Fase 5 Auditoria de Sistemas

FASE 5 - RESULTADOS FINALES DE LA AUDITORÍA
COMPILAR TRABAJO COMPLETO DE LA AUDITORÍA, ELABORAR VIDEO

METODOLOGÍA AUDITORIA
GRUPO COLABORATIVO
ARISTIDES VALDES LOPEZ
DIEGO FERNANDO MEJIA GOMEZ
SEBASTIAN CALDERON
GRUPO
90168_53
TUTORA
NILDA BECERRA
AUDITORIA DE SISTEMAS
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
2019
INTRODUCCION
La auditoría de sistemas es un aspecto importante, fundamental y la única herramienta en la

ingeniería de sistemas ya que es un mecanismos mediante el cual la empresa realiza un seria
de procesos y procedimientos con el fin de determinar fallas que en cualquier momento
afecten o pongan en riesgo los datos, redes, software, hardware entre otras cosas y que afecten
directamente el funcionamiento de una entidad y detectar su comportamiento y de esta manera
cerciorarse de una protección eficiente.
Ampliar los conceptos básicos de la función que desempeña Auditoria de sistemas dentro de
los procesos sistemáticos para llevar a cabo unos técnicas y métodos donde se maneja
volumen de información en sistemas electrónicos bien definidos, en un sin gran número de
software que permiten agilizar procesos como la contabilidad, bases de datos, inventarios,
talento humano y redes y la respectiva conservación de la información.
OBJETIVOS
Objetivo general
Garantizar la seguridad a la hora de tratar los datos así dotándolos de la privacidad y dándole un
buen uso eficiente a y evitando complicaciones en el sistema para evitar cualquier amenaza en
los datos y que la información esté en peligro, con eso poder hacer del sistema informático un
proceso mucho más eficiente y rentable, permitiendo detectar errores y tomando decisiones de
manera inmediata.
Objetivo específicos
 Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas

informatizados.
 Garantizar la confidencialidad e integridad a través de sistemas de seguridad y control
profesionales.
 Mejorar la relación coste-beneficio de los sistemas de información.
 Minimizar la existencia de riesgos, tales como virus, hackers, o páginas de alto riesgo
 Educar sobre el control de los sistemas de información, puesto que se trata de un sector
muy cambiante y relativamente nuevo, por lo que es preciso educar a los usuarios de
estos procesos informatizados.
 Conocer la situación actual del área informática y las actividades y esfuerzos necesarios
para lograr los objetivos propuestos.
INFORME DE CONSTRUCCION GRUPAL
Qué es una Vulnerabilidad
Se define como una debilidad presente en un sistema informático el cual afecta y/o
compromete la Seguridad de este componente, lo que le permitiría a un atacante explotar y
violar la confidencialidad, integridad, disponibilidad y el control de acceso así como la
consistencia del sistema y de la información contenida y resguardada en el mismo.
[ CITATION Uli17 \l 3082 ]
Amenazas
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra

la seguridad de la información.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e
independientemente de que se comprometa o no la seguridad de un sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas
de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso de la
tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en los últimos
años el aumento de amenazas intencionales. [ CITATION Uni98 \l 3082 ]
Riesgos:
Existen diferentes tipos de riesgo dentro de los cuales existen:

Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de producción como de servicios, en operaciones financieras y de
mercado, por tal razón podemos afirmar que la Auditoría no está exenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el
auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas
no se realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo
modo que los riesgos que se definen para el control Interno.
El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de
cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar
errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a
detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando
aumenta la efectividad de los procedimientos de auditoría aplicados.
Controles informáticos
Se puede definirse como el sistema integrado al proceso administrativo, en la
planeación, dirección y control de las operaciones con el objetivo de asegurar la protección de
todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de
los procesos operativo automatizados y controla diariamente que todas las actividades de los
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas
fijados por la dirección de la organización y/o la dirección informática, así como los
requerimientos legales
MAPA CONCEPTUAL
Controles automáticos
Controles manuales
Tipos de controles
CONTROL INTERNO INFORMÁTICO: puede definir como el sistema

integrado al proceso administrativo, en la planeación, organización, dirección
y control de la operación con el objetivo de asegurar la protección de todos
los recursos informático y mejorar los índice de economía, eficiencia y
efectividad de los proceso operativos automatizados.
VULNERABILIDAD, AMENAZA, RIESGOS Y

CONTROLES INFORMÁTICOS
VULNERABILIDAD
INFORMÁTICA: es el punto o RIESGO INFORMÁTICO:
aspecto del sistema que es Las amenazas pueden corresponde al potencial de
susceptible de ser atacado o clasificarse en 4 tipos: pérdidas que pueden ocurrirle
dañar la seguridad del mismo al sujeto o sistema expuesto,
resultado de la relación de la
AMENAZA INFORMÁTICA: es amenaza y la vulnerabilidad
un posible peligro del sistema.
Tipos de vulnerabilidades Puede ser una persona (cracker), un
programa (virus, caballo de Troya,
etc.), o un suceso natural o de otra Los principales riesgos
índole (fuego, inundación, etc.). informáticos son:
Vulnerabilidad física Representan los posibles atacantes
o factores que aprovechan las
debilidades del sistema. Riesgo de integridad
Vulnerabilidad natural
Vulnerabilidad hardware y Riesgo de relación

software
Intercepción
Vulnerabilidad de los Riesgo de acceso

medios o dispositivos Modificación
CONTROL INTERNO INFORMÁTICO
Una de las formas de definir el concepto de control interno es la siguiente. El control

interno es un proceso que lleva acabo el Consejo de Administración, la dirección y el resto de
los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza
en la consecución de objetivos de fiabilidad de la información financiera, eficacia y eficiencia
de las operaciones y cumplimiento de las leyes y las normas aplicables.
La dirección de la organización tiene la responsabilidad de decidir el alcance adecuado

del sistema de control interno. La naturaleza de los controles depende de la clase de grado de
control, distribución geográfica y estructura de la organización, entre los factores más
importantes. El control interno tiene limitaciones, puesto que no garantiza, por si mismo, una
administración eficiente y tampoco puede evitar el fraude, cuando se da la complicidad entre
los cargos de confianza
AUDITORÍA INFORMÁTICA
La auditoría informática solo identifica el nivel de “exposición” por la falta de

controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda
acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en
seguridad de sistemas van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la productividad de que las amenazas se materialicen en
hechos sea lo más baja posible o al menos quede reducida de una forma razonable en costo-
beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control

informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la

realización del trabajo, están diseñadas para producir una lista de riesgos que pueden
compararse entre sí con facilidad por tener asignados unos valores numérico. Estos valores
son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de
incidencias donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso

de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el check-
list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos
humanos / tiempo que las metodologías cuantitativas.
Objetivos de la auditoría Informática
Protección de activos e integridad de datos.
Gestiona la eficacia y eficiencia.
Funciones un auditor informático Participar en las revisiones durante y después del

diseño, realización, implantación, explotación y cambios importantes de aplicaciones
informáticas. Revisar y juzgar los controles implantados en los sistemas informáticos para
verificar su adecuación a las ordenes e instrucciones de la Dirección, requisitos legales,
protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de
eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
Auditoria Interna.
El objetivo fundamental de la Auditoría Interna es descubrir deficiencias o

irregularidades en alguna de las partes de las empresas examinadas, y apuntar hacia sus
posibles soluciones.
Su finalidad es auxiliar a la dirección para lograr que la administración sea óptima.
Auditoria Externa.
Es el examen crítico, sistemático y detallado de un sistema de información, realizado

por un auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y con el
objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control
interno del mismo y formular sugerencias para su mejoramiento. La Auditoría Externa o
Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los
estados, expedientes y documentos y toda aquella información producida por los sistemas de
la organización.
Control Interno Informático.
Controla diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos legales.
Control Interno Informático.
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC’s,

etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes
actividades operativas.
Objetivos Principales
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías

externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del

servicio informático.
Categorías
Controles preventivos.
Controles detectivos.
Controles correctivos.
Algunos Controles Internos.
Controles generales organizativos.
Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
Controles de explotación de sistemas de información.
Controles en aplicaciones.
TABLA COMPARATIVA
CONTROL INTERNO AUDITORÍA

INFORMÁTICO INFORMÁTICA
 Análisis de los  Análisis de un

controles en el día a momento
día. informático
 Informa la dirección determinado.
de informática.  Informa a la
 Sólo personal dirección general de
DIFERENCIAS interno. la organización.
 El alcance de sus  Personal interno y/o
funciones es externo.
únicamente sobres el  Tiene cobertura
Departamento de sobre todos los
Informática. componentes de los
sistemas de
información de la
organización.
FASE 2
Desarrollo de la Actividad
Como empresa propuesta propongo auditar la empresa SERVAF. A E.S. P es una empresa de la
ciudad de Florencia departamento del Caquetá, quien es la encargada de bridar los servicios a los
usuarios mediante el acueducto de agua a los hogares florencianos y a la recolección de basuras
en la ciudad y en parte apartadas del municipio. Es una de servicios públicos que cuenta con un
recurso humano de personas ubicadas de la siguiente manera:
1 Gerente de Cuenta
1 Ingeniero sistemas
1 Administrador de empresas
2 Técnicos especializados
3 Vendedoras
1 Ejecutiva de negocios
La forma de funcionar la empresa está basada en darle un buen servicio a las personas que se
benefician de este derecho que a todos nos conviene a todos pues la que recurre a las necesidades
de las personas, posterior demostración por parte del ingeniero de sistemas y/o técnicos
especializados mediante llamada o visita presencial, en caso de cerrarse la venta se procede con
la facturación la cual está a cargo del gerente de cuenta.
Así mismo la instalación del producto y posterior soporte se realiza en las instalaciones del
cliente comprador implementada por los técnicos especializados en caso de que el soporte
posterior a la compra se pueda realizar vía telefónica o vía remota a través del software Team
Viewer u otro que realice estas funciones.
La auditoría tiene objetivo verificar la estructura y funcionamiento del sistema de seguridad
informática, además analizar el factor humano que tiene contacto con la red, con el fin de
observar las posibles fallas en su conjunto, verificar el cumplimiento de las normas y optimizar
el funcionamiento de la red por lo cual realizaríamos las siguientes verificaciones:
Del Hardware se evaluará:

