirmar el funcionamiento de la ventilación de la oficina.
OBJETIVO DE LA PRUEBA: Verificar las óptimas condiciones y funcionamiento del sistema
de ventilación instalado en la oficina.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al Jefe de Operaciones los manuales y planos de instalación del sistema de

ventilación.
 Solicitar al Jefe de operaciones el historial y los soportes de los mantenimientos
realizados al sistema de ventilación.
 Realizar una verificación del funcionamiento del sistema de ventilación instalado en las
oficinas.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

81
 La prueba P027 está relacionada con la verificación de la luminosidad de los diferentes
espacios de la compañía y las óptimas condiciones de funcionamiento. Ver Tabla 43

Tabla 43 Prueba P027 Verificación de la Luminosidad de los Diferentes Espacios de

la Compañia.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P027
PROCESO: Verificación de la luminosidad de los diferentes espacios de la compañía.
OBJETIVO DE LA PRUEBA: Verificar las óptimas condiciones y funcionamiento del sistema
de iluminación en las oficinas.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al Jefe de Operaciones los manuales y planos de instalación del sistema de

iluminación.
 Solicitar al Jefe de operaciones el historial y los soportes de los mantenimientos
realizados al sistema de iluminación.
 Realizar una verificación del funcionamiento del sistema de iluminación instalado en las
oficinas.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

82
 La prueba P028 está relacionada con la comprobación de las señalizaciones de emergencia
instalados en la compañía. Ver Tabla 44

Tabla 44 Prueba P028 Comprobar las Señalizaciones de Emergencia Instalados en

la Compañía.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ACTIVIDAD: Seguridad De Instalaciones

PRUEBA No: P028
PROCESO: Comprobar las señalizaciones de emergencia instalados en la compañía.

OBJETIVO DE LA PRUEBA: Verificar las señalizaciones instaladas en las oficinas.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: Windows 7.

HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB

PERSONAL: IT o al Jefe de Operación.

PROCEDIMIENTO A EMPLEAR

 Solicitar al Jefe de Operaciones los manuales y planos de señalización de las oficinas y

centros de cómputo.
 Verificar que las señalizaciones se encuentren en perfecto esta y en un lugar visible por
el personal.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

83
 Las siguientes son pruebas que evaluaran el entorno de continuidad del negocio. La prueba
P029 está relacionada con la validación de los cargos y los procesos establecidos para la
continuidad del negocio. Ver Tabla 45

Tabla 45 Prueba P029 Validar los Cargos y los Procesos Establecidos para la
Continuidad del Negocio.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P029
PROCESO: Validar los cargos y los procesos establecidos para la continuidad del Negocio.
OBJETIVO DE LA PRUEBA: Verificar si se tienen identificados los procesos y los cargos que
se deben de tener en cuenta para la continuidad del negocio.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR
 Validar la cantidad de procesos de la empresa.

 Validar los procesos que se tiene en cuenta para la continuidad del negocio.

 Validar la cantidad de cargos en la empresa.

 Validar los cargos que se requieren para la continuidad del negocio.

84
 La prueba P030 está relacionada con la validar que los proveedores y los distribuidores
principales aseguren la continuidad del negocio ante una catástrofe. Ver

Tabla 46 Prueba P030 Continuidad del Negocio por Parte de los Proveedores y
Distribuidores.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P030
PROCESO: Continuidad del negocio por parte de los proveedores y distribuidores.
OBJETIVO DE LA PRUEBA: Validar que los proveedores y los distribuidores principales
aseguren la continuidad del negocio ante una catástrofe.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR
 Validar la cantidad de proveedores y distribuidores que tienen contrato con la empresa.
 Revisar las condiciones de los contratos firmados de los principales proveedores y las
cláusulas que aseguran la continuidad del negocio.
 Revisar las condiciones de los contratos firmados de los distribuidores y las cláusulas
que aseguran la continuidad del negocio.
 Validar los costos de las cláusulas de incumplimiento de las dos partes.
 Validar el tiempo de respuesta estipulado en el contrato para asegurar la continuidad del
negocio.
 Validar si se tienen identificados los principales procesos que tiene para iniciar
operación.

85
 La prueba P031 está relacionada con la validación de las estrategias para la mejora del
plan de continuidad del negocio. Ver Tabla 47

Tabla 47 Prueba P031 Verificar las Estrategias para la Mejora del Plan de
Continuidad del Negocio.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P031
PROCESO: Verificar las estrategias para la mejora del plan de continuidad del negocio.
OBJETIVO DE LA PRUEBA: Validar que los proveedores y los distribuidores principales
aseguren la continuidad del negocio ante una catástrofe.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR

 Revisar en el plan de continuidad del negocio si se tiene implementado modelos y

estrategias para la mejorar del plan de continuidad del negocio.

 Validar como se genera la aprobación de las estrategias de mejora del proceso del plan
de continuidad del negocio.

 Validar las versiones de la mejora de los planes de continuidad.

 Validar las pruebas realizadas al plan de continuidad.

 Validar el procedimiento que se tiene establecida para la aprobación de las estrategias

del plan de continuidad.

86
 La prueba P032 está relacionada con la validación de la realización de los respaldos
periódicos de la información. Ver Tabla 48

Tabla 48 Prueba P032 Respaldo de la Información.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P032
PROCESO: Respaldo de la información.
OBJETIVO DE LA PRUEBA: Validar si se realizan respaldos periódicos de la información.

TIPO: Mixta TÉCNICA:

CONTROLES A PROBAR: Se priorizan los procesos por operador y se tienen documentados

como se deben ejecutar y en qué orden.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR

 Validar el procedimiento para realizar los respaldos de la información.

