UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

AUDITORIA DE SISTEMAS
CDIGO: 90168A
TRABAJO COLABORATIVO 1
UNIDAD No 1
CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS

Presentado a:
MARCO ANTONIO LOPEZ OSPINA
Tutor

Entregado por:
Jorge Dussan
Cdigo: XXXXX
Jhonatan Guzman
Cdigo: XXXXX
Yuleidy Alexandra Barreto Pez
Cdigo: 1110517930
Anaicolas Garcia
Cdigo: XXXXX
Nombres y Apellidos (Estudiante 5)
Cdigo: XXXXX
Grupo: 90168_40

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
12/09/2016
IBAGUE - TOLIMA
INTRODUCCIN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

A travs del trabajo colaborativo unidad 1 conceptos generales de auditoria de

sistemas, se logra identificar cada una de las vulnerabilidades, amenazas y
riesgos encontradas en cada una de las empresas expuestas por cada integrada,
pero enfocados en la empresa Hospital San Vicente de Pal de Paipa, logrando
obtener conocimiento de cada una de las instalaciones que posee la empresa
nuestro trabajo consiste en hacer auditoria de sistemas detalladamente con el fin
de encontrar las falencias y fortalezas que posee la empresa tanto fsica como
lgica.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

OBJETIVOS

OBJETIVO GENERAL

Identificar, revisar y evaluar las vulnerabilidades, amenazas y riesgos informticos

que se presentan en la empresa como equipos de cmputo, a fin de que por
medio del sealamiento de cursos alternativos se logre una utilizacin ms
eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
OBJETIVOS ESPECIFICOS

Estudiar el diseo del sistema de control interno y la eficacia de la

compaa
Participar en el desarrollo de nuevos sistemas
Determinar los riesgos que son relevantes para los activos de informacin
Evaluar los controles sistemticos a fin de reducir o mitigar riesgos

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

Informe de construccin grupal

Cuadro consolidado de vulnerabilidades, amenazas y riesgos

N
1

Vulnerabilidad
El cableado de las lneas
telefnicas se encuentra
a cielo abierto
El cableado UTP que
llega al DVR se
encuentra expuesto a los
usuarios.
Falta de cableado
estructurado

Amenazas
Interrupcin en las llamadas
telefnicas.

Riesgo
Cada del servicio de red.

Interrupcin en el servicio
de grabacin de las
cmaras.

Perdidas de grabaciones.

Cortos circuitos

Falta de sistemas de
alimentacin
ininterrumpida (UPS)
No existe control de los
dispositivos de
almacenamiento (USB,
cd, discos)

Fallas en el suministro de
energa.

Perdida de informacin y
dao en los equipos
conectados
Daos por sobre voltaje en
todos los dispositivos.

obsolescencia de
tecnologa de hardware
en equipos e impresoras

Equipos de cmputo que no

soportan sistemas
operativos

ausencia de consumibles

interrupciones en el servicio

Desgaste y mal uso del

Hardware
Falta de mantenimiento
preventivo en los
equipos de cmputo.

Falta de cuidado en el
manejo del equipo.
Exceso de uso y
sobreesfuerzo en los
equipos.

Introduccin de informacin
falsa, Dispositivos externos
con software malicioso

Alteracin o prdida de la
informacin registrada en
base de datos o equipos,
Contaminacin de los
equipos con software
malicioso proveniente de
estos dispositivos
Equipos con bajo rendimiento
para las operaciones que se
deben desarrollar
retraso en las operaciones
institucionales
Dao fsico a los equipos del
departamento de sistemas.
Dao de los elementos
internos y externos de los
equipos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

10

11

12

13

14

15

16

17

18

Falta de conocimiento de
los usuarios en el
manejo de herramientas
computacionales y en el
manejo de los sistemas
informticos existentes,
no se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
seguridad de los datos.
Los servidores y equipos
del rea de sistemas no
se encuentran bajo
algn armario cerrado o
en alguna oficina con
acceso restringido.
Falencia en cuanto a las
polticas de la
implementacin del
Sistema de Seguridad.
dependencia exclusiva
de un proveedor de
servicio tcnico externo
ausencia de
documentacin de la
operacin de las
aplicaciones
Falta de una adecuada
supervisin de las
actividades
desarrolladas por el
personal.
No existe un Control y
monitoreo en el acceso a
Internet

Errores de usuario

El personal no cuenta con las

actitudes y aptitudes
requeridas para hacer uso de
la informacin por medio de
los sistemas de informacin.

