ndice

Captulo 1__________________________________________________________________________
Planificacin del Trabajo (propuesta)________________________________________________
1.1 Objetivos___________________________________________________________________1
1.1.1 Objetivo general________________________________________________________1
1.1.2 Objetivos especficos___________________________________________________1
1.2 rea a Auditar______________________________________________________________2
1.3 Proceso de recoleccin de la informacin___________________________________2
1.4 Documentos de gestin en el rea de informtica__________________________2
1.5 Plan de auditoria en el rea de informtica_________________________________3
1.5.1 Motivos o Necesidades de la Auditoria__________________________________3
Captulo 2__________________________________________________________________________
Conocimiento del rea a Auditar____________________________________________________
2.1 Situacin actual del departamento de informtica__________________________4
2.2 Objetivos del departamento________________________________________________4
2.3 Seguridad del departamento_______________________________________________5
2.3.1 Seguridad fsica:_______________________________________________________5
2.3.2 Seguridad legal:________________________________________________________5
2.3.3 Seguridad de datos:____________________________________________________6
2.3.4 Seguridad de personas:________________________________________________6
2.4 Determinacin de los problemas y planteamiento de hiptesis______________6
2.4.1 Posibles problemas_____________________________________________________7
2.4.2 Formulacin de hiptesis_______________________________________________7

Captulo 1

Planificacin del Trabajo (propuesta)

1.1 Objetivos

1.1.1 Objetivo general

Realizar una auditora al departamento de informtica en la Empresa XYZ en los

dominios de Planificacin y organizacin, Adquisicin e implementacin, Soporte y
servicios, Evaluacin y seguimiento, mediante la revisin del ambiente de control,
implementado en los procesos automatizados y en el gerenciamiento de los mismos, utilizando
COBIT, a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o
minimizar los riesgos.

1.1.2 Objetivos especficos

Evaluar la situacin actual de la organizacin y su infraestructura tecnolgica.

Minimizar existencias de riesgos en el uso de Tecnologa de informacin

Evaluar la adquisicin e implementacin de las TI y los procesos en los que

estas se desenvuelven

1.2 rea a Auditar

La auditora se realizara al departamento de informtica de la Empresa XYZ , debido

a que estos manejan y se guardan la mayor parte de la informacin, por lo tanto los equipos y
los programas que se manejen deben de contar con un grado de seguridad razonable.

1.3 Proceso de recoleccin de la informacin

La informacin ser recolectada por medio de entrevistas al jefe del departamento y al

personal del rea informtica, tambin observaremos como se llevan a cabo las diversas tareas
y podremos obtener esta informacin gracias a la observacin directa; se revisaran los
manuales existentes dentro de la empresa y se evaluara la eficacia de los equipos.

1.4 Documentos de gestin en el rea de informtica

Manual de respaldo de equipos

Manual de uso de sistemas de informacin

Manual de contingencias

Manual de procedimientos administrativos

Manual de funciones dentro del rea informtica

Manuales de procedimientos para mantenimiento de equipo.

Normativas de uso para los equipos tecnolgicos de la empresa.

A pesar de ello, no existen manuales de procedimientos para mantenimiento de equipos

o normativas de uso para los equipos tecnolgicos de la empresa.

1.5 Plan de auditoria en el rea de informtica

Para el plan de auditoria en el rea de informtica se evaluarn ciertos procedimientos

para el mejor alcance y precisin de la auditoria y la recoleccin de evidencias.
N
1

ACTIVIDADES
Realizar una entrevista al Jefe del departamento de informtica

Realizar entrevistas o encuestas al personal que integra el rea informtica.

Observacin directa en los procesos del departamento

Anlisis de los manuales que contiene el departamento ( si los contiene)

Revisin de Carpetas de historiales de equipos

Evaluar las tecnologas de informacin (TI), tanto en hardware como el software

Evaluar la seguridad de la informacin y de los equipos tecnologas de la empresa

Cuadro. 1 Actividades a realizar

1.5.1 Motivos o Necesidades de la Auditoria

Departamento de informtica

El departamento de informtica se encuentra conformado por un jefe de informtica y

por soporte tcnico, ellos son los encargados de regular y resguardar la informacin dentro de
los sistemas informticas, adems de brindar soporte a todos los departamentos dentro de la
empresa, con el fin de mantener el funcionamiento ptimo de todos los equipos tecnolgicos.

Y siendo esta su funcin se ha decido auditar el mismo debido a:

Sntomas de inseguridad en el mantenimiento de la informacin.
Quejas de los usuarios que manejan los sistemas de informacin.
Bsqueda de una nueva opinin acerca de los procesos informticos dentro de la
organizacin
Sntomas de fallas en integridad de la informacin.
Captulo 2
Conocimiento del rea a Auditar
2.1 Situacin actual del departamento de informtica

Ubicacin: El departamento de informtica se ubica en el primer piso del local,

especficamente en el rea de oficinas, tiene como responsabilidad mantener la integridad de
la data que se maneja dentro de la organizacin. De igual forma, es este departamento quien
gestiona y administra la adquisicin y uso del software y hardware que utiliza la empresa para
el desarrollo de sus actividades operacionales; as mismo, se encarga de mantener a la empresa
a la vanguardia en lo que respecta a la plataforma tecnolgica.

2.2 Objetivos del departamento

Constituir planes de accin estratgicos ligados a la tecnologa, en

concordancia con los requerimientos de la directiva y gerencia de la empresa.

Proponer la adquisicin de nuevos recursos tecnolgicos para la organizacin,

siempre y cuando se considere necesario y se demuestre que as sea.

