AUDITORIA DE SISTEMAS

CÓDIGO: 90168A

NILDA BECERRA
(TUTORA)

SEBASTIÁN CALDERÓN HOYOS

 ARÍSTIDES VALDÉS LOPEZ
DIEGO FERNANDO MEJÍA GÓMEZ

(ESTUDIANTES)

Grupo: 90168_53

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

FECHA

12/DICIEMBRE/2019

CIUDAD

FLORENCIA CAQUETÁ
 INTRODUCCIÓN

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias”, este proceso realizado dentro de una
empresa permite la identificación de vulnerabilidades y amenazas que pueden afectar un sistema
tecnológico, sea este hardware o software.

El proceso para realizar una auditoría compone una etapa de conocimiento, planeación, donde se
realiza un estudio general de la empresa a ser auditada, la ejecución de la misma y la entrega de
los resultados.

En la etapa de planeación se debe realizar el cronograma, planeación de actividades y

presupuesto, para que de esta manera se pueda planificar correctamente el proceso y llevar la
auditoría a buen término.
Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos
permitirá desarrollar nuestros conocimientos en este proceso tan importante para el desarrollo de
nuestro perfil profesional en el área de sistemas.
 RESUMEN
El presente trabajo de grado es planteado con el fin de diseñar una guía de auditoria que
establezca recomendaciones que permitan mejorar la documentación de manuales de usuario de
software del Banco de Bogotá. Para realizar la guía se tomaron como fuente dos metodologías
que unidas permiten establecer actividades que evalúan si los manuales existentes cumplen con
los lineamientos del estándar. La guía de auditoria une la ISO ISO 19011:2002 y el estándar
IEEE STD 1063-2001, de esta nace una metodología que se materializa en una auditoria para
manuales de usuario de software, en la que se ofrece como producto propio de la misma, los
aspectos y papeles de trabajo a tener en cuenta una vez aplicado la guía como una buena práctica
y aseguramiento que lo realizado se efectúo correctamente. La guía propuesta si a bien lo tiene
podría ser adoptada tanto por el Banco de Bogota, también puede ser aplicadas en las empresas
tanto públicas y privada, que entre sus actividades este la creación de software y el desarrollo de
manuales de usuario.
 Dedicatoria

Este trabajo está dedicado a Dios por ser mi guía en todos los proyectos y metas que me he
trazado a lo largo de mi carrera profesional. A mi familiares, padres y hermano principalmente,
por el constante e incondicional amor que me brindan y ser ellos quienes han luchado por ser la
profesional que soy hoy en día. A la Universidad Nacional Abierta y a Distancia (UNAD),
especialmente a la tutora Nilda Becerra y al Director de este curso de auditoria de sistemas
Nicolás Francisco Solarte, por el apoyo en la decisión de poder iniciar la Especialización en
Auditoria de sistemas de Información y así poder contribuir con el conocimiento adquirido en
futuros procesos académicos y administrativos de la Institución.
Agradecimientos
Los autores el cual les expresan sus agradecimientos a los compañeros de área y también a los
Tutores que a lo largo de este periodo académico nos han contribuido a enseñanza estos temas a
cerca de la auditoria, a mi madre que nos han dado la ayuda para seguir adelante con esta carrera.
 Abstract

The role played by the contemporary auditor has changed in recent years, market trends and new
economic models accompanied by technology increasingly internal control to mitigate the risks
of each activity. Both internal and external legislation promulgate rules and / or laws aimed at
establishing mechanisms that guarantee in a certain way the reliability and transparency of
operations. (Sarbanes Oxley Act), issued by the United States Government in 2002 and whose
main purpose is to strengthen Corporations (Corporations) and restore investor confidence. This
Law, like all laws, establishes a set of guidelines to follow its compliance, as mentioned above, it
is intended to strengthen corporate governance and restore trust, in the development of our
project we will implement a model that allows the auditor a level of an internal control system to
determine and evaluate the controls required for compliance with the legislation. Key words:
Internal control system, Risk, Fraud, SOX (Sarbanes Oxley) Act, Controls, audit model
 Tabla de Contenidos

Capítulo 1 Introducción e información general...................................................................1

Introduccion ....................................................................................................................1
Resumen..........................................................................................................................1
Dedicatoria...................................................................................................................1
Agradecimientos..........................................................................................................1
Adstract................................................................................................................................2
Justificaciones..................................................................................................................2

Fase 1...........................................................................................................................2
Mapa conceptual..........................................................................................................2
Cuadro comparativo.....................................................................................................2

JUSTIFICACIÓN
Algunas solicitudes del negocio requieren que se realicen de manera inmediata el desarrollo de
software para suplir con las entregas de estadísticas a la alta gerencia y reportes a entes de
control. En este afán por crear la aplicación se pierden muchos estándares que se deben tener en
cuenta a la hora de crear software en el Banco, esto deja huecos de seguridad y no garantiza que
el resultado de la aplicación va a tener la calidad necesaria. La documentación que existe de los
aplicativos es escasa y, si existe, no está debidamente actualizada, esto hace que no se lleve un
registro del cambio de las aplicaciones y se pierda tiempo. El diseño de la guía de auditoria busca
realizar una verificación y evaluación a la documentación de las aplicaciones, para poder mejorar
la oportunidad de los entregables de las aplicaciones.
 FASE 1

Actividades a desarrollar

Vulnerabilidades: Son los factores indefensos del sistema de informática ya que la seguridad se
encuentra en riesgos ya que el intruso tiene su punto de ataque pudiendo así comprometer la
integridad, disponibilidad o confidencialidad de la misma, es necesario encontrar las fallas o las
partes que este afectadas para así mismo una vez encontradas poder eliminarlas y así mismo
evitar la pérdida de la información.

Las vulnerabilidades también están interrelacionadas con las amenazas porque si no existe una
amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar
un daño, por lo que estos agujeros pueden tener distintos orígenes, por ejemplo: fallos de diseño,
errores de configuración o carencias de procedimientos.

También es la capacidad, las condiciones y características del sistema mismo incluyendo la

entidad que lo maneja, que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.
En otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una
amenaza o de recuperarse de un daño.

Entre esto tenemos 5 tipos de vulnerabilidades.

