FASE 3: FASE DE PLANEACION Y EJECUCION

FRAYLEN ALFONSO MARIN

Código: 15342986

LORENA BEDOYA MADRID

Código: 67030152

AUDITORIA DE SISTEMAS

Grupo

90168_22

Tutor:

FREDY ALEXANDER MOJOCOA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

SANTIAGO DE CALI, NOVIEMBRE 2017

 INTRODUCCION

El siguiente documento se parte de una base clara, y es saber la importancia que tiene en

cualquier organización tener el control estructural en la entidad, en nuestro caso nos enfocamos

en el área de informática de la empresa Coca Cola con sede en la ciudad de Santiago de Cali ya

que es uno de los pilares fundamentales en la arquitectura de la empresa, ya que es la entidad que

se encarga de que cada sistema de información se encuentre correctamente automatizado.

Lo que se busca con la auditoria es identificar esos hallazgos, y clasificarlos y poder determinar

el tratamiento que se les debe dar en cada uno de los procesos, dejando claro para cada uno de

los involucrados el riesgo que causa el no dar tratamiento adecuado y oportuno.

 OBJETIVOS

 Tener un panorama actualizado de los sistemas informáticos de la empresa Coca-Cola en

la ciudad de Cali, entender de manera puntual las vulnerabilidades, amenazas y riesgos a

los cuales esta expuesta la compañia, y adicional conocer cuales son los planes de

mitigacion.

 Identificar y aplicar cada uno de los formatos que se utilizan en una Auditoria,

destacando su importancia y la información que suministran.

 Diseñar los formatos de Auditoria para recolección de información.

 Entender como la Auditoria de Sistemas busca la mejoría de procesos de toda la

compañía nivel tecnológico y de sistemas de información, dando como resultado una

organización a la vanguardia en cuanto a procesos se refiere.

 Aprender a identificar los riesgos que puede tener una empresa mediante la evaluación de

una matriz.
 FORMATO DE AUDITORIA DE SISTEMAS

Alcance

La auditoria se realizará al sistema inofrmatico de la empresa Coca-Cola en Cali, se pretenden

conocer los detalles de los riesgos informáticos a los cuales esta expuesta la compañía.

Recursos

El grupo de personas que integran el equipo de auditoria y formatos de recoleccion de la

información

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas de auditoría:

Este cuadro es un instrumento que sirve para identificar, cuál es la información que se necesita

para evaluar un determinado proceso dentro de los dominios del COBIT, también se especifica

en el cuales son las pruebas de análisis y de ejecución que se deben realizar.

Los ítems relacionados a continuación son los que describirán el elemento de auditoría.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le

está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la

auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está

llevando a cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al

objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta

el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está

evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que se está

auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las fuentes de

donde se extrajo la información para el proceso de auditoría lo que servirá como respaldo del

proceso.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis que se van

a realizar para evaluar el proceso especifico que se encuentre en estudio.

DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de ejecución que se

van a realizar para evaluar el proceso especifico que se encuentre en estudio.

Formatos aplicados en la auditoria

Cuadro de definiciones de fuentes de conocimiento, pruebas de análisis de auditoria

Cuadro de definiciones de fuentes de Ref.

conocimiento, pruebas de análisis de auditoria

Pagina
Entidad auditada Coca-Cola FEMSA Cali 1 De 1
Proceso auditado Seguridad de la información
Responsable Fraylen Marin
Verificación de política de seguridad de la
Material de soporte información, servidor y software
Dominio Dominio de la empresa
Proceso Seguridad de la información
Repositorio de pruebas
Fuentes de Conocimiento De análisis De ejecución
Verificación de
antivirus, redes de
Normas y políticas conexión y manejo de
establecidas por la información por los
compañía con el usuarios, adicional se
ánimo de preservar la verifica sui se
Ingeniero de soporte, responsable de información y evitar realizan pruebas de
administrar la seguridad de la información de eventos que puedan vulnerabilidad y
la compañía por medio de unas normas vulnerar los sistemas cuáles son los
establecidas para tal fin y causar afectaciones resultados

Auditor responsable
Fraylen Marin
 Etapas de la auditoria

1. Recopilacion de informacion básica

En las entrevistas incluiran:

 Ingeniero de soporte inofrmatico

Para dar respuesta a los interrogantes planteados durante la presente auditoria se contara

con el apoyp del ingemioero de sistemas de la compañía, es la persona que tiene a cargo

el departamento de sistemas y la responsabilidad de garantizar los que la compañía no

sufra afectaciones por ataques inofrmeticos u otro evento que ponga en riesgo los

sistemas.

 Tecnicos de soporte externo

El tecnoco de soporte es la persona que realiza los manteniemientos de los equipos y

apoya al ingeniero en las asctividades diarias, de igual manera tiene un amplio

conocimeintos del manejo de los sistemas de la compañía y el compromiso con evitar

eventos que puedasn ponder en riesgo los sistemas.

