AUDITORIA DE SISTEMAS

Fase 2 – Planeación de la auditoria

PRESENTADO POR:

Luisa Fernanda Gòmez

Zalma Valentina Moreno

Diego Fabian Camargo

Diana Alejandra Rodriguez

Wilmer Murcia

PRESENTADO A:

MARIA CONSUELO RODRIGUEZ

GRUPO: 90168_66

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

2020
 INTRODUCCION

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias de una empresa, permitiendo

visualizar las respectivas vulnerabilidades que presentan las empresas tanto en la parte

sistemática como de la parte física (hardware y software), este proceso tiene un tiempo

determinado de planeación donde se realiza un estudio general de la empresa a la que se le

va a realizar el estudio de acuerdo a una planeación estratégica.

Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos

permitirá desarrollar nuestros conocimientos en este proceso tan importante para el

desarrollo de nuestro perfil profesional en el área de sistemas.

.
 OBJETIVOS

OBJETIVO GENERAL

Elaborar un plan de auditoria referencia a la la empresa Naguara Américas de la ciudad

de Bogotá, Colombia. teniendo en cuenta la seguridad lógica, el talento humano

(empleados, seguridad, usuarios, empleados área informática), y el software instalado

codificando un programa de auditoria.

Objetivos especificos:

 Construir el plan de auditoría que permita identificar las condiciones actuales de la

red de datos del Conjunto Residencial Naguara Américas.

 Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría

COBIT 4.1 como herramienta de apoyo en el proceso de inspección del conjunto

residencial Naguara Américas de la ciudad de Bogotá, Colombia.

 Identificar las soluciones para la construcción de los planes de mejoramiento a la

seguridad del Conjunto Residencial de acuerdo a los resultados obtenidos en la

etapa de aplicación del modelo de auditoría.

PROPUESTAS DE LAS EMPRESAS

EMPRESA PROPUESTA DIEGO FABIAN CAMARGO

GASTROCOL (Unidad de Gastroenterología)

DESCRIPCION

SOFTWARE ACTIVOS S.O DIR. IP

MediCAp (Sistema 12 Equipos de 5 Windows 10 IP fija
médico especializado) computo Pro 192.168.1.40 –
7 Windows 7 192.168.1.52
Pro
World Office (Sistema 1 Servidor Windows Server 192.168.1.39
Contable) 2012
3 Impresoras de Red IP Dinamica
3 Router 181.51.11.136
192.168.1.38
192.168.1.53
5 Enrutadores

EMPRESA PROPUESTA: TRANSTIBANA O.C LUISA FERNANDA GOMEZ

Estructura organizacional:

Asamblea general
de asociados

Consejo de Junta de vigilancia

administración Gerente

 Secretaria
 Tesorero
 Revisora fiscal
 Contadora
 Jurídico
CARGOS Y FUNCIONES

CARGO FUNCIÓN
Consejo de administración El Consejo de Administración es el elegido por los
asociados y los representa. Sus principales funciones son:
dirigir y administrar la Cooperativa,
tomar decisiones sobre cuestiones
particulares y convocar a Asamblea.

Gerente Su función es realizar la administración global de las

actividades de la empresa buscando su mejoramiento
organizacional, técnico y financiero. - Participar en
reuniones con el consejo de administración,
para analizar y coordinar las actividades de la
organización en general.
Junta de vigilancia Su función es velar porque los actos de los órganos de
administración se ajusten a las prescripciones legales,
estatutarias y reglamentarias y a los principios de economía
solidaria.
Secretaria Las funciones de la secretaria son
-Refrendar los Documentos sociales autorizados por el
presidente.
- Redactar las Actas de Asamblea. Redactar las memorias.
- Llevar los libros de actas del Consejo y de reuniones de
asamblea.
-Firmar con el gerente y el Tesorero las memorias y los
balances.
- Firmar con el gerente y el Tesorero las Cuotas
Sociales (acciones).
- Firmar con el gerente y dos asociados las Actas de
Asamblea.
- Firmar con el gerente las Actas del Consejo de
Administración.
- Firmar con el gerente las escrituras públicas que sean
consecuencia de operaciones previamente autorizadas por el
Consejo.
Tesorero Levar control de los valores de la Cooperativa.
- Llevar el registro de asociados.
- Percibir los valores que por cualquier título ingresen a la
Cooperativa.
- Efectuar los pagos autorizados mensualmente de
Tesorería.
- Firmar con el Presidente y el Secretario los documentos
previamente autorizados por el Consejo que importen
obligación de pago o contrato que obligue a la Cooperativa.
- Firmar con el Presidente y el Secretario las memorias y los
balances.
- Firmar con el Presidente y el Secretario las Cuotas
Sociales (acciones).

