Академический Документы
Профессиональный Документы
Культура Документы
CÓDIGO: 90168A
NILDA BECERRA
(TUTORA)
(ESTUDIANTES)
Grupo: 90168_53
FECHA
12/DICIEMBRE/2019
CIUDAD
FLORENCIA CAQUETÁ
INTRODUCCIÓN
El proceso para realizar una auditoría compone una etapa de conocimiento, planeación, donde se
realiza un estudio general de la empresa a ser auditada, la ejecución de la misma y la entrega de
los resultados.
Este trabajo está dedicado a Dios por ser mi guía en todos los proyectos y metas que me he
trazado a lo largo de mi carrera profesional. A mi familiares, padres y hermano principalmente,
por el constante e incondicional amor que me brindan y ser ellos quienes han luchado por ser la
profesional que soy hoy en día. A la Universidad Nacional Abierta y a Distancia (UNAD),
especialmente a la tutora Nilda Becerra y al Director de este curso de auditoria de sistemas
Nicolás Francisco Solarte, por el apoyo en la decisión de poder iniciar la Especialización en
Auditoria de sistemas de Información y así poder contribuir con el conocimiento adquirido en
futuros procesos académicos y administrativos de la Institución.
Agradecimientos
Los autores el cual les expresan sus agradecimientos a los compañeros de área y también a los
Tutores que a lo largo de este periodo académico nos han contribuido a enseñanza estos temas a
cerca de la auditoria, a mi madre que nos han dado la ayuda para seguir adelante con esta carrera.
Abstract
The role played by the contemporary auditor has changed in recent years, market trends and new
economic models accompanied by technology increasingly internal control to mitigate the risks
of each activity. Both internal and external legislation promulgate rules and / or laws aimed at
establishing mechanisms that guarantee in a certain way the reliability and transparency of
operations. (Sarbanes Oxley Act), issued by the United States Government in 2002 and whose
main purpose is to strengthen Corporations (Corporations) and restore investor confidence. This
Law, like all laws, establishes a set of guidelines to follow its compliance, as mentioned above, it
is intended to strengthen corporate governance and restore trust, in the development of our
project we will implement a model that allows the auditor a level of an internal control system to
determine and evaluate the controls required for compliance with the legislation. Key words:
Internal control system, Risk, Fraud, SOX (Sarbanes Oxley) Act, Controls, audit model
Tabla de Contenidos
Fase 1...........................................................................................................................2
Mapa conceptual..........................................................................................................2
Cuadro comparativo.....................................................................................................2
JUSTIFICACIÓN
Algunas solicitudes del negocio requieren que se realicen de manera inmediata el desarrollo de
software para suplir con las entregas de estadísticas a la alta gerencia y reportes a entes de
control. En este afán por crear la aplicación se pierden muchos estándares que se deben tener en
cuenta a la hora de crear software en el Banco, esto deja huecos de seguridad y no garantiza que
el resultado de la aplicación va a tener la calidad necesaria. La documentación que existe de los
aplicativos es escasa y, si existe, no está debidamente actualizada, esto hace que no se lleve un
registro del cambio de las aplicaciones y se pierda tiempo. El diseño de la guía de auditoria busca
realizar una verificación y evaluación a la documentación de las aplicaciones, para poder mejorar
la oportunidad de los entregables de las aplicaciones.
FASE 1
Actividades a desarrollar
Vulnerabilidades: Son los factores indefensos del sistema de informática ya que la seguridad se
encuentra en riesgos ya que el intruso tiene su punto de ataque pudiendo así comprometer la
integridad, disponibilidad o confidencialidad de la misma, es necesario encontrar las fallas o las
partes que este afectadas para así mismo una vez encontradas poder eliminarlas y así mismo
evitar la pérdida de la información.
Las vulnerabilidades también están interrelacionadas con las amenazas porque si no existe una
amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar
un daño, por lo que estos agujeros pueden tener distintos orígenes, por ejemplo: fallos de diseño,
errores de configuración o carencias de procedimientos.
PRINCIPALES VULNERABILIDADES
Symlink races.
Secuestro de sesiones.
Desbordes de pila y otros buffers.
Errores de validación de entradas.
Ejecución de código remoto.
BUGS: Son los defectos que el software presenta un error que simplemente es un fallo. Un bug
en un software ocasiona que el programa colapse o que de errores. La mayoría de los bugs
son fallos humanos. Un programa lleno de bugs es calificado como «buggy».
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de
origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos
operativos internos, existen conceptos que defienden la opinión que amenazas siempre tienen
carácter externo.
Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso es la tarea
de la gestión de riesgo de preverlas, implementar medidas de protección para evitar o minimizar
los daños en caso de que se realice una amenaza.
CAUSAS
EL USUARIO: Es el mayor que cae en este problema del cual siempre esté en
riesgo que afecta la seguridad de un sistema informático.
PROGRMAS MALICIOSOS: Son programas ilegales que perjudican el
espacio virtual y generan ataques a los recursos del sistema.
EL INTRUSO: Es una persona anónima que consigue acceder no autoriza mente
a los datos o programas aprovechando las cero seguridades que tiene el sistema.
EL SINIESTRO: Se trata de la mala manipulación o mala mal intención que se
le da al sistema para eso provoca la pérdida del material o de los archivos y datos.
Riesgos: La materialización de una amenaza que aprovecha una vulnerabilidad expone a las
organizaciones y sus sistemas informáticos a lo que se conoce como riesgo. El riesgo puede ser
definido como la posibilidad de que algo que ocurra impacte negativamente sobre la información
o sobre los recursos para gestionarla. La Norma ISO/IEC-27002 lo define como la combinación
de la probabilidad de ocurrencia de un determinado hecho y sus consecuencias. La probabilidad
de ocurrencia es el producto del análisis sobre datos históricos respecto a cuántas veces sucedió
un hecho similar en un periodo de tiempo que se tomará como unidad. Se entiende por
consecuencias, el impacto, es decir, los hechos o acontecimientos que resultan de uno o varios
eventos evaluados para esa organización.
Controles automáticos
Controles manuales
Tipos de controles
Vulnerabilidad
hardware y software Riesgo de acceso
Modificación
Vulnerabilidad de los
medios o Interrupción Riesgo de utilidad
Vulnerabilidad
emanación Riesgo de la
Generación infraestructura
Vulnerabilidad de las
comunicaciones
Control interno informático: Es el sistema integrado al proceso administrativo, en la
planeación, organización, dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados.
También controla diariamente que todas las actividades de sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos legales.
La función del control interno informático es asegurarse de que las medidas que se obtienen de
los mecanismos implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.
Es la encargada de participar en las revisiones durante y después del diseño, realizar implementar
y explotar de las aplicaciones informática, así como las fases análogas en la realización de
cambios importantes.
se encarga también de estudiar los mecanismos de control que están implantados en una empresa
u organización, determinando si los mismos son adecuados y cumplen con determinados objetos
o estrategias, estableciendo los cambios que se deberían realizar para la consecución de ellos
mismos.
El auditor los que hace es evaluar y comprueba en determinados momentos del tiempo los
controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoria, incluyendo el uso del software. En muchos casos, a no es posible
verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican los
datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por el
ordenador.
Auditoria Interna.
Auditoria Externa.
Controla diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos legales.
Objetivos Principales
Categorías
Controles preventivos.
Controles detectivos.
Controles correctivos.
Controles en aplicaciones.
TABLA COMPARATIVA
FASE 2
Como empresa propuesta propongo auditar la empresa SERVAF. A E.S. P es una empresa de la
ciudad de Florencia departamento del Caquetá, quien es la encargada de bridar los servicios a los
usuarios mediante el acueducto de agua a los hogares florencianos y a la recolección de basuras
en la ciudad y en parte apartadas del municipio. Es una de servicios públicos que cuenta con un
recurso humano de personas ubicadas de la siguiente manera:
1 Gerente de Cuenta
1 Ingeniero sistemas
1 Administrador de empresas
2 Técnicos especializados
3 Vendedoras
1 Ejecutiva de negocios
La forma de funcionar la empresa está basada en darle un buen servicio a las personas que se
benefician de este derecho que a todos nos conviene a todos pues la que recurre a las necesidades
de las personas, posterior demostración por parte del ingeniero de sistemas y/o técnicos
especializados mediante llamada o visita presencial, en caso de cerrarse la venta se procede con
la facturación la cual está a cargo del gerente de cuenta.
Así mismo la instalación del producto y posterior soporte se realiza en las instalaciones del
cliente comprador implementada por los técnicos especializados en caso de que el soporte
posterior a la compra se pueda realizar vía telefónica o vía remota a través del software Team
Viewer u otro que realice estas funciones.
La auditoría tiene objetivo verificar la estructura y funcionamiento del sistema de seguridad
informática, además analizar el factor humano que tiene contacto con la red, con el fin de
observar las posibles fallas en su conjunto, verificar el cumplimiento de las normas y optimizar
el funcionamiento de la red por lo cual realizaríamos las siguientes verificaciones:
Recursos
Recursos Humano:
Visitas
Cuestionario
Revisión de documentos del área de informática de la empresa.
