AUDITORIA EN SISTEMAS

TUTOR

FRANCISCO NICOLAS SOLARTE

ALUMNOS

FABIAN LEONARDO GOMEZ

CODIGO: 1.115.792.758

LUIS EDUARDO GALINDEZ

JOHN JAIRO BARRERO MARTINEZ

CODIGO: 1.105.672.950

HEMIR FIGUEROA COETATA

CODIGO: 1.117.509.566

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

CEAD: FLORENCIA CAQUETA
PROGRAMA: INGENIERIA DE SISTEMAS
OCTUBRE DE 2016
 INTRODUCCIN

Las organizaciones a travs de la historia han tenido entre sus prioridades las proteccin de sus
bienes documentales, con el avance de la tecnologa la informacin revoluciono la forma de pensar
y tomar el control del mundo de una manera intangible que se procesa se guarda y viaja a todas
partes utilizando medios fabricados para servir a la informacin, el recurso ms valioso para
muchas personas y todas las organizaciones con la cual el mundo se integra a partir de sus
servicios, aprovechando las bondades de la tecnologa y las comunicaciones. Al ser tan valioso e
importante recurso surgieron poco a poco tantas formas, tcnicas y herramientas para vulnerarla,
robarla y destruirla, se convirti desde entonces en un objetivo para quienes comprendieron su
verdadero valor en la dinmica del mundo, abarcando tanto aspectos, econmicos, sociales y
gubernamentales, con fines comerciales, destructivos; en la medida que la informacin se expandi
gracias a internet tambin se expandieron las oportunidades y los beneficios para el desarrollo de la
humanidad, pero con ellos tambin se inici una lucha ciberntica entre quienes atacan la
informacin de otros que la han conseguido con autora propia, la compraron, la administran o
simplemente la gestionan, en esta lucha se crearon muy rpido armas para atacar y otras defenderse
lo que ha sido una evolucin constante que ha generado que se perfeccionen de forma exponencial.

A continuacin, con la informacin generada en los trabajos individuales, se consolido en un solo

trabajo conformado por un escrito sobre los resmenes enviados por los integrantes del grupo,
donde se muestre la metodologa a seguir para realizar una auditora con fases y actividades luego
como siguiente paso se hace evidencia el mapa mental que se escogi, por ultimo la propuesta de la
empresa para realizar la Auditoria.
 OBJETIVO DEL TRABAJO

GENERAL:

Hacer entrega de un trabajo escrito donde se tomen en cuenta los trabajos individuales dando una
definicin general sobre el tema de metodologa para realizar auditora de sistemas, consolidar y
presentar los mapas mentales expuestos por cada estudiante y dar a conocer la eleccin del mejor
para el producto final, por ultimo presentar las propuestas de las empresas para realizar una
auditora de cada integrante del grupo colaborativo.

OBJETIVOS ESPECFICOS:

Escrito sobre el tema de metodologa para realizar auditora de sistemas consolidado

Mapa mental escogido como el mejor.

Empresa propuesta para realizar la auditora de Sistemas

PROPUESTA DE LA EMPRESA A AUDITAR:

Auditoria de hardware y software Equipos a cargo de Personal Administrativo SENA.

UBICACIN:

Regional Putumayo sede Mocoa Barrio San Agustn (Edificio Maguar)

RESEA HISTRICA

El Servicio Nacional de Aprendizaje, SENA, es un establecimiento pblico del orden nacional con
personera jurdica, patrimonio propio e independiente y autonoma administrativa.

Adscrito al Ministerio del Trabajo de Colombia.

Cuyo objetivo es fortalecer los procesos de formacin profesional integral que contribuyan al
desarrollo comunitario a nivel urbano y rural
.
DESCRIPCIN DEL LAS ESTACIONES DE TRABAJO

Caractersticas

Equipo Todo en 1 Marca Hp con procesador de Sexta Generacin Intel Core i 7, Memoria
Ram de 8 Gb, Disco Duro de 1 TB, con conectividad Limitada por Proxy a la Internet para
navegacin y Acceso.

La sede cuenta con 200 Computadores

SISTEMAS DE INFORMACIN QUE UTILIZA.

