AUDITORIA DE SISTEMAS 1

Trabajo Colaborativo 1
Vulnerabilidades, amenazas y riesgos. Plan y Programa auditoria

Presentado Por:

Carmen Alicia Obando Paz – Código: 1085283902

Diego Fernando Estacio Martínez – Código:
Alexy Amanda Paz Meneses – Código: 1085254537
Edwin Giovany Patiño Castrillón – Código: 1085259588

No. de Grupo 90168_28

Presentado a

Francisco Nicolás Solarte

Universidad Nacional Abierta y a Distancia UNAD CEAD Pasto

Escuela de Ciencias Básicas y Tecnología ECBTI

Octubre de 2016
 AUDITORIA DE SISTEMAS 2

INTRODUCCIÓN

El avance tecnológico tanto de la computación como de los sistemas de

información si bien facilita y agilizan los procesos, a su vez también se ven
vulnerables ante diversos factores que pueden poner en riesgo su correcto
funcionamiento. Por tanto para que no suceda eso es necesario revisar e
inspeccionar los proyectos tecnológicos y de información que es propiamente la
función de la auditoria para poder brindar un mejor trabajo de control a la
sociedad. La auditoría en informática es la revisión y evaluación de procesos
implementados en la empresa con respecto a sus equipos de cómputo y sistemas
de información, da respuestas entre muchas a cómo está funcionando, cómo se
están utilizando, cuáles son sus costos - beneficios, cuáles son sus riesgos, etc.
Estas auditorías son necesarias también para lograr una utilización más eficiente y
segura de la información. Todo esto hace que la auditoria de sistemas sea de gran
importancia para el buen uso, desempeño y optimización de los sistemas de
información en el contexto administrativo, institucional, social, económico etc.
 AUDITORIA DE SISTEMAS 3

OBJETIVO GENERAL

 Aplicar a través de un ejercicio práctico los procesos que se llevan a cabo

en una auditoria de sistemas para logra una utilización más eficiente de
todos los recursos de la empresa.

Objetivos específicos

 Reconocer las vulnerabilidades, amenazas y riesgos en la empresa

seleccionada.

 Elaborar un plan de auditoria.

 Determinar los dominios, procesos y sus respectivos objetivos de control

dentro como parte de una auditoria al supermercado Amorel haciendo uso
de la metodología COBIT.

INFORME DE CONSTRUCCIÓN GRUPAL
1. VULNERABILIDADES, AMENAZAS Y
DETECTADOS EN LA EMPRESA PROPUESTA
N° Vulnerabilidad
Falta de inducción,
1 capacitación y
sensibilización sobre
riesgos
Falta de control en el
2 análisis de las unidades de
almacenamiento
Falta de actualización del
sistema operativo de
3 algunos equipos de
cómputo los cuales tienen
Windows XP
Falta de mantenimiento
4 físico(repuestos, insumos)
No eliminación de archivos
5 temporales de los discos
duros locales
Inadecuado empalme y
6 entrega de cargos por parte
de los empleados
Algunos equipos no
7 cuentan con contraseñas de
acceso
Uso inadecuado del correo
8 institucional
Falta de controles para el
9 acceso a internet en
algunas unidades de
negocio
La prestación de servicio de
un agente de una empresa
10 externa.
11 Fallas en la red
Falta de utilización de
12 firewall en los equipos o en
la red en algunas unidades
de negocio
13 Renuncias constantes a
cargos
14 Daño accidental
AUDITORIA DE SISTEMAS 4
RIESGOS INFORMÁTICOS
Amenazas Riesgo Categoría
Mal manejo de sistemas y Perdida de datos por error del Personal
herramientas informáticas usuario
Infección de sistemas a Perdida de información y daño Hardware
través de unidades en el sistema operativo
portables sin escaneo
Manipulación de la Adquisición de software que Software
configuración no tiene soporte del fabricante
Difusión de software
dañino
Fallos en el sistema
operativo
Falta de mantenimiento Fallas en el arranque Hardware
correctivo y preventivo Daño de equipos
periódico.
Falta de mantenimiento Funcionamiento poco optimo Software
del equipo
Desinformación y falta de Ineficiencia y pérdida de Personal
conocimiento tiempo
Control de acceso Ataques de intromisión e Seguridad
ingeniería social lógica
La mala utilización del Fuga de información Seguridad
correo, ya que no se lógica
utiliza solo para
comunicación laboral.
Falta control en el acceso Robo de información Seguridad
y navegación de sitios lógica
web
El trabajador externo Atentados a las instalaciones Manejo y control
puede ser una víctima de la empresa de personal
incógnita, indirecta y
presencial a una agresión
externa en contra de la
Empresa.
Perdida de conexión Interrupción y perdida del Redes
acceso a internet
Errores de configuración Red local insegura Redes
La falta de compromiso y Retraso en las tareas y Personal
pertenencia a la empresa actividades designadas al
cargo
Derrame de un líquido Daño del equipo o partes Personal
 AUDITORIA DE SISTEMAS 5

