You are on page 1of 20

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA

90168_35 Auditoria de Sistemas

Momento 3

TRABAJO COLABORATIVO MOMENTO 3


AUDITORIA DE SISTEMAS

PRESENTADO POR:
ALEXANDER GRANADOS SILVA
CD: 12.199.712
CHRISTIAN RICARDO ALMANZA CASTAEDA
COD: 1.122.136.507
CATTERIN BUITRAGO BEDOYA
CD: 1.120.925.475

GRUPO: 90168_35

TUTOR
FRANCISCO NICOLS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
CEAD SAN JOSE DEL GUAVIARE
10 DE MAYO DE 2015

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

INTRODUCCIN
Este trabajo centra en la importancia de reconocer un proceso de auditora, teniendo en cuenta
que debemos detectar principalmente los riesgos que la entidad o dependencia genera en su
entorno, Tambin encontraremos un anlisis y evaluacin de riesgos, logrando identificar
porque se generan dichos riesgos.
Tambin se centra en la importancia de reconocer las diferentes aplicaciones para realizar
auditoras, entre las que tenemos Win Audit, ZIFRA, Gesia, entre otras, que nos permiten realizar
diferentes tipos de auditoras, de software, inventarios y dems que permiten ayudar a un mejor
desempeo de las entidades.
Por otra parte tenemos una matriz con columnas como riesgo, causa y control, definiendo as los
controles y prevenciones que se deben tener para disminuir o desaparecer los riesgos que
generan mal ambiente y por ende poco rendimiento de cualquier rea.

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

OBJETIVOS

Analizar los controles aplicables para los riesgos de acuerdo a las causas que lo originan
Aplicar la metodologa de auditora para determinan los controles aplicables de acuerdo
con el estndar COBIT 4.1 (objetivos de control)
Conocer los diferentes tipos de Software que podemos implementar para realizar una
auditora.
Interactuar mediante debates con respeto y argumentos que ayuden a nuestro proceso de
formacin.

Consolidado de los riesgos aportados por el grupo:

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

R1: En algunas oficinas no se cuenta con sistemas contra incendios.


R2: En la oficina donde se tiene el servidor de datos no se tienen accesorios que permitan
controlar la temperatura de los equipos.
R3: Faltan definir polticas para la asignacin de contraseas de los equipos de cmputo.
R4: Los controles de seguridad de la informacin son limitados (personal ajeno ingresa con
dispositivos de almacenamiento no autorizados)
R5: Hay muy poco personal capacitado en mantenimiento de los equipos.
R6: Los inventarios de los equipos se encuentran desactualizados.
R7: Existen equipos con software que tienen sus licencias expiradas.
R8: Los equipos no cuentan con ups que los proteja de fallas elctricas por causa del clima
R9: Hay equipos a los cuales no se les ha restringido el uso de dispositivos USB.
R10: Los sistemas de informacin que consultan los empleados no ingresan en todos los equipos
de cmputo.
R11: Personal poco capacitado para el manejo del software
R12: Funcionarios de la entidad comparten sus contraseas con compaeros de trabajo u
particulares
R13: Utilizacin de la red para beneficios ajenos a los de la institucin.
R14: No se realiza un escaneo para evitar intrusiones en la red.
R15: No se realiza mantenimiento peridico a los equipos de cmputo.
R16: No existen comprobantes de auditoras internas que aseguren un buen desempeo del rea.

PROCESOS COBIT

RIESGOS
DETECTADOS

CAUSAS

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

Administracin de Calidad

R5

Adquirir y mantener
infraestructura
Tecnolgica.

R2

Administrar Instalaciones.

R4, R6, R11, R12,


R13, R14

Proteccin contra factores


ambientales

R8

Administracin de
Instalaciones Fsicas.

R1

Mantenimiento Preventivo
del Hardware

R3 R7 R9 R10,
R15

Evaluar lo Adecuado del


Control Interno

R16

Falta de gestin con entidades externas para la


capacitacin del personal de la unidad.
Falta de presupuesto asignado para la
adquisicin de los elementos necesarios.
Falta de gestin con entidades territoriales.
Descuido y falta de responsabilidad del
funcionario responsable de telemtica.
Falta de inters y compromiso de los
funcionarios responsables.
Falta de presupuesto e inclusin en el plan de
necesidades de la unidad.
Falta de Gestin por parte del Jefe de la Unidad.
Falta de recursos econmicos y asignacin de
presupuesto.
Recorte presupuestal.
Falta de inters, compromiso y capacitacin de
los funcionarios responsables de la actividad de
mantenimiento preventivo de los equipos.
Funcionario encargado del rea no lleva registro
detallado, sabiendo que es una de sus funciones,
mantener el archivo de su dependencia al da.

