Professional Documents
Culture Documents
Profesores:
Reynaldo Alanís Cantú
Asignaturas:
Gestión de la Calidad
Proyecto:
Planificación de un proyecto para realizar una auditoría
informática en una institución
Grupo: T-7901
Cuatrimestre: Noveno
Índice
Introducción........................................................................................................................................ 2
Objetivos ............................................................................................................................................. 2
Objetivo general ............................................................................................................................. 2
Objetivos específicos ...................................................................................................................... 2
Antecedentes ...................................................................................................................................... 3
Marco teórico ..................................................................................................................................... 3
Desarrollo............................................................................................................................................ 8
Empresa auditora ........................................................................................................................... 8
Organigrama ................................................................................................................................... 9
Funciones, Roles y Responsabilidades ......................................................................................... 10
Gerente General ....................................................................................................................... 10
Jefe de departamento de Auditoria informática ..................................................................... 11
Auditor Informático .................................................................................................................. 11
Alcance .......................................................................................................................................... 13
WBS ............................................................................................................................................... 14
Tipo de auditoría .......................................................................................................................... 15
Planeación de una auditoría de seguridad informática .............................................................. 16
Presupuesto de proyecto ............................................................................................................. 19
Plan general de auditoria en informática .................................................................................... 22
Cronograma de actividades .......................................................................................................... 24
Diagnostico preliminar del área de Sistemas .............................................................................. 26
Matriz de riesgos .......................................................................................................................... 27
Informe de hallazgos .................................................................................................................... 28
Informe de soluciones y recomendaciones ................................................................................. 31
Resultados..................................................................................................................................... 31
Soluciones ..................................................................................................................................... 32
Cartas ............................................................................................................................................ 33
Carta de presentación empresa – empresa ............................................................................. 33
Carta Informativa...................................................................................................................... 34
Carta Invitación......................................................................................................................... 35
Formato para realizar una auditoría informática .................................................................... 36
Página |2
Conclusiones ..................................................................................................................................... 41
Fuentes bibliográficas....................................................................................................................... 42
Participación de todos los integrantes ............................................................................................ 43
Evaluación y coevaluación............................................................................................................ 44
Introducción
En el presente reporte se mostrará diseño de planeación de una auditoria informática, utilizando
metodologías eficientes, herramientas para recabar información, formatos de evaluación,
cronogramas, delimitación de roles, etc. Esto con el fin de elaborar un plan de trabajo acorde con lo
aprendido en la materia.
Objetivos
Objetivo general
Diseñar un plan de trabajo para realizar una auditoría enfocado a sistemas de
gestión de seguridad informática, transferencia de información y seguridad de datos.
Objetivos específicos
Planificar evaluación de seguridad en equipos de cómputo, software y datos.
Realizar un cronograma de actividades para el plan de auditoria
Delimitar roles, responsabilidad y funciones de los integrantes del equipo de
trabajo.
Diseñar cuestionarios y entrevistas para recabar información.
Identificar los riesgos dentro del área de sistemas de la empresa auditada.
Página |3
Antecedentes
Marco teórico
¿Qué es una auditoría informática?
La auditoría informática es un elemento que, aunque sea o parezca poco importante
en esencial para determinar vulnerabilidades y deficiencias existentes en los
sistemas de información en la actualidad.
Básicamente consiste en recoger, agrupar y evaluar las evidencias para ver si un
sistema de información cumple con ciertos niveles de seguridad como la
salvaguarda de documentación, controlar que los usos de recursos se gestionen
correctamente y el mantenimiento de la integridad de los datos.
(Cocomsys, 2014)
¿Cómo se realiza una auditoria?
Página |4
1. Análisis para poder establecer cuáles son los objetivos que tiene la
empresa, hacia dónde quiere llegar y así tener capacidad de conocer más
adelante la eficacia que presenta su sistema informático atendiendo a
dichos objetivos.
2. Un inventario con todos los puntos elaborados. Este inventario va a ser el
protagonista en el siguiente paso, ya que nos servirá para llevar a cabo una
planificación en la cual debemos fijarnos en cómo vamos a estudiar cada
uno de esos puntos para que siempre ofrezcan el mejor rendimiento
posible.
3. Delimitar cuáles son las incidencias que nos hemos encontrado a lo largo
de todo el análisis y los riesgos a los que nuestro sistema informático está
expuesto para no realizar su trabajo de forma correcta.
