AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 2

PRESENTADO POR:

WILMER ALEXANDER TAPIAS MUÑOZ

CÓDIGO 1.057.580.489

DORA INES PEREZ SALAMANCA

Código: 46379080

PRESENTADO A

FRANCISCO NICOLAS SOLARTE

GRUPO: 90168_11

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD
2015
 INTRODUCCION

El presente trabajo es realizado con el fin de realizar la planeación de una

auditoria de sistemas, en esta ocasión nos inclinamos por realizarla con la
empresa de salud EMCOSALUD en el área de sistemas de cómputo. Este
trabajo tiene como fin comprender la importancia y que se debe realizar en la
planeación de una auditoria de sistemas, para lo cual necesitamos diligencia
una serie de pasos los cuales son de suma importancia para un buen
desarrollo de auditoria y hacer la entrega de dominios, procesos y objetivos de
control seleccionados del estándar COBIT que serán evaluados.
 OBJETIVOS
 Estructurar de forma adecuada la planeación de la auditoría de
sistemas.
 Identificar profundamente cada uno de los pasos de la planeación de la
auditoria de sistemas.
 Realizar dominios, procesos y objetivos de control seleccionados del
estándar COBIT que serán evaluados dentro de la auditoria.
 DESARROLLO ACTIVIDAD

OBJETIVOS DE LA AUDITORIA

 Realizar la visita a la empresa EMCOSALUD con el fin de revisar la

parte informática de dicha empresa, y realizar acciones correctivas,
control interno a la empresa, para así garantizar la veracidad de su
información y el mantenimiento de la eficacia de sus sistemas de
gestión, el tipo de conexión físico que hay en el área de sistemas, tipo
de seguridad que están utilizando para proteger sus bases de datos,
que personas tienen acceso a información confidencial y que tipo de
seguridad se le está brindando.

ALCANCES DE LA AUDITORIA:

 la presente auditoria pretende identificar las condiciones actuales de

seguridad que tiene las conexiones físicas y eléctricas en el área de
sistemas, tipo de seguridad empleada para la protección de la bases de
datos, encontrar algún tipo de vulnerabilidad donde se pueda
presentar alguna fuga de información o ataques de personas ajenas a
la empresa con el fin de sabotear o crear mala imagen por medio de la
red y verificar si cumplen los estándares de seguridad para brindar un
buen servicio a los usuarios de la entidad de salud EMCOSAUD.

De las instalaciones físicas serán evaluados los siguientes puntos:

instalaciones eléctricas
sistemas de protección eléctricas
instalación de cableado para la red y uso compartido de datos
instalación correcta de los equipos de computo
estado del cableado para la red de datos

De equipos o hardware se evaluará:

bitácoras de mantenimiento realizado a los equipos de computo
verificar de la existencia de las hojas de vida de los equipos de computo
lista de personas con permiso de acceso a la base de datos de los
clientes
seguridad que presenta los equipos de computo

METODOLOGIA
Para dar cumplimiento a los objetivos planteados para la realización de la
auditoria de la entidad EMCOSALUD, se hace necesario desarrollar las
siguientes actividades:
 REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA
EVALUADA

Se realiza la visita preliminar la cual tomaremos contacto inicial con el

administrador de la empresa, con el fin de observar cómo se encuentran
distribuidos los sistemas, cuáles y cuantos son los equipos que están
instalados, cuáles son sus principales características, de que tipo son las
instalaciones y cuáles son las medidas de seguridad visibles.

Para ello se realiza una visita preliminar de arranque donde se trata de una
visita preparatoria al área de informática la cual sea auditada, donde nosotros
como auditores cuestionaremos lo siguiente:

1) Cómo están distribuidos los sistemas en el área

2) Cuántos, cuáles, cómo y de qué tipo son los equipos que están
instalados en el centro de sistemas
3) Cuáles son a simple vista, las principales características físicas de los
sistemas que serán auditados
4) Qué tipo de instalaciones y conexiones físicas hay en el área de
sistemas, y cómo están distribuidos
5) Cómo reacciona el personal ante la visita del auditor
6) Cuáles son las medidas de seguridad visibles que existen

 IDENTIFICACIÓN Y AGRUPACIÓN DE RIESGOS

Se identificara y clasificaran los riesgos a los que se encuentran expuestos

los equipos de cómputo, la red de datos y seguridad eléctrica, ya sean
generados por si mismos o por entidades externas como personas,
procedimientos, redes entre otras, al cual interactúan de forma constante
con los medios de computo.
 DISEÑO DEL PROGRAMA DE AUDITORÍA:

 Definir los dominios, procesos y objetivos de control de COBIT, que

tienen relación con el proceso de auditoría.

