Fase 2

Auditoria De Sistemas

Presentado a:
David Alberto Castaño Aldana

Presentado por:
Juan Pablo Rodríguez Rodríguez
1077146961
Maricel Noscue
Juan David Molina García
1106899795
John Alexander Castro Medina
1070969375

Universidad Nacional Abierta y a Distancia

Ingeniería de Sistemas
2019
 Introducción

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias”, este proceso realizado dentro
de una empresa permite la identificación de vulnerabilidades y amenazas que pueden
afectar un sistema tecnológico, sea este hardware o software.
El proceso para realizar una auditoría compone una etapa de conocimiento, planeación,
donde se realiza un estudio general de la empresa a ser auditada, la ejecución de la
misma y la entrega de resultados.
En la etapa de planeación se debe realizar el cronograma, planeación de actividades y
presupuesto, para que de esta manera se pueda planificar correctamente el proceso y
llevar la auditoría a buen término.
Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que
nos permitirá desarrollar nuestros conocimientos en este proceso tan importante para el
desarrollo de nuestro perfil profesional en el área de sistemas.
Esperamos que la información recopilada incremente nuestras capacidades y nos brinde
el conocimiento necesario de este tema para la aplicación en nuestra vida profesional.
 Objetivos

 Que los estudiantes identifiquen paso a paso lo que es la elaboración de cada

fase de una auditoria informática.
 Aplicar los conocimientos en COBIT para la realización del trabajo de la
auditoria.
 Afianzar los conocimientos desarrollados en el primer trabajo.
 Fortalecer los conceptos que se tiene sobre la auditoria de sistemas.
 Elaborar un plan de auditoria para aplicarlo a la empresa Claro.
 Realizar el programa de auditoria teniendo en cuenta los procesos y
objetivos.
 Actividades a desarrollar

1. Cada estudiante propone una empresa para llevar a cabo la auditoria. CLARO
2. El grupo selecciona una de las empresas propuestas para realizar la auditoría.
3. El estudiante describe la empresa seleccionada: La estructura organizacional, los
cargos y funciones, y los servicios del área informática, los activos informáticos y los
sistemas informáticos de la empresa.
Descripción de la empresa de telecomunicaciones Claro:
Claro Colombia es la marca con la cual Comcel S.A. y Telmex Colombia S.A., ofrecen
soluciones de Telecomunicaciones en el país, con la mayor cobertura y una amplia
oferta de productos y servicios.
Estructura Organizacional:

Nombre Cargo
Presidente Carlos Zenteno de los santos
Claro Colombia
Director ejecutivo personas Javier egea ortega
Director ejecutivo hogares Javier Vázquez del mercado
Director ejecutivo empresas y negocios Isam hauchar agudelo
Director corporativo Felipe villa murra
Marketing y transformación digital
Director corporativo de tecnología Iader maldonadorobles
Director corporativo informática Mario botina tovar
Directora corporativa jurídica y asuntos Hilda pardo hasche
societarios
Director corporativo Walter borda ferro
Planeación estratégica y compras
Director corporativo finanzas Fernando gonzález apango
Director corporativo gestión humana Germán bustos suárez
Director corporativo asuntos regulatorios Santiago pardo fajardo
y relaciones institucionales
Directora auditoría Nancy parra reyes
Director aseguramiento ingresos Jaime tole clavijo
Servicios del Área de Informática:
Soluciones Móviles que comprende Teléfonos inteligentes ventas (Equipos Planes de
datos y Voz)
Soluciones Fijas como Internet, Televisión, Telefonía.
En general Claro es una de las mas grandes empresas con gran cobertura a nivel
nacional, es la encargada de comunicar un gran sin número de usuarios.

Activos área de Infraestructura IT [ CITATION Cla19 \l 9226 ]

infraestructura para clientes y la operación de la Compañía.
• 7.100 máquinas virtuales.
• 3.500 escritorios virtuales.
• 20 PB almacenamiento.
• 220.000 Job de Bk.
• 500 BD Oracle.
• 1.100 BD SQL.
• 1.400 SQ.

