1

PRACTICA 5

09/07/2025

AUDITORIA DE SISTEMAS I

AUDITADOS: AUDITORES:

NICK BRANDON ALDANA JHONNY HERRERA BALDIVIESO

SAMUEL CARDENAS TELLEZ WILFREDO MAMANI VERA

NIHURCKA ARIAS PESTAÑA YAMIL LEONEL MAMANI

GUZMÁN

EDUARDO ARREDONDO HECTOR SERRANO VELASCO

LUIS FERNANDO MAMANI HERMES SAAVEDRA

JUAN CARLOS RAMIREZ BRANDON SAUCEDO

ELMAR CHORE

DOCENTE:

YOLANDA MORÓN ZABALA

 2

TABLA DE CONTENIDO

Contenido
1.INTRODUCCIÓN..............................................................................................................

2.OBJETIVOS......................................................................................................................

2.1 Objetivo General.........................................................................................................

2.2 Objetivos Específicos................................................................................................

3.CONCEPTOS DE PLANEACIÓN.....................................................................................

4. Diagnóstico.....................................................................................................................

4.1 Investigación Preliminar............................................................................................

4.2 Selección de auditores............................................................................................

4.3 Plan de Auditoría......................................................................................................

4.4 Matriz de Identificación...........................................................................................

4.4.1 Entrevistas..........................................................................................

4.4.2 Encuestas...........................................................................................

4.4.3 Cuestionario.......................................................................................
 3

1. INTRODUCCIÓN

El presente documento constituye el informe preliminar de la auditoría de sistemas

realizada en el marco de la asignatura "Auditoría de Sistemas I", enfocándose
específicamente en la evaluación de los controles de seguridad implementados en nuestra
organización con énfasis en la seguridad de acceso, control de sistemas, y protección de
la información crítica.

La creciente digitalización de las operaciones comerciales, particularmente en entornos de

venta online e inventarios, ha incrementado la vulnerabilidad de los activos de información.
Las organizaciones modernas enfrentan desafíos constantes para proteger sus sistemas
contra accesos no autorizados, modificaciones indebidas de datos y potenciales pérdidas
de información. En este contexto, la implementación de políticas robustas de seguridad,
procedimientos operativos estandarizados y controles de acceso efectivos se ha convertido
en un requisito fundamental para garantizar la confidencialidad, integridad y disponibilidad
de la información.

Este informe aborda específicamente los aspectos auditables relacionados con:

 Políticas de Seguridad de la Información

 Control de Acceso a Sistemas Críticos

 Seguridad Física y del Entorno Tecnológico

 Gestión de Incidentes de Seguridad

 Procedimientos Operativos y Responsabilidades

 Control de Cambios en Sistemas

 Protección contra Software Malicioso

 Gestión de Activos Tecnológicos

 Seguridad de Redes e Infraestructura

La evaluación de estos dominios proporciona una visión integral de nuestra postura de

seguridad, con énfasis particular en los sistemas de ventas, inventarios y contabilidad, así
como en la protección de las transacciones online que constituyen el núcleo de nuestras
operaciones comerciales.
 4

2. OBJETIVOS

2.1 Objetivo General

 Evaluar la efectividad y cumplimiento de las políticas de seguridad de la

información y los controles de acceso implementados en los sistemas
críticos de la organización, proporcionando evidencias que satisfagan
los requerimientos específicos del equipo auditor.

2.2 Objetivos Específicos

 Gestión de Accesos y Autenticación: Verificar los mecanismos de

control de acceso a sistemas críticos (ventas, inventarios y
contabilidad) y evaluar la robustez de los métodos de autenticación
empleados para garantizar que solo personal autorizado accede a
información sensible.

 Ciclo de Vida de Accesos: Examinar los procedimientos de gestión del

ciclo de vida de los accesos, desde su creación hasta su revocación,
con énfasis en los procesos de actualización tras cambios de rol o
desvinculación de personal.

 Infraestructura Tecnológica: Evaluar las prácticas de

mantenimiento y disponibilidad de equipos tecnológicos y los
controles de seguridad física implementados para proteger los
activos informáticos.

