Auditoria de Sistemas Manual de Proce Tela ctale}Auditoria de Sistemas Manual de Procedimientos Intreduccién EN LA PRESENTE CARTILLA, RECOPILAMOS LOS PASOS NECESARIOS PARA PODER LLEVAR A CABO UNA AUDITORIA DE SISTEMAS LOS CUALES FACILITARAN EL DESARROLLO DE TU ROL COMO AUDITOR PRINCIPIANTE. QUEREMOS BRINDARTE UNA GUIA DISENADA ESPECIALMENTE PARA ESTUDIANTES EN LA QUE PODRAS ENCONTRAR INFORMACION BASICA CON CONCEPTOS CLAROS NECESARIOS PARA REALIZAR UN PROCESO DE -AUDITORIA DE SISTEMAS. {Qué es una auditoria? ES UNA HERRAMIENTA DE CARACTER SISTEMATICO, PORQUE SE DEBE REALIZAR DE UNA MANERA LOGICA Y ORGANIZADA, DE TAL MANERA QUE LA INFORMACION RECOPILADA SEA ADECUADA Y SUFICIENTE PARA EMITIR UN INFORME FINAL. SE TRATA DE REALIZAR UNA VALORACION DE LA GESTION DE LA ENTIDAD Y REALIZAR UNA IDENTIFICACION DE MEJORAS. LA AUDITORIA NO BUSCA CULPABLES, BUSCA LA MEJORA DE LOS PROCESOS ¥ SERVICIOS DE LA ENTIDAD.CONTENIDO 1. Conceptos Basicos 2. Técnicas de Auditoria para Recoleccion de Informacién 3. Fases de la Auditoria de Sistemas 4. Aspectos para Auditoria para un Centro de Cémputo o Area de Sistemas 5. Procedimientos de Control para Auditoria al Area de Sistemas 6. Procedimientos de Control para Seguridad y Planes de Contingencia 7.EjemploAU DITORIA DE SISTEMAS y CONCEPTOS | BASICOS AUDITOR: Es la persona con la responsabilidad final de la auditoria, Para una facil referencia el término “AUDITOR” se usa dentro de las NIAS cuando se describe tanto la auditoria con los servicios relacionados que puedan desempefiarse .Tal referencia no pretende implicar que una persona que desempefie servicios relacionados tenga necesariamente que ser el au de los estadas financieros de la entidad, ALCANCE DE LA AUDITORIA: se refiere alos procedimientos de auditoria considerados necesarios en las circunstancias para lograr el objetivo de la auditoria. Los procedimientos requeridos para conducir una auditoria, deberan ser determinados por el auditor teniendo en cuenta los requisitos de las normas internacionales de auditoria. EMPRESA: €s una organizacién o institucién dedicada a actividades 0 persecucién de fines econémicos o comerciales para satisfacer las necesidades de bienes o servicios de los solicitantes, a la par de asegurar la continuidad de la estructura productivo-comercial asi como sus necesarias inversiones. EFICACTA: €s el logro de los resultados esperados en alguna actividad deter cantidad de los recursos empleados en dichos resultados. nada sin tomar en cuenta la calidad y EFICIENCIA €s la relacién entre bienes producidos 0 adquiridos en todo caso de los servicios prestados y recursos utilizados para elloEVIDENC 1 Enauditoria se denomina evidencta al confunto de hechos comprobados, sufictentes, competentes, y pertinentes que sustentan las conclustones del auditor 2 Enla tnformactén especifica obtentda durante la labor de auditoria a través de observaciones, inspeccién, entrevistas y examen de los registros que se utilizan para determénar st la informacién cuantificable que se audita se \ presenta de acuerdo con los criterias establecidos. Es el mecanismo fundamental para la integracién y operacién de todo esfuerzo organizado, comprende todas las actividades organizacionales que implican el establecimiento de objetivos y metas, la evaluacién de su cumplimiento y el desempeiio institucional asf como la operacién que garantice supervivencia de la organizacién 2. Sedenomina at resuitado de la comparactén que se realiza entre un criterto y 1a sttwacién actual durante el examen a un Grea, actividad u operacion eer eed 2, Bstoda informactén que a fuicio det auditor le permite identificar hechos 0 circunstancias importantes que inciden en ta _gestién de recursos en Ia entidad o programa bajo examen que merecen ser comunicadas en el \ informe. 2. Son losrequtsttos mntmos de calidad relativos a la personalidad del auditor, al trabajo que desempefia y la informacion que rinde como resultado de este trabajo 2 Son as directrices de cardcter general que ee proporcionan qyuda a los audttores, para poder osounlibii cumplir con sus responsabilidades profesionales relacionadas con el examen de estadas financieros histéricos:e incluye informacién adictonal concerniente a la competencia e independiente del \ auditor2 TECNIC. INFORN El auditor de sistemas debera seleccionar y herramientas, técnicas, procedimientos y metodologias que le permitan examinar, comparar y — evaluar correctamente cada uno de los aspectos del ambiente informético y de sistemas en el que desarrolla su trabajo. utilizar las as, revisar, Se aplica para investigar algin hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicacién de técnicas, métodos 0 procedimientos de trabajo, verificar