Revisora fiscal Ejerce la inspección y vigilancia de la cooperativa recibe la

delegación de funciones propias del Estado, cuales son las
de velar por el cumplimiento de las leyes y acuerdos
establecidos por la ley.
Contadora Analiza, interpreta y controla la información financiera de
conformidad al plan de cuentas establecido por la SEPS, a
las normas internacionales financieras.
-Administra la aplicación del presupuesto general
-Elabora informes respecto a sus funciones y gestión a sus
superiores.
-Evalúa mensualmente el estado de pérdidas y ganancias y
flujo de fondos, dándole mucha atención a que los márgenes
de utilidad.
-Prepara y certificar los estados financieros con sus
correspondientes notas de conformidad con lo establecido
en las normas vigentes.
-Asesora en lo referente a aspectos contables a la
cooperativa.
Jurídico Su función es defender los intereses de la cooperativa en
todo tipo de procedimientos judiciales, estudia y resuelve
los problemas legales relacionados con la cooperativa, sus
contratos, convenios y normas. Emite informes sobre las
distintas áreas de la organización cooperativa y la asesora
en temas de su competencia
Servicios informáticos:

-Asesoramiento

-Mantenimiento preventivo

-Servicio técnico

-Software

SISTEMAS INFORMATICOS DE LA EMPRESA

SOFWARE ACTIVOS SISTEMA OPERATIVO

SIIGO(Software contable) 1 servidor Windows 8
7 equipos de computación 4 Windows 7 pro
2 impresoras red 2 Windows 10
2 routers 1 Windows 8
2 enrutadores
PROPUESTA EMPRESA :Zalma valentina moreno

Empresa: NUTRESA S.A.S

Estructura organizacional:

Presidente

Gerentes Directores de areas Jefes de

departamento

Director de region
Coordinadores analistas
Jefe de ventas

Vendedores Auxiliares

Coordinador

Mercadeo

Impulso
Cargos y funciones:

Identificación de color según área de trabajo:

Área operativa: Franja azul

Área de ventas: Franja verde

1. Jefe de ventas
2. Jefe de logística
3. Auxiliar de operaciones logísticas
4. Vendedor
5. Auxiliar logístico
6. Operario de logística
7. Ayudante de ventas
8. Auxiliar de data maestra
9. Auxiliar de cartera
10. Desarrollador comercial
11. Sistemas informaticos y los activos infromaticos de la empresa:

12.
13. ACTIVOS INFORMATICOS
14.
15.
16. SERVIDORES COMPUTADORES
17.
18.
19.

TABLET CELULARES

RAP MAQUINAS

SAP ECOM

ERP
(SISTEMA RECURSO
EMPRESARIAL)

 Nodriza
 Sistema de planificacion de recursos
empresariales
PROPUESTA EMPRESARAL WILMER MURCIA

Nombre: FUNDACIÓN REGIONAL PARA EL DESARROLLO SOSTENIBLE

Sigla: FUNDARED

Organización Jurídica: Entidad sin ánimo de lucro

Categoría: Persona jurídica principal

Nit: 900355237-7

Domicilio: Moniquirá (Boyacá)

Objeto Social:

Es el mejoramiento de la calidad de vida de la población en general para la cual podrá: 1)

formulación, gestión y evaluación de proyectos agropecuarios. 2) prestar asistencia técnica
directa rural. 3) prestar asistencia técnica en las áreas de agricultura, ganadería, ambiental,
forestal, agroindustria, empresarial y organizacional. 4) celebrar todo acto o contrato, que
se estime necesario o simplemente conveniente que contribuya al desarrollo de su objeto
social. 5) participar en licitaciones, concursos públicos, privados y contrataciones directas.