 Gestión de Incidentes: Documentar y analizar los procedimientos

establecidos para el reporte, escalamiento y respuesta a incidentes y
debilidades de seguridad identificadas en los sistemas organizacionales.

 Seguridad en Operaciones Online: Evaluar los procedimientos

operativos de seguridad implementados específicamente para el Punto
de Venta Online, incluyendo los mecanismos de detección y respuesta
a incidentes en transacciones digitales.

 Control de Cambios: Verificar la existencia y cumplimiento de

procedimientos documentados para la implementación de cambios en
sistemas de información, incluyendo la evaluación previa de riesgos de
seguridad.

 Continuidad y Respaldo: Examinar los métodos implementados para

 5

la protección contra software malicioso y las estrategias de respaldo

de datos que garanticen la continuidad operativa ante eventos
adversos.

 Gestión de Activos: Evaluar las herramientas y procedimientos

empleados para el control de inventario de activos tecnológicos,
incluyendo políticas de depreciación y destrucción segura.

 Seguridad de Redes: Analizar los métodos y tecnologías

implementados para proteger la infraestructura de red, incluyendo
Data Center, equipos de comunicación y oficinas.

3. CONCEPTOS DE PLANEACIÓN

Conceptos de Planeación en Seguridad de la Información

La planificación en seguridad de la información es un proceso fundamental que

busca establecer una estrategia organizacional integral para proteger los
activos informáticos, garantizar la confidencialidad, integridad y disponibilidad
de la información, y responder eficazmente ante incidentes. A continuación, se
desarrollan tres conceptos clave de planeación basados en los dominios de la
norma ISO/IEC 27002.

Planeación Estratégica de Políticas de Seguridad de la Información

Relacionados: Dominio 5 – Política de Seguridad, Dominio 5.1

La política de seguridad de la información es el punto de partida

estratégico de cualquier Sistema de Gestión de Seguridad de la Información
(SGSI). Su función principal es establecer las directrices generales que la
organización debe seguir para proteger la información, conforme a los objetivos
del negocio, requisitos legales y amenazas emergentes.

Aspectos claves:

 Aprobación y liderazgo de la alta dirección: Se debe definir una

política aprobada por la dirección que exprese el compromiso
institucional con la seguridad de la información.

 Contenido de la política: Debe incluir la definición de seguridad,

 6

objetivos, principios de control, responsabilidades asignadas, y

procesos para tratar desviaciones.

 Cobertura temática: Incluye temas como control de acceso

(Dominio 9), clasificación de información (Dominio 8), seguridad
física (Dominio 11), respaldo de datos (12.3), protección contra
software malicioso (12.2), y seguridad en redes (Dominio 13).

 Revisión y actualización periódica: Las políticas deben revisarse

regularmente o ante cambios significativos en el entorno tecnológico,
organizacional o legal.

Esta planeación estratégica asegura una base sólida para la

implementación de controles adecuados, fomenta una cultura de seguridad en
todos los niveles y proporciona marco legal y técnico para todas las acciones
posteriores.

Planeación Operativa y Control Técnico de Seguridad

Relacionados: Dominio 12 – Operación de Seguridad, 12.1 y 12.3;

Dominio 14.2.2

La planificación operativa aborda la implementación técnica de los

controles y procedimientos necesarios para mantener la seguridad diaria de los
sistemas informáticos, prevenir amenazas internas y externas, y asegurar la
integridad de los procesos.

Aspectos claves:
 Procedimientos operacionales y responsabilidades (12.1): Se
deben documentar y formalizar procesos para la administración de
sistemas, acceso, respaldos, y actualización de software.

 Protección contra software malicioso (12.3): Requiere la

implementación de herramientas antivirus, políticas de uso seguro,
controles de ejecución y análisis preventivos.

 Control de cambios en sistemas (14.2.2): Toda modificación en los

sistemas debe planificarse, evaluarse y aprobarse antes de su
ejecución, incluyendo pruebas y respaldo.