Sofa Plus
Servicio Pblico de Empleo (SPE)
Sistema Integrado de Videoconferencia Educativa (SIVE)

ETAPAS PARA LA AUDITORIA EN SISTEMAS

ETAPAS PASOS A REALIZAR

1. Identificar el origen de la auditora.

2. Realizar una visita preliminar al rea que ser evaluada.

3. Establecer los objetivos de la auditora.

4. Determinar los puntos que sern evaluados en la auditora.

Planeacin de la
Auditoria de
5. Elaborar planes, programas y presupuestos para realizar la
Sistemas
auditora.

6. Identificar y seleccionar los mtodos, herramientas,

instrumentos y procedimientos necesarios para la auditora.

7. Asignar los recursos y sistemas computacionales para la

auditora.

Ejecucin de la 1. Realizar las acciones programadas para la auditora.

 2. Aplicar los instrumentos y herramientas para la auditora.

Auditoria de 3. Identificar y elaborar los documentos de oportunidades de

Sistemas mejoramiento encontradas.

4. Elaborar el dictamen preliminar y presentarlo a discusin.

5. Integrar el legajo de papeles de trabajo de la auditora

1. Analizar la informacin y elaborar un informe de situaciones

detectadas.
Dictamen de la
Auditoria de
2. Elaborar el Dictamen final.
Sistemas
3. Presentar el informe de auditora.

SOFIA PLUS

N Vulnerabilidad Amenazas Riesgo Categora

1 Fallos en el sistema Adquisicin de Software
Falta de actualizacin del operativo software que no
sistema operativo de los tiene soporte del
equipos de cmputo, No tiene fabricante
licencia original.
2 Falta de actualizacin y Falta de concientizacin Fallas en la Software
configuracin adecuada del por parte de los mandos configuracin de
equipo, lo que no podra superiores para ejecutar un los equipos
realizarse con efectividad plan de legalizacin de
sino se cuenta con un sistema software.
original
3 Falsificacin en los
Fuga de Seguridad
Los usuarios permiten que documentos que se puedenInformacin y Lgica
otras personas ingresen con tramitar por medio de lafraude al momento
sus cuentas a realizar plataforma. de consultar
consultas en la base de Datos. informacin
4 Uso indebido del correo de La mala utilizacin del Fuga de Seguridad
electrnico correo, ya que no se utiliza informacin lgica
solo para comunicacin
laboral.
5 Los equipos de cmputo con Posible prdida de Dao inminente de Hardware
los que cuenta la unidad ya informacin. los activos.
han cumplido su tiempo de
vida til.
6 Solo existe una ups la cual se Bajas de voltaje y poca Fallas en el Hardware
tiene para el servidor, en caso concientizacin por parte suministro de
de un bajn de energa, no del personal energa
alcanza a soportar con la administrativo.
conectividad de todos los
computadores e impresoras
multifuncionales de la
Unidad.
7 Se evidencia personal externo El trabajador externo puede Atentados a las Manejo y
ingresando constantemente a ser una vctima incgnita, instalaciones de la control de
oficinas de acceso indirecta y presencial a una empresa personal
restringido, colocando as en agresin externa en contra (vandalismo)
exposicin los activos de la Empresa.
informticos.
8 Errores de usuario El personal no Manejo y
Falta de conocimiento de los cuenta con las control de
usuarios en el manejo de actitudes y personal
sistemas informticos aptitudes
existentes, se han realizado requeridas para
capacitaciones a los usuarios hacer uso de la
para concientizarlos sobre la informacin por
seguridad de los datos. medio de los
sistemas de
informacin.

