EDUCACIÓN VIRTUAL

ACTIVIDADES DE APRENDIZAJE DE LA SEMANA N° 4-5-6-7-8

PRÓPOSITO DE FORMACIÓN DE LA UNIDAD CURRICULAR

Los sistemas de información actuales tienen una cobertura amplia en el ámbito del
Hardware y de Software cubriendo temas como Comunicaciones, Bases de Datos,
Programas Aplicativos, Sistemas Operativos entre otros, los cuales se están ejecutando
en computadores, redes de comunicación, permitiendo a la empresa soportar los
diferentes requerimientos de información que utiliza. Este entorno informático que es
administrado por el recurso humano, debe estar controlado para tener asegurado el
sistema, es aquí donde la Auditoria de Sistemas cumple una misión importante en las TI
(Tecnologías de Información) el de detectar las amenazas que generan riesgos a los
datos de la compañía, generar un informe con los eventos detectados para realizar una
acción correctiva y preventiva, con la finalidad única de mantener asegurada la
información de la empresa.
COMPETENCIA DE LA UNIDAD CURRICULAR

Recomendar procesos de auditoria en planeación y ejecución de proyectos de software.

1. Metodología de una  Metodologias aplicadas en una Auditoria de

Auditoría Informática Sistemas
2. Técnicas e  Tecnicas utilizadas en la Auditoria de sistemas
instrumentos para  Aplicación de la metodología Cobit en el
realizar una auditoría momento de realizar una Auditoria
informática y de  Como se aplica la Metodologia Cobit en el área
sistemas de Sistemas.
3. COBIT (Objetivos de  Dominios Cobit
Control para la  Normas que aplica para Cobit
Información y
Tecnologías
Relacionadas)
4. Distribución de los
dominios y procesos de
COBIT
5. Norma ISO para
auditoría de sistemas
2. ¿Qué competencias desarrollará a través de esta actividad?

 Aplicar los métodos para realizar una auditoría de sistemas sin importar la
naturaleza de la empresa.
 Técnicas que existen para realizar la Auditoria de Sistemas
 Metodología Cobit
 Metodologías que se aplican para realizar una Auditoría de Sistemas
correctamente.
 Normatividad que aplica según las normas Iso para la Auditoria de sistemas.

3. ¿Qué debe hacer? (paso a paso)

Para La correcta realización de esta actividad se recomienda tener en cuenta los

siguientes pasos:
  Revisar el material, videos y enlaces de las semanas siguientes hasta terminar
el curso.
 Se debe entregar un trabajo escrito con normas apa séptima edición.
 Recuerde la importancia de generar una hoja de portada con el nombre y grupo,
el trabajo es de forma individual, se debe entregar en formato .PDF.
 Recuerde que no se reciben actividades por fuera de las fechas estimadas, así
mismo no se reciben actividades por correo electrónico.
 Recuerde que TODOS los integrantes del grupo deben cargar la actividad en la
plataforma Moodle.

ACA II

1. Se debe realiza una investigación sobre como realizar paso a paso una
Auditoria de Sistemas, la investigación debe ser muy profunda para poder
resolver las siguientes preguntas:

A continuación, encontrara los puntos que debe desarrollar para el aca II, encontrara los
puntos a realizar en la empresa de uno de los integrantes, si presenta alguna duda he
inquietud frente al proceso puede realizar todas las preguntas necesarias para poder
resolver las preguntas en el desarrollo de la actividad, recuerde que este trabajo es
consecuente con el aca III.

Alcance

La auditoría se realizará sobre los sistemas informáticos en computadoras personales

que estén conectados a la red interna de la empresa.

Objetivo

Tener un panorama actualizado de los sistemas de información en cuanto a la

seguridad física, las políticas de utilización, transferencia de datos y seguridad de los
activos.

Recursos

El número de personas que integraran el equipo de auditoria será de tres, con un

tiempo máximo de ejecución de 3 a 4 semanas.

Etapas de trabajo

1. Recopilación de información básica

Una semana antes del comienzo de la auditoria se envía un cuestionario a los gerentes
o responsables de las distintas áreas de la empresa. El objetivo de este cuestionario es
saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargarán de distribuir este cuestionario a los distintos empleados con
acceso a los computadores, para que también lo completen. De esta manera, se
obtendrá una visión más global del sistema.
Es importante también reconocer y entrevistarse con los responsables del área de
sistemas de la empresa para conocer con mayor profundidad el hardware y el software
utilizado.

En las entrevistas incluirán:

 Director / Gerente de Informática

 Subgerentes de informática
 Asistentes de informática
 Técnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluará la forma de adquisición de nuevos equipos o aplicativos de software. Los

procedimientos para adquirirlos deben estar regulados y aprobados en base a los
estándares de la empresa y los requerimientos mínimos para ejecutar los programas
base.

Dentro de los riesgos posibles, también se contemplarán huecos de seguridad del

propio software y la correcta configuración y/o actualización de los equipos críticos
como el cortafuego.

Los riesgos potenciales se pueden presentar de la más diversa variedad de formas.

3. Objetivos de control

Se evaluarán la existencia y la aplicación correcta de las políticas de seguridad,

emergencia y desastre recovery de la empresa.

Se hará una revisión de los manuales de política de la empresa, que los procedimientos
de los mismos se encuentren actualizados y que sean claros y que el personal los
comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos

que puedan existir, respecto a la seguridad del mantenimiento de los equipos,
programas y datos.

4. Determinación de los procedimientos de control

Se determinarán los procedimientos adecuados para aplicar a cada uno de los

objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y documentado.
 Se debe contar con todas las órdenes de compra y facturas con el fin de contar
con el respaldo de las garantías ofrecidas por los fabricantes.
 El acceso a los componentes del hardware esté restringido a la directo a las
personas que lo utilizan.
 Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Objetivo N 2: Política de acceso a equipos.