Valoracin de Riesgos.

Riesgo/valoracin
R1 En algunas oficinas no se cuenta con sistemas contra incendios.

Probabilidad Impacto
A M B L M C
X

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

En la oficina donde se tiene el servidor de datos no se tienen


R2 accesorios que permitan controlar la temperatura de los equipos.
Falta definir polticas para la asignacin de contraseas de los
R3 equipos de cmputo.
Los controles de seguridad de la informacin son limitados
(personal ajeno ingresa con dispositivos de almacenamiento no
R4 autorizados).
Hay muy poco personal capacitado en mantenimiento de los
R5 equipos.

X
X

R6 Los inventarios de los equipos se encuentran desactualizados.


R7 Existen equipos con software que tienen sus licencias expiradas.
Los equipos no cuentan con ups que los proteja de fallas
R8 elctricas por causa del clima
Hay equipos a los cuales no se les ha restringido el uso de
R9 dispositivos USB.
Los sistemas de informacin que consultan los empleados no
R10 ingresan en todos los equipos de cmputo.
R11 Personal poco capacitado para el manejo del software
Funcionarios de la entidad comparten sus contraseas con
R12 compaeros de trabajo u particulares
Utilizacin de la red para beneficios ajenos a los de la
R13 institucin.
R14 No se realiza un escaneo para evitar intrusiones en la red.
No se realiza mantenimiento peridico a los equipos de
R15 cmputo.
No existen comprobantes de auditoras internas que aseguren un
R16 buen desempeo del rea.

X
X

X
X X

X
X X

MATRIZ DE RIESGOS:

Clasificacin de Riesgos
LEVE

Alto

MODERADO
R3-R8

CATASTRFICO
R4-R5-R7-R12-R14-R15R16

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

Medio
Bajo

R2-R6-R9-R10

R1

R11-R13

Tabla comparativa con las herramientas consultadas por el grupo: caractersticas, ventajas
y desventajas.
Herramienta 1: Win Audit
Caractersticas
Ventajas
Desventajas
El software Win Audit permite
- Es gratuito
Ninguna conocida
- Soporta varios idiomas
tener claro que programas y
- Es fcil de utilizar y no
dispositivos tiene instalado un
requiere conocimientos
computador y eso en una
previos
auditoria sirve para identificar
Es autnomo, no necesita
qu programas se utilizan
instalacin
dentro de la empresa. Se
Es un software portable
identifica si se maneja software
- El programa es bastante
sin licencia. Se determina el
flexible ya que permite
software de tipo personal que
publicar los resultados en
tienen los empleados que se
muchos formatos distintos.
encuentra restringido en las
empresas. Identifica que
modelos de computadoras se
utilizan y para que servicios
son dispuestos.
Herramienta 2: ZIFRA
Caracteristicas
Ventajas
Desventajas
Es un programa desarrollado
con los ms altos requisitos de Completa seguridad de la base de
No es gratuito.
datos y documentos, cerrada y
seguridad y confidencialidad.
completamente inaccesible desde
el exterior.
Control de usuarios por
contrasea y adaptacin de
contenidos y mens visibles a cada
usuario.
Integracin con las diferentes
versiones de Office.
Programas de trabajo por rea

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

suministrados, con posibilidad de


modificarlos, adaptarlos o crearlos
desde cero.
Asignacin y control de tareas
por usuario.
Herramienta 3: GESIA
Caracteristicas
GESIA es una herramienta

integral para la Realizacin,


Organizacin, Gestin y
Control de los trabajos de
Auditora,
permitiendo
al
auditor un control permanente
y global sobre los papeles de

trabajo.

Ventajas
Crea un archivo por cada
cliente y ao de auditora.
Rellena automticamente
todas las cdulas contables,
sumarias y auxiliares al importar el
Balance de Comprobacin del
Cliente o el diario de contabilidad.
Confecciona
automticamente el Balance de
Situacin,
la
Cuenta
de
Resultados, etc.
Actualiza automticamente
todos los ratios necesarios para la
Revisin Analtica.
Calcula
la
cifra
de
Importancia Relativa y el Error
Tolerable.