SERVICIO PBLICO DE EMPLEO (SPE)

N Vulnerabilidad Amenazas Riesgo Categora

1 Fallos en el sistema Adquisicin de Software
Falta de actualizacin del operativo software que no
sistema operativo de los tiene soporte del
equipos de cmputo, No tiene fabricante
licencia original.
2 Falta de actualizacin y Falta de concientizacin Fallas en la Software
configuracin adecuada del por parte de los mandos configuracin de
equipo, lo que no podra superiores para ejecutar un los equipos
realizarse con efectividad plan de legalizacin de
sino se cuenta con un sistema software.
original
3 Se evidencia muchos Perdida de Seguridad
La plataforma solo es ataques a los activos Informacin, Lgica
manejada por una persona en informticos de las Infiltracin por
cada ciudad principal. Unidades. parte de algn
virus.
4 Los equipos de cmputo con El antivirus no corre con la Retraso en la Hardware
los que cuenta la unidad ya misma efectividad en los productividad
 han cumplido su tiempo de equipos obsoletos. diaria.
vida til.
5 Solo existe una ups la cual se Bajas de voltaje y poca Fallas en el Hardware
tiene para el servidor, en caso concientizacin por parte suministro de
de un bajn de energa, no del personal energa
alcanza a soportar con la administrativo.
conectividad de todos los
computadores e impresoras
multifuncionales de la
Unidad.
6 Se evidencia personal externo El trabajador externo puede Atentados a las Manejo y
ingresando constantemente a ser una vctima incgnita, instalaciones de la control de
oficinas de acceso indirecta y presencial a una empresa personal
restringido, colocando as en agresin externa en contra (vandalismo)
exposicin los activos de la Empresa.
informticos.
7 Errores de usuario El personal no Manejo y
Falta de conocimiento de los cuenta con las control de
usuarios en el manejo de actitudes y personal
sistemas informticos aptitudes
existentes, se han realizado requeridas para
capacitaciones a los usuarios hacer uso de la
para concientizarlos sobre la informacin por
seguridad de los datos. medio de los
sistemas de
informacin.

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA

N. Vulnerabilidades Amenazas Riesgos Categora

1 El software utilizado Inmadurez de las Operacionales software
masivamente como nuevas tecnologas
las aplicaciones web, que se lanzan al
los sistemas mercado sin haber
operativos y la sido probadas en el
ofimtica. mercado en forma
exhaustiva.

2 Deficiente uso de Daos por Prdida total de Hardware

las UPS fluctuaciones los
de voltaje en los dispositivos
dispositivos
3 Deficiente rea de Funcionamiento Daos
ventilacin de los defectuoso por altas dispositivos Hardware
dispositivos temperaturas
4 Claves de los Manejo de Extraccin de Seguridad lgica
equipos de informacin informacin
 computo poco sin restriccin
complejas
5 Uso no Uso de dispositivos Extraccin de Seguridad lgica
personalizados de sin informacin
los dispositivos control
6 Puntos de red sin Manipulacin de Extraccin de Seguridad lgica
usar dispositivos sin informacin
autorizacin
7 Contraseas de Ingreso de intrusos Robo de Seguridad lgica
dispositivos al informacin o
deficientes sistema destruccin de la
misma
8 Servidores, switch, Manipulacin de Dao de la red Redes
huds, dispositivos sin
en zonas expuestas. autorizacin
9 Antivirus no Ataques de virus Destruccin de Seguridad lgica
actualizados la
informacin por
virus
10 Falta de capacitacin Operacin Procedimientos Manejo y
en incorrecta incorrectos por control del
polticas de el talento personal
seguridad al personal humano
11 Claves expuestas en ingreso de intrusos Acceso no Seguridad lgica
los a la autorizados a
puestos de trabajo red la red
12 Deterioro de la red Presencia de Retraso en las Redes
interferencias actividades de la
electromagnticas empresa

13 Navegacin de Desvi de Poco control en Seguridad lgica

internet sin informacin el manejo de
restriccin informacin
14 Tiempo de uso de los Poco Hardware Hardware
dispositivos mantenimiento a obsoleto
los dispositivos
15 Ausencia de sistema Daos por desastres Costo ms
adicionales de naturales elevado
seguridad, de entrada
en los sistemas de Hardware
computo

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA

N. Vulnerabilidades Amenazas Riesgos Categora

1 Deficiente rea de Funcionamiento Daos
ventilacin de los defectuoso por dispositivos Hardware
dispositivos altas temperaturas
2 Ausencia de sistema Daos por Costo ms
adicionales de desastres elevado
seguridad, de entrada naturales
en los sistemas de Hardware
computo