4. Por último, poner en marcha todas las técnicas y métodos necesarios para
resolver los problemas que hayan ido apareciendo durante el análisis del
sistema informático y así poder dar una solución prácticamente inmediata.
(Universitat de Barcelona)
Metodología – Modelo COBIT
Es un marco de referencia fundamentalmente para implementar las buenas
prácticas y desarrollo de las políticas en la organización, elaborado por ISACA.
Formalmente serviría para investigar, desarrollar y promover un marco de trabajo
autoritativo, actualizado e internacionalmente aceptado para el control de gobierno
de TI para la adopción de las empresas y para el uso diario de los administradores
de empresas, profesionales de TI y auditorias. Este control está definido por
COBIT.
Contiene 4 dominios, con varios procesos de TI por cada dominio:
1. Planear y Organizar
2. Adquirir e Implementar
3. Entregar y dar soporte
4. Monitorear y Evaluar
(ISACA, 2013)
(PMP, 2017)
Página |8
Desarrollo
Empresa auditora
H. Ayuntamiento Municipal de Iguala de la Independencia, Guerrero, es el encargado de la
organización de la administración local, dirigida por Dr. Herón Delgado Castañeda Presidente
Municipal Constitucional y varios concejales para la administración de los intereses de Iguala.
Las funciones principales del Ayuntamiento son:
Se solicitó servicio de auditoria informática por perdida de datos, establecido en un área específica
de dicho ayuntamiento. El área que se auditará será el área de sistemas, dirigida por el jefe de
departamento, Daniel Edahí Urueta Hinojosta.
Organigrama
Gerente general
Nancy Anay De León Molina
Jefe Dpto.
Auditoria
Informática
Jesús Hernández Godínez
Auditor Informático
Personal designado:
Carlos Leonel Bustos Hernández.
José Francisco Ávila Vázquez.
Oscar Alan Gutierrez Cruz.
Kevin Daniel Trujillo Huertas.
Alcance
Se llevará a cabo la planeación de un proyecto para la realización de
una auditoria informática para conocer el estado de la institución en
cuanto a TI concierne.
Como primera parte se mantendrán entrevistas con el personal
involucrado, para recabar evidencias para evaluar si el área de sistemas
logra los objetivos institucionales.
Para lo cual se realizará la inspección de los controles establecidos
dentro del área de sistemas de la institución aplicando las metodologías
correctas.
El proyecto tendrá una duración de 1 mes al final del cual se espera
obtener recomendaciones en base a las falencias detectadas, las
cuales, quedaran planteadas en el reporte para que sean aplicadas
según el criterio de las autoridades correspondientes.
WBS
P á g i n a | 15
Tipo de auditoría
Se solicitó servicio de auditoria informática por
¿QUIÉN EXTERNA perdida de datos a una empresa externa llamada
AUDITA? APA.
Datos De La Empresa
Nombre de la Institución: H. Ayuntamiento Municipal De Iguala De La
Independencia, Guerrero
Dirección: Av. Vicente Guerrero No. 1,
Col. Centro; Iguala, Gro. C.P. 40000
Teléfono: (733) 333 - 960
Sitio Web: https://www.iguala.gob.mx/
Periodo de Gestión: 2015 - 2018
Giro del negocio: Institución Gubernamental
Organigrama de la institución:
H. Ayuntamiento
Iguala
Dirección
Área de
Administración Finanzas
Sistemas
Personal a entrevistar:
1. Encargado del área de sistemas
2. Personal administrativo que opera los sistemas
Descripcion: Cantidad:
CPU 20
Monitores 20
Teclados 20
Mouse 20
Speaker 5
Impresora Multifuncional 4
Servidor 1
Comentario general:
Presupuesto de proyecto
Recursos Humanos
Nombre Categoría Dedicación Coste Coste Firma de
Completo (Horas hora Horas conformidad
Ingeniero) Ingeniero Ingeniero
p/ persona
Hernández Godínez Responsable 56 Horas $70.00 $3,920.00
Jesús Auditor
Bustos Hernández Auditor 56 Horas $60.00 $3,360.00
Carlos Leonel
Gutiérrez Cruz Auditor 56 Horas $60.00 $3,360.00
Oscar Alan
Ávila Vázquez José Auditor 56 Horas $60.00 $3,360.00
Francisco
Trujillo Huertas Auditor 56 Horas $60.00 $3,360.00
Kevin Daniel
Infraestructura Requerida
Equipos
Descripción Coste Número % Uso Dedicación Periodo de Coste
(Pesos) de dedicado (meses) depreciación imputable
d)
equipos proyecto
Portátil HP $6000.00 5 100 0.25 12 $625.00
ProBook
6550
APA, es una empresa que ofrece su servicio de auditoria, con la finalidad de agilizar la solución a
posibles fallas o siniestros que den a lugar dentro de una empresa, analizando cada departamento
que sea necesario para así poder ofrecer posibles soluciones, las cuales son brindadas a el jefe o
encargado que solicito la auditoria.
