Unidad 2: Fase 3: Fase de Planeacin y Ejecucin: Instrumentos de recoleccin de

informacin. Anlisis y evaluacin de riesgos

JAVIER ANDRS CASTAEDA HERNDEZ C.C 1.113.305.224

JUAN CAMILO CASTRO MEDINA C.C. 1.113.308.646
EDUARD FERNANDO ARISTIZABAL GIRALDO C.C. 1.113.307.220
EDGAR ADRIAN ORTIZ PARRA C.C. 91.080.293

Presentado a: Francisco
Nicolas Solarte Auditoria
de Sistemas Grupo:
90168_29

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
INGENIERIA EN SISTEMAS
2017
 1
INTRODUCCIN.

A Continuacin, encontraremos la planeacin de la auditora que se llevar a cabo en la

Alcalda de Sevilla Valle, los procesos seleccionados del estndar COBIT las entrevistar al
encargado del tema de tecnologa en la entidad, listas de chequeo, cuestionarios
cuantitativos y anlisis y matriz de riesgo de los procesos seleccionados para la ejecucin
de auditora.
 2
OBJETIVO GENERAL:

Aplicar los instrumentos de recoleccin de la informacin de acuerdo con el estndar

CobIT a alcalda de Sevilla Valle del Cauca.

OBJETIVOS ESPECFICOS:

-Aplicar los instrumentos de recoleccin de informacin y pruebas que se han diseado

para determinar los riesgos existentes en las medidas de seguridad de la informacin
Reconocer e identificar las tcnicas que se utilizan en un proceso de auditora.
-Comprender el nivel de complejidad que implica la planeacin y ejecucin de una
auditoria.
-Conocer los diferentes formatos o instrumentos de una auditoria.
-Aprender a identificar los riesgos y darles una correcta clasificacin.
-Entender cul es la forma correcta de diligenciar los instrumentos de auditoria.
-Conocer las medidas de seguridad para salvaguardar la informacin y el proceso que
soporta la recuperacin de los sistemas de informacin
-Elaborar el plan de auditora, y programa de auditora teniendo en cuenta los estndares
que sern aplicados para hacer el diseo de los instrumentos de recoleccin y plan de
pruebas
 3
SELECCIN DEL PROCESO CobIT

Dominio: Entregar y dar soporte (DS)

Nombre Auditor
JAVIER ANDRS CASTAEDA
HERNDEZ
JUAN CAMILO CASTRO MEDINA
EDUARD FERNANDO ARISTIZABAL
GIRALDO
EDGAR ADRIAN ORTIZ PARRA
Proceso auditado
AI2 Adquirir y Mantener Software Aplicativo
DS4 Garantizar la Continuidad del Servicio
AI3 Adquirir y Mantener Infraestructura
Tecnolgica
PO1 Definir un Plan Estratgico de TI
 4
1. Desarrollo de la Actividad.

3.1 Fuentes de conocimiento: AI2 Adquirir y Mantener Infraestructura Tecnolgica

realizado por Javier Andrs Castaeda Hernandez

CUADRO DE DEFINICION DE FUENTES DE REF

DS5
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
Alcalda de Sevilla
AUDITADA 1 DE 1
PROCESO
Software Aplicativo
AUDITADO
RESPONSABLE Javier Andrs Castaeda Hernndez
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e Implementar (AI)
PROCESO AI2 Adquirir y Mantener Software Aplicativo:
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Actualizar
documento sobre
Verificar la el manejo del
Existencia de los software
Documentos que den aplicativo.
documentos
constancia del requeridos para la
software aplicativo. auditora. Medir los
conocimientos del
Entrevista con la Entrevista sobre los personal
persona encargada del software encargado del
soporte Tecnolgico. aplicativos con los manejo del
que cuenta la software
Alcalda.
Ver los Software Realizar pruebas
aplicativos con los que Revisin de los
Software sobre los riesgos
cuenta la Alcalda de que pueden
Aplicativos sus
Sevilla ocasionar estos
licencias y
actualizaciones. software a la
Alcalda de
Sevilla.
 5

AUDITOR RESPONSABLE:
Javier Andrs Castaeda Hernndez

1.1 Entrevista.

ENTREVISTA

Empresa Alcalda de Sevilla

Proceso auditado Software Aplicativo
auditada Valle del Cauca

Responsable Javier Andrs Castaeda Hernndez

AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
Implementar (AI)
Aplicativo.
OBJETIVO DE
CONTROL
N CUESTIONARIO RESPUESTA

No, al trabajar con el software no

Se considera los riesgos que pueden surgir por se analiza los riesgos que pueden
1
el mal uso del Software Aplicativo? llegar a surgir, se confa en que el
programa responder a las
demandas que requiera.

Cree que cuentan con el software necesario Si, el software que se utiliza es el
2
para llevar a cabo las tareas solicitadas? apropiado para realizar las tareas
necesarias en cada proceso.

S, siempre se cuenta con una

copia de seguridad donde cada
Cuentan con copias de seguridad de los
3 empleado es responsable de
procesos realizados?
realizar esta copia, aunque no hay
un informe oficial o una revisin
de este proceso.

Existe un anlisis entre diferentes software
4 aplicativo, como costo, funciones, soporte y
consultora?
Entrevistado:
Si, cada software fue analizado
antes de adquirirlo observando sus
funciones, costos y uso que se
realizar para cada proceso
OCTAVIO ENRIQUE FONG
Contratista enlace TIC municipio
de Sevilla Valle
 6
1.2 3.2 Lista chequeo: Definir un Plan Estratgico de TI

LISTA CHEQUEO
AI2 ADQUIRIR Y
ADQUIRIR E MANTENER
DOMINIO PROCESO SOFTWARE
IMPLEMENTAR (AI)
APLICATIVO.
conforme
N ASPECTO EVALUADO Observacin
SI NO

El documento se
encuentra
El documento del software aplicativo se desactualizado por
1 x
encuentra actualizado? falta de capacitacin
para realizar el
proceso.

