UNIDAD 2: FASE 3 PLANEACION Y EJECUCION

Integrantes

Luis Mauricio Ardila Vargas

Luis Eduardo Macías
Andres Julián Montenegro

GRUPO:
90168_09

DOCENTE
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

AUDITORIA DE SISTEMAS
INGENIERIA DE SISTEMAS
CALI-BUCARAMANGA
2018
 Introducción
En este documento se encuentra el procedimiento de auditoria que se realizara
con el fin de conocer las condiciones actuales de la gestión de infraestructura de
hardware, los protocolos de seguridad informática y entrenamiento que tiene los
usuarios de estos, verificando que se cumplan las normas establecidas por la
institución educativa y retroalimentar el mejoramiento institucional, por medio de
autoevaluaciones del personal y entrenamiento de los recursos informáticos
continuamente.

Objetivos
Eliminar el riesgo con el registro de calificaciones y actividades pertinentes de los
docentes en la plataforma académica “Colombia Evaluadora” llevado a cabo en la
Institución Educativa Ciudadela 2000, con sede en la ciudad de Cartagena de
Indias, ubicado en la comuna 14, barrio San Fernando, Sector Ciudadela 2000.
Evaluar los procesos Cobit seleccionados por medio de instrumentos de auditoria
para la recolección de datos esenciales para el dictamen de auditoria informática
PLANEACION Y EJECUCION DE AUDITORIA

Cuadro de Selección de Procesos COBIT 4.1

Nombre Auditor
Andrés Montenegro
Andrés Montenegro
Luis Mauricio Ardila Vargas
Luis Mauricio Ardila Vargas
Luis Eduardo Macías Roqueme
Luis Eduardo Macías Roqueme
Proceso auditado
AI3 Adquirir y Mantener Infraestructura
Tecnológica
AI4 Facilitar la Operación y el Uso
AI6 Administrar cambios
DS7 Educar y Entrenar a los Usuarios
PO4 Definir los Procesos, Organización y
Relaciones de TI
PO7. Administrar los Recursos Humanos
de TI

PO4 Definir los Procesos, Organización y Relaciones de TI: dentro del área de
docencia se encuentran claramente definidos, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios a los usuarios
de la institución.

- PO4.6 Establecimiento de roles y responsabilidades: Evaluar el cumplimiento

de los roles y las responsabilidades definidas para el personal de TI, en el
área de sistemas (administradores de redes, administradores de servidores,
supervisor de los indicadores de cumplimiento).

- PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión dentro

para garantizar que los roles y las responsabilidades se ejerzan de forma
apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad
y recursos para ejecutar sus roles y responsabilidades.

P07. Administrar los Recursos Humanos de TI.: Motivar a la planta docente para
la mejora de los servicios por medio de la aplicación de metodología de evaluación
de desempeño.
 - PO7.7 Evaluación del Desempeño del Empleado: Promover las evaluaciones
de desempeño constantemente, comparado con los objetivos institucionales
de servicios de calidad por medio de las TI.
AI3 Adquirir y Mantener Infraestructura Tecnológica: Se requiere Mantener la
infraestructura disponible para desarrollar las metas propuestas para el registro de
la información docente.
- AI3.2 Protección y Disponibilidad del Recurso de Infraestructura:
implementar medidas de control interno durante la configuración y
mantenimiento del hardware y del software de la infraestructura para proteger
los recursos y garantizar su disponibilidad e integridad. Se debe monitorear
y evaluar el uso de la infraestructura.

- AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un

plan de mantenimiento de la infraestructura y estrategias de actualización,
riesgos, evaluación de vulnerabilidades y requerimientos de seguridad.

AI4 Facilitar la Operación y el Uso: El conocimiento sobre los nuevos sistemas

debe estar disponible para usuarios y para TI, y proporciona entrenamiento para
garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.

- IA4.3 Transferencia de Conocimiento a Usuarios Finales: Transferencia de

conocimiento y habilidades para permitir que los usuarios finales utilicen con
efectividad y eficiencia el sistema por medio de la documentación de los
procesos de registro de información docente.

AI6 Administrar cambios: Para realizar algún cambio de hardware y de redes de

datos, debe generarse una documentación de actualización de estos items, para su
evaluación y pertenecía y que este esté con la línea de promover la mejora y
estabilidad de la infraestructura actual
- AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión
para garantizar la implantación completa de los cambios.

DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los
usuarios de recursos tecnológicos, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Además de identificar las necesidades,
este proceso incluye la definición y ejecución de una estrategia para llevar a cabo
un entrenamiento efectivo y para medir los resultados. Para ello se tomarán en
cuenta los siguientes objetivos de control:
- DS7.1 Identificación de Necesidades de Entrenamiento y Educación:
Establecer y actualizar de forma regular un programa de entrenamiento
para cada grupo objetivo de empleados, que incluya:

- Estrategias y requerimientos actuales y futuros del negocio.

