Auditoría de Sistemas

Unidad 2: Fase 3 – Planeación y ejecución de la auditoria

Realizado por:

Edilberto Robles Cruz - Código No. 91.523.302

Roberto Carlos Siabatto García - Código No. 79830333

Wilmer Calderón - Código No. 1.121.820.179

Rodrigo Delgado Torres – Código No. 80.403.075

Grupo 90168_76

Presentado al Tutora:

Pilar Alexandra Moreno

Universidad Nacional Abierta y a Distancia – UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería – ECBTI

Villavicencio

Octubre, 2018
 Contenido

Introducción ........................................................................................................................ 3

Objetivos ............................................................................................................................. 4

Unidad 2: Fase 3 – Planeación y ejecución de la auditoria de CODALTEC del área de las

TI ..................................................................................................................................................... 5

Cuadro de los procesos del COBIT........................................................................................................... 5

Conclusiones ..................................................................................................................... 31

Referencias bibliográficas ................................................................................................. 32

 Introducción

En el desarrollo de la presente Fase de planeación de auditoría, conoceremos e identificaremos las

diferentes vulnerabilidades, amenazas y riesgos que tiene la Compañía CODALTEC en cuanto el
área de la Tecnologías de la Información - TI, con el fin de diseñar instrumentos de recolección de
información; Paso 3 y a su vez aplicar estos instrumentos diseñados.

Este curso hace parte del proceso de revisión, análisis, evaluación y recomendación acerca del
desempeño de las actividades en una organización, con el propósito de verificar su correcta
realización, para ello es necesario la creación de los formatos de definición de fuentes de
conocimiento, pruebas de análisis de auditoria, formatos de entrevista, formato de las listas de
chequeo, formato de cuestionario, formato de hallazgo para dar uso de estos para la realización de
la matriz de riesgo y formato análisis y evaluación de riesgos de las infraestructura tecnológicas
de la información de CODALTEC.
 Objetivos

Objetivo general

Diseñar los instrumentos de recolección de la información de acuerdo con el estándar CobIT para
ser aplicado a CODALTEC en relación de las TI.

Objetivos específicos

 Aplicar los procesos definidos y establecidos por las normas para los procesos de
auditorías, identificando y aplicando según los campos en los que se llevaran a cabo.

 Aplicar el plan de auditoría de acuerdo con los riesgos detectados de CODALTEC.

 Aplicar el programa de auditoría conteniendo los dominios, procesos y objetivos de

control relacionados con el objetivo de la auditoría.

 Reducir y controlar los posibles riesgos que podrían afectar el sistema auditado, y cualquier
anomalía que afecte a su servicio.
 Unidad 2: Fase 3 – Planeación y ejecución de la auditoria de CODALTEC del área

de las TI

Cuadro de los procesos del COBIT

Nombre del
No. Proceso auditado
estudiante auditor
DS5 Garantizar la Seguridad de los Sistemas
-DS5.4 Administración de Cuentas del Usuario
1 Edilberto Robles Cruz -DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad.
-DS5.9 Prevención, Detección y Corrección de Software
Malicioso
Roberto Carlos AI2 Adquirir y Mantener Software Aplicativo
2
Siabatto García AI3 Adquirir y Mantener Infraestructura Tecnológica
PO1 Definir un Plan Estratégico de TI
3 Wilmer Calderón
PO4 Definir los Procesos, Organización y Relaciones de TI
Rodrigo Delgado PO7 Administrar Recursos Humanos de TI
4
Torres TIPO9 Evaluar y Administrar los Riesgos de TI

FORMATO DE FUENTES DE CONOCIMIENTO

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: CODALTEC.

PROCESO AUDITADO: Gestión de seguridad informática CODALTEC.

RESPONSABLES: Edilberto Robles Cruz.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: El objetivo es salvaguardar la

información contra uso no autorizados, divulgación, modificación, daño o pérdida, realizando

controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está

restringido a usuarios autorizados.

MATERIAL DE SOPORTE: COBIT.

 DOMINIO: Entregar y dar Soporte (DS).

PROCESO: DS5 Garantizar la Seguridad de los Sistemas.