Entrevistas.
Encuestas.
Evaluar regularmente la necesidad de desplazamiento de los técnicos a realizar soporte en
sitio.
Revisión Sistema de administración del software.
FUNCIONARIO ROL
SEBASTIÁN CALDERÓN Jefe de Auditoria
YULIETH SANTOS Auditor
DIEGO FERNANDO MEJIA Auditor
ARISTIDEZ VALDEZ Auditor
JHON JAIRO LOZANO Auditor
Recursos Tecnológicos
RECURSOS ECONOMICOS
Ítem Cantidad subtotal
Computador 3 6.000.000=
Impresora 1 500.000=
Papelería 1 100.000=
Total 7.300.000=
FASE 3
LISTA DE CHEQUEO NORMA ISO/IEC
ISO 9126
CARACTERISTIC SUB- METRICAS E B R M OBSERVACION
AS CARACTERISTI ES
CAS
Puede el software
Adecuación desarrollar las
tareas requeridas.
El resultado es el
Exactitud
esperado.
Interactúa con
Interoperabilidad
otros sistemas.
Funcionalidad Protege la
información y
datos de los
Seguridad
usuarios. E impide
el acceso para ser
alterado.
Es fácil para el
Entendimiento usuario ser
utilizado
El usuario puede
aprender
Aprendizaje
fácilmente a
Usabilidad
utilizarlo.
El usuario puede
controlar el
Operabilidad
sistema sin mucho
esfuerzo.
ASPECTOS GENERALES
Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de
chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para
cada proceso asignado.
FORMATO DE FUENTES DE CONOCIMIENTO
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 1
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO P01 Definir un plan Estratégico de TI
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO PO2 Definición de la Arquitectura de Información
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
2
MATERIAL DE
COBIT
SOPORTE
DOMINIO ADQUIRIR O IMPLEMENTAR
PROCESO PO2 Definición de la Arquitectura de Información
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
RESPONSABLE SEBASTIAN CALDERON HOYOS
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS7 Educar y Entrenar a los Usuarios
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS9 Administración de la Configuración
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS12 Administración del Ambiente Físico:
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3
ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS13 Administración de Operaciones:
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3
ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO Dominio Monitorear Y Evaluar (ME).
PROCESO ME2 Monitorear y Evaluar el Control Interno:
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
FORMATO DE ENTREVISTA Y CUESTIONARIO DE LA ENTREVISTA
EMPRESA
ENTREVISTADO FECHA
CARGO REVISADO
POR
AREA: SISTEMAS
CUESTIONARIO SI NO N/ RESPUESTA
A
¿Se cuenta con un manual del
usuario para software informáticos?
¿La empresa cuenta con políticas
para la protección de los sistemas
informáticos?
¿los software se encuentra
licenciados?
¿Existe un organigrama área de
Informática?
¿Se realizan backup respaldos de la
información?
¿Se ejerce control correctivo a los
software, hardware,redes de la
entidad?
¿los usuarios principales poseen
control de acceso y claves de
seguridad?
¿La entidad posee manual de
control preventivo y mantenimiento
a la infraestructura?
¿Los software son actualizados en
atención a los avances tecnológicos?
¿El área de informática cuenta con
personal tecnico exclusivo para el
mantenimiento preventivo de los
equipos o cuando existen sucesos e
inconvenientes?
CUADRO DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de la Contraloría
General de la Republica – Gerencia Departamental Colegiada Valle del Cauca, para ello se
realiza la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificación.
Probabilidad Impacto
Alta: A Catastrófico: C
Media: M Moderado: M
Baja: B Leve: L
MATRIZ DE RIESGOS
De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza a la
Contraloría General de la Republica, se puede clasificar los riesgos como se muestra en la tabla
2.
CATASTRÓFI
LEVE MODERADO CO
ALTO R17
MEDI
O
BAJO
CATASTRÓFI
LEVE MODERADO CO
ALTO
MEDI
O R18
BAJO
CATASTRÓFI
LEVE MODERADO CO
ALTO R20
MEDI
O
BAJO
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-14
DESCRIPCIÓN:
Aquí se copia la descripción de cada uno de los riesgos que ya han sido confirmados
mediante pruebas y que están en el cuadro de tratamiento de los riesgos.
REF_PT:
Lista de chequeo F-CHK 03.
CONSECUENCIAS:
Es el impacto que pueden causar esos hallazgos de llegar a concretarse los riesgos, aquí se
mencionan que activos informáticos se verán afectados con la ocurrencia del riesgo.