- Valores corporativos (valores éticos, cultura de control y seguridad, etc.)
- Implementación de nuevo software e infraestructura de TI (paquetes y
aplicaciones)
- Habilidades, perfiles de competencias y certificaciones actuales y/o
credenciales necesarias.
- Métodos de impartición (por ejemplo, aula, web), tamaño del grupo
objetivo, accesibilidad y tiempo.
 INSTRUMENTOS DE RECOLECCION DE INFORMACION

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE

ANALISIS Y EJECUCCIÓN

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Institución Educativa Ciudadela 2000
AUDITADA 1 DE 1
PROCESO Gestión de Infraestructura Informática y documentación
AUDITADO de uso de esta
RESPONSABLE Luis Ardila, Luis Macías, Andrés Montenegro
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Adquirir e Implementar (AI)
PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
- Protocolo de control
interno de - Medición de los
mantenimiento de controles de
mantenimiento
computadores
- Verificación de la
- Informes de - Verificar la existencia de
realización de
actualizaciones y manuales de
informes de
mantenimientos de mantenimiento de
mantenimiento
equipos de computo
recursos informáticos - - Comprobar la
Detección de riesgos y
(equipos de cómputo) utilización de
vulnerabilidades
- Inventario de documentación de
uso de recursos
recursos informáticos
informáticos
y documentación de
uso

AUDITOR RESPONSABLE:
Andrés Montenegro
 LISTA CHEQUEO
AI3 Adquirir y Mantener
Adquirir e Implementar
DOMINIO PROCESO Infraestructura
(AI)
Tecnológica
AI3.2 Protección y Disponibilidad del Recurso de
OBJETIVO DE CONTROL
Infraestructura
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
Si se realizan, pero son
¿Se realizan informes de
llevados por los
1 mantenimiento de los recursos X
docentes del área de
informáticos?
informática
¿Se utilizan los protocolos No se lleva como tal un
2 existentes para la actualización de X protocolo, pero si unas
los recursos informáticos? actas
¿Se realiza monitoreo del uso de
Se monitorea, pero no
3 los recursos informáticos? X
es constante

OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura

Se trata siempre tener
¿Se utilizan métodos de
los recursos disponibles
1 planeación de que garanticen la X
para las actividades
disponibilidad de los recursos
requeridas
Actualmente no existe,
¿Existe un plan de acción para
solo hay inventario
mitigar los riesgos de hardware y
2 X donde se da de baja a
software?
los equipos en mal
estado
¿los equipos de cómputo tienen Se trabaja con equipos
3 todas sus partes? X portátiles y están
completos

LISTA CHEQUEO
Adquirir e Implementar AI4 Facilitar la
DOMINIO PROCESO
(AI) Operación y el Uso
AI4.3 Transferencia de Conocimiento a Usuarios
OBJETIVO DE CONTROL
Finales

Nº ASPECTO EVALUADO
¿Existe documentación de uso de
1 los recursos informáticos?
¿Se realiza capacitación del uso
2 de la infraestructura tecnológica?
¿Existen planes o programas de
formación docentes en el uso de la
3 X
infraestructura tecnológica?
¿Se realiza evaluaciones sobre la
documentación de uso de
4 X
infraestructura?
CONFOR
ME OBSERVACIÓN
SI NO
No hay nada escrito
X para el uso de los
recursos
Se hace pero de forma
básica, los docentes con
X mayor manejo ayudan a
los que tienen menos
manejo
Hay capacitaciones
ofrecidos por la
secretaria de educación
pero va más a fin con
los pensum académicos
Actualmente no, solo de
rendimiento en las aulas

¿Existen evaluaciones de
desempeño de los usuarios finales No, pero se piensa
5 de acuerdo a la documentación X implementar el próximo
actual de la infraestructura de TI? año

ENTREVISTA

AI3 Adquirir y mantener

Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnológica
AI3.2 Protección y Disponibilidad del Recurso
OBJETIVO DE CONTROL
de Infraestructura
Nº CUESTIÓN RESPUESTA
¿Qué problemas o inconvenientes ha
tenido la institución educativa en Se tiene el área física, pero falta la
1 cuanto a funcionamiento físico de la adecuación de equipos para llevar
infraestructura tecnológica? a cabo un mejor trabajo
 ¿Cada cuánto tiempo se realiza
2 mantenimiento a la infraestructura Generalmente casa 6 meses
tecnológica?

¿Han tenido problemas con la

documentación de la infraestructura
3 Sí, no se tiene documentado
tecnológica

¿Qué problemas ha tenido con los

Falta una documentación como
procedimientos de utilización de los
carta de navegación para ejecutar
5 recursos tecnológicos?
las actividades correctamente
¿Se ha realizado algún contrato de Se intentó una vez pero no se
6 outsoursing para garantizar el llevó a cabo por desacuerdo en los
mantenimiento y disponibilidad de la costos
infraestructura tecnológica?