PRINCIPALES VULNERABILIDADES

 Symlink races.
 Secuestro de sesiones.
 Desbordes de pila y otros buffers.
 Errores de validación de entradas.
 Ejecución de código remoto.

BUGS: Son los defectos que el software presenta un error que simplemente es un fallo. Un bug
en un software ocasiona que el programa colapse o que de errores. La mayoría de los bugs
son fallos humanos. Un programa lleno de bugs es calificado como «buggy».

Amenazas: Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción

que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso
de la Seguridad Informática, los Elementos de Información. Debido a que la Seguridad
Informática tiene como propósitos de garantizar
la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las
amenazas y los consecuentes daños que puede causar un evento exitoso, también hay que ver en
relación con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.

Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de
origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos
operativos internos, existen conceptos que defienden la opinión que amenazas siempre tienen
carácter externo.
Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso es la tarea
de la gestión de riesgo de preverlas, implementar medidas de protección para evitar o minimizar
los daños en caso de que se realice una amenaza.

CAUSAS

 EL USUARIO: Es el mayor que cae en este problema del cual siempre esté en
riesgo que afecta la seguridad de un sistema informático.
 PROGRMAS MALICIOSOS: Son programas ilegales que perjudican el
espacio virtual y generan ataques a los recursos del sistema.
 EL INTRUSO: Es una persona anónima que consigue acceder no autoriza mente
a los datos o programas aprovechando las cero seguridades que tiene el sistema.
 EL SINIESTRO: Se trata de la mala manipulación o mala mal intención que se
le da al sistema para eso provoca la pérdida del material o de los archivos y datos.

Riesgos: La materialización de una amenaza que aprovecha una vulnerabilidad expone a las
organizaciones y sus sistemas informáticos a lo que se conoce como riesgo. El riesgo puede ser
definido como la posibilidad de que algo que ocurra impacte negativamente sobre la información
o sobre los recursos para gestionarla. La Norma ISO/IEC-27002 lo define como la combinación
de la probabilidad de ocurrencia de un determinado hecho y sus consecuencias. La probabilidad
de ocurrencia es el producto del análisis sobre datos históricos respecto a cuántas veces sucedió
un hecho similar en un periodo de tiempo que se tomará como unidad. Se entiende por
consecuencias, el impacto, es decir, los hechos o acontecimientos que resultan de uno o varios
eventos evaluados para esa organización.

controles informáticos: En seguridad informática, consiste en la autenticación, autorización de

acceso y auditoría. Una definición más estrecha de control de acceso abarcaría únicamente la
aprobación de acceso, por lo que el sistema adopta la decisión de conceder o rechazar una
solicitud de acceso de un sujeto ya autenticado, sobre la base a lo que el sujeto está autorizado a
acceder. Autenticación y control de acceso a menudo se combinan en una sola operación, por lo
que el acceso está aprobado sobre la base de la autenticación exitosa, o sobre la base de una
token de acceso anónimo. Los métodos de autenticación y tokens incluyen contraseñas,
escaneados biométricos, llaves físicas, llaves electrónicas y dispositivos, caminos ocultos,
barreras sociales y monitoreo por seres humanos y sistemas automatizados.
 MAPA CONCEPTUAL

Controles automáticos

Controles manuales

Tipos de controles

CONTROL INTERNO INFORMÁTICO: puede definir como el sistema

integrado al proceso administrativo, en la planeación, organización,
dirección y control de la operación con el objetivo de asegurar la
protección de todos los recursos informático y mejorar los índices de
economía, eficiencia y efectividad del proceso operativo automatizados.

VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMÁTICOS

VULNERABILIDAD AMENAZA INFORMÁTICA: es RIESGO INFORMÁTICO:

INFORMÁTICA: es el punto o
aspecto del sistema que es
susceptible de ser atacado o
dañar la seguridad del mismo
Tipos de
vulnerabilidades
Vulnerabilidad física
Vulnerabilidad
natural
un posible peligro del sistema.
Puede ser una persona (cracker),
un programa (virus, caballo de
Troya, etc.), o un suceso natural
o de otra índole (fuego,
inundación, etc.). Representan
los posibles atacantes o factores
que aprovechan las debilidades
del sistema.
Las amenazas pueden
clasificarse en 4 tipos:
Intercepción
corresponde al potencial
de pérdidas que pueden
ocurrirle al sujeto o
sistema expuesto,
resultado de la relación de
la amenaza y la
vulnerabilidad
Los principales riesgos
informáticos son:
Riesgo de integridad
Riesgo de relación

Vulnerabilidad
hardware y software Riesgo de acceso
 Modificación

Vulnerabilidad de los
medios o Interrupción Riesgo de utilidad

Vulnerabilidad
emanación Riesgo de la
Generación infraestructura
Vulnerabilidad de las
comunicaciones
Control interno informático: Es el sistema integrado al proceso administrativo, en la
planeación, organización, dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados.

También controla diariamente que todas las actividades de sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de
los mecanismos implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.

Auditoría informática: Es la encargada de recoger y evaluar las evidencias para determinar si

un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva
acabo eficazmente de la organización y utiliza eficientemente los recursos.

Es la encargada de participar en las revisiones durante y después del diseño, realizar implementar
y explotar de las aplicaciones informática, así como las fases análogas en la realización de
cambios importantes.

se encarga también de estudiar los mecanismos de control que están implantados en una empresa
u organización, determinando si los mismos son adecuados y cumplen con determinados objetos
o estrategias, estableciendo los cambios que se deberían realizar para la consecución de ellos
mismos.

El auditor los que hace es evaluar y comprueba en determinados momentos del tiempo los
controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoria, incluyendo el uso del software. En muchos casos, a no es posible
verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican los
datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por el
ordenador.

El auditor es responsable de revisar e informar a la dirección de la organización sobre el diseño y

el funcionamiento de los controles implantados y sobre la fiabilidad de la información
suministrada.

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del

trabajo, están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad
de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número
de incidencias tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de

trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el check-
list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos
humanos / tiempo que las metodologías cuantitativas.

Objetivos de la auditoría Informática

Protección de activos e integridad de datos.

 Gestiona la eficacia y eficiencia.

Funciones un auditor informático Participar en las revisiones durante y después del

diseño, realización, implantación, explotación y cambios importantes de aplicaciones
informáticas. Revisar y juzgar los controles implantados en los sistemas informáticos para
verificar su adecuación a las ordenes e instrucciones de la Dirección, requisitos legales,
protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de
eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

Auditoria Interna.