Acceso fsico a los recursos

del sistema

Acceso no autorizado al rea

de sistemas

No establecer polticas de
seguridad de la informacin.

Ausencia de un Sistema de
Gestin de Seguridad de la
Informacin

interrupciones en el servicio

cada de la red,

soporte oportuno

retraso en las operaciones

institucionales

no cumplimiento de las
funciones asignadas al rea

retraso o no realizacin de
las operaciones
institucionales,

Utilizacin de los recursos

del sistema para fines no
previstos

Red insegura

No existen polticas para

la utilizacin de firewall
en los equipos o en la
red
El cableado estructurado
de la red se encuentra a
la intemperie

Errores de configuracin

Red local insegura

Perdida en la transmisin de
los datos Interrupcin del
servicio.

Daos de las
comunicaciones.Cada del
servicio de red.(Servidor)
Sistema de informacin fuera
de servicio.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

19

Fallos en la red LAN

Mala configuracin que

compromete la seguridad
de las empresas al instalar
routers, switches y otros
equipos de red sin las
ramificaciones de seguridad
de cada dispositivo.

Fallas en las comunicaciones.

20

cable UTP que no est

dentro de canaletas

Acceso sin autorizacin al

cableado.Interrupcin del
servicio de Internet.

Cada del servicio de red.

(Servidor) Sistema de
informacin fuera de servicio.

21

Inexistencia de planos
de la red de datos, al
igual que tampoco est
certificada.

Interrupcin del servicio de

Internet. Parar las
actividades de la empresa
parcial o permanente

Cada del servicio de red.

(Servidor) Sistema de
informacin fuera de servicio

22

La estructura de la red
no es la ms adecuada
ya que en lugar de haber
puntos de red, hay cable
extendido y va de switch
en switch
Diseo del protocolo
utilizado en las redes

Perdida en la transmisin de
los datos. Interrupcin del
servicio de Internet.

Cada del servicio de red.

(Servidor) Sistema de
informacin fuera de servicio.

Malas polticas de seguridad

y mal diseo del software.

24

Mala ubicacin del

centro de computo

25

No existen avisos sobre

rutas de evacuacin

permite el acceso a
personal no autorizado,
vandalismo
Desastres naturales

Seguridad deficiente y fcil

acceso para agentes
externos.
alteracin o perdida de la
informacin

26

No existe directivas de
contraseas para las
cuentas de usuario,
Inexistencia de Base de
Datos con claves de
acceso de los equipos de
cmputo del personal de
la institucin

23

27

Dao en la integridad fsica

del personal

Accesos no autorizados

No existe proceso de revisin

de contraseas

accesos Denegado,
oportunidad de la
informacin

Disponibilidad de la
informacin

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

28

Se encuentran activas
cuentas de usuario de
personal que ya no
labora en la empresa.

Suplantacin de identidad

Errores en la desactivacin
de cuentas de usuario

29

Los sistemas de
informacin disponibles
no cifran los datos
cuando se estn
almacenando o
transmitiendo
Uso indebido del correo
de electrnico

Intercepcin Modificacin

Alteracin o prdida de
informacin

La mala utilizacin del

correo, ya que no se utiliza
solo para comunicacin
laboral.
Falta de precaucin y
control de acceso

Fuga de informacin

La no aplicabilidad en
Firewall saber qu puertos
se deben bloquear o
permitir, la forma de
interactuar con ella o es
propietario de ella, quien
tiene acceso a la consola de
control.
Falla en los equipos.