Resguardar la integridad de la data que se maneja dentro de la empresa,

estableciendo mecanismos de control y seguridad para alcanzar tal fin.

Brindar soporte tcnico al personal de las diferentes reas de la empresa.

Planificar tareas de respaldo (Plan backup) para cada uno de los equipos,
hacindolo de forma peridica y almacenando esa informacin en dispositivos
de almacenamiento masivo externo.

Mantener la red de trabajo operativa (Comunicacin y sistemas de

informacin).

Realizar jornadas de adiestramiento, capacitacin y nivelacin a los actuales y

futuros usuarios de los recursos tecnolgicos.

Establecer planes de mantenimiento en relacin al hardware y software, hacer

levantamiento de informacin de las incidencias relacionadas a ellos, para
luego analizarlas y corregir fallas.

2.3 Seguridad del departamento

2.3.1 Seguridad fsica:

Proteger el rea del data center frente a posibles inundaciones.

Contar con las instalaciones elctricas adecuadas para resguardar la integridad

de los equipos.

Un lugar adecuado y fresco que mantenga los servidores trabajando a

temperaturas ideales.

2.3.2 Seguridad legal:

Aplicacin de estndares y metodologas de calidad (IEEE, ISO, TIER, entre

otros) de manera tal que se garantice la ejecucin de procesos blindados y
seguros.

Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual

forma con antivirus u otro software; esto para no incurrir en faltas legales.

Contar con las licencias de los sistemas SAP B1 y sistemas RetailPro R4.

2.3.3 Seguridad de datos:

Ejecutar las tareas de respaldo segn la planificacin.

Establecer niveles de acceso acordes a la realidad tanto para los sistemas de

informacin como la los servidores, para impedir acceso y manipulacin no
autorizada a la informacin.

2.3.4 Seguridad de personas:

Instituir polticas de seguridad fsica y mental para el personal.

Dotar al departamento con las herramientas de proteccin necesarias para

garantizar la seguridad de los empleados.

Instruir a los empleados de como actuar ante situaciones de desastre (incendios,

inundaciones, sismos, entre otros).

2.4 Determinacin de los problemas y planteamiento de hiptesis

No se cuenta con servidores de reposicin en canso de alguna contingencia

Falta de acondicionamiento al rea de servidores

Falta de capacitacin a los personal de informtica que brinda soporte a los usuarios en
los sistemas

2.4.1 Posibles problemas

Incumplimiento de planes de mantenimiento.

Falta de organizacin en la ejecucin de los procesos.

Inexperiencia en el uso de los sistemas de informacin de la empresa.

Fallas de comunicacin entre las diferentes dependencias administrativas.

No se lleva un registro de las actividades realizadas, lo que dificulta su control

y monitoreo.

2.4.2 Formulacin de hiptesis

No se ha logrado establecer un enlace de comunicacin fuerte dentro del departamento,

al no fluir correctamente la informacin el desarrollo de los procesos es ineficiente. As
mismo, existen muchos procesos a la deriva, es decir, no se han determinado
responsabilidades y funciones; no se ha tomado importancia a temas referentes a la seguridad
en general.

CUADRO DE DEFINICION DE FUENTES DE

CONOCIMIENTO
ENTIDAD AUDITADA

EMPRESA XYZ

REF

PAGINA
DE
1

PROCESO AUDITADO
RESPONDABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO
FUENTE DE
CONOCIMIENTO

REPOSITORIO DE PRUEBAS APLICABLES

DE ANALISIS
DE EJECUCION

AUDITOR RESPONSABLE

10

ENTREVISTA 1

PAGINA
DE

ENTIDAD AUDITADA
AREA AUDITADA

OBJETIVOS ENTREVISTA
ENTREVISTADO
CARGO
TEMA 1

TEMA2

TEMA 3

REF

SISTEMA

11

PAGINA
ENTIDAD
EMPRESA XYZ
AUDITADA
1 DE 1
PROCESO
AUDITADO
REA INFORMATICA
RESPONSABLE
MATERIAL DE SOPORTE
COBIT
DOMINIO

PROCESO
PREGUNTA

1.
2.
TOTALES
TOTAL CUESTIONARIO
PORCENTAJE DEL RIESGO
AUDITOR RESPONSABLE

N
SI O

N
A

REF

FUENTE

12

Cuestionario de Control; C1
Dominio
Adquisicin e implementacin
AI3: Adquirir y mantener la
Proceso
arquitectura tecnolgica
Pregunta
Si No
Se cuenta con un inventario de equipos de cmputo?
Si existe un inventario contiene los siguientes tems?
Nmero del computador
Fecha
Ubicacin
Responsable
Caractersticas(memoria, procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
La hoja de vida del equipo tiene los datos?
Nmero de hoja de vida
Nmero del computador correspondiente
Falla reportada
Diagnstico del encargado
Solucin que se le dio
Se posee un registro de las fallas detectadas en los
equipos?
En el registro de fallas se tiene en cuenta los siguientes
datos?
Fecha
Hora
Nmero de registro
Nmero del computador
Encargado
Al momento de presentar una falla en el equipo, la
atencin que se presta es?
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
Se cuenta con servicio de mantenimiento para todos los
equipos?
Qu tipo de mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo

OBSERVACIONES

13

Profesores y/o estudiantes pueden instalar y desinstalar

programas en el computador?
Al finalizar el horario de clase en dichas aulas, se hace
una revisin de los equipos
El personal que se encarga del mantenimiento es
personal capacitado?
Se lleva un procedimiento para la adquisicin de nuevos
equipos?
La infraestructura tecnolgica de los equipos soporta la
instalacin de diferentes sistemas operativos?
Son compatibles software y hardware?
Totales