Tenemos un enfoque innovador para el análisis y la solución del problema, facilitando la inversión
en nuevos métodos y tecnologías para competir con corporaciones y adaptadas a un modelo de
negocio moderno.
Como parte del servicio, la información que es manejada por los auditores (son quienes analizan
detenidamente las acciones de la empresa y determinan si las medidas que se han tomado en los
diferentes casos son adecuadas y si han beneficiado a la empresa) será mantenida a salvo y se
entregara en las condiciones con la que fueron recibidas.
Recursos Humanos
Nombre Categoría Dedicación Coste Coste Firma de
Completo (Horas hora Horas conformidad
Ingeniero) Ingeniero Ingeniero
p/ persona
Hernández Godínez Responsable 56 Horas $70.00 $3,920.00
Jesús Auditor
Bustos Hernández Auditor 56 Horas $60.00 $3,360.00
Carlos Leonel
Gutiérrez Cruz Auditor 56 Horas $60.00 $3,360.00
Oscar Alan
Ávila Vázquez José Auditor 56 Horas $60.00 $3,360.00
Francisco
Trujillo Huertas Auditor 56 Horas $60.00 $3,360.00
Kevin Daniel
Horas 280 Horas Total $17,360.00
Ingenier
o:
a)
Horas ingeniero p/ persona: 56 horas Ingeniero.
Infraestructura Requerida
Equipos
Descripción Coste Número % Uso Dedicación Periodo de Coste
(Pesos) de dedicado (meses) depreciación imputable
d)
equipos proyecto
Portátil HP $6000.00 5 100 0.25 12 $625.00
ProBook
6550
Cronograma de actividades
Periodo 2018 L M M J V S L
Julio - Agosto 30 31 1 2 3 4 6 Responsables
Actividades
Realización de x Ávila Vázquez
entrevistas de José Francisco
diagnóstico. Bustos
Hernández
Evaluación general de x Carlos Leonel
seguridad del sistema, Nancy Anay De
software, hardware, León Molina
telecomunicaciones y Oscar Alan
mantenimiento. Gutiérrez Cruz
Hernández
Aplicar cuestionarios. x Godínez Jesús
Trujillo Huertas
Análisis y síntesis de la x Kevin Daniel
información obtenida.
Informe de Hallazgos. x
Elaboración del informe x
final.
Recomendaciones para x
la empresa auditada y
alternativas de solución.
Seguimiento. x
CONCEPTO DESCRIPCIÓN
Matriz de riesgos
Informe de hallazgos
HALLAZGO 1 REF
ENT1
1 de 2
DESCRIPCIÓN:
REF_PT:
ENT1
CONSECUENCIAS:
Perdida de una cuantiosa cantidad información en consecuencia de los constantes ataques físicos realizados a los
departamentos del H. Ayuntamiento Municipal de Iguala de la Independencia, Guerrero México.
RIESGO:
RECOMENDACIONES:
Un servidor físico.
Utilización del Software NAS 4 Free para implementar el almacenamiento de información en la nube.
HALLAZGO 2 REF
CU1
1 de 1
DESCRIPCIÓN:
No existe el equipo de Hardware necesario para implementar un servidor.
REF_PT:
CU1
CONSECUENCIAS:
No se puede implementar el almacenamiento de información de forma digital por falta de equipo.
RIESGO:
Probabilidad de Ocurrencia: Alto
Impacto según la relevancia del proceso: Alto
RECOMENDACIONES:
Adquisición de los componentes de hardware necesarios para la implementación de un servidor físico.