El objetivo fundamental de la Auditoría Interna es descubrir deficiencias o

irregularidades en alguna de las partes de las empresas examinadas, y apuntar hacia sus
posibles soluciones.

Su finalidad es auxiliar a la dirección para lograr que la administración sea óptima.

Auditoria Externa.

Es el examen crítico, sistemático y detallado de un sistema de información, realizado

por un auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y con el
objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control
interno del mismo y formular sugerencias para su mejoramiento. La Auditoría Externa o
Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los
estados, expedientes y documentos y toda aquella información producida por los sistemas de
la organización.

Control Interno Informático.

Controla diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos legales.

Control Interno Informático.

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC’s,

etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes
actividades operativas.

Objetivos Principales

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías

externas al grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del
servicio informático.

Categorías

Controles preventivos.

Controles detectivos.

Controles correctivos.

Algunos Controles Internos.

Controles generales organizativos.

Controles de desarrollo, adquisición y mantenimiento de sistemas de información.

Controles de explotación de sistemas de información.

Controles en aplicaciones.

TABLA COMPARATIVA

CONTROL INTERNO AUDITORÍA

DIFERENCIAS INFORMÁTICO INFORMÁTICA

 Análisis de los  Análisis de un

controles en el día a momento
día. informático
 Informa la dirección determinado.
de informática.  Informa a la
 Sólo personal dirección general de
interno. la organización.
  El alcance de sus  Personal interno y/o
funciones es externo.
únicamente sobres el  Tiene cobertura
Departamento de sobre todos los
Informática. componentes de los
sistemas de
información de la
organización.

FASE 2

Desarrollo de la Actividad – Parte individual

Como empresa propuesta propongo auditar la empresa SERVAF. A E.S. P es una empresa de la
ciudad de Florencia departamento del Caquetá, quien es la encargada de bridar los servicios a los
usuarios mediante el acueducto de agua a los hogares florencianos y a la recolección de basuras
en la ciudad y en parte apartadas del municipio. Es una de servicios públicos que cuenta con un
recurso humano de personas ubicadas de la siguiente manera:
1 Gerente de Cuenta
1 Ingeniero sistemas
1 Administrador de empresas
2 Técnicos especializados
3 Vendedoras
1 Ejecutiva de negocios
La forma de funcionar la empresa está basada en darle un buen servicio a las personas que se
benefician de este derecho que a todos nos conviene a todos pues la que recurre a las necesidades
de las personas, posterior demostración por parte del ingeniero de sistemas y/o técnicos
especializados mediante llamada o visita presencial, en caso de cerrarse la venta se procede con
la facturación la cual está a cargo del gerente de cuenta.
Así mismo la instalación del producto y posterior soporte se realiza en las instalaciones del
cliente comprador implementada por los técnicos especializados en caso de que el soporte
posterior a la compra se pueda realizar vía telefónica o vía remota a través del software Team
Viewer u otro que realice estas funciones.
La auditoría tiene objetivo verificar la estructura y funcionamiento del sistema de seguridad
informática, además analizar el factor humano que tiene contacto con la red, con el fin de
observar las posibles fallas en su conjunto, verificar el cumplimiento de las normas y optimizar
el funcionamiento de la red por lo cual realizaríamos las siguientes verificaciones:

Del Hardware se evaluará:

 Distribución del hardware (ubicación física)
 Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
 Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.
 Acceso al hardware (llaves de seguridad)
 Bitácoras de uso (quién, cuando, para qué, entre otros puntos)
 Estructura de seguridad (Firewall).

Del Software se evaluará:

 Sistema de impleados.
 Sistema de prevención y control de acceso a personal.
 Sistema AFIS.
 Control de gestión y registro de asistencia.
  Revisado (contenido, cantidad, destino)
 Aprobado por el responsable del área
 El personal este comprometido formalmente a no hacer mal uso del mismo (dañarlo,
modificarlo, distribuirlo)

Del Talento Humano se evaluará:

 Hasta qué punto es aceptable la teoría de fundamenta la política de recursos humanos

en la implementación al análisis de las redes.
 Adecuación en la práctica y los procedimientos a la política y la teoría adoptadas en
la implementación de las medidas de seguridad.
 Conocimiento y capacidad del personal informático.
 Experto en darle solución a problemas tanto en el hardware como en el software.

Recursos

Recursos Humano:
 Visitas
 Cuestionario
 Revisión de documentos del área de informática de la empresa.
 Entrevistas.
 Encuestas.
 Evaluar regularmente la necesidad de desplazamiento de los técnicos a realizar soporte en
sitio.
 Revisión Sistema de administración del software.

FUNCIONARIO ROL
SEBASTIÁN CALDERÓN Jefe de Auditoria
YULIETH SANTOS Auditor
DIEGO FERNANDO MEJIA Auditor
 ARISTIDEZ VALDEZ Auditor
JHON JAIRO LOZANO Auditor

Recursos Tecnológicos

 Vigila que a los sistemas de control de información permanezcan actualizados y en

buenas.
 La autorización para la elaboración de listado la realizara el jefe inmediato del área de
desarrollo y mantenimiento de sistemas.
 En caso de no estar presente el subdirector de informática la autorización deberá
realizarla el jefe inmediato del área de desarrollo y mantenimiento de sistemas.
 El servicio de mantenimiento preventivo y/o correctivo deberá ser aprobado por el jefe
inmediato.
 En caso de no estar presente el jefe inmediato del área de telecomunicaciones y soporte
técnico deberá ser autorizado por el subdirector de informática.