FUENTES DE CONOCIMIENTO: Documentación suministrada por CODALTEC

(Políticas de Seguridad y Organización de la S.I.) que tienen relación y su aplicabilidad con el

COBIT.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANÁLISIS: [Este espacio está destinado para describir las pruebas de análisis que se

van a realizar para evaluar el proceso especifico que se encuentre en estudio.]

Las pruebas de análisis que se pueden realizar es por medio de pruebas de los resultados

de las técnicas recolección de la información por medio de (documentación, entrevistas,

cuestionarios y listas de chequeos).

Prueba de funcionalidad, cumplimiento.

DE EJECUCIÓN: [Este espacio está destinado para describir las pruebas de ejecución

que se van a realizar para evaluar el proceso especifico que se encuentre en estudio].

Las pruebas de ejecución se hacen después de realizar el análisis y desarrollo del

software, ya cuando se está ejecutando el sistema se realiza: Pruebas de errores, prueba

desempeño, prueba de testeo. Como evidencia para permitirle al auditor emitir conclusiones

sobre el estado del sistema.

 DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

CUADRO DE DEFINICIÓN DE FUENTES DE CONOCIMIENTO Y PRUEBAS

DE ANÁLISIS Y EJECUCIÓN

REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Corporación de Alta Tecnología para la Defensa
1 DE 1
PROCESO AUDITADO Proceso de gestión de seguridad informática CODALTEC
RESPONSABLE Edilberto Robles Cruz
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE (DS)
PROCESO DS5 Garantizar la Seguridad de los Sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO
Políticas de seguridad y
Organización de la S.I.
Documentos y Manual de
funciones de los empleados.
DE ANÁLISIS DE EJECUCIÓN
Medición de resultados de
la eficiencia y eficacia de
los controles existentes.
Pruebas que se hacen por Aplicación de la
análisis de documentos (las metodología de
diferentes políticas y administración de riesgos.
manuales). Comprobar la aplicación de
controles frente a los
Comparar los contenidos de riesgos detectados.
las políticas y manuales
respecto a lo que dice la Pruebas mediante uso de
teoría que debe contener y si software.
esta se da la aplicabilidad den Pruebas de seguridad en
CODALTEC. redes.
Pruebas de seguridad en
bases de datos.
Pruebas de intrusión.

AUDITOR RESPONSABLE:
Edilberto Robles Cruz
 LISTA DE CHEQUEO

Infraestructura Tecnológica
F-CHK 01
Fecha: 22 de octubre del 2018
Realizado por: Edilberto Robles Cruz
SI NO
Existe Políticas de: Seguridad de la información y Organización de la S.I X
Existe monitorización de la red por parte del administrador X
Existe seguridad de la red, como (firewall, DLP, etc.) X
Existe o se tiene control en la seguridad que brinda el operador para el
X
servicio de internet.
Existe controles o sistemas que protejan la información en los diferentes
X
equipos dentro de las instalaciones.
Se asegura la información para evitar pérdidas y daños de esta. X
Existe controles o sistemas que protejan la información en los diferentes
X X
equipos fuera de las instalaciones
Se contrarrestan situaciones de perdida de información. X
Existe controles y seguimiento a los correos institucionales. X
Existe controles y seguimiento de la navegación web. X
Existe controles a los protocolos de acceso a servidores. X
Hay un horario para la navegación de redes sociales. X
Hay control sobre las cuentas de usuarios. X
Todos los usuarios tienen claves o contraseñas de acceso. X
Se utiliza correo institucional para actividades personales. X
Hay control sobre los accesos a las diferentes páginas de la web de aquellos
X
usuarios especiales.
Existe acceso restringido a páginas que generan riesgo a la compañía. X
Se capacita y/o entrena al personal con respecto a la importancia de la
X
seguridad de la información.
 FORMATO ENTREVISTA

REF

PLA
ENTIDAD Corporación de Alta Tecnología para la Defensa - PAGINA
AUDITADA CODALTEC N 1 DE 1
OBJETIVO Verificar la aplicabilidad de las de: Seguridad de la información y
AUDITORÍA Organización de la S.I.
PROCESO Proceso de gestión de seguridad informática CODALTEC
AUDITADO
RESPONSABLE Edilberto Robles Cruz
MATERIAL DE SOPORTE COBIT
DOMINI ENTREGAR Y DAR PROCESO DS5 Garantizar la Seguridad de los
O SOPORTE (DS) Sistemas

