Вы находитесь на странице: 1из 24

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

TEORÍA GENERAL DE SISTEMAS

AUDITORÍA DE SISTEMAS
FASE 2 – PLANEACIÓN DE LA AUDITORIA

PRESENTADO POR:
SANDRA ISABEL SILVA MERA
CÓDIGO: 34324168
ANDRÉS FERNANDO LOAIZA
CÓDIGO 71.225.712
OSCAR MAURICIO ROZO
CÓDIGO 80.250.791

GRUPO 90168A_761

PRESENTADO A:
DAVID ALBERTO CASTAÑO ALDANA

Universidad Nacional Abierta y a Distancia UNAD


Programa Ingeniería de Sistemas
Teoría General de Sistemas
CEAD Bogotá
14 de Marzo del 2020
INTRODUCCIÓN

Con el desarrollo del siguiente trabajo colaborativo se aplicarán los

conceptos fundamentales de la auditoría y la seguridad informática en el

entorno empresarial.

La comprensión de los temas permitirá realizar un plan de auditoría a la

empresa TELEACCESS LTDA, en la que se realizará un reconocimiento

previo, a través de herramientas estándares como COBIT utilizadas en la

ejecución de auditorías para tecnologías de información.


Objetivo General

Verificar los procedimientos utilizados para garantizar la integridad de

la información, en el software de gestión documental de la Empresa

TELEACCESS LTDA.

Objetivos Específicos

 Describir la situación actual de la empresa TELEACCESS LTDA,

respecto a los procesos a auditar.

 Especificar los controles de las normas COBIT que se aplicarán

en la Empresa TELEACCESS LTDA.

 Aplicar las normas COBIT en la empresa TELEACCESS LTDA a los

procesos de Gestión de Tecnologías de Información.

 Auditar las herramientas y procesos usados para mantener la

disponibilidad de la información de la Empresa TELEACCESS

LTDA

 Emitir recomendaciones que permitan mejorar la Gestión de

Tecnologías de Información de la Empresa TELEACCESS LTDA,

usando las normas COBIT.


1. Cada estudiante propone una empresa para llevar a cabo la
auditoria.

PROPUESTA: SANDRA ISABEL SILVA MERA

EMPRESA: TELEACCESS LTDA

DESCRIPCION: La empresa TELEACCESS LTDA Es una


organización privada enfocada en el área de INGENIERIA
TELECOMUNICACIONES, VERIFICACIÓN DEL ESPECTRO,
INGENIERIA ELÉCTRICA E INGENIERÍA CIVIL Y ARQUITECTURA

Cuenta con más de 14 años en el mercado nacional e


Internacional, con la experiencia y talento humano altamente
capacitado, que nos permite brindar los mejores servicios a
nuestros clientes tanto de empresas privadas como del sector
Gobierno y Privado.

PROPUESTA: OSCAR MAURICIO ROZO

EMPRESA: Laboratorio de Informática Forense de la Policía


Metropolitana de Bogotá.

DESCRIPCION: Presta funciones de Extracción de información


y Análisis de diferente evidencia digital, la cual es aportada como
insumo a las investigaciones que son adelantadas por
funcionarios de policía judicial, por diferentes delitos.

PROPUESTA: ANDRES FERNANDO LOAIZA

EMPRESA: COMANDO GENERAL DE LAS FUERZAS MILITARES

DESCRIPCION: Es la entidad de más alto nivel de planeamiento


y dirección estratégica para las instituciones castrenses del país.
Bajo su égida y faro están el Ejército Nacional de Colombia, la
Armada Nacional de Colombia y la Fuerza Aérea Colombiana.
De sus dependencias emanan las directrices y las políticas de
mando para los soldados de tierra, de mar y de aire, en estricto
y cabal cumplimiento de la misión prevista en el artículo 217 de
nuestra Constitución Nacional.

“Las Fuerzas Militares tendrán como finalidad primordial la


defensa de la soberanía, la independencia, la integridad del
territorio nacional y del orden constitucional”, reza en uno de sus
apartes nuestra Carta Magna al hacer referencia específica al rol
de las instituciones armadas colombianas.

2. El grupo selecciona una de las empresas propuestas para


realizar la auditoría.