RECURSOS ECONOMICOS
 Ítem Cantidad subtotal

Computador 3 6.000.000=

Impresora 1 500.000=

Cámara digital 1 500.000=

Grabadora digital 1 200.000=

Papelería 1 100.000=

Total 7.300.000=

ITEM Vulnerabilidades Amenazas Riesgos Controles

El afán por reducir y Corto circuito en la redes Daño físico a Evita movimientos
colocar más en menos eléctricas y el servidor computadoras, bruscos o golpes al
espacio es responsable equipo periférico y equipo de cómputo,
de esta amenaza de medios de ya que pueden
hardware que afecta a comunicación. afectar en sus piezas
las memorias DDR internas, así mismo
RAM y que no es evita el contacto de
 posible de solucionar la computadora con
Parte física del salvo cambiando el cualquier tipo de
Hardware módulo de memoria líquido (agua,
afectado. refresco, café,
líquidos corrosivos,
etc.).
Hurto del servidor a  Desastres naturales Descubrimiento de
Los elementos a manos de inescrupulosas. todos los elementos
eliminar en el de la red local o
inventario de distribuida sin
computadoras de su afectar al
organización. rendimiento de la
misma.
Las computadoras sin Investigadores de Apagones y bajos Limpieza breve a los
autenticación previa al seguridad crean troyanos voltajes. equipos de cómputo
arranque (PBA) o un de hardware indetectables. y a los servidores.
módulo de plataforma
segura (TPM): Como
otro nivel de
protección, PBA
impide que el sistema
operativo se cargue
hasta que el usuario
introduzca la
información de
autenticación, como
una contraseña.
El uso en general de La causa principal de la Riesgos Evitar la entrada de
discos duros antiguos. pérdida de datos, los fallos relacionados con el cualquier dispositivo
Deb Shinder, una en el disco duro. ambiente de extraño que pueda
consultora de operación infectar el equipo.
tecnología y seguridad,
entrenadora y escritora,
señala que incluso
cuando los viejos
discos duros no son
una amenaza directa a
la seguridad, lo hacen
vulnerable a la pérdida
de datos, ya que son
propensos a fallar.
Viejas PCs, laptops y Los USB y las tarjetas SD Daño en algún Mantenimiento
notebooks. causan el 30 por ciento de cableado de red de preventivo a los
las infecciones de fibra óptica o equipos.
malware. UTAPE
Otra consideración es La vulnerabilidad de UEFI Daño en cable de Mantener el servidor
 el uso en general de (Interfaz Extensible de toma corriente del en lugares apropiado
discos duros antiguos. Firmware) permite servidor. fuera de riesgos en
Deb Shinder, una sobrescribir sobre el BIOS los que puede estar
consultora de sin que se pueda hacer sometidos.
tecnología y seguridad, nada al respecto.
entrenadora y escritora,
señala que incluso
cuando los viejos
discos duros no son
una amenaza directa a
la seguridad, lo hacen
vulnerable a la pérdida
de datos, ya que son
propensos a fallar.
 

Un error del código de Una infección por parte Existencia de Garantizar la

programa puede del malware el cual puede vulnerabilidades estabilidad y,
permitir que un virus dañar toda la información. web: El 47% de las particularmente, ser
de computadora acceda empresas afirman robusto frente a
al dispositivo y se haga que este año han perturbaciones y
con el control. detectado errores en los
vulnerabilidades web modelos.
mediante hacking
éticos que pueden
Parte lógica del permitir accesos
software indebidos a
información sensible
de la compañía.
Las maneras lícitas y La necesidad de Ser tan eficiente
documentadas que La inyección SQL potenciar la como sea posible,
permiten que las injection cuando una formación y según un criterio
aplicaciones accedan al página contiene un fallo concienciación en preestablecido.
sistema. de seguridad en el código materia de seguridad
que permite que aquellos de la información
con intenciones maliciosas tanto al personal
ataquen o consigan el interno como a los
control. socios de negocio se
ha detectado en un
45% de las empresas
encuestadas. El
factor humano es de
vital relevancia para
prevenir los
las contraseñas son ciberataques Normalmente este
débiles. El Cross-Site Scripting avanzados. criterio consiste en
 que la acción de
(XSS). es otro de los tipos control sobre las
comunes de amenazas variables de entrada
informáticas que puede sea realizable,
sufrir tu web.  evitando
comportamientos
bruscos e irreales.
El Re direccionamiento La Intercepción ocurre Aparición de links Ser fácilmente
de URL a sitios no cuando un hacker captura falsos que pueda implementarle y
confiables. datos que los usuarios secuestrar la cómodo de operar en
envían a una web, y luego información. tiempo real con
los utiliza para su propio ayuda de un
beneficio.  ordenador.

FASE 3
LISTA DE CHEQUEO NORMA ISO/IEC
 ISO 9126
CARACTERISTIC SUB- METRICAS E B R M OBSERVACION
AS CARACTERISTI ES
CAS
Puede el software
Adecuación desarrollar las
tareas requeridas.
El resultado es el
Exactitud
esperado.
Interactúa con
Interoperabilidad
otros sistemas.
Funcionalidad Protege la
información y
datos de los
Seguridad
usuarios. E impide
el acceso para ser
alterado.
Es fácil para el
Entendimiento usuario ser
utilizado
El usuario puede
aprender
Aprendizaje
fácilmente a
Usabilidad
utilizarlo.
El usuario puede
controlar el
Operabilidad
sistema sin mucho
esfuerzo.

Área de trabajo de la empresa R/PT

Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones.
Objetivo de Control Escolta de Visitantes
 Cuestionario
Pregunta SI NO N/A
¿Las instalaciones ( cubículos y oficinas) fueron diseñadas o
adaptadas específicamente para funcionar como un centro de
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal que
facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma que
permita una circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el paso a
lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de
humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia y
se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el centro
de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga
equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de trabajo?
¿Son funcionales los muebles instalados dentro del centro de
cómputo: cinto teca, Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones?
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara
de aire que existe debajo del piso falso (si existe)?
Documentos probatorios presentados:

ASPECTOS GENERALES
Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de
chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para
cada proceso asignado.
FORMATO DE FUENTES DE CONOCIMIENTO
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 1

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO P01 Definir un plan Estratégico de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Debemos tener las hojas de
Se debe definir e
vida de cada uno de los
implementar aquellos
Empresa SERVAF, no software instalados en los
procedimientos que
tiene diseñado un plan equipos donde se pueda
permitan garantizar la
estratégico de TI para determinar cosas como:
integridad y consistencia de
gestionar los recursos actualizaciones,
los softwares, datos,
vencimientos, licencias,
programas e información.
requerimientos.
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
 REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 2

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO PO2 Definición de la Arquitectura de Información

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
No se tiene establecido La posibilidad de tener un
Crear un sistema que
el buen manejo de la para analizar el la
permita conservar y
información que funcionalidad de los
minimizar los riesgos de
garantice los sistemas sistemas software de la
los software de la compañia
software de la compañía. compañía
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
2