Accesos No autorizados

Acceso no autorizado

Modificacin de la
informacin.

Desactualizacin de
programas y equipos.

Versiones de software
desactualizadas.

30

31

Falta de controles para el

acceso a internet.

32

No existe un firewall.

33

No existe una poltica

clara para la generacin
y almacenamiento de
copias de seguridad de
los equipos de cmputo.
Se utilizan programas
comerciales sin
seguridad especial.

34

35

No actualizacin de los
servidores y equipos.

Robo de informacin

Perdida de informacin
confidencial.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

36

No existen cdigos de
seguridad para el acceso
a los programas.
No Existe mecanismos
de alerta para acceso de
informacin confidencial.
Falta de medidas de
proteccin informtica
Clasificacin de
informacin confidencial
con acceso restringido.
Base de datos sin
codificacin.
Falta de seguridad en las
sesiones de los usuarios

Acceso sin seguridad

eficiente.

Acceso no autorizado.

Sabotaje, fraude

Perdida de informacin y
alteracin de la misma

Espionaje, virus.

Acceso no autorizado

Sabotaje y alteracin de la
informacin.

Acceso no autorizado

Hurto de informacin.

Acceso no autorizado a
informacin privilegiada
Modificacin de las bases de
datos

42

Bajo nivel de supervisin

en la seguridad de los
programas.

Entrada y acceso no
autorizado.

Acceso a informacin
financiera de la empresa.

43

Falta de actualizacin del

sistema operativo de los
equipos de cmputo que
tienen Windows XP y
versiones anteriores
Fallas en los sistemas
operativos instalados

Fallos en el sistema
operativo, incompatibilidad

Adquisicin de software que

no tiene soporte del
fabricante

Ausencia de parches de
seguridad y actualizaciones,
prdida de informacin. No
utilizacin de software
licenciado.

Cadas de los sistemas

operativos

45

Los ordenadores no
cuentan con un antivirus
licenciado.

Modificacin de los archivos

del sistema, generacin de
nuevos virus hacia otros
equipos en red.

Perdida de datos.

46

Los ordenadores no
tienen licencias de
sistema operativo
Windows.

Interrupcin en las
actualizaciones del sistema,
de seguridad y dems.

Dao del sistema operativo.

37

38
39

40
41

44

No se cierra la sesin y
cualquier persona puede
ingresar a la informacin del
usuario

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

47

48

49

50
51

52

Fallas en la
programacin y mala
configuracin de
programas.
Existencia de puertas
traseras en los sistemas
informticos.

Acceso sin seguridad

eficiente.

Perdida de informacin y
detalles de los productos.

Desastre econmico.

Modificacin de informacin

Disponibilidad de
herramientas que
facilitan ataques
informticos.
Fallas de cdigo en los
software desarrollados

Suplantacin de
informacin.

Alteracin de la informacin
y prdida de informacin
original.

Mala utilizacin a causa de

mal desarrollo

Informacin mal ingresada

en la base de datos

desconocimiento y o
falta de socializacin de
normas o polticas a los
usuarios por los
responsables de
informtica
Falta de capacitacin a
los usuarios del sistema

contraer virus, dao o falla

en equipos de cmputo,
instalacin de software no
autorizado

daos en el hardware,
perdidas econmicas

Falla en los equipos. Errores

en el manejo de los
programas

Perdida de informacin
confidencial. Insercin y
modificacin de datos de
manera errnea.