El grupo selecciono la siguiente empresa: TELEACCESS LTDA: La


empresa TELEACCESS LTDA Es una organización privada enfocada en
el área de INGENIERIA TELECOMUNICACIONES, VERIFICACIÓN DEL
ESPECTRO, INGENIERIA ELÉCTRICA E INGENIERÍA CIVIL Y
ARQUITECTURA

Cuenta con más de 14 años en el mercado nacional e Internacional,


con la experiencia y talento humano altamente capacitado, que nos
permite brindar los mejores servicios a nuestros clientes tanto de
empresas privadas como del sector Gobierno y Privado.

Se cuenta con tres modelos de negocios, relacionadas con la


integración especializada en el campo de las tecnologías de la
información y las telecomunicaciones, que abarca:

Gestión Telecomunicaciones y del Mantenimiento Electrónico:


mantenimiento preventivo correctivo y suministro de: computadores
de escritorios y portátiles, impresoras, radio VHF-UHF, emisoras de AM
y FM (consolas, generadores estéreos, antenas, enlaces, transmisores,
equipamiento de cabinas), ayudas a la navegación, sistemas de control
de tráfico marítimo (VTS). Instalación de: fibra óptica aérea y
terrestre.
Gestión Infraestructura: instalación y suministro de subestaciones
eléctricas, diseño, montaje y mantenimiento de torres de
telecomunicaciones. Obras civiles y arquitectura: mantenimiento,
remodelación y reforzamiento estructural de edificaciones, casetas
para equipos de telecomunicaciones.

Gestión Espectro Electromagnético: Estudio de espectro


radioeléctrico para radiodifusión sonora, servicios móviles (marítimos,
aéreos y terrestres) en las bandas UHF – VHF - MF, servicios satelitales
y de microondas terrestres. Estudios de campos eléctricos y
magnéticos- radiaciones no ionizantes.

Lo anterior, comprende desde la consecución del servicio hasta la


ejecución y seguimiento del mismo, en cumplimiento con la totalidad
de los requisitos de la norma.

Actualmente cuenta con el siguiente organigrama, así:

Está definida ante la cámara de comercio de Bogotá como una empresa


mipymes mediana empresa.
Alcance

La auditoría se trabajará sobre los sistemas de información en cuanto


a la gestión documental que maneja la empresa, la cual se encuentra
expuesta a los usuarios internos para el proceso de crear oficios,
remisiones, órdenes de compra, ordenes de servicios y cotización, al
igual que la información de todos los documentos creados, con un
numero de consecutivo y toda la experiencia de la empresa por año.

Debido a que es una base de datos con toda la información documental


de la empresa, en cuanto a hardware se requiere mantenimiento a los
equipos como servidor principal, actualización de parches, antivirus.

En cuanto al sistema de información: Se evaluará la seguridad de la


base de datos - controles de acceso, seguridad del sistema operativo
y seguridad de la red – reglas de firewall, las entradas y salidas
generadas por el sistema, la integridad de los datos, la confidencialidad
de los datos, la configuración del sistema, la administración del
sistema.

Operatividad del sistema: Se evaluará los usuarios que manejan la


información y la administración de la base de datos.

METODOLOGIA

Metodología Objetivo 1:

 Realizar una entrevista inicial con el encargado de administrar el


sistema de gestión documental de la empresa.
 Obtener información sobre incidentes de seguridad física y lógica
que se hayan presentado.
 Realizar plan de auditoria.
 Realizar la recolección de información a través de entrevistas a
personal encargado del área de sistemas.

Metodología Objetivo 2:
 Verificar el estado físico (software) del servidor principal donde
se encuentra alojado el sistema de información.
 Solicitar el DIAGRAMA ENTIDAD RELACION.
 Solicitar el diseño de la base de datos.

Metodología Objetivo 3

 Verificar seguridad en las bases de datos.


 Montar infraestructura de red en simuladores, para escanear la
red de datos y puertos.
 Verificar los controles establecidos para el cumplimiento de las
políticas de seguridad de la información de la empresa.

Metodología Objetivo 4

 Solicitar compra de un servidor tipo espejo de respaldo o


recomendar uno que funcione en la nube.
 Solicitar compra de un Firewall.
 Identificar posibles riesgos de vulnerabilidad.

Metodología Objetivo 5:

 Información de la capacitación a los usuarios y la formación del


encargado de la administración.
 Dar a conocer los resultados de la auditoria y plantear soluciones
que permitan mejorar las condiciones de seguridad.