ENTIDAD SERVAF PAGINA

AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ADQUIRIR O IMPLEMENTAR
PROCESO PO2 Definición de la Arquitectura de Información

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
No se tiene establecido La posibilidad de tener un Crear un sistema que
el buen manejo de la para analizar el la permita conservar y
información que funcionalidad de los minimizar los riesgos de
garantice los sistemas sistemas software de la los software de la
software de la compañía. compañía compañia
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO
RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS7 Educar y Entrenar a los Usuarios

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
 RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS9 Administración de la Configuración

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
 RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS12 Administración del Ambiente Físico:

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3

ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS13 Administración de Operaciones:

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA 3

ENTIDAD PAGINA
SERVAF
AUDITADA 1 DE 1
PROCESO
AUDITADO

RESPONSABLE SEBASTIAN CALDERON HOYOS

MATERIAL DE
COBIT
SOPORTE
DOMINIO Dominio Monitorear Y Evaluar (ME).
PROCESO ME2 Monitorear y Evaluar el Control Interno:

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:
SEBASTIAN CALDERON HOYOS
FORMATO DE ENTREVISTA Y CUESTIONARIO DE LA ENTREVISTA
EMPRESA
ENTREVISTADO FECHA
CARGO REVISADO
POR
AREA: SISTEMAS

CUESTIONARIO SI NO N/ RESPUESTA
A
¿Se cuenta con un manual del
usuario para software informáticos?
¿La empresa cuenta con políticas
para la protección de los sistemas
informáticos?
¿los software se encuentra
licenciados?
¿Existe un organigrama área de
Informática?
¿Se realizan backup respaldos de la
información?
¿Se ejerce control correctivo a los
software, hardware,redes de la
entidad?
¿los usuarios principales poseen
control de acceso y claves de
seguridad?
¿La entidad posee manual de
control preventivo y mantenimiento
a la infraestructura?
¿Los software son actualizados en
atención a los avances tecnológicos?
¿El área de informática cuenta con
personal tecnico exclusivo para el
mantenimiento preventivo de los
equipos o cuando existen sucesos e
inconvenientes?
 CUADRO DE RIESGOS

ITEM DESCRIPCION DEL RIESGO

RIESGO
1. Sabotaje, Robos o actos vandálicos.
2. Entorpecer la configuración de los mismos ocasionando problemas
en la red.
3. Cortos circuitos por descargar eléctricas o desgaste de (cableado).
4. Daños o desgaste.
5. Imposibilitando la comunicación entre las diferentes áreas.
6. Caída e interrupción en el sistema de red.
7. Perdida de datos.
8. Filtración y manejo inadecuado de información confidencial.
9. Daño en el sistema o en la Red.
10. Errores de Software.
11. Mala adaptación al mismo, dificultando los procesos.
12. Pérdida total o parcial de la información.
13. En caso de ataque la información importante estará a disponibilidad
de directa.
14. Suministra información organizacional de la red específica a
personas no autorizadas.
15. Trafico no autorizado de un cliente a otro.
16. Disminución en la Productividad de la empresa.
17. Errores en la red y manipulación inadecuada de información.
18. Ataques internos a la seguridad de la información.
19. Daño en Equipos, Router, Switch, entre otros.
 DESARROLLO DE LA ACTIVIDAD (EVALUACION DE LOS SOFTWARE DE
INFORMATICA)

RIESGOS A LA EMPRESA DE SERVAF S.A E.S.P

ÍTE RIESGO DOMINI PROCESO OBJETIVO CAUSAS
M O S S DE
CONTROL
DETALLAD
OS
1 Error Monitoreo Monitorear y Monitorear Los errores humanos se
humano y evaluar el de manera pueden producir por una
Evaluación control interna y de distracción del funcionario,
interno forma una mala preparación del
continua, mismo o un descuido.
estos se hacen
a profundidad
para evitar los
riesgos.
2 Robo de  Adquirir e Adquirir Garantizar la Fallas internas en la parte
archivos o implement recursos de adquisición de seguridad y vigilancia
equipos ar TI de hardware, de la empresa o posible
software, robo por parte del personal
infraestructur de la empresa
ae
instalaciones
que
satisfagan las
necesidades
de la empresa
3 Fallas en Adquirir e Instalar y Realizar un Las fallas muchas veces se
los implement acreditar plan de producen por un error del
sistemas ar soluciones y pruebas  para mismo sistema o en
cambios la corrección algunos casos por el
de errores, manejo que se le da a éstos
con base en la
evaluación de
riesgos de
fallas en el
sistema
4 Virus Entregar y Administrar Priorizacione Bases de datos
informátic dar soporte los s de desactualizadas equipos sin
o problemas emergencia, protección, antivirus
esto se realiza desactualizados
 lo más pronto
posible para
no perder
información
5 Desastre Entregar y Administrar Proporcionar Fenómenos de la naturaleza
natural dar soporte el ambiente un ambiente
físico físico que
proteja al
equipo y al
personal de
desastres
naturales

6 Incendio Entregar y Garantizar la Garantizar Descuido del personal

por corto dar soporte seguridad de que las encargado de la seguridad y
los sistemas características el manejo de las
de los instalaciones
posibles
incidentes de
seguridad
sean
definidas y
comunicadas
de forma
clara, de
manera que
los problemas
de seguridad
sean
atendidos de
forma
apropiada por
medio del
proceso de
administració
n de
problemas o
incidentes