 Distribución del hardware (ubicación física)
 Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
 Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.
 Acceso al hardware (llaves de seguridad)
 Bitácoras de uso (quién, cuando, para qué, entre otros puntos)
 Estructura de seguridad (Firewall).
Del Software se evaluará:
 Sistema de impleados.
 Sistema de prevención y control de acceso a personal.
 Sistema AFIS.
 Control de gestión y registro de asistencia.
 Revisado (contenido, cantidad, destino)
 Aprobado por el responsable del área
 El personal este comprometido formalmente a no hacer mal uso del mismo (dañarlo,
modificarlo, distribuirlo)
Del Talento Humano se evaluará:
 Hasta qué punto es aceptable la teoría de fundamenta la política de recursos humanos

en la implementación al análisis de las redes.
 Adecuación en la práctica y los procedimientos a la política y la teoría adoptadas en
la implementación de las medidas de seguridad.
 Conocimiento y capacidad del personal informático.
 Experto en darle solución a problemas tanto en el hardware como en el software.
Recursos
Recursos Humano:
 Visitas
 Cuestionario
 Revisión de documentos del área de informática de la empresa.
 Entrevistas.
 Encuestas.
 Evaluar regularmente la necesidad de desplazamiento de los técnicos a realizar soporte en
sitio.
 Revisión Sistema de administración del software.
FUNCIONARIO ROL
SEBASTIÁN CALDERÓN Jefe de Auditoria
YULIETH SANTOS Auditor
DIEGO FERNANDO MEJIA Auditor
ARISTIDEZ VALDEZ Auditor
JHON JAIRO LOZANO Auditor
Recursos Tecnológicos
 Vigila que a los sistemas de control de información permanezcan actualizados y en
buenas.
 La autorización para la elaboración de listado la realizara el jefe inmediato del área de
desarrollo y mantenimiento de sistemas.
 En caso de no estar presente el subdirector de informática la autorización deberá
realizarla el jefe inmediato del área de desarrollo y mantenimiento de sistemas.
 El servicio de mantenimiento preventivo y/o correctivo deberá ser aprobado por el jefe
inmediato.
 En caso de no estar presente el jefe inmediato del área de telecomunicaciones y soporte
técnico deberá ser autorizado por el subdirector de informática.
RECURSOS ECONOMICOS
Ítem Cantidad subtotal
Computador 3 6.000.000=
Impresora 1 500.000=
Cámara digital 1 500.000=
Grabadora digital 1 200.000=
Papelería 1 100.000=
Total 7.300.000=
ITEM Vulnerabilidades Amenazas Riesgos Controles
El afán por reducir y Corto circuito en la redes Daño físico a Evita movimientos
colocar más en menos eléctricas y el servidor computadoras, bruscos o golpes al
espacio es responsable equipo periférico y equipo de cómputo,
de esta amenaza de medios de ya que pueden
hardware que afecta a comunicación. afectar en sus piezas
las memorias DDR internas, así mismo
RAM y que no es evita el contacto de
posible de solucionar la computadora con
Parte física del salvo cambiando el cualquier tipo de
Hardware módulo de memoria líquido (agua,
afectado. refresco, café,
líquidos corrosivos,
etc.).
Hurto del servidor a Desastres naturales Descubrimiento de
Los elementos a manos de inescrupulosas. todos los elementos
eliminar en el de la red local o
inventario de distribuida sin
computadoras de su afectar al
organización. rendimiento de la
misma.
Las computadoras sin Investigadores de Apagones y bajos Limpieza breve a los
autenticación previa al seguridad crean troyanos voltajes. equipos de cómputo
arranque (PBA) o un de hardware indetectables. y a los servidores.
módulo de plataforma
segura (TPM): Como
otro nivel de
protección, PBA
impide que el sistema
operativo se cargue
hasta que el usuario
introduzca la
información de
autenticación, como
una contraseña.
El uso en general de La causa principal de la Riesgos Evitar la entrada de
discos duros antiguos. pérdida de datos, los fallos relacionados con el cualquier dispositivo
Deb Shinder, una en el disco duro. ambiente de extraño que pueda
consultora de operación infectar el equipo.
tecnología y seguridad,
entrenadora y escritora,
señala que incluso
cuando los viejos
discos duros no son
una amenaza directa a
la seguridad, lo hacen
vulnerable a la pérdida
de datos, ya que son
propensos a fallar.
Viejas PCs, laptops y Los USB y las tarjetas SD Daño en algún Mantenimiento
notebooks. causan el 30 por ciento de cableado de red de preventivo a los
las infecciones de malware. fibra óptica o equipos.
UTAPE
Otra consideración es La vulnerabilidad de UEFI Daño en cable de Mantener el servidor
el uso en general de (Interfaz Extensible de toma corriente del en lugares apropiado
discos duros antiguos. Firmware) permite servidor. fuera de riesgos en
Deb Shinder, una sobrescribir sobre el BIOS los que puede estar
consultora de sin que se pueda hacer sometidos.
tecnología y seguridad, nada al respecto.
entrenadora y escritora,
señala que incluso
cuando los viejos
discos duros no son
una amenaza directa a
la seguridad, lo hacen
vulnerable a la pérdida
de datos, ya que son
propensos a fallar.

Un error del código de Una infección por parte Existencia de Garantizar la

programa puede del malware el cual puede vulnerabilidades estabilidad y,
permitir que un virus dañar toda la información. web: El 47% de las particularmente, ser
de computadora acceda empresas afirman robusto frente a
al dispositivo y se haga que este año han perturbaciones y
con el control. detectado errores en los
vulnerabilidades web modelos.
mediante hacking
éticos que pueden
Parte lógica del permitir accesos
software indebidos a
información sensible
de la compañía.
Las maneras lícitas y La necesidad de Ser tan eficiente
documentadas que La inyección SQL potenciar la como sea posible,
permiten que las injection cuando una formación y según un criterio
aplicaciones accedan al página contiene un fallo concienciación en preestablecido.
sistema. de seguridad en el código materia de seguridad
de la información
que permite que aquellos tanto al personal
con intenciones maliciosas interno como a los
ataquen o consigan el socios de negocio se
control. ha detectado en un
45% de las empresas
encuestadas. El
factor humano es de
vital relevancia para
prevenir los
las contraseñas son ciberataques Normalmente este
débiles. El Cross-Site Scripting avanzados. criterio consiste en
(XSS). es otro de los tipos que la acción de
comunes de amenazas control sobre las
informáticas que puede variables de entrada
sufrir tu web. sea realizable,
evitando
comportamientos
bruscos e irreales.
El Re direccionamiento La Intercepción ocurre Aparición de links Ser fácilmente
de URL a sitios no cuando un hacker captura falsos que pueda implementarle y
confiables. datos que los usuarios secuestrar la cómodo de operar en
envían a una web, y luego información. tiempo real con
los utiliza para su propio ayuda de un
beneficio. ordenador.
1. Tabla de Riesgos
RIESGOS ACCIONES DE CONTINGENCIA

Baja intensidad de Energía Eléctrica, y que
Guardar cada momento la información que
se pierda la información avanzada y todo
se está manejando, teniendo en cuenta
nuestro Sistema, o que tenga algunas fallas
aspectos de seguridad.
al momento de las pruebas.
Sacar una copia de seguridad cada cierto
Pérdida de información la base de Datos. tiempo, conforme q se está avanzando el
proyecto.
Pérdida de Información avanzada por algún Se tratan con cuidado, se realiza el
desperfecto de la computadora, Falla de los mantenimiento de forma regular, está
equipos. previsto el préstamo de otros equipos.
Generales, se hace una copia casi diaria de
Al fuego, que puede destruir los equipos y
los archivos que son vitales para la
archivos.
empresa.
Al robo común, llevándose los equipos y Robo común, se cierran las puertas de
archivos. entrada y ventanas.
A la acción de virus, que dañen los equipos Todo el software que llega se analiza en un
y archivos. sistema utilizando software antivirus.
Tabla de probabilidad
Nombre De
La DETALLE MB B M A MA
Probabilidad
Identificación riesgos potenciales/fuentes de
del riesgo riesgos
priorización de riesgos y
Análisis de
evaluación de acuerdo con sus
riesgo
impacto y probabilidad
planes de contingencia y bloque de
Planificación
riesgos, medidas planes de
de riegos
contingencia para afectar el riesgo.
valoración (alta, media, baja, nula)
Supervision
reportes continuos monitorio para
de riesgo
su procedimiento
MB= MUY BAJA. B=BAJA. M=MEDIA. A=ALTA MA= MEDIO ALTA
Tabla de estimación del impacto

PROBABILIDAD
RIESGO
MB B M A MA
MEDIO ALTO A MA MA MA MA
IMPACT ALTO M A A MA MA
MEDIO B M M A A
O BAJO MB B B M M
MUY BAJO MB MB MB B B
Tabla 1MATRIZ DE RIESGO
CODI
CAU ENTREG ESTIMAC OBJET ESTIMA PROBABI NIVE
GO DESCRIPCIO FASE
SA ABLES ION IVO CION LIDAD L DE
DEL N DEL AFECT
RAI AFECGT PROBABI AFECT IMPACT POR RIES
RIES RIESGO ADA
Z ADOS LIDAD ADO O IMPACTO GO
GO
R1 Instalación Alcance
de Tiempo
programas Costo
sin fines Calidad
académicos. Total de probabilidad
por impacto
R2 Alcance
Equipos con Tiempo

bajo Costo
rendimiento. Calidad
Total de probabilidad
por impacto
R3 Daño en el Alcance
sistema Tiempo
eléctrico de Costo
los equipos Calidad
de cómputo. Total de probabilidad
por impacto
R4 Alcance
Uso Tiempo
excesivo del Costo
servicio
Calidad
internet.
por impacto
R5 No hay una Alcance
hoja de vida Tiempo
de la Costo
existencia
Calidad
de los
equipos. por impacto
R6 Alcance
Sobrecalent Tiempo
amiento de Costo
equipos de
Calidad
cómputo.
por impacto
R7 No existe Alcance
monitoreo Tiempo
continuo de Costo
software
Calidad
instalado en
los equipos por impacto
R8 Alcance
Robo de Tiempo
partes de Costo
los equipos
Calidad
de cómputo.
por impacto
R9 No es Alcance
posible Tiempo
detectar Costo
movimientos
Calidad
fraudulentos
a los por impacto
R10 Alcance
Tiempo
Costo
Calidad
por impacto
Proceso CobIT Descripción prueba Tipo prueba Nombre auditor
Resultado Matriz de riesgos
APPLE COMPUTER
“es una compañía multinacional de gran tamaño y costo, fundada por el recién Fallecido
Steve Jobs en la que se diseñan Software y equipos de alta tecnología que van dirigidos a todo el
mundo y son de increíble aceptación. Apple Computer, como se llamó en sus inicios, se fundó en
el garaje de la casa de los padres adoptivos de Jobs, quien fue en vida el genio creador e inventor
de todo lo que conocemos en la actualidad con patente Apple.
El crecimiento de Apple fue exponencial, pero se vio interrumpido por problemas de
administración en los que sus mismos creadores se tuvieron que desligar de ella en los años 80,
quedando al mando de John Sculley el cual mantuvo la empresa en pie, pero en mal estado hasta
que Steve Jobs decide regresar y destronarlo en los años 90 para hacer de lo que es hoy en día.
Estos son solo los principales equipos y terminales que Apple desarrolla, pero Apple posee
mucho más que esto que mencione, Apple es una de las empresas más grandes del mundo no
solo por poseer el poder de revolucionar la tecnología, sino por la calidad del servicio que
ofrece.”.[ CITATION htt19 \l 9226 ]
Con la información encontrada como pudimos leer que la empresa Apple es una de la compañía
más grande en tamaño y costo por su diseño de software y equipo y la alta tecnología y la
empresa tuvo algunos problemas de administración por sus creadores que tuvo en los años 80
pero a pesar de todo eso siempre tuvo sus principios para el desarrollo de su marca para fuese
una de la más grandes del mundo por la calidad de sus equipos que ofrecen.
OBJETIVOS GENERAL
 Aumentar las ventas de la empresa

 Vender más ordenadores
 Llegar a más tipos de público
 Productos que atraigan a la marca
 Hacer a la empresa más atractiva en bolsa
 Subir la cotización de Apple Inc.
 Aumentar los dividendos por acción ($ 1,63)
 Mantener la posición de Apple
 Alta tecnología, facilidad de uso, diseño de productos
 Vender más contenidos digitales
 Aumentar la cuota del mercado a un 30%
 Eliminar la necesidad de nuevos productos con el fin de aumentar las ventas.[ CITATION
Alv06 \l 9226 ]
OBJETIVOS ESPECIFICOS
Vender 10 millones de iPhone en 2 años (1% de cuota mundial)