RECURSOS

Recurso Humano: el personal que integra el grupo auditor es un


personal experto en sistema de información.

Apellidos y Nombres Roles en la Auditoria


ANDRÉS FERNANDO LOAIZA Auditor Junior
OSCAR MAURICIO ROZO Auditor Junior
SANDRA ISABEL SILVA MERA Líder Auditor

Recursos físicos: la auditoría se llevará a cabo en la empresa Teleaccess


de la ciudad de Bogotá específicamente en el área de las TIcs. Por lo que
no se le debe brindar otro tipo de información al personal auditor sin
previa autorización de la alta gerencia.

Recursos tecnológicos:

- Computador portátil.
- Software especializado en auditoria de sistemas.
- Celular para registro fotográfico- Videos

Recursos económicos:

VALOR VALOR
DESCRIPCION CANTIDAD
UNITARIO TOTAL
Computador portátil 2 $ 2.500.000 $ 5.000.000
Celular 1 $ 600.000 $ 600.000
Disco Duro Extraible de 1tb 1 $ 245.000 $ 245.000
Total $ 5.845.000,00
CRONOGRAMA

Actividad Mes 1 Mes 2 Mes 3

SEMANA 1 2 3 4 1 2 3 4 1 2 3 4

Estudio preliminar

Establecer áreas
objeto de la
auditoria

Realizar
entrevistas

Elaborar programa
de auditoria

Recolectar
información

Verificar
servidores

Ejecutar pruebas

Obtener
evidencias

Elaborar Informe
Estructura del estándar CobIT:

OBJETIVOS DE
DOMINIOS PROCESOS
CONTROL
PO3.1 Planeación de la
PO3 Determinar la
Dirección Tecnológica
Dirección Tecnológica:
El objetivo es aprovechar PO3.2 Plan de
al máximo la tecnología Infraestructura
disponible o tecnología Tecnológica
emergente, satisfaciendo
los requerimientos de la PO3.3 Monitoreo de
PLANIFICAR Y Tendencias y
organización, a través de
ORGANIZAR Regulaciones Futuras
la creación y
mantenimiento de un
PO3.4 Estándares
plan de infraestructura
Tecnológicos
tecnológica
PO3.5 Consejo de
Arquitectura de TI

AI1 Identificar
soluciones AI1.1 Definición y
automatizadas: El Mantenimiento de los
objetivo es asegurar el Requerimientos Técnicos
mejor enfoque para y Funcionales del
cumplir con los Negocio
requerimientos del AI1.2 Reporte de Análisis
usuario, mediante un de Riesgos
análisis claro de las
ADQUIRIR E
oportunidades AI1.3 Estudio de
IMPLEMENTAR
alternativas comparadas Factibilidad y
contra los Formulación de Cursos
requerimientos de los de Acción Alternativos
usuarios.
AI1.4 Requerimientos,
Decisión de Factibilidad y
Aprobación.
AI3 Adquirir y AI3.1 Plan de Adquisición
Mantener de Infraestructura
Infraestructura Tecnológica
Tecnológica: El objetivo
AI3.2 Protección y
es proporcionar las
Disponibilidad del
plataformas apropiadas
Recurso de
para soportar
Infraestructura
aplicaciones de negocios
mediante la realización AI3.3 Mantenimiento de
de una evaluación del la infraestructura
desempeño del hardware
y software, la provisión AI3.4 Ambiente de
de mantenimiento Prueba de Factibilidad
preventivo de hardware y
la instalación, seguridad
y control del software del
sistema.

DS7 Educar y Entrenar


a los Usuarios: El
objetivo es asegurar que DS7.1 Identificación de
los usuarios estén Necesidades de
haciendo un uso efectivo Entrenamiento y
de la tecnología y estén Educación
ENTREGAR Y DAR conscientes de los
riesgos y DS7.2 Impartición de
SOPORTE
responsabilidades Entrenamiento y
involucrados realizando Educación
un plan completo de
DS7.3 Evaluación del
entrenamiento y
Entrenamiento Recibido
desarrollo.
ME1.1 Enfoque del
ME1 Monitorear y Monitoreo
Evaluar el Desempeño
ME1.2 Definición y
de TI: El objetivo es
Recolección de Datos de
asegurar el logro de los
Monitoreo
objetivos establecidos
para los procesos de TI, ME1.3 Método de
lo cual se logra Monitoreo
MONITOREAR Y definiendo por parte de la
EVALUAR gerencia reportes e ME1.4 Evaluación del
indicadores de Desempeño
desempeño gerenciales y
ME1.5 Reportes al
la implementación de
Consejo Directivo y a
sistemas de soporte, así
Ejecutivos
como la atención regular
a los reportes emitidos. ME1.6 Acciones
Correctivas