Plan de auditoria
Objetivo General. Realizar la auditoria a los mecanismos de seguridad
informtica que se tienen establecidos Evaluando las habilidades del personal que
labora en el Hospital San Vicente de Pal de Paipa, al igual que sus
conocimientos en el manejo de las herramientas ofimticas y equipos de cmputo,
con el fin de medir su productividad para planear, soportar y monitorear cada uno
de los servicios y sistemas de informacin ofrecidos por la empresa.
Objetivos especficos:
1. Conocer de manera detallada a travs un inventario todos los activos informticos
con lo que cuenta la institucin.
2. Indagar a cerca de todo el personal con el que cuenta la compaa a travs de sus
hojas de vida para medir las competencias que tienen en informtica.
3. Conocer los planos de la red de datos de todo el edificio y que estn vigentes.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

4. Elaborar el plan de auditoria con el apoyo de formatos diseados para el

levantamiento de la informacin, plan de pruebas a ejecutar, estndar para aplicar,
todo con el fin de obtener una informacin veraz.
5. Llevar a cabo un dictamen final de la auditoria para los procesos que van a ser
evaluados y presentar informe de resultados de la auditoria.

Alcance. La auditora se trabaj sobre los conocimientos que posee el personal

de la empresa acerca del correcto manejo y funcionamiento de las herramientas
tecnolgicas y de la informacin que utilizan para la ejecucin de su trabajo.
Evaluando a su vez los siguientes aspectos
Red de Datos se evaluar los siguientes aspectos:
Seguridad en la red de datos.
Administracin de las redes inalmbricas.
Control y restricciones de acceso a pginas web no autorizadas.
Servidores:
Controles de seguridad.
Software instalado (sistema operativo, aplicativos).
Polticas de generacin de Backup:
Documentacin del proceso.
Ubicacin donde se almacenan los Backup.
Software Detector:
Antivirus instalados en los equipos.
Estado del firewall de los equipos.
Metodologa para los objetivos especficos
1. Indagar a cerca de todo el personal con el que cuenta la compaa a travs
de sus hojas de vida para medir las competencias que tienen en
informtica.
Entrevista inicial con el coordinador del rea de recursos humanos.
Conocer datos relevantes de los funcionarios que tiene contacto frecuente
con medios tecnolgicos de la institucin.
Indagar a cerca de las capacitaciones y formacin que reciben los
funcionarios en aspectos tecnolgicos, manejo de herramientas, etc.
Realizar un sondeo de conocimientos previos.
2. Conocer los planos de la red de datos de todo el edificio y que estn

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

vigentes.
Entrevista inicial con el coordinador de la oficina de sistemas.
Solicitar los planos de la red de la institucin.
Indagar a cerca de la certificacin del cableado estructurado punto
por punto.
3. Elaborar el plan de auditoria con el apoyo de formatos diseados para el
levantamiento de la informacin, plan de pruebas a ejecutar, estndares
para aplicar, todo con el fin de obtener una informacin veraz.

Realizar un estudio inicial del entorno auditable.

Recursos necesarios para llevar a cabo la auditoria.
Elaboracin del plan y planes de trabajo.
Ejecucin de los procesos construidos.

4. Llevar a cabo un dictamen final de la auditoria para los procesos que van a
ser evaluados y presentar informe de resultados de la auditoria.
Concepcin y redaccin del informe final.
Carta de presentacin del informe definitivo.

Al personal de la empresa se evalu: Conocimientos bsicos manejo de

equipos de cmputo y perifricos, digitalizar, manejo de la herramienta office,
conocimiento manejo BD contable, sistema de Historias clnicas, Sistema
Contable, autorizaciones, generacin de reportes.
En cuanto al hardware: los procesos de actualizacin, mantenimiento y
adquisicin de servidores, terminales, dispositivos de red.
En cuanto al sistema de informacin: se evalu seguridad, integralidad y
funcionalidad, calidad de la informacin generada por los usuarios, configuracin
del sistema, administracin del sistema y planes de contingencia
En cuanto a la operatividad del sistema: se evalu los usuarios que manejan la
informacin, capacitacin impartida por el personal del rea de sistemas a los
usuarios de los sistemas.