Junta Directiva

Nombre Cargo
Carlos A. Fajardo N. Presidente
Shirley P. Chaparro D. Socia
Blanca L. Fajardo N. Socia
Alba García Revisor Fiscal

Activos informáticos de la empresa

Cantidad Nombre Sistema

3 Computadores Windows 10 Pro
2 Computadores Windows 7 Professional
1 Computador Windows 8
1 Impresora multifuncional Láser
1 Impresora Inyección de tinta
1 Red de internet Inalámbrica

Tipos de software

 Access.
 Visual FoxPro.
 Antivirus.
 ISO 14001
 Contaplus
PROPUESTA ESCOGIDA PARA EL PLAN DE AUDITORIA

PROPUESTA EMPRESA: DIANA ALEJANDRA RODRIGUEZ

Empresa: conjunto residencial Naguara

Estructura organizacional:

Funciones:

Asamblea general de propietarios: máximo órgano social de integración lo integran los

copropietarios y/o apoderados

Revisor fiscal: cerciorarse que los actos y operaciones desarrolladas por la empresa, se
ajusten a lo establecido por los estatutos y mandamientos de la asamblea general los que a
su vez deben estar ajustados a la ley

Concejo de administración: órgano de administración superior que actúa frente a la toma de

decisiones de acuerdo con lo previsto en el reglamento de propiedad horizontal para que se
cumplan.

Comité de convivencia: lo conforman mínimo tres personas Es un órgano de constitución

estatutaria que hacen los mismos propietarios en su Reglamento Interno, su finalidad es la
de intentar solucionar conflictos, mediante la propuesta de fórmulas de arreglo, a
situaciones de convivencia entre propietarios, residentes, administradores, Consejo de
Administración y Revisor Fiscal y así dar solución y fortalecer las relaciones de vecindad.

Tesorero: maneja los fondos del conjunto y tiene como función de gestionar y dirigir los
asuntos relacionados con los flujos monetarios
Administrador: dirige y administra el conjunto. Es el representante legal de la copropiedad

Empresa de aseo: suministra el personal para servicio de aseo a las áreas comunes y
fachada del conjunto

Empresa de seguridad: suministra el personal para servicio de vigilancia y seguridad del

conjunto.

Personal de obras varias: persona con conocimientos básicos de plomería, electricidad y

construcción entre otros que lo acreditan como persona capacitada para ejecutar labores
básicas en cada una de estas áreas.

Personal de reciclaje y manejo de basuras: persona encargada de separar y clasificar los

residuos del conjunto antes de su reciclaje o recolección.

Recursos informáticos de la organización:

El conjunto cuenta con un computador en la administración con sistema operativo

Windows 8 donde se monitorea el sistema de videovigilancia CCTV, se envían
comunicados a los correos de algunos propietarios y se gestionan los pagos de
administración. Cuenta con 1 impresora inyección de tinta térmica y 9 cámaras para el
monitoreo.
Objetivo General:

Evaluar licencias de sistemas operativos y diferentes programas de software, identificar

procesos en la manipulación de información, establecer controles de usuarios con

contraseña y capacitar a los usuarios sobre las políticas de seguridad y manejo de

información en el Conjunto Residencial Naguara Américas. de la ciudad de Bogotá,

Colombia. Esto con el fin de garantizar un funcionamiento con seguridad y manejo de

información.

Objetivos específicos:

 Identificar el estado de la estructura tecnológica del conjunto residencial.

 Elaborar un plan de auditoria que permita identificar cada uno de los fallos en el

sistema.

 Conocer los diferentes equipos tecnológicos, el talento humano contratado por la

empresa y los conocimientos de ellos sobre para operar la información.