RIESGO:
En este espacio se especifica el nivel de riesgo en que se encuentra el proceso evaluado,
esta información está en el cuestionario al aplicar la formula. Los valores pueden ser
Bajo/medio/alto
RECOMENDACIONES:
Auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las
diferentes funciones, cuando sea apropiado.
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-15
PROCESO Administración e integridad de los PÁGINA
AUDITADO sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.
DESCRIPCIÓN:
La pérdida de datos es inminentes por daños relacionados con los sistemas operativos, mal
uso de los archivos.
REF_PT:
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la
red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un desempeño
no aceptado de la red de datos.
RIESGO:
Extracción, modificación y destrucción de la información confidencial y el uso inadecuado
de las instalaciones.
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-16
DESCRIPCIÓN:
No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su
aspecto físico.
REF_PT:
CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin
inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO:
Controles no cuantitativos en los contenidos de los archivos.
RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar
un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar
quien accede a este.
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-17
DESCRIPCIÓN:
Los errores son indeterminados y que afectan a cualquier empresa por el deterioro de código
fuente y desencadena un resultado indeseado.
REF_PT:
Tabla de vulnerabilidades, amenazas y riesgos.
CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda
instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO:
Al no tener protección en el servidor, el servidor SQL2 puede recurrir en una amenaza de
ataque ya sea de virus o secuestro de la información.
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-18
DESCRIPCIÓN:
Por inestabilidad de los circuito eléctricos internos de la instituciones o incrementos o
decrementos, intermitencias de la energía puede ocasionar daños graves en equipos.
REF_PT:
Tabla de vulnerabilidades, amenazas y riesgos.
CONSECUENCIAS:
programas destinados a perjudicar o hacer uso ilícito de los recursos del sistema. Es
instalado 8por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien
modificando datos. estos programas pueden ser un virus informático, un gusano informático,
un troyano, una bomba lógica o un programa espía o Spyware.
RIESGO:
Un corto circuito en el hardware puede incurrir en un daños al servidor y puede hacer que los
archivos se pierdan.
RECOMENDACIONES:
Confirmar que la evidencia de la auditoría es suficiente y apropiada para apoyar los
hallazgos y conclusiones de la auditoría, mediante la evaluación de los factores que pueden
afectar a la fiabilidad de los hallazgos y conclusiones de la auditoría.
DICTAMEN DE LA AUDITORÍA
De acuerdo con las instrucciones proporcionadas en la materia de Auditoria de Sistemas, se permite remitir el
dictamen de la auditoría practicada al Aula de Medios, con especial énfasis en las evaluaciones de Infraestructura,
de entorno, mobiliario y equipo, hardware, software y seguridad física.
Para el dictamen de la auditoría en cada uno de los procesos, hay que tener en cuenta los
resultados de las listas de chequeo aplicadas en el proceso donde se verifica el cumplimiento
de controles y los hallazgos encontrados donde se refleja el grado de exposición a los riesgos.
Una vez se tiene estos datos hay que ir a la norma CobIT 4.1 donde se define la escala de
medición y a cada uno de los procesos evaluados donde al final de cada proceso luego de los
objetivos de control se explica el valor a calificar de acuerdo a los resultados anteriores
b. Dictamen:
1
redefinirlo. En procesos clave de administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen del sistema.
d. Recomendaciones:
Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.
b. Dictamen:
d. Recomendaciones:
Retomar las recomendaciones que han realizado en las auditorias anteriores para
realizar el análisis, evaluación y gestión de los riesgos encontrados; establecer un
sistema de control adecuado al sistema de información y trabajar en la documentación
del proceso.
Perdida de confidencialidad e
Preventivo Revisar URL Embebidos.
integralidad de la información.
Implementar el sistema de
Las PQRS no se han gestionadas semáforo para categorizar las
Preventivo
debidamente. PQRS y de esa manera determinar
la prioridad de atención.
Realización de actividades no
Implementación de herramientas de
conformes con lo indicado por la Correctiva
monitoreo de red.
empresa.
1. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.
En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se proteja
tanto al personal como a los equipos de peligros naturales o siniestros también se tratara de
analizar si los puestos de trabajo cumplen con las normas de seguridad obligatorias y si en
los colaboradores existe una cultura de que promueva e incentive la seguridad propia y de
la empresa.
Raro (1) R8
Improbable (2) R3
CONCLUSIONES
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.
BIBLIOGRAFÍA
https://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://fraudit.blogspot.com/2011/08/hallazgos-de-auditoria-de-sistemas.html
http://www.oas.org/fpdb/press/INFORME-PRELIMINAR-DE-AUDITORA-PARA-
PUBLICAR-FINAL.pdf