Página |0

Universidad Politécnica del Estado Guerrero

Ingeniería en Telemática

Profesores:
Reynaldo Alanís Cantú

Asignaturas:
Gestión de la Calidad

Proyecto:
Planificación de un proyecto para realizar una auditoría
informática en una institución

Integrantes del Equipo:

 Ávila Vázquez José Francisco
 Bustos Hernández Carlos Leonel.
 De León Molina Nancy Anay
 Gutiérrez Cruz Oscar Alan
 Hernández Godínez Jesús
 Trujillo Huertas Kevin Daniel

Grupo: T-7901

Cuatrimestre: Noveno

Fecha: 10 de agosto del 2018

 Página |1

Índice
Introducción........................................................................................................................................ 2
Objetivos ............................................................................................................................................. 2
Objetivo general ............................................................................................................................. 2
Objetivos específicos ...................................................................................................................... 2
Antecedentes ...................................................................................................................................... 3
Marco teórico ..................................................................................................................................... 3
Desarrollo............................................................................................................................................ 8
Empresa auditora ........................................................................................................................... 8
Organigrama ................................................................................................................................... 9
Funciones, Roles y Responsabilidades ......................................................................................... 10
Gerente General ....................................................................................................................... 10
Jefe de departamento de Auditoria informática ..................................................................... 11
Auditor Informático .................................................................................................................. 11
Alcance .......................................................................................................................................... 13
WBS ............................................................................................................................................... 14
Tipo de auditoría .......................................................................................................................... 15
Planeación de una auditoría de seguridad informática .............................................................. 16
Presupuesto de proyecto ............................................................................................................. 19
Plan general de auditoria en informática .................................................................................... 22
Cronograma de actividades .......................................................................................................... 24
Diagnostico preliminar del área de Sistemas .............................................................................. 26
Matriz de riesgos .......................................................................................................................... 27
Informe de hallazgos .................................................................................................................... 28
Informe de soluciones y recomendaciones ................................................................................. 31
Resultados..................................................................................................................................... 31
Soluciones ..................................................................................................................................... 32
Cartas ............................................................................................................................................ 33
Carta de presentación empresa – empresa ............................................................................. 33
Carta Informativa...................................................................................................................... 34
Carta Invitación......................................................................................................................... 35
Formato para realizar una auditoría informática .................................................................... 36
 Página |2

Conclusiones ..................................................................................................................................... 41
Fuentes bibliográficas....................................................................................................................... 42
Participación de todos los integrantes ............................................................................................ 43
Evaluación y coevaluación............................................................................................................ 44

Introducción
En el presente reporte se mostrará diseño de planeación de una auditoria informática, utilizando
metodologías eficientes, herramientas para recabar información, formatos de evaluación,
cronogramas, delimitación de roles, etc. Esto con el fin de elaborar un plan de trabajo acorde con lo
aprendido en la materia.

Objetivos

Objetivo general
Diseñar un plan de trabajo para realizar una auditoría enfocado a sistemas de
gestión de seguridad informática, transferencia de información y seguridad de datos.

Objetivos específicos
 Planificar evaluación de seguridad en equipos de cómputo, software y datos.
 Realizar un cronograma de actividades para el plan de auditoria
 Delimitar roles, responsabilidad y funciones de los integrantes del equipo de
trabajo.
 Diseñar cuestionarios y entrevistas para recabar información.
 Identificar los riesgos dentro del área de sistemas de la empresa auditada.
 Página |3

Antecedentes

Para este proyecto se pretende diseñar un plan de auditoria informática, para el H.

Ayuntamiento Municipal de Iguala de la Independencia, perteneciente al estado de
Guerrero, para llevar a cabo esta tarea, se planteó una problemática dentro de dicha
dependencia de gobierno, a fin de encontrar una causa raíz, identificar riesgos y
encontrar una solución viable.
Para la asignatura de Administración y consultoría, se pretende edificar una relación
formal empresa auditora - empresa auditada, en este caso, la empresa encargada
de esta labor será “APA”, ente creado por los alumnos integrantes del equipo de
trabajo de este mismo trabajo.
En el caso de la asignatura Gestión de calidad se realizará un plan de diseño para
la auditoria, se entregará la estructura de diseño, actividades, cronogramas, roles
designados, esqueletos de cuestionarios y entrevistas, informes de hallazgos por
mencionar algunos.
Lo que se incluirá en este proyecto de las asignaturas de Tópicos aplicados a
Telemática y Administración de los centros de cómputo, será la misma solución del
problema, para el diseño de la solución se aplicará conocimientos, aptitudes,
habilidades, y competencias adquiridas de las ya mencionas asignaturas.

Marco teórico
¿Qué es una auditoría informática?
La auditoría informática es un elemento que, aunque sea o parezca poco importante
en esencial para determinar vulnerabilidades y deficiencias existentes en los
sistemas de información en la actualidad.
Básicamente consiste en recoger, agrupar y evaluar las evidencias para ver si un
sistema de información cumple con ciertos niveles de seguridad como la
salvaguarda de documentación, controlar que los usos de recursos se gestionen
correctamente y el mantenimiento de la integridad de los datos.
(Cocomsys, 2014)
¿Cómo se realiza una auditoria?
 Página |4