ENTREVISTA

AI3 Adquirir y mantener

Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnológica
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura:
Nº CUESTIÓN RESPUESTA
¿han realizado la construcción de
planes de mantenimiento de la
Aun no, pero se piensa
1 infraestructura tecnológica?
implementar el año entrante

¿Qué problemas han tenido después En las oportunidades que los

de realizado el mantenimiento docentes del área de informática
2 programado? han realizado algún
mantenimiento, no se ha
presentado ningún inconveniente
¿han tenido inconvenientes con el Realmente se tiene dificultades
Software instalado (Microsoft office, con las licencias de
antivirus, sistema operativo, de más funcionamiento en todo lo
3
aplicaciones de uso diario) y sus mencionado, no hay licencias de
licenciado y actualizaciones? sistemas operativos, paquete
ofimático y antivirus
 La institución es muy grande para
¿ha tenido problemas recurrentes de
la capacidad del internet, es de 5
acceso a internet?
MB para atender a 40 portátiles
5
para estudiantes más 15 de los
docentes
¿Qué problemas son más frecuentes Últimamente hemos tenido
6 en el uso de los puertos de conexión inconveniente con las conexiones
externa de computadores(uso de HDMI, algunos portátiles no traen
usb, memorias SD, etc) cuando se este puerto y se dificulta cuando
conecta algún dispositivo (uso de se han tenido presentaciones
usb, memorias sd, etc)?

ENTREVISTA

Adquirir e implementar AI4 Facilitar la

DOMINIO PROCESO
(AI) Operación y el Uso
IA4.3 Transferencia de Conocimiento a
OBJETIVO DE CONTROL
Usuarios Finales:
Nº CUESTIÓN RESPUESTA
¿han realizado un plan de Los docentes son capacitados,
1 capacitaciones para los docentes? pero se requiere mejor formación
para las capacitaciones
¿Qué problemas han tenido con la
documentación aportada para la
2 utilización de los recursos No se tiene un seguimiento escrito
tecnológicos?

¿han tenido inconvenientes los

manuales de uso de los recursos
3 Se requiere implementar
tecnológico?

¿ha tenido problemas con el uso de

la infraestructura tecnológica Las cosas han mejorado su
5 después de recibir las capacitaciones funcionamiento
y manuales de operación de estos?
 CUESTIONARIO CUANTITATIVO REF

ENTIDAD Institución Educativa Ciudadela 2000 PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnológica
AUDITADO
RESPONSABLES Andrés Montenegro
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCESO AI3 Adquirir y mantener
implementar (AI) infraestructura
tecnológica

OBJETIVO DE CONTROL AI3.2 Protección y Disponibilidad del Recurso

de Infraestructura
N PREGUNTA SI NO NA REF
1 Se utilizan protocolos de actualización 5
de actualización de los recursos
informáticos?
2 ¿Cuentan con la documentación de la 4
infraestructura tecnológica
3 Se ha realizado los procedimientos 5
para la utilización de los recursos
tecnológicos?
4 Cuentan con un espacio adecuado para 3
la infraestructura tecnológica de uso
para los docentes?
5 ¿Se registra el uso, se mantiene un 3
control y seguridad sobre el hardware y
software?
6 ¿Existen normas de control interno 4
donde se garantice la protección de los
recursos para su disponibilidad e
integridad?
7 ¿Promueven el buen uso de los 3
recursos tecnológicos para su
protección?
TOTAL 17 10
TOTAL CUESTIONARIO 27
Porcentaje de riesgo parcial = (17 * 100) / 27 = 62.96
Porcentaje de riesgo total = 100 – 62.96 = 37.04
PORCENTAJE RIESGO 37.04% (Riesgo Medio)
 CUESTIONARIO CUANTITATIVO REF

ENTIDAD Institución Educativa Ciudadela 2000 PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnológica
AUDITADO
RESPONSABLES Andrés Montenegro
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCESO AI3 Adquirir y mantener
implementar (AI) infraestructura
tecnológica

OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura:

N PREGUNTA SI NO NA REF
1 ¿Cuentan con un plan de 5
mantenimiento de la infraestructura
tecnológica?
2 ¿El plan considera extensiones futuras 5
para adiciones de capacidad, costos de
transición, riesgos tecnológicos y vida
útil de la inversión para actualizaciones
de tecnología?
3 ¿Se cuenta con software licenciado en 5
los equipos de cómputo?
4 ¿En el inventario se registran los 4
equipos informáticos existentes?
(marca, modelo, ubicación, fecha de
adquisición, capacidad, etc.)
5 ¿Funciona bien los puertos de entrada 1
de dispositivos externos de los
computadores?
6 ¿Se realiza mantenimiento preventivo y 3
correctivo de la infraestructura
tecnológica?
TOTAL 8 15
TOTAL CUESTIONARIO 23
Porcentaje de riesgo parcial = (8 * 100) / 23 = 34,78
Porcentaje de riesgo total = 100 – 34,78 = 65,22
PORCENTAJE RIESGO 65,22% (Riesgo Medio)
 CUESTIONARIO CUANTITATIVO REF

ENTIDAD Institución Educativa Ciudadela 2000 PAGINA

AUDITADA 1 DE 1
PROCESO Infraestructura Tecnológica
AUDITADO
RESPONSABLES Andrés Montenegro
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCESO AI4 Facilitar la
implementar (AI) Operación y el Uso