 Conocer los diferentes tipos de licencias de los softwares instalados a los equipos.

 Capacitar a los funcionarios o usuarios mediante información práctica que permita

tener una amplia seguridad en el manejo de la información.

 Aplicar un control específico en el acceso a la información mediante usuarios con

contraseñas para cada repositorio de información.

 Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría

COBIT como herramienta de apoyo en el proceso inspección de la red de datos de

la institución educativa.
  Aplicar las soluciones para la construcción de los planes de mejoramiento a la

seguridad del Conjunto Residencial de acuerdo a los resultados obtenidos en la

etapa de aplicación del modelo de auditoría.

.Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la empresa.

propuesta

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Adquisición de Manipulación de la Falta de actualización del Software

software que no tiene configuración sistema operativo del

soporte del fabricante Fallos en el sistema equipo de cómputo que

operativo tienen Windows 8

2 No existen Desastres naturales No existen planes de Seguridad

procedimientos para la debido a movimiento contingencia en caso de lógica

administración de la telúricos pérdidas de información y

información copias de seguridad.

3 Ausencia de planes Desastres naturales No se realizan copias de Seguridad

para recuperación de seguridad de manera lógica

información periódica de la información

sensible en medios

externos.

4 No existe control de Intercepción No se utiliza ningún Seguridad

acceso a la Modificación sistema de cifrado de lógica

 información discos en el servidor o en

los equipos

5 Falta de conocimiento Errores de usuario El personal no cuenta con Talento

de los usuarios en el programas de capacitación Humano -

tema de seguridad y formación en seguridad usuarios

informática y de la informática y de la

información información.

6 No existe un Control y Utilización de los No existe control de acceso Redes

monitoreo en el acceso recursos del sistema para a direcciones de internet

a Internet fines no previstos por parte del administrador,

lo que hace insegura a la

red de datos

7 No existe control de Introducción de Alteración o pérdida de la Hardware

los dispositivos de información falsa información registrada en

almacenamiento (usb, base

cd, discos) de datos o equipos

8 Ausencia de un No establecer políticas y No existe un proceso de Talento

Sistema de Gestión de procedimientos de auditoría a la seguridad Humano –

Seguridad de la seguridad de la informática y de la personal

Información información. información que garantice área

el sistema de control informática

adecuado para la
 implementación de

políticas y procedimientos

en el Sistema de Seguridad.

9 Fuga de información Mal uso del correo Uso indebido del correo de Seguridad

institucional, ya que no electrónico para el envío de lógica

se utiliza solo para información a personal

comunicación laboral. externo

10 Robo de información Falta de control de Falta de controles y Seguridad

acceso en internet restricciones para el acceso lógica

a internet.

11 No existe un firewall Accesos No autorizados La no aplicabilidad en Seguridad

activo. Firewall – saber qué lógica

puertos se deben bloquear o

permitir, la forma de

interactuar con ella o es

propietario de ella, quien

tiene acceso a la consola de

control.

12 Falta de capacitación Fallas en la Falta de actualización y Software

del área informática. configuración de los configuración adecuada del

equipos equipo
13 No se controla los No existe perfiles de Modificación sin Seguridad

permisos y privilegios usuario en el sistema autorización de los datos, o lógica

de los usuarios de software instalado en el

sistema, incluyendo

borrado de archivos.

ANTECEDENTES

Se antecede a esta auditoria las evaluaciones que desarrolla la unidad de aseguramiento

tecnológico e informático USATI ya que presta apoyo profesional y técnico para la

formulación y ejecución de las políticas y programas de seguridad de los servidores

públicos, de los bienes y de la información de la entidad, con el ánimo de diagnosticar y

evaluar las condiciones funcionales , procurando identificar las amenazas y

vulnerabilidades correspondientes a las áreas de sistemas de la empresa NAGUARA

AMERICAS.