el resultado de una transaccién, comprobar la operacién correcta de un sistema software entre otros muchos aspectos. Permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacién y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo S DE AUDITORIA PAI El aspecto mas importante en la auditoria es la confirmacién de los hechos y la certificacién de los datos que se obtienen en la revisién, ya que el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables. En auditoria a los sistemas software se realiza la comparacién de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparacién es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre En esta evaluacién se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadisticas, la interpretacion de acuerdos, memorandos, normas, politicas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administracién de las organizaciones.Matria de Evaluacion La escala de valoracién puede ir desde la minima con puntaje 1 (baja, deficiente) hasta la valoracién maxima de 5(superior, muy bueno, excelente). Cada una de estas valoraciones deberd tener asociado la descripcién del criterio por el cual se da ese valor. Esta matriz permite realizar la valoracién del cumplimiento de una funcién especifica de la administracién del centro de cmputo, en la verificacién de actividades de cualquier funcién del rea de informética, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema 0 cualquier otra actividad del rea de informatica en la organizacién. Matriz DOFA Este es un método de anilisis y diagnéstico usado para la evaluacion de un centro de cémputo, que permite la evaluacién del desempefio. de los sistemas software éComo Recolectar Informacion? En su aplicacin el auditor debe aprovecharlas con el prop las disefie y las utilice en dicho proceso. Observaci6n Es una de las técnicas més utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del rea informatica y los sistemas software, permite recolectar la informacion directamente sobre el comportamiento de los sistemas, del drea de informatica, de las funciones y actividades, los procedimientos y operacién de los sistemas, y de cualquier hecho que ocurra en el drea. Entrevista En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se esta auditando. En su aplicacién se utiliza una guia general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el temauestionarios Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene informacion que posteriormente puede clasificar e interpretar por medio de la tabulacién y andlisis, para evaluar lo que se ests auditando y emi jan sobre el aspecto evaluado. ncuestas Las encuestas son utilizadas frecuentemente para recolectar informacion sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuacién del personal y los usuarios, entre otros juicios de la funci6n informatica. Inventarios Con la aplicacion de esta herramienta dela auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del drea informstica o del sistema, contabilizando los equipos de cmputo, la informacion y los datos de la empresa, los, programas, periféricos, consumibles, documentos, recursos informsticos, y demas aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias, que se registra en los documentos. IsO 27001 Qué ES? Es una norma intemacional emitida por la Organizacién internacional de Normalizacién (150) y describe cémo sestionar la seguridad de la informacion en una empresa, La revision mas reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revision se publicé en 2005 y fue desarrollada en base ala norma britanica BS 7799- 180 27001 puede ser implementada en cualquier tipo de organizacién, con o sin fines de lucro, privada o piiblica, pequefia o grande. Est redactada por los mejores especialistas del mundo en el tema y proporciona una metodologia para implementar la gestidn de la seguridad de lainformacién en una organizacién. ‘También permite que una empresa sea certificada; esto significa que una entidad de certificacion independiente confirma que a seguridad de la informacion ha sido implementada en esa organizacién en cumplimiento con la norma ISO 27001. Bancny crac ¢Cémo Funciona? Eleje central de 150 27001 es proteger la confidencialidad, integridad y disponibiidad de ta informacién en una empresa, Esto lo hace investigando cules son los potenciales problemas que podrian afectar la informacién (es decir, la evaluacién de riesgos) y luego definiendo Jo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigacin o tratamiento del riesgo). Por lo tanto, la filosofia principal de la norma ISO 27001 se basa en la gestién de riosgos: investigar dénde estan los riesgos vlueco tratarlos sistemsticamente.A E OVUM FASES We IT Vapi Eee