Programa de auditora.
Para realizar el proceso de auditoria en donde se evala capacitaciones
impartidas por los funcionarios del rea de sistemas, y los conocimientos
adquiridos por usuarios de los sistemas sobre el correcto manejo de las

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

herramientas tecnologas y aplicaciones, se utilizar la metodologa COBIT, donde

se seleccionan los dominios y procesos y algunos objetivos de control que se
encuentran relacionados directamente con el objetivo y alcance definidos
anteriormente en el plan de auditoria.
Dominio: Planeacin Y Organizacin (PO). Este dominio cubre las estrategias y
las tcticas, tiene que ver con identificar la manera en que las tecnologas de
informacin pueden contribuir de la mejor manera al logro de los objetivos de una
entidad. Para ello los procesos que se realizaran y los objetivos de control que se
van a evaluar son los siguientes:
PO4 Definir los Procesos, Organizacin y Relaciones de TI: Dentro del rea de
sistemas debe estar claro y definido el personal de la tecnologa de la informacin,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento
de servicios que satisfagan los objetivos de la Institucin.
PO4.10 Supervisin: Implementar prcticas adecuadas de supervisin
dentro de la funcin de TI para garantizar que los roles y las
responsabilidades se ejerzan de forma apropiada, para evaluar si todo el
personal cuenta con la suficiente autoridad y recursos para ejecutar sus
roles y responsabilidades y para revisar en general los indicadores clave de
desempeo.
PO7 Administrar Recursos Humanos de TI: La gerencia reconoce la necesidad
de contar con administracin de recursos humanos de TI. El proceso de
administracin de recursos humanos de TI es informal y reactivo. El proceso de
recursos humanos de TI est enfocado de manera operacional en la contratacin y
administracin del personal de TI. Se est desarrollando la conciencia con
respecto al impacto que tienen los cambios rpidos de negocio y de tecnologa, y
las soluciones cada vez ms complejas, sobre la necesidad de nuevos niveles de
habilidades y de competencia
PO7.2 Competencias del Personal: Para el buen funcionamiento de las TI,
es necesario realizar evaluaciones que permitan determinar las
competencias del personal, se debe adquirir, mantener y motivar una fuerza
de trabajo para la creacin y entrega de los servicios TI
PO7.3 Asignacin de Roles: determinar roles dentro de la compaa y los
sistemas para que las responsabilidades puedan ser ejecutadas de forma
adecuada. Con la puntuacin obtenida en la evaluacin se determina un
nivel de entrenamiento del personal de TI.
PO7.4 Entrenamiento del Personal de TI: Seguir practicas definidas y
aprobadas que apoyen el entrenamiento del personal, estableciendo
jornadas de capacitacin donde se abarquen los temas de mayor riesgo, de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

igual forma una induccin acerca del funcionamiento de ls TI, al momento

del ingreso en la empresa
PO7.7 Evaluacin del Desempeo del Empleado: Realizar pruebas de
desempeo al empleado en momentos establecidos, esta prueba se hara
escogiendo al hacer un proceso realizado por el usuario, con la ayuda de
una lista de chequeo.
PO7.8 Cambios y Terminacin de Trabajo: mostrar al personal de la
empresa que hacen parte del activo importante de la compaa, se debe
hacer un enfoque en la contratacin y entrenamiento del personal y la
asignacin de roles que correspondan segn sus habilidades.
Dominio: Adquirir e implementar (AI): Para llevar a cabo la estrategia TI, se
debe identificar las soluciones, desarrollarlas y adquirirlas, as como
implementarlas e integrarlas en la empresa, esto para garantizar que las
soluciones satisfagan los objetivos de la empresa. De este dominio se aplicarn
las siguientes actividades:
AI4 Facilitar la Operacin y el Uso: El conocimiento sobre los nuevos sistemas
debe estar disponible. este proceso requiere la generacin de documentacin y
manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el
uso y la operacin correctos de las aplicaciones y la infraestructura