Ventas de 1 millón en los 3 primeros días (publicity)
No luchar por cuota de mercado sino por ingresos porcentuales del gasto de voz y datos, con las
operadoras de telefonía móvil
Siempre vinculado a contrato, en un futuro posible prepago
Mejoras de hardware y software en el segundo lanzamiento
Acuerdos estratégicos con Google, YouTube, Microsoft, Yahoo!, Starbucks, América Online,
Bloomberg, Intel.[ CITATION Alv06 \l 9226 ]
PRODUCTOS
APPLE WATCH
Introduce tecnologías revolucionarias y una interfaz de usuario de avanzada con un hermoso
diseño que honra la tradición de la relojería de alta precisión.
IPHONE
El iPhone 6s y el iPhone 6s Plus son los iPhone más avanzados hasta el momento, con 3D Touch,
una potente y nueva dimensión en la revolucionaria interfaz Multi-Touch, que siente la fuerza
que aplicas para permitir nuevas maneras intuitivas de acceder a funcionalidades e interactuar
con el contenido. El iPhone SE, el teléfono con pantalla de 4 pulgadas más potente, adopta un
diseño muy popular que reinventamos por dentro y por fuera para ofrecer un rendimiento
excepcional en un diseño compacto.
IPAD
El iPad siempre ha ofrecido una experiencia simple, pero a la vez muy poderosa e interactiva. Es
una maravillosa pieza de vidrio que brinda nuevas formas de pensar, crear y aprender. Ahora,
gracias a su amplia pantalla Retina y su rendimiento inigualable, el iPad Pro le agrega una nueva
dimensión a todo lo que haces. Como nunca antes, el iPad Pro te permite ser más creativo y más
productivo, a una escala completamente nueva.
MACBOOK
Una pantalla brillante. Un trackpad Multi-Touch. Un procesador rápido. Y una batería que no te
va a defraudar. Todo esto dentro de una durable estructura unibody de policarbonato.
[ CITATION Alv06 \l 9226 ]
N Vulnerabilidad Amenazas Riesgo

°
1 Mala ubicación del Puede contraer virus.
centro de cómputo. Perdida de datos.
2 Software mal Se pueden dañar los Daños del software.
configurado. equipos.
3 Software Se puede acceder sin Distribución de
desactualizado. autorización a los información confidencial.
sistemas de información.
4 Falta de Hardware o Se pueden presentar Incendios en el centro de tu
hardware obsoleto. inundaciones, es decir equipo.
recalentamientos.
5 Ausencia de copias de Se pueden presentar Fuga de información.
seguridad o copias de interrupciones en el
seguridad incompletas. servicio.
6 Ausencia de seguridad Se pueden fallar los Perdida de integración de
en archivos digitales o equipos. los datos.
archivos físicos
confidenciales.
7 Cuentas de usuarios Se pueden presentar Servidor fuera de servicio.
mal configuradas. desastres naturales en tu
equipo.
8 Desconocimiento o Se puede para la Perdidas económicas de la
falta de socialización empresa de los productos empresa
de normas o políticas a de equipo.
los usuarios por los
responsables de
informático.
[ CITATION sim13 \l 9226 ]
ÁREA INFORMÁTICA
El iPhone Pro tiene un revolucionario sistema de tres cámaras, muy fácil de usar, que multiplica
tu capacidad creativa. Y trae un chip sorprendente que potencia el aprendizaje automático y
redefine lo que un Smartphone puede hacer. Además, la duración de la batería mejoró como
nunca. Te presentamos un iPhone tan poderoso que tuvimos que llamarlo Pro.
SERVICIOS
Siempre se enfocan en una persona al crear un software: el usuario. Al trabajar con ellos, verás
por qué todos los productos y servicios de Apple son intuitivos y sencillos, y por qué todo lo que
hace este grupo se basa en el respeto por las necesidades de los clientes.
ACTIVOS Y SISTEMAS INFORMÁTICOS
“ASCII Acrónimo de American Standard Code for Información Interchange. Un conjunto de
caracteres de computadora estándar, que permite a las computadoras manejar caracteres de texto.
Cuando escribe caracteres ASCII en el teclado, la computadora los interpreta como binarios para
que puedan leerse, manipularse, almacenarse y recuperarse. Ver también escanear código ataque
La fase de inicio de un evento sonoro. También parte de un sobre. Ver también sobre. Atenuar El
acto de bajar el nivel de una señal de audio. Ver también refuerzo y corte. Canal de audio Un
canal en el Mezclador, utilizado como objetivo para pistas de audio en el área Pistas. Todos los
datos en la pista de audio se enrutan automáticamente al canal de audio asignado en el área
Pistas. audio file Cualquier grabación digital de sonido, almacenada en su disco duro. Puede
almacenar archivos de audio en los formatos AIFF, WAV, Sound Designer II (SDII) y CAF en
Logic Pro. Todos los archivos WAV grabados y devueltos están en formato Broadcast Wave.
Audio File Editor El área en Logic Prothat permite que los archivos de audio sean editados y
procesados destructivamente de varias maneras. El Editor de archivos de audio permite editar
muestras individuales dentro de un archivo de audio y también proporciona acceso a una serie de
herramientas especiales de procesamiento de muestras. Audio interface El dispositivo utilizado
para que el sonido entre y salga de su computadora. Una interfaz de audio convierte las señales
analógicas (de micrófonos o instrumentos musicales, por ejemplo) en datos de audio digital que
su computadora puede procesar y, en la otra dirección, convierte los datos de audio digital de su
computadora en señales analógicas que los altavoces pueden transmitir. Audio MIDI Setup
(AMS) Una utilidad utilizada para configurar los dispositivos de entrada y salida de audio y
MIDI conectados a su computadora. Logic Pro utiliza la configuración definida en la utilidad
AMS, que se puede encontrar en la carpeta Aplicaciones / Utilidades. Audio región Un
segmento de un archivo de audio que se puede colocar en pistas de audio en el área Pistas. Las
regiones de audio aparecen como rectángulos de colores en el área Pistas y son alias (o punteros)
a partes de archivos de audio. Pueden ser tan cortos como una sola muestra o tan largos como el
archivo de audio subyacente. Logic Pro le permite editar regiones de audio sin alterar el archivo
de audio original. Consulte también región y región MIDI”.[ CITATION Log19 \l 9226 ].
hay muchas más informaciones propuestas.
FASE 3
LISTA DE CHEQUEO NORMA ISO/IEC
ISO 9126
CARACTERISTIC SUB- METRICAS E B R M OBSERVACION
AS CARACTERISTI ES
CAS
Puede el software
Adecuación desarrollar las
tareas requeridas.
El resultado es el
Exactitud
esperado.
Interactúa con
Interoperabilidad
otros sistemas.
Funcionalidad Protege la
información y
datos de los
Seguridad
usuarios. E impide
el acceso para ser
alterado.
Es fácil para el
Entendimiento usuario ser
utilizado
El usuario puede
aprender
Aprendizaje
fácilmente a
Usabilidad
utilizarlo.
El usuario puede
controlar el
Operabilidad
sistema sin mucho
esfuerzo.
Aulas de informática Institución Educativa R/PT

Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones (aulas, cubículos y oficinas) fueron x
diseñadas o adaptadas específicamente para funcionar
como un centro de cómputo?
¿Se tiene una distribución del espacio adecuada, de forma x
tal que facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de x
forma que permita una circulación fluida?
¿Existen lugares de acceso restringido? x
¿Se cuenta con sistemas de seguridad para impedir el paso
a lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son x
detectores de humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de
emergencia y se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el x
centro de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de x
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se x
sustraiga equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de x
trabajo?
¿Son funcionales los muebles instalados dentro del centro
de cómputo: cintoteca, Discoteca, archiveros, mesas de
trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y xx
bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones? x
¿Con cuanta frecuencia se limpian los ductos de aire y la x
cámara de aire que existe debajo del piso falso (si existe)?
Documentos probatorios presentados:
Lista de chequeo Aulas de informática Institución Educativa R/PT

Cuestionario de Control LC1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con un inventario de todos los equipos que integran el x
centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario? x
¿Se posee de bitácoras de fallas detectadas en los equipos? x
Características de la bitácora (señale las opciones).
¿La bitácora es llenada por personal especializado? X
¿Señala fecha de detección de la falla? X
¿Señala fecha de corrección de la falla y revisión de que el X
equipo funcione correctamente?
¿Se poseen registros individuales de los equipos? X
¿La bitácora hace referencia a hojas de servicio, en donde
se detalla la falla, y las causas que la originaron, así como las x
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que a la X
finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos? X
¿Con cuanta frecuencia se realiza mantenimiento a los equipos? X
¿Se cuenta con procedimientos definidos para la adquisición de X
nuevos equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento X
de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados: X
LISTA DE CHEQUEO 2
Lista de chequeo Aulas de informática Institución Educativa R/PT

Cuestionario de Control LC2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
¿Se lleva un control de los equipos en garantía, para que a la x
finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos? x
¿Con cuanta frecuencia se realiza mantenimiento a los equipos? x
¿Se cuenta con procedimientos definidos para la adquisición de x
nuevos equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento x
de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados: X
DESARROLLO DE LA ACTIVIDAD (EVALUACION DE LOS SOFTWARE DE

INFORMATICA)
RIESGOS A LA EMPRESA DE SERVAF S.A E.S.P

ÍTE RIESGO DOMINI PROCESO OBJETIVO CAUSAS
M O S S DE
CONTROL
DETALLAD
OS
1 Error Monitoreo Monitorear y Monitorear Los errores humanos se
humano y evaluar el de manera pueden producir por una
Evaluación control interna y de distracción del funcionario,
interno forma una mala preparación del
continua, mismo o un descuido.
estos se hacen
a profundidad
para evitar los
riesgos.
2 Robo de Adquirir e Adquirir Garantizar la Fallas internas en la parte
archivos o implement recursos de adquisición de seguridad y vigilancia
equipos ar TI de hardware, de la empresa o posible
software, robo por parte del personal
infraestructur de la empresa
ae
instalaciones
que
satisfagan las
necesidades
de la empresa
3 Fallas en Adquirir e Instalar y Realizar un Las fallas muchas veces se
los implement acreditar plan de producen por un error del
sistemas ar soluciones y pruebas para mismo sistema o en
cambios la corrección algunos casos por el
de errores, manejo que se le da a éstos
con base en la
evaluación de
riesgos de
fallas en el
sistema
4 Virus Entregar y Administrar Priorizacione Bases de datos
informátic dar soporte los s de desactualizadas equipos sin
o problemas emergencia, protección, antivirus
esto se realiza desactualizados
lo más pronto
posible para
no perder
información
5 Desastre Entregar y Administrar Proporcionar Fenómenos de la naturaleza
natural dar soporte el ambiente un ambiente
físico físico que
proteja al
equipo y al
personal de
desastres
naturales
6 Incendio Entregar y Garantizar la Garantizar Descuido del personal

por corto dar soporte seguridad de que las encargado de la seguridad y
los sistemas características el manejo de las
de los instalaciones
posibles
incidentes de
seguridad
sean
definidas y
comunicadas
de forma
clara, de
manera que
los problemas
de seguridad
sean
atendidos de
forma
apropiada por
medio del
proceso de
administració
n de
problemas o
incidentes
7 Accesos Entregar y Administrar Monitorear Información que llega a