 Realizar los procedimientos que permitan recolectar la evidencia que

apoye los hallazgos y recomendaciones

 Análisis del Efecto de las debilidades de seguridad y configuración

de los equipos de cómputo, la red y base de datos.

 Identificar las causas de las debilidades.

  Determinar la probabilidad y el impacto que tendrá cada debilidad
en el sistema de cómputo, red y bases de datos.

 Diseño de controles:

 Identificar los posibles controles de tipo preventivo, detectivo y correctivo

de las debilidades encontradas.
 Identificar los recursos afectados por las debilidades encontradas

 Elaboración y envío del informe de Auditoría:

Comunicar a las personas o entes involucrados en la vigilancia y administración

de la red de datos, manejo de los equipos de cómputo y base de datos de la
entidad de salud EMCOSALUD, los resultados de la auditoria, para que ellos
hagan la gestión necesaria para implementar los controles que cubran aquellas
situaciones de riesgo de mayor relevancia y mantengan y optimicen el debido
funcionamiento de estos tres elementos auditados para una buena prestación
de servicio y seguridad al cliente.
Servir de apoyo en la toma de decisiones, gracias a la información que poseen.
Hacer parte de la documentación para futuras auditorías.
RECURSOS:
 HUMANOS: Los responsables de realizar la auditoría son los recursos
humanos especializados en informática y auditoría, ya que con ellos se
llevan a cabo todas las actividades programadas para la revisión de los
sistemas, la elaboración de pruebas, operación de los sistemas, la
evaluación al funcionamiento de los sistemas, sus bases de datos, el
uso correcto y adecuado de la información, y en sí de todos los aspectos
informáticos que serán evaluados.
 FÍSICOS: Instalaciones de la entidad de salud EMCOSALUD, centro de
informática y dispositivos de red.
 Tecnológicos: equipos de cómputo, software instalado para la red,
software instalado para el uso de bases de datos, cámara digital,
Intranet del centro de salud.

PRESUPUESTO: para la realización de la auditoria se ha destinado el

siguiente presupuesto:

ITEM PRECIO
Útiles y papelería $40.000
Medios de almacenamiento magnético $100.000
como 1 caja de CD formato DVD y cinco (5)
pendrive (memorias USB de 8GB C/U)
Gastos generales (Cafetería, imprevistos, $1.000.000
transporte, alojamiento)
Pago de honorarios ($1.200.000 por C/aud) $6.000.000
Total presupuesto $7.140.000

CRONOGRAMA

DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

SELECCIONADOS DEL ESTÁNDAR COBIT QUE SERÁN EVALUADOS

DOMINIOS PROCESOS
PLANEACIÓN Y PO1 Definir un Plan Estratégico de TI.
ORGANIZACIÓN (PO) PO2 Definir la Arquitectura de Información.
PO3 Determinar la dirección tecnológica.
PO5 Manejar la Inversión en TI.
PO9 Evaluar Riesgos.
PO11 Administrar Calidad.
ADQUISICIÓN E AI1 Identificar Soluciones.
IMPLEMENTACIÓN (AI) AI2 Adquisición y Mantener Software de Aplicación.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados
con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
SERVICIOS Y SOPORTE (DS) DS5 Garantizar la Seguridad de Sistemas.
DS7 Capacitar Usuarios.
DS9 Administrar la Configuración.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
MONITOREO (M) M1 Monitorear los procesos.
M2 Evaluar lo adecuado del control Interno.
M3 Obtener aseguramiento independiente.
M4 Proveer auditoría independiente.
 CONCLUSIONES

Una vez realizado el presente trabajo, se entiende todos los pasos

fundamentales e importantes que se deben realizar para la auditoria de una
empresa o alguna institución, llevando así una secuencia de pasos y planes
para su respectivo desarrollo donde todo se encuentra programado para su
desarrollo.
 REFERENCIAS BIBLIOGRÁFICAS

galeon, a. (s.f.). AUDITORIAS DE SISTEMAS. Obtenido de

http://anaranjo.galeon.com/metodo_audi.htm

SOLARTE, F. N. (14 de FEBRERO de 2012). Auditoria Informatica y de sistemas. Obtenido de

http://auditordesistemas.blogspot.com/2011/11/cobit-objetivos-de-control-para-
la.html?view=sidebar

UNAD, U. N. (s.f.). Lección 17 - Definición de objetivos. Alcance de la auditoria. Criterios de la

auditoria. Equipo auditor. Obtenido de
http://datateca.unad.edu.co/contenidos/358033/358033_CORE/leccin_17__definicin_
de_objetivos_alcance_de_la_auditoria_criterios_de_la_auditoria_equipo_auditor.html