AL2.1 Evaluacin de documento fsico del Software

OBJETIVO DE CONTROL
Aplicativo.

Todo empleado nuevo

cuenta con una
El personal cuenta con capacitacin para el uso capacitacin para el
2 x
del software? manejo del software
que utilizar en su
proceso en la alcalda.

OBJETIVO DE CONTROL AL2.2 Evaluacin del Desempeo y la Capacidad Actual

Mucho Software no se
El software aplicativo se encuentra con todas encuentra actualizado y
3 x
las actualizaciones necesarias? mucho no se encuentra
licenciado.

OBJETIVO DE CONTROL AL2.3 Evaluacin de Actualizacin y Licencia de Software

 7
3.3
Ref.
cuestionario cuantitativo

Entidad pagina
Alcalda de Sevilla
auditada 1 1
proceso
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.
auditado
Responsable Javier Andrs Castaeda Hernndez
Material de COBIT 4.1
soporte
Adquirir e AI2 Adquirir y Mantener
Dominio proceso
Implementar (AI) Software Aplicativo.
N pregunta SI NO NA REF
Se aplica una capacitacin para el uso del
1 5
software aplicativo de cada proceso?
Cunto demora la Solucin en un dao de
2 software? 4 de 1 a 5 das
Inmediata

El software cuenta con las actualizaciones

3 2
necesarias?
Se mantiene un control de seguridad en el
4 4
Software?

Cuenta con un manual de funciones sobre el

5 4
software aplicativo?

Todo el software manejado cuenta con

6 3
licencia?
TOTAL 7 8
TOTAL CUESTIONARIO 15
Porcentaje de riesgo parcial = (7 * 100) / 15 = 46,66
Porcentaje de riesgo total = 100 46,66 = 53,34
PORCENTAJE RIESGO 53,34% (Riesgo Medio)
Segn la encuesta estamos en un riesgo medio as que se deben realizar mejores procesos y
ms eficientes para realizar actualizacin, licencias y documentos que soportes estos
procesos.
 8
AMENAZAS Y RIESGOS DETECTADOS

En esta tabla se encuentran las vulnerabilidades, amenazas y riesgos detectados en la

compaa y los cuales se asocian al proceso del COBOT seleccionado Al2 Adquirir Y
Mantener Software Aplicativo:

CUADRO - VULNERABILIDADES, AMENAZAS, RISGOS

VULNERABILIDADES
No. O AMENAZAS RIESGOS
DEBILIDADES
Sin Actualizacin de Ataques Clonacin o Robo de
2
Sistema Operativo externos Informacin
Falta de
Daos en Los
3 Software sin Licencias Actualizaciones
Documentos
y soporte
Uno de los Equipos
Cuenta con un Sistema Falta de soporte en caso
4 Falta de soporte
operativo Obsoleto y sin de algn fallo
licencia

Perdida de datos
Uso de software que no Manipulacin
esenciales para el
5 cuenta con soportes por parte de
funcionamiento de la
tcnico. terceros
empresa

Sistemas de monitoreo Prdida de Ausencia de licencias en

8
licenciados. informacin. sistemas de monitoreo

Equipos no Amenazas de virus y

11 antivirus cuentan con personas externas
antivirus manipulacin archivos
 9

ANALISIS Y EVALUACIN DE RIESGOS

Probabilidad Impacto
N Descripcin
Baja Media Alta Leve Moderado Catastrfico

R1 Clonacin o Robo
x x
de Informacin

Daos en Los
R2 x x
Documentos

Falta de soporte en
R3 x x
caso de algn fallo

Perdida de datos
esenciales para el
R4 x x
funcionamiento de
la empresa
Ausencia de
licencias en
R5 x x
sistemas de
monitoreo
Amenazas de virus
y personas
R6 externas x x
manipulacin
archivos
 10

Resultado Matriz de riesgos para Software.

Alto
R5 R3,R6
61-100%
PROBABILIDAD

Medio
R1,R2
31-60%

Bajo
R4
0-30%

LEVE MODERADO CATASTROFICO

IMPACTO
 11
Unidad 2: Fase 3: Fase de Planeacin y Ejecucin: Instrumentos de recoleccin de
informacin. Anlisis y evaluacin de riesgos

Desarrollo cuadro de definicin de fuentes de conocimiento, pruebas de anlisis, y pruebas

de auditora: Realizado por Juan Camilo Castro Medina

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
Alcalda de Sevilla Valle del Cauca
AUDITADA 1 DE 1
PROCESO
Funcionamiento del aspecto fsico de la red de datos
AUDITADO
RESPONSABLE Juan Camilo Castro Medina
MATERIAL DE
COBIT
SOPORTE
DOMINIO Entregar y dar soporte (DS)
PROCESO Garantizar la continuidad del servicio

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
1. Realizar una entrevista 1. Analizar si la poltica 1. Realizar un
inicial con la persona de la seguridad de la diagnstico sobre los
encargada de brindar informacin est riesgos encontrados y
soporte tecnolgico en la articulada en un manual los que se puedan
alcalda de Sevilla Valle. de procesos y generar a futuro.
procedimientos. 2. Explorar la
2. Solicitar la documentacin documentacin y/o
de las polticas de 2. Analizar las respuestas informe que contenga
seguridad de la y los diferentes los resultados de la
informacin que estn resultados obtenidos en auditora realizada al
usando actualmente. las entrevistas. rea de sistemas de la
alcalda de Sevilla.
 12
3. Examinar las 3. Revisar si se aplic
3. Solicitar informacin de evidencias de las una encuesta o algn
los usuarios del sistema. capacitaciones e proceso de evaluacin
inducciones realizadas inicial para medir el
en de poltica de grado de
seguridad de la conocimiento de los
informacin a los usuarios de las buenas
empleados nuevos. prcticas de seguridad
de la informacin.