Desventajas
A pesar de tener varias
caractersticas
que
resultan ser atractivas
en el producto, se
cuentan con falencias
estas son:
-Ofrecer una versin
Demostrativa para el
usuario interesado.
-Solo
se
podr
actualizar el producto
luego
de
haberse
adquirido con una
compra.
-En la versin Demo
solo
se
podrn
visualizar todos los
informes pero no se
podrn imprimir.

Herramienta 4 OCS Inventary:


Caracteristicas
Ventajas
OCS Inventory es capaz de
OCS es una aplicacin web de detectar todos los dispositivos
software libre distribuido bajo activos
en
la
red,
licencia GPL, que facilita la incluyendo switches, routers,
administracin de recursos impresoras en red y cualquier
informticos, el cual sus dispositivo desatendido

Desventajas
Es necesario contar con
un simulador de Linux
en
los
sistemas
operativos de Windows

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

principales
funcionalidades Cuando el servidor central se
estn articuladas sobre dos ejecuta sobre un sistema Linux, si
ejes.
tenemos
disponibles
las
funciones nmap ynmblookup,
El primer eje est relacionado
podremos tambin escanear un
con el inventario de todos los
direccin IP o una subred para
recursos informticos, y el obtener informacin detallada de
software existente (permite equipos no inventariados.
registrar y administrar el
remotamente
inventario
de
hardware, Permitir instalar
aplicaciones,
por
ejemplo,
realizar
software y cualquier tipo de
un despliegue masivo en todo
perifricos
nuestro parque informtico de
manera centralizada, lo cual es un
aspecto muy interesante.
Herramienta 5: Belarc Advisor
Caracteristicas
Ventajas
Desventajas
construye un perfil detallado Toda la informacin del perfil se Temporal su periodo de
del software y hardware mantiene privada en su PC y no se prueba, luego se debe
instalados
en
su
PC, enva a ningn servidor Web
pagar.
incluyendo los hotfixes de
Microsoft y muestra el
No integra algunas
resultado en su explorador Web
versiones de office.
Herramienta 6: AudirQ Software para la gestin y control de calidad en firmas y
despachos de auditoria
Caracteristicas
Ventajas
Desventajas
Con audiQ sabremos en todo -Facilita la auto implantacin.
A pesar de tener varias
momento en qu fase del
caractersticas
que
proceso estamos, as como el -Diferentes modelos a elegir.
resultan ser atractivas
grado de implantacin del
en el producto, se
sistema en nuestro despacho. -Compatible
con
cualquier cuentan con falencias
Las caractersticas que lo herramienta de auditora.
estas son:
representan son:
-Rpida curva de aprendizaje
No se podrn crear
-Implantacin Y Seguimiento.
nuevos Manuales pero
-Cumple los requisitos de la
se podr trabajar con el
NICC1 y la ISO9001.
fichero de ejemplo
Sper QualityMC.qat
En la versin demo

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

solo
se
desarrolla
ntegramente
el
procedimiento
de
Aceptacin
y
Continuidad
de
Clientes.
Herramienta 7: For Sampling Muestreo estadstico y pruebas de auditora financiera
Caracteristicas
Ventajas
Desventajas
Es una aplicacin informtica Cumple con la NIA-ES 530 No
evidencia
diseada para realizar pruebas Muestreo de auditora.
desventaja alguna como
de
auditora
financiera,
software aplicativo de
principalmente basadas en Se basa en las tcnicas de auditoria.
tcnicas de muestreo aleatorio. muestreo publicadas por el AICPA.
Tiene caractersticas como:
- Diseo de la prueba.
- Seleccin de la muestra.
- Evaluacin de los resultados.
- Documentacin de la prueba.

Es la herramienta perfecta para


combinar con Gesia.

Realiza y documenta la Seleccin


y Circularizacin de Terceros en
base a la Norma Internacional de
Auditora
NIA
505
Confirmaciones Externas.
Herramienta 8: ACL Software para Auditoria Interna y Auditoria de Sistemas
Caracteristicas
Ventajas
Desventajas
ACL es reconocido por la - ACL es poderoso y fcil de usar. No
evidencia
comunidad de auditores como
desventajas
como
la solucin de software - Permite convertir datos en software aplicativo de
preferida para la extraccin y informacin significativa.
auditoria.
anlisis de datos, deteccin de
fraudes y monitoreo continuo.
-Lo
usan
principalmente:
instituciones
gubernamentales,
Algunas caractersticas de este corporaciones
multinacionales,
aplicativo son:
50% del listado norteamericano
Fortune 100 y las seis ms grandes
Anlisis
interactivo firmas de contabilidad pblica.
obteniendo
resultados
inmediatos.
-Brinda un anlisis de datos y
- Automatizacin de tareas generacin de reportes a cabalidad.
repetitivas.
- Resultados grficos y en
reportes.
- Proteccin de los datos

