AUDITORIA DE SISTEMAS

TRABAJO GRUPAL MOMENTO 3

SIRELYS JIMNEZ -1082880422

MARTA CUESTA PAREDESCARLOS PAINCHAULT-92.532.268
ESTUDIANTES

CARMEN EMILIA RUBIO

TUTORA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
ECBTI 2015-II

TABLA DE CONTENIDO
Introduccin

Pgs.
3

Objetivos

Objetivos General

Objetivos Especficos

Proceso DS5 Garantizar la seguridad de sistemas

Tabla valoracin de riesgo

Matriz de riesgo

Tabla de tratamiento de riesgos

Cuadro de control de riesgos

11

Plan de auditoria

14

Evidencia fotogrfica

16

Conclusiones

17

Bibliografa

18

INTRODUCCION
La realizacin de esta actividad tiene la determinacin de mostrar a travs del resultado de la
matriz de riesgo el tratamiento de stos, con la finalidad de determinar si se acepta, se transfiere
o se ejercen controles, en ese orden de ideas se har un listado con el propsito de minimizar el
impacto y probabilidad de ocurrencia en la Empresa Comercializadora Servisuper.
La importancia del control interno informtico radica en que se establecer como prioridad la
seguridad y proteccin de la informacin del sistema computacional y de los recursos
informticos de una entidad, al mismo tiempo que promueve la confiabilidad, oportunidad y
veracidad de la captacin de datos, su procesamiento en el sistema y la emisin de informes en la
organizacin.
El propsito de sta actividad es evidenciar un plan de auditoria y mantener la integridad de la
informacin del CDA al mismo tiempo que contribuir a que el Centro de Revisin TecnicoMecanica mejore en sus procesos y procedimientos, proveyndoles algunas recomendaciones y
herramientas necesarias para que el rendimiento sea ms ptimo y de sta manera hacer eficiente
la funcin correspondiente de cada empleado generando agilidad en las actividades de toda la
empresa.
Con sta actividad, el estudiante tendr la oportunidad de fortalecer sus competencias aplicando
los conocimientos en la solucin de diversas situaciones que puedan surgir con relacin a matriz
de riesgos, tratamiento de los riesgos, tipos de controles, lista de chequeo para verificar los
controles existentes. Es primordial, asimilar la teora, participar, exponer e intercambiar ideas, y
poner en prctica las diversas actividades expuestas en el curso, porque stas abrirn paso a la
experiencia y al cumplimiento de los logros propuestos.
La actividad est desarrollada y explicada a travs de cuadros, imgenes, hacindolo ms fcil y
sencillo para el lector. Se agradecen las crticas y sugerencias constructivas las cuales se tendrn
en cuenta para el enriquecimiento de nuestros conocimientos.

OBJETIVOS

General
Adquirir conocimientos con relacin a los temas de la Unidad 3: Control Interno del
Mdulo de Auditoria de sistemas para llevarlo a la prctica.

Especficos
Elaborar la valoracin de riesgos en los diferentes aspectos: seguridad fsica, seguridad
lgica, hardware, software, redes, comunicaciones, sistemas de informacin, usuario
entre otros.
Determinar el tratamiento de riesgos.
Evidenciar los tipos de controles para minimizar el impacto y la probabilidad de

ocurrencia.
Elaborar una lista de chequeo para verificacin de los controles existentes.
Reconocer la importancia de auditar una empresa.
Valorar la importancia de ste tema.
Cumplir con lo asignado por la tutora.