 Cada usuario deberá contar con su nombre de usuario y contraseña para

acceder a los equipos.
 Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
 Los usuarios se bloquearán después de 5 minutos sin actividad.
 Los nuevos usuarios deberán ser autorizados mediante contratos de
 confidencialidad y deben mantenerse luego de finalizada la relación
 laboral.
 Uso restringido de medios removibles (USB, CD-ROM, discos externos etc)

Ejemplo:

Se debe realizar aplicadas a la realiza de la empresa de uno de los 3 compañeros del

grupo, se debe entregar el trabajo escrito bajo normas apa 7ª edición.

ACA III

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los
objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

 Tomar 10 máquinas al azar y evaluar la dificultad de acceso a las mismas.

 Intentar sacar datos con un dispositivo externo.
 Facilidad para desarmar una pc.
 Facilidad de accesos a información de confidencialidad (usuarios y claves).
 Verificación de contratos.
 Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.

6. Obtención de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los

procedimientos de control y las pruebas realizadas a fin de poder determinar si se
cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la interpretación de
los mismos y evitar interpretaciones erróneas.

7. Conclusiones y Comentarios:

En este paso se detallará el resumen de toda la información obtenida, asi como lo que
se deriva de esa información, sean fallas de seguridad, organización o estructura
empresarial.
Se expondrán las fallas encontradas, en la seguridad física sean en temas de esguardo
de información (Casos de incendio, robo), manejo y obtención de copias de seguridad,
en las normativas de seguridad como por ejemplo normativas de uso de passwords,
formularios de adquisición de equipos, y estudios previos a las adquisiciones para
comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de
organización empresarial, como son partes responsables de seguridad, mantenimiento
y supervisión de las otras áreas.

8. Redacción del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados,

anotando los datos técnicos de cada una de las maquinas auditadas:
 Marca
 Modelo
 Número de Serie
 Problema encontrado
 Solución recomendada

9. Presentación del borrador del informe, al responsable de microinformática

Se le presentara el informe borrador a un responsable del área informática, como se

aclaró en el punto anterior, con el máximo de detalle posible de todos los problemas y
soluciones posibles recomendadas, este informe se pasará por escrito en original y
copia firmando un documento de conformidad del mismo para adquirir un compromiso
fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones
futuras.

10. Redacción del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdaderos resultados a los responsables de

la empresa, el informe presentado dará a conocer todos los puntos evaluados durante
la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y

observaciones de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso
y también recomendaciones sobre la forma incorrecta de realizar algunos
procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del

informe final con los resultados obtenidos en la auditoria.

También se fijan los parámetros si así se requieren para realizar el seguimiento de los
puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera
verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

NOTA:

No adjuntar archivos comprimidos ni con enlaces en drive, no se reciben trabajos por

fuera de los tiempos establecidos, se recomienda no dejar todo para última hora, se
pueden presentar letargos o fallas por congestión en la plataforma.

Docente
Roger Mauricio Tovar Sanchez
roger_tovar@[Link]
4. ¿Qué debe entregar? (entregable)
Los entregables para esta actividad son:

 Se debe entregar un trabajo escrito con normas apa séptima edición, este
documento en formato PDF. debe ser cargado a la plataforma.

5. ¿A qué recursos acudir para el desarrollo de la actividad? (recursos)

Para el desarrollo de la actividad se pueden apoyan en los siguientes recursos.

 [Link]
 [Link]
 [Link]
 [Link]
 [Link]
 [Link]

6. ¿Bajo qué criterios será evaluado? (criterios de desempeño)

NIVELES INSUFICIENTE ACEPTABLE BUENO EXCELENTE

CRITERIOS 1.5 3 4 5
Nivel de El documento El documento El documento da El documento da
argumentación no da no da respuesta a lo respuesta a lo
a las preguntas respuesta a lo respuesta a lo solicitado en su solicitado en su
realizadas. solicitado en solicitado en totalidad, pero no totalidad, presenta 3
un 25% un 50% presenta una una buena
buena argumentación en sus
argumentación. respuestas
0.8 1.5 2.5 3.0
Estructura del El documento El documento El documento El documento cumple
documento no presenta presenta una tiene una buena con el 100% en
(redacción, una buena estructura estructura en cuanto a estructura
presentación, estructura, no pobre en cuanto a de presentación, 2
ortografía) cumple con las cuanto a su presentación, pero redacción y
normas APA. presentación, tiene algunos ortografía
además cumple problemas de
con algunas redacción u
normas APA. ortografía
0.5 1.0 1.5 2.0
TOTAL 5

TIPOS DE RECURSOS
Tipo de recurso Descripción
Video conferencia El desarrollo de la actividad contará con las siguientes
características:
 - Precisa la generación de poner en contexto sus
conocimientos
- Buscan la presentación de diferentes análisis de
acuerdo con la asignatura escogida del grado 12
optativo desarrollado en la actividad anterior

Asesoría sincrónica
- Buscan la presentación de análisis de los avances de
las tareas de los estudiosos
- Promueven el desarrollo de competencias individuales
a través de los avances de los trabajos grupales

Chat académico Se realizará el chat académico con las siguientes

características:
- Identificar la opinión o argumentos inmediatos que
puedan generar un estudioso.
- Buscan el reconocimiento de las competencias lecto-
escritas de los estudiosos.
- Pretenden la identificación de los niveles de
comprensión lectora de los estudiosos.

PAD El desarrollo de actividad cuenta con una de las

herramienta colaborativa siguientes características:
- Busca el desarrollo de actividades colaborativas
- Promueve el trabajo en grupo
- Precisen la construcción de una evidencia escrita en
un grupo de estudiosos