AI4.1 Plan para Soluciones de Operacin: Desarrollar un plan para

identificar y documentar todos los aspectos tcnicos, la capacidad de
operacin y los niveles de servicio requeridos, de manera que todos los
interesados pueden tomar la responsabilidad oportunamente por la
produccin de procedimientos de administracin, de usuarios y operativos,
como resultado de la introduccin o actualizacin de sistemas
automatizados.
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio: transferir el
conocimiento a la gerencia de la empresa para permitirles tomar profesin
del sistema y los datos ejercerla responsabilidad por la entrega y calidad del
servicio, del control interno y delos procesos administrativos de la aplicacin
la transferencia de conocimiento incluye la aprobacin de accesos,
administracin de privilegios segregacin de tareas controles
automatizados del negocio, respaldo, recuperacin seguridad fsica y
archivo de la documentacin fuente.
AI4.3 Transferencia de Conocimiento a Usuarios Finales: Transferencia de
conocimiento y habilidades para permitir que los usuarios finales utilicen
con efectividad y eficiencia el sistema d aplicacin con apoyo a los

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

procesos del negocio, la transferencia del negocio incluye el desarrollo de

un plan de entrenamiento que aborde le entrenamiento inicial y al continuo
as como el desarrollo de habilidades, materiales de entrenamiento
manuales de procedimiento ayuda en lnea asistencia a usuarios
identificacin del usuario clave y evaluacin

AI4.4 Transferencia de Conocimiento al Personal de Operaciones y

Soporte: Transferir el conocimiento y las habilidades para permitir al
personal de soporte tcnico y de operaciones que entregue apoyen y
mantengan la aplicacin y la infraestructura asociada de manera efectiva y
eficiente de acuerdo a los niveles de servicio requeridos, la transferencia
del conocimiento debe incluir al entrenamiento inicial y continuo el
desarrollo de las habilidades los materiales de entrenamiento los manuales
de operacin los manuales de procedimientos y escenarios de atencin al
usuario
Dominio Entregar Y Dar Soporte (DS): Este dominio cubre la entrega en s de
los servicios requeridos, lo que incluye la prestacin del servicio, la administracin
de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operativos. Para ello los
procesos que se realizaran y los objetivos de control que se van a evaluar son los
siguientes:
DS5 Garantizar la Seguridad de los Sistemas: La necesidad de mantener la
integridad de la informacin y de proteger los activos de TI, requiere de un
proceso de administracin de la seguridad. Este proceso incluye el
establecimiento y mantenimiento de roles y responsabilidades de
seguridad, polticas, estndares y procedimientos de TI. La administracin
de la seguridad tambin incluye realizar monitoreo de seguridad y pruebas
peridicas, as como realizar acciones correctivas sobre las debilidades o
incidentes de seguridad identificados. Una efectiva administracin de la
seguridad protege a todos los activos de TI para minimizar el impacto en el
negocio causado por vulnerabilidades o incidentes de seguridad.
DS5.1 Administracin de la Seguridad de TI: Administrar la seguridad de TI
al nivel ms alto apropiado dentro de la organizacin, de manera que las
acciones de administracin de la seguridad estn en lnea con los
requerimientos del negocio.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la
implementacin de la seguridad en TI sea probada y monitoreada de forma
pro-activa. La seguridad en TI debe ser reacreditada peridicamente para
garantizar que se mantiene el nivel seguridad aprobado. Una funcin de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

ingreso al sistema (logging) y de monitoreo permite la deteccin oportuna

de actividades inusuales o anormales que pueden requerir atencin.
DS5.7 Proteccin de la Tecnologa de Seguridad: Garantizar que la
tecnologa relacionada con la seguridad sea resistente al sabotaje y no
revele documentacin de seguridad innecesaria.
DS5.9 Prevencin, Deteccin y Correccin de Software Malicioso: Poner
medidas preventivas, detectivas y correctivas (en especial contar con
parches de seguridad y control de virus actualizados) en toda la
organizacin para proteger los sistemas de la informacin y a la tecnologa
contra malware (virus, gusanos, spyware, correo basura).
DS5.10 Seguridad de la Red: Uso de tcnicas de seguridad y
procedimientos de administracin asociados (por ejemplo, firewalls,
dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos)
para autorizar acceso y controlar los flujos de informacin desde y hacia las
redes.
DS7 Educar y Entrenar a los Usuarios: Para una educacin efectiva de todos
los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren
identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems
de identificar las necesidades, este proceso incluye la definicin y ejecucin de
una estrategia para llevar a cabo un entrenamiento efectivo y para medir los
resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnologa al disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de seguridad de los
usuarios. Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin:
Establecer y actualizar de forma regular un programa de entrenamiento
para cada grupo objetivo de empleados, que incluya:
o Implementar procedimientos junto con el plan a largo plazo.
o Valores sistmicos (valores ticos, cultura de control y seguridad,
etc.)
o Implementacin de nuevo software e infraestructura de TI (paquetes
y aplicaciones)
o Habilidades, perfiles de competencias y certificaciones actuales y/o
credenciales necesarias.
o Mtodos de imparticin (por ejemplo, aula, web), tamao del grupo
objetivo, accesibilidad y tiempo.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