 Gestión de vulnerabilidades técnicas: Evaluación constante de

 7

sistemas y aplicaciones para identificar, priorizar y remediar fallas

de seguridad.

Este tipo de planeación permite mantener la continuidad operacional,

minimizar errores humanos, reducir el riesgo de incidentes y mejorar la
eficiencia en la respuesta a eventos no deseados.

Planeación de Infraestructura Segura y Gestión de Incidentes

Relacionados: Dominio 8 – Gestión de Activos, Dominio 9 – Control de

Acceso, Dominio 11 – Seguridad Física, Dominio 13.2 – Redes,

Dominio 16 – Gestión de Incidentes

Una planificación adecuada de la infraestructura incluye la identificación

y protección de activos, implementación de controles de acceso seguros,
diseño físico de espacios protegidos, y un sistema eficaz para responder a
incidentes de seguridad.

Aspectos claves:

 Gestión de activos (Dominio 8): Implica el inventario, clasificación y

asignación de propiedad a los activos. Esto permite aplicar controles
adecuados según su criticidad y sensibilidad.

 Control de acceso (Dominio 9): Se deben establecer mecanismos de

autenticación, políticas de acceso mínimo necesario, y controles
específicos para aplicaciones y redes.

 Seguridad física y del entorno (Dominio 11): Garantiza la

protección de los equipos mediante áreas seguras, control de ingreso
físico, protección contra desastres naturales y robos.

 Seguridad en redes (13.2): Establece medidas para asegurar la

transferencia de información y proteger las conexiones de red contra
accesos no autorizados.

 Gestión de incidentes (Dominio 16): Se deben definir roles,

canales de comunicación, planes de respuesta y mejora
continua ante incidentes de seguridad de la información.
 8

de cualquier entidad moderna.

 9

4. Diagnóstico

4.1 Investigación Preliminar

Como entidad auditada, hemos colaborado con el equipo auditor proporcionando

información preliminar sobre nuestra organización para facilitar la planificación de la
auditoría.

Descripción de la organización: Supermercado San José es una cadena de

tiendas minoristas con presencia en cinco localidades principales. Contamos con
aproximadamente 250 empleados distribuidos en diferentes departamentos: Ventas,
Inventario, Contabilidad, Recursos Humanos, Administración, Marketing, y Tecnología de
Información. Nuestra infraestructura tecnológica da soporte principalmente a sistemas de
punto de venta (POS), gestión de inventarios, contabilidad y una plataforma de ventas
online recientemente implementada.

Entorno tecnológico:

 Servidores físicos: 8 (4 de producción, 2 de desarrollo, 2 de respaldo)

 Terminales POS: 45 distribuidos en todas las sucursales

 Estaciones de trabajo administrativas: 60

 Dispositivos móviles corporativos: 30

 Sistemas operativos: Windows Server, Linux (Ubuntu), Windows 10

 Bases de datos: SQL Server, MySQL

 Sistema ERP personalizado para retail

 Plataforma de e-commerce: Magento

 Servicios en la nube: Microsoft Azure (almacenamiento de respaldos)

Estructura organizativa de TI:

 Gerente de Tecnología

 Coordinador de Infraestructura

o Administradores de sistemas (2)

 10

o Especialista en redes y comunicaciones (1)

o Técnico de soporte (3)

 Coordinador de Sistemas

o Analistas de sistemas (3)

o Desarrollador web (1)

 Analista de Seguridad de la Información (1)

Marco regulatorio aplicable:

 Ley de Protección al Consumidor

 Normativa de Facturación Electrónica

 Ley de Comercio Electrónico

 Ley de Protección de Datos Personales

 Normativas internas de seguridad de la información

4.2 Selección de auditores

El equipo auditor fue seleccionado por la dirección académica de la UPDS para

llevar a cabo la auditoría de los dominios mencionados de la norma ISO 27002. Como
Supermercado San José, reconocemos que el equipo auditor cuenta con las
competencias necesarias para evaluar nuestro cumplimiento con los estándares
establecidos.