ENTREVISTADO MY. Luis Enrique Ariza Vargas

CARGO Oficial Jefe de Seguridad Información - CISO

1. ¿Las políticas de seguridad son suficientes para garantizar el buen y correcto funcionamiento
de la infraestructura tecnológica de CODALTEC.?
Si, siempre y cuando se le dé la aplicabilidad correcta de estas.

2. ¿Qué se debe hacer en caso de que se note o se perciba un ataque informático? ¿a quién
acude?
Informar de forma inmediata al área de seguridad informática. Al señor Mayor
Luis Enrique Ariza Vargas – OSI de CODALTEC.

3. ¿Cuántas pruebas de ética hacking se realiza al año?

Dos (02), de la mano del Comando Cibernético Conjunto de las Fuerzas Militares
de Colombia.
4. ¿Qué nivel de conocimientos tiene el personal de CODALTEC sobre las Políticas de:
Seguridad de la información y Organización de la S.I.?
Un nivel alto, ya que se les realiza charlas y envían semanalmente TIC a los
correos corporativos con relación de estas.
5. ¿Cómo resuelve los problemas encontrados en la aplicabilidad de las políticas ya
mencionadas?
Se genera un informe sobre estas, y se procede a realizar el análisis y evaluación
correspondiente para efectuar las medidas correctivas o sancionatorias que correspondan.

6. ¿Cuál es el tiempo máximo en solucionar el problema de seguridad informático?

Casi inmediato, pero depende también del tipo de problema o falla presentada.

MY. Luis Enrique Ariza Vargas Edilberto Robles Cruz

ENTREVISTADO AUDITOR RESPONSABLE
 FORMATO CUESTIONARIO

Infraestructura Tecnológica - CODALTEC

Cuestionario de Control: C1
Dominio ENTREGAR Y DAR SOPORTE (DS)
Proceso DS5 Garantizar la Seguridad de los Sistemas

Pregunta Si No OBSERVACION
ES
¿Se cuenta con un inventario de la infraestructura 5
tecnológica?
¿Existe riesgo de poner o contratar el mantenimiento y 2
soporte de los controles de seguridad por un tercero y/o
contratista?

¿Realizan copia de seguridad de la información crítica y 3

no critica?

¿Se posee un registro de eventos y/o fallas detectadas en 4

relación con la seguridad?
¿El tiempo de respuesta cuando uno de los controles de 3
seguridad falla, es el más indicado?
¿Se controla la actualización de licencias de los S.O y 3
otros programas que requieren actualización de estas?
¿Se cuenta con servicio de mantenimiento para todos los 2
equipos?
¿Existe riesgo de poner o contratar el mantenimiento y 4
soporte de los equipos por un tercero y/o contratista
¿Se cifra de la información sensible o de alto valor? 5
¿El personal que se encarga de la seguridad informática 4
es la capacitada?
¿Todos los usuarios tienen claves o contraseñas de 5
acceso?
¿Controla el acceso de personal al área y/o cuarto de 2
sistemas?
¿Se lleva un procedimiento para la adquisición de nueva 3
infraestructura?
¿Se actualizan periódicamente los sistemas o suite 4
antivirus, DLP, etc.?
¿Se aplica sanciones o correctivos cuando se infringen 3
las normas de seguridad y las políticas?
TOTALES 39 13

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
 Porcentaje de riesgo parcial = (39 * 100) / 52 = 75
Porcentaje de riesgo = 100 – 75 = 25

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:

Porcentaje de riesgo parcial: = 75%

Porcentaje de riesgo =25
Impacto según relevancia del proceso: Riesgo Bajo
 FORMATO DE HALLAZGOS

En este formato se describe las inconsistencias encontradas. Esta información será desglosada
de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: CODALTEC

PROCESO AUDITADO: Gestión de seguridad informática CODALTEC.