7 Accesos Entregar y Administrar Monitorear Información que llega a

no dar  servicios de  los servicios manos de personas
autorizado soporte terceros del proveedor inescrupulosas que
s apara fácilmente pueden afectar
asegurarse la estabilidad de la empresa
que éste está
cumpliendo a
 cabalidad con
los
requerimiento
s
8 Poco Planear y Administrar Reclutamient En muchas ocasiones el
personal organizar recursos o y retención personal que se tiene no se
para humanos de del personal, ajusta a las nuevas
manejar TI asegurarse  de necesidades de la empresa
los contratar entonces se necesitan
sistemas personas que capacitar el personal
se ciña a las existente o  conseguir
políticas de la nuevo personal
empresa y
que garantice
un buen
desempeño
9 Fallas del Adquirir e Adquirir y Desarrollar Las causas de este pueden
hardware implement mantener la una estrategia ser descaste de los equipos,
ar infraestructu y un plan de falta de control más
ra mantenimient continuo requerimientos de
tecnológica o de la actualizaciones.
infraestructur
a y garantizar
que se
controlan los
cambios, de
acuerdo con
el
procedimient
o de
administració
n de cambios
de la
organización.
Incluir una
revisión
periódica
contra las
necesidades
del negocio,
administració
n de parches
y estrategias
de
actualización,
riesgos,
 evaluación de
vulnerabilida
des y
requerimiento
s de
seguridad.
10 Filtración Monitorear Monitorear y Registrar la La causa de esto es un
de la y evaluar evaluar el información agente interno que  pasa
informació control referente a información a personas
n interno todas las inescrupulosas, o software
excepciones malicioso que se instalan
de control y en el equipo y roban
garantizar información importante
que esto para la empresa.
conduzca al
análisis de las
causas
subyacentes y
a la toma de
acciones
correctivas.
La gerencia
debería
decidir cuáles
excepciones
se deberían
comunicar al
individuo
responsable
de la función
y cuáles
excepciones
deberían ser
escaladas. La
gerencia
también es
responsable
de informar a
las partes
afectadas.
 LISTA DE RIESGOS ENCONTRADOS.

Dominio: planear y organizar - Proceso: definir un plan estratégico de ti.

a)    Baja inversión en infraestructura TI
b)    No alinear las estrategias de TI con las de la entidad
c)    No existe un protocolo para evaluar el desempeño de los sistemas de información
d)    No existen planes estratégicos de TI
e)    No existen planes tácticos de TI
f)     Los programas implementados casi siempre son reactivos en lugar de preventivos, sin
planeación u objetivos claros.
g)    No se cumple los protocolos de seguridad en materia de TI
h)   Se existen manuales de procedimientos para evaluar el desempeño de las redes de datos.
i)     Falta de capacidad de ancho de banda de internet para soportar efectivamente los aplicativos en
línea.
j)      Falta de capacitación específica para la ejecución de actividades inherentes.

Dominio: planear y organizar - Proceso: Definir la arquitectura de la información.

a)    Debido al largo tiempo de funcionamiento, se tiene información almacenada en diferentes
formatos y mediante variados métodos que hace muy difícil garantizar su optimización
b)    No existe un diccionario de datos implementado
c)    El esquema de clasificación de datos no se encuentra completamente implementado
d)    No se puede garantizar la integridad de los datos

Dominio: Adquirir e Implementar - Proceso: Adquirir y Mantener Arquitectura de TI.

a)    Obsolescencia en la infraestructura física de las TI
b)    Ausencia de servidor como repositorio de archivos.

Dominio: Adquirir e Implementar - Proceso: Instalar y Acreditar Sistemas.

a)    No se cuenta con los ambientes adecuados para los equipos de las salas de audiencia y
videoconferencia aumentando el daño por deterioro o mal uso.

Dominio: Entregar y Dar Soporte - Proceso: Administrar Desempeño y Calidad.

a)    Poca agilidad en la ejecución de los trámites de las garantías de los equipos de cómputo ante los
contratistas.

Dominio: Entregar y Dar Soporte - Proceso: utilizar los sistemas de TI de manera productiva y

segura.
a)    Ausencia de equipos de contingencia.
Dominio: Monitorear y Evaluar - Proceso: Evaluar lo adecuado del control Interno.
b)    Obsolescencia en el regulador de 50 KVA de la acometida eléctrica regulada.
 VALORACIÓN DE RIESGOS

De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de la Contraloría
General de la Republica – Gerencia Departamental Colegiada Valle del Cauca, para ello se
realiza la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificación.

Tabla 1. Valoración de riesgos

Riesgos / Valoración Probabilidad Impacto

A M B L M C
Definir un Plan Estratégico De TI
R1 Baja inversión en infraestructura TI X X
R2 No alinear las estrategias de TI con las de la entidad X X
R3 No existe un protocolo para evaluar el desempeño de X X
los sistemas de información
R4 No existen planes estratégicos de TI X X
R5 No existen planes tácticos de TI X X
R6 Los programas implementados casi siempre son X X
reactivos en lugar de preventivos, sin planeación u
objetivos claros.
R7 No se cumple los protocolos de seguridad en materia X X
de TI
R8 Se existen manuales de procedimientos para evaluar X X
el desempeño de las redes de datos.
R9 Falta de capacidad de ancho de banda de internet para X X
soportar efectivamente los aplicativos en línea.
R10 Falta de capacitación específica para la ejecución de X X
actividades inherentes.

Definir la arquitectura de la información.

R11 Debido al largo tiempo de funcionamiento, se tiene X X
información almacenada en diferentes formatos y
mediante variados métodos que hace muy difícil
garantizar su optimización
R12 No existe un diccionario de datos implementado X X
R13 El esquema de clasificación de datos no se encuentra X X
completamente implementado
R14 No se puede garantizar la integridad de los datos X X
 Adquirir y Mantener Arquitectura de TI.
R15 Obsolescencia en la infraestructura física de las TI X X
R16 Ausencia de servidor como repositorio de archivos. X X

Instalar y Acreditar Sistemas.

R17 No se cuenta con los ambientes adecuados para los X X
equipos de las salas de audiencia y videoconferencia
aumentando el daño por deterioro o mal uso.
Administrar Desempeño y Callide.
R18 Poca agilidad en la ejecución de los trámites de las X X
garantías de los equipos de cómputo ante los
contratistas.
Utilizar los sistemas de TI de manera productiva y segura.
R19 Ausencia de equipos de contingencia. X X

Evaluar lo adecuado del control Interno.

R20 Obsolescencia en el regulador de 50 KVA de la X X

acometida eléctrica regulada

Probabilidad                                                                       Impacto
Alta: A                                                                                Catastrófico: C
Media: M                                                                            Moderado: M
Baja: B                                                                               Leve: L

MATRIZ DE RIESGOS

De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza a la
Contraloría General de la Republica, se puede clasificar los riesgos como se muestra en la tabla
2.

LEVE MODERADO CATASTRÓFICO

ALTO R10,
MEDIO R2, R3, R6, R7, R8 R1
BAJO R9 R4, R5

Definir la arquitectura de la información.