El equipo auditor está compuesto por:

 Auditor: Jhonny Herrera Baldivieso

 Auditor: Wilfredo Mamani Vera

 Auditor: Yamil Leonel Mamani Guzmán

 Auditor: Hector Serrano Velasco

 Auditor: Hermes Saavedra

 11

 Auditor: Brandon Saucedo

 Auditor: Elmar Chore

Todos los miembros del equipo auditor han demostrado conocimientos en:

 Normas ISO 27001 y 27002

 Técnicas de auditoría en entornos de retail

 Seguridad de la información en sistemas de punto de venta

 Gestión de riesgos en transacciones comerciales

 Sistemas de gestión de seguridad en entornos de comercio electrónico

4.3 Plan de Auditoría

El plan de auditoría fue desarrollado por el equipo auditor y comunicado a

Supermercado San José con antelación. Como entidad auditada, hemos revisado y
aceptado el siguiente plan:

Cronograma de actividades:

Fecha Actividad Responsable Participantes

Equipo auditor y
gerencia de
05/05/2025 Reunión de apertura Auditor
Supermercado San
José

Analista de Seguridad,
Revisión de políticas de
06/05/2025 Auditor
seguridad
Gerente de TI

Evaluación de controles
Coordinador de
07/05/2025 de acceso en sistemas Auditor
Sistemas
POS e inventarios

08/05/2025 Revisión de seguridad en Auditor Desarrollador web,

plataforma e-commerce
Coordinador de
 12

Infraestructura

Evaluación de
Administradores de
09/05/2025 procedimientos de Auditor
sistemas
respaldo y recuperación

Entrevistas con personal Equipo Supervisores de tienda,

10/05/2025
de tiendas Auditor cajeros seleccionados

Equipo
12/05/2025 Análisis de evidencias -
Auditor

Equipo auditor y
gerencia de
13/05/2025 Reunión de cierre Auditor
Supermercado San
José

Entrega de informe Equipo

14/05/2025 -
preliminar Auditor

Alcance de la auditoría:

 Evaluación del cumplimiento de los dominios de la norma ISO 27002 relacionados

con:

o Políticas de Seguridad de la Información

o Control de Acceso a Sistemas Críticos (POS, inventarios,

contabilidad)

o Seguridad en plataforma de ventas online

o Procedimientos operacionales y responsabilidades

o Gestión de incidentes de seguridad

 13

Recursos necesarios:

 Acceso a documentación de políticas y procedimientos de seguridad

 Acceso supervisado a los sistemas de punto de venta para verificación de controles

 Revisión de los registros de acceso a sistemas críticos

 Disponibilidad del personal de TI y de operaciones para entrevistas

 Sala de reuniones en oficina central

 Acceso al entorno de pruebas del sistema de ventas online

4.4 Matriz de Identificación

Como parte de la preparación para la auditoría, hemos desarrollado una matriz de

identificación que relaciona los controles de los dominios con su implementación en
nuestra organización:
14
 15

4.5 Aplicación de Instrumentos

4.4.1 Entrevistas

Se realizaron entrevistas estructuradas al personal clave del Supermercado San

José en la oficina central ubicado en Avenida Beni 3er Externo frente a la UPDS sede
Santa Cruz, para evaluar el conocimiento y aplicación de las políticas y procedimientos de
seguridad:
Preguntas sobre la Organización:

Dominio: A.5 - Políticas de seguridad de la información / A.6 -

Organización de la seguridad

 ¿Cuántos usuarios activos tiene el sistema?

 ¿Cuál es la antigüedad del sistema actual?

Preguntas sobre el Sistema:

Dominio: A.12 - Seguridad de las operaciones / A.14 - Adquisición,

desarrollo y mantenimiento

 ¿Cuál es la tecnología base del sistema?

 ¿El sistema es desarrollado internamente o adquirido?

Preguntas sobre Políticas y Procedimientos:

Dominio: A.5 - Políticas de seguridad de la información / A.12 -

Seguridad de las operaciones

 ¿Existen políticas de seguridad informática?

 ¿Existe un manual de usuario actualizado?

 16

 ¿Hay protocolos de respaldo y recuperación?