sobre los equipos físicas

15 Falta de actualización de
datos por parte de los
usuarios
Fallas físicas o lógicas en
dispositivos de
16 almacenamiento como
discos duros de los equipos.
Manejo inadecuado del
17 software como bases de
datos con los que cuenta la
entidad
Falta de restricciones para
18 dispositivos como USB, CD-
ROM- DVD entre otros.
Sustracción de equipos de
19 cómputo y periféricos de las
oficinas.
Falta de personal que
20 realice mantenimiento
correctivo y preventivo a los
equipos.
Controles de restricción de
21 privilegios de uso en los
equipos de cómputo.
Fallas en conexiones de red
22 de la entidad
Falencias en el servidor de
la entidad que recibe y
23 almacena la información
obtenida en campo por
parte de cada una de las
regiones.
Problemas en la Red que
24 impiden compartir carpetas,
archivos necesarios para
todo el grupo de trabajo
El Cableado eléctrico y de
redes con los que cuenta el
25 área de trabajo se
encuentra expuesto sin
ninguna señalización.
El área de trabajo cuenta
con equipo de cómputo de
baja gama.
Suplantación de identidad
No se cuenta con una
copia de seguridad en un
disco u espacio de
almacenamiento diferente
a los equipos del
personal.
Errores en la base de
datos
Fácil acceso a Sustracción de inflación de la
dispositivos para guardar
información confidencial
de la empresa.
Personal interno y externo
de la empresa puede
robar fácilmente equipos
de cómputo u periféricos.
Deterioro por no revisión
de los equipos.
Instalación de software
espía, dañino para el
sistema de la entidad.
No acceso a la red de la
entidad.
Imposibilidad de cargue
en la base de datos y
posterior análisis de la
información recolectada
por el personal de campo
de las diferentes
regiones.
Contar con los archivos y
documentos necesarios
para poder realizar los
diferentes informes
Desconexión a la red de
la entidad por error o
desconocimiento y dallo
en los equipos por corto o
problemas eléctricos
Los equipos presenten
problemas de lentitud y
pérdida de información
Errores en la prestación del Personal
servicio y atención del usuario
Pérdida de información Software
importante para la empresa
que se encuentra almacenada
en los equipos de cómputo.
Falta de fiabilidad en la Software
información suministrada en el
análisis de datos.
Software
entidad.
Perdida de la información Hardware
contenida en los equipos,
perdida del patrimonio de la
entidad.
Fallas en los equipos de Personal
cómputo por falta de soporte.
Sustracción o perdida de Software
información
Baja productividad debido a Redes
que los equipos no se
conectaran al software de red
necesario para trabajar.
Falta de información y análisis Seguridad
para la generación de lógica
resultados de cada una de las
diferentes encuestas.
Falta de archivos y Redes
documentos que deben ser
conocidos por todo el grupo
trabajo para generar los
diferentes informes
Falta de comunicación interna Redes
en el grupo de trabajo por
desconexión de la red y
perdida de información por
daños en los equipos
atribuidos a problemas
eléctricos.
Perdida de información y Software
retraso en la realización de las
diferentes actividades debido a
 AUDITORIA DE SISTEMAS 6