 LEVE MODERADO CATASTRÓFICO
ALTO R17
MEDIO R13 R14
BAJO R12 R11

Adquirir y Mantener Arquitectura de TI.

LEVE MODERADO CATASTRÓFICO

ALTO R15
MEDIO R16
BAJO

Instalar y Acreditar Sistemas.

CATASTRÓFI
LEVE MODERADO CO
ALTO  R17
MEDI
O
BAJO

Administrar Desempeño y Calidad.

CATASTRÓFI
LEVE MODERADO CO
ALTO
MEDI
O R18
BAJO

Utilizar los sistemas de TI de manera productiva y segura.

 CATASTRÓFI
LEVE MODERADO CO
ALTO
MEDI
O R19
BAJO

Evaluar lo adecuado del control Interno.

CATASTRÓFI
LEVE MODERADO CO
ALTO R20
MEDI
O
BAJO

Matriz de Riesgos de todos los procesos.

LEVE MODERADO CATASTRÓFICO

ALTO R10, R17, R15, R20
R2, R3, R6, R7, R8, R13, R16,
MEDIO R18, R19 R1, R14,
BAJO R9, R12, R4, R5, R11,

GUÍA DE HALLAZGOS H1.

SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-14

PROCESO AUDITADO Administración e integridad de los PÁGINA

 sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
Entregar y Dar DS5 Garantizar la Seguridad de los
DOMINIO PROCESO
Soporte. Sistemas.

DESCRIPCIÓN:
Aquí se copia la descripción de cada uno de los riesgos que ya han sido confirmados
mediante pruebas y que están en el cuadro de tratamiento de los riesgos.

REF_PT:
Lista de chequeo F-CHK 03.

CONSECUENCIAS:
Es el impacto que pueden causar esos hallazgos de llegar a concretarse los riesgos, aquí se
mencionan que activos informáticos se verán afectados con la ocurrencia del riesgo.

RIESGO:
En este espacio se especifica el nivel de riesgo en que se encuentra el proceso evaluado,
esta información está en el cuestionario al aplicar la formula. Los valores pueden ser
Bajo/medio/alto

RECOMENDACIONES:
Auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las
diferentes funciones, cuando sea apropiado.

SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-15
PROCESO Administración e integridad de los PÁGINA
AUDITADO sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.

DESCRIPCIÓN:
La pérdida de datos es inminentes por daños relacionados con los sistemas operativos, mal
uso de los archivos.

REF_PT:

Lista de chequeo F-CHK 03.

CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la
red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un desempeño
no aceptado de la red de datos.

RIESGO:
Extracción, modificación y destrucción de la información confidencial y el uso inadecuado
de las instalaciones.

RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
 SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-16

PROCESO Administración e integridad de los PÁGINA

AUDITADO sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.

DESCRIPCIÓN:
No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su
aspecto físico.

REF_PT:

Lista de chequeo F-CHK 03.

CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin
inconvenientes, inclusive se puede presentar hurto del servidor.

RIESGO:
Controles no cuantitativos en los contenidos de los archivos.

RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar
un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar
quien accede a este.

SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-17

PROCESO Administración e integridad de los PÁGINA

AUDITADO sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.

DESCRIPCIÓN:
Los errores son indeterminados y que afectan a cualquier empresa por el deterioro de código
fuente y desencadena un resultado indeseado.
REF_PT:
Tabla de vulnerabilidades, amenazas y riesgos.

CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda
instalar ejecutables o usar contraseñas de activación no válidas para software.

RIESGO:
Al no tener protección en el servidor, el servidor SQL2 puede recurrir en una amenaza de
ataque ya sea de virus o secuestro de la información.

RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.

SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-18

PROCESO Administración e integridad de los PÁGINA

AUDITADO sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.

DESCRIPCIÓN:
Por inestabilidad de los circuito eléctricos internos de la instituciones o incrementos o
decrementos, intermitencias de la energía puede ocasionar daños graves en equipos.

REF_PT:
Tabla de vulnerabilidades, amenazas y riesgos.

CONSECUENCIAS:
 programas destinados a perjudicar o hacer uso ilícito de los recursos del sistema. Es
instalado 8por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien
modificando datos. estos programas pueden ser un virus informático, un gusano informático,
un troyano, una bomba lógica o un programa espía o Spyware.

RIESGO:
Un corto circuito en el hardware puede incurrir en un daños al servidor y puede hacer que los
archivos se pierdan.

RECOMENDACIONES:
Confirmar que la evidencia de la auditoría es suficiente y apropiada para apoyar los
hallazgos y conclusiones de la auditoría, mediante la evaluación de los factores que pueden
afectar a la fiabilidad de los hallazgos y conclusiones de la auditoría.
 DICTAMEN DE LA AUDITORÍA
De acuerdo con las instrucciones proporcionadas en la materia de Auditoria de Sistemas, se permite remitir el
dictamen de la auditoría practicada al Aula de Medios, con especial énfasis en las evaluaciones de Infraestructura,
de entorno, mobiliario y equipo, hardware, software y seguridad física.

Para el dictamen de la auditoría en cada uno de los procesos, hay que tener en cuenta los
resultados de las listas de chequeo aplicadas en el proceso donde se verifica el cumplimiento
de controles y los hallazgos encontrados donde se refleja el grado de exposición a los riesgos.
Una vez se tiene estos datos hay que ir a la norma CobIT 4.1 donde se define la escala de
medición y a cada uno de los procesos evaluados donde al final de cada proceso luego de los
objetivos de control se explica el valor a calificar de acuerdo a los resultados anteriores

A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de

mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:1

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal,

los recursos de hardware y software, los documentos soporte, el centro de cómputo con el
fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos, organización y

relaciones del área evaluada están contenidos en un manual de procesos y los recursos de
hardware y software son adecuados. Sin embargo, este manual no se ha actualizado con
respecto a la evolución que ha tenido el Sistema, lo que hace que no sea posible medirlo y

1
 redefinirlo. En procesos clave de administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen del sistema.

c. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes
de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar
personal clave en las operaciones y administración del sistema.

 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

información, operación directa sobre tablas de la base de datos. Igualmente, realiza
labores de auditoría y también administra el sistema operativo, la aplicación y la base de
datos. Se considera un nivel de acceso amplio que dificulta establecer controles por parte
de la empresa.