PROCESO
DS5 GARANTIZAR LA SEGURIDAD
DE SISTEMAS

SIRELYS JIMNEZ
MARTA CUESTA PAREDES
CARLOS PAINCHAULT
AUDITORES

TRABAJO COLABORATIVO MOMENTO 3

TABLA VALORACION DE RIESGO
REF
VALORACION DE RIESGO
001
ENTIDAD AUDITADA

COMERCIALIZADORA
SERVISUPER LTDA

ESTUDIANTE
DOMINIO SERVICIOS Y SOPORTE

R3

R4
R5
R6
R7
R8
R9
R10

DE

SIRELYS PAOLA JIMENEZ ESCORCIA

PROCESO Garantizar la Seguridad de Sistemas

Probabilidad

Impacto

Alta= A
Media= M
Baja = B

Catastrfico= C
Moderado = M
Leve =L

RIESGOS/VALORACION
R1
R2

PAGINA

PROBABILIDAD
A
M
B

SISTEMA DE INFORMACIN
Prdida de tiempo en la ejecucin de los procesos.
X
Retrasos en la expedicin de certificados de X
Revisin Tecnico-Mecanica
Duplicacin de nmeros de identificacin de
X
clientes y proveedores.
SEGURIDAD LGICA
Filtracin de informacin del CDA
X
Alteracin de los datos de proveedores, clientes X
inclusive del CDA.
Perdida de informacin confidencial del CDA.
X
Manipulacin no autorizada de la informacin X
contable y operativa del CDA.
Perjuicio en la Imagen del CDA.
X
SEGURIDAD FSICA
Perdida de dispositivos informticos, objetos
X
personales del empleado a causa, del fcil acceso a
los mismos.
Atentado u atraco por parte del visitante, pues no
X
hay ninguna restriccin a personas ajenas
COMUNICACIONES

CODIGO DS5

IMPACTO
L
M
C
X
X
X

X
X
X
X
X
X
X

R11
R12

R13
R14
R15

R16
R17
R18
R19
R20

R21
R22
R23
R24

R25
R26

R27

Sanciones econmicas por incumplimiento al cliente

o proveedor.
Demora en los procesos y procedimientos debido a
X
la lentitud de los equipos y servicios de red e
internet
REDES
Prdida de tiempo y retrasos en los procesos por no
X
compartir recursos e informacin.
Filtracin por posible implantacin de Spyware.
X
Se corre el riesgo de un accidente de trabajo a causa X
de cableado elctrico y de redes mal ubicados.
SOFTWARE
Se corre el riesgo de ser suplantados.
X
Manipulacin indebida por parte de los empleados a
los datos por accesos no autorizados
Infeccin de documentos por no actualizar antivirus.
Retardo en la obtencin de los resultados digitales y
X
certificaciones de vehculos
Perjuicio al buen nombre del CDA debido a las
X
falencias en el tratamiento de la informacin de los
clientes.
HARDWARE
Perdida de informacin por dao en los equipos
X
Al presentarse robos de equipos o de dinero
X
disminuir la productividad y la imagen del CDA se
ver afectada.
Retraso en los procesos debido a las bajas X
caractersticas fsicas de los equipos.
Se corre el riesgo de que suceda un accidente leve o
X
grave a algn empleado a causa de la mala posicin
de modem y torres sin tablilla en la Board.
PERSONAL DE AREA
Carencia
de capacitacin sobre seguridad
informtica y uso de equipos de trabajo.
No realizan capacitaciones de normas y seguridad a
los empleados.
USUARIO
Manifestacin de protestas o inconformidad por
parte del cliente por la insatisfaccin del servicio no
prestado o retrasado.
MATRIZ DE RIESGO

X
X

X
X
X

X
X

X
X
X

X
X
X
X

X
X

LEVE

MODERADO

CATASTROFICO

ALTO

R1,R2,R7,R12,
R13,R19,R21,R23

R3,R4,R5,R6,R8,R10,
R14,R15,R16,R20,R22,R2
4

MEDIO

R9,R11,R17,
R18,R25,R27
R26

BAJO

TABLA DE TRATAMIENTO DE RIESGOS

REF
TRATAMIENTO
002
ENTIDAD AUDITADA

COMERCIALIZADORA
SERVISUPER LTDA

ESTUDIANTE
DOMINIO SERVICIOS Y SOPORTE

ID. RIESGO
R1
R2
R3
R4
R5
R6
R7

PAGINA
1

DE

SIRELYS PAOLA JIMENEZ ESCORCIA

PROCESO Garantizar la Seguridad de Sistemas

DESCRIPCIN RIESGO
Prdida de tiempo por malos procedimientos.
Retrasos en la entrega de documento certificable
Duplicacin de nmeros de identificacin de clientes y
proveedores en el software operativo y administrativo
obsoleto.
Filtracin de informacin del CDA por no tomar las
debidas restricciones.
Alteracin de los datos de proveedores, clientes
inclusive del CDA por no preveer la inseguridad
existente.
Perdida de informacin confidencial del CDA.
Manipulacin no autorizada de la informacin contable

CODIGO DS5

TRATAMIENTO RIESGO
Controlarlo
Controlarlo
Aceptarlo
Controlarlo
Controlarlo
Controlarlo
Controlarlo

R8
R9
R10
R11
R12
R13
R14
R15
R16
R17
R18
R19
R20
R21
R22
R23
R24
R25
R26
R27

y operativa del CDA.