4. El grupo elabora el plan de auditoria que incluya: El objetivo de la auditoria, los

alcances de la auditoría, la metodología, los recursos para el desarrollo, y el cronograma
de actividades.
Claro Colombia
Desde Junio 26 de 2012 las marcas Telmex y Comcel se consolidaron como una única
marca llena de entretenimiento, con servicios móviles, internet, claro tv, telefonía fija,
todo claro y claro club.
Activos y sistemas informáticos
Servicios: donde se encuentra las ofertas que tiene la empresa como: móvil, internet y
televisión.
Tienda: aquí se encuentra los catálogos de tecnología y servicios ofertados
Soporte: en este campo están las soluciones móviles y fijas, donde el cliente encuentra
información de los servicios prestados.
Plan de auditoria
Identificar las vulnerabilidades y amenazas en los servicios de telecomunicaciones.
Objetivo:
Evaluar su cumplimiento, la seguridad lógica y el desempeño de los procesos, para su
continua mejora en su desarrollo de los servicios de telecomunicaciones, basadas en el
lineamiento y estándares
Internacionales del COBIT.
Objetivos Específicos:
 Revisar la aplicación de la Norma ISO 27000 y COBIT, referente a atención al
cliente mediante servicios informáticos.
 Verificar si no hay mas clausulas en los contratos que puedan afectar a los
usuarios finales.
 Controlar los parámetros de prestación de servicios y lograr la aceptación de la
estandarización internacional.
Alcances:
 Evaluar el cumplimiento de los servicios de telecomunicaciones, Claro S.A
 Evaluar la implementación de buenas prácticas del protocolo de seguridad frente
a los servicios de telecomunicación.
 Evaluar la calidad de los servicios de telecomunicación.
Metodología:
Los recursos: entrevistas, lista de chequeo y cuestionario.
Identificar el origen de la auditoria:
Se puede dar por motivo de que la empresa Claro S.A. ha tenido inconvenientes con la
Superintendencia de Industria y comercio y por engaño a clientes, entonces se procede a
realizar la auditoria.
Vista Preliminar al Área Informática:
Se puede programar una visita a una sucursal de la Empresa o a la sede principal de la
empresa que puede ser la de la Carrera 68ª #24B-10 Bogotá.
Elaborar Planes, programas y Presupuestos para Realizar la auditoria:
Etapa 1:
Visita a la sede principal: $50.000
Etapa 2:
Identificación de riesgos para el cliente durante la visita: $100.000 y dos días de
inspección.
Etapa 3:
Compilación de Conformes y No Conformes: $100.000, y 1 día de inspección.
Etapa 4:
Definición sobre conformes y planes de mejora: $150.000 y un día de inspección.
Etapa 5:
Entrega de informe sobre visita a Director de Auditoria: $100.000 y un día de
inspección.

Identificar y Seleccionar los métodos, herramientas, Instrumentos y

procedimientos para la auditoria.
1. Revisión de Encuestas de Satisfacción del cliente, llamadas de solicitud de
servicios, chats de consultas por pagina de servicio al cliente.
2. Cálculos estadísticos como promedios, mínimos, máximos.
3. Revisión Exhaustiva de las no conformidades más grandes desde la última
auditoria.
4. Realizar Seguimiento a 20 llamadas y consultas de clientes durante el día de
inspección.
Analizar la información y elaborar el informe de las situaciones detectadas.
Según hayan aparecido las situaciones, se comienza a realizar un plan de acción
inmediato que puede ser desde el cambio de proceso hasta la clausura del mismo,
aunque primero determinando las oportunidades de mejora, comunicándoselas al
personal implicado y se realizan las modificaciones que hayan a lugar y por ultimo
cuando este finalmente completado se entrega.
Elaboración del Dictamen Final:
Al tener completo el informe se debe presentar al Director de Auditoria para su análisis
y comienzo de aplicación de Planes de mejora.

