Auditoría de sistemas

Metodología práctica para auditoría de sistemas

aplicando el estándar de mejores prácticas CobIT
4.1

Francisco Nicolás Javier Solarte Solarte

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Vulnerabilidad, Amenaza y Riesgo

Vulnerabilidad Amenaza

Riesgo
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Una vulnerabilidad es una debilidad en un sistema
informático que puede ser aprovechado por un atacante para
violar la seguridad y cometer un delito causando daños. La
Vulnerabilidad es la capacidad, las condiciones y
características del sistema mismo, que lo hace susceptible a
amenazas, con el resultado de sufrir algún daño.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática

Las vulnerabilidades son consideradas como un elemento

interno del sistema por lo tanto es deber de los
administradores y usuarios detectarlos, valorarlos y
reducirlos. Las vulnerabilidades están directamente
relacionadas con las amenazas, por lo tanto si no existen
vulnerabilidad tampoco habrá amenazas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Física: Relacionada con el acceso físico al
sistema o al acceso a las instalaciones del área informática o
a los equipos de cómputo que contienen la información o
forman partes de los procesos esenciales del sistema.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Natural: Sensibilidad de los activos
informáticos a factores naturales en el entorno, pueden ser
desastres ocasionados por fuerzas naturales que causan
daño al sistema. Este tipo de vulnerabilidades están
asociadas a deficiencias en las medidas tomadas para
afrontar los desastres.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del Hardware: Las vulnerabilidades de
hardware representan la probabilidad de que las piezas
físicas del sistema fallen dejando al sistema desprotegido o
inoperable. También hacen relación a las formas en que el
hardware puede ser usado para atacar la seguridad del
sistema.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Software: Un producto software puede ser
vulnerable ante ataques de otro software, debido a errores
de programación, o errores en el diseño para el control de
acceso, seguridad, implantación, entre otros.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad de la Red: Las redes son los sistemas más
vulnerables ya que se trata de una serie de equipos
conectados entre si compartiendo recursos lo que posibilita
los ataques a toda la red penetrando uno de los equipos y
posteriormente expandirse al resto.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del factor humano: El elemento humano es
el más difícil de controlar y el más vulnerable del sistema.
Algunas de las vulnerabilidades de origen humano son la
falta de capacitación y concientización dando lugar al
cumplimiento de políticas de seguridad o el mal manejo del
equipo de cómputo y/o el sistema informático.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Las amenazas son factores externos al sistema por lo cuál es
posible establecer medidas para protegerse pero es
prácticamente imposible controlarlas o eliminarlas. Las
amenazas son eventos que pueden causar alteraciones en
los activos informáticos o la información ocasionando
pérdidas materiales, económicas, de información que
afectan el prestigio de la organización.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de factor humano: Las personas son la principal
fuente de amenaza en los sistemas informáticos y es el tipo
de amenaza donde se invierte más recursos para
controlarlos. Entre las amenazas más comunes están:
Curiosos, Intrusos, Personal interno, Terroristas, Robo,
Sabotaje, Fraude, Ingeniería social.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de Hardware: Ocasionada por fallas físicas que
presenten los elementos de hardware que soportan al
sistema informático. Estas fallas pueden ser defectos de
fabricación, diseño del hardware, mal uso, descuido, falta de
mantenimiento, Suministro de energía, Desgaste.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en la Red de datos: Las dos principales amenazas
en una red de datos son la no disponibilidad de la red y la
extracción lógica de información por ataques deliberados.
Entre las amenazas en la red están: Incumplimiento de
normas cableado estructurado, la configuración de servicios,
seguridad de usuarios de la red, la topología elegida.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en el Software: Las amenazas de software incluyen
posibles fallas de un sistema operativo, software mal
desarrollado, mal diseñado o mal implantado, software
malicioso amenaza directa contra el sistema. Dentro de los
tipos de amenaza en el software tenemos: Software de
desarrollo, Software de aplicación, Código malicioso, Virus,
Troyanos, Gusanos, Errores de programación y diseño.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de riesgo informático
Según la ISO riesgo es: “La probabilidad de que una amenaza
se materialice, utilizando la vulnerabilidad existentes de un
activo o grupos de activos, generándoles pérdidas o daños”.
El riesgo es una condición del mundo real, en el cual hay una
exposición a la adversidad conformada por una combinación
de circunstancias del entorno con posibilidad de pérdidas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos de Integridad: Interface del usuario, Procesamiento,
Procesamiento de errores, Interface, Administración de
cambios, Información.

Riesgos de Relación: Estos riesgos se refieren al uso

oportuno de la información creada por una aplicación para la
toma de decisiones.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipo de riesgo informático
Riesgos de Acceso: Procesos de negocio, Aplicación,
Administración de la información, Entorno de
procesamiento, Redes, Nivel físico

Riesgos de utilidad: Técnicas de recuperación/restauración

usadas en caso de caída de los sistemas, los Backups y planes
de contingencia.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos en la Infraestructura: Planeación organizacional,
Definición de las aplicaciones, Administración de seguridad,
Operaciones de red y computacionales, Administración de
sistemas de bases de datos, Información / Negocio.