METODOLOGÍA DE LA AUDITORÍA

Para llevar a cabo esta auditoria se tendrán en cuenta cada uno de los objetivos planteados

para la realización de la auditoria esta se basara y orientara en el estándar COBIT 2019,

para evaluar adecuadamente el Hardware de los equipos de cómputo, la red y seguridad

física. Para el desarrollo de esta auditoria se plasmaran las respectivas vulnerabilidades con

las que cuenta la empresa y con esto se llevara a cabo el estudio correspondiente y se

plasmaran las recomendaciones y soluciones adecuadas.

 AUDITORIA EMPRERSA NAGUARA

Fase Fase a realizar Actividades en ejecución

Solicitud informe de equipos de cómputo, red física,

1
equipos de protección eléctrica, y seguridad física.
Investigación y planeación
1 2 Análisis de la información suministrada
de la auditoria

ANALISIS DE LA RECOLECCION DE LA INFORMACION

Evaluar la información recolectada y ordenarla según

3
el tiempo de desarrollo.

Evaluación de la planeación y organización del

3.1
desarrollo de cada fase.
Ejecución de la auditoria
2
Ejecutar el plan de auditoria correspondiente a la
A la empresa NAGUARA
3.2
empresa

3.3
Evaluación la entrega de los servicios requeridos.

ENTREGA DE RESULTADOS

Análisis preliminar de la información recolectada en el

4
desarrollo de la auditoria.

3 Informe de la auditoria 4.1 Análisis de la información

4.2 Consolidación del informe de auditoria

4.3 Entrega y del informe de auditoría.

ALCANCE

La auditoría se realizara sobre los sistemas informáticos en computadoras personales que

están conectadas a la red interna del Conjunto Residencial Naguara Américas.

Los puntos a evaluar serán los siguientes:

En esta auditoria se evaluara la infraestructura física del conjunto residencial Naguara

Américas, tales como los equipos de cómputo, red física, equipos de protección eléctrica, y

seguridad física ya que estos son los que permiten el funcionamiento de todos los

aplicativos, sistemas de información y soluciones tecnológicas que permiten el desarrollo

de los procesos misionales por parte de las personas que conforman el talento humano del

conjunto.

MESAS DE TRABAJO

Se efectuarán, las mesas de trabajo cada diez (8) días y las que se requieran de acuerdo a

los resultados que se obtengan.

TIEMPO ESTIMADO

Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre el

16 de abril al 11 de mayo de 2015. De requerir ampliación de términos se solicitará su

diligencia oportunamente.

RECURSO HUMANO
Apellidos y Nombres Roles en la Auditoria

Zalma Valentina Moreno Auditor Junior

Diego Fabian Camargo Auditor Junior

Diana Alejandra Rodriguez Líder Auditor

Luisa Fernanda Gomez Auditor Junior

Wilmer Murcia Auditor Junior

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas

 Instalación cableado de la red de datos

 Sistemas de protección eléctricos

 Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

 Inventarios de hardware de redes y equipos(computador y camaras)

 Manteninimiento preventivo y correctivo de equipos y redes

 Los programas de mantenimiento del equipo

 Revisión de informes de mantenimiento

 Personal encargado de mantenimiento (veces presenciadas)

 De la seguridad lógica:

 El acceso a los sistemas de informacion por medio del computador .

 Lo diferentes procedimientos para la administración de la información

 El cambio periódico de claves y las claves usadas por los trabajadores del Conjunto

Residencial de infromacion de las camaras.

 Problemas de fuga de información y sistemas.

 Accion para la utilizacion de un Firewall ya que se ven accesos no autorizados.

Del talento humano:

 Capacitacion de las personas que usaran el programa de camaras del conjunto.

 Posicion de un Sistema de Gestión de Seguridad de la Información

 Cumplimiento de funciones para los trabajadores.

 Responsables de información sensible del Conjunto Residencial Naguara

 Formación en seguridad de los empleados

Recursos físicos: La auditoría se llevará a cabo en el Conjunto Residencial Naguara

Americas en Bogotá, Colombia específicamente en el área de las TICs.

Recursos tecnológicos: Grabadora digital para entrevistas, cámara fotográfica para pruebas

que servirán de evidencia, computador portátil, software para pruebas de auditoría sobre

escaneo y tráfico en la red.

