UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

INGENIERIA DE SISTEMAS
Fase 2 - Planeación de auditoría

EDGAR MIGUEL DELGADO ORTIZ

ALVARO AUGUSTO FUENTES

JAIRO ANDRES CRIOLLO

WILLIAM JESUS PULIDO

GRUPO: 90168_7

10 DE JULIO DE 2017
 INTRODUCCION

El aspecto competitivo que marca el entorno económico ha creado nuevas perspectivas, que obliga a
las empresas en la actualidad a mantenerse en el mercado con la calidad que se demanda en los
productos y servicios.

Existe incertidumbre del buen funcionamiento y estabilidad económica empresarial, fomentar,

corregir o al menos poner en evidencia todo error, faltas que se producen como resultado de fallas
administrativas, mecánicas o humanas, lo más eficaz en cualquier empresa, independientemente de
su tamaño ya sea nacional o trasnacional.

Para poder solucionar estos problemas es necesario aplicar procedimientos que permitan un mejor
control de las operaciones, para esto implementaremos medidas más confiables como sistemas de
informática que nos ayudan a mejorar aspectos físicos reales o intangibles de un ente económico así
como la administración del personal, políticas y controles de calidad.

Debido a que la auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de
la organización que participan en el procesamiento de la información, a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de

un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información
en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de

información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de
información, hardware y software).

OBJETIVOS

OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo,
su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización
más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS

INFRAESTRUCTURA/FÍSICO

➢Evaluar la prevención y el monitoreo de seguridad contra incendio o detección del mismo, ya que
algunos elementos de tipo eléctrico quedan a la intemperie sin protección y aislamiento.

➢ Evaluar la parte física del aula de informática en especial las ventanas para garantizar la buena
protección de los equipos y el personal frente al medio ambiente.

➢Evaluar el abastecimiento de aire y si es posible examinar los recursos para determinar si se puede
abastecer el aula con un aire acondicionado de buena capacidad que mantenga una buena temperatura
dentro de la sala en especial.

➢Evaluar la estabilidad de las estructuras e infraestructuras físicas e implementar su mejoría.

➢Evaluar e implementar la ergonomía en los muebles y equipos (sillas).

➢Evaluar controles de niveles de humedad relativa del ambiente e implementar la mejoría.

➢Evaluar planta eléctrica de respaldo

PERSONAL

➢Evaluar el personal externo que provee servicio técnico y si este control preventivo es suficiente y
adecuado, al mismo tiempo examinar si este servicio lo puede hacer el personal encargado de la sala
y así administrar mejor los recursos de la institución.

HARDWARE

➢Evaluar el uso, control y acceso de unidades portables que se utilizan sin escaneo y que producen
la perdida de información y la contaminación de los equipos con virus.

➢Evaluar el mantenimiento físico, el proceso o adquisición de repuestos e insumos para los equipos.

➢Evaluar el control, organización y manejo (donde van y donde se aseguran cuando se entregan) de
los equipos de almacenamiento de datos.
NIVEL DE USUARIO/ PERSONAL

➢ Evaluar el control de acceso personalizado, manejo de contraseñas y cuentas de usuario de las

unidades informáticas.

➢ Evaluar los procedimientos, prevención de daños físicos e informáticos con relación a la

capacitación, inducción y sensibilización sobre riesgos.

➢ Evaluar el manejo de los sistemas y herramientas que causan la mala manipulación y el modo
inadecuado que causa desconfiguración, daños y pérdidas.

PÓLITICAS/ PROCEDIMIENTOS / LÓGICA

➢Evaluar la documentación existente como medio de información para la manipulación y el buen

uso del hardware y software.

➢ Evaluar la definición de perfiles, privilegios y definiciones de privacidad en cuanto a la

información confidencial.

➢ Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el

cumplimiento de los mismos.

➢ Evaluar planes de contingencia en caso de pérdidas de información, falta de mantenimiento

preventivo.

REDES

➢Evaluar el acceso a la RED WIFI incluyendo privilegios y Contraseñas.