 Validar las políticas para la realización de los respaldos de la información.

 Validar con que periodicidad se realizan los respaldos de la información.

 Validar el lugar de almacenamiento de los respaldos de la información.

 Validar si se realizan pruebas a los respaldos de la información.

87
 La prueba P033 está relacionada con la validación del tiempo establecido para reanudar
las operaciones tras una interrupción. Ver Tabla 49

Tabla 49 Prueba P033 Reanudación de las Operaciones Después de una

Interrupción.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P033
PROCESO: Reanudación de operaciones después de una interrupción.
OBJETIVO DE LA PRUEBA: Validar el tiempo que se tiene establecido para reanudar
operaciones tras una interrupción.

TIPO: Mixta TÉCNICA:

CONTROLES A PROBAR: Se priorizan los procesos por operador y se tiene documentado

como se deben ejecutar y en qué orden.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR

 Validar el procedimiento que se tiene para reanudar operaciones en la continuidad del

negocio.

 Validar el tiempo esperado que se tiene para reestablecer el servicio.

 Validar si se realiza el seguimiento a los sistemas después de la incidencia

 Validar si se tienen identificados los principales procesos que se deben de tener

encuentra para la reanudación de la operación después de una interrupción.

88
 La prueba P034 está relacionada con la validación de la realización de los backups de la
información. Ver Tabla 50

Tabla 50 Prueba P034 Realización de los Backups.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P034
PROCESO: Realización de los Backup.
OBJETIVO DE LA PRUEBA: Validar si se realizan Backup.

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR

 Validar el procedimiento que se tiene para realizar los Backups.

 Validar la periodicidad de los Backups.

 Validar si se tiene identificado los procesos a los que se les debe de realizar los Backups.

 Validar si se realizan pruebas de restauración de los Backups.

 Validar la hora a las que se realiza los Backups.

 Validar las personas que están autorizadas para realizar los Backups.

89
 La prueba P035 está relacionada con validar las rutas de escalamiento que se tienen en
caso de un eventual catástrofe o incidencia para dar con la continuidad del negocio. Ver Tabla 51

Tabla 51 Prueba P035 Rustas de Escalamiento para la Continuidad del Negocio

Tras una Eventual Catástrofe.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P035
PROCESO: Rutas de escalamiento para la continuidad del negocio tras la eventual catástrofe.
OBJETIVO DE LA PRUEBA: Validar las rutas de escalamiento que se tiene para la eventual
catástrofe o incidencia para dar con la continuidad del negocio.

TIPO: Mixta TÉCNICA:

CONTROLES A PROBAR:

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR

 Validar las rutas de escalamiento que encuentran en el plan de continuidad del negocio
ante una eventual catástrofe o incidencia.

 Validar los procesos que deben de escalar.

 Validar el tiempo esperado por proceso al momento ser escalado.

 Validar las personas que están autorizadas para poder realizar el proceso de
escalamiento.

90
 La prueba P036 está relacionada con la validación de controles de acceso para cada una
de las diferentes áreas de la empresa. Ver

Tabla 52 Prueba P036 Validar los Controles de Acceso.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Continuidad del Negocio.

PRUEBA No: P036
PROCESO: Validar los controles de acceso.

OBJETIVO DE LA PRUEBA: Validar los controles de acceso para cada de las diferentes áreas

TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Jefe de Operaciones.

PROCEDIMIENTO A EMPLEAR

 Validar la lista de empleados con cargos que se encuentran laborando.

 Validar las diferentes áreas de acceso restringido.

 Validar el log de acceso a las diferentes áreas de acceso restringido.

 Validar las personas que están autorizadas para poder realizar el proceso de autorización
de cada área.

91
 Las siguientes son pruebas que evaluaran el entorno de entrenamiento del personal. La
prueba P037 está relacionada con la validación de las actualizaciones de las descripciones y los
requisitos de los puestos de trabajo. Ver Tabla 53

Tabla 53 Prueba P037 Actualizaciones de las Descripciones y Requisitos de los

Puestos de Trabajo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P037
PROCESO: Actualizaciones de las descripciones y requisitos de los puestos de trabajo.
OBJETIVO DE LA PRUEBA: Validar las diferentes actualizaciones de las descripciones y
requisitos de los puestos de trabajo.

TIPO: Mixta

CONTROLES A PROBAR: Se capacita al personal en los procesos y se les entrega la

documentación sobe estos.
RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR
 Validar las diferentes actualizaciones realizadas de las descripciones de los puestos de
trabajo.

 Validar las actualizaciones realizadas de los requisitos de los puestos de trabajo.

 Validar la cantidad de los cargos dentro de la empresa.

 Validar cada cuanto se genera las actualizaciones.

 Validar el o los responsables de las actualizaciones.

92
 La prueba P038 está relacionada con la validación del tiempo que toma cubrir los
diferentes cargos de un empleado en una vacante. Ver

Tabla 54 Prueba P038 Tiempo Determinado para Cubrir una Vacante.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P038
PROCESO: Tiempo determinado para cubrir una vacante.
OBJETIVO DE LA PRUEBA: Validar cual es el tiempo determinado para cubrir los diferentes
cargos de empleados en una vacante.

TIPO: Mixta

CONTROLES A PROBAR: N/A

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR

 Validar las diferentes categorías de un puesto de trabajo.

 Validar el tiempo estimado para la contratación de los diferentes puestos de trabajo.

 Validar los diferentes perfiles por cargo.

 Validar si se cumplen con los perfiles de las personas ya contratadas.