no dar servicios de los servicios manos de personas
autorizado soporte terceros del proveedor inescrupulosas que
s apara fácilmente pueden afectar
asegurarse la estabilidad de la empresa
que éste está
cumpliendo a
cabalidad con
los
requerimiento
s
8 Poco Planear y Administrar Reclutamient En muchas ocasiones el
personal organizar recursos o y retención personal que se tiene no se
para humanos de del personal, ajusta a las nuevas
manejar TI asegurarse de necesidades de la empresa
los contratar entonces se necesitan
sistemas personas que capacitar el personal
se ciña a las existente o conseguir
políticas de la nuevo personal
empresa y
que garantice
un buen
desempeño
9 Fallas del Adquirir e Adquirir y Desarrollar Las causas de este pueden
hardware implement mantener la una estrategia ser descaste de los equipos,
ar infraestructu y un plan de falta de control más
ra mantenimient continuo requerimientos de
tecnológica o de la actualizaciones.
infraestructur
a y garantizar
que se
controlan los
cambios, de
acuerdo con
el
procedimient
o de
administració
n de cambios
de la
organización.
Incluir una
revisión
periódica
contra las
necesidades
del negocio,
administració
n de parches
y estrategias
de
actualización,
riesgos,
evaluación de
vulnerabilida
des y
requerimiento
s de
seguridad.
10 Filtración Monitorear Monitorear y Registrar la La causa de esto es un
de la y evaluar evaluar el información agente interno que pasa
informació control referente a información a personas
n interno todas las inescrupulosas, o software
excepciones malicioso que se instalan
de control y en el equipo y roban
garantizar información importante
que esto para la empresa.
conduzca al
análisis de las
causas
subyacentes y
a la toma de
acciones
correctivas.
La gerencia
debería
decidir cuáles
excepciones
se deberían
comunicar al
individuo
responsable
de la función
y cuáles
excepciones
deberían ser
escaladas. La
gerencia
también es
responsable
de informar a
las partes
afectadas.
LISTA DE RIESGOS ENCONTRADOS.
Dominio: planear y organizar - Proceso: definir un plan estratégico de ti.

a) Baja inversión en infraestructura TI
b) No alinear las estrategias de TI con las de la entidad
c) No existe un protocolo para evaluar el desempeño de los sistemas de información
d) No existen planes estratégicos de TI
e) No existen planes tácticos de TI
f) Los programas implementados casi siempre son reactivos en lugar de preventivos, sin
planeación u objetivos claros.
g) No se cumple los protocolos de seguridad en materia de TI
h) Se existen manuales de procedimientos para evaluar el desempeño de las redes de datos.
i) Falta de capacidad de ancho de banda de internet para soportar efectivamente los aplicativos en
línea.
j) Falta de capacitación específica para la ejecución de actividades inherentes.
Dominio: planear y organizar - Proceso: Definir la arquitectura de la información.

a) Debido al largo tiempo de funcionamiento, se tiene información almacenada en diferentes
formatos y mediante variados métodos que hace muy difícil garantizar su optimización
b) No existe un diccionario de datos implementado
c) El esquema de clasificación de datos no se encuentra completamente implementado
d) No se puede garantizar la integridad de los datos
Dominio: Adquirir e Implementar - Proceso: Adquirir y Mantener Arquitectura de TI.

a) Obsolescencia en la infraestructura física de las TI
b) Ausencia de servidor como repositorio de archivos.
Dominio: Adquirir e Implementar - Proceso: Instalar y Acreditar Sistemas.

a) No se cuenta con los ambientes adecuados para los equipos de las salas de audiencia y
videoconferencia aumentando el daño por deterioro o mal uso.
Dominio: Entregar y Dar Soporte - Proceso: Administrar Desempeño y Calidad.

a) Poca agilidad en la ejecución de los trámites de las garantías de los equipos de cómputo ante los
contratistas.
Dominio: Entregar y Dar Soporte - Proceso: utilizar los sistemas de TI de manera productiva y

segura.
a) Ausencia de equipos de contingencia.
Dominio: Monitorear y Evaluar - Proceso: Evaluar lo adecuado del control Interno.
b) Obsolescencia en el regulador de 50 KVA de la acometida eléctrica regulada.
VALORACIÓN DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de la Contraloría
General de la Republica – Gerencia Departamental Colegiada Valle del Cauca, para ello se
realiza la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificación.
Tabla 1. Valoración de riesgos
Riesgos / Valoración Probabilidad Impacto

A M B L M C
Definir un Plan Estratégico De TI
R1 Baja inversión en infraestructura TI X X
R2 No alinear las estrategias de TI con las de la entidad X X
R3 No existe un protocolo para evaluar el desempeño de X X
los sistemas de información
R4 No existen planes estratégicos de TI X X
R5 No existen planes tácticos de TI X X
R6 Los programas implementados casi siempre son X X
reactivos en lugar de preventivos, sin planeación u
objetivos claros.
R7 No se cumple los protocolos de seguridad en materia X X
de TI
R8 Se existen manuales de procedimientos para evaluar X X
el desempeño de las redes de datos.
R9 Falta de capacidad de ancho de banda de internet para X X
soportar efectivamente los aplicativos en línea.
R10 Falta de capacitación específica para la ejecución de X X
actividades inherentes.
Definir la arquitectura de la información.

R11 Debido al largo tiempo de funcionamiento, se tiene X X
información almacenada en diferentes formatos y
mediante variados métodos que hace muy difícil
garantizar su optimización
R12 No existe un diccionario de datos implementado X X
R13 El esquema de clasificación de datos no se encuentra X X
completamente implementado
R14 No se puede garantizar la integridad de los datos X X
Adquirir y Mantener Arquitectura de TI.

R15 Obsolescencia en la infraestructura física de las TI X X
R16 Ausencia de servidor como repositorio de archivos. X X
Instalar y Acreditar Sistemas.

R17 No se cuenta con los ambientes adecuados para los X X
equipos de las salas de audiencia y videoconferencia
aumentando el daño por deterioro o mal uso.
Administrar Desempeño y Callide.
R18 Poca agilidad en la ejecución de los trámites de las X X
garantías de los equipos de cómputo ante los
contratistas.
Utilizar los sistemas de TI de manera productiva y segura.
R19 Ausencia de equipos de contingencia. X X
Evaluar lo adecuado del control Interno.
R20 Obsolescencia en el regulador de 50 KVA de la X X

acometida eléctrica regulada
Probabilidad Impacto
Alta: A Catastrófico: C
Media: M Moderado: M
Baja: B Leve: L
MATRIZ DE RIESGOS
De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza a la
Contraloría General de la Republica, se puede clasificar los riesgos como se muestra en la tabla
2.
LEVE MODERADO CATASTRÓFICO

ALTO R10,
MEDIO R2, R3, R6, R7, R8 R1
BAJO R9 R4, R5
Definir la arquitectura de la información.

ALTO R17
MEDIO R13 R14
BAJO R12 R11
Adquirir y Mantener Arquitectura de TI.

ALTO R15
MEDIO R16
BAJO
Instalar y Acreditar Sistemas.
CATASTRÓFI
LEVE MODERADO CO
ALTO R17
MEDI
O
BAJO
Administrar Desempeño y Calidad.
CATASTRÓFI
LEVE MODERADO CO
ALTO
MEDI
O R18
BAJO
Utilizar los sistemas de TI de manera productiva y segura.
CATASTRÓFI
LEVE MODERADO CO
ALTO
MEDI
O R19
BAJO
Evaluar lo adecuado del control Interno.
CATASTRÓFI
LEVE MODERADO CO
ALTO R20
MEDI
O
BAJO
Matriz de Riesgos de todos los procesos.

ALTO R10, R17, R15, R20
R2, R3, R6, R7, R8, R13, R16,
MEDIO R18, R19 R1, R14,
BAJO R9, R12, R4, R5, R11,
GUÍA DE HALLAZGOS H1.
SERVAF REF
SERVAF
INFORME HALLAZGOS EN AUDITORIA FH-14
Administración e integridad de los PÁGINA

PROCESO AUDITADO
sistemas. 1 DE 1
RESPONSABLE Sebastián Calderón Hoyos
MATERIAL DE
COBIT
SOPORTE
Entregar y Dar DS5 Garantizar la Seguridad de los
DOMINIO PROCESO
Soporte. Sistemas.
DESCRIPCIÓN:
Aquí se copia la descripción de cada uno de los riesgos que ya han sido confirmados
mediante pruebas y que están en el cuadro de tratamiento de los riesgos.
REF_PT:
Lista de chequeo F-CHK 03.
CONSECUENCIAS:
Es el impacto que pueden causar esos hallazgos de llegar a concretarse los riesgos, aquí se
mencionan que activos informáticos se verán afectados con la ocurrencia del riesgo.
RIESGO:
En este espacio se especifica el nivel de riesgo en que se encuentra el proceso evaluado,
esta información está en el cuestionario al aplicar la formula. Los valores pueden ser
Bajo/medio/alto
RECOMENDACIONES:
Auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las
diferentes funciones, cuando sea apropiado.
SERVAF REF
SERVAF
PROCESO Administración e integridad de los PÁGINA

AUDITADO sistemas. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DOMINI Entregar y Dar DS5 Garantizar la Seguridad de los
PROCESO
O Soporte. Sistemas.
DESCRIPCIÓN:
La pérdida de datos es inminentes por daños relacionados con los sistemas operativos, mal
uso de los archivos.
REF_PT:
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la
red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un desempeño
no aceptado de la red de datos.
RIESGO:
Extracción, modificación y destrucción de la información confidencial y el uso inadecuado
de las instalaciones.
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
SERVAF REF
SERVAF

MATERIAL DE
COBIT
SOPORTE
PROCESO
DESCRIPCIÓN:
No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su
aspecto físico.
REF_PT:
CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin
inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO:
Controles no cuantitativos en los contenidos de los archivos.
RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar
un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar
quien accede a este.
SERVAF REF
SERVAF

MATERIAL DE
COBIT
SOPORTE
PROCESO
DESCRIPCIÓN:
Los errores son indeterminados y que afectan a cualquier empresa por el deterioro de código
fuente y desencadena un resultado indeseado.
REF_PT:
Tabla de vulnerabilidades, amenazas y riesgos.
CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda
instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO:
Al no tener protección en el servidor, el servidor SQL2 puede recurrir en una amenaza de
ataque ya sea de virus o secuestro de la información.
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la
red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
SERVAF REF
SERVAF