Formato de entrevista

Fecha de emisión:

Formato entrevista XXXXXX

Fecha: 27 de octubre de 2017

Nombre del entrevistador Fraylen Marin

 Datos del entrevistado

Nombre del entrevistado Carlos Martinez

Cargo Ingeniero de soporte Coca-Cola Cali

Empresa Coca-Cola FEMSA Cali

Preguntas Respuestas

¿Las características del equipo Los servidores de la compañía y los equipos que los utilizados en

son suficientes para el cada una de las áreas de trabajo cumplen con las caracteristicas

desempeño de su trabajo? necesarias para un buen desempeño

Existe un cronograma de mantenimeinto a todos los equipos de la

¿Cuántos Mantenimiento se le
compañía, este cronograma se repite cada 3 mese de tal manera
han realizado al equipo?
que un equipo recibe 4 mantenimientos al año

¿Qué nivel de conocimientos Como especialista en seguridad informática tengo amplio

tiene en el manejo de un conociemiento del amnerjo de los equipos con los cuales cuanta la

Computador y/o Móvil? compañía para administarr los sistemas de informacion

¿Ud. maneja el software de La compañía como software para los soportes vía remota cuanta

SYSCAFE? con el software rescue

¿Qué procesos de SYSCAFE

utiliza? La compañía no utiliza este software

¿Conoce y ha hecho uso del

manual de SYSCAFE? Si lo conozco y lo he usado pero en otras organizaciones

¿Ha tenido problemas con el

Software SYSCAFE? ¿Cuáles?

En ninguna momento
¿Cómo resuelve los problemas

encontrados en el Software

SYSCAFE? No se maneja en la compañia

¿Cuál es el tiempo máximo en

solucionar el problema de

SYSCAFE? No lo maneja la compañia

Observaciones

Después de entrevistar al señor Carlso Martinez ingeniero que tiene a cargo los sistemas de

información de la empresa Coca-Cola en Cali, podemos encontrar que esta compañía cuenta con

unos sistemas solidos que cumplen con estandaras de seguridad los cuales logran garantizar la

seguridad

Fraylen Marin Carlos Martinez

Firma de Entrevistador Firma de Entrevistado

2. Identificación de riesgos potenciales

Lista de chequeo

Lista de Chequeo

Área: Informática Responsable: Fraylen Marin Fecha 27 de Octubre 2017

Ítem Requerimientos SI NO Observaciones

X En buenas
Existe sistema de ventilación
1

condiciones
X Cable de
El cableado eléctrico está protegido
2

categoría 6C
X Se realizan
Los conectores de alimentación de energía están en
revisiones
3

buen estado
periódicas
X Se hacen
Los equipos de cómputo tienen todas sus partes revisiones
4

periódicas
X Se están
Hay equipos con tecnología obsoleta realizando
5

actualizaciones
X Se renovaron
Los equipos que se encuentren en mal estado
6

equipos
Hay un horario en cada aula de monitores asignados X
7

El cableado estructurado se encuentra en buen estado X Según norma

8

Existe un sistema de seguridad en cada aula X

9

El cableado que corresponde al equipo está protegido X

10
Calificacion de los riesgos

3. Objetivos de control

Formato de cuestionario

Formato de Cuestionario

Nombre completo de la Empresa u Organización:

Coca-Cola FEMSA Cali

La empresa está ubicada en Cali Valle del Cauda en la Cra 98 # 16-95

Área Seguridad de la información

Proceso
N
Preguntas SI O Observaciones
¿La compañía cuenta con un inventario de Se actualiza cada que se cambia un
equipos de cómputo? 4 equipo
¿La compañía Coca-Cola cuanta con un
inventario de los equipos que contenga la
siguiente información?
Serie del computador
Fecha de asignación
Puesto de trabajo donde está ubicado
Funcionario responsable
Por control interno de la compañía cada
Ficha técnica del equipo(memoria, equipo está registrado a un funcionario y
procesador, monitor, disco duro) cuenta con una placa de identificación
que indica a que persona fue asignado.
El área de sistemas lleva una hoja de vida Adicional se hace siguiendo
por equipo 3 normatividades.
¿La hoja de vida del equipo tiene los
Todos los equipos cuentan con el
datos? historial en su respectiva hoja de vida,
Numero de hoja de vida esta asegura una correcta trazabilidad en
2 caso de novedades que puedan afectar la
Número del computador correspondiente organización.
Falla reportada
Diagnóstico del encargado
Solución que se le dio