1. Análisis para poder establecer cuáles son los objetivos que tiene la
empresa, hacia dónde quiere llegar y así tener capacidad de conocer más
adelante la eficacia que presenta su sistema informático atendiendo a
dichos objetivos.
2. Un inventario con todos los puntos elaborados. Este inventario va a ser el
protagonista en el siguiente paso, ya que nos servirá para llevar a cabo una
planificación en la cual debemos fijarnos en cómo vamos a estudiar cada
uno de esos puntos para que siempre ofrezcan el mejor rendimiento
posible.
3. Delimitar cuáles son las incidencias que nos hemos encontrado a lo largo
de todo el análisis y los riesgos a los que nuestro sistema informático está
expuesto para no realizar su trabajo de forma correcta.
4. Por último, poner en marcha todas las técnicas y métodos necesarios para
resolver los problemas que hayan ido apareciendo durante el análisis del
sistema informático y así poder dar una solución prácticamente inmediata.
(Universitat de Barcelona)
Metodología – Modelo COBIT
Es un marco de referencia fundamentalmente para implementar las buenas
prácticas y desarrollo de las políticas en la organización, elaborado por ISACA.
Formalmente serviría para investigar, desarrollar y promover un marco de trabajo
autoritativo, actualizado e internacionalmente aceptado para el control de gobierno
de TI para la adopción de las empresas y para el uso diario de los administradores
de empresas, profesionales de TI y auditorias. Este control está definido por
COBIT.
Contiene 4 dominios, con varios procesos de TI por cada dominio:
1. Planear y Organizar
2. Adquirir e Implementar
3. Entregar y dar soporte
4. Monitorear y Evaluar
(ISACA, 2013)

¿Qué es un Auditor Informático?

Es la persona que va a resisar la seguridad, el control interno, la efectividad, la
gestión del cambio y la integridad de la información. Será el encargado del control
y la verificación de dichos controles.
La o las personas que realicen el papel del auditor, deberá de cumplir ciertos
aspectos como:
 Conocimientos generales actualizados y especializados sobre toda clase de
sistemas técnicos y tecnologías de la información.
 Página |5

 Conocimientos sobre normas y estándares aplicados a la auditoria

informática
 Conocimientos sobre organización en la empresa y procesos de los sistemas
de información.
 Conocimientos sobre herramientas de control, monitorización y gestión de
procesos.
 Conocimientos sobre las gestiones de diversos sistemas como: sistemas
operativos, bases de datos, cifrado de datos, redes locales.
Junto con los aspectos anteriores, también deberá tener conocimientos sobre
técnicas de evaluación de riesgos, muestreo, cálculos por operación, recopilación
de información, análisis e interpretación de datos.
(Jazmin, 2009)
¿Qué podemos conocer al realizar una Auditoría Informática?
La auditoría informática sirve para mejorar ciertas características en la organización
auditada como:
 Desempeño
 Fiabilidad
 Eficacia
 Rentabilidad
 Seguridad
 Privacidad
Al realizar una auditoria informática se puede conocer:
 El flujo de información y el uso de los recursos dentro de una organización.
 La información crítica para el cumplimiento del objetivo de la organización,
identificando necesidades, duplicidades, costos, valor y barreras, que
obstaculicen flujos de información.
 Análisis de la eficiencia de los sistemas informáticos.
 Verificar el cumplimiento de la normativa en el ámbito a analizar.
 Revisar eficaz de los recursos informáticos.
¿Por qué es importante realizar una auditoria informática?
La Auditoría Informática, es importante en las organizaciones auditadas por lo
siguiente:
 Se puede dar o utilizar información errónea si la calidad de datos de entrada
es inexacta o estos son manipulados.
 Los ordenadores, servidores y los Centros de Procesamiento de Datos se
han convertido en blancos para fraudes, espionaje, delincuencia y terrorismo
informático.
 Página |6

 La continuidad de las operaciones, la administración y organización de la

empresa no deben residir en sistemas mal diseñados, ya que los mismos
pueden convertirse en un serio peligro para la empresa.
 Las bases de datos pueden ser propensas a ataques y accesos de usuarios
no autorizados o intrusos.
 La piratería de software y el uso no autorizado de programas, con las
implicaciones legales y respectivas sanciones que esto puede tener para la
empresa.
 El robo de secretos comerciales, información financiera, administrativa, la
transferencia ilícita de tecnología y demás delitos informáticos.
 Mala imagen e insatisfacción de los usuarios porque no reciben el soporte
técnico adecuado o no se reparan los daños de hardware ni se resuelven los
problemas en plazos razonables, es decir, el usuario percibe que está
abandonado y desatendido permanentemente.
 En el Departamento de Sistemas se observa un incremento desmesurado de
costos, inversiones injustificadas o desviaciones presupuestarias
significativas.
 Evaluación de nivel de riesgos en lo que respecta a seguridad lógica,
seguridad física y confidencialidad.
 Mantener la continuidad del servicio y la elaboración y actualización de los
planes de contingencia para lograr este objetivo.
 Los recursos tecnológicos de la empresa incluyendo instalaciones físicas,
personal subalterno, horas de trabajo pagadas, programas, aplicaciones,
servicios de correo, Internet, o comunicaciones; son utilizados por el personal
sin importar su nivel jerárquico, para asuntos personales, alejados totalmente
de las operaciones de la empresa o de las labores para las cuales fue
contratado.
 El uso inadecuado del ordenador para usos ajenos de la organización, por
ejemplo la copia de programas para fines de comercialización sin reportar los
derechos de autor, o utilización de Internet de forma abusiva.
(SHELLSEC)
¿Qué es la protección de datos?
Es el derecho que tienen todos los ciudadanos a que sus datos personales no sean
utilizados por parte de terceros sin la autorización debida.
Es un derecho fundamental consistente en el ejercicio de control por parte del titular
de los datos sobre quién, cómo, para qué, dónde y cuándo son tratados los datos
relativos a su persona. Este control se hace efectivo a su vez a través del ejercicio
de los derechos de acceso, rectificación, cancelación y oposición.
Junto con el derecho fundamental al honor, la intimidad personal y familiar y la
propia imagen, a la inviolabilidad del domicilio y al secreto de la correspondencia y
 Página |7

las telecomunicaciones, su carácter de derecho fundamental, viene determinado por

su ubicación en la Constitución Española (artículo 18.4) que dice:
“La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” Ante un
masivo uso de la informática, el legislador constitucional advirtió el riesgo que el
desarrollo de estos medios podría suponer para los derechos de la intimidad de las
personas.
El desarrollo legislativo del mandato constitucional ha dado lugar a la creación de
un derecho específico a la protección de datos que también ha sido desarrollado en
el ámbito europeo.
(Pedro Delgado, 2013)

Work Breakdown Structure del proyecto.