AUDITOR RESPONSABLE:

Juan Camilo Castro Medina

Desarrollo entrevista: Garantizar la continuidad del servicio

ENTREVISTA
Empresa Alcaldia de Sevilla Valle Proceso Garantizar la continuidad
auditada del Cauca auditado del servicio
Responsable Juan Camilo Castro Medina
DS4: Garantizar la
DOMINIO Entregar y dar soporte (DS) PROCESO
continuidad del servicio
OBJETIVO DE CONTROL
N CUESTIONARIO RESPUESTA
Respecto al manejo y control del Porque muchas de las personas que
personal Por qu hay ausencia en la trabajan en la alcalda son contratistas y el
socializacin y capacitacin del personal lo cambian constantemente.
1 personal con relacin a los sistemas
de informacin que se administran
en la entidad?
Existen procedimientos o procesos Cada oficina o secretaria de la alcalda de
de creacin de copias de seguridad Sevilla tiene la responsabilidad de
de la informacin? resguardar la informacin no hay poltica
2 o seguimiento a las copias de seguridad de
la informacin.

Qu nivel de conocimientos tiene
para aplicar los planes para
recuperacin de la informacin, si
los hay?
3 articulan estos con las entidades
Lleva un registro de los visitantes
en las reas de restringidas o acceso
no autorizado?
4
13
Poseemos conocimiento necesario para
realizar procesos de recuperacin con
software gratuito no somos s especialistas
en estos temas ya que muchas veces se
departamentales y nacionales que se
encargan de administrar y dar soporte de
manera peridica a los municipios con
respecto a los sistemas de informacin.
No, en la sede administrativa, no hay un
registro de los visitantes que estn en las
instalaciones y el servidor se encuentra en
la secretaria de hacienda donde hay acceso
al a comunidad tambin.

Se ha presentado fuga de la Con respecto a los sistemas de informacin

informacin?
5 empresa privada que se encarga de
Los usuarios analizan los correos
6 de remitentes no seguros?
se han presentado fallas y perdidas de
informacin, pero estos han sin
subsanados directamente por una
administrada unos sistemas de
informacin relacionados con las finanzas
y rendicin de cuentas del municipio.
Se ha generado conciencia los empleados
llaman a sistemas cuando ven un correo
malicioso.

OCTAVIO ENRIQUE FONG

Entrevistado
Contratista enlace TIC municipio de
Sevilla Valle

Desarrollo listo de chequeo: Garantizar la continuidad del servicio

LISTA CHEQUEO
Entregar y dar soporte DS4. Garantizar la
DOMINIO PROCESO
(DS) continuidad del servicio
OBJETIVO DE CONTROL DS4.2. Planes de continuidad TI:
CONFOR
N ASPECTO EVALUADO ME OBSERVACIN
SI NO
 14
Se cuentan con pautas y
procedimientos de manera
Se cuenta con un plan de articulada con los entes
1 X departamentales y
contingencia en caso de desastres?
nacionales como lo son las
mesas de ayuda
Se han definido roles y
responsabilidades dentro del cuida de
2 X
la buena administracin de la
informacin?
OBJETIVO DE
DS4.3 Recursos crticos de TI
CONTROL
Existe sistema de polticas y
1 procedimientos de seguridad de la X
informacin?

Cuestionario: Garantizar la continuidad del servicio

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO DS4: Garantizar la continuidad del servicio
AUDITADO
RESPONSABLES Juan Camilo Castro Medina
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y dar PROCESO DS4: Garantizar la
soporte (DS) continuidad del servicio
N PREGUNTA SI NO NA REF
1 Hay ausencia de la socializacin del 3
sistema de gestin de seguridad de la
informacin?
2 Si existe registro de los visitantes en las 2
reas restringidas o acceso no autorizado?
Nmero del documento identidad
Fecha
rea
Cargo
3 Son suficientes las actualizaciones que se 3
efectan a los sistemas de informacin
administrados por el ente territorial?
Nmero
 15
Fecha ltima actualizacin
Diagnstico del encargado
4 En el tema de la seguridad informtica el 3
conocimiento del personal es satisfactorio?
5 En el registro de los usuarios, se tiene en 4
cuenta con los siguientes datos?
Nombre usuario
contrasea
Fecha
Hora
Nmero de registro
Encargado
6 Al momento de presentar una falla el 4 De 1 a 4 das
software, la atencin que se presta es?
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
7 Se cuenta con servicio de actualizacin 3
para los sistemas de informacin?
8 Al finalizar el horario laboral, se hace una 4
copia de seguridad de la base de datos?
9 El personal que se encarga de la 4
actualizacin es personal capacitado?
10 Se lleva un procedimiento para la 3
adquisicin de nuevo software?
11 La infraestructura tecnolgica del servidor 3
soporta la instalacin de diferentes bases de
datos?
12 Son compatibles software y hardware? 5
TOTAL 31 10
TOTAL, CUESTIONARIO 41
Porcentaje de riesgo parcial = (31*100) /41= 75,6
Porcentaje de riesgo = 100-75,6 = 24,3

PORCENTAJE RIESGO 23,4% (Riesgo bajo)

1% - 30% = RIESGO BAJO
31% - 70% = RIESGO MEDIO
71% - 100% = RIESGO ALTO

El Resultado obtenido indica que el riesgo es bajo, de igual manera se deben realizar
diferente mejoras y supervisin a diferentes procesos con el fin que la administracin y
actualizacin de la informacin no tenga percances dentro del ente territorial.
 16

ANLISIS DE RIESGOS
Proceso CobIT seleccionado realizado por Juan Camilo Castro Medina.
Empresa: Alcalda de Sevilla Valle

Dominio: Entregar y dar soporte (DS)

Proceso: DS4 Garantizar la continuidad del servicio.
Objetivos:
DS4.2. Planes de continuidad de TI.
DS4.3 Recursos crticos de TI.