DS11.1 Requerimientos
del Negocio para
DS11 Administración Administración de Datos
de Datos: Es relevante
DS11.2 Acuerdos de
tener establecidos
Almacenamiento y
procedimientos para
Conservación
administrar el respaldo y
la recuperación de datos DS11.3 Sistema de
OBJETIVOS DE y la eliminación Administración de
CONTROL apropiada de estos, Librerías de Medios
siendo efectiva esta
administración de datos DS11.4 Eliminación
para ayudar a garantizar
DS11.5 Respaldo y
la calidad, oportunidad y
Restauración
disponibilidad de la
información. DS11.6 Requerimientos
de Seguridad para la
Administración de Datos
PROGRAMA DE LA AUDITORÍA

Para realizar el proceso de auditoría al Sistema de información del proceso


de gestión documental de la empresa Teleaccess, se utilizará el estándar
de mejores prácticas en el uso de Tecnología de información (TI) COBIT
(Objetivos de Control para la Información y Tecnologías Relacionadas),
donde se especifica el dominio, el proceso y los objetivos de control que
se trabajarán en relación directa con el objetivo y alcance propuestos para
la auditoría, entre los cuales se eligieron los siguientes:

Dominio: Planificar y Organizar (PO). Este dominio cubre las


estrategias y las tácticas, y tiene que ver con identificar la manera en que
TI puede contribuir mejor con los objetivos del negocio. Es importante
mencionar que la realización de la visión estratégica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas; y
finalmente, la implementación de una estructura organizacional y
tecnológica apropiada.

Los procesos que se revisarán y los objetivos de control a verificar son los
siguientes:

PO3 Determinar la Dirección Tecnológica: El objetivo es aprovechar


al máximo la tecnología disponible o tecnología emergente, satisfaciendo
los requerimientos de la organización, a través de la creación y
mantenimiento de un plan de infraestructura tecnológica.

PO3.2 Plan de Infraestructura Tecnológica. El plan de


infraestructura tecnológica debe estar alineado a los planes
estratégicos y tácticos de TI, donde se plasme las expectativas que
se desean obtener con el Sistema de Información en términos de
servicio y mecanismos de aplicación.

PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.


Establecer un proceso para monitorear las tendencias ambientales
del sector, tecnológicas, de infraestructura, legales y regulatorias.
Incluir las consecuencias de estas tendencias en el desarrollo del
plan de infraestructura tecnológica de TI.

PO3.4 Estándares Tecnológicos. Proporcionar soluciones


tecnológicas consistentes, efectivas y seguras para toda la empresa,
establecer un foro tecnológico para brindar directrices tecnológicas,
asesoría sobre los productos de la infraestructura y guías sobre la
selección de la tecnología, y medir el cumplimiento de estos
estándares y directrices

PO3.5 Consejo de Arquitectura de TI. Establecer un comité de


arquitectura de TI que proporcione directrices sobre la arquitectura
y asesoría sobre su aplicación, y que verifique el cumplimiento.

Dominio: Adquirir e Implementar (AI). Con el fin de cumplir una


estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas, como también implementadas e integradas en
los procesos del negocio. Además, el cambio y el mantenimiento de los
sistemas existentes serán cubiertos para garantizar que las soluciones
sigan satisfaciendo los objetivos del negocio.

Los procesos que se revisarán y los objetivos de control a verificar son los
siguientes:

AI1 Identificar soluciones automatizadas: El objetivo es asegurar el


mejor enfoque para cumplir con los requerimientos del usuario, mediante
un análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios.

AI1.1 Definición y Mantenimiento de los Requerimientos


Técnicos y Funcionales del Negocio. Identificar, dar prioridades,
especificar y acordar los requerimientos de negocio funcionales y
técnicos que cubran el alcance completo de todas las iniciativas
requeridas para lograr los resultados esperados de los programas
de inversión en TI.