Recursos económicos:

La información que propicia aquí está dada en pesos colombianos

Ítem Cantidad Subtotal

Equipos de oficina, No definido(2-3) 60.000-80.000

calculadoras

Cámara digital 1 300.000

Grabadora digital 1 120.000

Útiles y papeleria No definido 15.000-20.000

Gastos imprevistos No definido 200.000-250.000

(Transporte,..etc)

Medios de almacenamiento 2 30.000

magnético como: 1 caja de

CD, 1 caja Diskettes.

Total 725.000-800.000

La auditoría se llevara a cabo según acciones que comenzarán realizado el plan de trabajo

para tratar de utilizar solo los días planificados en un principio y para tratar de realizar la

auditoria de una clara y concisa. El coste presentado en la anterior tabla es basado en la

infraestructura y los requerimientos de la entidad.

 Mes 1 Mes 2 Mes 3
Actividad
1 2 3 4 1 2 3 4 1 2 3 4

Recopilación de información

básica
Conocer el

sistema o área Objetivos de control

auditada
Determinación de los

procesos de control

Planear la Identificación de riesgos

auditoria potenciales

Elaboración de programa de

auditoria

Pruebas a realizar
Ejecutar la
Obtención de los resultados
auditoria
Redacción del borrador del

informe

Conclusiones y comentarios

Redacción del informe

Fase de resumen y conclusiones

resultados
Entrega del informe al tutor

y (Director en el conjunto

residencial)
 DOMINIOS Y PROCESOS

DOMINIOS PROCESOS OBJETIVOS DE

CONTROL

PLANEACIÓN Y PO1 Definir un Plan El objetivo es lograr un

ORGANIZACIÓN Estratégico de TI: balance óptimo entre las

(PO): oportunidades de

tecnología de
Cubre la estrategia y las
información y los
tácticas, se refiere a la
requerimientos de TI de
identificación de la
la empresa, para asegurar
forma en que la
PO2 Definir la Arquitectura de sus logros futuros.
tecnología de la
la Información:
información puede El objetivo es satisfacer

contribuir de la mejor los requerimientos de la

manera al logro de los organización, en cuanto

objetivos de la al manejo y gestión de

organización. los sistemas de

información, a través de
PO3 Determinar la dirección
la creación y
tecnológica:
mantenimiento de un

modelo de información

de la organización.
 El objetivo es aprovechar

al máximo la tecnología

disponible o tecnología

AI2 Adquirir y Mantener emergente, satisfaciendo

Software de Aplicación: los requerimientos de la

organización,

ADQUISICIÓN E

IMPLEMENTACIÓN

(AI) El objetivo es

proporcionar funciones
Para llevar a cabo la
automatizadas que
estrategia de TI, las
soporten efectivamente la
soluciones de TI deben AI3 Adquirir y Mantener
organización mediante
ser identificadas, Arquitectura de TI:
declaraciones específicas
desarrolladas o
sobre requerimientos
adquiridas, así como
funcionales y
implementadas e
operacionales, y una
integradas dentro del
implementación
proceso del negocio.
estructurada con
Además, este dominio
entregables claro.
cubre los cambios y el

mantenimiento

realizados a sistemas
El objetivo es
existentes. DS1 Definir niveles de servicio: proporcionar las

plataformas apropiadas

para soportar

aplicaciones de negocios

mediante la realización

de una evaluación del

desempeño del hardware

y software, la provisión
SERVICIOS Y
de mantenimiento
SOPORTE (DS)
preventivo de hardware y

En este dominio se hace la instalación, seguridad

referencia a la entrega de y control del software del

los servicios requeridos, sistema.

que abarca desde las

M1 Monitorear los procesos
operaciones tradicionales

hasta el entrenamiento, El objetivo es establecer

pasando por seguridad y una comprensión común

aspectos de continuidad del nivel de servicio

requerido, mediante el

establecimiento de

convenios de niveles de

servicio que formalicen

MONITOREO (M)
los criterios de
Todos los procesos de desempeño contra los

una organización cuales se medirá la

necesitan ser evaluados cantidad y la calidad del

regularmente a través del servicio

tiempo para verificar su

calidad y suficiencia en

cuanto a los

requerimientos de

control, integridad y

confidencialidad.