RESPONSABLES: Edilberto Robles Cruz

MATERIAL DE SOPORTE: COBIT.

DOMINIO: Entregar y dar Soporte (DS).

PROCESO: DS5 Garantizar la seguridad de los sistemas.

HALLAZGO: Aquí se encontrará la descripción de cada hallazgo, así como la referencia

al cuestionario cuantitativo que lo soporta.

 Existe riesgo de poner en manos de un tercero el mantenimiento y soporte de los

controles de seguridad.

 Existe riesgo de poner en manos de un tercero el mantenimiento y soporte de los equipos

y/o infraestructura tecnológica.

 Existe un alto riesgo ya que no se cifra la información sensible o de alto valor.

 Existe riesgo ya que no se controla en su totalidad y con sistemas seguros el acceso del

personal al área y/o cuarto de sistemas.

CONSECUENCIAS Y RIESGOS: El cual puede afectar financieramente la compañía

por revelar sus secretos investigativos, tecnológicos, entre otros.

 Perdida de la información, información crítica, sensible y de alto valor (Know How,

entre otros) puede caer en manos de la competencia tecnológica.

 EVIDENCIAS: Cuestionario de Control: C1, ítem 2, 8,9 y 12.

RECOMENDACIONES: En este último apartado se hace una descripción de las

recomendaciones que el equipo auditor ha presentado a las entidades auditadas.

Se recomienda reclutar, entrenar personal idóneo para que sea contratado por planta y/o

nómina de la compañía para que aplique los diferentes mantenimientos y soportes:

 Mantenimiento y soporte de los equipos y/o infraestructura tecnológica.

 Mantenimiento y soporte de los controles de seguridad.

 Adquirir las licencias de software necesarias para cifrar la información sensible o de alto

valor de la compañía.

 Adquirir los sistemas seguros de acceso para ser aplicado al área y/o cuarto de sistemas

y/o donde se guarda y/o almacena la información critica de la compañía.

 REF
HALLAZGO

PROCESO PÁGINA
Gestión de seguridad informática CODALTEC
AUDITADO 1 DE 1
RESPONSABLE Edilberto Robles Cruz

MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar
Entregar y dar
DOMINIO PROCESO la seguridad de
Soporte (DS).
los sistemas.

DESCRIPCIÓN:

Se encontraron algunos riesgos en el proceso auditado, el cual se requiere la mejora de los

procedimientos y así mismo algunas inconsistencias en el manejo de la seguridad lógica, se
pueden evidenciar algunos riesgos encontrados por medio de porcentajes y las
recomendaciones para corregir y/o la mejora continua de las no conformidades encontradas
al ser analizados y ejecutados los procesos del COBIT.

REF_PT:

Lista de chequeo y Cuestionario de control - C1

CONSECUENCIAS:

 Robo de información por no cifrar la información crítica, sensible y de alto valor.

 Perdida y/o modificación de la información por manos de terceros que tienen acceso
a la misma.
 Pérdida de tiempo por no contar con los medios más idóneo para cifrar la
información crítica, sensible y de alto valor.
 Perdidas económicas.
 Afectaciones jurídicas.
 Cierre de la compañía por revelar su Know How.

RIESGOS.
  Acceso del personal a los sistemas y/o equipos no autorizados.
 Ingreso a las áreas sin previa autorización por ausencia de sistemas de seguridad.
 Riesgo de robo, pérdida y/o modificación de información ya que no se cuenta con los
medios y/o herramientas de cifrados para proteger la información.

RECOMENDACIONES:

Se recomiendan tomar acciones correctivas de los hallazgos, con el fin de minimizar y/o no
permitir la materialización de los riesgos, en cuanto robo, pérdida y/o modificación de la
información:

 Adquirir el personal idóneo pasando por todos los filtros que aplica la compañía que
se conviertan en personal activo de la compañía.
 Adquirir las herramientas y sistemas necesarios para garantizar la seguridad de la
información.
 DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