3 Deficiente uso de Daos por Prdida total de Hardware

las UPS fluctuaciones los
de voltaje en los dispositivos
dispositivos
4 Claves de los Manejo de Extraccin de Seguridad lgica
equipos de informacin informacin
computo poco sin restriccin
complejas
5 Uso no Uso de Extraccin de Seguridad lgica
personalizados de dispositivos sin informacin
los dispositivos control
6 Puntos de red sin Manipulacin de Extraccin de Seguridad lgica
usar dispositivos sin informacin
autorizacin
7 Contraseas de Ingreso de Robo de Seguridad lgica
dispositivos intrusos al informacin o
deficientes sistema destruccin de la
misma
8 Servidores, Switch, Manipulacin de Dao de la red Redes
hubs, dispositivos sin
en zonas expuestas. autorizacin
9 Antivirus no Ataques de virus Destruccin de Seguridad lgica
actualizados la
informacin por
virus
10 Falta de capacitacin Operacin Procedimientos Manejo y
en incorrecta incorrectos por control del
polticas de el talento personal
seguridad al personal humano
11 Claves expuestas en ingreso de Acceso no Seguridad lgica
los intrusos a la autorizados a
puestos de trabajo red la red
12 Tiempo de uso de los Poco Hardware Hardware
dispositivos mantenimiento a obsoleto
los dispositivos
13 Deterioro de la red Presencia de Retraso en las Redes
interferencias actividades de la
electromagnticas empresa

14 Navegacin de Desvi de Poco control en Seguridad lgica

internet sin informacin el manejo de
restriccin informacin
15 Centro de Datos sin Recalentamiento Perdida de Redes
Aire acondicionado de Datacenter y Equipos de
dems servidores Redes y
de Datos Servidores

OBJETIVO DE LA AUDITORIA

GENERAL:
Realizar evaluacin de licenciamiento de software en estaciones de trabajo y buen uso de correos
Administrativos del Centro de Formacin Sena (Mocoa)

ESPECIFICOS:
Realizar evaluacin de licenciamiento de todos y cada uno de los 20 computadores
(Estaciones de trabajo), administrativos de la Sede Regional Putumayo Sede Mocoa

Inspeccionar y Revisar como usan los usuarios administrativos el correo Sena de manera
individual

Elaborar el plan de auditora diseando los formatos de recoleccin de informacin, el plan

de pruebas a realizar, seleccionando el estndar a aplicar y los procesos relacionados con el
objetivo de esta auditora, para obtener una informacin confiable.

Ejecutar el plan de Pruebas en los usuarios Sena.

Recolectar los datos finales generados por las pruebas y hacer informe final
 ASPECTOS QUE SERAN EVALUADOS DE ACUERDO AL PLAN DE AUDITORIA

TENEMOS 2 ASPECTOS:

1. Licenciamiento de software: se involucran las 20 estaciones de trabajo de la parte

administrativa.

Aplicar revisin manual de cada usuario en una planilla de inspeccin para verificar
si los programas que estn instalados en la computadora concuerdan con los
licenciados

2. Buen uso de correos administrativos: Inspeccin a Servidor de Correo como Manager

(Administrador), Revisar dominios de envi, capacidad de buzn de correos, correo Spam,
Subscripciones realizadas con correo corporativo.

Toma de muestra manual de uso de correos en todos y cada uno de los funcionarios
PLAN DE AUDITORIA

ALCANCE

La auditora se realizar sobre la infraestructura tecnolgica y de comunicaciones de la entidad

seleccionada.

OBJETIVO

Verificar la implementacin de controles para garantizar los sistemas de informacin en cuanto a

la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad de los activos.

RECURSOS

El nmero de personas que integraran el equipo de auditoria ser de cuatro, con un tiempo
mximo de ejecucin de 3 a 4 semanas.

Metodologa

1. Recopilacin de informacin bsica

Se debe obtener una perspectiva clara de la entidad que se auditara, por ello se enviara un
requerimiento de informacin a la entidad en la cual deben reportar lo siguiente el
direccionamiento estratgico, marco y naturaleza jurdica vigente; el bien y/o servicio a prestar,
la naturaleza, caractersticas, actividades y/o procesos; los riesgos de prdida o de inadecuada
utilizacin de recursos, que se pueden presentar en desarrollo del objeto principal y la existencia
o no de controles establecidos; informes de auditoras anteriores
, planes de mejoramiento anterior e informes de evaluacin de las oficinas de control
Interno.