➢Evaluar la Transmisión no cifrada de datos

➢Evaluar el cableado, enrutamiento.

SOFTWARE

➢Evaluar el uso de software si es o no es licenciado en la empresa y analizar la actualización de los

antivirus, copias no autorizadas y si permiten su propia actualización.

➢ Evaluar el sistema operativo incluyendo como se adquirió, si tiene soporte y si permite su

actualización.

➢Evaluar el diseño y prueba de los sistemas del área de Informática

➢ Evaluar el software de antivirus presente en cada estación de servicio y en los equipos de los
docentes y el personal administrativo.

➢Evaluar la eficiencia y control de acceso y a cada uno de los equipos, esto incluye la seguridad de
la puerta y sus respectivas llaves.

METODOLOGÍA

La metodología de investigación a utilizar en el proyecto se presenta a continuación:

Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:

➢Solicitud de los estándares utilizados y programa de trabajo.

➢Aplicación del cuestionario al personal.

➢Análisis y evaluación de la información.

➢Elaboración del informe.

Para la evaluación de los sistemas tanto en operación como en desarrollo se

llevarán a cabo las siguientes actividades:

➢Solicitud del análisis y diseño de los sistemas en desarrollo y en operación.

➢Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del

usuario, diseño de archivos y programas).

➢ Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de

información, formatos, reportes y consultas).

➢Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos Análisis del avance
de los proyectos en desarrollo, prioridades y personal asignado.

➢Entrevista con los usuarios de los sistemas.

➢Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario

➢ Análisis objetivo de la estructuración y flujo de los programas Análisis y evaluación de la

información recopilada.

➢Elaboración del informe

Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:

➢ Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre
ampliación de equipo, su actualización.

PLANEACIÓN Y ORGANIZACIÓN

Este dominio cubre las estrategias y tácticas que tienen que ver con identificar la manera en que las
tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de la
entidad. Para ello los procesos que se realizaran y los objetivos de control que se van a evaluar son
los siguientes:
Determinar la Dirección Tecnológica. La función de servicios de información es crear un plan de
infraestructura tecnológica, física, un comité de dirección técnica que establezca los alcances a nivel
de manejo de la información, contemplando aspectos como: arquitectura de sistemas, dirección
tecnológica, adquisición y contingencias.

Planeación de la Dirección Tecnológica Se determinará si el Instituto actualmente reconoce las

tecnologías existentes y emergentes y sabe cuál es la dirección tecnológica apropiada para establecer
la arquitectura de sistemas de la misma. Si identifica el plan de contingencia de la

Infraestructura.

Estándares tecnológicos. La empresa debe contar con soluciones tecnológicas consistentes,

efectivas y seguras que cubran todo el manejo de la información, asesoría sobre el manejo de todos
los equipos o partes de la infraestructura y medir el cumplimiento de estos estándares.

Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar
claro y definido el personal de la tecnología de la información, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos.

➢ Establecimiento de roles y responsabilidades: Evaluar el cumplimiento de los roles y las

responsabilidades definidas para el personal de TI, en el área sistemas (administrador de redes,
administrador de estaciones, supervisor de los indicadores de cumplimiento).

➢ Responsabilidad de Aseguramiento de Calidad de TI: Asignar la responsabilidad para el

desempeño de la función de aseguramiento de calidad (QA) y proporcionar al grupo de QA sistemas
de QA, los controles y la experiencia para comunicarlos. Asegurar que la ubicación organizacional,
las responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la sala de
cómputos y estaciones informáticas administrativas.

RECURSOS

Falta definir por Álvaro que conoce la empresa.

CUBO DE COBIT
 CRONOGRAMA

MESES JUNIO JULIO AGOSTO

ITEMS ACTIVIDADES 3 4 1 2 3 4 1 2 3 4
1 diagnostico
2 identificacion de elemento e infromacion
3 diseño del plan de accion
4 especificacion de estrategias
5 recursos
6 aplicación de la auditoria
7 resultados de la auditoria
8 recomendaciones
9 socializacion de resultados