“La EDT/WBS (work breakdown structure) consiste en dividir al proyecto en

menores componentes para facilitar la planificación del proyecto, con la EDT/WBS
se puede dar una visión estructurada de lo que se debe entregar.

La EDT/WBS es una descomposición jerárquica del alcance total del trabajo a

realizar por el equipo del proyecto.”

(PMP, 2017)
 Página |8

Desarrollo
Empresa auditora
H. Ayuntamiento Municipal de Iguala de la Independencia, Guerrero, es el encargado de la
organización de la administración local, dirigida por Dr. Herón Delgado Castañeda Presidente
Municipal Constitucional y varios concejales para la administración de los intereses de Iguala.
Las funciones principales del Ayuntamiento son:

 Tratar de mantener la localidad o ciudad en buen estado en cuanto a limpieza.

 Poner y arreglar semáforos.
 Arreglo de calles y veredas.
 Iluminación de la misma.
 Creación de parques y lugares al aire libre.
 Vigilancia (cámaras de seguridad, policías).

Se solicitó servicio de auditoria informática por perdida de datos, establecido en un área específica
de dicho ayuntamiento. El área que se auditará será el área de sistemas, dirigida por el jefe de
departamento, Daniel Edahí Urueta Hinojosta.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 Página |9

Organigrama

Gerente general
Nancy Anay De León Molina

Jefe Dpto.
Auditoria
Informática
Jesús Hernández Godínez

Auditor Auditor Auditor Auditor

Carlos Leonel Bustos
Kevin Daniel Trujillo Huertas José Francisco Ávila Vazquez Oscar Alan Gutierrez Cruz Hernández

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 10

Funciones, Roles y Responsabilidades

Gerente General
Personal designado:
 Nancy Anay De León Molina.
Descripción de rol:
Es el profesional encargado de planear, dirigir y supervisar los procesos técnicos y
administrativos de distintos departamentos y áreas de la empresa, incluyendo el
departamento de auditoria informática, a fin de satisfacer las necesidades de la
institución.
Funciones principales
 Planear, dirigir y controlar, el funcionamiento del departamento de auditoria
informática.
 Manejar información de grado de confidencialidad alto en forma directa.
 Toma decisiones basándose en políticas y objetivos funcionales con el fin
desarrollar nuevas estrategias y objetivos, a nivel empresa.
 Ejerce una supervisión general de manera directa y periódica al
departamento de auditoria informática.
Actividades principales y responsabilidades
 Presentar a la empresa auditora con la empresa cliente.
 Brindar comunicación formal con la empresa cliente.
 Ser el enlace principal con la empresa cliente por parte de la empresa
auditora.
 Planificar y formar parte de diseño de auditorías.
 Dar seguimiento al proceso de auditoría.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 11

Jefe de departamento de Auditoria informática

Personal designado:
 Jesús Hernández Godínez.
Descripción de rol:
Es aquel profesional designado a supervisar, organizar y controlar las actividades
llevadas a cabo por el equipo de auditores.
Funciones principales
 Supervisar manejo periódico de equipos y materiales altamente complejos y
especializados, siendo su responsabilidad directa.
 Coordinar al equipo de auditores para asegurar el cumplimiento de
objetivos planteados.
 Llevar control del tiempo designado para las actividades a realizar en la
auditoria informática.
 Brindar resultados de la auditoria informática a la empresa auditada.
 Supervisar el cumplimiento de las actividades designadas a los auditores en
tiempo y forma con respecto a los plazos de tiempo.

Actividades principales y responsabilidades

 Coordinar equipo de trabajo de campo.
 Ser principal intermediario del proceso de auditoría.
 Establecer objetivos para la planeación y realización de la auditoria.
 Delimitar tiempos de actividades a realizar.
 Supervisar el trabajo de los auditores a su cargo
 Bridar resultados de la auditoria a la empresa auditada.
 Informar avances del proceso de auditoría.

Auditor Informático
Personal designado:
 Carlos Leonel Bustos Hernández.
 José Francisco Ávila Vázquez.
 Oscar Alan Gutierrez Cruz.
 Kevin Daniel Trujillo Huertas.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 12

Descripción de rol: Profesional dedicado al análisis de sistemas de información

que está especializado en distintas áreas informáticas como; sistemas,
telecomunicaciones, redes, programación, hardware, software y mantenimiento,
además posee conocimientos empresariales generales.
Funciones principales
 Realizar análisis de sistemas informáticos de la empresa a auditar.
 Recabar información necesaria para la auditoria informática.
 Síntesis, análisis e interpretación de la información recabada.
 Búsqueda de problemas en sistemas informáticos de la empresa a auditar.
 Evaluación de riesgos, fallas, errores y discrepancias en sistemas
informáticos de la empresa a auditar.
Actividades principales y responsabilidades
 Realización de entrevistas de diagnóstico.
 Evaluación general de seguridad del sistema, software, hardware,
telecomunicaciones y mantenimiento.
 Aplicar cuestionarios.
 Análisis y síntesis de la información obtenida.
 Elaboración del informe final.
 Recomendaciones para la empresa auditada y alternativas de solución.
 Seguimiento.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 13

Alcance
Se llevará a cabo la planeación de un proyecto para la realización de
una auditoria informática para conocer el estado de la institución en
cuanto a TI concierne.
Como primera parte se mantendrán entrevistas con el personal
involucrado, para recabar evidencias para evaluar si el área de sistemas
logra los objetivos institucionales.
Para lo cual se realizará la inspección de los controles establecidos
dentro del área de sistemas de la institución aplicando las metodologías
correctas.
El proyecto tendrá una duración de 1 mes al final del cual se espera
obtener recomendaciones en base a las falencias detectadas, las
cuales, quedaran planteadas en el reporte para que sean aplicadas
según el criterio de las autoridades correspondientes.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 14

WBS
 P á g i n a | 15

Tipo de auditoría
Se solicitó servicio de auditoria informática por
¿QUIÉN EXTERNA perdida de datos a una empresa externa llamada
AUDITA? APA.