AI1.2 Reporte de Análisis de Riesgos. Identificar, documentar y


analizar los riesgos asociados con los requerimientos del negocio y
diseño de soluciones como parte de los procesos organizacionales
para el desarrollo de los requerimientos.

AI1.3 Estudio de Factibilidad y Formulación de Cursos de


Acción Alternativos. Desarrollar un estudio de factibilidad que
examine la posibilidad de Implementar los requerimientos. La
administración del negocio, apoyada por la función de TI, debe
evaluar la factibilidad y los cursos alternativos de acción y realizar
recomendaciones al patrocinador del negocio.

AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación.


Verificar que se requiere para aprobar y autorizar los requisitos de
la empresa, tanto funcionales como técnicos, y los reportes del
estudio de factibilidad en las etapas clave predeterminadas.

AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es


proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios mediante la realización de una evaluación del desempeño del
hardware y software, la provisión de mantenimiento preventivo de
hardware y la instalación, seguridad y control del software del sistema.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica.


Generar un plan para adquirir, Implementar y mantener la
infraestructura tecnológica que satisfaga los requerimientos
establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El plan debe
considerar extensiones futuras para adiciones de capacidad, costos
de transición, riesgos tecnológicos y vida útil de la inversión para
actualizaciones de tecnología. Evaluar los costos de complejidad y
la viabilidad comercial del proveedor y el producto al añadir nueva
capacidad técnica.

AI3.2 Protección y Disponibilidad del Recurso de


Infraestructura. Implementar medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la infraestructura
para proteger los recursos y garantizar su disponibilidad e
integridad. Se deben definir y comprender claramente las
responsabilidades al utilizar componentes de infraestructura
sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura. Se debe monitorear y evaluar su
uso.

AI3.3 Mantenimiento de la infraestructura. Desarrollar una


estrategia y un plan de mantenimiento de la infraestructura y
garantizar que se controlan los cambios, de acuerdo con el
procedimiento de administración de cambios de la organización.
Incluir una revisión periódica contra las necesidades del negocio,
administración de parches y estrategias de actualización, riesgos,
evaluación de vulnerabilidades y requerimientos de seguridad.

AI3.4 Ambiente de Prueba de Factibilidad. Establecer el


ambiente de desarrollo y pruebas para soportar la efectividad y
eficiencia de las pruebas de factibilidad e integración de aplicaciones
e infraestructura, en las primeras fases del proceso de adquisición
y desarrollo. Hay que considerar la funcionalidad, la configuración
de hardware y software, pruebas de integración y desempeño,
migración entre ambientes, control de la versiones, datos y
herramientas de prueba y seguridad.

Dominio: Entregar y Dar Soporte (DS). Involucra la entrega en sí de


los servicios requeridos, incluyendo la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte a los
usuarios del servicio, la administración de los datos y de las instalaciones
operativas.

Los procesos que se revisarán y los objetivos de control a verificar son los
siguientes:

DS8 Educar y Entrenar a los Usuarios: El objetivo es asegurar que los


usuarios estén haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades involucrados realizando un
plan completo de entrenamiento y desarrollo.

DS7.1 Identificación de Necesidades de Entrenamiento y


Educación. Establecer y actualizar de forma regular un programa
de entrenamiento para cada grupo objetivo de empleados, que
incluya:
• Estrategias y requerimientos actuales y futuros de la empresa.
• Valores corporativos (valores éticos, cultura de control y
seguridad, etc.)
• Implementación de nuevo software e infraestructura de TI
(paquetes y aplicaciones)
• Habilidades, perfiles de competencias y certificaciones actuales
y/o credenciales necesarias.
• Métodos de impartición (por ejemplo, aula, web), tamaño del
grupo objetivo, accesibilidad y tiempo.
DS7.2 Impartición de Entrenamiento y Educación. Con base
en las necesidades de entrenamiento identificadas, identificar: a los
grupos objetivo y a sus miembros, a los mecanismos de impartición
eficientes, a maestros, instructores y consejeros. Designar
instructores y organizar el entrenamiento con tiempo suficiente.
Debe tomarse nota del registro (incluyendo los prerrequisitos), la
asistencia, y de las evaluaciones de desempeño.

DS7.3 Evaluación del Entrenamiento Recibido. Al finalizar el


entrenamiento, evaluar el contenido del entrenamiento respecto a
la relevancia, calidad, efectividad, percepción y retención del
conocimiento, costo y valor. Los resultados de esta evaluación
deben contribuir en la definición futura de los planes de estudio y
de las sesiones de entrenamiento.