Es importante tambin reconocer y entrevistarse con los responsables del rea de sistemas de la
empresa para conocer con mayor profundidad el hardware y el software utilizado.

En las entrevistas incluirn:

Director / Gerente de Informtica

Subgerentes de informtica
Asistentes de informtica
Tcnicos de soporte externo
 2. Identificacin de riesgos potenciales

Se evaluara el inventario de equipos tecnolgicos para determinar las configuraciones aplicadas

y las acciones de seguridad adelantadas y establecer la pertenencia y eficiencia de los controles
aplicados el momento de la auditoria.

Se evaluara la forma de adquisicin de nuevos equipos o aplicativos s de software. Los

procedimientos para adquirirlos deben estar regulados y aprobados en base a los estndares de la
empresa y los requerimientos mnimos para ejecutar los programas base y alineados con los
controles cobit 4.1 para la adquisicin de software.

DOMINIOS A EVALUAR

Dentro del proceso solo se evaluaran dos dominios.

Planear y Organizar (PO): Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro
de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnolgica apropiada.

Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e
integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.

Entregar y Dar Soporte (DS): Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de
los datos y de las instalaciones operativos.

CONTROLES

Se evaluaran los siguientes controles para los sistemas de informacin:

AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos

fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos
establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y
aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de
buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean
informados y corregidos.
AC2 Recoleccin y Entrada de Informacin Fuente: Establecer que la entrada de datos se
realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de
los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de
autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener
los documentos fuente original durante el tiempo necesario.

AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las transacciones son
exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan
cerca del punto de origen como sea posible.

AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validacin de los datos
a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el
procesamiento de transacciones vlidas.

AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores: Establecer procedimientos y

responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada,
entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y
corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.

AC6 Autenticacin e Integridad de Transacciones: Antes de pasar datos de la

transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la
empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del
contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.

PROCESOS EVALUADOS

La auditora evaluara los siguientes procesos:

PO1 Definir un Plan Estratgico de TI

PO3 Determinar la Direccin Tecnolgica
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

Objetivos de control

Durante la auditoria se evaluaran los siguientes objetivos de control

PO1.1 Administracin del Valor de TI.

PO1.3 Evaluacin del Desempeo y la Capacidad Actual.
PO1.4 Plan Estratgico de TI.
PO3.2 Plan de Infraestructura Tecnolgica.
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.
 Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos
en el paso anterior.

Obtencin de los resultados.

En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de
control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de
control antes definidos.

Conclusiones y Comentarios:

En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva
de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se
expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de
informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las
normativas de seguridad como por ejemplo normativas de uso de password, formularios de
adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que
los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son
partes responsables de seguridad, mantenimiento y supervisin de las otras reas.

Entrega del informe a los directivos de la empresa.

Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe final
con los resultados obtenidos en la auditoria.

Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los puntos en
los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los
objetivos de control se sigan.

CRONOGRAMA
 CONCLUSIONES

Hoy da podemos observar que es de gran importancia la Auditora de Sistemas de la

Informacin para las empresas, debido al cambio tecnolgico continuo y avanzado generando
modernizacin con visin amplia de futuro, ya que si no se obtienen los elementos necesarios de
control, seguridad y respaldo de la informacin dentro de una empresa se ver envuelta a riesgos
lgicos, fsicos y humanos, que conlleven a fraudes econmicos, informativos y generando as
perdidas a las empresas. Para ello la auditoria de sistemas debe comprender no slo la
evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que
tambin se tendr que evaluar los sistemas de informacin en general desde sus entradas,
procedimientos y controles; para lo cual se ve la necesidad de minimizar los riesgos y generar en
el talento humando sentido de pertenencia bajo lo que est a cargo de forma responsable.
BIBLIOGRAFIA
BIBLIOGRAFIA