Resultados
En base a la aplicación de la auditoria llevada a cabo en el H. Ayuntamiento
Municipal de Iguala de la Independencia, se estudiaron los motivos clave en relación
a la constante pérdida de información por consecuencia de ataques físicos a los
departamentos de dicha organización.
A continuación, se exponen los motivos clave de dichos problemas:
Métodos de almacenamiento: La aplicación de almacenar información dentro de la
organización se lleva a cabo únicamente de manera física, la aplicación de métodos
de almacenamiento digital es nula. No se cubre la necesidad del personal de
disponer de la información en cualquier momento y de forma segura.
Hardware: Actualmente la organización no dispone de equipo físico necesario para
implementar el uso de TI (tecnologías de la información), además, carece de
respaldo físico o digital de la información almacenada en cada uno de los
departamentos.
Se estableció un presupuesto de $10,000.00 con la finalidad de adquirir el equipo
necesario.
P á g i n a | 32
Soluciones
Para poder implementar un modelo de almacenamiento digital las recomendaciones
son las siguientes:
Adquisición de Hardware: Para llevar a cabo la implementación de un modelo de
almacenamiento digital es necesario adquirir los componentes para la creación de
un servidor de archivo cuya funcionalidad es almacenar y distribuir información a los
clientes que requieren acceder al almacenamiento de información.
Con el presupuesto establecido se efectuó la cotización del armado de un equipo
que permitirá llevar a cabo la funcionalidad de servidor, a continuación, se anexa la
cotización de dichos componentes como solución viable a la falta de equipo.
Componente Precio
Intel Core i3-8100 $2,409.39
Tarjeta Madre MSI $1,735.88
Memoria RAM Adata $999.00
Disco Duro Iron Wolf 1TB $1,135.69
Disco Duro Iron Wolf 1TB $1,135.69
Gabinete Corsair $945.05
Fuente de Poder Gigabyte $743.82
Total $9104.52
Cartas
Carta de presentación empresa – empresa
Apa S. A. de C. V.
C. Fco. Torres, Col. El Sacrificio,
Taxco de Alarcón, Guerrero. México
16 Julio del 2018
H. Ayuntamiento Municipal
Sr. Daniel Edahí Urueta Hinojosta
Jefe del Área de Sistemas
La empresa “Apa S. A. de C. V.” hace su presentación ofreciéndole su gama de
servicios tales como:
-Auditoria en Seguridad Informática
-Consultoría Informática
-Servicio de Hosting
-Montaje de Servidores LVM sobre RAID
Con “Apa S. A. de C. V.”, usted contara con servicios de la más alta calidad basada
en los estándares ISO además un precio inigualable y sin la necesidad de
intermediarios.
Verá en nosotros su mejor opción, nuestros servicios son competitivos y somos
líderes en el mercado.
Para mayor información puede consultar nuestra página de internet
www.Apa.com o comunicarse con nosotros al teléfono: 624-36-24.
Le invitamos nos visite en nuestra dirección: C. Fco. Torres, Col. El Sacrificio,
Taxco de Alarcón, Gro. México.
________________________
Nancy Anay De León Molina
Gerente General
P á g i n a | 34
Carta Informativa
__________________________
Nancy Anay De León Molina
Gerente General
P á g i n a | 35
Carta Invitación
Reciba un cordial saludo de Apa S.A. de C.V. ® . A través de la presente carta tengo
el placer de hacerle la invitación para acudir a nuestras instalaciones para realizar
la entrega de los resultados finales de la auditoria que se realizó durante el periodo
del 30 de Julio al 6 de agosto del presente año
Lo esperamos este 10 de agosto del año en curso a las 4:00 p.m. en las
instalaciones de la empresa.
__________________________
Jesús Hernández Godínez
Jefe Dpto. Auditoria Informática
Responsable Auditor
P á g i n a | 36
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO CD1
AUDITOR RESPONSABLE
Jesús Hernández Godínez
P á g i n a | 37
ENTREVISTA
ENTREVISTA I REF
ENT1
H. AYUNTAMIENTO MUNICIPAL DE IGUALA DE PAGINA
ENTIDAD AUDITADA
LA INDEPENDENCIA. 1 DE 2
Departamento de Sistemas. SISTEMA ----------
AREA AUDITADA
Conocer el método actual aplicado para el almacenamiento de
OBJETIVO DE ENTREVISTA
datos.
ENTREVISTADO
¿Se han generado pérdidas de información anteriormente? ¿Cuáles han sido las causas?
TEMA 3: Hardware.
¿El departamento de Sistemas cuenta con equipo de hardware necesario para la implementación del
almacenamiento digital de información?
TEMA 4: Usuarios.
¿Cuál es el número de trabajadores que en base a sus actividades requieren acceder al almacenamiento de
información? ¿Están disponibles para almacenar la información de forma digital?
TEMA 5: Presupuesto.
¿Cuál es el presupuesto que se planea destinar a la adquisición del equipo de hardware necesario?
DOMINIO PROCESO
TOTALES
Porcentaje de Riesgo
Nivel de Riesgo:
P á g i n a | 40
Departamento de Sistemas.
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso Adquirir y mantener la arquitectura
Pregunta SI NO OBSERVACIONES
TOTAL
P á g i n a | 41
Conclusiones
Se logró diseñar un plan de auditoria satisfactoriamente, este plan de trabajo estuvo
enfocado a buscar discrepancias, error, o fallas dentro de sistemas de
telecomunicación, almacenamiento, seguridad, software, hardware, mantenimiento
y gestión de información.
Dentro del cronograma de actividades realizado para este plan de auditoria, se
contemplaron evaluaciones de la seguridad en los equipos de cómputo de la
empresa auditada, así como el software, hardware, mantenimiento y gestión, esto
por medio de controles basados en cuestionarios y entrevistas.
Para llevar un mejor control del tiempo invertido por el equipo de trabajo se
delimitaron los roles desempeñados dentro de la planeación, así también se a cada
rol se le dio funciones, actividades y responsabilidades.
Como forma de recabar la información necesaria para evacuaciones y análisis, se
diseñaron esqueletos de cuestionarios y entrevistas. Y para finalizar se identificaron
los posibles riesgos de seguridad del sistema de gestión de información.
P á g i n a | 42
Fuentes bibliográficas
Auditoría Informática de la Seguridad Física. Sergio Lucena Prats. 2006
Auditoría Informática: un enfoque práctico. Mario G. Piattini. 1997
Sobre la Auditoría Informática y LOPD desde la experiencia personal y profesional.
Germán
Rodríguez Ramirez. 2009
ISACA. (2013). COBIT 4.1. Obtenido de http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/COBIT-4-1.aspx
Páginas web
https://www.obs-edu.com/int/blog-investigacion/sistemas/que-es-una-auditoria-
informatica-y-que-debes-saber-sobre-ella
Portada
-Anay Molina
Índice
-Anay Molina, Kevin Trujillo
Introducción
–Oscar Gutiérrez
Objetivos
-Oscar Gutiérrez
Antecedentes
-Kevin Trujillo
Marco Teórico
–Anay Molina
Desarrollo
Empresa auditora
Empresa auditora – Kevin Trujillo
Organigrama – Anay Molina
Roles y responsabilidades – Oscar Gutiérrez
Alcance del proyecto – Jesús Hernández
WBS – Jesús Hernández
Tipo de Auditoria – Kevin Trujillo
Entregables
Planeación de la auditoría – Jesús Hernández
Presupuesto – Jesús Hernández, José Ávila
Plan general de auditoría – José Ávila
Cronograma de actividades – Oscar Gutiérrez
Diagnostico preliminar – Leonel Bustos
Matriz de riesgos – Oscar Gutiérrez
Informe de hallazgos – Leonel Bustos
Informe recomendaciones y soluciones – Leonel Bustos
Formatos que apoyan a la auditoria
Carta de presentación empresa – empresa – Anay Molina
Carta informativa – Anay Molina
Carta de Invitación – Anay Molina
Formato para realizar una auditoria – Leonel Bustos
P á g i n a | 44
Conclusión
-Oscar Gutiérrez
Evaluación y coevaluación
José
10 10 10 10 10 10
Ávila
Anay
10 10 10 10 10 10
Molina
Leonel
10 10 10 10 10 10
Bustos
Oscar
10 10 10 10 10 10
Gutiérrez
Jesús
Hernánde 10 10 10 10 10 10
z
Kevin
10 10 10 10 10 10
Trujillo