Preguntas sobre Competencias Técnicas:

Dominio: A.7 - Seguridad de los recursos humanos

 ¿Qué lenguajes de programación maneja?

 ¿Maneja estándares como ISO 27001, COBIT, COSO?

Preguntas para Definir Objetivos:

Dominio: A.6 - Organización de la seguridad de la información

 ¿Qué resultados esperan de la auditoría?

Preguntas para Usuarios Finales:

Dominio: A.7 - Seguridad de los recursos humanos / A.12 - Seguridad de

las operaciones

 ¿Cuánto tiempo lleva usando el sistema?

 ¿Cómo calificaría la facilidad de uso del sistema?

 ¿Qué capacitación ha recibido?

 ¿Ha perdido datos alguna vez?

 ¿Qué hace cuando el sistema falla?

Preguntas para Administradores:

Dominio: A.12 - Seguridad de las operaciones / A.16 - Gestión de

incidentes

 ¿Qué problemas técnicos son más frecuentes?

 17

 ¿Cómo gestiona las copias de seguridad?

 ¿Cómo documenta los incidentes?

Preguntas para Gerentes:

Dominio: A.6 - Organización de la seguridad / A.18 - Cumplimiento

 ¿Cómo evalúa el rendimiento del sistema?

 ¿Cuál es su mayor preocupación sobre el sistema?

 ¿Qué riesgos identifica en el sistema actual?

Preguntas sobre Satisfacción General:

Dominio: A.12 - Seguridad de las operaciones

 ¿Recomendaría el sistema a otros departamentos?

 ¿El sistema cumple con sus expectativas?

Preguntas sobre Frecuencia de Uso:

Dominio: A.12 - Seguridad de las operaciones

 ¿Cuántas horas al día utiliza el sistema?

 ¿Qué módulos usa más frecuentemente?

 ¿Con qué frecuencia experimenta problemas?

 ¿Cuántas veces ha necesitado soporte técnico?

 ¿Qué tan seguido se actualiza el sistema?

Preguntas sobre Problemas Específicos:

Dominio: A.12 - Seguridad de las operaciones / A.16 - Gestión de

 18

incidentes

 ¿Ha experimentado pérdida de datos? (Sí/No)

 ¿El sistema se bloquea frecuentemente? (Sí/No)

 ¿Los reportes son precisos? (Sí/No)

 ¿El sistema responde lentamente? (Sí/No)

 ¿Tiene dificultades para acceder? (Sí/No)

Preguntas sobre Capacitación:

Dominio: A.7 - Seguridad de los recursos humanos

 ¿Recibió capacitación formal? (Sí/No)

 ¿La capacitación fue suficiente? (Sí/No)

 ¿El soporte técnico es efectivo? (Sí/No)

Preguntas sobre Seguridad:

Dominio: A.9 - Control de acceso / A.10 - Criptografía / A.11 - Seguridad

física

 ¿Qué controles de acceso están implementados?

 ¿Cómo se gestionan las contraseñas?

 ¿Existe segregación de funciones?

 ¿Qué logs de auditoría se mantienen?

 ¿Cómo se protegen los datos sensibles?

 ¿Hay cifrado de datos implementado?

 19

 ¿Existen controles de acceso físico?

 ¿Cómo se detectan accesos no autorizados?

Preguntas sobre Respaldos:

Dominio: A.12 - Seguridad de las operaciones / A.17 - Continuidad del

negocio

 ¿Con qué frecuencia se realizan respaldos?

 ¿Dónde se almacenan las copias de seguridad?

 ¿Se prueba regularmente la restauración?

 ¿Cuánto tiempo toma recuperar el sistema?

 ¿Existe un plan de recuperación ante desastres?

 ¿Qué datos se incluyen en los respaldos?

 ¿Hay respaldos en sitios externos?

Preguntas sobre Mantenimiento:

Dominio: A.12 - Seguridad de las operaciones / A.14 - Adquisición,

desarrollo y mantenimiento

 ¿Qué mantenimiento preventivo se realiza?

 ¿Con qué frecuencia se actualiza el sistema?

 ¿Cómo se prueban las actualizaciones?