Dominio: Monitorear y Evaluar (ME). La totalidad de los procesos de


TI deben de ser evaluados regularmente en el tiempo, para conocer su
calidad y cumplimiento de los requerimientos de control. Este dominio
incluye la administración del desempeño, el monitoreo del control interno,
el cumplimiento regulatorio y la aplicación del gobierno.

Los procesos que se revisarán y los objetivos de control a verificar son los
siguientes:

ME1 Monitorear y Evaluar el Desempeño de TI: El objetivo es


asegurar el logro de los objetivos establecidos para los procesos de TI, lo
cual se logra definiendo por parte de la gerencia reportes e indicadores
de desempeño gerenciales y la implementación de sistemas de soporte,
así como la atención regular a los reportes emitidos.

ME1.1 Enfoque del Monitoreo. Establecer un marco de trabajo


de monitoreo general y un enfoque que definan el alcance, la
metodología y el proceso a seguir para medir la solución y la entrega
de servicios de TI, y Monitorear la contribución de TI al negocio.
Integrar el marco de trabajo con el sistema de administración del
desempeño corporativo.
ME1.3 Método de Monitoreo. Garantizar que el proceso de
monitoreo implante un método (Ej. Balanced Scorecard), que brinde
una visión sucinta y desde todos los ángulos del desempeño de TI
y que se adapte al sistema de monitoreo de la empresa.

ME1.4 Evaluación del Desempeño. Comparar de forma periódica


el desempeño contra las metas, realizar análisis de la causa raíz e
iniciar medidas correctivas para resolver las causas subyacentes.

ME1.5 Reportes al Consejo Directivo y a Ejecutivos.


Proporcionar reportes administrativos para ser revisados por la alta
dirección sobre el avance de la organización hacia metas
identificadas, específicamente en términos del desempeño del
portafolio empresarial de programas de inversión habilitados por TI,
niveles de servicio de programas individuales y la contribución de
TI a ese desempeño. Los reportes de estatus deben incluir el grado
en el que se han alcanzado los objetivos planeados, los entregables
obtenidos, las metas de desempeño alcanzadas y los riesgos
mitigados. Durante la revisión, se debe identificar cualquier
desviación respecto al desempeño esperado y se deben iniciar y
reportar las medidas de administración adecuadas.

ME1.6 Acciones Correctivas. Identificar e iniciar medidas


correctivas basadas en el monitoreo del desempeño, evaluación y
reportes. Esto incluye el seguimiento de todo el monitoreo, de los
reportes y de las evaluaciones con: • Revisión, negociación y
establecimiento de respuestas de administración • Asignación de
responsabilidades por la corrección • Rastreo de los resultados de
las acciones comprometidas.

Objetivos de control

DS11 Administración de Datos: Es relevante tener establecidos


procedimientos para administrar el respaldo y la recuperación de datos y
la eliminación apropiada de estos, siendo efectiva esta administración de
datos para ayudar a garantizar la calidad, oportunidad y disponibilidad de
la información.

DS11.1 Requerimientos del Negocio para Administración de


Datos: Revisar que todos los datos que se esperan procesar se
reciben y procesan completamente, de forma precisa y a tiempo, y
los resultados se entregan de acuerdo a los requerimientos de
negocio.

DS11.2 Acuerdos de Almacenamiento y Conservación: Se


debe Precisar y tener implementados procedimientos para archivar,
almacenar y retener los datos de forma efectiva y eficiente.

DS11.3 Sistema de Administración de Librerías de Medios: Se


debe tener implementados procedimientos para mantener un
inventario de medios almacenados y archivados para asegurar su
usabilidad e integridad.

DS11.4 Eliminación: Revisar definiciones establecidas e


implementadas para asegurar que los requerimientos negociados
donde se encuentre involucrado la protección de datos sensibles.

DS11.5 Respaldo y Restauración: Se debe definir e implementar


procedimientos de respaldo y restauración de los sistemas,
aplicaciones, datos y documentación en línea con los requerimientos
negociados y el plan de continuidad

DS11.6 Requerimientos de Seguridad para la Administración


de Datos: Se establecerá las políticas implementadas y
procedimientos para la identificación y aplicación de los
requerimientos de seguridad para recibir, procesar, almacenar y
extraer los datos para conseguir los objetivos de la aplicación.
Asignación de procesos a cada integrante del grupo para trabajar
la auditoría.