Seguridad informática en infraestructura del

ayuntamiento de Iguala de la independencia,
¿DE QUÉ enfocado a sistemas de gestión de seguridad, así
SE AUDITA? SISTEMA DE GESTION como transferencia de datos, evaluación de
equipo de cómputo, políticas de uso, etc.

Se asignó a un área específica (informática), en la

cual se busca verificar la seguridad, fiabilidad y
ALCANCE PARCIAL accesibilidad de datos.

Establecimos fecha por lo cual la actividad fue

CUANDO PROGRAMADA planificada, por medio de cronogramas se han
establecido fechas y/o periodos en la cual se van a
establecer evaluaciones pertinentes al área
informática.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 16

Planeación de una auditoría de seguridad informática

Datos De La Empresa
Nombre de la Institución: H. Ayuntamiento Municipal De Iguala De La
Independencia, Guerrero
Dirección: Av. Vicente Guerrero No. 1,
Col. Centro; Iguala, Gro. C.P. 40000
Teléfono: (733) 333 - 960
Sitio Web: https://www.iguala.gob.mx/
Periodo de Gestión: 2015 - 2018
Giro del negocio: Institución Gubernamental

Área(s) a Revisar Aspectos a evaluar

Área de sistemas -Hardware
-Software
-Mantenimiento
-Telecomunicaciones
-Seguridad de la Información

Objetivo del Área de Sistemas: Atender las necesidades computacionales y

mantener de manera íntegra la información y el equipo para ser utilizado en el
momento que se necesite por el personal del ayuntamiento.

Objetivo de la Auditoría al Área de Sistemas: Examinar en forma global y

constructiva la organización enfocándose a su departamento de computo,
contemplando aspectos como: planes y objetivos, métodos y controles, formas de
operación y organización humana y jurídica.

Organigrama de la institución:

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 17

H. Ayuntamiento
Iguala

Dirección

Área de
Administración Finanzas
Sistemas

Área a auditar: Área de sistemas

Personal a entrevistar:
1. Encargado del área de sistemas
2. Personal administrativo que opera los sistemas

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 18

Inventario de equipo que está a cargo del área de sistemas:

Descripcion: Cantidad:
CPU 20
Monitores 20
Teclados 20
Mouse 20
Speaker 5
Impresora Multifuncional 4
Servidor 1

Determinación del área a estudiar:

Razones:

I. Poder observar la descripción general de los sistemas instalados y de

los que estén por instalarse que contengan volúmenes de información.
II. Revisar el manual de procedimientos de los sistemas.
III. Evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de
información.
IV. Verificar la adecuación del sistema operativo, versión del software
utilizado, como en los aspectos relativos a la programación de las
distintas aplicaciones, prioridades de ejecución, lenguaje utilizado.
V. Verificar que la documentación relativa al sistema de información sea
clara, precisa, actualizada y completa.

Evaluación de los equipos de cómputo:

Razones:

I. Revisar número de equipos, localización y las características (de los

equipos instalados, por instalar y programados).
II. Conocer las fechas de instalación de los equipos y planes de
instalación.
III. Revisar la configuración de los equipos y sus capacidades actuales.
IV. Revisar las políticas de uso de los equipos
V. Revisar el manual en el que se encuentra estructurada la forma en
que se da el mantenimiento al equipo informático.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 19

Comentario general:

Con esta información queremos considerar las características de

conocimientos, práctica profesional y capacidad que tiene el personal
encargado de la administración de Sistemas de esta institución, así
como de evaluar el estado de los propios sistemas, dar alternativas de
solución y recomendaciones.

Presupuesto de proyecto

1.- Autor: Jesús Hernández Godínez

2.- Departamento: Auditoría Informática

3.- Descripción del Proyecto:

- Titulo Auditoría Informática al área de Sistemas
del H. Ayuntamiento Municipal de Iguala
de la Independencia
- Duración 1 Semana (7 días)

4.- Presupuesto total del Proyecto:

Pesos $21,135.00

5.- Desglose presupuestario (costes directos)

Recursos Humanos
Nombre Categoría Dedicación Coste Coste Firma de
Completo (Horas hora Horas conformidad
Ingeniero) Ingeniero Ingeniero
p/ persona
Hernández Godínez Responsable 56 Horas $70.00 $3,920.00
Jesús Auditor
Bustos Hernández Auditor 56 Horas $60.00 $3,360.00
Carlos Leonel
Gutiérrez Cruz Auditor 56 Horas $60.00 $3,360.00
Oscar Alan
Ávila Vázquez José Auditor 56 Horas $60.00 $3,360.00
Francisco
Trujillo Huertas Auditor 56 Horas $60.00 $3,360.00
Kevin Daniel

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 20

Horas 280 Horas Total $17,360.00

Ineniero:
a)
Horas ingeniero p/ persona: 56 horas Ingeniero.

Infraestructura Requerida
Equipos
Descripción Coste Número % Uso Dedicación Periodo de Coste
(Pesos) de dedicado (meses) depreciación imputable
d)
equipos proyecto
Portátil HP $6000.00 5 100 0.25 12 $625.00
ProBook
6550

A = No. de meses que el equipo es utilizado

B = periodo de depreciación (12 meses)
C = coste del equipo (sin IVA)
D = % del uso que se dedica al proyecto (habitualmente 100%)

6.- Desglose presupuestario (costes indirectos)

Descripción Personal Costo por Costo al mes

persona
Dieta 5 $420.00 $2,100.00
Transporte 5 $210.00 $1,050.00
Total $3,150.00

Descripcion Costes Totales

Personal $17,360.00
Infraestructura requerida $625.00
Costes indirectos $3,150.00
Total $21,135.00

APA, es una empresa que ofrece su servicio de auditoria, con la finalidad de agilizar la solución a
posibles fallas o siniestros que den a lugar dentro de una empresa, analizando cada departamento

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 21

que sea necesario para así poder ofrecer posibles soluciones, las cuales son brindadas a el jefe o
encargado que solicito la auditoria.