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

originales.
Procesos
de
auto
documentacin.
Herramienta 9: LUMIGENT Software para Auditoria Interna, Auditoria de Sistemas y
Calidad de Datos
Caracteristicas
Ventajas
Desventajas
Es un software capaz de - Los productos de Lumigent, no Se encuentra para el
registrar
toda
interaccin afectan el desempeo de los
usuario interesado tan
ejecutada por los diversos Sistemas crticos.
solo una versin de
usuarios y aplicaciones de la
Demostracin esta trae
organizacin contra el sistema - Los usuarios principales son las
siguientes
manejador de bases de datos, Auditores de
limitaciones
que
ofreciendo la posibilidad de Sistemas, Administradores de considero
como
enviar notificaciones / alarmas Bases de Datos, Operadores IT,
desventajas:
va correo electrnico.
Desarrolladores de Aplicaciones,
Oficiales de Seguridad y
-Se ofrece una versin
Las caractersticas conocidas Supervisores de Calidad.
demostrativa para el
son:
usuario
con
una
Lumigent
tiene
alianzas duracin de 30 das.
- Prevenir/detectar cambios a estratgicas con otros lderes
las estructuras de las bases de globales
-Contiene tan solo unos
datos.
en el campo de bases de datos, cuantos idiomas en su
- Supervisar la autorizacin y seguridad y control de redes
demostracin.
asignacin de permisos para el Como NetIQ y Embarcadero
acceso a las Bases de Datos.
Technologies.
- Satisfacer de las regulaciones
internacionales
sobre - Sus productos han sido
privacidad y seguridad.
certificados por Microsoft.
- Notificar automticamente a
los supervisores sobre cambios
en las estructuras de la base
datos.

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

Segn la deliberacin del grupo seleccionamos la Aplicacin Win Audit, entonces


procedemos a realizar las respectivas pruebas:
Pantallazos de la Prueba:
En un primer pantallazo observamos el anlisis e inventariado automtico que hace la
herramienta al iniciarse del sistema, desglosndonos una variedad de categoras en la columna
izquierda de esta ventanilla.

En un segundo pantallazo observamos las caractersticas especficamente de los perifricos que


hay instalados en el sistema

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

En un tercer pantallazo observamos las caractersticas a detalle de la pantalla o monitor en uso.


En un cuarto pantallazo observamos los detalles de la BIOS del sistema instalado,
especificndolas satisfactoriamente

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

En este quinto pantallazo se nos dan las especificaciones detalle del Procesador.

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

En este sexto pantallazo veremos la informacin registrada tanto de la memoria que la CPU
tenga almacenada como otras caractersticas, al igual que con los Discos Fsicos instalados en

ella

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

Como ltimo pantallazo tenemos la informacin representada de la Placa Base y el Chasis.

Matriz con las columnas de riesgo, causa y control.

RIESGO
CAUSA
CONTROL
R1: En algunas oficinas no se Falta de recursos econmicos El funcionario encargado de
la oficina debe identificar
cuenta con sistemas contra y asignacin de presupuesto.
plenamente su oficina, por
incendios.
Recorte presupuestal.
ende solicitar presupuesto
para instalar las medidas de
seguridad industrial que se
requieren para mantener la
integridad tanto fsica como
el entorno de trabajo y sus
recursos.
R2: En la oficina donde se Falta de presupuesto asignado El funcionario encargado de
tiene el servidor de datos no para la adquisicin de los la oficina debe realizar
se tienen accesorios que elementos necesarios.
adecuaciones de instalaciones
permitan
controlar
la
elctricas de acuerdo a las
temperatura de los equipos
Falta de gestin con entidades normas vigentes, y hacer la
desinstalacin de las tomas de
territoriales.
corriente con voltaje de 220