MATERIAL DE
COBIT
SOPORTE
PROCESO
DESCRIPCIÓN:
Por inestabilidad de los circuito eléctricos internos de la instituciones o incrementos o
decrementos, intermitencias de la energía puede ocasionar daños graves en equipos.
REF_PT:
CONSECUENCIAS:
programas destinados a perjudicar o hacer uso ilícito de los recursos del sistema. Es
instalado 8por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien
modificando datos. estos programas pueden ser un virus informático, un gusano informático,
un troyano, una bomba lógica o un programa espía o Spyware.
RIESGO:
Un corto circuito en el hardware puede incurrir en un daños al servidor y puede hacer que los
archivos se pierdan.
RECOMENDACIONES:
Confirmar que la evidencia de la auditoría es suficiente y apropiada para apoyar los
hallazgos y conclusiones de la auditoría, mediante la evaluación de los factores que pueden
afectar a la fiabilidad de los hallazgos y conclusiones de la auditoría.
DICTAMEN DE LA AUDITORÍA
De acuerdo con las instrucciones proporcionadas en la materia de Auditoria de Sistemas, se permite remitir el
dictamen de la auditoría practicada al Aula de Medios, con especial énfasis en las evaluaciones de Infraestructura,
de entorno, mobiliario y equipo, hardware, software y seguridad física.
Para el dictamen de la auditoría en cada uno de los procesos, hay que tener en cuenta los
resultados de las listas de chequeo aplicadas en el proceso donde se verifica el cumplimiento
de controles y los hallazgos encontrados donde se refleja el grado de exposición a los riesgos.
Una vez se tiene estos datos hay que ir a la norma CobIT 4.1 donde se define la escala de
medición y a cada uno de los procesos evaluados donde al final de cada proceso luego de los
objetivos de control se explica el valor a calificar de acuerdo a los resultados anteriores
A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de

mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:1
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.
a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal,

los recursos de hardware y software, los documentos soporte, el centro de cómputo con el
fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.
b. Dictamen:
Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos, organización y

relaciones del área evaluada están contenidos en un manual de procesos y los recursos de
hardware y software son adecuados. Sin embargo, este manual no se ha actualizado con
respecto a la evolución que ha tenido el Sistema, lo que hace que no sea posible medirlo y
redefinirlo. En procesos clave de administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen del sistema.
c. Hallazgos que soportan el Dictamen:
 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes
de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar
personal clave en las operaciones y administración del sistema.
 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

información, operación directa sobre tablas de la base de datos. Igualmente, realiza
1
labores de auditoría y también administra el sistema operativo, la aplicación y la base de
datos. Se considera un nivel de acceso amplio que dificulta establecer controles por parte
de la empresa.
 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el

control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.
d. Recomendaciones:
 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

procedimientos del Área Comercial.
 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.
 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y

procedimientos de la administración de riesgos, la seguridad de la información, la
propiedad de datos y del sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones masivas sobre las tablas de
la base de datos, administración de la base de datos, auditoria.
 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de

registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el
mismo realizar auditorías y ejerciendo controles adecuados sobre la seguridad del
servidor e producción y sobre la base de datos.
PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el
aplicativo, personal, recursos, procesos, soportes
b. Dictamen:
Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y

evaluación al Sistema, pero no son permanentes, ni se ha documentado suficientemente.
Además, falta capacitación del personal encargado. La detección de riesgos y el
establecimiento de controles se hacen, en gran parte, por iniciativa propia de los
empleados, y no en un procedimiento regular de auditoría.
c. Hallazgos que soportan el Dictamen:
 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de

riesgos sobre el sistema, no se ha destinado personal para establecer un plan de controles
sobre el mismo, lo que impide prevenir posibles fraudes, inconsistencias o pérdidas de
información y económicas. Los riesgos tampoco se han clasificado por niveles de
criticidad, no se han establecido riesgos residuales.
 No se encontró una política claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el sistema, tales como: infección por
virus, plan para enfrentar contingencias en el sistema, plan para detectar y corregir
debilidades o huecos en las operaciones, y errores de digitación de datos por parte de los
usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y
adopción de las políticas de seguridad en el procesamiento de datos, revisión
metodológica del sistema para proponer mejoras al diseño inadecuado o cuestionable de
algunos módulos, corrección de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinación de especificaciones técnicas inapropiadas,
detección de deficiencias en el entrenamiento de los funcionarios que ejecutan los
procesos, determinación de estándares de control de calidad de la información de la base
de datos, análisis de cumplimiento de la validación de las reglas del negocio en el
sistema, Cumplimiento normativo y de las políticas internas en el proceso del área
comercial a cargo del sistema.
d. Recomendaciones:
 Implementar el software de administración de riesgos y establecimiento de controles

al sistema en general, como parte de la Función del SGSI.
 Capacitar al personal encargado de auditar el sistema, sobre la identificación de

riesgos, medición e implementación de controles, enfocada en la seguridad de acceso
e integridad de la base de datos.
 Implementar un estándar como metodología para el análisis y la evaluación de riesgos

informáticos, que permita que este proceso se lleve a cabo de manera adecuada se
debe tener en cuenta que los estándares son apropiados a ciertos tipos de evaluación,
algunos de ellos son: MAGERIT, ISO 27005, OCTAVE que nos brindan los
estándares y las escalas de evaluación.
 Retomar las recomendaciones que han realizado en las auditorias anteriores para
realizar el análisis, evaluación y gestión de los riesgos encontrados; establecer un
sistema de control adecuado al sistema de información y trabajar en la documentación
del proceso.
Tipo de Soluciones o Controles
Riesgos o hallazgos encontrados
Control
El personal no cuenta con Realizar capacitaciones con el
programas de capacitación y fin de concientizar a los
Detectivo
formación en seguridad informática colaboradores sobre la
y de la información. seguridad informática.
Solicitar al área de TI, la
implementación de más filtros
Eliminar información importante y de seguridad para que los
Detectivo
perdida de la confidencialidad. usuarios no eliminen registros,
ni los ingresen de manera
errónea.
Adicionar protocolos de
seguridad y restricciones en la
Acceso a la red de la organización. Preventivo red, verificar que las
contraseñas y usuarios no sean
obvios.
Perdida de confidencialidad e
Preventivo Revisar URL Embebidos.
integralidad de la información.
Facilidad en hurto de información Establecer políticas de
Preventivo
confidencial. seguridad.
Implementar el sistema de
semáforo para categorizar las
Las PQRS no se han gestionadas
Preventivo PQRS y de esa manera
debidamente.
determinar la prioridad de
atención.
Realización de actividades no Implementación de
conformes con lo indicado por la Correctiva herramientas de monitoreo de
empresa. red.
1. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.
En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se proteja tanto
al personal como a los equipos de peligros naturales o siniestros también se tratara de analizar si
los puestos de trabajo cumplen con las normas de seguridad obligatorias y si en los
colaboradores existe una cultura de que promueva e incentive la seguridad propia y de la
empresa.
1.1. ANALISIS Y EVALUACION DE RIESGOS

Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y
evaluación de riesgos del proceso en cuestión
1.1.1. ANALISIS Y EVALUACIÓN DE RIESGO
RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDA
D Insignificant Moderado Catastrófico
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1) R8
Improbable (2) R3
Posible (3) R6 R7 R2 R12 R5 R1
Probable (4) R4 R10
Casi Seguro (5) R11 R9

1.1.2. TRATAMIENTO DE RIESGOS
N° Descripción Tratamiento Riesgo
R1 Material propenso a incendios Controlarlo
R2 Acceso no autorizado a las diferentes áreas Controlarlo

R3 Personas poco cuidadosas Aceptar
Se encuentran muchos puntos ciegos donde podrían
R4 transferirlo
acceder intrusos a la empresa
R5 Robo del servidor o manipulación del mismo Controlarlo
No hay circulación adecuada de aire, además se
R6 transferirlo
presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe Controlarlo
Desorientación ante daños de la infraestructura en
R8 Controlarlo
suceso ambiental

R9 falta de controles en la seguridad de la empresa Controlarlo
carencia plan de acción para el mantenimiento de la
R10 Controlarlo
infraestructura física
Carencia promoción e incentivos para la seguridad en la
R11 Controlarlo
institución
No hay como detectar de forma temprana humo,
R12 incendio, inundaciones mediante equipos tecnológicos transferirlo
para la prevención y evacuación.
ASPECTOS GENERALES
Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo,
cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso
asignado.
FORMATO DE FUENTES DE CONOCIMIENTO
RE
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE F
AUDITORIA
1
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
PO1 DEFINIR UN PLAN ESTRATEGICO TI
AUDITADO
RESPONSABLE ARISTIDES VALDES LOPEZ
MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO P01 Definir un plan Estratégico de TI
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Debemos tener las hojas
Se debe definir e
de vidad de cada uno de
Empresa INFO- implementar aquellos
los software instalados
SALUD, no tiene procedimientos que
en los equipos donde se
diseñado un plan permitan garantizar la
pueda determinar cosas
estrategico de TI para integridad y consistencia
como: actualizaciones,
gestionar los recursos de ls softwares, datos,
vencimientos, licencias,
programas e informacion.
requerimientos.
AUDITOR RESPONSABLE:
RE
AUDITORIA
2
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO PLANEAR Y ORGANIZAR
PROCESO PO2 Definición de la Arquitectura de Información
No se tiene
establecido el buen La posibilidad de tener un Crear un sistema que
manejo de la para analizar el la permita conservar y
información que funcionalidad de los minimizar los riesgos de
garantice los sistemas sistemas software de la los software de la
software de la compañía compañia
compañía.
RE
AUDITORIA
2
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ADQUIRIR O IMPLEMENTAR
PROCESO PO2 Definición de la Arquitectura de Información
No se tiene La posibilidad de tener un Crear un sistema que
establecido el buen
manejo de la para analizar el la permita conservar y
información que funcionalidad de los minimizar los riesgos de
garantice los sistemas sistemas software de la los software de la
software de la compañía compañia
compañía.
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS5 Garantizar la seguridad de los sistemas
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS7 Educar y Entrenar a los Usuarios
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE RE

AUDITORIA F
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS9 Administración de la Configuración
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS12 Administración del Ambiente Físico:
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
PROCESO DS13 Administración de Operaciones:
RE
AUDITORIA
3
ENTIDAD PAGINA
INFO- SALUD
AUDITADA 1 DE 1
PROCESO
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO Dominio Monitorear Y Evaluar (ME).
PROCESO ME2 Monitorear y Evaluar el Control Interno:
FORMATO DE ENTREVISTA Y CUESTIONARIO DE LA ENTREVISTA

EMPRESA
ENTREVISTADO FECHA
CARGO REVISADO
POR
AREA: SISTEMAS
CUESTIONARIO SI N N/ RESPUESTA
O A
¿Se cuenta con un manual del
usuario para software
informáticos?
¿La empresa cuenta con políticas
para la protección de los sistemas
informáticos?
¿los software se encuentra
licenciados?
¿Existe un organigrama área de
Informática?
¿Se realizan backup respaldos de la
información?
¿Se ejerce control correctivo a los
software, hardware,redes de la
entidad?
¿los usuarios principales poseen
control de acceso y claves de
seguridad?
¿La entidad posee manual de
control preventivo y
mantenimiento a la
infraestructura?
¿Los software son actualizados en
atención a los avances
tecnológicos?
¿El área de informática cuenta con
personal tecnico exclusivo para el
mantenimiento preventivo de los
equipos o cuando existen sucesos e
inconvenientes?
CUADRO DE RIESGOS
ITEM DESCRIPCION DEL RIESGO

RIESGO
1. Sabotaje, Robos o actos vandálicos.
2. Entorpecer la configuración de los mismos ocasionando
problemas en la red.
3. Cortos circuitos por descargar eléctricas o desgaste de
(cableado).
4. Daños o desgaste.
5. Imposibilitando la comunicación entre las diferentes áreas.
6. Caída e interrupción en el sistema de red.
7. Perdida de datos.
8. Filtración y manejo inadecuado de información confidencial.
9. Daño en el sistema o en la Red.
10. Errores de Software.
11. Mala adaptación al mismo, dificultando los procesos.
12. Pérdida total o parcial de la información.
13. En caso de ataque la información importante estará a
disponibilidad de directa.
14. Suministra información organizacional de la red específica a
personas no autorizadas.
15. Trafico no autorizado de un cliente a otro.
16. Disminución en la Productividad de la empresa.
17. Errores en la red y manipulación inadecuada de información.
18. Ataques internos a la seguridad de la información.
19. Daño en Equipos, Router, Switch, entre otros.
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS
Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-
100%
PROBABILIDAD
Medio Zona de riesgo Zona de riesgo Zona de riesgo