¿La compañía lleva un registro de fallas

detectadas en los equipos?
3 Si, para hacer el respetivo seguimiento
¿En el historial de las fallas se tiene en
cuenta con los siguientes datos?
Fecha de la falla
Hora de la falla
Registro del reporte de la falla
Se deben dejar los registros cuando se
Serie del equipo presentan las fallas y de esta manera
poder hacer una trazabilidad en caso de
Funcionario a cargo del equipo 5 eventos que afecten la operación.
¿La compañía cuanta con un sistema de
respuestas cuando el equipo presenta una
falla, se atiende?
La atención es inmediata
En las próximas 24 horas
Los próximos 5 días
Inmediata, la compañía cuanta con una
Tarda más de 5 días 5 asistencia remota que opera 24/7
¿La compañía cuenta con servicio de SE cuenta con un técnico quien se
mantenimiento para los equipos? 5 encarga de los mantenimientos
¿Cueles son los mantenimientos que se
realizan?
Preventivo Mantenimientos preventivos y se
ejecutan los correctivos de manera
Correctivo 5 inmediata
¿Funcionarios pueden instalar y desinstalar No, requieren permisos de
programas en el computador? 5 administrados para realizar instalaciones
¿Cuándo termina la jornada laboral se
revisan los equipo? 5 No
¿Los mantenimientos los realiza personal Personal idóneo realiza los
certificado para tal fin? 5 mantenimientos
¿La compañía establece un protocolo para Si, se comparan a proveedores
compra de nuevos equipos? 4 certificados y reconocidos
¿Los equipos cuentan con características
que les permiten instalar diferentes sistemas Si, según la ficha técnica requerida por
operativos? 3 la compañía
¿Los equipos de la compañía presentan
problemas de compatibilidad con software
y hardware? 5 No
Total 52 5

4. Determinacion de los procedimientos de control

La compañía cuenta con un proceso administrativo el cual por medoio de unos elementos

de control que permiten identificar los diferentes riesgos que puedan afecatr los sitemas

de información.

Controles:

- Controle preventivos: son realizados por la persona de informática de manera

periódica con herramientas asignadas para tal fini y con el animo de logarr detecatr

amenazas o fugas de información

- Controles detectivos: son aquellos controels que permoten ecnontrar errores que no se

puedan encontrar con los controles preventivos

- Controles correctivos: permiten corregir los errores encontrados en los controles

detectivos

- Controles automaticos: son aquellos software como antivirus, estos tiene la funcion

de monitorear las actividades del sistema y generar alertas frente a cualqueir amenaza

informatica
 5. Pruebas a realizar

Con la ayuda del ingeniero de soporte de la compañaia, se realian pruebas al sistema de

seguridad de la informacion, se reviso la infraestructura de de la compañía, pruebas en las

redes de comunicación e información que manejan los usuarios.

6. Obtencion de los resultados.

Según los resulatdos encontrados, se ubicaron algunos riesgos los cuales se califican de la

siguiente manera:

Probabilidad, se califica en:

1: Alto

2: Medio

3: Bajo

Impacto, se califica en::

1: Leve

2: Moderado

3: Catastrofico

Alto
Probabilidad

61-100%

Medio

31-60%
 Bajo

0-30%

Leve Moderado Catastrófico

Impacto

Formato de análisis y evaluaicon de los riesgos

Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico

Destrucción de
R-1 x x
información

R-2 Sabotaje x x

Suplantación
R-3 x x
de funcionarios

Robo de
R-4 x x
información

Fallas en
R-5 x x
antivirus

Puertos
R-6 x x
desbloqueados

Falta de

R-7 capacitación a x x

usuarios
 7. Informe

Formato de Hallazgos

Auditoria departamento de sistemas Coca-Cola

Hallazgos en auditoria 01

Área Servidores

Proceso Informática

Responsable Ingeniero de sistemas

Objetivo del control Verificar la seguridad de los servidores

Descripción del Hallazgo

No se cuenta con control de acceso al lugar donde están los servidores

Recomendación

Instalar un control biométrico para que el lugar sea restringido

Causas

Falta de gestión

Nivel de riesgo. Alto

 Auditoria departamento de sistemas Coca-Cola

Hallazgos en auditoria 02

Área Equipos de computo

Proceso Administración de los equipos

Responsable Ingeniero de sistemas

Objetivo del control Verificar si ofrecen seguridad a la información

Descripción del Hallazgo

Los puertos USB de los portátiles están desbloqueados

Recomendación

Bloquear los puertos USB

Causas

Falta de control

Nivel de riesgo. Alto

Auditoria departamento de sistemas Coca-Cola

Hallazgos en auditoria 03

Área Sistemas

Proceso Usuarios

Responsable Ingeniero Informático

Objetivo del control Control de usuarios

Descripción del Hallazgo

Los usuarios necesitan capacitación en manejo de la información

 Recomendación

General cultura de protección a la información

Causas

Falta de capacitación

Nivel de riesgo. Alto

 CONCLUSIONES

Después realizar la visita al deartamento de sistemas de la empresa Coca-Cola y adiconal realizar

la enrtreviata al ingeniero de soporte, se puede concluir que la compañía cuanta con servidores,

equipos, infraestructuta y herramientas que cumplen con estadares que logran garantizar la

seguridad de la inofmracion, entre ellos cunat con una VPN, navegacion restringinda a internet,

monitoreo de equipos y un antivirus que esta constantemente monitoreando la red.

Se lograron encontrar algunos riesgos que finalmente se convierten en oportunidades y que en

seguridad si se logran materializar pueden afectar de manera muy significativa la continuidad de

la operaion, para ello con la presente auditoria se levanto una alerta que pretende corregir estos

eventos.
 BIBLIOGRAFIA

 Tamayo, A. Auditoría de sistemas una visión práctica. (2001). Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%
ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

 Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn
=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage
=&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1
tica&atitle=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1ti
ca&aulast=Derrien%2C%20Yann&id=DOI:

 Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.

Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html