DS7.3 Evaluacin del Entrenamiento Recibido: Al finalizar el entrenamiento,

evaluar el contenido del entrenamiento respecto a la relevancia, calidad,

efectividad, percepcin y retencin del conocimiento, costo y valor. Los
resultados de esta evaluacin deben contribuir en la definicin futura de los
planes de estudio y de las sesiones de entrenamiento.
Monitorear y evaluar
Se debe tener en cuenta todos los planes y requisitos que se deben realizar
para un excelente cumplimiento de objetivos y de esta manera lograr
evaluar los resultados obtenidos.
ME1 Monitorear y evaluar el desempeo; se debe estar al tanto y los
puntos a evaluar se dividen en funciones y actividades del personal,
unidades administrativas del centro de cmputo, seguridad de los sistemas
de informacin, informacin documentacin y registros, sistemas equipos
instalaciones y componentes, elegir tipo de auditoria y determinar recursos
a utilizar.
ME2 monitorear y evaluar el control interno: Este paso se debe realizar
teniendo en cuenta la aplicacin de los instrumentos y herramientas,
asignar recursos y actividades conforme a planes y programas.
ME3 Garantizar cumplimiento obligatorio: analizar la informacin y elaborar
documento de informaciones detectadas, para elaborar el informe comentar
las situaciones encontradas con las reas auditadas, realizar
modificaciones necesarias y elaborar documentos de situaciones relevantes
Recursos: Se hace una relacin de los recursos que uno necesita para desarrollar
la auditora.
Recurso Humano: Cada uno de los integrantes del grupo auditor:
Jonatn Guzmn
Yuleidy Alexandra Barreto Pez
Nicols Garca
Jorge Dussan

Lider de auditoria servidores y red

de datos
Auditor 2 usuarios del sistema
Auditor 3 servidores
Auditor 4 Software-BackUps

Recursos Fsicos: La auditora se llevar a cabo en el rea de sistemas de

la empresa E.S.E Hospital San Vicente de Pal de Paipa ubicado en la
Carrera 20 N 21-37 Paipa-Boyac-Colombia.
Recursos Tecnolgicos: cada uno de los elementos tecnolgicos utilizados
para llevar a cabo la auditoria

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

Computador porttil para capacitacin

Software de HC
Software para grabar el paso a paso de la capacitacin
Editor de video
video Beam
internet
Software para pruebas de red y seguridad

Recursos econmicos:
tem
Cantidad
Computador
2
Software DE HC
1
Software para grabar el paso a 1
paso de la capacitacin
Editor de video
1
Video Beam
1
Internet
Papelera
1
Total

Diagrama de Gannt

subtotal
2.000.000
400.000
100.000
90000
1200000
60000
100000
3950000

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORIA DE SISTEMAS
CDIGO. 90168A

Conclusiones

Referencias bibliogrficas
http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-informtica
http://es.slideshare.net/simondavila/clase-riesgosamenazasvulnerabilidades
http://www.scielo.org.co/pdf/rfing/v23n37/v23n37a07.pdf
http://www.ransecurity.com/wpcontent/uploads/2015/05/S.E._Gestion_de_Vulnerabilidades.pdf