31-60% Tolerable Moderado Importante
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable
Leve Moderado Catastrófico
IMPACTO
Matriz de riesgos para hardware
R4, R7 R1
Alto
61-100%
PROBABILIDAD
Medio R2, R5 R6
31-60%
Bajo R3, R8 R9
0-30%
Leve Moderad Catastrófico
o
IMPACTO
Resultado Matriz de riesgos
.Proceso CobIT Descripción prueba Tipo prueba Nombre auditor
DS5 Garantizar Analizar la sistema ARISTIDES VALDES

la seguridad de posibilidad de LOPEZ
los sistemas: sabotaje, robos, o
actos vandálicos
Evaluar y Revisar la sistema ARISTIDES VALDES

administrar los conexiones de red LOPEZ
riesgos de TI para detectr los
problema de tráfico
Evaluar y Revisión de las sistema ARISTIDES VALDES
administrar los redes electricas, LOPEZ
riesgos de TI
Administración Verificar el estado de sistema ARISTIDES VALDES

de Operaciones los equipos y sus LOPEZ
componentes
Administración Revisar las ip y sistema ARISTIDES VALDES

de Operaciones configuraciones de LOPEZ
red
DS5 Garantizar Comprobar la sistema ARISTIDES VALDES

la seguridad de posibilidad de LOPEZ
los sistemas: perdida de datos
DS5 Garantizar Detectar la sistema ARISTIDES VALDES

la seguridad de información LOPEZ
los sistemas: confidencial de la
normal y abierta
DS5 Garantizar Configurar el acceso sistema ARISTIDES VALDES

la seguridad de a la información LOPEZ
los sistemas: confindencial
DS5 Garantizar Configurar el acceso sistema ARISTIDES VALDES

la seguridad de a los equipos con LOPEZ
los sistemas: usuario y contraseña
Estimular el talento sistema ARISTIDES VALDES

humano par LOPEZ
incrementar la
productividad
ANÁLISIS Y EVALUACIÓN DE RIESGOS
En este cuadro se deben colocar todos los riesgos, tanto iniciales como los nuevos riesgos
detectados.
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Sabotaje, Robos o actos x X

vandálicos.
R2 Entorpecer la x X
configuración de los
mismos ocasionando
problemas en la red.
R3 Cortos circuitos por x X
descargar eléctricas o
desgaste de (cableado).
R4 Daños o desgaste. x X
R5 Imposibilitando la X X
comunicación entre las
diferentes áreas.
R6 Caída e interrupción en x X
el sistema de red.
R7 Perdida de datos. x X
R8 Filtración y manejo x X
inadecuado de
información confidencial.
R9 Daño en el sistema o en x X
la Red.
R10 Errores de Software. x x
R11 Mala adaptación al x

mismo, dificultando los
procesos.
R12 Pérdida total o parcial de x x
la información.
R13 En caso de ataque la x x
información importante
estará a disponibilidad
de directa.
R14 Suministra información x x
organizacional de la red
específica a personas no
autorizadas.
R15 Trafico no autorizado de x x
un cliente a otro.
R16 Disminución en la x x
Productividad de la
empresa.
R17 Errores en la red y x x
manipulación
inadecuada de
información.
R18 Ataques internos a la x x
seguridad de la
información.
R19 Daño en Equipos, x x
Router, Switch, entre
otros.
VULNERA
ITEM BILIDADE AMENAZAS RIESGOS
S
 Acceso no autorizado y
manipulación de Sabotaje, Robos o actos
recursos. vandálicos
 Mala Ubicación de los Entorpecer la configuración

centros de Cómputo o de los mismos ocasionando
estación de trabajo. problemas en la red.
Parte
Física Cortos circuitos por descargar
Hardware:  Problemas Eléctricos. eléctricas o desgaste de
(Computa (cableado)
1
dores,
 Cableado expuesto. Daños o desgaste.
Servidores
y estación  Afectación por parte del
de sistema y conexión con Imposibilitando la
Trabajo). proveedores de comunicación entre las
servicio de diferentes áreas.
telecomunicaciones.
 Falta de UPS en
ausencia de corriente
eléctrica que alimente Caída e interrupción en el
los componentes de la sistema de red.
red.
 Desactualización y
manejo erróneo de
Perdida de datos
aplicaciones y
programas.
 Ataque electrónico Filtración y manejo

remoto. inadecuado de información
confidencial
 Propagación de Daño en el sistema o en la
software malicioso. Red.
Parte  Falencias en el proceso
Lógica de implementación de Errores de Software.
(Software, sistemas o aplicativos a Mala adaptación al mismo,
datos, la red. dificultando los procesos.
2
programas
e  Falencias en el Pérdida total o parcial de la
informació Proceso de Backups. información.
n)
En caso de ataque la
 Datos sin cifrado. información importante estará
a disponibilidad de directa.
Suministra información
 Propagación de organizacional de la red
paquetes TTL. específica a personas no
autorizadas.
 Comunicación no Trafico no autorizado de un
autorizada entre VRF. cliente a otro.
 Negligencia del
personal encargado del Disminución en la
área de sistemas. Productividad de la empresa.
 Uso no autorizado de Errores en la red y

sistemas informáticos manipulación inadecuada de
Elemento información.
3
Humano
 Personal no Ataques internos a la
comprometido seguridad de la información.
 Personal no capacitado Daño en Equipos, Router,

para mantenimiento. Switch, entre otros.
ROLES DEL EQUIPO AUDITOR
Nombre Proceso Objetivos de control proceso elegido
Auditor auditado CobIT
YULIETH PO9 Evaluar y PO9.1 establecer un marco de referencia de
SANTOS administrar los evaluación sistemática de riesgos.
riesgos de TI: PO9.2 Establecer una metodología para la
evaluación de riesgos, que garanticen
resultados apropiados,
PO9.3 Identificar riesgos (una amenaza
importante y realista que explota una
vulnerabilidad aplicable y significativa)
PO9.4 Medir los riesgos, a través de
la evaluación recurrente de la probabilidad e
impacto de los riesgos
SEBASTIAN DS5 Garantizar DS5.3 Asegurar que todos los usuarios
CALDERON la seguridad de (internos, externos y temporales) y su
los sistemas: actividad en sistemas de TI (Entorno de TI,
operación de sistemas,
DS5.4 Administración de Cuentas del
Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión,
modificación y cierre de cuentas de usuario
y de los privilegios.
DS5.5 Pruebas, Vigilancia y
Monitoreo de la Seguridad: Garantizar que
la implementación de la seguridad en TI sea
probada y monitoreada de forma pro-activa.
DS5.9 Prevención, Detección y Corrección
de Software Malicioso Garantizar
procedimientos para el manejo y corrección
de problemas.
DS5.10 Seguridad de la Red: En la
Universidad al existir conexión a la red de
internet se debe implementar el uso de
técnicas de seguridad y procedimientos de
administración
ARISTIDES DS12 DS12  DS12.1 Selección y Diseño del
VALDEZ Administración Centro de Datos: Registro y control
del Ambiente académico y el Centro de Informática
Físico
debe definir y seleccionar los centros
de datos físicos para el equipo de TI.
 DS12.2 Medidas de Seguridad Física:
Evaluar las medidas de seguridad
físicas alineadas con los
requerimientos.
 DS12.5 Administración de
Instalaciones Físicas: Se debe
administrar las instalaciones,
incluyendo el equipo de
comunicaciones y de suministro de
energía, de acuerdo con las leyes.
DIEGO DS13 DS13.5 Mantenimiento Preventivo del

FERNANDO Administración Hardware: Evaluar los procedimientos para
MEJIA de garantizar el mantenimiento oportuno de la
Operaciones infraestructura para reducir la frecuencia y el
impacto de las fallas o de la disminución del
desempeño.
JHON JAIRO ME2 ME2 ME2.3 Excepciones de Control: Identificar

LOZANO Monitorear y los incidentes, analizar e identificar sus
Evaluar el causas raíz subyacentes para establecer
Control acciones correctivas necesarias y verificar si
Interno: los resultados de los controles, son
reportados y analizados rápidamente
FASE 4
INFO- SALUD REF
INFO- SALUD
PÁGINA
PROCESO AUDITADO Administración e integridad de los sistemas.
1 DE 1
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte. PROCESO DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN:
Los colaboradores acceden a múltiples sitios web, debido a que no existen

controles para la información que se envía y se recibe desde Internet.
REF_PT:
CONSECUENCIAS:
 Al no existir controles, se puede adquirir virus que afectan el hardware y la

información de la compañía, ocasionando pérdidas económicas.
RIESGO:
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático,

Spam, phishing, botnets)
RECOMENDACIONES:
 Establecer técnicas y/o procedimientos de administración que permitan

controlar los flujos de información desde y hacia Internet.
 Realizar capacitaciones con el fin de concientizar a los colaboradores sobre
la seguridad informática.
INFO- SALUD REF
INFO- SALUD
PÁGINA
1 DE 1
RESPONSABLE Arístides Valdés López
Entregar y Dar
DOMINIO PROCESO DS5 Garantizar la Seguridad de los Sistemas.
Soporte.
DESCRIPCIÓN:
Acceso de usuario externos no autorizados, debido a que no realizan

periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de
información.
REF_PT:
CONSECUENCIAS:
 Al no realizar las pruebas de monitoreo, se puede presentar hurto de

información confidencial.
RIESGO:
Pérdida de integralidad, Alteración de la información.
RECOMENDACIONES:
 Diseñar un cronograma donde se defina las fechas en que se ejecutarán las

pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse
de manera periódica.
 Implementar políticas de contraseña segura.
INFO- SALUD REF
INFO- SALUD
PÁGINA
1 DE 1
Entregar y Dar
Soporte.
DESCRIPCIÓN:
Cualquier persona puede acceder al servidor de la empresa, debido a que

actualmente este se encuentra ubicado en un área con fácil acceso.
REF_PT:
CONSECUENCIAS:
 Al servidor estar expuesto en un área con fácil acceso, este puede ser
manipulado sin inconvenientes, inclusive se puede presentar hurto del
servidor.
RIESGO:
Pérdida de información, modificación o eliminación de cuentas de usuarios.
RECOMENDACIONES:
 Dependiendo el nivel de información que se almacene en el servidor, se

debe implementar un anillo de seguridad, es decir, se debe plantear una
ubicación donde se pueda controlar quien accede a este.
INFO- SALUD REF
INFO- SALUD
PÁGINA
1 DE 1
Entregar y Dar
Soporte.
DESCRIPCIÓN:
Se evidencia que varios usuarios están creados en el directorio activo como

administradores.
REF_PT:
CONSECUENCIAS:
 Al existir muchos usuarios con rol administrador, la empresa se expone a

que se pueda instalar ejecutables o usar contraseñas de activación no
válidas para software.
RIESGO:
Instalación de virus en el sistema, multas y problemas legales por no tener software

legalizado.
RECOMENDACIONES:
 Tener como máximo dos usuarios con rol administrador.