CUADRO DE DEFINICIÓN DE FUENTES DE CONOCIMIENTO, REF

PRUEBAS DE ANÁLISIS DE AUDITORIA

Corporación de Alta Tecnología para la PAGINA

ENTIDAD AUDITADA
Defensa 1 DE 1
PROCESO AUDITADO Seguridad y Disponibilidad de las Aplicaciones
RESPONSABLE Roberto Carlos Siabatto
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Adquirir e implementar (AI)
PROCESO AI2 Adquirir y Mantener Software Aplicativo

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN

Documento de Manual de Verificar la existencia de Medición de resultados de la

uso de aplicaciones documentos respecto a los eficacia y eficacia de los
adquiridas. manuales de uso que controles existentes.
permitan el aprovechamiento
Sistema de control interno adecuado de las aplicaciones, Aplicación de la metodología
Metodología de evaluación de administración de riesgos.
de riesgos Existencia de los mecanismos
de control y acceso a áreas Comprobar la aplicación de
tecnológicas. controles frente a los riesgos
detectados.
Riesgos detectados y su
tratamiento.

AUDITOR RESPONSABLE:
Roberto Carlos Siabatto
Lista Chequeo
Adquirir e implementar AI2 Adquirir y Mantener
Dominio Proceso
(AI) Software Aplicativo
Objetivo de control AI2.4 Seguridad y Disponibilidad de las Aplicaciones
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un sistema de seguridad
1 X
para la protección de la información?
¿Se verifica periódicamente la
2 seguridad y disponibilidad del software X
instalado contratado por la empresa?
¿La seguridad de las aplicaciones
3 garantiza el buen desempeño del X
hardware?

Objetivo de control AI2.9 Administración de los Requerimientos de Aplicaciones

¿Se realiza seguimiento que asegure la

4 X
calidad del software instalado?
¿El personal que se encarga del
5 X
mantenimiento es personal capacitado?
¿se tiene en cuenta los requerimientos
6 técnicos para la adquisición de nuevos X
equipos?
¿La arquitectura técnica de los equipos
7 es la apropiada para el manejo de las X
aplicaciones?
 LISTA CHEQUEO
AI3 Adquisición y
Dominio: Adquirir e
DOMINIO PROCESO mantenimiento de la
implementar (AI).
infraestructura tecnológica
AI3.2 PROTECCIÓN Y DISPONIBILIDAD DEL
OBJETIVO DE CONTROL
RECURSO DE INFRAESTRUCTURA
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cuentan con un inventario actualizado
de equipos de cómputo que registran los
equipos informáticos existentes?
1 (marca, modelo, ubicación, fecha de X
adquisición, capacidad, etc que está
expuesta la infraestructura tecnológica
de la institución?
¿se cuenta con un sistema de registro al
2 ingreso al área de sistemas por personal X
autorizado?
¿Se realiza actualización de los
3 diferentes tipos de riesgos que pueden X
afectar la infraestructura tecnológica?
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura:
¿Las actividades de mantenimiento en
4 infraestructura son realizadas por X
personal de la empresa?
¿Se tiene implementado un mecanismo
Es manual, por medio de
5 de seguridad en cuanto al ingreso y X
formatos y libros
salida de equipos tecnológicos?
¿Dentro del plan de mantenimiento se
6 X
garantiza el control de cambios?
¿Se realizan actualizaciones de
7 seguridad con el fin de detectar X
software malicioso?
 ENTREVISTA
Adquirir e implementar AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI) Software Aplicativo
OBJETIVO DE CONTROL AI2 Adquirir y Mantener Software Aplicativo
Nº CUESTIONARIO RESPUESTA
SI, ellas cubren las expectativas, ya
¿Las nuevas soluciones tecnológicas que se tienen en cuenta las opiniones
1 adquiridas cubren las expectativas de los a la hora de realizar las
usuarios? especificaciones técnicas mínimas
para realizar las adquisiciones.
SI, el personal siempre se esta
¿se capacita el personal adecuadamente
capacitando y entrenado para el uso
2 para el uso de aplicaciones por parte de la
de las herramientas que se tiene en la
empresa?
compañía.
SI. Estas se realizan de acuerdo a las
¿Las prácticas de adquisición y
necesidades de los usuarios y de las
3 mantenimiento de software aplicativo se
mismas que ya existen en la
alinean con el proceso definido?
compañía.
¿Se tiene poca consideración hacia la Se tiene alta prioridad y
seguridad y disponibilidad de la consideración, ya que de esto depende
3
aplicación en el diseño o adquisición de el buen uso que se le va a dar en la
software aplicativo? ejecución de los diferentes proyectos.
SI. Están son planeadas y coordinadas
por medio del supervisor del contrato
¿Las actividades de mantenimiento se
4 de mantenimiento con un tercero
planean, programan y coordinan?
(empresa que presta los servicios de
manteamiento)
¿Los cambios en el uso de las SI. Estas se aplican de acuerdo con las
5 aplicaciones existentes son coherentes diferentes Políticas de Seguridad y
con los objetivos de la empresa? Organización de la S.I.