27 porque cuentan con las la baja capacidad o gama de

capacidades necesarias los equipos de cómputo con
para desarrollar las los que cuenta el área.
actividades inherentes al
área de trabajo.
Sustracción o pérdida de Perdida de la Falta de documentación Manejo y control
28 archivos físicos debido a la documentación archiva soporte de las encuesta de personal
falta de llaves en los referente a las encuestas agropecuarias por pérdida o
archivadores agropecuarias. Sustracción

No existe hoja de vida de No se sabe las Fallas de red al no tener Seguridad

29 los equipos de la entidad.
No existe control contra
30 incendios
Falta de actualización de los
31 antivirus, ya que son copias
ilegales que no permiten su
actualización.
Los servidores y equipos
del área de sistemas no se
32 encuentran bajo algún
armario cerrado o en
alguna oficina con acceso
restringido.
Falta de actualización y
configuración adecuada del
33 equipo, lo que no podría
realizarse con efectividad
sino se cuenta con un
sistema original
El cableado estructurado de
la red se encuentra a la
34 intemperie
35 Falta definición y Al no tener las directivas
delimitación de las áreas de
cada integrante.
Fallas en los sistemas
operativos instalados
36
Tener un punto de acceso
con un puerto de datos para
que todas las
37 comunicaciones en la red
sean "públicas" dentro del
rango de transmisión del
características físicas y registradas las direcciones IP lógica
de software que cuenta la para no repetirlas. Perdida de
entidad. periféricos, cambio de sistema.
En caso de un incendio Perdida de información y de Seguridad física
no existe una planeación patrimonio de la empresa.
para afrontar dicho
suceso.
Difusión de software Uso de software no licenciado Software
dañino
Acceso físico a los Acceso no autorizado al área Manejo y control
recursos del sistema de sistemas de personal
Falta de concientización y Fallas en la configuración de Software
de programación de las los equipos
mismas por parte de
personal de sistemas.
La manipulación de esta Daños de las comunicaciones. Redes
red presenta daños,
rupturas y su transmisión
de datos suelen presentar
varias caídas de paquetes
de información.
Accesos Físicos ilimitados a Seguridad física
de usuarios en el las áreas restringidas de la
servidor. empresa
Ausencia de parches de Caídas de los sistemas Software
seguridad y operativos
actualizaciones, pérdida
de información.
No utilización de software
licenciado.
War driving: software que Tener puntos de acceso a la Software
permite hacer un mapa red sin protocolos de
exacto de la ubicación de seguridad (WEP-WAP).
puntos de acceso
inalámbricos abiertos con
la ayuda de un sistema de
 AUDITORIA DE SISTEMAS 7