RIESGOS:
1. La informacin contenida en los sistemas de informacin de la alcalda se puede
perder al carecer de polticas de aseguramiento a travs de copias de respaldo de la
informacin.
2. Se debe fortalecer la creacin y socializacin de un sistema de gestin de la
seguridad de la informacin SGSI.
3. Falta de actualizacin y configuracin adecuada del equipo servidor por parte del
personal del rea de sistemas.
4. No se realiza un proceso de auditora a la seguridad informtica.
5. Prdida de informacin o el dao de los documentos generados.
6. Perdida de informacin por no realizar adecuadamente las copias de seguridad.
7. No hay un plan de contingencia con un segundo servidor de respaldo,
vulnerabilidad del servidor frente a usuarios y personal no autorizado.
8. Posible prdida en la trasmisin de algunos paquetes de datos.
9. Se puede ocasionar daos de carcter elctrico en los equipos de cmputo como
sobre cargas y cortos elctricos.

MATRIZ PARA MEDICIN DE PROBABILIDAD E IMPACTO DE RIESGOS

Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo
31-60% Tolerable Moderado Importante
PROBABILIDAD

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable
Leve Moderado Catastrfico

IMPACTO
 17

ANALISIS Y EVALUACIN DE RIESGOS

N Descripcin Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrfico
R1 La informacin contenida en X X
los servidores de la
compaa se puede perder al
carecer de polticas de
aseguramiento a travs de
copias de respaldo de la
informacin.
R2 Se debe fortalecer la X X
creacin y socializacin de
un sistema de gestin de la
seguridad de la informacin
SGSI.
R3 Falta de actualizacin y X X
configuracin adecuada del
equipo por parte del personal
del rea de sistemas.

R4 No se realiza un proceso de X X
auditora a la seguridad
informtica.
R5 Prdida de informacin o el X X
dao de los documentos
generados.
R6 Perdida de informacin por X X
no realizar adecuadamente
las copias de seguridad.

R7 No hay un plan de X X
contingencia con un segundo
servidor de respaldo,
vulnerabilidad del servidor
frente a usuarios y personal
no autorizado.

R8 Posible prdida en la X X
trasmisin de algunos
paquetes de datos.
 18
R9 Se puede ocasionar daos de X X
carcter elctrico en los
equipos de cmputo como
sobre cargas y cortos
elctricos.

Resultado Matriz de riesgos para hardware

R7 R1,R3,R4,R6
Alto
61-100%

Medio R2,R9 R5
31-60%
PROBABILIDAD

Bajo R8
0-30%
Leve Moderado Catastrfico

IMPACTO

Desarrollo formato de hallazgo:

REF
HALLAZGO

PROCESO DS4.2. Planes de continuidad TI PGINA

AUDITADO DS4.3 Recursos crticos de TI 1 DE 1
RESPONSABLE Juan Camilo Castro Medina
MATERIAL DE
COBIT
SOPORTE
DS4: Garantizar la
Entregar y dar
DOMINIO PROCESO continuidad del
soporte (DS)
servicio
 19

DESCRIPCIN:
En la alcalda de Sevilla valle del cauca, la poltica de seguridad informtica no est en
su totalidad aplicada, faltan ms actualizaciones y configuracin por parte del sistema de
gestin del ente territorial, para ser ejecutada en el rea de sistemas.
Los empleados del rea de sistemas carecen de un correcto conocimiento en el tema de
seguridad informtica y manejo del software.
Las copias de seguridad de las bases de datos se realizan por empresas privadas y los
funcionarios como tambin contratistas no realizan este proceso.

CONSECUENCIAS:
Perdida de informacin que pueden acarrear sanciones.
Mala administracin de los sistemas de informacin.
Vulnerabilidad a ataques informticos.
Omisin de procesos administrativos por parte del personal

RIESGO:
La probabilidad de ocurrencia est clasificada en alto
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Definir de forma clara cuales son las polticas de seguridad de la informacin que deben
seguir los usuarios del rea de sistemas, de acuerdo al uso que se haga del mismo.
Realizar capacitaciones trimestrales, para socializar las polticas de la seguridad
informtica definidas para cada tipo de usuario que acceden al sistema y de las
actualizaciones para un mejor manejo del software.
Se deben realizar copias de seguridad peridicas de la informacin administrada y de los
sistemas de gestin que se utiliza en el ente territorial.
 20
Fuentes de conocimiento: AI3 Adquirir y Mantener Infraestructura Tecnolgica:
Realizado Por Eduard Aristizabal

CUADRO DE DEFINICION DE FUENTES DE REF

DS5
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
Alcalda de Sevilla
AUDITADA 1 DE 1
PROCESO Administracin de la informacin
AUDITADO
RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e implementar
PROCESO AI3 Adquirir y Mantener Infraestructura Tecnolgica:

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO
Las Dependencias deben
contar con procesos para
adquirir, Implementar
actualizar la infraestructura
tecnolgica. Esto requiere de
un enfoque planeado para
adquirir, mantener y proteger
la infraestructura de acuerdo
con las estrategias
tecnolgicas convenidas y la
disposicin del ambiente de
desarrollo y pruebas. Esto
garantiza que exista un
soporte tecnolgico en la
Alcalda de Sevilla.
DE ANALISIS DE EJECUCION
Desarrollar una
Generar un plan para
estrategia y un plan de
adquirir, implantar y
mantenimiento de la
mantener la infraestructura
infraestructura y
tecnolgica que satisfaga
garantizar que se
y los requerimientos
controlan los cambios, de
establecidos funcionales y
acuerdo con el
tcnicos del negocio, y que
procedimiento de
est de acuerdo con la
administracin de
direccin tecnolgica de la
cambios de la
organizacin. El plan debe
organizacin. Incluir una
considerar extensiones
revisin peridica contra
futuras para adiciones de
las necesidades del
capacidad, costos de
negocio, administracin
transicin, riesgos
de parches y estrategias
tecnolgicos y vida til de
de actualizacin, riesgos,
la inversin para
evaluacin de
actualizaciones de
vulnerabilidades y
tecnologa. Evaluar los
requerimientos de
costos de complejidad y la
seguridad.
viabilidad comercial del
 21
proveedor y el producto al Establecer el ambiente de
aadir nueva capacidad desarrollo y pruebas para
tcnica. soportar la efectividad y
Implantar medidas de eficiencia de las pruebas
control interno, seguridad de factibilidad e
y audibilidad durante la integracin de
configuracin, integracin aplicaciones e
y mantenimiento del infraestructura, en las
hardware y del software de primeras fases del
la infraestructura para proceso de adquisicin y
proteger los recursos y desarrollo. Hay que
garantizar su considerar la
disponibilidad e funcionalidad, la
integridad. Se deben configuracin de
definir y comprender hardware y software,
claramente las pruebas de integracin y
responsabilidades al desempeo, migracin
utilizar componentes de entre ambientes, control
infraestructura sensitivos de la versiones, datos y
por todos aquellos que herramientas de prueba y
desarrollan e integran los seguridad.
componentes de
infraestructura. Se debe
monitorear y evaluar su
uso.

AUDITOR RESPONSABLE:
Eduard Aristizabal
 22

LISTA DE CHEQUEO
LUGAR ALCALDIA DE SEVILLA
CODIGO FORM_CHK_001
FECHA 30 OCTUBRE DEL 2017
REALIZADO Eduard Fernando Aristizabal Giraldo
POR
CUMPLE
ITEM
SI PARCIALMENTE NO
AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
El plan de adquisicin tecnolgica se alinea con el plan de
X
infraestructura tecnolgica
AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
. El plan considera extensiones futuras para adiciones de
capacidad, costos de transicin, riesgos tecnolgicos y vida til X
de la inversin para actualizaciones de tecnologa
. Se reducen costos al racionalizar y estandarizar los componentes
X
de la infraestructura y con el uso de la automatizacin.
AI3.3 Mantenimiento de la infraestructura
Se estableci un plan para adquirir y dar mantenimiento a la
X
infraestructura tecnolgica
Se desarrollo una estrategia y un plan de mantenimiento de la
X
infraestructura y de control de los cambios
El proceso de adquisicin y mantenimiento de la infraestructura
tecnolgica est estrechamente en lnea con las aplicaciones
X
crticas del negocio.

AI3.4 Ambiente de Prueba de Factibilidad

Se hacen revisiones peridicas para evaluar si se est alineado con
las necesidades del negocio, evaluacin de vulnerabilidades y
requerimientos de seguridad. X

Estn establecidas pruebas de integracin y desempeo,

X
migracin entre ambientes
Existe entre los funcionarios de la empresa la nocin de que la
infraestructura de TI es importante y se apoya en algunas X
prcticas formales
 23

ENTREVISTA
ENTIDAD ALCALDIA DE SEVILLA VALLE PAGINA
AUDITADA 1 D 1
E
OBJETIVO
AUDITORA
RESPONSABLE Eduard Fernando Aristizabal
MATERIAL DE SOPORTE COBIT AI3 Adquirir y Mantener Infraestructura
Tecnolgica:
DOMINIO Adquirir e implementar PROCESO
Entrevistado Cargo
Octavio Enrique Fong Contratista enlace TIC
Cuestionario Respuesta
Defina brevemente el plan de En la organizacin se busca tener una red donde se
infraestructura tecnolgica establecido puedan conectar todos los equipos a la red, cada
en la organizacin? uno tenga una red elctrica regulada que proteja los
equipos
Qu medidas se utilizan para el control En la organizacin se encuentran con control
interno y de seguridad de la acceso de huella y solo entra personal autorizado a
infraestructura? los cuartos de telecomunicaciones y los servidores

Quin o quines son los responsables de El responsable de manejar el software y hardware

utilizar los componentes de software y administrarlo en el la compaa es ma y de los
hardware que hacen parte de la tcnicos de soporte de la mesa de ayuda
infraestructura?

Qu medidas se han tomado para la Se ha realizado un manual y programacin de los

integracin y el mantenimiento del mantenimientos 2 veces al ao en la empresa para
software y del hardware de la mantener infraestructura con su respectivo
infraestructura tecnolgica de la mantenimiento preventivo para prevenir fallas a
empresa? futuro

Entrevistado Cargo
Octavio Enrique Fong Contratista enlace TIC
Cuestionario Respuesta

Todo el personal est capacitado con
respecto al uso de los diferentes
componentes de la infraestructura
tecnolgica? Se consideran posibles
todo el personal de sistemas est capacitado y tiene
los conocimientos para el manejo de la
infraestructura como son hardware y software
tenindose la necesidad l capacitara a los usuarios
cuando sea necesario
 24
capacitaciones para el personal en caso
ser necesario
Las acciones que se toman frente a cualquier
Qu acciones se toman frente a eventualidad realizando backup diariamente en los
eventualidades que afecten la servidores y en la nube de toda la informacion que
infraestructura tecnolgica? se maneja
Qu mtodo de estandarizacin de los Mediante manual de mantenimientos y manejo de
componentes de infraestructura los componentes de la empresa
tecnolgica se utiliza en la organizacin?