Tenemos un enfoque innovador para el análisis y la solución del problema, facilitando la inversión
en nuevos métodos y tecnologías para competir con corporaciones y adaptadas a un modelo de
negocio moderno.

Como parte del servicio, la información que es manejada por los auditores (son quienes analizan
detenidamente las acciones de la empresa y determinan si las medidas que se han tomado en los
diferentes casos son adecuadas y si han beneficiado a la empresa) será mantenida a salvo y se
entregara en las condiciones con la que fueron recibidas.

Costos directos e indirectos.

Presupuesto total del Proyecto:

Pesos $21,135.00

Desglose presupuestario (costes directos)

Recursos Humanos
Nombre Categoría Dedicación Coste Coste Firma de
Completo (Horas hora Horas conformidad
Ingeniero) Ingeniero Ingeniero
p/ persona
Hernández Godínez Responsable 56 Horas $70.00 $3,920.00
Jesús Auditor
Bustos Hernández Auditor 56 Horas $60.00 $3,360.00
Carlos Leonel
Gutiérrez Cruz Auditor 56 Horas $60.00 $3,360.00
Oscar Alan
Ávila Vázquez José Auditor 56 Horas $60.00 $3,360.00
Francisco
Trujillo Huertas Auditor 56 Horas $60.00 $3,360.00
Kevin Daniel
Horas 280 Horas Total $17,360.00
Ingenier
o:
a)
Horas ingeniero p/ persona: 56 horas Ingeniero.

Infraestructura Requerida
Equipos
Descripción Coste Número % Uso Dedicación Periodo de Coste
(Pesos) de dedicado (meses) depreciación imputable
d)
equipos proyecto
Portátil HP $6000.00 5 100 0.25 12 $625.00
ProBook
6550

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 22

A = No. de meses que el equipo es utilizado

B = periodo de depreciación (12 meses)
C = coste del equipo (sin IVA)
D = % del uso que se dedica al proyecto (habitualmente 100%)

Desglose presupuestario (costes indirectos)

Descripción Personal Costo por Costo al mes

persona
Dieta 5 $420.00 $2,100.00
Transporte 5 $210.00 $1,050.00
Total $3,150.00

Descripción Costes Totales

Personal $17,360.00
Infraestructura requerida $625.00
Costes indirectos $3,150.00
Total $21,135.00

Plan general de auditoria en informática

Empresa: Apa S.A. de Gerencia: Ing. Nancy Fecha de

C.V. Anay de elaboración: 30/07/2018
León Molina.

Representante del área Representante de Ing. Jesús Líder del proyecto:

de sistemas: Daniel auditoria informática: Hernández Ing. Jesús
Edahí Urueta Hinojosa. Godínez. Hernández Godínez.
Área por auditar según Aspectos a evaluar. Relevancia dentro Fecha de inicio y de
clasificación y de la auditoría. terminación.
prioridades.
Planificación. -Definir problemas. 5% 30/07/2018 –
-Definir objetivos. 30/07/2018
-Asignar funciones y
responsabilidades.
Presupuesto. -Definir infraestructura requerida. 5% 30/07/2018 –
-Definir costos directos e indirectos. 30/07/2018
Plan general de la Definir aspectos a evaluar. 20% 30/07/2018 –
auditoria. 30/07/2018

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 23

Realización de -Obtener información del área 10% 30/07/2018 –

entrevistas de auditada y evaluación. 31/07/2018
diagnóstico.

Evaluación general de Área de sistemas: 20% 31/07/2018 –

seguridad del sistema, -Office, lector de correo electrónico, 05/08/2018
software, hardware, navegador web, mantenimiento.
telecomunicaciones y
mantenimiento.
Aplicar cuestionarios. -Obtener aspectos importantes para el 10% 01/08/2018 –
auditor y definir porcentaje de riesgos. 04/08/2018
Análisis y síntesis de la -Detectar las fallas y ofrecer las 5% 02/08/2018 –
información obtenida. posibles soluciones. 03/08/2018
Informe de hallazgos. -Informar las fallas y las mejoras que 5% 03/08/2018 –
se pueden hacer a el solicitante de la 04/08/2018
auditoria.
Elaboración del informe -Recaudamiento de información 5% 04/08/2018 –
final. obtenida en los análisis y entrevistas 05/08/2018
que se hicieron.
Recomendaciones para la -Establecer soluciones. 10% 06/08/2018 –
empresa auditada y 06/08/2018
alternativas de solución.
Seguimiento. -- 5% 06/08/2018 –
07/08/2018

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 24

Cronograma de actividades

Periodo 2018 L M M J V S L
Julio - Agosto 30 31 1 2 3 4 6 Responsables
Actividades
Realización de x  Ávila Vázquez
entrevistas de José Francisco
diagnóstico.  Bustos
Hernández
Evaluación general de x Carlos Leonel
seguridad del sistema,  Nancy Anay De
software, hardware, León Molina
telecomunicaciones y  Oscar Alan
mantenimiento. Gutiérrez Cruz
 Hernández
Aplicar cuestionarios. x Godínez Jesús
 Trujillo Huertas
Análisis y síntesis de la x Kevin Daniel
información obtenida.

Informe de Hallazgos. x
Elaboración del informe x
final.

Recomendaciones para x
la empresa auditada y
alternativas de solución.

Seguimiento. x

Del 30 de Julio al 6 de agosto semana de cronograma de actividades.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 25

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 26

Diagnostico preliminar del área de Sistemas

CONCEPTO DESCRIPCIÓN

Áreas de Institución Esta es el área en la que se llevó a cabo

la auditoria.
 Área de Sistemas

Macroproyectos en el área de Sistemas Son los Proyectos a implementarse en

el futuro.
 Generar una mejor relación entre gestión de
información y uso de las TI.