 ¿Existe un ambiente de pruebas?

 ¿Qué documentación se mantiene?

 20

 ¿Hay contratos de soporte vigentes?

 ¿Cómo se gestionan los cambios?

Preguntas sobre Monitoreo:

Dominio: A.12 - Seguridad de las operaciones / A.16 - Gestión de

incidentes

 ¿Qué herramientas de monitoreo utilizan?

 ¿Cómo se detectan problemas de rendimiento?

 ¿Existen alertas automáticas configuradas?

 ¿Se monitorea el uso de recursos?

 ¿Hay métricas de disponibilidad del sistema?

 ¿Cómo se reportan los incidentes?

 ¿Existe un centro de comando y control?

Preguntas sobre Gestión de Usuarios:

Dominio: A.9 - Control de acceso / A.7 - Seguridad de los recursos

humanos

 ¿Cómo se crean nuevos usuarios?

 ¿Qué proceso se sigue para eliminar usuarios?

 ¿Cómo se asignan y modifican permisos?

 ¿Existe revisión periódica de accesos?

 ¿Hay usuarios con privilegios excesivos?

 21

 ¿Cómo se controlan las cuentas administrativas?

 ¿Existe un directorio centralizado de usuarios?

Referencia de Dominios ISO 27001/27002:

A.5 - Políticas de seguridad de la información

A.6 - Organización de la seguridad de la información

A.7 - Seguridad de los recursos humanos

A.8 - Gestión de activos

A.9 - Control de acceso

A.10 - Criptografía

A.11 - Seguridad física y del entorno

A.12 - Seguridad de las operaciones

A.13 - Seguridad de las comunicaciones

A.14 - Adquisición, desarrollo y mantenimiento de sistemas

A.15 - Relaciones con los proveedores

A.16 - Gestión de incidentes de seguridad

A.17 - Continuidad del negocio

4.4.2 Encuestas

Se realizaron encuestas al personal de la organización para evaluar el conocimiento

y aplicación de las políticas y procedimientos. A continuación, se presenta un resumen de
 22

los resultados:

• Conocimiento de políticas de seguridad: 75% del personal está familiarizado con

las políticas básicas de seguridad de la información.

• Uso de contraseñas seguras: 68% del personal utiliza contraseñas complejas y

las cambia con la regularidad establecida.

• Reporte de incidentes: Solo el 45% conoce el procedimiento formal para reportar

incidentes de seguridad.

• Seguridad física: 82% comprende la importancia de mantener seguras las áreas de

acceso restringido.

• Conocimiento de responsabilidades: 70% reconoce su rol en la protección de la

información.

• Concientización sobre phishing: 63% puede identificar correctamente intentos de

phishing.

• Protección de datos personales: 59% sabe cómo manejar adecuadamente

información sensible de clientes.
4.4.3 Cuestionario

El equipo auditor nos proporcionó cuestionarios detallados para evaluar el

cumplimiento de los controles. A continuación, se presentan las respuestas
proporcionadas:

N° Pregunta Respuesta Observaciones

¿Existe una política de seguridad

Última actualización hace
1 de la información formalmente Sí
14 meses
documentada y aprobada?

¿Se realizan revisiones periódicas No existe calendario formal

2 Parcialmente
de las políticas de seguridad? de revisión
 23

¿Existe un procedimiento definido

3 Sí
para la gestión de accesos?

¿Se utilizan métodos de

4 autenticación multifactor para No Solo usuario y contraseña
sistemas críticos?

¿Se mantiene un registro

5 actualizado de usuarios Sí
autorizados?

¿Existen procedimientos
6 documentados para la revocación Parcialmente No automatizado
de accesos?

¿Se cuenta con protección

7 Sí
antimalware en todos los equipos?

¿Se realizan copias de seguridad Diarias para transacciones,

8 periódicas de la información Sí semanales para bases de
crítica? datos completas

¿Existe un plan de recuperación

9 Parcialmente En desarrollo
ante desastres?

¿Se realizan pruebas de

10 penetración y análisis de No
vulnerabilidades?