93
 La prueba P039 está relacionada con la validación de las políticas para el reclutamiento
de personal interno y/o externo. Ver

Tabla 55 Prueba P039 Políticas par el Reclutamiento Interno y Externo.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P039
PROCESO: Políticas para el reclutamiento interno y externo.

OBJETIVO DE LA PRUEBA: Validar las diferentes políticas establecidas para el reclutamiento

interno y externo.

TIPO: Mixta

CONTROLES A PROBAR: N/A

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR

 Validar las políticas que se tienen establecidas para el reclutamiento interno y externo.

 Validar la actualización de las políticas establecidas para la contratación.

 Validar cada cuanto se realizan las actualizaciones.

94
 La prueba P040 está relacionada con la validación de los formularios de evaluación del
desempeño de los empleados de la empresa SMSAmericas. Ver

Tabla 56 Prueba P040 Formularios de Desempeño de los Empleados.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P040
PROCESO: Formularios de desempeño de los empleados.

OBJETIVO DE LA PRUEBA: Validar los formularios de evaluación de desempeño de los

empleados.

TIPO: Mixta

CONTROLES A PROBAR: N/A

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR

 Revisar los diferentes formularios que se tiene implementados para medir el desempeño
de las diferentes categorías de empleados.

 Validar cada cuanto se realizan las actualizaciones de los formularios.

 Validar cual es el procedimiento que debe tener en cuenta la aprobación de los diferentes
formularios.

95
 La prueba P041 está relacionada con la validación de los planes de acción que se tienen
para cubrir las necesidades de RH en las diferentes áreas. Ver

Tabla 57 Prueba P041 Planes para Cubrir las Vacantes en un Futuro.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P041
PROCESO: Planes para cubrir las vacantes en un futuro.

OBJETIVO DE LA PRUEBA: Validar los planes de acción que tienen para cubrir las
necesidades de RH en las diferentes áreas.

TIPO: Mixta

CONTROLES A PROBAR: N/A

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR

 Revisar los diferentes planes de acción que tienen hacia un futuro para contratar recurso
humano para los diferentes cargos.

 Validar el tiempo de que tiene para poder suplir una vacante.

96
 La prueba P042 está relacionada con la validación de los procesos de capacitación de los
diferentes cargos. Ver

Tabla 58 Prueba P042 Proceso de Capacitación.

SMSAMERICAS

DISEÑO DE PRUEBAS DE AUDITORÍA

ENTORNO: Entrenamiento del Personal.

PRUEBA No: P042
PROCESO: Proceso de Capacitación.
OBJETIVO DE LA PRUEBA: Validar los procesos de capacitación de los diferentes cargos.

TIPO: Mixta

CONTROLES A PROBAR: Se capacita al personal en los procesos y se les entrega

documentación sobre estos.

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y

Disco Duro de 250 GB)

PERSONAL: Gerente Administrativo.

PROCEDIMIENTO A EMPLEAR

 Revisar los procesos y la metodología del proceso de capacitación para cada cargo en las
diferentes áreas.

 Validar el tiempo de capacitación de acuerdo al cargo a contratar.

 Validar la forma de calificar las diferentes pruebas.

 Validar el responsable de realizar las pruebas.

97
 Luego de realizar estas pruebas se sigue con la ejecución de las mismas para evaluar cada
uno de los entornos. Para el caso de este plan, solo se realizará la evaluación de las pruebas y
ejecución del informe para el entorno de Bases de datos y servirá como muestra para la realización
en los demás entornos. Por lo cual desde el director IT o Jefe de Operaciones ya cuentan con las
herramientas para ejecutarlas y diagnosticar el estado actual de los procesos asociados al área de
Tecnología y al SI VASP. Por lo cual se recomienda iniciar por los entornos con mayor grado de
severidad de riesgo (Capacitación del Personal y Control de Seguridad Lógica).

4.3.3 EJECUCION DE PRUEBAS

4.3.3.1 BASE DE DATOS: P001

Al intentar ingresar al host de base de datos, se encuentra con un proceso de control de

acceso, el cual, al ingresar datos erróneos tanto a nivel de usuario, como la contraseña, este siempre
vuelve a cargar la página de autenticación. Ver Ilustración 1

Ilustración 1 Ingreso de Usuario y Contraseña

98
 Al abrir al programa Asterisk Key, se muestra la siguiente ventana. Ver Ilustración 2

Ilustración 2 Programa Asterisk Key

Después al ingresar a la página para ingresar al pgadmin y ejecutar el programa se evidencia

que el programa no pudo encontrar la contraseña asociada, como se ve a continuación. Ver
Ilustración 3

Ilustración 3 Error de Autenticación

99
 4.3.3.2 BASE DE DATOS: P002

Se solicita la lista de usuarios registrados en la base de datos la cual se detalla a

continuación. Ver Ilustración 4

Ilustración 4 Listado de Usuarios Registrados

De acuerdo a lo reportado por el administrador general, actualmente continúan 5 personas

trabajando en la empresa, pero en la base de datos todos los usuarios siguen activos, aunque no se
puede ingresar con dichos usuarios. Ver ¡Error! No se encuentra el origen de la referencia.

Ilustración 5 Ingreso de Usuario y Contraseña

100
 De igual manera de acuerdo a lo indicado por los empleados del área de sistemas, todos
ingresan con el usuario mansms.

Se ingresa desde el navegador Chrome y Mozilla al mismo tiempo ingresando el usuario y

la contraseña entregados y se valida que no tiene restricción de secciones por usuario, como se
evidencia a continuación. Ver Ilustración 6

Ilustración 6 Validacion de Restricciones de Usuario

101
 4.3.3.3 BASE DE DATOS: P003

Se analizan 2 contratos a nivel de Programador Junior, 1 de Jefe IT y 1 de Desarrollador

Master. Donde inicialmente las personas ingresan como Programador Junior y con el tiempo y la
experiencia adquirida van creciendo dentro de la compañía. Por lo cual el proceso de contratación
ha sido genérico para todos.

En cuanto a la solicitud de las pruebas técnicas y psicotécnicas que se realizan al personal,

se encuentra que se evalúa más la lógica y la forma de enfrentar el problema expuesto. Además,
no a todos los empleados se les ha realizado pruebas psicotécnicas para ingresar.

Se toma como ejemplo para la comparación del proceso de contratación a otra empresa del
sector de logística para el cargo de programador y se valida que en SMSAmericas el proceso es
más sencillo a pesar de no existir tantos controles a nivel de acceso a la información y a las
instalaciones. Ver Ilustración 7

PROCESO DE CONTRATACIÓN

SMSAMERICAS EMPRESA DE LOGISTICA

 Se selecciona personas con  Se selecciona personas con

experiencia en desarrollo de software
en PHP o Java y manejo de base de
datos o estudiantes de ingeniería de
sistemas o electrónica.
 Se realiza la entrevista con el Gerente
Administrativo.
 Se realiza la entrevista con el
Director IT o Jefe de Operaciones.
 Se realiza una prueba técnica.
 De acuerdo al resultado de las
pruebas técnicas se hace la
validación de la hoja de vida.
experiencia mínima de 1 año en
desarrollo de software en .Net y
manejo de base de datos.
 Se realiza prueba con el gerente del
área.
 Se realiza prueba técnica.
 Se realiza prueba psicotécnica.
 Se realiza prueba del polígrafo.
 Se realiza visita domiciliaria.
 Se realizan exámenes médicos.
 Y de acuerdo a los resultados ingresa
la persona como Programador.

Ilustración 7 Comparación Proceso de Contratación

102
 4.3.3.4 BASE DE DATOS: P004

Actualmente la documentación se encuentra distribuida en diferentes herramientas

(Gestión de documentación colaborativa en línea) tales como la DokuWiki, MediaWiki, Sites de
Google, documentos en Word. Lo cual al momento de buscar la información por parte del personal
retrasa las actividades. Ver Ilustración 8, Ilustración 9, Ilustración 10

Ilustración 8 Documentación en Linea

103
Ilustración 9 Documentación en Linea 2

Ilustración 10 Documentación en Linea 3

104
 Se toma como base el proceso de creación de servicios y debido a que no hay una interfaz
gráfica, se comprueba que se deben insertar los campos directamente en la base de datos, lo cual
ha ocasión problemas con varios servicios y operadores, ocasionando multas y pérdidas de
ingresos.

4.3.3.5 BASE DE DATOS: P005

De acuerdo a lo conversado con el CEO, el contrato contempla algunas cláusulas descritas

a continuación.

 Existe un límite de 2 servidores por metro cuadrado.

 Realización de mantenimiento preventivo.
 Soporte 24 horas los 7 días de la semana.
 UPS’s alternas, para dar continuidad al servicio ante fallas por parte de ellos.

4.3.3.6 BASE DE DATOS: P006

Se encuentra que el proceso de backups no está debidamente documentado y que el proceso

se trabaja de manera informal.

Se observa que hay procesos en cada servidor que se ejecutan automáticamente en las
noches (Horario de menor carga para los servidores), donde saca el backup diario y algunas tablas
son subidas a otro servidor inmediatamente y otra queda disponible para ser usada cuando se
requiera.

Se tiene un orden en cuanto al orden de almacenamiento de la información, pero se

evidencia que hay información que debe quedar en los ordenadores de los empleados (No se tiene
identificada toda la información, ni como está distribuida en los equipos de la oficina).

105
 Se hacen backups a la tabla de Subscribers (Tabla de clientes), Message (Contiene el tráfico
de todos los mensajes que recibimos y que se envían por operador), Tornado (Tabla que almacena
los cobros diarios), algunas carpetas principales de los servidores. Ver Ilustración 11

Ilustración 11 Pantalla de Comando Backup

Al realizar el proceso de restauración de un backup de message, se valida que el backup

fue restaurado correctamente. Ver Ilustración 12

Ilustración 12 Pantalla Restauración de Backup

106
 y al ver la información de nuevo en base de datos, se ve de la siguiente manera. Ver
Ilustración 13

Ilustración 13 Validación de la Informaciön Restaurada

4.3.3.7 BASE DE DATOS: P007

En los últimos 2 cambios,

El primero consistió en modificar parte del proceso de envíos para uno de los operadores,
proceso que no altero directamente a la base de datos. Ver Ilustración 14

Ilustración 14 Modificación Proceso Envíos

Y el segundo consistió en modificar algunos parámetros que se pasan a vistas para obtener
información desde la base de datos. Ver Ilustración 15

Ilustración 15 Modificación de Parametros

107
 4.3.3.8 BASE DE DATOS: P008

No se tiene información formal del Modelo E/R, ni Diccionario de datos. Cualquier cambio
o implementación se debe hacer manualmente y en compañía del Jefe de Operaciones.

4.3.4 INFORME

El presente informe, muestra la evaluación realizada a la Base de Datos asociada al sistema

de información VASP de la empresa SMSAmericas Ltda., durante el mes de octubre del año en
curso. Donde se obtiene como resultado la culminación y cumplimiento de los objetivos a evaluar.

De acuerdo a esto se determina que el Departamento de Tecnología es la parte medular de

la empresa. Ya que es, donde los datos se convierten en información útil para las diferentes áreas
y la toma de decisiones, donde se guarda y que es generada para cada uno de los procesos de
SMSAmericas. Es por esto que el sistema de información VASP se constituyen como el Core del
negocio y es considerada unos de los activos más significativos en la actualidad de la Empresa.

Es por ello que SMSAmericas. debe de analizar, diseñar y restructurar sus procesos en base
a los hallazgos generados durante la auditoria principalmente realizada a la base de datos, ya que
al implementar dichas mejoras se garantiza la integridad, estabilidad de los procesos y continuidad
del negocio ante cualquier riesgo.

Dado esto, se evidencia que dentro del ambiente empresarial es de vital importancia contar
con información veraz, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se
constituya en una herramienta confiable para la toma de decisiones en SMSAmericas. Por ello se
identificaron los siguientes hallazgos y recomendaciones.

 Se verifico que el acceso web a la base de datos desde una red externa esta validada
y permite limitar el acceso a personal no autorizado. Pero de igual manera al

108
 permitir el acceso desde cualquier red se evidencia que la exposición de pérdida o
daño de la información es latente, por lo cual se recomienda.
o Restringir la base de datos a una red local.
o Agregar un proceso de identificación de intrusos que permita validar
ingresos no permitidos.
o Agregar un proceso de bloqueo de acceso después de 3 intentos erróneos.
o Establecer una política de cambio de la contraseña que no supere los 3
meses.

 Se detectó que, debido a la falta de políticas para la modificación, eliminación y

creación de usuarios, la información está expuesta a daños o perdida. Por lo cual se
recomienda diseñar e implementar políticas de creación, modificación y
eliminación de usuarios. Algunos ejemplos son:
o Utilizar la cuenta de correo empresarial como usuario para el acceso a la
base de datos.
o Crear contraseñas alfanuméricas y con encriptación, para que no sean
visibles en la base de datos.
o Cuando una persona se va de la empresa debe inactivarse de una vez.
o Cuando un usuario se va a vacaciones, su status debe cambiarse, (No
inactivarse, para que se fácil identificar cuales usuarios ya no están, cuales
están en vacaciones y cuales están activos y productivos), lo cual genere que
no pueda acceder a la base de datos o aplicación.
o Crear perfiles de acuerdo a las funciones de cada empleado.

 Se evidencia que hay retrasos en la entrega de procesos y reportes finales, debido a

la falta de información o la desactualización de la misma. Por lo cual se recomienda
centralizar toda la información en una herramienta (Se recomienda el Site de
Google “Cerebro”), en un periodo no mayor a 6 meses.

109
 Se recomienda coordinar pruebas con el proveedor del servicio de alojamiento y
arrendamiento Tenzing en un ambiente controlado, con el fin de evaluar si lo
estipulado en las clausulas se cumplen a cabalidad o si por el contrario existe el
riesgo de pérdida de información y de continuidad del negocio.

 De acuerdo a que se evidencia que el proceso de backups se encuentra de manera

informal, lo cual ha ocasionado no acceder a la información oportunamente, se
recomienda realizar un manual del proceso paso a paso, que permita identificar
fácilmente cual es la información involucrada, localización de los archivos y de los
backups.

 Se confirma que no se tiene documentación sobre el modelo Entidad Relación de

la base de datos, ni el diccionario de datos, lo cual no ha permitido identificar a
tiempo la estructura de las tablas para cambios delicados sobre la misma, por lo
cual se recomienda

 Debido a que no se tiene definido y no se sigue un proceso estándar para realizar

un control de cambios, lo cual ha generado pérdidas de ingresos y multas por parte
de los operadores causados por cambios inadecuados, se recomienda hacer un
instructivo con el paso a paso de cómo se debe realizar el cambio y quienes son los
responsables de acuerdo a sus funciones.

110
 5 CONCLUSIONES Y RECOMENDACIONES

La empresa SMSAmericas es nueva en todo lo relacionado a las normativas o estándares

internacionales, aunque tengan procesos definidos, en su mayoría ninguno esta direccionado
mediante una política o un procedimiento escrito. Es por esto que se recomienda a la gerencia de
la empresa tomar como base este proyecto para iniciar sus procesos en las buenas prácticas de
Cobit 5.

Se realizó un diagnostico a gran parte del Sistema de Información VASP gracias a las
encuestas que se aplicaron a personas que tiene uso continuo de este SI. La información obtenida
no es muy extensa ya que como se ha mencionado constantemente en este documento, los procesos
y procedimientos no están documentados; pero fue de mucha ayuda para levantar información
base, para poder iniciar a la empresa SMSAmericas en el mundo de los estándares internacionales
y las buenas prácticas como COBIT 5.

Toda la información recolectada sirvió para dar a la gerencia de la empresa un vistazo de

los riesgos que tienen actualmente en la empresa, pero no solo se mostró lo malo, también se indicó
si estos riesgos tienen actualmente algún control que los mitigue en cierto porcentaje. Ya que la
empresa no tiene algún estándar o norma establecida en la empresa, se tomó esta información para
compararla con los apartados recomendados por la Circular 038 de septiembre de 2009 de la
Superfinanciera y luego con las buenas practicas recomendadas por COBIT 5 para dar así una base
de inicio para su implementación en todos los procesos y procedimientos a SMSAmericas.

Se diseñó un plan de auditoria que ataca a todos los riesgos encontrados en el análisis de la
información, pero solo se hace una evaluación de este plan al entorno de base de datos, ya que este
es el proceso más importante, uno de los entornos con calificación de riesgo más alto y donde se
encuentra la mayoría de información vital de la empresa (Uno de sus principales activos). Al
finalizar la evaluación se hace entrega del informe de auditoría arrojado por dicha evaluación y se
hacen unas recomendaciones a la alta gerencia para mitigar todos los hallazgos encontrados. Así

111
mismo se recomienda a SMSAmericas hacer uso de las buenas prácticas de COBIT 5 para
implementarlas en todos los procesos y procedimientos de la compañía para hacer que sea más
competente en el mercado actual.

De acuerdo a la evaluación y ejecución de las pruebas realizadas al entorno de base de datos

del SI VASP, se evidencia la necesidad de analizar e implementar las recomendaciones entregadas
a la empresa con el fin de mitigar y disminuir las vulnerabilidades actualmente encontradas. De
igual manera se recomienda efectuar la auditoria completa a los demás entornos evaluando
primeramente los de mayor calificación del riesgo, de acuerdo a su probabilidad e impacto.

112
 BIBLIOGRAFÍA

Benchmark, C. (09 de 05 de 2016). COBIT (Objetivos de control para la información y tecnologías

relacionadas). Obtenido de http://es.ccm.net/contents/596-cobit-objetivos-de-control-
para-la-informacion-y-tecnologias-re

Instituto de Auditores Internos. (13 de 10 de 2012). Gestión Integral de Riesgo / Sistema de Control
Interno . Obtenido de
http://www.unjbg.edu.pe/transparenciainst/pdf/131012sistemacontrol.pdf

ISACA. (20 de 04 de 2016). Acerca de ISACA. Obtenido de

http://www.isaca.org/spanish/Pages/default.aspx

Moodle. (20 de 04 de 2016). Módulo de wiki. Obtenido de

https://docs.moodle.org/all/es/Módulo_de_wiki

Revista Dinero. (16 de 9 de 2015). Dinero. Obtenido de http://www.dinero.com/edicion-

impresa/caratula/articulo/crecimiento-importancia-pymes-economia-colombiana/213537

Superintendencia Financiera de Colombia. (Septiembre de 2009). Circular Externa 038 de 2009.

Obtenido de
http://www.fiduagraria.gov.co/NORMOGRAMA/Circular%20Externa%20038%20de%2
02009.pdf

UNAD. (31 de 10 de 2016). Riesgos y Control Informatico. Obtenido de

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabil
idad_riesgo_y_amenaza.html

113
Wikipedia. (18 de 09 de 2016). Google Sites. Obtenido de
https://es.wikipedia.org/wiki/Google_Sites

114
 ANEXOS

Anexo 1 Cuestionarios

Empresa: SMSAMERICAS LTDA R/PT

Cuestionario de Control Bases de Datos 001
Dominio Bases de Datos
Proceso Seguridad de la Información
Seguridad de la Información
Objetivo de Control
Bases de Datos
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo Log donde guarde información referida a
X
las operaciones que realiza la Base de datos?
¿Se realiza copias de seguridad (diariamente, semanalmente, X
mensualmente, etc.)? que no sea el DBA pero que tenga asignado el rol
¿Existe algún usuario
X
DBA del servidor?
¿Se encuentra un administrador de sistemas en la empresa que lleve un
X
control de los usuarios?
¿Son gestionados los perfiles de estos usuarios por el administrador? X
¿Son gestionados los accesos a las instancias de la Base de Datos? X
¿Las instancias que contienen el repositorio, tienen acceso restringido? X
¿Se renuevan las claves de los usuarios de la Base de Datos? X
¿Se obliga el cambio de la contraseña de forma automática? X
¿Se encuentran listados de todos aquellos intentos de accesos no
satisfactorios o denegados a estructuras, tablas físicas y lógicas del X
repositorio?
¿Posee la base de datos un diseño físico y lógico? X
¿Posee el diccionario de datos un diseño físico y lógico? X
¿Existe una instancia con copia del Repositorio para el entorno de X
desarrollo?
¿Los datos utilizados en el entorno de desarrollo, son reales? X
¿Las copias de seguridad se efectúan diariamente? X
¿Las copias de seguridad son encriptados? X
¿Se ha probado restaurar alguna vez una copia de seguridad, para probar
X
que las mismas se encuentren bien hechas?
¿Los dispositivos que tienen las copias de seguridad, son almacenados
X
fuera del edificio de la empresa?

115
¿En caso de que el equipo principal sufra una avería, existen equipos X
auxiliares?
¿Cuándo se necesita restablecer la base de datos, se le comunica al X
administrador?
¿Se lleva a cabo una comprobación, para verificar que los cambios
X
efectuados son los solicitados por el interesado?
¿Se documentan los cambios efectuados? X
¿Hay algún procedimiento para dar de alta a un usuario? X
¿Hay algún procedimiento para dar de baja a un usuario? X
¿Es eliminada la cuenta del usuario en dicho procedimiento? X
¿El motor de Base de Datos soporta herramientas de auditoría? X
¿Existe algún plan de contingencia ante alguna situación no deseada en
X
la Base de Datos?
¿Existen logs que permitan tener pistas sobre las acciones realizadas
X
sobre los objetos del base de datos?

Empresa: SMSAMERICAS R/PT

Cuestionario de Control Inventario 002
Dominio Redes y Comunicaciones
Proceso Instalación y diseño de redes
Evaluación Infraestructura de
Objetivo de Control
redes de comunicación
Cuestionario
Pregunta SI NO N/E
¿Todos los nodos se encuentran bajo un mismo estándar de modo que
X
no se reduzca la velocidad de transmisión?
¿Se gestiona la infraestructura de la red inalámbrica en base a los
X
recursos de radiofrecuencia de los clientes?
¿Los enlaces de la red se testean frecuentemente? X
¿La longitud de los tramos de cableado horizontal no excede de los 90 X
metros?
¿El armado del patch panel cumple con los requerimientos básicos del
X
estándar 568-A y 568-B?
¿El etiquetado implementado en la organización cuenta con un código
X
de colores para facilitar su identificación?
¿Cuenta con un mapa arquitectónico para la verificación del sembrado
X
de nodos?

116
¿El cable cuenta con los recorridos horizontales correctos para el
X
backbone y sus subsistemas?
¿El cableado estructurado del interior del edificio viaja dentro de X
canaleta ocon
¿Cuenta ducto?
dispositivo firewall físico para protección y X
aseguramiento
¿Las direcciones deIP´S
la red?
de los equipos de cómputo son implementadas X
de forma fija?
¿Cuentan con conmutadores en red, para la expansión de redes X
locales?
¿Se tiene conexión a tierra física para protección de equipos ante
X
posibles descargas eléctricas que puedan afectar?
¿Cuenta con dispositivos para la regulación del voltaje? X
Se tiene implementado un sistema de control de acceso a los centros
X
de cableado y dispositivos
¿Los equipos se encuentran instalados en áreas con temperaturas
X
adecuadas para su funcionamiento?
¿Esta implementado un modelo de QoS en la red? X
¿La red cuenta con los equipos y aplicaciones (protección) necesarias
X
para tener un mayor resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que garanticen el buen
X
funcionamiento de la red?
¿Las terminaciones del cable de red están correctamente configuradas X
en
¿Sebase al código
tienen de colores
suficientes nodos de
en los pares
la red paratrenzados?
conectar todos los equipos
X
que lo requieren?
¿Cuenta con un análisis de vulnerabilidades en la implementación y
X
configuración de los dispositivos de red?
¿Los datos que viajan por internet se encuentran cifrados? X
En cuanto a las pruebas del cableado, ¿el departamento de TI, genera
sus propios ataques para probar la solidez de la red y encontrar X
posibles fallas?
Cuentan con administración interna de la red, es decir, ¿cuentan con
VLAN’s creadas en el servidor para tener una mayor administración X
en cada una de las oficinas que se dedican a diferentes actividades?
Para evitar vulnerabilidades en las WLAN ¿Usan protocolos de
X
autenticación, como está establecido en el estándar IEEE 802?11?
¿La cantidad de dispositivos Access Point es la adecuada en función
del número de usuarios que se conectan, como lo establece el estándar X
802?11?
¿La red inalámbrica proporciona velocidades de transmisión de
X
54Mbps en distancias cortas?

117
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Seguridad Lógica e Informática 003
Manejo de Información y
Dominio
elementos
Proceso Seguridad de la Información
Objetivo de Control Seguridad de la Información
Cuestionario
Pregunta SI NO N/E
¿Existen metodologías de respaldo de información? X
¿Se realizan respaldos de información periódicamente? X
¿Existe un administrador de sistemas que controle las cuentas de
X
los usuarios?
¿Existe algún estándar para la creación de contraseñas? X
¿Las contraseñas cuentan con letras, números y símbolos? X
¿Se obliga, cada cierto tiempo a cambiar la contraseña? X
¿La organización cuenta con un proceso para dar mantenimiento
X
preventivo al software?
¿La organización cuenta con un proceso para dar mantenimiento
X
correctivo al software?
¿Se tienen software antivirus instalados en los equipos de cómputo? X
¿Cuentan con antivirus actualizado? X
¿Se tienen instalados anti malware en los equipos de cómputo? X
¿Cuenta con licencias de software? X
¿Existe un proceso para mantener las licencias actualizadas? X
¿Existe un proceso para adquirir nuevas licencias? X
¿Se sanciona al integrante del departamento si instala software no X
permitido?
¿Los usuarios de bajo nivel tienen restringido el acceso a las partes
X
más delicadas de las aplicaciones?
¿Realizan mantenimiento preventivo al equipo de cómputo? X
¿Realizan mantenimiento correctivo al equipo de cómputo? X
¿El equipo de cómputo cuenta con suficiente espacio en HD en
X
función de los servicios que otorga?
¿El equipo de cómputo cuenta con suficiente memoria RAM en
X
función de los servicios que otorga?

118
¿La velocidad del procesador es el adecuado para los programas
X
que son utilizados en los equipos?

Empresa: SMSAMERICAS R/PT

Cuestionario de Control Compra y Garantía de Hardware 004
Dominio Adquisición e Implementación
Adquirir y mantener la arquitectura
Proceso
tecnológica
Hardware y Software Compra y
Objetivo de Control
Garantía
Cuestionario
Pregunta SI NO N/E
¿Se lleva un control de los equipos en garantía, para que a la
finalización de ésta, se integren a algún programa de X
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los X
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos? X
¿Se cuenta con procedimientos definidos para la adquisición de X
nuevos equipos?
¿Se tienen criterios de evaluación para determinar el
X
rendimiento de los equipos a adquirir y así elegir el mejor?
¿Existe un control y análisis del desempeño del hardware para
X
proyectar y presupuestar a futuro cambios de equipo?
¿Cuenta el Departamento de Sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso de X
emergencias?
¿Existen procedimiento para asegurar la implantación de
X
software en el servidor de producción?
¿Existen estándares o guías para el diseño y desarrollo de X
aplicaciones?
¿El software operativo y aplicativo adquirido de proveedores
X
externos cuenta con sus respectivas licencias originales?
¿Existen disposiciones de seguridad para recursos informáticos
X
instalados fuera de la organización?