CRONOGRAMA:
Inicio de la Inspección Declaración Conclusiones y Entrega
Auditoria física de la de Conformes Definición de Informe Final a
sede Principal y no planes de Director
Conformes mejora auditoria
04/03/2020 04/03/2020 06/03/2020 07/03/2020 08/03/2020
-05/03/2020
5. El grupo consulta en el blog la estructura del estándar CobIT (Dominios, procesos, y
los objetivos de control), seleccionan 5 procesos con sus respectivos objetivos de
control y actividades de control y elabora el programa de auditoría.
 PO4 Definición de la organización y de las relaciones de TI: El objetivo es la
prestación de servicios de TI, por medio de una organización conveniente en
número y habilidades, con tareas y responsabilidades definidas y comunicadas.

 AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el

mejor enfoque para cumplir con los requerimientos del usuario, mediante un
análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios

 DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la

información contra uso no autorizados, divulgación, modificación, daño o
pérdida, realizando controles de acceso lógico que aseguren que el acceso a
sistemas, datos y programas está restringido a usuarios autorizados.

 DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que

cualquier problema experimentado por los usuarios sea atendido apropiadamente
realizando una mesa de ayuda que proporcione soporte y asesoría de primera
línea.

 DS11 Administración de Datos: El objetivo es asegurar que los datos

permanezcan completos, precisos y válidos durante su entrada, actualización,
salida y almacenamiento, a través de una combinación efectiva de controles
generales y de aplicación sobre las operaciones de TI.

6. El líder del grupo asigna un proceso a cada integrante del grupo para trabajar la
auditoría.

 PO4 Definir los Procesos, Organización y Relaciones de TI.

Dentro del área de sistemas debe estar claro y definido el personal de la tecnología de la
información, los roles, las funciones y responsabilidades, permitiendo el buen
funcionamiento de servicios que satisfagan los objetivos de la Institución.
Objetivos de control que serán evaluados
PO4.1. Marco de trabajo de procesos TI: evaluación sobre el cumplimiento del trabajo
frente a los procesos TI.
PO4.2. Comité estratégico de TI: verificar y evaluar el comité estratégico de TI dentro
de la empresa, para garantizar su buen funcionamiento.
PO4.5. Comité directivo de TI: evaluar el comité directivo y corroborar el
funcionamiento y los roles establecidos dentro de la empresa y garantizar su buen
desempeño y funcionalidad.
PO4.6. Ubicación organizacional de la fundación de TI
PO4.7. Estructura organizacional: evaluar la estructura y verificar el cumplimiento de
los roles que le corresponde a cada personal de la empresa y su buena comunicación
entre los mismos.
PO4.8. Establecimiento de roles y responsabilidades: evaluar y verificar los roles y
responsabilidades que tienen el personal dentro de la institución para ofrecer un buen
servicio al cliente.
PO4.9. Responsabilidad de aseguramiento de calidad de TI: evaluar y verificar el
aseguramiento de la calidad de los servicios y las responsabilidades frente al
cumplimiento de dicha calidad de los servicios.
PO4.10.Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Verificar y
evaluar las responsabilidades frente a los riesgos, seguridad y cumplimiento de los
servicios que presta la empresa.
PO4.11. Propiedad de datos y de sistemas: evaluar las responsabilidades que tiene en la
empresa frente a los manejos de datos y de sistemas.
PO4.12. Supervisión: revisión de las supervisiones que se realizan dentro de la empresa
para verificar el buen funcionamiento de la empresa y garantizar un buen servicio.
PO4.13. Segregación de funciones: evaluar las funciones del personal de la empresa y
verificar que cada uno cumpla con el rol establecido.
PO4.14. Personal de TI: evaluar que el personal de TI, tenga los conocimientos y
experiencia suficientes para trabajar dentro del área
PO4.15. Personal clave de TI: verificar el buen funcionamiento del personal clave de TI
dentro de la empresa.
PO4.16. Políticas y procedimientos para personal contratado: verificar y evaluar el
cumplimiento de las políticas y procedimientos que se deben de llevar acabo con el
personal que trabaja para la empresa.
PO4.17. Relaciones.
 DS11 Administración de Datos:
LA INSTALACION
Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos (hackers, virus, ataques de sistema
operativo, entre otros); la seguridad de la misma será nula si no se ha previsto como
combatir un incendio o cualquier otro tipo de desastre natural y no tener presente
políticas claras de recuperación [ CITATION Unk15 \l 9226 ].
 La seguridad física es una de los aspectos más olvidados a la hora del diseño de un
sistema informático. Si bien algunos de los aspectos de seguridad física básicos se
prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder
físicamente a una sala de cómputo de la misma, no [ CITATION Unk15 \l 9226 ].
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta
de respaldo de la sala de cómputo, que intentar acceder vía lógica a la misma. La
seguridad física consiste en la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial [ CITATION Unk15 \l 9226 ].
Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de
cómputo, así como los medios de acceso remoto al y desde el mismo; implementados
para proteger el hardware y medios de almacenamiento de datos [ CITATION Unk15 \l
9226 ].