 Definir y documentar el procedimiento de aprobación, donde se describa al
responsable encargado de otorgar los privilegios de acceso.
INFO- SALUD REF
INFO- SALUD
PÁGINA
1 DE 1
Entregar y Dar
Soporte.
DESCRIPCIÓN:
Se identificó que no existe control sobre las máquinas virtuales (remoto).
REF_PT:
CONSECUENCIAS:
 Al no existir un control sobre las máquinas virtuales, se puede presentar

hurto de información, perdida sin intención de la misma.
RIESGO:
Eliminar información importante y pérdida de la confidencialidad.
RECOMENDACIONES:
 Solicitar al área de TI, la implementación de más filtros de seguridad para

que los usuarios no eliminen registros, ni los ingresen de manera errónea.
1.2. CONTROLES O SOLUCIONES PROPUESTAS
Riesgos o hallazgos encontrados Tipo de Control Soluciones o Controles

Establecer técnicas y/o procedimientos de
Instalación de aplicaciones y acceso a sitios web no
Correctivo administración que permitan controlar los flujos de
autorizados. (Virus informático (spam, phishing, botnets)
información desde y hacia Internet.
Diseñar un cronograma donde se defina las
fechas en que se ejecutarán las pruebas de
Perdida de integralidad, Alteración de la información Preventivo monitoreo de seguridad, lo anterior como mínimo
debe realizarse de manera periódica.
Implementar políticas de contraseña segura.
Dependiendo el nivel de información que se
almacene en el servidor, se debe implementar un
Perdida de información, modificación o eliminación de
Recuperación anillo de seguridad, es decir, se debe plantear una
cuentas de usuario.
ubicación donde se pueda controlar quien accede
a este.
Para la eliminación de registros se debe registrar
en un log la eliminación de los mismos.
Eliminación de registros o mal ingreso de los mismos, lo
Detectivo
que haría no tener una información confiable. Para la mitigar el mal ingreso de datos, se debe
crear un proceso donde se encargue de validar
que la información registrada es veraz.
Tener como máximo dos usuarios con rol
administrador.
Instalación de virus en el sistema, multas y problemas
Preventivo Definir y documentar el procedimiento de
legales por no tener software legalizado.
aprobación, donde se describa al responsable
encargado de otorgar los privilegios de acceso.
Riesgos o hallazgos encontrados Tipo de Control Soluciones o Controles

Realizar capacitaciones con el fin de concientizar
El personal no cuenta con programas de capacitación y
Detectivo a los colaboradores sobre la seguridad
formación en seguridad informática y de la información.
informática.
Solicitar al área de TI, la implementación de más
Eliminar información importante y perdida de la filtros de seguridad para que los usuarios no
Detectivo
confidencialidad. eliminen registros, ni los ingresen de manera
errónea.
Adicionar protocolos de seguridad y restricciones
Acceso a la red de la organización. Preventivo en la red, verificar que las contraseñas y usuarios
no sean obvios.
Perdida de confidencialidad e integralidad de la
Preventivo Revisar URL Embebidos.
información.
Facilidad en hurto de información confidencial. Preventivo Establecer políticas de seguridad.
Implementar el sistema de semáforo para
Las PQRS no se han gestionadas debidamente. Preventivo categorizar las PQRS y de esa manera determinar
la prioridad de atención.
Realización de actividades no conformes con lo Implementación de herramientas de monitoreo de
Correctiva
indicado por la empresa. red.
2. DS12 ADMINISTRAR EL AMBIENTE FÍSICO.
En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se
proteja tanto al personal como a los equipos de peligros naturales o siniestros también
se tratara de analizar si los puestos de trabajo cumplen con las normas de seguridad
obligatorias y si en los colaboradores existe una cultura de que promueva e incentive la
seguridad propia y de la empresa.
2.1. ANALISIS Y EVALUACION DE RIESGOS
Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis

y evaluación de riesgos del proceso en cuestión
2.1.1. ANALISIS Y EVALUACIÓN DE RIESGO
N° Descripción Impacto Probabilidad

R1 Material propenso a incendios 5 3
R2 Acceso no autorizado a las diferentes áreas 4 3
R3 Personas poco cuidadosas 2 3
Se encuentran muchos puntos ciegos donde podrían
R4 3 4
acceder intrusos a la empresa
R5 Robo del servidor o manipulación de este 5 3
No hay circulación adecuada de aire, además se
R6 3 3
presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe 3 3
Desorientación ante daños de la infraestructura en
R8 4 1
suceso ambiental
R9 falta de controles en la seguridad de la empresa 4 5
R10 4 4
Carencia promoción e incentivos para la seguridad en
R11 3 5
la institución
No hay como detectar de forma temprana humo,
R12 incendio, inundaciones mediante equipos tecnológicos 4 3
para la prevención y evacuación.
2.1.2. RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDA
D Insignificant Moderado Catastrófico
Menor (2) Mayor (4)
e (1) (3) (5)
Raro (1) R8
Improbable (2) R3
Posible (3) R6 R7 R2 R12 R5 R1
Probable (4) R4 R10
Casi Seguro (5) R11 R9
2.1.3. TRATAMIENTO DE RIESGOS
R1 Material propenso a incendios Controlarlo
R2 Acceso no autorizado a las diferentes áreas Controlarlo

R3 Personas poco cuidadosas Aceptar
Se encuentran muchos puntos ciegos donde podrían acceder
R4 transferirlo
intrusos a la empresa
R5 Robo del servidor o manipulación del mismo Controlarlo
No hay circulación adecuada de aire, además se presenta la
R6 transferirlo
amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe Controlarlo
Desorientación ante daños de la infraestructura en suceso
R8 Controlarlo
ambiental
R9 falta de controles en la seguridad de la empresa Controlarlo
R10 Controlarlo
Carencia promoción e incentivos para la seguridad en la
R11 Controlarlo
institución
No hay como detectar de forma temprana humo, incendio,
R12 inundaciones mediante equipos tecnológicos para la transferirlo
prevención y evacuación.
2.2. REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a

continuación el reporte de hallazgos para el proceso analizado.
Informe Ejecutivo de Auditoria
Puerto Leguízamo, noviembre 28 del 2019
Doctora: CARMEN EMILIA RUBIO

Directora Encargada de INFO- SALUD
REF: AUDITORIA DE SISTEMAS APLICADA AL SOFTWARE INFO-SALUD EN LA

EMPRESA INFO- SALUD
Cordial Saludo.
Como es de su conocimiento el software de administración y gestión de información INFO-

SALUD, fue sometido a una auditoria de sistemas para evaluar los módulos que hacen parte de
este software, tanto en entradas, procesos y salidas de datos, de igual manera en lo referente a
seguridad de la información procesada en el software.
Esta evaluación se realizó en un lapso de tiempo comprendido entre Octubre y Noviembre de

2019.
Los resultados obtenidos fueron los siguientes.
Después de realizar las pruebas y la verificación de procedimientos realizados sobre los módulos
que conforman el software INFO-SALUD se relacionan algunos aspectos favorables generales
extraídos del informe de la presente auditoría.
La auditoría se realizó con buena disposición por parte del personal encargado del manejo de los
módulos del software.
El software posee un buen proceso de generación de informes lo que permite la automatización

de los procesos, agilizando la generación de informes institucionales requeridos por las
instituciones de control como la EPS y la Secretaria departamental de salud minimizando
trabajos operativos y estandarizar los procesos estos procesos.
Cada proceso para generación de informes tiene incluido Filtros lo que facilita la recolección de
datos y su correcto procesamiento para campañas extramurales de promoción y prevención.
INFO-SALUD Facilita el proceso de asignación de citas médicas mediante la generación de una

agenda médica por medio de la cual se tiene acceso rápido a datos generales, de los pacientes que
solicitan una cita médica, esta herramientas que reduce el tiempo necesario para gestionar cita
El programa genera reportes que brindan información sobre los datos capturados en la agenda,

como asistencia de pacientes y carga de trabajo por profesional de la salud.
El módulo de citas médicas permite controlar expedientes médicos digitalizados (historias

clínicas, situación del paciente y su familia, etc) de manera ágil.
El software provee búsquedas fáciles por medio de ayudas por códigos y nombre de diagnósticos
y medicamentos que permiten agilizar la práctica clínica.
Implementa formularios en el cual se realiza un seguimiento de los controles correspondientes a

un paciente, al diligenciar un nuevo control se pueden ingresar antecedentes, examen físico,
formulación de laboratorio, formulación de medicamentos, realización de procedimientos,
Imagenología, selección de diagnóstico, datos del acompañante, y diligenciar notas de
enfermería correspondientes al paciente lo que permite llevar un seguimiento completo de su
situación médica.
El módulo de Facturación permite llevar un control de las unidades existentes en las sedes de la
institución facturando de acuerdo a la parametrización realizada en el momento de crear los
contratos, esta información puede ser modificada de acuerdo a las necesidades.
Permite llevar de manera automatizada el Inventario de existencias organizando y realizando un

seguimiento de su inventario fácilmente teniendo en cuenta aspectos como:
Niveles óptimos de inventario.

Advertencias de niveles de stock bajos.
Organización de medicamentos del inventario por ubicación y lote.
En cuanto a su funcionamiento, su desempeño es bueno, procesa los datos y realiza las acciones
debidas que ofrece el modulo, sin embargo presenta algunas fallas de registro debido a la baja
conexión y congestión de usuarios.
Por lo tanto se podría decir que el software del módulo de matrícula académica tiene un
funcionamiento adecuado del 40% y el restante 60% del sistema debe ser corregido y mejorado
para lograr la optimización en un 99%, ya que es un sistema de información que registra, procesa
y almacena datos importantes los cuales se deben manejar con la responsabilidad que amerita.
Respecto a la Arquitectura de la Información.

Hallazgos
 El desarrollador no entrego un diccionario de datos donde se recolecte, confirme y se

especifique entradas y salidas de datos
 No existen diagramas de flujo de los módulos del software INFO-SALUD.
 No existen esquemas de diseño donde se detallen la lógica de los procesos que se

administran desde el software INFO-SALUD.
Recomendaciones
 Documentar el diccionario de datos de los módulos del software INFO-SALUD.
 Incorporar dentro del diccionario de datos, una descripción detallada del ingeniero
encargado de actualizar el diccionario de datos, la clasificación de tipos de usuarios, los
niveles de acceso y las restricciones para el ingreso de los mismos.
 Tener actualizado el diccionario de datos ante cambios o implementación de nuevas

funcionalidades.
Hallazgos
 No existen esquemas de clasificación de la información basada en que tan confidencial
son los datos administrados por la aplicación.
 No existen diagramas de flujo de datos o pseudocódigo de las partes de los módulos y sus
especificaciones.
 No existen esquemas donde se definan niveles apropiados de seguridad y de controles de

protección de datos como controles de acceso.
Recomendaciones
 Diseñar un plan de administración de seguridad de la información que proporcionen los

controles de seguridad suficientes que protejan los activos de información.
 Tener adecuadas políticas, procedimientos relacionados con la seguridad de los activos,

considerando que la información debe estar clasificada según la necesidad de acceso.
 Verificar que los controles de información garanticen que la información sea accesible y
utilizable solo por el personal autorizado.
 Revisar y evaluar el desempeño (eficiencia y eficacia) del plan de seguridad

implementado.
Hallazgos
 No existe un manual de diseño del software donde se especifiquen requerimientos del

software y hardware para su funcionamiento.
 No existe documentación donde se describa la configuración y funcionamiento del

software.
 No existen diagramas de flujo de datos o pseudocódigo de las partes de los módulos y sus
especificaciones.
Recomendaciones
 Implementar planes de seguridad con el fin de garantizar que la información almacenada

en la base de datos permanezca inalterada a menos que sea modificado por personal
autorizado manteniendo así la integridad de la información.
 Garantizar la integridad de los datos mediante la implementación de:
o Reglas de normalización de datos.