ona Es ak ra 83 8¢ 3a ge ve 83 55 Bo ane gs 2 ae Sa =3 go $3 gs gS 2s 2 wo 3 ge gs gs Ee so 2 3 $ 3 3 = & s 8 o 5 = £ 3 & 8 3 > : 5 5 3 3 3 3 § 2 $ £e Planeacié: jtapa Auditoria El primer paso para realizar una auditoria de sistemas es la planeacion de como se va a ejecutar la auditoria, donde se dobo identificar de forma clara las razones por las que so va a realizar ta auditoria, ta doterminacién del objetive de ta misma, el disefio de métodos, tcnicas y procedimiontos necesarios para llevarta a cabo y para la solcitud de documentos que serviran de apoyo para la ejecucién, terminando con la elaboracién de la documentacién de los planes, programas y presupuestos para llevarla a cabo. 1” START UP Identificar el origen de la auditoria Este es el primer paso para iniciar la planeacién de la auditoria, en esta se debe determinar por qué surge la necesidad 0 inquietud de realizar una auditoria, Las preguntas que se deben contestar éde dénde?, épor qué?, {Quién? o para qué? Se quiere hacer la evaluacién de algiin aspecto de los sistemas de la empresa ita informatica Este es el segundo paso en la planeacién de la auditoria el propésito es el de tener un primer contacto con el personal asignado a dicha drea, conocer la distribucién de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cémputo, sus caracteristicas, las medidas de seguridad Se deben tener en cuenta aspectos tales como: ECémo se encuentran distribuidos los equipos en el Srea?, ECudntos, cudles, como y de qué tipo son los servidores y terminales que existen en el drea?, £Qué caracteristicas generales de los sistemas que serin auditados?, €Qué tipo de instalaciones y conexiones fisicas existen en el area?, gCudl es la reaccién del personal frente al auditor?, éCudles son las medidas de seguridad fisica existentes en el drea?, y Qué limitaciones se observan para realizar la auditoria?. Establecer los Objetivos de la Au Los objetivos de la planeacion de la auditoria son: . El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoria informatica y de sistemas, en él se plantean todos los aspectos que se pretende evaluar. . Los abjetivos especificas, que son los fines individuales que se pretenden, para el logro del objetivo general, donde se sefiala especificamente los sistemas, componentes 0 elementos concretos que deben ser evaluados. Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que serin evaluados, y para esto se debe considerar aspectos especificas como: la ees yel-centro de compute, el cumplimiento de las funciones del personal informatico y usuarios de los sistemas, los sistemas en desarrollo, [a operacién de los sistemas en produccién, los programas de capacitacién para el personal del area y usuarios de los sistemas, proteccion de las bases de datos, datos confidenciales y accesos alas mismas, proteccién de las copias de seguridad y la restauracién de la formacién, entre otros aspectos. in administrativa del area informstica eer eedpuestos para realizar la auditoria. Para realizar la planeacién formal de la auditoria informética y de sistemas, se debe elaborar los documentos formales para el desarrollo de la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecucién para el cumplimiento de! objetivo. Algunos de los aspectos a tener en cuenta serdn: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de quia; Ia estimacién de los recursos humanos, materiales e informéticos que serdn utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoria. todos, procedimientos Mae sa Tac aaa Tere ee ea tut8. Etapa de Ejecucidn de la Auditoria La siguiente etapa después de la planeacién de la auditoria es la ejecucién de la misma, y estd determinada por las caracteristicas propias, los puntos elegidos y los requerimientos estimados en la planeacién Paseo eo Cece Pecan) eet) ee Ee a) eMrur) Een 4, Elaborar el dictamen preliminar Racecar) discusién. Emr acing elaborar los Cece: y Peace Sel Beets g. Etapa de Dictamen de la Auditoria La tercera etapa luego dela planeacién y ejecucidn es emitir el dictamen, que es el resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboracién del informe de las situaciones que se han detectado, la elaboracién del dictamen final y la presentacién del informe de auditor‘a,10, Analizarla informacion y elaborar un informe de las situaciones detectadas Junto con la deteccién de las oportunidades de mejoramiento se debe realizar el andlisis de los papeles de trabajo y la elaboracién del borrador de las oportunidades detectadas, para ser discutidas con los auditados. x 11. Elaborar el Dictamen Final El auditor debe terminar la elaboracién del informe final de auditorfay complementarlo con el dictamen final, para después presentarlo a los directivos del drea auditada para que conozcan la situacién actual del Grea, antes de presentarlo al representante 0 gerente de la empresa. La PRESENTACION DEL DICTAMEN FINAL SE HACE EN UNA REUNION DIRECTIVA Y POR ESO ES INDISPENSABLE USAR UN LENGUAJE CLARO TANTO EN EL INFORME COMO EN LA EXPOSICION DEL MISMO. EL INFORME DEBE CONTENER LOS ‘SIGUIENTES PUNTOS: LA CARTA DE PRESENTACION, EL DICTAMEN DE LA AUDITORIA, EL INFORME DE SITUACIONES RELEVANTES Y LOS ‘ANEXOS Y CUADROS ESTADISTICOS.ASPECTOS DE LA AUDITORIA Peo treyASPECTOS ADMI STRATIVOS Deben plantearse los objetivos a corto o largo plazo, que estén acordes con los objetivos de la organizacién. En el desarrollo de los planes a largo plazo, el jefe del rea de informatica debe identificar las metas a largo plazo verificando que estas sean coherentes con las metas de la organizacién, y teniendo en cuenta los cambios, los avances tecnolégicos y la normativa vigente. <7 ew ‘ -as del drea de Informatica se deben incluir las Dentro de las polit ppautas sobre renovacién y/o adquisicién tanto de software como de hardware con base en estudio profundo de necesidades, la legalizacién del todo el software utilizado, la buena y oportuna capacitacién a todos los niveles funcionales del area de Informatica ASPECTOS TECNICOS Donde se tiene en cuenta los equipos, desarrollo e implementacién de sistemas, entrada y salida de datos y mantenimiento de software. Se debe llevar a cabo revisiones periddicas de los sistemas en funcionamiento mediante la realizacién de pruebas del sistema, que permitan garantizar que se cumplan los requisitos de las especificaciones funcionales, verificando transacciones, estadisticas, archivos, reportes generados, registrando las fallas ocurridas y realizando los ajustes necesarios, con el propésito de comprobar que las aplicaciones cumplan con los requerimientos del usuario y los objetivos para los cuales fueron disefiados. emo) ‘evalurar estos aspectos son: Poet Cements Pear De ey eta eee tio propicio para laborar, Peau cd Pane aee aee) acordes a las necesidades, Poor instalaciones eléctricas, Cee a ere rete rc) Se ee Pete eléctricas y de datos PoritesPROCEDIMIENTOS DE CONTROL DE AUDITORIA PARA EL AREA DE SISTEMASEl drea de sistemas debe tener planes a corto, mediano y largo plazo, con el fin de asegurar su contribucién al éxito en el logro de los objetivos de la organizacién. Dichos planes deben estar en acuerdo con los planes generales de la organizacion para lograr sus propios objetivos. Auditoria de Sistemas Debe haber politicas, estandares y procedimientos que sirvan de base para la planificacién, control y evaluacién del area de sistemas, . Politicas . Esténdares . Procedimientos El drea de sistemas deberia ser lo bastante importante en la jerarquia de la organizacién para permitirle lograr sus objetivos generales establecidos y promover su independencia operativa de los departamentos usuarios, Para promover la utilizacion efectiva de los recursos humanos del area, y para facilitar la evaluacién del desempefio dentro de la funcién informstica, deber'an emplearse técnicas de gestién de personal sélidas. ree) de sistomas Debe asegurarse la calidad de los servicios prestados por el area informatica mediante el establecimiento de una funcién independiente dentro del rea dedicada a mantener esténdares de calidad establecidos. + Responsabilidades y aspectos organizativos de las funciones de la gestién de calidad + Cualificacién del personal de gestién de calidad + Cumplimiento de los estandares y procedimientos del drea de sistemas + Informes de las revisiones de gestién de calidad5. PLANIFICACION Y GESTION DE FeO OB AN OI UTES Debe planearse, aportarse y gestionarse los recursos organizativos para apoyar el logro de los objetivos aprobados para el drea de Informética. + Presupuesto operative anual del drea de sistemas Plan de adquisicién de equipos. RONG ONT fo El Grea informatica debe usar procedimientos estdndar para identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo. + Seleccién del software del sistema + Andlisis del costo del software + Instalacién de cambios en el software del sistema + Mantenimiento del software + Gestidn de problemas con el software + Seguridad del software de sistema ~ a PASO BA / N00) SISTEMA OPERATIVO El area informatica debe usar procedimientos esténdar para identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo. . Seleccién del software del sistema = Anilisis del costo del software . Instalacién de cambios en el software del sistema + Mantenimiento del software + Gestién de problemas con el software © Seguridad del software de sistemaPROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA1. SEGURIDAD LOGICA Y FISICA El acceso alos recursos de computador debe estar limitado a aquellos usuarios que tengan necesidad documentada y autorizada de efectuar dicho acceso. Verificar procedimientos para proteger los recursos de computador contra utilizacién 0 modificacién no autorizada, dafto o pérdida, debe establecerse controles de accesos légicos y fisicos. . Responsabilidad de la seguridad Légica y Fisica * Acceso las Instalaciones de Computadores + Acompafiamiento de Visitas * Administracién de Claves de Acceso + Informes de Violaciones y actividad de Seguridad + Restricciones de Acceso Légico * Seguridad del Acceso a Datos en Linea + Identificacién Limitada del centro de Cémputo + Proteccién Contra el Fuego + Formacién y Concientizacién en Procedimientos de Seguridad 2. PLANEACION DE CONTINGENCIAS Deben existir planes adecuados para el respaldo de recursos de computador criticos y para la recuperacién de los servicios del area de informatica después de una interrupcion imprevista de los mismos:= /— 2 PLANEACION DE CONTINGENCIAS Plan de Recuperacién de Desastres Seguridad del Personal y Formacién en Procedimientos de Emergencia Aplicaciones Criticas de Tratamiento de Datos Recursos de Computador Criticos Restauracién de Servicios de Telecomunicaciones Respaldo del Centro de Computoy de los Equipos Personal de Programacién para Operaciones de Respaldo Procedimientos de Recuperacién de Archivos Insumos para Recuperacién de Desastres Pruebas de Plan de Recuperacién de Desastres Reconstruccién del Centro de Computo del Area de Informatica Procedimientos de Respaldo Manual de los Departamentos Usuarios Para mas Informacion i a Ee CCM OK aD ontenidos/233004/riesgos/ca crn gee anc att Pema m ac nc ashtmlEJEMPLO En una “Compaitia de Seguros” se llevé a cabo Ia “Auditoria de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa. Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de Ia autorizacién otorgada por el DBA (Administrador de la BD). Se observa que: - la BD tiene los siquientes objetos definidos: tablas, views (vistas) y sequence ~ el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del dia. - hasta el momento, la BD cuenta con més de 2 millones de registros Fecha del Informe: 12/06 / 2015 Nombre de la entidad: Seguros S.A Auditoria de: Sistemas- Bases de datos. Objetivo: Controlar la definicién y existencia de los objetos necesarios para la normal utilizacion de una BD y para mejorar su performance. Lugar de la Auditoria: Area de Sistemas Grupo de Trabajo de Auditoria: Lic. Jorge Gorostiza Lic. Gustavo Barrientos Fecha de Inicio de la Auditoria: 12 / 05 / 2015 Tiempo estimado del proceso de revisi6n: 30 HorasFecha de Finalizacién de la Auditoria: 19 / 05 / 2015 Herramientas utilizadas: ~ Metodologia de auditoria de objetivos de control + Utilitarios estandar Alcance: Controlar la definicién y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa. PROCEDIMIENTOS A APLICAR: Objetos ~ éLas tablas definidas en el disefio coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas? - €Estin definidas las claves primarias (PK) y claves externas (Fk) de ¢/ tabla existente? - EExisten las secuencias (sequences) correspondientes a la clave primaria (PK) de ¢/ tabla definida? - La BD tiene vistas (views) respecto de algunas tablas? - Para mejorar el performance del sistema, éel DBA definié que sean necesarios segtin los casos? - éExiste documentacién actualizada respecto del disefio e implementacién de la BD? Datos - éCon qué frecuencia se realiza una copia de resguardo (backup) respecto de la BD? - éCada cuanto tiempo se realiza una actualizacién de los datos existentes? Usuarios > eCudntos usuarios tienen acceso a la BD? - Cudntos usuarios actéian como desarrolladores respecto de la BD? - éCuéntos usuarios son usuarios finales de la BD? + éCudles son los roles y privilegios establecidos por el DBA? ~ éTodos los usuarios tienen definido un rol determinado?INFORME DE LAS DEBILIDADES DETECTADAS No existen indices que permitan mejorar el performance del sistema Se realiza una copia diaria de resguardo (backup) CONCLUSIONES Recomendacion Comentario de la Gerencia de Crear los indices que correspondan | De acuerdo de acuerdo con las aplicaciones que | (Sr. Gte de Sistemas) fueron desarrolladas. Debido al caudal de informacién | De acuerdo ‘que maneja la empresa, se sugiere _| (Sr. Gte de Sistemas) realizar 2 backups diarios, uno a mitad del dia y otro al final del dia. El equipo de auditores considera que la empresa NO realiza las tareas de actualizacién y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas éreas de la empresa.Daniela Alejandra Suarez Carrillo Leidy Natally Marin Lizth Carolina Aldana David Sanchez Profesora Nelly Clavijo