El objetivo es asegurar el

logro de los objetivos

establecidos para los

procesos de TI, lo cual se

logra definiendo por

parte de la gerencia

reportes e indicadores de

desempeño
Dominio: PLANIFICACION Y ORGANIZACIÓN

Se evalúan licencias de sistemas operativos y diferentes programas de software,

identificando procesos en la manipulación de información, y de la misma forma

estableciendo controles de usuarios con contraseña, junto con lo anterior capacitar a los

usuarios sobre las políticas de seguridad y manejo de información en el Conjunto

Residencial Naguara Américas. de la ciudad de Bogotá, Colombia. Esto con el fin de

garantizar un funcionamiento con seguridad y manejo de información.

Procesos:

PO1 Definir un Plan Estratégico de TI: El objetivo es lograr un balance óptimo entre las

oportunidades de tecnología de información y los requerimientos de TI de la empresa, para

asegurar sus logros futuros

PO2 Definir la Arquitectura de la Información: El objetivo es satisfacer los

requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de

información, a través de la creación y mantenimiento de un modelo de información de la

organización.

PO3 Determinar la dirección tecnológica: El objetivo es aprovechar al máximo la

tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la

organización,

Dominio: ADQUISICIÓN E IMPLEMENTACIÓN (AI)

Para llevar a cabo la estrategia de TI, las soluciones se plantean de la siguiente manera: se

conocen los diferentes equipos tecnológicos, el talento humano contratado por la empresa y

los conocimientos de ellos para operar la información, se conocer los diferentes tipos de

licencias del software instalados a los equipos. Se capacitan a los funcionarios o usuarios

mediante información práctica que permita tener una amplia seguridad en el manejo de la

información, final mente se aplicar un control específico en el acceso a la información

mediante usuarios con contraseñas para cada repositorio de información.

Procesos:

AI2 Adquirir y Mantener Software de Aplicación: El objetivo es proporcionar funciones

automatizadas que soporten efectivamente la organización mediante declaraciones

específicas sobre requerimientos funcionales y operacionales, y una implementación

estructurada con entregables claro

AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las plataformas

apropiadas para soportar aplicaciones de negocios mediante la realización de una

evaluación del desempeño del hardware y software, la provisión de mantenimiento

preventivo de hardware y la instalación, seguridad y control del software del sistema.

Dominio:SERVICIOS Y SOPORTE (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca

desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y

aspectos de continuidad
Procesos:

DS1 Definir niveles de servicio: El objetivo es establecer una comprensión común del

nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio

que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la

calidad del servicio

Dominio: MONITOREO (M)

Todos los procesos de una organización necesitan ser evaluados regularmente a través del

tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,

integridad y confidencialidad. La auditoría se evaluará con lapsos de 6 meses o cada vez

que el gerente lo requiera.

Procesos:

M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos establecidos

para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e

indicadores de desempeñ
 FECHA DE EMISIÓN 11/03/2020
VERSIÓN SIG-TIC-1.2
PROGRAMA DE AUDITORÍA
DOCUMENTO CONTROLADO

Objetivo de la auditoria: Evaluar licencias de sistemas operativos y diferentes programas de software, identificar procesos en la manipulación de información, establecer controles de usuarios con contraseña y capacitar al peronal.
Alcance de la auditoria: La auditoría se realizara sobre los sistemas informáticos en computadoras personales que están conectadas a la red interna del Conjunto Residencial Naguara Américas.
Recursos: Humano: Equipo auditor, Fisico: Conjunto Residencial Naguara Americas en Bogotá, Tecnológico: Grabadora digital, cámara fotográfica, computador portátil, software para pruebas de auditoría sobre escaneo y tráfico en la red.
Criterios de Auditoría: La auditoría se realizará sobre los sistemas informáticos en computadoras personales que están conectadas a la red interna del Conjunto Residencial Naguara Américas.
Aspectos de seguridad e infraestructura a tener en cuenta: medidas de protección de la privacidad digital que se aplican para evitar el acceso no autorizado a los datos, los cuales pueden encontrarse en ordenadores, bases de datos.