1. Desastres naturales, incendios accidentales, tormentas e inundaciones

2. Amenazas ocasionadas por el ser humano
3. Disturbios, sabotajes internos y externos deliberados.
Las principales amenazas que se prevén en seguridad física
 Evaluar y controlar permanentemente la seguridad física de las instalaciones de
cómputo y del edificio es la base para comenzar a integrar la seguridad como una
función primordial dentro de cualquier organismo. Tener controlado el ambiente y
acceso físico permite:
• Disminuir suministros
 • Trabajar mejor manteniendo la sensación de seguridad
• Descartar falsas hipótesis si se produjeran incidentes
 • Tener los medios para luchar contra accidentes
[ CITATION Unk15 \l 9226 ]
OPERACIÓN Y SEGURIDAD
Después de ver como nuestro sistema puede verse afectado por la falta de seguridad
física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de
cómputo no será sobre los medios físicos sino contra información por él almacenada y
procesada. Así, la seguridad física sólo es una parte del amplio espectro que se debe
cubrir para no vivir con una sensación ficticia de seguridad [ CITATION Unk15 \l 9226 ].
 Como ya se ha mencionado, el activo más importante que se posee es la información, y
por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas
técnicas las brinda la seguridad lógica [ CITATION Unk15 \l 9226 ].
 La seguridad lógica consiste en la aplicación de barreras y procedimientos que
resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas
autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta que
“todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la
seguridad lógica. Los objetivos que se plantean serán [ CITATION Unk15 \l 9226 ]:
 1. Restringir el acceso a los programas y archivos
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
 4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha
sido enviada y no a otro.
5. Asegurar que la información recibida sea la misma que ha sido transmitida.
6. Asegurar que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Asegurar que se disponga de pasos alternativos de emergencia para la transmisión de
información.
 Es recomendable que este tipo de seguimientos sean realizados a la par con
procedimientos de escaneo de vulnerabilidades internas y externas para conocer los
puntos débiles de la organización en cuanto a software y ofrecer soluciones integradas
de seguridad Las nuevas tecnologías de la información han potenciado la comunicación
y el acceso a la información [ CITATION Unk15 \l 9226 ].