 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el

control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.

d. Recomendaciones:

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

procedimientos del Área Comercial.

 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.

 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y

procedimientos de la administración de riesgos, la seguridad de la información, la
propiedad de datos y del sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones masivas sobre las tablas de
la base de datos, administración de la base de datos, auditoria.

 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de

registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el
mismo realizar auditorías y ejerciendo controles adecuados sobre la seguridad del
servidor e producción y sobre la base de datos.
PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el

aplicativo, personal, recursos, procesos, soportes

b. Dictamen:

Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y

evaluación al Sistema, pero no son permanentes, ni se ha documentado suficientemente.
Además, falta capacitación del personal encargado. La detección de riesgos y el
establecimiento de controles se hacen, en gran parte, por iniciativa propia de los
empleados, y no en un procedimiento regular de auditoría.

c. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de

riesgos sobre el sistema, no se ha destinado personal para establecer un plan de controles
sobre el mismo, lo que impide prevenir posibles fraudes, inconsistencias o pérdidas de
información y económicas. Los riesgos tampoco se han clasificado por niveles de
criticidad, no se han establecido riesgos residuales.

 No se encontró una política claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el sistema, tales como: infección por
virus, plan para enfrentar contingencias en el sistema, plan para detectar y corregir
debilidades o huecos en las operaciones, y errores de digitación de datos por parte de los
usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y
adopción de las políticas de seguridad en el procesamiento de datos, revisión
metodológica del sistema para proponer mejoras al diseño inadecuado o cuestionable de
algunos módulos, corrección de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinación de especificaciones técnicas inapropiadas,
detección de deficiencias en el entrenamiento de los funcionarios que ejecutan los
procesos, determinación de estándares de control de calidad de la información de la base
de datos, análisis de cumplimiento de la validación de las reglas del negocio en el
 sistema, Cumplimiento normativo y de las políticas internas en el proceso del área
comercial a cargo del sistema.

d. Recomendaciones:

 Implementar el software de administración de riesgos y establecimiento de controles

al sistema en general, como parte de la Función del SGSI.

 Capacitar al personal encargado de auditar el sistema, sobre la identificación de

riesgos, medición e implementación de controles, enfocada en la seguridad de acceso
e integridad de la base de datos.

 Implementar un estándar como metodología para el análisis y la evaluación de riesgos

informáticos, que permita que este proceso se lleve a cabo de manera adecuada se
debe tener en cuenta que los estándares son apropiados a ciertos tipos de evaluación,
algunos de ellos son: MAGERIT, ISO 27005, OCTAVE que nos brindan los
estándares y las escalas de evaluación.

 Retomar las recomendaciones que han realizado en las auditorias anteriores para
realizar el análisis, evaluación y gestión de los riesgos encontrados; establecer un
sistema de control adecuado al sistema de información y trabajar en la documentación
del proceso.

Link del video Material con que se hizo el video

https://youtu.be/wet8dg0Ct3Y 

Riesgos o hallazgos encontrados
El personal no cuenta con programas
de capacitación y formación en
seguridad informática y de la
información.
Eliminar información importante y
perdida de la confidencialidad.
Acceso a la red de la organización.
Perdida de confidencialidad
integralidad de la información.
Facilidad en hurto de información
confidencial.
Las PQRS no se han gestionadas
debidamente.
Realización de actividades no
conformes con lo indicado por la
empresa.
Tipo de Soluciones o Controles
Control
Realizar capacitaciones con el fin
Detectivo de concientizar a los colaboradores
sobre la seguridad informática.
Solicitar al área de TI, la
implementación de más filtros de
Detectivo seguridad para que los usuarios no
eliminen registros, ni los ingresen
de manera errónea.
Adicionar protocolos de seguridad
y restricciones en la red, verificar
Preventivo
que las contraseñas y usuarios no
sean obvios.
e
Preventivo Revisar URL Embebidos.
Preventivo Establecer políticas de seguridad.
Implementar el sistema de
semáforo para categorizar las
Preventivo
PQRS y de esa manera determinar
la prioridad de atención.
Implementación de herramientas de
Correctiva
monitoreo de red.
1. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.

En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se proteja
tanto al personal como a los equipos de peligros naturales o siniestros también se tratara de
analizar si los puestos de trabajo cumplen con las normas de seguridad obligatorias y si en
los colaboradores existe una cultura de que promueva e incentive la seguridad propia y de
la empresa.

1.1. ANALISIS Y EVALUACION DE RIESGOS

Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y

evaluación de riesgos del proceso en cuestión
1.1.1. ANALISIS Y EVALUACIÓN DE RIESGO

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDA
D Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1) R8

Improbable (2) R3

Posible (3) R6 R7 R2 R12 R5 R1

Probable (4) R4 R10

Casi Seguro (5) R11 R9

1.1.2. TRATAMIENTO DE RIESGOS

N° Descripción Tratamiento Riesgo

R1 Material propenso a incendios Controlarlo

R2 Acceso no autorizado a las diferentes áreas Controlarlo

R3 Personas poco cuidadosas Aceptar

Se encuentran muchos puntos ciegos donde podrían acceder

R4 transferirlo
intrusos a la empresa

R5 Robo del servidor o manipulación del mismo Controlarlo

No hay circulación adecuada de aire, además se presenta la

R6 transferirlo
amenaza de incendio.

R7 Instalaciones propensas a inundación o derrumbe Controlarlo

Desorientación ante daños de la infraestructura en suceso

R8 Controlarlo
ambiental

N° Descripción Tratamiento Riesgo

R9 falta de controles en la seguridad de la empresa Controlarlo

carencia plan de acción para el mantenimiento de la

R10 Controlarlo
infraestructura física

Carencia promoción e incentivos para la seguridad en la

R11 Controlarlo
institución

R12 No hay como detectar de forma temprana humo, incendio, transferirlo

inundaciones mediante equipos tecnológicos para la
 prevención y evacuación.

CONCLUSIONES
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.
 BIBLIOGRAFÍA

https://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://fraudit.blogspot.com/2011/08/hallazgos-de-auditoria-de-sistemas.html
http://www.oas.org/fpdb/press/INFORME-PRELIMINAR-DE-AUDITORA-PARA-
PUBLICAR-FINAL.pdf