Perjuicio en la Imagen del CDA.
Perdida de dispositivos informticos, objetos personales
del empleado a causa, del fcil acceso a los mismos.
Atentado u atraco por parte del visitante, pues no hay
ninguna restriccin a personas ajenas
Sanciones econmicas por incumplimiento al cliente o
proveedor.
Demora en los procesos y procedimientos debido a la
lentitud de los equipos y servicios de red e internet
Prdida de tiempo y retrasos en los procesos por no
compartir recursos e informacin.
Filtracin por posible implantacin de Spyware.
Se corre el riesgo de un accidente de trabajo a causa de
cableado elctrico y de redes mal ubicados.
Se corre el riesgo de ser suplantados.
Manipulacin indebida por parte de los empleados a los
datos por accesos no autorizados
Infeccin de documentos por no actualizar antivirus.
Retardo en la obtencin de los resultados digitales y
certificaciones de vehculos
Perjuicio al buen nombre del CDA debido a las
falencias en el tratamiento de la informacin de los
clientes.
Perdida de informacin por dao en los equipos
Al presentarse robos de equipos o de dinero disminuir
la productividad y la imagen del CDA se ver afectada.
Retraso en los procesos debido a las bajas
caractersticas fsicas de los equipos.
Se corre el riesgo de que suceda un accidente leve o
grave a algn empleado a causa de la mala posicin de
modem y torres sin tablilla en la Board.
Carencia de capacitacin sobre seguridad informtica y
uso de equipos de trabajo.
No realizan capacitaciones de normas y seguridad a los
empleados.
Manifestacin de protestas o inconformidad por parte
del cliente por la insatisfaccin del servicio no prestado
o retrasado.

Controlarlo
Controlarlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
Controlarlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
Controlarlo
Aceptarlo

CUADRO DE CONTROL DE RIESGOS

REF
RIESGOS, TIPO DE
CONTROL
ENTIDAD AUDITADA

COMERCIALIZADORA
SERVISUPER LTDA

ESTUDIANTE
DOMINIO SERVICIOS Y SOPORTE

003
PAGINA
1

DE

SIRELYS PAOLA JIMENEZ ESCORCIA

PROCESO Garantizar la Seguridad de Sistemas

RIESGOS o HALLAZGOS
ENCONTRADOS
Prdida de tiempo por malos
procedimientos. Retrasos en la
entrega
de
documento
certificable

TIPO DE
CONTROL
Correctivo

Duplicacin de nmeros de
identificacin de clientes y
proveedores en el software
operativo y administrativo
obsoleto.
Filtracin,
alteracin,
manipulacin y prdida de la
informacin del CDA por no
tomar las debidas restricciones.

Correctivo

Preventivo

CODIGO DS5

SOLUCIONES O CONTROLES
Concientizar al personal sobre los tiempos de
recibido, pruebas y entrega de vehculos. Los
vehculos deben entregarse en el tiempo estipulado.
1 Hora para carros y 35 minutos para las motos.
Realizar un estudio en el cual se determine en que
procesos se est fallando, si en el recibido de
documentos o en las pruebas de los Vehculos.
Establecer un plan para minimizar los tiempos.
Modificar y corregir el sistema de informacin
operativo y administrativo: the Birth y SIIGO para
evitar esta falencia.
Capacitar a los empleados sobre la importancia de
la seguridad de las redes y en la Internet.Instalar un
software de seguridad de la informacion. Aplicar
estrategias y Monitorear las estaciones de trabajo
para
evitar
filtraciones,
alteraciones,
manipulaciones de personas inescrupulosas.

Restringir los servicios, puertos, y protocolos de

Internet, con la finalidad inconvenientes futuros.
Perjuicio en la Imagen del
CDA

Preventivo

Perdida
de
dispositivos
informticos,
objetos
personales del empleado a
causa, del fcil acceso a los
mismos.
Atentado u atraco por parte del
visitante, pues no hay ninguna
restriccin a personas ajenas

Correctivo

Preventivo

Elaborar un sistema de gestin de calidad a nivel

general en la cual se oriente al personal sobre las
funciones, cargos de cada individuo, tiempos, trato
hacia el cliente, seguridad dentro y fuera de la pista
de vehculos, se requiere trabajar en equipo y de
manera efectiva para mantener la buena imagen del
CDA.
Alejar los dispositivos informticos de las ventanas.
Despejar del rea de la cocina de todas las
pertenencias de los empleados y Establecer un
locked, para cada trabajador en la cual puedan
guardar sus objetos personales.
Instalar cmaras de seguridad dentro y fuera del
CDA, as mismo contratar
a un vigilante
profesional en esta rea.