Controles de acceso
• Confidencialidad: garantiza que la información sea accesible únicamente por las
entidades autorizadas, protegiendo la identidad de las partes implicadas. Se utilizan
métodos de cifrado [ CITATION Unk15 \l 9226 ].
. • Autenticación: garantiza la identidad de las partes implicadas en la comunicación.
Las tecnologías más aplicadas son “firma digital”, biometría, tarjetas de banda
magnética, contraseñas, etc.
• Integridad: garantiza que la información sólo pueda ser modificada por las entidades
autorizadas. Requiere el uso de tecnologías como el hash criptográfico con firma digital,
y los time-stamps (marcas de tiempo). Entre los principales controles de acceso que se
pueden mencionar están [ CITATION Unk15 \l 9226 ]:
 • Uso autorizado 1. Las cuentas de ingreso a los sistemas y los recursos de cómputo son
propiedad de la empresa y se usarán exclusivamente para actividades relacionadas con
la misma.
 2. Ninguna cuenta de usuario podrá ser usada para propósitos ilegales, criminales o no
éticos.
 3. Las cuentas en los sistemas son estrictamente personales e intransferibles.
 4. Para reforzar la seguridad de la información de la cuenta, el usuario bajo su criterio
deberá hacer respaldos de su información dependiendo de la importancia y frecuencia
del cambio de la misma [ CITATION Unk15 \l 9226 ].
 • Tiempo de uso de las cuentas
1. Se prohíbe dejar sesiones abiertas sin control alguno.
 2. Por razones de seguridad todo usuario que salga temporalmente de la institución
tiene la obligación de notificar al administrador las máquinas de las cuales se conectará
a la red.
3. Cuando el usuario deje de tener alguna relación oficial con la empresa o la cuenta
deje de ser utilizada por un tiempo definido por los administradores, esta debe ser
removida.
 4. Cuando el usuario deje de laborar o de tener una relación con la empresa, este debe
notificarlo al administrador de sistemas para proceder y tomar las medidas pertinentes
con su información y cuenta de acceso [ CITATION Unk15 \l 9226 ].
 • Gestión de claves Contraseñas reutilizadas, sencillas o fácilmente adivinables a nivel
de estación de trabajo pueden poner en peligro la seguridad de sus servidores. Cuentas
de usuarios o de prueba con excesivos privilegios [ CITATION Unk15 \l 9226 ].

PERSONAL RESPONSABLE DEL AREA

La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de
proyectos de auditoría en informática que serán ejecutados en un plazo determinado con
el fin de apoyar las estrategias del negocio, considerando los diversos factores internos y
externos que se relacionan con la organización [ CITATION Unk15 \l 9226 ].
Cada uno de estos proyectos deberá estar enmarcado en los límites definidos para la
función, esto es, debe enfocarse al control, seguridad y auditoría de los diferentes
elementos que mantengan contacto directo o indirecto con la tecnología informática
[ CITATION Unk15 \l 9226 ].

Los auditores en informática dirigirán la participación directa y entusiasta del personal

de informática y de los usuarios involucrados durante la auditoría.
El responsable de la función de auditoría en informática (externo o interno) que revise
las diferentes áreas de informática se debe coordinar con el responsable de la auditoría
tradicional, la alta dirección y con el responsable de informática mediante reuniones
formales y periódicas con objeto de lograr objetivos comunes para el bien del negocio
[ CITATION Unk15 \l 9226 ].

Finalmente deben tener en cuenta que cada vez que el estudiante entre a la plataforma se
debe hacer algún aporte o desarrollar alguna actividad que debe ser registrada
semanalmente en el E-portafolio
Referencias Bibliográficas

[ CITATION Cla19 \l 9226 ] https://www.claro.com.co/portal/recursos/co/legal-

regulatorio/pdf/Informe_de_sostenibilidad_2018.pdf
Francisco Nicolas Solarte. (2012). Auditoria Informatica y de Sistemas. 04/03/2020, de
Blogger Sitio web: http://auditordesistemas.blogspot.com/?view=sidebar
Bohórquez Guevara, Kevin Steven (6 de noviembre de 2019). «Tribunal de
Cundinamarca confirmó sanción de $87.000 millones a Claro». Consultado el 04 de
marzo de 2020.
Redacción Economía, El Espectador (6 Nov 2019). «Tribunal de Cundinamarca
confirma millonaria sanción impuesta a Claro en 2013». Consultado el 04 de marzo de
2020.
Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas.
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html