punto de acceso en la red. posicionamiento global

(GPS).
Cableado estructurado Fuerte impacto No tener un plan de Hardware
desgastado y sin económico por perdida de contingencia para identificar
38 certificación. información, daños de las áreas vulnerables y definir
equipos, cableado a la la distribución del sistema de
intemperie y de fácil cableado estructurado.
acceso.
Tener Bug´s en el sistema. Bug: comúnmente No tener programas que Hardware/Softw
conocido como («bicho»), ayudan a la detección de are
39 es un error o fallo en un bug´s y eliminación de errores
programa o hardware de de programación de software
computador que son denominados depuradores
desencadena un (debuggers).
resultado indeseado.
40 Tener un agujero de Exploit: es un software al No mantener todas nuestras Seguridad
seguridad (vulnerabilidad), que se le puede aplicaciones y sistemas lógica
un atacante podría usarla proporcionar actualizados: sabiendo que los
en su beneficio. involuntariamente los exploits se aprovechan de los
permisos necesarios agujeros de seguridad, resulta
para poder ejecutarse en vital cerrarlos cuanto antes.
un sistema e infectarlo Por eso es necesario
(virus) aprovechándose mantener una política de
de una vulnerabilidad. actualizaciones eficaz para
evitar dejar una ventana de
tiempo que pueda ser
aprovechada por los
atacantes.
Software no autorizado. Tener paquetes Pude existir fuga de Software
41 informáticos sin licencia, información, saturación de la
sin autorización se red, consumo excesivo de los
considera delito. discos duros.
Poco control y fácil acceso Personal no calificado o No limitar al personal sobre Hardware
a las instalaciones. externo con acceso sus funciones y el nivel de
ilimitado a los recursos de acceso a los recursos de la
42 la red. LAN permite perdidas
económicas. Posibilidad de ser
robados o dañados los discos,
cintas, listados de impresora,
etc.
Seguridad limitada en la WLAN Escáners o Pasar por alto la ubicación y Hardware/Softw
infraestructura de las "Ataque de Vigilancia", puntos estratégico vulnerables are
instalaciones de la consiste en recorrer un nos puede generar grandes
empresa. lugar que se desea pérdidas económicas.
43 invadir para descubrir
redes WLAN activas en
dicho lugar, así como
equipamientos físicos,
para un posterior ataque
o robo.
Temperatura Condiciones Los elementos de una red Hardware
medioambientales. sufren recalentamiento de sus
dispositivos por su utilidad o
por el ambiente, no tener
44 cuartos apropiados para
 AUDITORIA DE SISTEMAS 8

nivelar la temperatura por

ejemplo servidores, rack
pueden sufrir de
recalentamiento y eventual
daño.
Condiciones geográficas Existen varios factores del Daño eventual por oxidación, Hardware
ambiente dependiendo de impacto económico en gran
45 la región como por escala. Se debe hacer
ejemplo en la costa la manteamiento preventivo y
salinidad del mar afecta el correctivo para minimizar el
hardware de una red. impacto.
Personas mal intencionadas Ejecución de código Modificación desautorizada de Seguridad
dispuestas añadir malicioso y o modificación los datos, o de software lógica,
información a programas no de archivos instalado en el sistema, Manejo y control
autorizados en el sistema. incluyendo borrado de de personal
46 Por ejemplo, el añadir archivos.
campos y registros en una
base de datos, o adicionar
código en un programa
(virus), o la introducción de
mensajes no autorizados en
una línea de datos.
Seguridad lógica limitada. Ejecución de código y Robo de información, Seguridad
47 software malicioso para intercepción de mensajes lógica
vulnerar la seguridad de
una red inalámbrica.
Access Point Spoofing o
"Asociación Maliciosa": en
este caso el atacante se
hace pasar por un access
point y el cliente piensa
estar conectándose a
una red WLAN
verdadera. Ataque
común en redes ad-hoc.
No tener control sobre los MAC Spoofing o No administrar una base de Seguridad
dispositivos conectados en "enmascarar el MAC", datos pertinente a la IP o lógica
la red ocurre cuando alguien dirección MAC de los
roba una dirección MAC dispositivos conectados a la
de una red haciéndose red nos hace susceptibles a
48 pasar por un cliente pasar desapercibidos equipos
autorizado. En general, externos.
las placas de redes
permiten el cambio de lo
numero MAC por otro, lo
que posibilita este tipo de
ataque.
 AUDITORIA DE SISTEMAS 9

2. PLAN DE AUDITORIA

Objetivo General. Evaluar a través del diagnóstico pertinente el funcionamiento,

la eficiencia, la eficacia y seguridad de las instalaciones, los componentes de la
red, el software y el personal que administra los procesos tecnológicos de la
empresa.
Alcance. La auditoría se realizará en las siguientes plataformas del supermercado
Amorel:

Evaluaremos el software Multi usuario llamado SYSCAFE el cual es utilizado por

los cajeros (6), administradores (1), contador (1) liquidador (1) para manejar la
información disponible. Este Software es multiproceso.
Las instalaciones del Supermercado Amorel y todos los dispositivos físicos
conectados a la red: El servidor, el rack, el hardware que utilizan los cajeros, el
administrador, el contador y el liquidador, además distribución y estado del
cableado, normas y protocolos.
Capacidad del recurso humano para administrar los recursos de la red.
En el módulo de administración financiero se evaluará. La integridad y
seguridad de los datos financieros como el patrimonio, ingresos, egresos (el pago
a bancos, proveedores, impuestos, salarios a empleados, etc.), transacciones
registradas, el activo (bienes y derechos financieros de la empresa, que tiene la
persona o empresa), el pasivo (las obligaciones: es el financiamiento provisto por
un acreedor y representa lo que la persona o empresa debe a terceros), así como
la participación de los accionistas que se refleja en los estados financieros.
En cuanto al hardware: Los procesos de actualización, mantenimiento y
adquisición de servidores, terminales, dispositivos de red, hubs, switch, routers,
Rack, Host, Estaciones de trabajo, cable UTP, coaxial, cobre, Tarjeta de conexión
a la red, Brouters, Firewall, Software, Sistema operativo de red, datafonos.

En cuanto al sistema de información: Se evaluará la funcionalidad,

procesamiento, seguridad de la base de datos, seguridad del sistema operativo y
seguridad de la red, las entradas y salidas generadas por el sistema, la calidad de
los datos de entrada, la configuración del sistema, la administración del sistema, y
planes de contingencias.
En cuanto a la operatividad del sistema: Se evaluara los usuarios que manejan
la información, la administración del sistema y el monitoreo del sistema.
 AUDITORIA DE SISTEMAS 10

3. LOS DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

Para realizar el proceso de auditoría al manejo del software SYCAFE, se utilizará

la metodología COBIT, donde se seleccionan los dominios, procesos y algunos
objetivos de control que están en relación directa con el objetivo y los alcances
que han sido definidos en el plan de auditoría.

A continuación, se presentan los dominios, procesos y objetivos de control

relacionados directamente con el objetivo y los alcances determinados en el plan
de auditoría.

PLANEACIÓN Y ORGANIZACIÓN (PO).

Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la
manera en que las tecnologías de información pueden contribuir de la mejor
manera al logro de los objetivos de una entidad. Para ello los procesos que se
realizaran y los objetivos de control que se van a evaluar son los siguientes:

PO1 Definir un Plan Estratégico de TI

La definición de un plan estratégico de tecnología de información, permite la
gestión y dirección de los recursos de TI de acuerdo a las estrategias y
requerimientos del área contable, los objetivos de control a evaluar son:

 PO1.3 Evaluación del Desempeño y la Capacidad Actual: Evaluar el

desempeño de los planes existentes y de los sistemas de información en
términos de su contribución a los objetivos de la empresa, su funcionalidad,
su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.

PO4 Definir los Procesos, Organización y Relaciones de TI

Dentro del área de contabilidad debe estar claro y definido el personal de la
tecnología de la información, los roles, las funciones y responsabilidades,
permitiendo el buen funcionamiento de servicios que satisfagan los objetivos de la
empresa.

 PO4.6 Establecimiento de roles y responsabilidades: Evaluar el

cumplimiento de los roles y las responsabilidades definidas para el personal
de TI, en el área contable.
 PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión
dentro de la función de TI para garantizar que los roles y las
responsabilidades se ejerzan de forma apropiada, para evaluar si todo el
personal cuenta con la suficiente autoridad y recursos para ejecutar sus
 AUDITORIA DE SISTEMAS 11

roles y responsabilidades y para revisar en general los indicadores clave de

desempeño.

P07. Administrar los Recursos Humanos de TI.