Riesgos de seguridad general: Riesgos de choque de

eléctrico, Riesgos de incendio, Riesgos de niveles
inadecuados de energía eléctrica, Riesgos de radiaciones,
Riesgos mecánicos

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Concentración de procesamiento de aplicaciones de mayor
complejidad

Dependencia en el personal clave

Desaparición de los controles tradicionales

Huelgas, terrorismo e inestabilidad social

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Metodología de la Auditoría
FASE ACTIVIDADES
Conocimiento del 1. Identificar el origen de la auditoria.
sistema o área 2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
auditada 3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas
encontradas.
1. Elaborar el plan de auditoría: objetivos, alcances, metodología, recursos y cronograma de actividades
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27005, CMMI, MAGERIT, OCTAVE, COSO, otro)
3. De acuerdo al estándar elegido, seleccionar los ítems (dominios, objetivos de control) que serán evaluados
que estén en relación directa con el objetivo y alcances definidos en el plan de auditoría.
Planeación de la
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria
5. Determinar las actividades que se llevarán a cabo y los tiempos destinados en cada ítem evaluado.
(Programa de auditoría)
6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de
chequeo, formatos de cuestionarios)
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT, OCTAVE,
Ejecución de la
ISO/IEC 27005, COSO)
Auditoria
4. Realizar la valoración de las amenazas y vulnerabilidades encontradas
5. Realizar el proceso de evaluación de riesgos
6. Determinar el tratamiento de los riesgos
1. Determinar las soluciones para los hallazgos encontrados (controles de acuerdo a la norma aplicada)
Resultados de la 2. Elaborar el Dictamen de auditoría para los ítems evaluados (Nivel de madurez).
Auditoria 3. Elaborar el informe final de auditoría para su presentación y sustentación
4. Integrar y organizar FI-GQ-GCMU-004-015 V. 001-17-04-2013
los papeles de trabajo de la auditoria
Auditoría de sistemas
Plan de Auditoría
ÍTEMS DESCRIPCIÓN

Antecedentes Resultados de auditorias anteriores

Objetivos Evaluar, Revisar, Verificar, Confirmar

Para cada fase un objetivo específico
Componentes del sistema a auditar
Alcances Aspectos a evaluar de cada
componente auditable
Metodología Actividades, tareas, pasos para llevar
a cabo cada objetivo específico
Recursos Recursos físicos, materiales,
tecnológicos y talento humano

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
CobIT (Objetivos de Control para la Información y Tecnologías relacionadas)

Criterios de información CobIT

- Efectividad: Información relevante pertinente para procesos del negocio. Su
entrega sea oportuna, correcta, y consistente.
- Eficiencia: Provisión de información a través de la utilización óptima
(productiva y económica) de recursos.
- Confidencialidad: Protección de información sensible contra divulgación no
autorizada.
- Integridad: Precisión y suficiencia de la información, validez de acuerdo con
los valores y expectativas del negocio.
- Disponibilidad: Disponibilidad de la información cuando es requerida
- Cumplimiento: Cumplimiento de leyes, regulaciones y acuerdos contratos
- Confiabilidad de la información: Se refiere a la provisión de información
apropiada para la administración
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT

Recursos auditables en COBIT

- Datos: Los elementos de datos en su más amplio sentido, (externos e

internos), estructurados y no estructurados, gráficos, sonido, etc.
- Aplicaciones: Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
- Tecnología: hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, comunicaciones, multimedia, etc.
- Instalaciones: Recursos para alojar y dar soporte a los sistemas de
información.
- Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de información.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Estructura del CobIT

Dominios: Son agrupaciones de

procesos que corresponden a
una responsabilidad personal

Procesos: Son una serie de

actividades unidas con
delimitación o cortes de control

Objetivos de control:
actividades requeridas para
lograr un resultado medible.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesos

PO1 Definir un Plan Estratégico de TI.

PO2 Definir la Arquitectura de Información.
PO3 Determinar la dirección tecnológica.
PO4 Definir la Organización y Relaciones de TI.
PO5 Manejar la Inversión en TI.
PO6 Comunicar las directrices gerenciales.
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT

Dominio ADQUIRIR E IMPLEMENTAR (AI): Contiene a los procesos

AI1 Identificar Soluciones.

AI2 Adquisición y Mantener Software de Aplicación.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesos

DS1 Definir niveles de servicio.

DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeño y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
DS7 Capacitar Usuarios.
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuración.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
DS13 Administrar Operaciones
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT

Dominio MONITOREAR Y EVALUAR (ME): contiene a los procesos

ME1 Monitorear los procesos.

ME2 Evaluar lo adecuado del control Interno.
ME3 Obtener aseguramiento independiente.
ME4 Proveer auditoría independiente.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones

AI2.4 Seguridad y Disponibilidad de las Aplicaciones

AI2.5 Configuración e Implementación de Software

Aplicativo Adquirido
AI2.6 Actualizaciones Importantes en Sistemas
AI2 Adquirir y Existentes
Mantener AI2.7 Desarrollo de Software Aplicativo
Software AI2.8 Aseguramiento de la Calidad del Software
Aplicativo
AI2.9 Administración de los Requerimientos de
Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI3.1 Plan de Adquisición de Infraestructura
Tecnológica

AI3 Adquirir y AI3.2 Protección y Disponibilidad del Recurso de

Mantener Infraestructura
Infraestructur
a Tecnológica
AI3.3 Mantenimiento de la infraestructura

AI3.4 Ambiente de Prueba de Factibilidad

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5 Garantizar la
DS5.8 Administración de Llaves Criptográficas
Seguridad de los
DS5.9 Prevención, Detección y Corrección de
Sistemas
Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
PORCENTAJE DE RIESGO

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55

Porcentaje de riesgo = 100 – 30.55 = 69.45

Para determinar el nivel de riesgo total, se tiene en cuenta la escala :

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial:
Porcentaje de riesgo = 69.45
Impacto según relevancia del proceso: Riesgo Medio

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: entrevistas, cuestionarios

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: seguridad en la red

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Inyecciones SQL

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Fotográficas

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos

MATRIZ DE PROBABILIDAD DE IMPACTO

Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%

Medio Zona de riesgo Zona de riesgo Zona de riesgo

PROBABILIDAD

31-60% Tolerable Moderado Importante

Bajo Zona de riesgo Zona de riesgo Zona de riesgo

0-30% Aceptable Tolerable Moderado

Leve Moderado Catastrófico

IMPACTO

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos

MATRIZ DE PROBABILIDAD DE IMPACTO

R4, R7 R1
Alto
61-100%

Medio R2, R5 R6
PROBABILIDAD

31-60%

Bajo R3, R8 R9
0-30%

Leve Moderado Catastrófico

IMPACTO

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P1
Hallazgos de la Auditoría H1
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
En el área informática no se lleva un registro de mantenimiento y de cambios de hardware, además
no existe personal de mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las
directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se actualiza
periódicamente cuando se han realizado cambios o adquisición de nuevo hardware
Recomendación
El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de
hardware
Causa
Falta de recursos económicos y la falta de planeación por parte del encargado de la administración
del área informática en la organización.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es
moderado
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P2
Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
La Institución tiene programadas jornadas de mantenimiento y el coordinador del área las programa al
inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .
Recomendación
El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año,
las actualizaciones de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El coordinador del área informática deben realizar planes de actualización de equipos y de mantenimiento
preventivo, asignando los recursos económicos necesarios para vigencias futuras.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Tratamiento de riesgos

NIVEL DE RIESGO TRATAMIENTO DEL RIESGO

Aceptable Finaliza el proceso.
Una de las tres opciones:
Tolerable a. Se transfiere el riesgo por ejemplo tomando
un seguro.
b. Se evita el riesgo retirando el activo de
Intolerable
información.
c. Se reduce o mitiga el riesgo por medio de
Extremo
controles.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez

DICTAMEN DE LA AUDITORÍA

PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES

DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

Objetivo de la Auditoria:
Dictamen: Se califica un nivel de madurez: 3 DEFINIDO
Hallazgos que soportan el Dictamen:
Recomendaciones:

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica
Hallazgo
No esta detallada los procedimientos a seguir o un plan de contingencia en
caso de que el hardware no funciones. No se lleva un registro del
mantenimiento del hardware
Recomendaciones
Se debe crear un plan y procesos de mantenimiento que permitan documentar
las actividades de mantenimiento, para que se realicen de manera oportuna.
En la dependencia debe existir un plan de contingencia que permita dar
solución inmediata en caso de presentarse algún fallo en el hardware. En
cuanto a los diferentes niveles de daños, se hace necesario presuponer el daño
total para tener un plan de contingencia lo más completo posible.
Evidencias
Evidencias/Entrevista Audio/Entrevista Funcionarios OCARA.wma

FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?

FI-GQ-GCMU-004-015 V. 001-17-04-2013
 Francisco Nicolás Solarte

Docente de carrera Universidad Nacional

Abierta y a Distancia - UNAD
Docente hora cátedra Universidad de Nariño

solartefrancisco@gmail.com
francisco.solarte@unad.edu.co

Blog
http://auditordesistemas.blogspot.com.co/
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias

FI-GQ-GCMU-004-015 V. 001-17-04-2013