119
Empresa: SMSAMERICAS R/PT
Cuestionario de Control y seguridad Instalaciones y 005
Cubículos
Dominio Entrega de Servicios y Soportes
Proceso Administración de Instalaciones.
Instalaciones, adecuaciones y
Objetivo de Control
seguridad
Cuestionario
Pregunta SI NO N/E
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas
o adaptadas específicamente para funcionar como un centro de X
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal
X
que facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma
X
que permita una circulación fluida?
¿Existen lugares de acceso restringido? X
¿Se cuenta con sistemas de seguridad para impedir el paso a
X
lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de
X
humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia
X
y se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el X
centro de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de
X
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga
X
equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de X
trabajo?
¿Son funcionales los muebles instalados dentro del centro de
cómputo: ¿cinto teco, Discoteca, archiveros, mesas de trabajo, X
etc.?
¿Existen prohibiciones para fumar, consumir alimentos y X
bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que
X
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones? 2 VECES POR SEMANA
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara
X
de aire que existe debajo del piso falso (si existe)?

120
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Impacto Ambiental 006
Dominio Entrega de Servicios y Soportes
Protección contra Factores
Proceso
Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/E
¿El centro de cómputo tiene alguna sección con sistema de X
refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles X
ambientales?
¿Se tiene contrato de mantenimiento para los equipos que
X
proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de X
aire?
¿Con cuanta frecuencia se limpian los filtros de aire? X
¿Se tiene plan de contingencia en caso de que fallen los X
controles
¿Se cuentaambientales?
con políticas claras y definidas al finalizar la vida útil
X
de los elementos informáticos que se dan de baja?

Empresa: SMSAMERICAS R/PT

Cuestionario de Control 007
Dominio Entrega de Servicios y Soportes
Protección contra Factores
Proceso
Ambientales
Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/E
¿Se tienen lugares de acceso restringido? X
¿Se poseen mecanismos de seguridad para el acceso a estos X
lugares?
¿A este mecanismo de seguridad se le han detectado X
debilidades?
¿Tiene medidas implementadas ante la falla del sistema de X
seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales X
de
¿Seacceso?
tiene un registro de las personas que ingresan a las X
instalaciones?

121
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 008
Dominio Planear y Organizar
Proceso
Evaluar y Administrar Los Riesgos de
Objetivo de Control
TI
Cuestionario
Pregunta SI NO N/E
¿Cuenta el Departamento de Sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso de X
emergencias?
¿Cuenta con un marco de trabajo de administración de Riesgos? X
¿Saben cómo medir el impacto el impacto potencial negativo
X
sobre las metas o las operaciones de la Empresa?
¿Cuentan con un proceso de respuesta ante la materialización de
X
un riesgo, que aseguren un bajo costo apara la empresa?
¿Tienen bien definidas las prioridades y las planeaciones de las
actividades de control a todos los niveles para implementar una X
respuesta a los riesgos?

Empresa: SMSAMERICAS R/PT

Cuestionario de Control 009

Dominio Entregar y dar soporte

Proceso
Objetivo de Control Educar y Entrenar a los Usuarios
Cuestionario
Pregunta SI NO N/E
¿Con cuanta frecuencia capacita a los usuarios? X
Observación: Cada vez que un usuario ingresa, cuando se implementan nuevos procesos o cuando se
tienen dudas sobre cualquier proceso.
¿Existe un programa de entrenamiento de usuarios? X
¿Tiene planes de mejoras continuas para los usuarios? X
¿Existe alguna estrategia de entrenamiento y la medición de X
resultados?
¿Se cuenta con manuales actualizados para la inducción a los X
usuarios?cursos de formación internos?
¿Existen X

122
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 010
Dominio Entregar y dar soporte
Proceso
Administrar la Mesa de Servicios y
Objetivo de Control
los Incidentes
Cuestionario
Pregunta SI NO N/E
¿En qué lapso de tiempo resuelve un incidente reportado por un X
usuario?
Observación: Se trabaja para solucionarlo en el menor tiempo posible.
¿Con cuanta frecuencia le reportan fallas en los servicios? Media
¿Con cuanta frecuencia le reportan fallas en las aplicaciones? Media
¿Con cuanta frecuencia le reportan fallas en la infraestructura? Baja
¿Cuenta con un mecanismo para medir la velocidad promedio
X
para responder a las peticiones de los usuarios?
Observación: Se cuenta con una herramienta la cual permite registrar las actividades diarias por persona
y cuánto tiempo toma resolverla.
¿Con que frecuencia abandona las llamadas por incidencia de Baja
los usuarios?
¿Cuenta con alguna herramienta para responder a consultas de X
los usuarios?
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 011
Dominio Entregar y dar soporte
Proceso
Objetivo de Control Administración de Operaciones
Cuestionario
Pregunta SI NO N/E
¿Qué tipos de procedimientos estandarizados, actualizaciones de
programas manejan?
¿Cómo hacen la programación de las tareas de procesos y las
X
secuencias de los procedimientos que deben implementarse?
Observación: Se revisan las solicitudes, sus prioridades y se
asignan a alguna de las personas del equipo.
¿Tipos de procedimientos para monitorear la infraestructura de X
TI?
¿Qué tipo de inventarios realizan para la administración de
X
adecuada sobre los activos de TI?
¿Cada cuánto dan mantenimiento oportuno a la infraestructura
X
para reducir las fallas en el desempeño?

123
124