Mantener y motivar una fuerza de trabajo para la administración eficiente de los
recursos TI.

 PO7.4 Entrenamiento del Personal de TI: Proporcionar a los empleados de

TI la orientación necesaria al momento de la contratación y entrenamiento
para el uso eficiente de TI.

PO9 Evaluar y administrar los riesgos de TI

Encargado de identificar, analizar y comunicar los riesgos de TI y su impacto
potencial sobre los procesos y metas de la dependencia, con el objetivo de
asegurar el logro de los objetivos de TI.

 PO9.1 Marco de trabajo de administración de riesgos: El área contable

deberá establecer un marco de referencia de evaluación sistemática de
riesgos. Deberá contener una evaluación regular de los riesgos de la parte
física de las comunicaciones y servidores e indicadores de cumplimiento.
 PO9.3 Identificación de eventos: Identificar riesgos (una amenaza
importante y realista que explota una vulnerabilidad aplicable y
significativa), clasificar si son relevantes y en qué medida afectan los
objetivos en este caso al área contable.
 PO9.4 Evaluación de riesgos de TI: Medir los riesgos, a través de la
evaluación recurrente de la probabilidad e impacto de los riesgos
identificados, usando métodos cuantitativos y cualitativos, que permitan
obtener la magnitud del riesgo encontrado.
 PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el
proceso de respuesta a riesgos debe identificar estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar responsabilidades y
considerar los niveles de tolerancia a riesgos y así lograr mitigarlos.
 PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:
Priorizar y planear las actividades de control y respuesta a la solución de
riesgos encontrados, teniendo en cuenta también la parte económica de la
solución de esta prioridad. Monitorear la ejecución de los planes y reportar
cualquier desviación a la alta dirección.

ADQUIRIR E IMPLEMENTAR (AI)

Dominio: Para llevar a cabo la estrategia TI, se debe identificar las soluciones,
desarrollarlas y adquirirlas, así como implementarlas e integrarlas en la empresa,
 AUDITORIA DE SISTEMAS 12

esto para garantizar que las soluciones satisfaga los objetivos de la empresa. De
este dominio se aplicaran las siguientes actividades:

AI2 Adquirir y Mantener Software Aplicativo

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
área contable. Este proceso cubre el diseño de las aplicaciones, la inclusión
apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y
la configuración en sí de acuerdo a los estándares. Esto permite a la Universidad
apoyar la operatividad de la dependencia de forma apropiada con las aplicaciones
automatizadas correctas

 AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad

de las aplicaciones y los requerimientos de disponibilidad en respuesta a
los riesgos identificados y en línea con la clasificación de datos, la
arquitectura de la información, la arquitectura de seguridad de la
información y la tolerancia a riesgos de la organización.
 AI2.5 Configuración e Implantación de Software Aplicativo Adquirido:
Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.
 AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de
cambios importantes a los sistemas existentes que resulten en cambios
significativos al diseño actual y/o funcionalidad, seguir un proceso de
desarrollo similar al empleado para el desarrollo de sistemas nuevos.
 AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y
un plan para el mantenimiento de aplicaciones de software.

AI3 Adquirir y Mantener Infraestructura Tecnológica

Las Dependencias deben contar con procesos para adquirir, Implementar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias
tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.

 AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un

plan de mantenimiento de la infraestructura y garantizar que se controlan
los cambios, de acuerdo con el procedimiento de administración de
cambios de la dependencia. Incluir una revisión periódica contra las
necesidades, administración de parches y estrategias de actualización,
riesgos, evaluación de vulnerabilidades y requerimientos de seguridad.
 AUDITORIA DE SISTEMAS 13

ENTREGAR Y DAR SOPORTE (DS).

Encargado de garantizar la entrega de los servicios requeridos por la empresa y

se evalúan los siguientes:

DS4 Garantizar la Continuidad del Servicio

Es importante que dentro de la empresa se garantice la continuidad de los
servicios de TI, para ello es importante desarrollar, mantener y probar planes de
continuidad y así asegurar el mínimo impacto en caso de una interrupción de
servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los
planes de contingencia de TI, con entrenamiento y pruebas de los planes de
contingencia de TI y guardando copias de los planes de contingencia.

 DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones:

Almacenar fuera de las instalaciones todos los medios de respaldo,
documentación y otros recursos de TI críticos, necesarios para la
recuperación de TI y para los planes de continuidad del área contable. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entre los responsables de los procesos de la dependencia y el personal de
TI. La administración del sitio de almacenamiento externo a las
instalaciones, debe apegarse a la política de clasificación de datos y a las
prácticas de almacenamiento de datos de la Universidad. Las directivas de
TI debe asegurar que los acuerdos con sitios externos sean evaluados
periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware y del software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.

DS5 Garantizar la seguridad de los sistemas

Garantizar la protección de la información e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de seguridad de la TI.
Los objetivos de control que se evaluarán son los siguientes:

 DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la

dependencia, riesgos y cumplimiento dentro de un plan de seguridad de TI
completo, teniendo en consideración la infraestructura de TI y la cultura de
seguridad. Asegurar que el plan esta implementado en las políticas y
procedimientos de seguridad junto con las inversiones apropiadas en los
servicios, personal, software y hardware. Comunicar las políticas y
procedimientos de seguridad a los interesados y a los usuarios.
 AUDITORIA DE SISTEMAS 14

 DS5.3 Administración de Identidad: Asegurar que todos los usuarios

(internos, externos y temporales) y su actividad en sistemas de TI (Entorno
de TI, operación de sistemas, desarrollo y mantenimiento) deben ser
identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de
acceso del usuario al sistema y los datos están en línea con las
necesidades del módulo definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad.
 DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de
usuario y de los privilegios relacionados, sean tomados en cuenta por un
conjunto de procedimientos. Debe incluirse un procedimiento de aprobación
que describa al responsable de los datos o del sistema otorgando los
privilegios de acceso. Estos procedimientos deben aplicarse a todos los
usuarios, incluyendo administradores (usuarios privilegiados), usuarios
externos e internos, para casos normales y de emergencia. Los derechos y
obligaciones relativos al acceso a los sistemas e información del módulo
deben acordarse contractualmente para todos los tipos de usuarios.
Realizar revisiones regulares de la gestión de todas las cuentas y los
privilegios asociados.
 DS5.9 Prevención, Detección y Corrección de Software Malicioso
Garantizar procedimientos para el manejo y corrección de problemas
ocasionados por software malicioso generalmente en el caso de virus
 DS5.10 Seguridad de la Red: En la Universidad al existir conexión a la red
de internet se debe implementar el uso de técnicas de seguridad y
procedimientos de administración asociados como firewalls, para proteger
los recursos informáticos y dispositivos de seguridad.

DS9 Administración de la Configuración

Mantener un depósito centralizado donde se almacene la información de
configuración de software y hardware, ofreciendo así mayor disponibilidad a los
usuarios y administradores del sistema, además de mantener un inventario
actualizado de la existencia física de TI. El objetivo de control que se evaluara es
el siguiente:
 AUDITORIA DE SISTEMAS 15

 DS9.3 Revisión de Integridad de la Configuración: El Centro de Informática

debe revisar periódicamente los datos de configuración para verificar y
confirmar la integridad de la configuración actual y ejecuta rutinas de
revisión de software instalado para establecer inconsistencias o
desviaciones que perjudiquen los intereses de la Universidad o que violen
políticas de uso.

DS12 Administración del Ambiente Físico

La protección del equipo de cómputo y del personal, requiere de instalaciones bien
diseñadas y bien administradas. El proceso de administrar el ambiente físico
incluye la definición de los requerimientos físicos del centro de datos, la selección
de instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del módulo ocasionadas por daños al
equipo de cómputo y al personal.