OBJETIVO DE CONTROL AI4.3 Transferencia de Conocimiento a

Usuarios Finales
N PREGUNTA SI NO NA REF
1 ¿Cuentan con un manuales de usuarios 5
de los recursos informáticos?
2 ¿Cuentan con Evaluaciones de 5
aprendizaje de la documentación de la
infraestructura a los docentes?
3 ¿Cuentan con evaluaciones de la 5
documentación que se presenta los
usuarios finales ?
4 ¿Tienen un plan de capacitaciones en 4
Ti para los docentes?
TOTAL 4 15
TOTAL CUESTIONARIO 19
Porcentaje de riesgo parcial = (4 * 100) /19 = 21,05
Porcentaje de riesgo total = 100 – 21,05 = 78,94
PORCENTAJE RIESGO 78,94% (Riesgo alto)
RIESGOS INICIALES PROCESOS AI3, AI4:
De acuerdo a los riesgos presentes en de plan de auditoria se pueden, observar los
casos en los cuales son los directamente relacionados con los procesos “AI3
Adquirir y mantener infraestructura tecnológica, AI4 Facilitar la Operación y el Uso”
son los siguientes:
1. Falta de control de uso de dispositivos de almacenamiento extraíble
2. Falta control de revisión de software malicioso
3. Software instalado sin licencias
4. No hay control ni monitoreo al acceso a internet
5. Fallas en la red de comunicación LAN
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
Después de aplicar los instrumentos de auditoria (entrevistas, listas de chequeo y
cuestionarios) para los procesos AI3 y AI4 según la nomenclatura de lCOBIT 4.1 la
cual Posteriormente, se descubrieron los siguientes riesgos de acuerdo a los
cuestionarios de los procesos y objetivos correspondientes antes mencionados.
6. Desactualización Software –AI3
7. Falta de capacitación de docentes para el buen uso de los recursos de la
infraestructura tecnológica de la institución – AI4
8. Sin manuales de Usuarios – AI4
9. Fallos del sistema por Software malicioso – AI3
10. Falta de plan de mantenimiento de la infraestructura tecnológica – AI3
11. Falta de evaluaciones de conocimiento de usuarios finales – AI4
ANALISIS Y EVALUACIÓN DE RIESGOS
N° Descripción Impacto Probabilidad
R1 Falta de control de uso de dispositivos de
2 5
almacenamiento extraíble
R2 Falta control de revisión de software malicioso 4 4
R3 Software instalado sin licencias 4 4
R4 No hay control ni monitoreo al acceso a internet 1 5
R5 Fallas en la red de comunicación LAN 4 3
R6 Desactualización Software – AI3 2 4
R7 Falta de capacitación de docentes para el buen
uso de los recursos de la infraestructura 4 3
tecnológica de la institución – AI4
R8 Sin manuales de Usuarios – AI4 4 4
R9 Fallos del sistema por Software malicioso – AI3 4 4
R10 Falta de plan de mantenimiento de la
3 3
infraestructura tecnológica – AI3
R11 Falta de evaluaciones de conocimiento de
3 4
usuarios finales – AI4
RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Catastrófico
Mayor (4)
(1) (2) (3) (5)

Raro (1)

Improbable (2)

Posible (3) R10 R5

Probable (4) R6 R7,R11 R2,R3,R8,R9

Casi Seguro (5) R4 R1

POSIBLES SOLUCIONES A RIESGOS

RIESGOS B:
Sin riesgos en esta etapa de la matriz de evaluación.
RIESGOS M
Sin riesgos en esta etapa de la matriz de evaluación.
RIESGOS A
R1: Control de uso de dispositivos por medio de uso obligatorio de antivirus o
rehabilitación de puertos USB o SD.
R4: Implementar software de para navegación de internet y control de descargas
para los equipos de cómputo.
R6: Implementación de mantenimiento de Software.
R7: Realización de capacitaciones.
R10: Realizar mantenimiento de Software Cada 3 Meses y Preventivo de Hardware
cada 6 meses o cuando se requiera para el uso de todos los dispositivos.
R11: Implementar Formatos de evaluación docente de conocimientos sobre el uso
de la infraestructura tecnológica.
RIESGOS E
R2: Implementación de Antivirus Licenciado.
R3: Compra de Software licenciado, o uso de software libre open source.
R5: Implementación de mantenimiento de las redes informáticas periódicas.
R8: Generar documentación y manuales de los procesos de uso de los recursos
tecnológicos.
R9: Implementación de software antimalware licenciado para los equipos de
cómputo.
 REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Institución Educativa Ciudadela 2000
AUDITADA 1 DE 1
PROCESO
Supervisión
AUDITADO
RESPONSABLE Luis Mauricio Ardila Vargas
MATERIAL DE
COBIT P4.1
SOPORTE
DOMINIO Adquirir e Implementar (AI)