Considera que la infraestructura La infraestructura actual de la empresa cumple con

tecnolgica actual de la empresa es los ltimos estndares tecnolgicos que debe tener
ptima y responde a las necesidades deen una empresa y se tiene el personal capacitado
la misma? Por qu? para que todo se maneje de la mejor forma y la
empresa se beneficie de la mejor manera
Se estableci un calendario para las Se estableci un calendario de mantenimiento 2
revisiones peridicas? Se realiza veces al ao inicio y fin de ao, se realizo informa e
documentacin sobre los resultados inventario, estados de los equipos de la empresa
obtenidos?
 25
CUESTIONARIO CUANTITATIVO REF

ENTIDAD AUDITADA ALCALDIA DE SEVILLA PAGINA

1 DE 1
PROCESO AUDITADO Infraestructura Tecnolgica
RESPONSABLES
MATERIAL DE COBIT AI3
SOPORTE
DOMINIO Adquirir e PROCESO AI3 Adquirir y mantener
implementar ( infraestructura
tecnolgica

OBJETIVO DE CONTROL AI3.1 Plan de Adquisicin de Infraestructura

Tecnolgica
N PREGUNTA SI NO NA REF
1 Cuentan con un plan de adquisicin, para 4
adquirir, implementar y mantener recursos
de Infraestructura Tecnolgica?
2 El plan considera extensiones futuras para 4
adiciones de capacidad, costos de transicin,
riesgos tecnolgicos y vida til de la
inversin para actualizaciones de
tecnologa?
3 La institucin cuenta con un inventario de 4
infraestructura tecnolgica?
4 En el inventario se registran los equipos 4
informticos existentes? (marca, modelo,
ubicacin, fecha de adquisicin, capacidad,
etc.)
5 Se registra el uso, se mantiene un control y 4
seguridad sobre el hardware y software?
6 Existen normas de control interno donde 3
se garantice la proteccin de los recursos
para su disponibilidad e integridad?
7 Cuentan con un manual de funciones? 3
8 Cuentan con un plan de mantenimiento de 4
la infraestructura tecnolgica?
9 Dentro del plan de mantenimiento se 4
garantiza el control de cambios?
10 Software (Microsoft office, antivirus, 4
sistema operativo, aplicativos) licenciado y
actualizado?
 26
11 Se hace mantenimiento peridicamente a la 4
infraestructura? (computador sobremesa,
computador porttil, extintores, servidores,
cableado red, impresoras, enrutadores,
reguladores, etc.)
12 Se realizan revisiones a los PCs con el fin 4
de detectar software malicioso?
TOTAL 3 47
TOTAL, CUESTIONARIO 50
Porcentaje de riesgo parcial = (3 * 100) / 50 = 6
Porcentaje de riesgo total = 100 6 = 94
PORCENTAJE RIESGO 48,98% (Riesgo alto)

AMENAZAS Y RIESGOS DETECTADOS

En esta tabla se encuentran las vulnerabilidades, amenazas y riesgos detectados en la
compaa y los cuales se asocian al proceso del COBOT seleccionado:
CUADRO - VULNERABILIDADES, AMENAZAS, RISGOS
Vulnerabilidades Amenazas Riesgos
Ausencia de seguridad interna
2 Robo de equipos Acceso no autorizado al rea de sistemas
Robo del Hardware y perdida de la
Ausencia de planes para Vandalismo y informacin ocasionada por desastres
16 naturales. No existe un plan debidamente
recuperacin de informacin desastres naturales
detallado para estos casos
Perdida de
Informacin vital para el funcionamiento
18 Copia de seguridad informacin valiosa
diario de la empresa.
de la compaa
Base de datos con demasiada Las copias de base de
informacin, la cual se debe en datos son demasiado
gran parte a informacin extensas y grandes, Servidores sobresaturados en el manejo de
20 redundante y diferentes tablas abarcando un gran la informacin.
utilizadas para la misma espacio en la memoria
accin. de los servidores.
No existe control de acceso a Facilidad de acceso al sistema por parte de
37 Acceso no autorizado
la informacin usuarios malintencionados
No continuar con el debido Dao de la No existe un log en el que se guarde el
38 proceso y sancin del usuario informacin o registro del usuario que realizo
responsable. informacin operaciones en el sistema.

40 Encriptacin de datos
Se realizan operaciones las
cuales no corresponden al
58 cargo o se dejan de hacer por
no tener acceso a estas.
Polticas de control de
66 contenido, inseguro e
inestable.
No se permiten actualizacin
68 para corregir errores del
software
24 Sin Antivirus
27
inconsistente sin un
responsable directo.
Modificacin de Perdida de informacin de usuarios,
archivos contraseas y dems
No se cumple con las No existen perfiles adecuados para cada
actividades de acuerdo cargo.
al cargo.
Control en la
Descargas e instalacin programas
utilizacin de los
equipos
Fallos en los archivos Software sin licencia
creados
Sin proteccin ante Instalacin de programas no deseados,
virus robo de informacin

ANALISIS Y EVALUACIN DE RIESGOS

N Descripcin Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrfico
R1 Acceso no autorizado X X
al rea de sistemas
R2 Robo del Hardware y X X
perdida de la
informacin
ocasionada por
desastres naturales.
No existe un plan
debidamente detallado
para estos casos
R3 Informacin vital para X X
el funcionamiento
diario de la empresa.
(Copias de seguridad)
R4 Servidores X X
sobresaturados en el
manejo de la
informacin.
R5 Acceso a las reas X X
restringidas, perdida y
robo de la
informacin
 28
R6 Descargas e X X
instalacin programas

R7 Software sin licencia X X

R8 Instalacin de X X
programas no
deseados, robo de
informacin
R9 Manipulacin de los
dispositivos personal X X
ajeno a sistemas
R10 Proteccin elctrica X X
(ups, red regulada)
R11 Respuesta ante alguna X X
falla de los
dispositivos