 DS12.1 Selección y Diseño del Centro de Datos: el área contable de la

empresa debe definir y seleccionar los centros de datos físicos para el
equipo de TI para soportar la estrategia de tecnología ligada a la estrategia
del negocio. Esta selección y diseño del esquema de un centro de datos
debe tomar en cuenta el riesgo asociado con desastres naturales y
causados por el hombre. También debe considerar las leyes y regulaciones
correspondientes, tales como regulaciones de seguridad y de salud en el
trabajo.
 DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad
físicas alineadas con los requerimientos de la empresa. Las medidas deben
incluir, zonas de seguridad, la ubicación de equipo crítico y de las áreas de
envío y recepción. En particular mantenga un perfil bajo respecto a la
presencia de operaciones críticas de TI. Deben establecerse las
responsabilidades sobre el monitoreo y los procedimientos de reporte y de
resolución de incidentes de seguridad física.
 DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar,
limitar y revocar el acceso a locales, edificios y áreas de emergencias. El
acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse
y monitorearse.
 DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar
medidas de protección contra factores ambientales. Deben instalarse
dispositivos y equipo especializado para monitorear y controlar el ambiente.
 DS12.5 Administración de Instalaciones Físicas: Se debe administrar las
instalaciones, incluyendo el equipo de comunicaciones y de suministro de
 AUDITORIA DE SISTEMAS 16

energía, de acuerdo con las leyes y los reglamentos, los requerimientos

técnicos y de la institución, las especificaciones del proveedor y los
lineamientos de seguridad y salud.

DS13 Administración de Operaciones

Se requiere de una efectiva administración protección de datos de salida

sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
en la empresa. Para ello se aplicara el siguiente objetivo de control:

 DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los

procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o de la
disminución del desempeño.

DOMINIO MONITOREAR Y EVALUAR (ME).

Dominio. Todos los procesos que se llevan a cabo a través del software SYCAFE
necesitan ser evaluados periódicamente, esto con el fin de verificar su eficiencia,
calidad y funcionamiento adecuado en cuanto a los requerimientos y necesidades
del Supermercado, por lo tanto, se evaluara lo siguiente:

ME1. Monitorear y Evaluar el desempeño del Software: Se monitorea el

funcionamiento y desempeño del software para ofrecer un buen servicio a los
clientes que acuden al supermercado y asegurar la efectividad en la generación de
los reportes contables y administrativos.

ME2. Monitorear y Evaluar el Control Interno: Se debe generar nuevas

alternativas para incrementar la afluencia de clientes que visitan el supermercado.
 AUDITORIA DE SISTEMAS 17

CONCLUSIONES

 Las auditorias son de gran importancia en las empresas ya que garantizan

y fiscalizan el buen uso de los sistemas de información, dando mayor
certeza de la confiabilidad de estos y propiciando más y mejores resultados,
reducción de costos a futuro y de inconvenientes.

 La auditoría en informática es de vital importancia para el buen desempeño

de los sistemas de información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad.

 La metodología COBIT facilita el desarrollo de una auditoria, puesto que

consta de un índice de referencia de procesos, indicadores de objetivos
clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para
controlar los procesos y ofrece además un conjunto de “mejores prácticas”
para la gestión de los Sistemas de Información de las organizaciones.

 COBIT se aplica a los sistemas de información que utiliza todo tipo de

empresa, convirtiéndose en un herramienta útil para llevar a cabo auditorias
completas puesto que incluye hardware, software, el componente humano y
el contexto físico.
 AUDITORIA DE SISTEMAS 18

REFERENCIAS BIBLIOGRÁFICAS

 Modulo Auditoria de sistemas, disponible en:

http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_
DE_AUDITORIA_GGGG.pdf

 Norma de mejores prácticas de TI CobIT 4.1, disponible en:

http://campus06.unad.edu.co/ecbti08/pluginfile.ph
p/5935/mod_resource/content/3/cobiT4.1spanish.pdf