PROCESO AI6 Administrar Cambios

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
- PEI (Proyecto - Verificar la existencia de - Medir si los empleados
Educativo documentos respecto a ejecutan eficazmente las
Institucional) los proyectos educativos directrices impartidas por
- Manual de llevados por la la Institución
Convivencia Institución Educativa - Los empleados tienen
- POA (Plan Operativo - Verificar si los planes y claridad de los procesos
Anual) proyectos de la que se llevan en la
- Manual de Calidad Institución son de Institución
- PMI (Plan de conocimiento para todos - Los resultados van de
Mejoramiento los empleados acuerdo a la metodología
Institucional) - Verificar que dentro del de la Institución
- Autoevaluación manual de convivencia y - Comprobar la ejecución
Institucional los planes educativos se de los planes educativos
- Gestión Directiva encuentren los roles y de la Institución
- Actas de Comisiones responsabilidades de
de Evaluación los empleados
- Actas de Consejo - Existencia de un
Directivo direccionamiento de los
- Acta de Consejo roles y
Académico responsabilidades
Entrevista: Administración Cambios

ENTREVISTA
Adquirir e Implementar AI6 Administrar
DOMINIO PROCESO
(AI) Cambios
OBJETIVO DE CONTROL AI6.5 Cierre y documentación del cambio:
Nº CUESTIONARIO RESPUESTA
¿Existe un documento sobre el
No hay un documento donde
1 cambio realizado en sus
evidencie este tipo de cambio
computadores?
¿Se hace Seguimiento del cambio y Se hace acta de nuevos equipos,
2 del funcionamiento de lo que se pero no de cambios a un equipo
adquirió o cambio? especifico
¿Se incluye en el plan operativo No hay fechas establecidas en el
3 fechas para verificación de lo que se POA para hacer estas
realizó en cuanto a los cambio? verificaciones
Hay actas de reuniones generales
Hay evidencias del entendimiento y que han tenido los docentes con
manejo de las responsabilidades en los coordinadores y el rector, pero
4 el manejo de las plataformas y de las no específicamente para el
consecuencias que conlleva al no entendimiento de las
ejecutarlo como debe ser? responsabilidades que cada uno
debe tener
¿Dentro del están programadas
No hay fechas programadas para
5 fechas para capacitaciones que se
instalaciones de aplicativos.
debe instalar o no?

Lista chequeo: Establecimiento de Roles y Responsabilidades

LISTA CHEQUEO
Planear y Organizar AI6 Administrar
DOMINIO PROCESO
(PO) Cambios
OBJETIVO DE CONTROL AI6.5 Cierre y documentación del cambio:
CONFORME
N.º ASPECTO EVALUADO OBSERVACIÓN
SI NO
Manual hecho por la
¿Existe un manual de funciones y
Arquidiócesis de
responsabilidades para el manejo
1 X Cartagena para todos
de las plataformas académicas
los colegios que
para los empleados?
administra
Perdida de información por virus
2 X Muy frecuentemente
informáticos
 No tienen un técnico
3 Desactualización Software X
en caso de actualizar
No hacen
4 No se capacita a los docentes X capacitaciones sobre
equipos de computo

Cuestionario: AI6 Administrar Cambios

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA 1 DE 1
PROCESO
Supervisión
AUDITADO
RESPONSABLES Luis Mauricio Ardila Vargas
MATERIAL DE
COBIT P4.10
SOPORTE
DOMINIO AI6 Administrar Administra Administrar Cambios
Cambios r Cambios (AI)

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Existe un Manual de cambio en el 1
computador?
2 ¿Se hace Seguimiento a las funciones y 2
responsabilidades que los docentes
tienen en el manejo del computador?
3 ¿Se hacen capacitaciones sobre que se 2
debería o no adquirir o cambiar para
mejoramiento del proceso?
4 ¿Hay una evaluación y autoevaluación a 2
docentes donde incluya el buen manejo
de las plataformas académicas?
5 ¿Existe un área en la institución 3
destinada al manejo exclusivo de las
plataformas académicas por parte de los
docentes para así minimizar los riesgos
de malos manejos?
6 ¿Se monitorean los procesos? 5
TOTAL 8 7
TOTAL CUESTIONARIO 15
Porcentaje de riesgo parcial = (8 * 100) / 15 = 53.33
Porcentaje de riesgo total = 100 – 53.33 = 46.67
PORCENTAJE RIESGO 46,67% (Riesgo Alto )

RIESGOS INICIALES:
1. No existe un manual de cambios que se deben hacer en los computadores
2. No se capacita a los docentes sobre el manejo de software o cambios
realizados
3. Indisponibilidad del servidor o equipos de computo
4. Funcionamiento inadecuado del almacenamiento
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
5. Desactualización Software
6. Perdida de información por virus informáticos
7. No se capacita a los docentes

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impacto Probabilidad

R1 No existe un manual de cambios que se deben hacer 3 1
en los computadores
R2 No se capacita a los docentes sobre el manejo de 3 1
software o cambios realizados
R3 Indisponibilidad del servidor o equipos de computo 4 4
R4 Funcionamiento inadecuado del almacenamiento 3 4
R5 Desactualización Software 4 4
R6 Perdida de información por virus informáticos 2 3
R7 No se capacita a los docentes 3 5
RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Mayor Catastrófico
Menor (2) Moderado (3)
(1) (4) (5)