ENTREVISTA

AI3 Adquisición y
DOMINIO Adquirir e implementar (AI) PROCESO mantenimiento de la
infraestructura tecnológica
Ai3.2 Protección Y Disponibilidad Del Recurso De
OBJETIVO DE CONTROL
Infraestructura
Nº CUESTIONARIO RESPUESTA
¿Los sistemas de control de acceso al área
de sistemas estas protegidas (eje: sistemas
1 NO. No existen sistemas para tal fin.
biométricos, tarjetas inteligentes, ¿u otros
factores de autenticación?
 ¿Las contraseñas de administración para el SI. Estas se administran de acuerdo con
2 uso de equipos en la red cuentan con el las Políticas de Seguridad y
cifrado seguro? Organización de la S.I.
¿Los protocolos de acceso seguro y
administración de las cuentas con políticas SI. De acuerdo con las Políticas de
3
permanente identificadas por los Seguridad y Organización de la S.I.
empleados?
¿Los equipos en la red LAN y WI-Fi,
cuentan con sistema de protección contra SI. Se cuenta con la suite antivirus, DLP,
4
Antivirus y gateway antivirus, etc.
Antispyware?
¿los servidores de la empresa están
protegidos Tecnología de packet SI. Se cuenta con la suite antivirus, DLP,
5
filtering(filtrado de paquetes), Firewall de Firewall. etc.
nivel de aplicación (proxy)?
NO. Esta parcialmente protegida, no
¿Los equipos de cómputo cuentan con una
cubre la totalidad de los equipos que
6 adecuada red eléctrica con puesta a tierra y
hacen parte de la infraestructura
circuitos regulados?
tecnológicas.
 DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

CUADRO DE DEFINICIÓN DE FUENTES DE CONOCIMIENTO Y PRUEBAS

DE ANÁLISIS Y EJECUCIÓN

REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA

Corporación de Alta Tecnología para la PAGINA

ENTIDAD AUDITADA
Defensa 1 DE 1
PROCESO AUDITADO
RESPONSABLE Rodrigo Delgado
MATERIAL DE SOPORTE COBIT
DOMINIO PLANEAR Y ORGANIZAR
PROCESO P07 Administrar recursos humanos de T.I.

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
Asignación de roles.

Procesos de reclutamiento del Verificaciones de

personal.
Código de ética y prácticas
profesionales.
Documentos y Manual de
funciones de los empleados.
antecedentes en el proceso
de reclutamiento.
Pruebas periódicas para
determinar las habilidades Proporcionar a los
para cumplir su rol acorde a empleados de TI la
su educación y orientación necesaria al
entrenamiento y/o momento de la contratación
experiencia. y entrenamiento continuo
para conservar su
conocimiento, aptitudes,
habilidades, controles
internos y conciencia sobre
la seguridad, al nivel
requerido para alcanzar las
metas organizacionales.

AUDITOR RESPONSABLE:
Rodrigo_Delgado
 LISTA DE CHEQUEO

Infraestructura Tecnológica
F-CHK 01
Fecha: 26 de octubre de 2018
Realizado por:
SI NO
Se realiza comprobación de antecedentes el proceso de
X
reclutamiento de personal T.I
Existe un procedimiento de entrenamiento para el nuevo
X
personal
Existe un plan de capacitación anual para el personal de T.I X
Se cuenta con respaldo de personal capacitado para
X
continuar con los procesos de T.I.
Existe controles o sistemas que protejan la información en
X
los diferentes equipos dentro de las instalaciones.
¿Existe control y seguimiento para la eliminación de
X
privilegios de los usuarios terminan su contrato o se retiran?
Existe el cronograma establecido para la evaluación de
desempeño, comparando contra los objetivos individuales
X
derivados de las metas organizacionales, estándares
establecidos y responsabilidades específicas del puesto.
 FORMATO ENTREVISTA

REF

PLA
ENTIDAD Corporación de Alta Tecnología para la Defensa - PAGINA
AUDITADA CODALTEC N 1 DE 1
OBJETIVO
AUDITORÍA
PROCESO
AUDITADO
RESPONSABLE Rodrigo Delgado
MATERIAL DE SOPORTE COBIT
DOMINI PLANEAR Y PROCESO P07 Administrar recursos humanos
O ORGANIZAR de T.I.

ENTREVISTADO MY. Luis Enrique Ariza Vargas

CARGO Oficial Jefe de Seguridad Información - CISO

7. ¿Se realiza periódicamente una medición de la carga laboral del personal? ¿Cada cuánto?
NO.
8. ¿Si se realiza verificación periódica de las habilidades para cumplir los roles con base a su
educación y entrenamiento del personal de T.I.? ¿Según los resultados de esta verificación que
determinación se toma?
Si se realiza. La ubicación del departamento y/o área a laborar o realizar sus
actividades.

9. Como se elige la temática de las capacitaciones dirigidas al personal de T.I para su

mejoramiento continuo?
De acuerdo con los requerimientos y necesidades que se presentan en los
departamentos y/o áreas y/o el desarrollo de los diferentes proyectos de tecnologías.

10. ¿Al eliminar privilegios de acceso a la información por reasignar responsabilidades o por
terminación del contrato a que personal de la compañía se le informa de estos cambios?
Inicia por los jefes de departamentos y/o áreas, al Oficiales de Seguridad Informática -
ISO, Oficial Jefe de Seguridad Información - CISO, al Director.
MY. Luis Enrique Ariza Vargas Rodrigo_Delgado
ENTREVISTADO AUDITOR RESPONSABLE
 REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA

Corporación de Alta Tecnología para PAGINA

ENTIDAD AUDITADA
la Defensa 1 DE 1
PROCESO AUDITADO
RESPONSABLE Rodrigo Delgado
MATERIAL DE SOPORTE COBIT
DOMINIO PLANEAR Y ORGANIZAR
PROCESO PO9 Evaluar y Administrar los Riesgos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
Pruebas que permitan
Identificar eventos una
Plan de acción para la amenaza importante y
realista con un impacto
mitigación de riesgos. potencial negativo sobre las
metas o las operaciones de
la empresa, incluyendo
Pruebas periódicas y aspectos de negocio,
Procesos administrativos evaluación al plan de acción regulatorios, legales,
para la mitigación de riesgos tecnológicos, de sociedad
internos y externos que de T.I. comercial, de recursos
humanos y operativos.
contemplen la mitigación de Determinar la
naturaleza del impacto y
riesgos mantener esta información.
Registrar y
mantener los riesgos
relevantes en un registro de
riesgos.

AUDITOR RESPONSABLE:
Rodrigo Delgado
 LISTA DE CHEQUEO

Infraestructura Tecnológica
F-CHK 01
Fecha: 26 de octubre de 2018
Realizado por:
SI NO
Se reestablecen marcos de trabajo para la administración de
X
riesgos de T.I.
Existe un contexto claro en el que el marco de trabajo debe
X
actuar ante los riesgos de T.I
Se tienen identificados los eventos que de carácter
potencialmente negativos que influyen sobre las metas o las X
operaciones de la empresa.
Se usan métodos cualitativos y cuantitativos para evaluar de
X
forma recurrente el impacto de los riesgos.
Se cuenta con procesos de respuesta a riesgos que permitan
X
controles efectivos.
La administración de riesgos sigue un proceso definido, el
X
cual está documentado.
El entrenamiento sobre administración de riesgos de T.I está
X
disponible para todo el personal.
Las excepciones al proceso de administración de riesgos se
X
reportan a la gerencia de TI.
La captura, análisis y reporte de los datos de administración
X
de riesgos están altamente automatizados.
 FORMATO ENTREVISTA

REF

ENTIDAD Corporación de Alta Tecnología para la Defensa - PAGINA

AUDITADA CODALTEC 1 DE 1
OBJETIVO
AUDITORÍA PLA
PROCESO
AUDITADO N
RESPONSABLE Rodrigo Delgado
MATERIAL DE SOPORTE COBIT
DOMINI PLANEAR Y PROCESO P09 Evaluar y Administrar los
O ORGANIZAR Riesgos TI

ENTREVISTADO ING. Sara Mercedes Pineda Téllez

CARGO Oficial de Seguridad Informática - ISO

11. ¿Qué proceso se sigue para mantener actualizado el plan de acción para la mitigación de
riesgos?
 Inventarios de activos información  Matriz de riesgo y se aplica mitigación.
 Tratamiento de controles para educir el riesgo.
 Control interno informático para seguimiento de la mitigación.
 De acuerdo con los trabajos de auditoría priorizados en base a análisis de riesgos
(Riesgos Críticos Globales) se categorizan estos y se lleva la aplicabilidad en del plan de
acción.

12. ¿Qué eventos principalmente se tiene en cuenta y se categorizan como riesgos y cuál es el
orden de prioridad?

 Aquellas actividades que hacen que una amenaza se materialice.

 Todo evento que genere un impacto crítico para la organización.
13. ¿Se tienen mediciones de tiempo de respuesta a los distintos riesgos identificados, en otros
términos, si llegase a ocurrir un evento que se tenía previsto como riesgo se sabe cuánto tiempo
le lleva a la empresa superar este problema?
 Si. Dentro del tratamiento del riesgo se realiza la valorización, su criticidad y sus
tiempos, de acuerdo con el plan de contingencia para cada riesgo.

14. ¿Que determina la prioridad de los riesgos?

Su criticidad y el impacto a la organización.

15. ¿Se tiene definidos responsables para la identificación de riesgos y para la solución a ellos si
llegase a presentarse el problema?

SI. El grupo de auditores que se encarga periódicamente de verificar el cumplimiento de

los planes de acción y mitigación.

16. ¿Qué proyectos de T.I. se tiene en cuenta anualmente para la mitigación de riesgos?

Todas las dependencias participan del plan de tratamiento de riesgos dando

cumplimiento a las mejoras propuestas en la auditoria.

17. Quienes son los responsables de la administración de riesgos de T.I y del plan de gestión de
riesgos?
 El comité de seguridad de la información. Liderado por el Oficial Jefe de Seguridad de
la Información - CISO.
 Los Oficiales de seguridad de la Información - ISO.
18. ¿Qué estrategias utiliza la empresa para la mitigación de riesgos, con quien comparan sus
experiencias para mejorar en este campo?

 Se realiza el programa de auditorías anual, dentro el cual se planea la periodicidad de

las auditorias, las dependencias a auditar en las cuales se hacen la evaluación de los
riesgos y seguimientos a la mitigación de los riesgos propuestas para la mejora continua.
 Se compara las experiencias de mejora con el Ministerio de Defensa Nacional.

ING. Sara Mercedes Pineda Téllez Rodrigo Delgado

ENTREVISTADO AUDITOR RESPONSABLE

 Conclusiones

Durante el desarrollo Fase 2 planeación de auditoría, identificamos las vulnerabilidades, amenazas

y riesgos que presenta o atraviesa CODALTEC en el área de la Tecnologías de la Información -
TI, así logramos realizar el análisis para realizar la planeación de la auditoría, con el objetivo de
reducir y/o mitigar estas y que lograr que no se materialicen.
 Referencias bibliográficas

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=eds
elb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&t
itle=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%
A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%2
0Yann&id=DOI:

Espino, M. G. (2014). Fundamentos de auditoría. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg=4

Huesca, G. (2012). Auditoria informática. Recuperado

dehttps://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado

dehttps://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa
+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

https://prezi.com/g-fp2c-4q3vd/unad-auditoria-de-sistemas-grupo-90168-33/