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

R11:
Personal
poco Descuido
y
falta
de
capacitado para el manejo del responsabilidad
del
software
funcionario responsable de
telemtica.
Falta de inters y compromiso
de
los
funcionarios
responsables.
R12: Funcionarios de la Descuido
y
falta
de
entidad
comparten
sus responsabilidad
del
contraseas con compaeros funcionario responsable de
de trabajo u particulares
telemtica.
R13: Utilizacin de la red Falta de inters y compromiso
para beneficios ajenos a los de
los
funcionarios
de la institucin.
responsables.
R14: No se realiza un Descuido
y
falta
de
escaneo
para
evitar responsabilidad
del
intrusiones en la red.
funcionario responsable de
telemtica.
Falta de inters y compromiso
de
los
funcionarios
responsables.
R15:
No
se
realiza Falta de inters, compromiso
mantenimiento peridico a y
capacitacin
de
los
los equipos de cmputo.
funcionarios responsables de
la actividad de mantenimiento
preventivo de los equipos.
R16:
No
existen Funcionario encargado del
comprobantes de auditoras rea no lleva registro
internas que aseguren un buen detallado, sabiendo que es

voltios AC para disminuir el


riesgo de falla ocasionado por
los usuarios y por ende pedir
ventilacin adecuada para que
los equipos permanezcan
frescos y con su capacidad de
funcionamiento al mximo.
Los
funcionarios
que
implementan el manejo del
software
deben
pedir
capacitacin peridicamente
para realizar buen uso de los
equipos y por ende del
software que maneja la
institucin.
Capacitar y orientar a los
funcionarios
que manejas
claves para que sea uso
personal, por ende solo para
utilidad de la institucin,
quien no cumpla deber
realizrsele memorandos que
afecten la conducta y sentido
de
pertenencia
por
la
institucin.
El funcionario encargado de
la oficina debe identificar
plenamente su oficina, por
ende solicitar presupuesto
para instalar las medidas de
seguridad industrial que se
requieren para mantener la
integridad tanto fsica como
el entorno de trabajo y sus
recursos.
El funcionario a cargo del
rea
debe
solicitar
presupuesto para realizar el
mantenimiento de los equipos
y por ende para mejoramiento
y adecuacin de su oficina.
Capacitar y orientar a los
funcionarios que manejan el
archivo de la institucin, pues

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

desempeo del rea

una de sus funciones, deben mantenerlo segn la


mantener el archivo de su norma vigente y por ende
dependencia al da.
bebidamente archivado, de no
ser as se le otorgaran
memorandos al funcionario.

CONCLUSIONES
Culminando y dando por terminada esta tercera fase colaborativa, se ha logrado con los
integrantes del grupo colaborativo una satisfactoria y excelente interaccin, desarrollando a
cabalidad los aspectos planteados a resolver en este tercer trabajo colaborativo.
Cabe resaltar el compromiso y la responsabilidad que se adquiri durante el desarrollo de este,
adquiriendo as conocimientos de gran importancia parta fortalecer nuestro perfil profesional
mucho ms. Se lograron cumplir los objetivos previamente especificados, dejando a los
integrantes del grupo colaborativo satisfechos y a gusto con este producto final a entregar.

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

REFERENCIAS CIBERGRAFICAS

Articulo web titulado Software y herramientas de auditoria.. Publicado por la


pgina web Gesia.es, el 17 de Septiembre de 2012. Extrado el 10 de Mayo de
2015, http://gesia.es/productos/software-auditoria-gesia

Articulo web titulado Software y herramientas de auditoria. Publicado por la


pgina web Gesia.es, el 25 de Abril de 2013. Extrado el 10 de Mayo de 2015,
http://gesia.es/productos/software-control-calidad-audiq

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA


90168_35 Auditoria de Sistemas

Momento 3

Articulo web titulado Software y herramientas de auditoria. Publicado por la


pgina web Gesia.es, el 21 de Abril de 2013. Extrado el 10 de Mayo de 2015,
http://gesia.es/productos/muestreo-estadistico-auditoria-forsampling

Articulo web titulado Software para Auditora Interna y Auditora de Sistemas.


Publicado por la Organizacin en soporte, distribucin e integracin de
tecnologa de informacin de Amrica Latina y el Caribe (ENIAC), el 08 de Julio
de

2001.

Extrado

el

10

de

Mayo

de

2015,

http://www.eniac.com/productos/acl.htm

Articulo web titulado Software para Auditora Interna, Auditora de Sistemas y


Calidad de Datos. Publicado por la Organizacin en soporte, distribucin e
integracin de tecnologa de informacin de Amrica Latina y el Caribe
(ENIAC), el 25 de Diciembre de 2003. Extrado el 10 de Mayo de 2015,
http://www.eniac.com/productos/lumigent.htm

Articulo web titulado WinAudit. Publicado por la pgina web Kioskea, el 27


de

Mayo

de

2010.

Extrado

el

10

http://es.kioskea.net/download/descargar-56-winaudit

de

Mayo

de

2015,