Sanciones econmicas por

incumplimiento al cliente o
proveedor.

Detectivo

Llevar a cabo un plan de mejoramiento en cuanto a

la satisfaccin de los clientes y proveedores.

Demora en los procesos y

procedimientos debido a la
lentitud de los equipos y
servicios de red e internet
Prdida de tiempo y retrasos en
los procesos por no compartir
recursos e informacin.

Correctivo

Realizar mantenimientos en cuanto software de

cada estacin y en el servidor, stos mantenimientos
deben ser programado cada 3 0 6 meses.

Correctivo

Se corre el riesgo de un
accidente de trabajo a causa de
cableado elctrico y de redes
mal ubicados.
Infeccin de documentos por
no actualizar antivirus.

Correctivo

Crear una red interna en la cual cada equipo pueda

conectarse a la otra terminal y asi compartir
documentos, aplicaciones, recursos y ahorrar
tiempo para desempear una tarea.
Contratar a personal especializado para que adecue
el cableado elctrico y de redes de la empresa.

Correctivo

Comprar antivirus
frecuentemente.

Retardo en la obtencin de los

resultados
digitales
y
certificaciones de vehculos

Detectivo

Perjuicio al buen nombre del

CDA debido a las falencias en
el tratamiento de la informacin
de los clientes.

Preventivo

Dar seguimiento en la entrega secuencial de Fichas

al ingresar cada vehculo. Con la finalidad de que
cada Vehculo ingrese y salga en su turno
correspondiente.
Corregir las falencias en el software operativo y
administrativo.

licenciado

actualizarlo

Perdida de informacin por

dao en los equipos

Correctivo

Crear copias de seguridad diaria.

Al presentarse robos de equipos

o de dinero disminuir la
productividad y la imagen del
CDA se ver afectada.
Retraso en los procesos debido
a las bajas caractersticas fsicas
de los equipos.

Preventivo

Monitorear las cmaras de seguridad y en cualquier

sospecha de intento de robo dar aviso a las
autoridades en el menor tiempo posible para que se
encarguen de la situacin.
Compra de piezas o equipos nuevos.

Se corre el riesgo de que suceda

un accidente leve o grave a
algn empleado a causa de la
mala posicin de modem y
torres sin tablilla en la Board.
Carencia de capacitacin sobre
seguridad informtica y uso de
equipos de trabajo.

Correctivo

Contratar a un tcnico para que verifique e instale

adecuadamente los dispositivos informticos como
mdems y antenas.

Correctivo

Capacitar al personal en cuanto Seguridad de la

informacin y uso de equipos y dispositivos
informticos.

No realizan capacitaciones de
normas y seguridad a los
empleados.

Correctivo

Manifestacin de protestas o
inconformidad por parte del
cliente por la insatisfaccin del
servicio
no
prestado
o
retrasado.

Correctivo

Capacitar al personal en cuanto a las normas y

Seguridad, realizar exmenes al finalizar cada
capacitacin para comprobar que si estn
comprendiendo los aspectos relevantes de la
seguridad.
Hacer encuestas de satisfaccin al cliente y medir el
grado de satisfaccin de los clientes que llegan a
realizar la Tecnico-Mecanica y crear estrategias
como: descuentos, obsequios especiales, atencin
oportuna con la finalidad de mantenerlos fiel.

Correctivo

PLAN DE AUDITORIA
REF
LISTA DE CHEQUEO
004
ENTIDAD AUDITADA
DOMINIO SERVICIOS Y SOPORTE
AREA AUDITADA

COMERCIALIZADORA
SERVISUPER LTDA
CODIGO DS5
rea de Sistemas

PAGINA
1

DE

PROCESO Garantizar la Seguridad de Sistemas.

MATERIAL
DE COBIT
SOPORTE

RESPONSABLE :SIRELYS JIMNEZ ESCORCIA

PUNTO DE EVALUACIN
Plan de seguimiento de Tiempos de
recibido, prueba y entrega del Vehculo
Correcciones en los sistemas de
informacin a nivel operativo y
administrativo.