Proceso Objetivos de control


Nombre Auditor
auditado CobIT proceso elegido
PO3.1 Planeación de la
ANDRÉS FERNANDO Dirección Tecnológica
PO3
LOAIZA PO3.2 Plan de Infraestructura
Tecnológica

OSCAR MAURICIO PO3.3 Monitoreo de Tendencias


P03
ROZO y Regulaciones Futuras

PO3.4 Estándares Tecnológicos


PO3.5 Consejo de Arquitectura
SANDRA ISABEL
PO3 de TI
SILVA MERA
PO9.3 Identificación de
eventos:
AI1.1 Definición y
ANDRÉS FERNANDO Mantenimiento de los
AI1
LOAIZA Requerimientos Técnicos y
Funcionales del Negocio
AI1.2 Reporte de Análisis de
Riesgos
OSCAR MAURICIO
AI1 AI1.3 Estudio de Factibilidad y
ROZO
Formulación de Cursos de
Acción Alternativos
SANDRA ISABEL AI1.4 Requerimientos, Decisión
AI1
SILVA MERA de Factibilidad y Aprobación.
AI3.1 Plan de Adquisición de
Infraestructura Tecnológica
ANDRÉS FERNANDO
AI3.1 AI3.2 Protección y
LOAIZA
Disponibilidad del Recurso de
Infraestructura
OSCAR MAURICIO AI3.3 Mantenimiento de la
AI3.1
ROZO infraestructura
SANDRA ISABEL AI3.4 Ambiente de Prueba de
AI3.1
SILVA MERA Factibilidad
DS7.1 Identificación de
ANDRÉS FERNANDO
DS7 Necesidades de Entrenamiento
LOAIZA
y Educación
OSCAR MAURICIO DS7.2 Impartición de
DS7
ROZO Entrenamiento y Educación
SANDRA ISABEL DS7.3 Evaluación del
DS7 Entrenamiento Recibido
SILVA MERA
ME1.1 Enfoque del Monitoreo
ANDRÉS FERNANDO
ME1 ME1.2 Definición y Recolección
LOAIZA
de Datos de Monitoreo

ME1.3 Método de Monitoreo


OSCAR MAURICIO
ME1 ME1.4 Evaluación del
ROZO
Desempeño

ME1.5 Reportes al Consejo


SANDRA ISABEL Directivo y a Ejecutivos
ME1
SILVA MERA
ME1.6 Acciones Correctivas
DS11.1 Requerimientos del
Negocio para Administración de
ANDRÉS FERNANDO Datos
DS11
LOAIZA DS11.2 Acuerdos de
Almacenamiento y
Conservación
DS11.3 Sistema de
OSCAR MAURICIO Administración de Librerías de
DS11
ROZO Medios
DS11.4 Eliminación
DS11.5 Respaldo y
Restauración
ANDRÉS FERNANDO
DS11 DS11.6 Requerimientos de
LOAIZA
Seguridad para la
Administración de Datos:
CONCLUSIONES

 El proceso de auditoría es necesaria realizarla en una empresa, ya que

puede servir para encontrar oportunidades de mejora, permitiendo dar

sugerencias que permitan la continuidad del negocio.

 El estándar COBIT permite aplicar de una forma completa los pilares

de confidencialidad, confiabilidad, integridad, disponibilidad, eficiencia,

de tal forma que al aplicar la norma se da mayor seguridad, llevando

a una mayor satisfacción.


REFERENCIA BIBLIOGRAFICAS

1. Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -


123). Recuperado de
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.actio
n?ppg=41&docID=3176647&tm=1543338969122

2. Huesca, G. (2012). Introducción a la auditoría informática. Auditoria


informática. (pp. 4-35). Recuperado de
https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica

3. Tamayo, A. (2001). La Función de la Auditoría de sistemas.


Auditoría de sistemas una visión práctica. (pp. 9- 29).Recuperado
de
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14
&dq=auditor%C3%ADa+de+sistemas+de+informacion&hl=es&pg
=PP1#v=onepage&q&f=false

4. Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos


informáticos y su clasificación. Recuperado de
http://hdl.handle.net/10596/10236