Matriz de Riesgos

Alto R1, R4 R2, R3, R5, R7, R8, R9,

61-100% R10
PROBABILIDAD

Medio
31-60% R2, R3, R6 R6, R11

Bajo
0-30% R1, R5, R10 R7, R8, R9

R1, R4, R6,R11

IMPACTO

Zona de Zona de
riesgo Riesgo

Leve,
Zona de Moderado
riesgo
 29
Tabla Hallazgos

REF
HALLAZGO 1

PROCESO Infraestructura Tecnolgica algunos PGINA

AUDITADO equipos obsoletos 1 DE 1
RESPONSABLE Eduard Aristizabal
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO implementar PROCESO
Infraestructura
Tecnolgica:

DESCRIPCIN:
Equipos de la infraestructura tecnolgica de la empresa obsoletos presentan
fallas constantes (switch y equipos de cmputo)

REF_PT: referencia papel de trabajo

CONSECUENCIAS:
Atraso en las tareas de los usuarios
Perdida de informacion

RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado
 30

RECOMENDACIONES:
Actualizar y realizar el cambio de los equipos que llegaron a su vida til o repararlos
segn sea necesario

REF
HALLAZGO 2

PROCESO PGINA
Adquirir e implementar
AUDITADO 1 DE 1
RESPONSABLE Eduard Aristizabal
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:

DESCRIPCIN:
Se evidencia que el servidor en el cual se almacena el sistema de informacin
que a hoy suple las necesidades de la empresa, se encuentran tambin otros 2
sistemas de informacin los cuales son una ERP y un sistema nuevo que a hoy
se encuentra en pruebas, por ende, se ven afectadas algunas operaciones que se
realizan en estos, continuas cadas de los sistemas y una muy pobre rapidez en
el manejo de estos.

REF_PT: referencia papel de trabajo

 31
CONSECUENCIAS:
La generacin de recibos se ve afectada con la saturacin del servidor ya que en
algunas ocasiones no se culminan por completo y quedan algunos dineros sin
identificar.
Lento a la hora de navegar por cada uno de los sitios, llevando por consiguiente
al entorpecimiento de tareas y a sus entregas tardas y no tan confiables.
Cargues y migracin de informacin a las bases de datos en horarios extra
laborales.

RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Distribuir los sistemas de informacin en los diferentes servidores asignados al
rea de informtica.
Comprar ms espacio de almacenamiento para cada uno de los servidores.
Asignar un servidor de pruebas para almacenar all los sistemas que se estn
desarrollando.

REF
HALLAZGO 3

PROCESO Acceso a las reas restringidas, perdida y PGINA

AUDITADO robo de la informacin 1 DE 1
RESPONSABLE Eduard Aristizabal
 32
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:

DESCRIPCIN:
No se cuenta con un personal directamente encargado de las reas de
informtica, tanto de los servidores y salas de trabajo como tambin de la sala
en la que se encuentran todas las reservas de piezas y partes relacionadas con el
hardware, por ende, se puede dar paso a que all se encuentren personas no
autorizadas y peor an personal no perteneciente al rea de informtica.

REF_PT: referencia papel de trabajo

CONSECUENCIAS:
Perdida de piezas importantes para el uso de los equipos informticos, causando
as una prdida de dinero y tiempo al momento de presentarse daos y no
encontrar posibles repuestos para suplirlos.
Extravi de informacin valiosa y confidencial, como documentos u objetos en
los que se almacena informacin (USB, CD),
Dao de equipos o servidores a causa de personas mal intencionadas o sin el
conocimiento suficiente para manipularlos.

RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Catastrfico
 33

RECOMENDACIONES:
Realizar inventario de todas las piezas que se encuentran en la sala de hardware
y destinar solo a un personal capacitado y especfico para su manipulacin.
Colocar carteles los cuales informen del acceso restringido a las salas
pertenecientes al rea de informtica y asignar un encargado de llaves el cual
ser el responsable de abrir y cerrar cada una de ellas.

REF
HALLAZGO 4

No existen perfiles adecuados para cada PGINA

PROCESO
cargo.
AUDITADO 1 DE 1

RESPONSABLE Eduard Aristizabal

MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:

DESCRIPCIN:
No existen perfiles ya establecidos para cada uno de los cargos, para as
determinar los permisos y accesos que van a llegar a tener cada uno de estos,
por ende, se obliga a los usuarios usar una mesa de ayuda por la cual deben
realizar las solicitudes de acceso a algunas funcionalidades que para ellos se
encuentran restringidas
 34

REF_PT: referencia papel de trabajo

CONSECUENCIAS:
Entorpecimiento en el desarrollo de las actividades debido a la demora en el
trmite de las solicitudes realizadas a la mesa de ayuda
Permisos de acceso a usuarios sin las facultades suficientes para tenerlos

RIESGO:
Probabilidad de ocurrencia: = 31% 60%
Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Realizar un estudio de cargos y las acciones que las personas asociadas a este
deben realizar para as asignar perfiles de acuerdo a cada uno de los cargos con
sus respetivos permisos.
 35
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL

Equipos de la infraestructura
tecnolgica de la empresa
obsoletos presentan fallas
constantes (switch y equipos
de cmputo
.
Actualizar y realizar el cambio de los
equipos que llegaron a su vida til o
CORRECTIVO repararlos segn sea necesario

Servidores sobresaturados en DETECTIVO, Distribuir los sistemas de informacin

el manejo de la informacin. CORRECTIVO en los diferentes servidores asignados
al rea de informtica.