o Integridad referencial
o Validación de los datos.
Respecto A Procesos Y Relaciones Ti
Hallazgo
 Existe dependencia excesiva hacia el personal que posee conocimiento único ya que no
existen políticas que permitan capturar el conocimiento de estos empleados.
Recomendaciones
 Identificar al personal clave de recursos TI y minimizar la dependencia de la institución

hacia esta personal generando planes estratégicos y tácticos para la captura documental
del conocimiento con el fin de recolectar la mayor cantidad de recursos escritos en donde
se especifique una bitácora de los errores más frecuentes presentados en el software y las
soluciones a implementarse.
 Implementar planes fuertes de entrenamiento para hacia el personal nuevo, con el fin de
lograr la calidad deseada por la entidad.
 La entidad debe tener los manuales de funcionamiento de software actualizados y al

alcance de todos los empleados ya que servirán de material de apoyo para el buen
ejercicio de sus actividades.
Respecto A Administra Recursos Ti
Hallazgos
 No existe entrenamiento continuo para el personal.
 El ingeniero proveedor del software realizo una capacitación inicial en el año 2010 fecha
en la cual se adquirió el software posterior a este facha no se han realizado capacitaciones
pese a las actualizaciones y cambios funcionales en los módulos del software.
 Dificultad de los empleados nuevos para llevar a cabo su trabajo ya que no se realizó la
capacitación necesaria y además no existe un manual de software que les permita conocer
su manejo, es por eso que les toma más tiempo familiarizarse con el sistema con el que
laboran.
Recomendaciones
 Establecer procesos de capacitación a los operarios de los módulos del software que debe
incluir además de charlas acerca del funcionamiento del software los manuales de usuario
donde se especifique su funcionalidad.
 La capacitación debe ser obligatoria y continua, ya que es un factor importante que ayuda
a los empleados a ser competitivos y más eficientes, dando como resultado una excelente
prestación de servicio a los usuarios.
Hallazgo
 No existen documentación de control y registro de errores presentados en el software con

el fin de evitar dependencia hacia el personal clave.
Recomendación
 Implementar procesos de gestión del conocimiento que promuevan la captura,

evaluación, recuperación, preservación y aprovechamiento del conocimiento y la
experticia de los empleados encargados de la operación de los módulos del software Info-
Salud en la institución, con el fin de generar una retroalimentación positiva en los
procesos administrados por este software eliminando así la dependencia hacia este
personal clave para la organización.
Hallazgo
 No se toman medidas de seguridad como eliminar privilegios de acceso al Software

cuándo se presenta terminación de contrato del personal.
Recomendación
 Establecer políticas generales para la gestión de seguridad de la información que

establezcan estrategias como:
o Administración de cuentas de usuarios

o Administración de contraseñas de usuario
o Verificación de usos de usuario, contraseñas y niveles de seguridad
o Concientización a los usuarios respecto de su responsabilidad frente a la
utilización de contraseñas y equipos.
 Mantener un archivo de auditoría o logs, donde sean registradas todas las operaciones
realizadas por los usuarios; en caso de sospecha de falla en la seguridad este archivo
podrá ser consultado para conocer el autor y los daños causados por operaciones
irregulares.
 Instituir estrategias para verificar el cumplimiento de las pautas establecidas, relacionadas

con control de acceso, creación de usuarios, administración de privilegios, autenticación
de usuarios, uso controlado de utilitarios del software.
 Una buena administración de la seguridad permitirá mayor control de las actividades de

los usuarios sobre el sistema.
Respecto A Administrar Riesgos Ti
Hallazgo
 No existen planes eficaces de mitigación de riesgos cuando se presentan fallas en el

software INFO-SALUD.
Recomendación
 Definir, implementar, probar y mantener un proceso para administrar la continuidad del

servicio que incluya elementos como: prevención y atención de emergencias,
administración de la crisis, planes de contingencia y capacidad de retorno a la operación
normal
 Los planes de contingencia deben cumplir, como mínimo con los siguientes requisitos:
 Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia.
 Ser conocidos por todos los interesados.
 Cubrir por lo menos los siguientes aspectos: identificación de eventos que pueden afectar
la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y
regreso a la actividad.
 Efectuar semestralmente un diagnóstico sobre la situación de los sistemas que incluya

análisis de riesgos y su variación en los niveles.
 Observar los protocolos y procedimientos establecidos para la protección de la

información y garantizar la preservación de la memoria institucional.
Respecto A Administrar Cambios

Hallazgos
 No existe una política formal que permita el análisis, implementación y seguimiento de

cambios requeridos.
 No existen procesos de revisión para garantizar la implantación completa y el correcto

funcionamiento de las actualizaciones
 No se tiene documentación para usuarios finales para el manejo de cambios en algún módulo.
 El proveedor implementa cambios en el software sin tener en cuenta las necesidades de la

I.P.S.
Recomendaciones
 Implementar un proceso de actualizaciones de software en el cual se analicen los cambios

que la institución necesita que se realicen al software; este procedimiento tiene como
objetivo identificar los que necesita el software para cumplir con todos los requisitos de
funcionalidad y eficiencia de la institución.
 El proceso de actualizaciones se deberá especificar aspectos como:
o Evaluar, priorizar y autorizar cambios

o Llevar un control de cambios.
o Garantizar que el cambio quede bien implantado.
o Revisión y Aprobación.
Respecto A Planes De Continuidad
Hallazgos
 No existen planes de formales de contingencia efectivos donde se consideren

requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de
los servicios.
 Al presentarse una falla en el software los empleados tienen como plan de contingencia
(informal) que continuar con todos los registros en hojas de cálculo o de forma manual,
mientras se reestablece el servicio.
 No se llevan a cabo sesiones de entrenamiento donde se explique al personal operario el
procedimiento a realizarse en caso de interrupciones no planeadas.
Recomendaciones
 Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que

componen el Sistema de Información de la IPS que permita restituir rápidamente los
servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea
de forma parcial o total la prestación del servicio.
 El plan de contingencia es una herramienta que ayudará a que los procesos críticos de la
institución continúen funcionando a pesar de una posible falla en los sistemas
computarizados; es decir, un plan que permite a la organización seguir prestando servicio
a los usuarios.
 Los planes de contingencia deben actualizarse, corregirse, y mejorarse constantemente

con el fin de verificar su eficacia.
Respecto A Plan De Seguridad
Hallazgo
 Existen usuarios y contraseñas para la identificación de cada operario de INFO-SALUD

pero no se utilizan estos usuarios, se maneja una cuenta de usuario general con
contraseña 1.
Recomendación
 Implementar capacitación a los operadores en temas de seguridad, ya que se evidencia

desconocimiento en este aspecto; es de vital importancia proporcionar lineamientos para
que usuarios utilicen las cuentas de usuario creadas por el ingeniero de sistemas y
explicar a los operarios que las claves deben ser robustas y no deben ser divulgadas para
garantizar la seguridad de la información.
 Establecer periodos de caducidad de las contraseñas con la finalidad de fomentar a los
empleados encargados de la operatividad de los módulos del software la importancia de
la modificación constante de las contraseñas de ingreso.
Hallazgo
 No existen permisos de acceso de usuario al sistema, todos los operarios pueden acceder
a las funciones de otros empleados por ejemplo el personal odontológico puede ingresar a
las funciones e historias de clínicas de medicina general y viceversa.
Recomendaciones
 Establecer procedimientos de cuentas de usuario en donde se deben identificar los datos a

los que ciertos operarios deben tener acceso, los datos que se deben negar a otros y que
datos deberían ser compartidos a todos los empleados; estos procedimientos deben
aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados).
 La política de administración de permisos debe establecer grupos para los empleados

encargados de los módulos de Info-Salud y los respectivos derechos de acceso con el fin
de restringir o permitir el acceso de los operarios a archivos para visualización de
contenidos o modificación; incrementando así la privacidad de los usuarios y usos
inadecuados de la información personal de los pacientes.
Atentamente;
___________________ __________________________ ______________________

ARISTIDES VALDES DIEGO FERNANDO MEJIA SEBASTIAN CALDERON
Auditor Auditor Auditor

CONCLUSIONES
Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para
ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance
de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar.
Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron

unos hallazgos que se presentaron y se propusieron algunos controles para mitigar o controlar
los riesgos existentes.
Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión
de tener todo bajo control, enterarse riesgos encontrados pertenecían a zonas de riesgo alta y
extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la
empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos
dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen
de manera adecuada.
REFERENCIAS BIBLIOGRAFICAS
Astello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación de

tecnologías de la información. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780
Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet. Recuperado

de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO
%3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=20050101&s
page=171&pages=171-
186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitle=AUDI
TOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T
%c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L%c3%a1zaro+J.&id=DOI
%3a&site=ftf-live
Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS.

Recuperado el 23 de octubre de 2018, de http://
http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.
Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp.
4-35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica
Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una
visión práctica. (pp. 9- 29).Recuperado de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su
clasificación. Recuperado de http://hdl.handle.net/10596/10236

http://epn.gov.co/elearning/distinguidos/SEGURIDAD/13_riesgo_amenaza_y_vulnera
bilidad.html
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://univirtual.utp.edu.co/pandora/recursos/1000/1020/1020.pdf

Fase 5 Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

Fase 5 Auditoria de Sistemas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase 5 Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

FASE 5 - RESULTADOS FINALES DE LA AUDITORÍA

COMPILAR TRABAJO COMPLETO DE LA AUDITORÍA, ELABORAR VIDEO

ARISTIDES VALDES LOPEZ

DIEGO FERNANDO MEJIA GOMEZ

La auditoría de sistemas es un aspecto importante, fundamental y la única herramienta en la

 Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas

Se puede definir como amenaza a todo elemento o acción capaz de atentar contra

Existen diferentes tipos de riesgo dentro de los cuales existen:

CONTROL INTERNO INFORMÁTICO: puede definir como el sistema

VULNERABILIDAD, AMENAZA, RIESGOS Y

Vulnerabilidad hardware y Riesgo de relación

Vulnerabilidad de los Riesgo de acceso

Una de las formas de definir el concepto de control interno es la siguiente. El control

La dirección de la organización tiene la responsabilidad de decidir el alcance adecuado

La auditoría informática solo identifica el nivel de “exposición” por la falta de

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso

Objetivos de la auditoría Informática

Protección de activos e integridad de datos.

Gestiona la eficacia y eficiencia.

Funciones un auditor informático Participar en las revisiones durante y después del

El objetivo fundamental de la Auditoría Interna es descubrir deficiencias o

Su finalidad es auxiliar a la dirección para lograr que la administración sea óptima.

Es el examen crítico, sistemático y detallado de un sistema de información, realizado

Control Interno Informático.

Control Interno Informático.

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC’s,

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del

Controles generales organizativos.

Controles de desarrollo, adquisición y mantenimiento de sistemas de información.

Controles de explotación de sistemas de información.

CONTROL INTERNO AUDITORÍA

 Análisis de los  Análisis de un

Del Hardware se evaluará:

Del Talento Humano se evaluará:

 Hasta qué punto es aceptable la teoría de fundamenta la política de recursos humanos

Ítem Cantidad subtotal

Cámara digital 1 500.000=

Grabadora digital 1 200.000=

Un error del código de Una infección por parte Existencia de Garantizar la

RIESGOS ACCIONES DE CONTINGENCIA

Tabla de estimación del impacto

Equipos con Tiempo

Proceso CobIT Descripción prueba Tipo prueba Nombre auditor

Resultado Matriz de riesgos

 Aumentar las ventas de la empresa

Vender 10 millones de iPhone en 2 años (1% de cuota mundial)

N Vulnerabilidad Amenazas Riesgo

Aulas de informática Institución Educativa R/PT

Lista de chequeo Aulas de informática Institución Educativa R/PT

Lista de chequeo Aulas de informática Institución Educativa R/PT

DESARROLLO DE LA ACTIVIDAD (EVALUACION DE LOS SOFTWARE DE

RIESGOS A LA EMPRESA DE SERVAF S.A E.S.P

6 Incendio Entregar y Garantizar la Garantizar Descuido del personal

7 Accesos Entregar y Administrar Monitorear Información que llega a

LISTA DE RIESGOS ENCONTRADOS.