AJUSTAR Y APROBAR
INFORME DE AUDITORÍA
ELABORAR Y ENTREGAR REVISAR INFORME DE ENTRE AUDITOR INTERNO Y ENTREGAR INFORME
ELABORAR INFORME DE FECHA PLAN DE
PLAN DE AUDITORÍA AL EJECUTAR AUDITORÍA AUDITORÍA POR PARTE DEL FINAL DE AUDITORÍA A
AUDITORÍA LIDER DE PROCESO (Gestión MEJORAMIENTO
AUDITADO RESPONSABLE DEL PROCESO LÍDERES DE PROCESO
de firmas de lider de proceso y
EQUIPO
PROCESO AUDITADO auditor lider en informe)
AUDITOR
Responsable: Auditor Responsable: Auditor Responsable: Líder de Responsable: Líder de proceso Responsable: Auditor Responsable: Líder de
Responsable: Auditor Interno
Interno Interno proceso y auditados y auditor interno interno Proceso
DIAS (3 hábiles) DIAS (8 hábiles) DIAS (2 hábiles) DIAS (2 hábiles)
DIA (1 hábil) DIAS (1 hábil) DIAS (5 hábiles)
INICIO FIN INICIO FIN INICIO FIN INICIO FIN

Diana
PO1 Definir un Plan Administrado
Alejandra 11/03/2020 13/03/2020 20/03/2020 23/03/2020 1/04/2020 14/04/2020 15/04/2020 20/04/2020 21/04/2020
Estratégico de TI r
Rodriguez

PO9 Evaluar y
Zalma
Administrar los
Valentina Encargado TI 11/03/2020 13/03/2020 20/03/2020 23/03/2020 1/04/2020 14/04/2020 15/04/2020 20/04/2020 21/04/2020
Riesgos de TI
Moreno

AI1 Identificar
soluciones
Luisa 12/05/2020-
automatizadas
Fernanda Encargado TI 11/03/2020 13/03/2020 20/03/2020 23/03/2020 1/04/2020 14/04/2020 15/04/2020 20/04/2020 21/04/2020 28/04/2020
Gomez 19/05/2020
DS4 Garantizar la
Continuidad del Wilmer Administrado
11/03/2020 13/03/2020 20/03/2020 23/03/2020 1/04/2020 14/04/2020 15/04/2020 20/04/2020 21/04/2020
Servicio Murcia r

ME2 Monitorear y
Evaluar el Control Diego Fabian
Encargado TI 11/03/2020 13/03/2020 20/03/2020 23/03/2020 1/04/2020 14/04/2020 15/04/2020 20/04/2020 21/04/2020
Interno Camargo

Representante del consejo de la administracion Administrador Responsable de TI

Conclusiones

Al aplicar los conceptos fundamentales de la auditoría y la seguridad informática en el entorno

empresarial como la definición de objetivos, alcances, recursos y cronograma de actividades se

puede generar el programa de auditoría para ser ejecutado posteriormente con los procesos

necesarios y acordes a los objetivos de control correspondiente a la Planeación de auditoria.

La auditoría de sistemas es uno de los estudios más importantes para las empresas ya que nos

ayuda a llevar un control más detallado de las redes y los sistemas que manejan las empresas.
Referencias bibliográficas.

Solarte Solarte, F. (07, 01,2019). Conceptos de Auditoría y Seguridad Informática. [Archivo de

video]. Recuperado dehttp://hdl.handle.net/10596/23475

Solarte, F. N. J. (2016, 05,23). Riesgos informáticos y su classificacion. [archivo video.].

Recuperado de http://hdl.handle.net/10596/10236

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica.(pp.9-29).Recuperado

dehttps://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa

+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).

Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp.29-123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=3176647

&tm=1543338969122