 Instruir a los trabajadores en el uso de

métodos de almacenamiento digital.

Objetivos en el área de Sistemas

 Evitar la pérdida de información.
 Crear un respaldo de la información
almacenada.
La institución desea lograr a corto,
mediano o largo plazo para mejorar la
administración.

 Implementar el modelo de almacenamiento

en la nube para satisfacer la necesidad de
disponibilidad de la información.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 27

Matriz de riesgos

Áreas susceptibles Aspectos de componentes Riesgos por Clasificación Prioridad Area de

a Auditar por evaluar del área componente de riesgos aplicación
por áreas de
(total) auditoria.
Software  Administración 5% 2 Área de
 Legalización 5% 20% sistemas
 Operación/Seguridad 5%
 Capacitación 5%
Hardware  Hardware 4% 2 Área de
 Software 4% 20% sistemas
 Sistemas de 6%
información
 Telecomunicaciones 6%
Seguridad  Usuarios 15% 30% 3 Área de
 Comunicación 15% sistemas
Mantenimiento  Administración 10% 1 Área de
 Instalación 20% sistemas
 Operación/seguridad 10%
Telecomunicaciones  Internet 10% 10% 3 Área de
sistemas

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 28

Informe de hallazgos

HALLAZGO 1 REF

ENT1

Proceso Auditado Almacenamiento de Información Página

1 de 2

Responsable Jesús Hernández Godínez

Material de Soporte COBIT

Dominio Adquisición e Implantación Proceso Estrategia y Solución

DESCRIPCIÓN:

 No existe un proceso de almacenamiento de información de forma digital.

 No existe almacenamiento de información en la Nube.

 No se cuenta con un servidor.

 No existe respaldo de la información.

REF_PT:

ENT1

CONSECUENCIAS:

 Perdida de una cuantiosa cantidad información en consecuencia de los constantes ataques físicos realizados a los
departamentos del H. Ayuntamiento Municipal de Iguala de la Independencia, Guerrero México.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 29

RIESGO:

Probabilidad de Ocurrencia: Moderado

Impacto según la relevancia del proceso: Alto

RECOMENDACIONES:

Implementar el uso de TI para poder establecer:

 Un servidor físico.

 Utilización del Software NAS 4 Free para implementar el almacenamiento de información en la nube.

 Implementación RAID para respaldo de información.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 30

HALLAZGO 2 REF

CU1

Proceso Auditado Hardware Página

1 de 1

Responsable Jesús Hernández Godínez

Material de Soporte COBIT

Dominio Adquisición e Implantación Proceso Estrategia y Solución

DESCRIPCIÓN:
 No existe el equipo de Hardware necesario para implementar un servidor.

REF_PT:
CU1

CONSECUENCIAS:
No se puede implementar el almacenamiento de información de forma digital por falta de equipo.

RIESGO:
Probabilidad de Ocurrencia: Alto
Impacto según la relevancia del proceso: Alto

RECOMENDACIONES:
Adquisición de los componentes de hardware necesarios para la implementación de un servidor físico.

Email:Ventas@Apa.com Tel: 624-36-24 Apa S.A de C.V®

 P á g i n a | 31

Informe de soluciones y recomendaciones

Resultados
En base a la aplicación de la auditoria llevada a cabo en el H. Ayuntamiento
Municipal de Iguala de la Independencia, se estudiaron los motivos clave en relación
a la constante pérdida de información por consecuencia de ataques físicos a los
departamentos de dicha organización.
A continuación, se exponen los motivos clave de dichos problemas:
Métodos de almacenamiento: La aplicación de almacenar información dentro de la
organización se lleva a cabo únicamente de manera física, la aplicación de métodos
de almacenamiento digital es nula. No se cubre la necesidad del personal de
disponer de la información en cualquier momento y de forma segura.
Hardware: Actualmente la organización no dispone de equipo físico necesario para
implementar el uso de TI (tecnologías de la información), además, carece de
respaldo físico o digital de la información almacenada en cada uno de los
departamentos.
Se estableció un presupuesto de $10,000.00 con la finalidad de adquirir el equipo
necesario.
 P á g i n a | 32

Soluciones
Para poder implementar un modelo de almacenamiento digital las recomendaciones
son las siguientes:
Adquisición de Hardware: Para llevar a cabo la implementación de un modelo de
almacenamiento digital es necesario adquirir los componentes para la creación de
un servidor de archivo cuya funcionalidad es almacenar y distribuir información a los
clientes que requieren acceder al almacenamiento de información.
Con el presupuesto establecido se efectuó la cotización del armado de un equipo
que permitirá llevar a cabo la funcionalidad de servidor, a continuación, se anexa la
cotización de dichos componentes como solución viable a la falta de equipo.
Componente Precio
Intel Core i3-8100 $2,409.39
Tarjeta Madre MSI $1,735.88
Memoria RAM Adata $999.00
Disco Duro Iron Wolf 1TB $1,135.69
Disco Duro Iron Wolf 1TB $1,135.69
Gabinete Corsair $945.05
Fuente de Poder Gigabyte $743.82
Total $9104.52

Las recomendaciones para contar con un respaldo de información, es la

implementación de un sistema RAID 1 de espejo dentro del servidor, dicho sistema
funciona con la finalidad de duplicar la información en dos discos duros, de forma
que nuestro sistema detecte uno solo. De esta manera, si un disco se estropea, el
sistema será aun funcional y conservará la información en el otro disco.
La solución para contar con almacenamiento de información digital es la
implementación de un modelo en la nube, dicho modelo permite a los usuarios
almacenar información de manera virtual y disponer de ella en cualquier momento
y lugar, al mismo tiempo, brindando seguridad a su información.
El software recomendado es NAS 4 Free el cual es un sistema de almacenamiento
en red seguro y flexible. Nos permite tener una nube privada y datos accesibles en
cualquier lugar, para poder implementar se define un nombre de usuario y
contraseña que permitirá tener la información segura siendo inaccesible a terceros.
 P á g i n a | 33

Cartas
Carta de presentación empresa – empresa
Apa S. A. de C. V.
C. Fco. Torres, Col. El Sacrificio,
Taxco de Alarcón, Guerrero. México
16 Julio del 2018

H. Ayuntamiento Municipal
Sr. Daniel Edahí Urueta Hinojosta
Jefe del Área de Sistemas
La empresa “Apa S. A. de C. V.” hace su presentación ofreciéndole su gama de
servicios tales como:
-Auditoria en Seguridad Informática
-Consultoría Informática
-Servicio de Hosting
-Montaje de Servidores LVM sobre RAID

Con “Apa S. A. de C. V.”, usted contara con servicios de la más alta calidad basada
en los estándares ISO además un precio inigualable y sin la necesidad de
intermediarios.
Verá en nosotros su mejor opción, nuestros servicios son competitivos y somos
líderes en el mercado.
Para mayor información puede consultar nuestra página de internet
www.Apa.com o comunicarse con nosotros al teléfono: 624-36-24.
Le invitamos nos visite en nuestra dirección: C. Fco. Torres, Col. El Sacrificio,
Taxco de Alarcón, Gro. México.

________________________
Nancy Anay De León Molina
Gerente General
 P á g i n a | 34

Carta Informativa

Apa S.A. de C.V. ®

C. Fco Torres, Colonia el Sacrificio,
Taxco de Alarcón, Guerrero, México.
23 de Julio del 2018

H. Ayuntamiento Municipal de Iguala de la Independencia

Sr. Daniel Edahí Urueta Hinojosta
Jefe del Área de Sistemas

Estimado Daniel Edahí:

De acuerdo con las instrucciones emitidas por la administración de la institución que

le emplea me permito informarle a usted que se llevará a cabo una auditoria
informática al área de sistemas de la institución para evaluar exhaustivamente la
administración, funcionamiento y operación de los sistemas del área mencionada
durante el periodo del 30 de Julio al 6 de Agosto del presente año.

Por lo cual le pedimos su total cooperación durante la aplicación de la auditoria.

Sin más que mencionarle, agradezco la atención prestada.

__________________________
Nancy Anay De León Molina
Gerente General
 P á g i n a | 35

Carta Invitación

Apa S.A. de C.V. ®

C. Fco Torres, Colonia el Sacrificio,
Taxco de Alarcón, Guerrero, México.
06 de Agosto del 2018

H. Ayuntamiento Municipal de Iguala de la Independencia

Sr. Daniel Edahí Urueta Hinojosta
Jefe del Área de Sistemas

Estimado Daniel Edahí:

Reciba un cordial saludo de Apa S.A. de C.V. ® . A través de la presente carta tengo
el placer de hacerle la invitación para acudir a nuestras instalaciones para realizar
la entrega de los resultados finales de la auditoria que se realizó durante el periodo
del 30 de Julio al 6 de agosto del presente año

La revisión realizada fue de carácter integral y comprendió la evaluación, de la

estructura, operación, y cumplimiento de las actividades y funciones asignadas al
personal del área de sistemas.

Lo esperamos este 10 de agosto del año en curso a las 4:00 p.m. en las
instalaciones de la empresa.

Esperamos contar con su asistencia.

__________________________
Jesús Hernández Godínez
Jefe Dpto. Auditoria Informática
Responsable Auditor
 P á g i n a | 36

Formato para realizar una auditoría informática

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO CD1

H. AYUNTAMIENTO MUNICIPAL DE IGUALA DE LA PAGINA

ENTIDAD AUDITADA
INDEPENDENCIA 1 DE 1
PROCESO AUDITADO Contratación TI
RESPONSABLE Daniel Edahí Urueta Hinojosta
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeación y Organización.
PROCESO Definir un plan estratégico de TI

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO DE ANALISIS DE EJECUCION
Entrevista con el Encargado La documentación del No se cuenta con actual
departamento de archivo implementación de TI.
solo se encuentra de
manera física.

AUDITOR RESPONSABLE
Jesús Hernández Godínez
 P á g i n a | 37

ENTREVISTA

ENTREVISTA I REF
ENT1
H. AYUNTAMIENTO MUNICIPAL DE IGUALA DE PAGINA
ENTIDAD AUDITADA
LA INDEPENDENCIA. 1 DE 2
Departamento de Sistemas. SISTEMA ----------
AREA AUDITADA
Conocer el método actual aplicado para el almacenamiento de
OBJETIVO DE ENTREVISTA
datos.

ENTREVISTADO

Daniel Edahí Urueta Hinojosta

CARGO: Jefe de Departamento de Sistemas.

TEMA 1: Riesgos Posibles.

¿Se han generado pérdidas de información anteriormente? ¿Cuáles han sido las causas?

TEMA 2: Almacenamiento de Datos.

¿Actualmente el almacenamiento de información se realiza de manera física o digital?

¿Cuáles son sus necesidades respecto a la disponibilidad y seguridad de su información?

TEMA 5: Respaldo de Información.

¿La información almacenada cuenta con un respaldo en caso de un ataque físico?

 P á g i n a | 38

TEMA 3: Hardware.

¿El departamento de Sistemas cuenta con equipo de hardware necesario para la implementación del
almacenamiento digital de información?

TEMA 4: Usuarios.

¿Cuál es el número de trabajadores que en base a sus actividades requieren acceder al almacenamiento de
información? ¿Están disponibles para almacenar la información de forma digital?

TEMA 5: Presupuesto.

¿Cuál es el presupuesto que se planea destinar a la adquisición del equipo de hardware necesario?

AUDITORES Carlos Leonel Bustos Hernández. FECHA DE APLICACIÓN 30/07/2018

 P á g i n a | 39

CUESTIONARIO REF: CU1

ENTIDAD AUDITADA H. AYUNTAMIENTO MUNICIPAL DE IGUALA DE LA PAGINA

INDEPENDENCIA.
1 DE 1

PROCESO AUDITADO Almacenamiento de Datos.

RESPONSABLE Jesús Hernández Godínez.

MATERIAL DE SOPORTE COBIT

DOMINIO PROCESO

Planeación y Organización. Definir un plan estratégico de TI

PREGUNTA SI NO NA REF FUENTE

¿Se cuenta con almacenamiento digital de Entrevista

los datos?

¿Durante anteriores ataques a las Entrevista

instalaciones se generó una pérdida de
datos?

¿El área de sistemas cuenta con equipo de Entrevista

hardware?

¿Los trabajadores están dispuestos a Entrevista

realizar el almacenamiento de forma
digital?

¿Existe un respaldo de la información? Entrevista

TOTALES

TOTAL CUESTIONARIO AUDITOR RESPONSABLE

Jesús Hernández Godínez
Porcentaje de Riesgo Parcial

Porcentaje de Riesgo

Nivel de Riesgo:
 P á g i n a | 40

CUESTIONARIO PARA HARDWARE

Departamento de Sistemas.
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso Adquirir y mantener la arquitectura
Pregunta SI NO OBSERVACIONES

¿Se cuenta con inventario de hardware?

¿Si existe inventario contiene los siguientes componentes?

Discos Duros de Almacenamiento
Gabinete.
Sistema Operativo.
Características (memoria, procesador, fuente de poder).

¿Se cuenta con servicio de mantenimiento para equipos?

¿Qué tipo de mantenimiento se lleva a cabo?

Mantenimiento preventivo
Mantenimiento correctivo

¿El personal cuenta con usuarios para el uso de cada equipo?

TOTAL
 P á g i n a | 41

Conclusiones
Se logró diseñar un plan de auditoria satisfactoriamente, este plan de trabajo estuvo
enfocado a buscar discrepancias, error, o fallas dentro de sistemas de
telecomunicación, almacenamiento, seguridad, software, hardware, mantenimiento
y gestión de información.
Dentro del cronograma de actividades realizado para este plan de auditoria, se
contemplaron evaluaciones de la seguridad en los equipos de cómputo de la
empresa auditada, así como el software, hardware, mantenimiento y gestión, esto
por medio de controles basados en cuestionarios y entrevistas.
Para llevar un mejor control del tiempo invertido por el equipo de trabajo se
delimitaron los roles desempeñados dentro de la planeación, así también se a cada
rol se le dio funciones, actividades y responsabilidades.
Como forma de recabar la información necesaria para evacuaciones y análisis, se
diseñaron esqueletos de cuestionarios y entrevistas. Y para finalizar se identificaron
los posibles riesgos de seguridad del sistema de gestión de información.
 P á g i n a | 42

Fuentes bibliográficas
Auditoría Informática de la Seguridad Física. Sergio Lucena Prats. 2006
Auditoría Informática: un enfoque práctico. Mario G. Piattini. 1997
Sobre la Auditoría Informática y LOPD desde la experiencia personal y profesional.
Germán
Rodríguez Ramirez. 2009
ISACA. (2013). COBIT 4.1. Obtenido de http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/COBIT-4-1.aspx
Páginas web
https://www.obs-edu.com/int/blog-investigacion/sistemas/que-es-una-auditoria-
informatica-y-que-debes-saber-sobre-ella

PMP, J. (03 de Enero de 2017). Crear la EDT/WBS. Obtenido de Medium.com:

https://medium.com/administrador-de-proyectos/crear-la-edt-wbs-cd3d988e3469

Jazmin, R. M. (2009). Perfil del Auditor Informático.

[SHELLSEC] Noticias Diarias de seguridad informática (Internet):
http://www.shellsec.net/articulo/auditoria-empresas/
 P á g i n a | 43

Participación de todos los integrantes

Creación del reporte

Asignaturas: Gestión de Calidad, Auditoría y Consultoría

 Portada
 -Anay Molina
 Índice
 -Anay Molina, Kevin Trujillo
 Introducción
 –Oscar Gutiérrez
 Objetivos
 -Oscar Gutiérrez
 Antecedentes
 -Kevin Trujillo
 Marco Teórico
 –Anay Molina
 Desarrollo
Empresa auditora
 Empresa auditora – Kevin Trujillo
 Organigrama – Anay Molina
 Roles y responsabilidades – Oscar Gutiérrez
 Alcance del proyecto – Jesús Hernández
 WBS – Jesús Hernández
 Tipo de Auditoria – Kevin Trujillo
Entregables
 Planeación de la auditoría – Jesús Hernández
 Presupuesto – Jesús Hernández, José Ávila
 Plan general de auditoría – José Ávila
 Cronograma de actividades – Oscar Gutiérrez
 Diagnostico preliminar – Leonel Bustos
 Matriz de riesgos – Oscar Gutiérrez
 Informe de hallazgos – Leonel Bustos
 Informe recomendaciones y soluciones – Leonel Bustos
Formatos que apoyan a la auditoria
 Carta de presentación empresa – empresa – Anay Molina
 Carta informativa – Anay Molina
 Carta de Invitación – Anay Molina
 Formato para realizar una auditoria – Leonel Bustos
 P á g i n a | 44

 Conclusión
 -Oscar Gutiérrez

Evaluación y coevaluación

Integrante Jos Anay Leone Oscar Jesús Kevin Firma

s é Molin l Gutiérre Hernánd Trujill
Ávil a Busto z ez o
a s

José
10 10 10 10 10 10
Ávila

Anay
10 10 10 10 10 10
Molina

Leonel
10 10 10 10 10 10
Bustos

Oscar
10 10 10 10 10 10
Gutiérrez

Jesús
Hernánde 10 10 10 10 10 10
z

Kevin
10 10 10 10 10 10
Trujillo