Raro (1) R1, R2

Improbable (2)

Posible (3) R6

Probable (4) R4 R3, R5

Casi Seguro (5) R7

ENTREVISTA
Entregar y Dar Soporte DS7 Educar y Entrenar
DOMINIO PROCESO
(DS) a los Usuarios
OBJETIVO DE CONTROL AI6.5 Cierre y documentación del cambio:
Nº CUESTIONARIO RESPUESTA
¿Está disponible la documentación
No hay un documento donde
1 para transferir el conocimiento a los
evidencie esto
empleados?
¿Con qué tiempo de anterioridad se Muy pocas veces hacen
2
organizan las capacitaciones? capacitación referente al sistema
 ¿Le gustaría recibir capacitación del Si, es bueno para ir conociendo lo
3
sistema? nuevo que hay
¿Cree que es importante recibir
4 Si claro
capacitaciones?
5

LISTA CHEQUEO
DS7 Educar y
Entregar y Dar Soporte
DOMINIO PROCESO Entrenar a los
(DS)
Usuarios
DS7.1 Identificación de Necesidades de
OBJETIVO DE CONTROL
Entrenamiento y Educación:
CONFORME
N.º ASPECTO EVALUADO OBSERVACIÓN
SI NO
1 9. ¿Se lleva un registro del No se posee dicho
X
personal capacitado? registro
2 10. ¿Se tiene un registro de los No se posee dicho
prerrequisitos para la X registro
capacitación?
3 11. ¿Cómo se realizan las Las evaluaciones se
evaluaciones de desempeño realizan por control
dentro de la capacitación? X interno, pero no hay
especificación de
dicho proceso
4 12. ¿Se lleva un registro de No se posee dicho
llamadas de soporte debido a X registro
problemas de entrenamiento?
5 13. ¿Es alto el nivel de No se cuenta con
satisfacción con el entrenamiento este indicador.
de la aplicación y los materiales
de apoyo?

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Institución educativa Ciudadela 2000 PAGINA

AUDITADA 1 DE 1
PROCESO
Supervisión
AUDITADO
RESPONSABLES Luis Mauricio Ardila Vargas
MATERIAL DE
COBIT P4.10
SOPORTE
DOMINIO DS7 Educar y Entregar y Entregar y Dar Soporte
Entrenar a los Dar (DS)
Usuarios Soporte

OBJETIVO DE CONTROL DS7.1 Identificación de Necesidades de

Entrenamiento y Educación:
N PREGUNTA SI NO NA REF
1 ¿Se llevan a cabo entrenamientos al 1
personal de la empresa?
2 ¿Existen materiales de entrenamiento 2
para transferir el conocimiento?
3 ¿Se tiene un registro de los 2
prerrequisitos para la capacitación?
4 ¿Qué métodos utiliza la empresa para la 2
impartición de conocimiento?

5 ¿Existen materiales de entrenamiento 3

para transferir el conocimiento?

6 ¿Está disponible la documentación para 5

transferir el conocimiento a los
empleados?
TOTAL 8 7
TOTAL, CUESTIONARIO 15
Porcentaje de riesgo parcial = (8 * 100) / 15 = 53.33
Porcentaje de riesgo total = 100 – 53.33 = 46.67
PORCENTAJE RIESGO 46,67% (Riesgo Alto)
Fuentes de conocimiento: P4.O6 Establecimiento de Roles y Responsabilidades

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD
Institución Educativa Ciudadela 2000 D
AUDITADA 1 1
E
PROCESO
Supervisión
AUDITADO
RESPONSABLE Luis Eduardo Macías Roqueme
MATERIAL DE
COBIT P4.10
SOPORTE
DOMINIO Planear y Organizar (PO)

PROCESO P06 Establecimiento de Roles y Responsabilidades

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
- PEI (Proyecto - Verificar la existencia de - Medir si los empleados
Educativo documentos respecto a ejecutan eficazmente las
Institucional) los proyectos educativos directrices impartidas por
- Manual de llevados por la la Institución
Convivencia Institución Educativa - Los empleados tienen
- POA (Plan Operativo - Verificar si los planes y claridad de los procesos
Anual) proyectos de la que se llevan en la
- Manual de Calidad Institución son de Institución
- PMI (Plan de conocimiento para todos - Los resultados van de
Mejoramiento los empleados acuerdo a la metodología
Institucional) - Verificar que dentro del de la Institución
- Autoevaluación manual de convivencia y - Comprobar la ejecución
Institucional los planes educativos se de los planes educativos
- Gestión Directiva encuentren los roles y de la Institución
- Actas de Comisiones responsabilidades de
de Evaluación los empleados
- Actas de Consejo - Existencia de un
Directivo direccionamiento de los
 - Acta de Consejo roles y
Académico responsabilidades
Entrevista: Establecimiento de Roles y Responsabilidades

ENTREVISTA
P06 Establecimiento de
Planear y Organizar
DOMINIO PROCESO Roles y
(PO)
Responsabilidades
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
Si existe, manual que está dirigido
Existe un manual de funciones y
a 5 colegios que son
1 responsabilidades para los
administrados por la Arquidiócesis
empleados?
de Cartagena
Se hace seguimiento a las
Se hace Seguimiento a las funciones actividades que los docentes
y responsabilidades que los docentes realizan en las plataformas, pero
2
tienen en el manejo de las no se controla el acceso de tal
plataformas académicas? manera que no se sabe si es el
mismo docente es el que accede
¿Se incluye en el plan operativo
Actualmente, no hay fechas para
fechas para verificación de las
3 verificación de estas
funciones y responsabilidades en
responsabilidades
cada periodo académico?
Hay actas de reuniones generales
Hay evidencias del entendimiento y que han tenido los docentes con
manejo de las responsabilidades en los coordinadores y el rector, pero
4 el manejo de las plataformas y de las no específicamente para el
consecuencias que conlleva al no entendimiento de las
ejecutarlo como debe ser? responsabilidades que cada uno
debe tener
Se están dando orientaciones a
Existen herramientas y estrategias
los docentes menos hábiles por
para mejorar el manejo responsable
5 parte de aquellos que tienen mejor
de las plataformas académicas de la
manejo en las Tics, pero no hay un
Institución?
proyecto estructurado
Dentro del POA están programadas
Hay capacitaciones al inicio de
fechas para capacitaciones sobre el
6 cada año, pero sobre todo a los
buen manejo de las plataformas
docentes nuevos.
académicas?
Los jefes de áreas se encargan Los jefes de áreas no son los
también de velar por el buen manejo responsables del buen manejo
7
de los demás docentes en las que deben tener los docentes con
plataformas? las plataformas académicas
 No, los responsables son los
Hay un docente nombrado como líder
coordinadores junto con el
8 para orientar los procesos en el uso
administrador de las plataformas
de las plataformas?
académicas
No, en estos momentos la
En la evaluación y autoevaluación a
evaluación y autoevaluación no
docentes, hay un ítem que evalúe el
9 comprende las responsabilidades
buen manejo de las plataformas
y funciones dentro de las
académicas?
plataformas académicas
Se cuenta con un espacio físico
Existe un área en la institución mas no acondicionado para con
destinada al manejo exclusivo de las equipos de cómputo para la
10
plataformas académicas por parte de realización de las actividades
los docentes? exclusivas de plataformas
académicas

Lista chequeo: Establecimiento de Roles y Responsabilidades

LISTA CHEQUEO
P06 Establecimiento de
Planear y Organizar
DOMINIO PROCESO Roles y
(PO)
Responsabilidades
OBJETIVO DE CONTROL PO4.1 Marco de Trabajo de Procesos de TI
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Existe un manual de funciones y Manual orientados a los
responsabilidades para el manejo colegios administrados
1 X
de las plataformas académicas por la Arquidiócesis de
para los empleados? Cartagena
PO4.7 Responsabilidad de Aseguramiento de Calidad
OBJETIVO DE CONTROL
TI
¿Se hace Seguimiento a las
No se puede identificar
funciones y responsabilidades que
si es el mismo docente
2 los docentes tienen en el manejo X
quien tiene el acceso a
de las plataformas académicas?
la plataforma académica
PO4.8 Responsabilidad sobre el riesgo, la seguridad
OBJETIVO DE CONTROL
y el cumplimiento:
¿Se hacen capacitaciones para Se capacitan a los
mejorar el manejo responsable de docentes nuevos, pero
3 X
las plataformas académicas de la falta reforzar los
Institución? conocimiento y
 responsabilidades a los
antiguos
OBJETIVO DE CONTROL PO4.12 Personal de TI:
Se evalúa al docente
¿Hay una evaluación y respeto al desempeño
autoevaluación a docentes donde con el pensum
4 X
incluya el buen manejo de las académico pero no de
plataformas académicas? uso de las plataformas
académicas
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:
¿Existe un área en la institución
destinada al manejo exclusivo de
Si existe, pero falta
las plataformas académicas por
5 X adecuación para hacerla
parte de los docentes para así
útil
minimizar los riesgos de malos
manejos?

Cuestionario: P06 Establecimiento de Roles y Responsabilidades

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Institución Educativa Ciudadela 2000 PAGINA

AUDITADA 1 DE 1
PROCESO
Supervisión
AUDITADO
RESPONSABLES Luis Eduardo Macías Roqueme
MATERIAL DE
COBIT P4.10
SOPORTE
DOMINIO Planear y Organizar Planear y Planear y Organizar
(PO) Organizar (PO)
(PO)

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 Existe un manual de funciones y 5
responsabilidades para el manejo de las
plataformas académicas para los
empleados?
2 ¿Se hace Seguimiento a las funciones y 2
responsabilidades que los docentes
 tienen en el manejo de las plataformas
académicas?
3 ¿Se hacen capacitaciones para mejorar 3
el manejo responsable de las
plataformas académicas de la
Institución?
4 ¿Hay una evaluación y autoevaluación a 2
docentes donde incluya el buen manejo
de las plataformas académicas?
5 ¿Existe un área en la institución 3
destinada al manejo exclusivo de las
plataformas académicas por parte de los
docentes para así minimizar los riesgos
de malos manejos?
6 ¿Se monitorean los procesos? 5
TOTAL 16 4 0
TOTAL CUESTIONARIO 20
Porcentaje de riesgo parcial = (16 * 100) / 20 = 72.72
Porcentaje de riesgo total = 100 – 72 = 27.28
PORCENTAJE RIESGO 27,28% (Riesgo Moderado)

Interpretar este resultado

A pesar que la institución Educativa tiene alrededor de 13 años de funcionamiento,
notamos que hay cosas por mejorar respecto al manejo de las funciones y
responsabilidades de los docentes, aun así presenta un riesgo de moderado de
27.28 % que con más trabajo y mejor adecuación de las instalaciones mejoraran

RIESGOS INICIALES:
Los riesgos iniciales que encontramos en el proceso de Supervisión son los
siguientes:
1. La estandarización de funciones y responsabilidades
2. La formalización de las funciones y responsabilidades
3. Falta de un cronograma para capacitaciones y orientaciones a los usuarios
4. Falta de un control para verificación de responsabilidades
5. Falta de adecuación de equipos de cómputo para las funciones
correspondientes a las actividades escolares
6. Baja velocidad en el ancho de banda disponibles para las labores de los
docentes
7. Falta de un servidor interno en la institución
8. Sistemas operativos, paquete ofimático y antivirus ilegales
 9. Poca capacitación a docentes en el tratamiento de la información
10. Falta de un sitio web de la institución

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

11. Desactualización Software
12. Perdida de información por virus informáticos
13. Incumplimiento de las responsabilidades de los docentes por desinformación
14. Acceso indebido a terceras personas
15. Desinterés en el manejo de los tiempos para entregas de responsabilidades
16. Acceso a la clave wifi de personas no autorizadas

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Impacto Probabilidad

R1 La estandarización de funciones y responsabilidades 3 1
R2 La formalización de las funciones y responsabilidades 3 1
R3 Falta de un cronograma para capacitaciones y orientaciones 4 4
a los usuarios
R4 Falta de un control para verificación de responsabilidades 3 4
R5 Falta de adecuación de equipos de cómputo para las 4 4
funciones correspondientes a las actividades escolares
R6 Baja velocidad en el ancho de banda disponibles para las 2 3
labores de los docentes
R7 Falta de un servidor interno en la institución 3 5
R8 Sistemas operativos, paquete ofimático y antivirus ilegales 5 5
R9 Desactualización Software 5 4
R10 Perdida de información por virus informáticos 5 4
R11 Incumplimiento de las responsabilidades de los docentes por 3 3
desinformación
R12 Acceso indebido a terceras personas 4 3
R13 Desinterés en el manejo de los tiempos para entregas de 4 3
responsabilidades
R14 Acceso a la clave wifi de personas no autorizadas 4 5
RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Mayor Catastrófico
Menor (2) Moderado (3)
(1) (4) (5)

Raro (1) R1, R2

Improbable (2)

R12,
Posible (3) R6 R11
R13

Probable (4) R4 R3, R5 R9, R10

Casi Seguro (5) R7 R14 R8

Conclusiones
- Por medio de la auditoria informática se puede verificar, evaluar las políticas,
controles, procedimientos, protocolos de seguridad de acuerdo a los recursos
informáticos que se encuentren en riesgo de amenazas latentes de las
empresas

- El Control Interno Informático es la forma óptima de evaluar los objetivos y

metas propuestas en un tiempo determinado de la gestión de los recursos
informáticos y demás controles que protejan estos activos de la empresa.

- La metodología COBIT permite evaluar los procesos de las tecnologías de la

información de forma rápida y efectiva por medio de objetivos de control
específicos para la supervisión de los recursos tecnológicos.

- Los instrumentos de evaluación de auditoria basados en procesos recopilan

información valiosa de acuerdo a los objetivos de revisión e intervención para
la protección de la infraestructura tecnología y la seguridad informática.

- La matriz de riesgos permite generar alertas tempranas de acuerdo a su

impacto y probabilidad, tomar decisiones acertadas para subsanar posibles
fallos en estos procesos.
Bibliografía

INCIBE. (02 de 03 de 2017). Instituto Nacional de Ciberseguridad. Obtenido de

Instituto Nacional de Ciberseguridad: https://www.incibe.es/protege-tu-
empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
INTECO. (21 de 05 de 2010). Análisis y valoración de riesgos. Metodologías.
Obtenido de https://youtu.be/g7EPuzN5Awg
Solarte Solarte, F. N. (26 de 01 de 2017). Universidad UNAD. Recuperado el 13
de 10 de 2018, de Control interno informático:
http://hdl.handle.net/10596/10692
Solarte, F. N. (23 de 05 de 2016).. Obtenido de Riesgos informáticos y su
clasificación: http://hdl.handle.net/10596/10236
Solarte, F. N. J. (23 de 05 de 2016). Universidad UNAD . Metodología de la
auditoria con estándar
CobIT. Recuperado de http://hdl.handle.net/10596/10234
ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid –
España: Editorial Ra-Ma