Plan de Seguridad
Definicin
de
Seguridad
Informacin
Existencia de monitoreo a
seguridad de la informacin
Monitoreo incidentes

CUMPLE
Si
No
X

OBSERVACION

de

X
X

Debe estudiarse la posibilidad de implementar esta estrategia

para mejorar en cuanto a manejos de tiempo.
Re-estructurar el software. En primera medida resolver el
ingreso de clientes y proveedores, pues no debe estar
ingresado un cliente 2 veces.
Diseo, e implementacin para evitar inconvenientes.
***********

la

No hay ningn tipo de monitoreo en la empresa.

Se debe contar con los elementos adecuados asi como el

personal idneo en sta rea.
En todos los equipos.
En todos los aspectos: sistemas de informacin, redes,
comunicaciones, software, hardware, usuario, personal de
rea, seguridad fsica y lgica.
En todos los aspectos: sistemas de informacin, redes,
comunicaciones, software, hardware, usuario, personal de
rea, seguridad fsica y lgica.
En todos los aspectos: sistemas de informacin, redes,

Antivirus actualizados
Evaluacin de Riesgos

X
X

Evaluacin de Amenazas

Evaluacin de Vulnerabilidades

Copias de Seguridad

Existen cmaras de seguridad

Validacin de privilegios por parte de
los usuarios
Medidas de prevencin contra
ataques
Procedimientos para mantener y
salvaguardar las llaves criptogrficas
Sistema de Gestin de Calidad y
seguridad

EVIDENCIA FOTOGRAFICA

comunicaciones, software, hardware, usuario, personal de

rea, seguridad fsica y lgica.
Se hacen copias pero solo a un equipo y ste no cuenta con
red.
Algunas cmaras no funcionan.
*************

A nivel de software y hardware.

*************

Lo tienen diseado pero no est implementado.

CONCLUSIONES

Despus de haber analizado la actividad anterior se ha llegado a la conclusin de que atraves del
control interno se puede aplicar mtodos, tcnicas, procedimientos necesarios para coadyuvar al
eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para
satisfacer los requerimientos de sistemas de una empresa. De acuerdo al resutlado de los riesgos
hallados, tipos de control y lista de chequeo comprobamos que el CDA Comercializadora
Servisuper Ltda, presenta falencias graves en cuanto a calidad y seguridad, por tanto, requiere de
implementar un plan de correcion inmediato para evitar riesgos que puedan atentar contra la
entidad o llevarla al cierre definitivo.
Por medio del listado de puntos de evaluacion se establece las acciones necesarias para el
adecuado diseo e implementacin de sistemas con alta seguridad, a fin de que permitan
proporcionar eficientemente los servicios de procesamiento de informacin en la entidad. Por
ende, se considera que fue relevante escoger y auditar sta organizacin ya que, como futuros
Ingenieros de sistemas, tuvimos la oportunidad de evaluar cada proceso llevado a cabo en el
CDA, y analizar de acuerdo a las de normas y estndares informticos con el fin de garantizar a
la organizacin mejoras en cuanto a su seguridad, integridad en la informacin manejada.
Por ltimo, Auditoria de sistemas, es un curso esencial en la formacin a distancia y virtual, ya
que ser el instrumento que guiara al estudiante a investigar, indagar y solucionar cada actividad
para luego aplicarla en el campo profesional, laboral y personal.
Se espera haber capturado la atencin del lector, as como tambin haber cumplido con las
expectativas del tutor con la realizacin de la actividad asignada

BIBLIOGRAFIA

Aguirre Cabrera, Adriana (2015).Modulo de auditoria de Sistemas [Contenido en Lnea]

Colombia. Disponible en http://campus13.unad.edu.co/campus13_20152/mod/lesson/view.php?
id=1503
Orjuela Rodrguez, L., & Rocha Farfn, O. (1996). Estudio comparado de las normas
internacionales de auditora interna, normas de auditora externa y normas aplicables en
Colombia. (Spanish). Cuadernos De Investigacion Nueva Epoca, (43), 45-56.
http://datateca.unad.edu.co/contenidos/90168/NAGAS_2015.pdf
Tramullas, J. (2003). El inventario de recursos de informacin como herramienta de la auditora
de informacin. (Spanish). El Profesional De La Informacin, 12(4), 246-260.
http://datateca.unad.edu.co/contenidos/90168/u3_Inventario_recurso_informacion.pdf