Acceso a las reas PREVENTIVO Realizar inventario de todas las piezas y

restringidas, perdida y robo
de la informacin
No existen perfiles
adecuados para cada cargo.
colocar carteles en sitios estratgicos
para informar el acceso restringido a
ciertas reas
CORRECTIVO Realizar un estudio de cargos y las
acciones que las personas asociadas a
este deben realizar para as asignar
perfiles de acuerdo a cada uno de los
cargos con sus respetivos permisos

DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

Fuentes de conocimiento: PO1 Definir un Plan Estratgico de TI

Presentando por: Edgar Adrin Ortiz

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Alcalda de Sevilla-Valle del Cauca
AUDITADA 1 DE 1
PROCESO Evaluar el proceso del Software utilizado en la Alcalda de
AUDITADO Sevilla
RESPONSABLE Edgar Adrin Ortiz Parra
 36
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)
PROCESO PO1 Definir un Plan Estratgico de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANLISIS DE EJECUCIN

Sistema de control Identificar la existencia Aplicacin de los

interno. de controles adecuados controles para la
para la implementacin implementacin de
de polticas y polticas y Sistema de
procedimientos en el Seguridad de la
Sistema de Seguridad. Informacin.

Riesgos detectados en
Documento de Manual mala aplicacin del
de riesgos. Sistema de Seguridad de
la Informacin.
Realizar continuos
controles frente a los
riesgos detectados en el
sistema de Seguridad de
la Informacin.
 37
Entrevista: PO1 Definir un Plan Estratgico de TI

ENTREVISTA

PO1 Definir un Plan

DOMINIO Planear y Organizar (PO) PROCESO Estratgico de TI

OBJETIVO DE CONTROL
N CUESTIONARIO RESPUESTA
Aprovechamiento al mximo de los
Cul es el enfoque estratgico actual en
1 recursos existentes y adquirir algunos
cuanto a los sistemas informticos de la
equipos nuevos.
Alcalda de Sevilla?

Qu falencias informticas se detectan Uso de equipos por personal no

2 en el control interno de la Alcalda de autorizado, recursos informticos
Sevilla? limitados, equipos informticos
desactualizados.

La Alcalda cuenta con un plan para No existe ningn tipo de control, tanto
3
evitar el hurto de informacin? al personal que labora como al
visitante.

La Alcalda cuenta con un plan Si cuenta Con Un Plan que permite

4
estratgico para la administracin de evaluar el riesgo a que se expone.
riesgos?

Cuenta con equipos tecnolgicos No cuenta con los equipos necesarios

5 suficientes para llevar el control de la y por esta razn se presentan fallas
informacin? constantes en los sistemas.
 38
Lista chequeo: Definir un Plan Estratgico de TI

LISTA CHEQUEO
PO1 Definir un Plan
DOMINIO Planear y Organizar (PO) PROCESO Estratgico de TI

PO1.3 Evaluacin del Desempeo y la Capacidad Actual

OBJETIVO DE CONTROL
CONFOR
N ASPECTO EVALUADO ME OBSERVACIN
SI NO
Los recursos informticos son
En ocasiones nos vemos
suficientes para cubrir la totalidad de
1 informacin y desarrollar todo el trabajo X saturados de
sin complicaciones? informacin
Hemos prdido
Existen fallas en el sistema de base de X informacin de la base
2 datos? de datos

Es verdaderamente
necesaria, ya que la
informacin que maneja
Crees que hace falta capacitacin para el X la base de datos es muy
3 personal del rea informtica? importante para dar
cumplimiento a los
requerimientos del
gobierno.
 39

Cuestionario: Definir un Plan Estratgico de TI

REF
CUESTIONARIO CUANTITATIVO

ENTIDAD PAGINA
Alcalda de Sevilla- Valle del Cauca
AUDITADA 1 DE 1
PROCESO
AUDITADO Evaluar el proceso del Software utilizado en la empresa
RESPONSABLES Edgar Adrin Ortiz Parra
MATERIAL DE
COBIT 4.1
SOPORTE
Planear y Organizar PO1 Definir un Plan
DOMINIO PROCESO
(PO) Estratgico de TI

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
El funcionamiento de la red interna, es
1 1 2
constante?
Existe Control Interno para la evaluacin
2 ordenada de los riesgos a los que est 2 4
expuesta la seguridad de la informacin?
Existe control en la adquisicin de
3 licencias del software que manejan la 1 3
informacin de la empresa?
Se realiza capacitacin constante al
4 personal, sobre la correcta administracin 4
de los recursos informticos?
Existen planes de contingencia en caso de
5 prdidas de informacin y copias de 5
seguridad?
TOTAL 4 18
TOTAL, CUESTIONARIO 22
Porcentaje de riesgo parcial = (4 * 100) / 22 = 18.18
Porcentaje de riesgo total = 100 18.18 = 81.8

PORCENTAJE RIESGO 81.8% (Riesgo Alto)

 40
CONCLUSIONES

Las auditorias informticas se construyen mediante la recoleccin de informacin y

documentacin de todo tipo. Los informes finales varan dependiendo de la capacidad del
auditor para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El
trabajo del auditor es reunir toda la informacin necesaria para emitir un juicio global
objetivo, siempre apoyado en las evidencias comprobatorias recolectadas a travs del
proceso. El auditor debe estar entrenado para entender los mecanismos que se desarrollan en
un procesamiento informtico. Tambin debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la informacin necesaria para auditar
 41
BIBLIOGRAFIA

Derrien, Y. (2009). Tcnicas de la auditora informtica. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn
=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&
pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&
atitle=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aul
ast=Derrien%2C%20Yann&id=DOI:
Echenique, J. A. (2001). Auditora en Informtica. Ciudad de Mxico, Mxico: Editorial
McGraw-Hill.
Espino, M. G. (2014). Fundamentos de auditora. Recuperado
dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&pp
g=4
Gmez, . (2014). Auditora de seguridad informtica. Recuperado
dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
Huesca, G. (2012). Auditoria informtica. Recuperado
dehttps://es.scribd.com/document/252662002/Libro-Auditoria-informatica
Piattini, M. G. (2012). Auditora informtica un enfoque prctico 2 ed. Madrid Espaa:
Editorial RaMa
ISACA. (2016). Cobit 4.1 en espaol. Recuperado dehttp://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx