AUDITORIA INFORMÁTICA
RESPONSABLES:
ESTUPIÑAN MARITZA
RODRIGUEZ KATHERINE
TENEMAZA VANESSA
TOAPANTA JOHANA
1
TABLA DE CONTENIDO
Contenido
TABLA DE CONTENIDO ......................................................................................................................................... i
DATOS DE LA INSTITUCIÓN ............................................................................................................................... 1
CRONOGRAMA ....................................................................................................................................................... 5
MOTIVOS DEL EXAMEN................................................................................................................................... 6
ALCANCE ............................................................................................................................................................. 6
METODOLOGÍA .................................................................................................................................................. 6
OBJETIVO ............................................................................................................................................................ 6
OBJETIVOS ESPECÍFICOS ................................................................................................................................. 6
TÉCNICAS A UTILIZADAS ............................................................................................................................... 6
INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA. .......................................................................... 8
Nombre de la Compañía ........................................................................................................................................ 8
Misión .................................................................................................................................................................... 8
Visión ..................................................................................................................................................................... 8
Perfil de la empresa ................................................................................................................................................ 8
PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL ................................................................. 9
OBJETIVOS ESTRATÉGICOS DE ECUACOPIA CIA. LTDA. ........................................................................ 9
USUARIOS DE LA EMPRESA............................................................................................................................ 9
PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN ................................................... 10
Funcional ECUACOPIA CIA. LTDA. Departamento de TI ................................................................................... 12
STAKEHOLDES ..................................................................................................................................................... 13
INTERNOS .......................................................................................................................................................... 13
ALTA DIRECCIÓN ............................................................................................................................................ 13
DIRECTORES DEPARTAMENTO DE TI ........................................................................................................ 13
DEPARTAMENTO DE TI .................................................................................................................................. 13
CLIENTES Y PROVEEDORES EXTERNOS ................................................................................................... 13
ENTIDADES REGULADORAS ............................................................................................................................ 14
SOFTWARE UTILIZADO POR LA EMPRESA ................................................................................................... 33
Sistema operativo Windows 8 y Windows 10 ..................................................................................................... 33
CORREO DOMINIO ........................................................................................................................................... 33
FIREWALL SOPHOS ......................................................................................................................................... 33
ANTIVIRUS ........................................................................................................................................................ 33
PAC –ERP ........................................................................................................................................................... 33
SLA .......................................................................................................................................................................... 33
TIPOS DE REDES................................................................................................................................................... 35
VPN...................................................................................................................................................................... 35
Red LAN .............................................................................................................................................................. 35
ESQUEMA GENERICO ................................................................................................................................. 35
i
DESCRIPCIÓN DE MAPA DE PROCESOS ......................................................................................................... 36
PROCESOS DE LA EMPRESA ............................................................................................................................. 40
PROCESOS ESTRATÉGICOS ........................................................................................................................... 40
Planificación Estratégica ...................................................................................................................................... 40
Gestión y Desarrollo ............................................................................................................................................ 40
PROCESOS OPERATIVOS.................................................................................................................................... 40
Gestión de Comercialización ............................................................................................................................... 40
Gestión de Soporte Técnico ................................................................................................................................. 40
Gestión de Venta .................................................................................................................................................. 40
PROCESOS DE APOYO ........................................................................................................................................ 40
Gestión de Administración................................................................................................................................... 40
Gestión de Talento ............................................................................................................................................... 40
Gestión Contable y financiera .............................................................................................................................. 41
Gestión y logística................................................................................................................................................ 41
Informática TIC’S ................................................................................................................................................ 41
PROCESOS RELACIONADOS CON TI ............................................................................................................... 42
RESULTADOS OBTENIDOS DE ENCUESTA GENERAL ................................................................................ 44
CUESTIONARIO DE CONTROL DE RIESGO .................................................................................................... 50
MATRIZ DE RIESGO............................................................................................................................................. 52
SCORE DE RIESGO ........................................................................................................................................... 54
MATRIZ DE CONTROL INTERNO: ANEXO 1 (Anexo los cuestionarios por procesos) ............................... 55
MATRIZ DE CONTROL INTERNO...................................................................................................................... 56
METAS CORPORATIVAS EMPRESA ................................................................................................................. 57
METAS CORPORATIVAS COBIT ....................................................................................................................... 58
MAPEO DE METAS CORPORATIVAS ............................................................................................................... 59
METAS DE TI COBIT ............................................................................................................................................ 61
METAS DE TI EMPRESA...................................................................................................................................... 62
MAPEO DE METAS TI .......................................................................................................................................... 63
MAPEO DE PROCESOS TI ................................................................................................................................... 64
PROCESOS RELACIONADOS CON COBIT ....................................................................................................... 66
METAS RELACIONADAS TI ............................................................................................................................... 66
MATRIZ RACI ........................................................................................................................................................ 67
LEYENDA PARA LOS FLUJOGRAMAS............................................................................................................. 68
APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL ........................................................................... 69
MATRIZ RACI ................................................................................................................................................ 70
DIAGRAMA DE FLUJO ................................................................................................................................ 71
INDICADOR ................................................................................................................................................... 72
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 72
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 73
AP012 GESTIONAR EL RIESGO .......................................................................................................................... 74
ii
MATRIZ RACI ................................................................................................................................................ 75
DIAGRAMA DE FLUJO ................................................................................................................................ 76
INDICADOR ................................................................................................................................................... 77
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 77
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 78
APO13 GESTIONAR LA SEGURIDAD ................................................................................................................ 79
MATRIZ RACI ................................................................................................................................................ 80
DIAGRAMA DE FLUJO ................................................................................................................................ 81
INDICADOR ................................................................................................................................................... 82
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 82
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 83
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS. ................................................................................. 84
DIAGRAMA DE FLUJO ................................................................................................................................ 85
MATRIZ RACI ................................................................................................................................................ 86
INDICADOR ................................................................................................................................................... 87
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 87
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 88
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO ................................................................. 89
DIAGRAMA DE FLUJO ................................................................................................................................ 90
MATRIZ RACI ................................................................................................................................................ 91
INDICADOR ................................................................................................................................................... 92
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 92
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 93
DSS03 GESTIONAR LOS PROBLEMAS ........................................................................................................... 94
DIAGRAMA DE FLUJO ................................................................................................................................ 95
MATRIZ RACI ................................................................................................................................................ 96
INDICADOR ................................................................................................................................................... 97
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 97
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 98
DSS04 GESTIONAR LA CONTINUIDAD. .......................................................................................................... 99
MATRIZ RACI .............................................................................................................................................. 100
DIAGRAMA DE FLUJO .............................................................................................................................. 101
INDICADOR ................................................................................................................................................. 102
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 102
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 103
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD ................................................................................ 104
MATRIZ RACI .............................................................................................................................................. 105
DIAGRAMA DE FLUJO .............................................................................................................................. 106
INDICADOR ................................................................................................................................................. 107
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 107
iii
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 108
MATRIZ RESUMEN DE NIVEL DE CAPACIDAD ...................................................................................... 109
GRAFICA DE NIVELES DE CAPACIDAD.................................................................................................... 110
CONCLUSIÓN GENERAL .................................................................................................................................. 111
RECOMENDACIÓN............................................................................................................................................. 112
iv
ECUACOPIA CIA. LTDA. MRP
AUDITORIA DE INFORMÁTICA 1/1
Al 28 de diciembre del 2017
MATRIZ DE RECONOCIMIENTO
PRELIMINAR
DATOS DE LA INSTITUCIÓN
Nombre de la Institución: ECUACOPIA CIA. LTDA.
RUC: 1790189163001
Gerente General: Chediak Martínez José Javier
Distribuidor autorizado de RICOH CORPORATION
para el ECUADOR. Contamos con la representación de
Tipo de atención:
lector clasificadores y escáneres de cheques PANINI
para ECUADOR, COLOMBIA Y PERÚ.
Jornada: 08:30-17:30
Sostenimiento: Privado
Provincia: Pichincha
Cantón: Quito
Parroquia: Quito
Matriz: Eduardo Whymper N27-88 y Av. Francisco de
Agencia Específica:
Orellana.
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana
Teléfono: (02) 2235-936
Correo Electrónico: www.ecuacopia.ec
Proceso: Auditoria a sistemas informáticos e infraestructura de TI.
Componente: Departamento de TI
Talento Humano: Tiempo de Funcionamiento:
Número de Personal TI:
4
Número de Personal Lunes, 7 de noviembre del 1979 -
Administrativo: Actualidad
10
Total de empleados
74
1
ECUACOPIA CIA. LTDA MP
AUDITORIA DE INFORMÁTICA 1/4
Al 28 de diciembre del 2017
MEMORÁNDUM DE PLANIFICACIÓN
ÍNDICE
DATOS GENERALES
Razón Social: ECUACOPIA CIA. LTDA.
Nacionalidad: Ecuador
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana
OBJETO SOCIAL
Venta al por mayor y menor de equipos de oficina
ORGANISMOS DE CONTROL
Ley de Compañías
Ley Orgánica de Régimen Tributario Interno
Reglamento de la Ley Orgánica de Régimen Tributario Interno
Ley Orgánica de Aduanas
NORMATIVA INTERNA
ECUACOPIA CIA LTDA Cuenta con el plan estratégico de desarrollo institucional (PEDI),
misión visión, objetivos, políticas, y el plan estratégico de tecnología de información (PETI).
En estos planes se detallan la planificación y actividades que se puede implantar ante
cualquier situación dentro de la organización.
NORMATIVA LEGAL
Se debe tener en cuenta el Marco Referencial de Auditoría y velar por el cumplimiento del
mismo.
2
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA MP
Al 28 de diciembre del 2017 2/4
MEMORÁNDUM DE PLANIFICACIÓN
Entrevista
Antes iniciar la auditoria se realizará entrevistas físicas al Director del Departamento Informático, al
mismo que se le aplicará el cuestionario pertinente de competencia de los procesos sistematizados
de información.
En las entrevistas incluirán:
Gerente de TI
Gestor de TI
Coordinador de TI interno
Analista de TI interno
El objeto de las mismas será conocer la efectividad y eficiencia del sistema que ocupa la empresa
por medio de recopilación de evidencias necesarias.
Observación
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el
funcionamiento del área informática y los sistemas software, permite recolectar la información
directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el
área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los
eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita
evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de
acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede
clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y
emitir una opinión sobre el aspecto evaluado.
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el
servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre
otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se
contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la mejor
elección de las muestras y recolección de opiniones.
3
ECUACOPIA CIA. LTDA. MP
AUDITORIA INFORMÁTICA 3/4
Al 28 de diciembre del 2017
MEMORANDUM DE PLANIFICACIÓN
Inventarios
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que
existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes
con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación
de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria
tradicional, el auditor de sistemas también puede examinar las existencias de los elementos
disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos
de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles,
documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar
la cantidad real con las existencias que se registra en los documentos.
OBJETIVOS DE CONTROL
Tiene como objetivo central evaluar que exista una correcta seguridad de la información de la
empresa. Durante este proceso se buscará que la empresa cuente con los elementos necesarios para
ser resguardar la información, así mismo que permita un análisis y evaluación adecuada del
departamento de TI y sus relacionados. Por último, se buscará que la seguridad sea uno de los
factores más importantes a mantener durante la aplicación del mismo.
4
ECUACOPIA CIA. LTDA. MP
AUDITORIA INFORMÁTICA 4/4
Al 28 de diciembre del 2017
MEMORÁNDUM DE PLANIFICACIÓN
CRONOGRAMA
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDADES 1 2 3 4 1 2 3 4 1 2 3 4
CONTACTO CON EL GERENTE DE LA EMPRESA
Carta de pedido de la auditoria
Propuesta del alcance de la auditoria
Aceptación de la auditoria
Contrato
Carta compromiso
VISITA A LAS INSTALACIONES
Solicitud de información Antecedentes de la empresa.
Matriz de reconocimiento preliminar
Memorando de planificación
SOLICITUD DE INFORMACIÓN
Requerimiento de información acerca del Inventario de Hardware,
Software y tipos de Redes que usa la empresa.
Requerimiento de información de la función del departamento de TI
PLAN DE AUDITORÍA
Motivo del examen
Información general del ECUACOPIA CÍA. LTDA.
PEDI: plan estratégico de desarrollo institucional
PETI: plan estratégico de tecnologías de la información
Organigrama
Stakeholdes
Funciones gestor de proyectos TI
Inventario de hardware
PROGRAMA DE AUDITORÍA
Procesos de la empresa
Mapa de procesos
Procesos organizacionales relacionados TI
Cuestionario de control interno
Matriz de riesgo
Score de riesgo
Matriz de control interno: (anexo 1 cuestionarios de control interno)
Metas corporativas empresa
Metas corporativas COBIT 5.0
Mapeo de metas corporativas
Metas de TI COBIT 5.0
Metas de TI empresa
Mapeo de metas TI
Mapeo de procesos
Procesos relacionados con COBIT 5.0
Matriz RACI
Elaboración y aplicación de entrevistas y cuestionarios al personal TI.
Observación directa y prueba sobre los factores considerados en la
auditoria
Descripción de procesos
Matriz RACI por proceso
Medición (MÉTRICAS, MATRIZ DE NIVEL DE CAPACIDAD)
Condición, criterio, conclusiones y recomendaciones
Elaboración del informe de Auditoría
Presentación y lectura de informe de Auditoria
Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017
5
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 1/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
ALCANCE
Este examen consistió en una serie de evaluaciones y análisis que AUDITED considero
necesarias y oportuno a fin de obtener resultados que nos permita dar a conocer la situación
del departamento de TI y sus procesos relacionados.
METODOLOGÍA
OBJETIVO
Aplicar una Auditoría Informática al Departamento de TI y los procesos relacionados con el
propósito de minimizar el riesgo y salvaguardar la información de la empresa “ECUACOPIA
CIA. LTDA.” bajo la metodología COBIT 5.0.
OBJETIVOS ESPECÍFICOS
Determinar el grado de eficiencia de los procesos relacionados de TI.
Aplicar indicadores que permitan medir el nivel de eficiencia y eficacia de las
operaciones de TI en la empresa.
Emitir un informe de auditoría que evidencia los resultados del examen y que permita
a las partes interesadas una mejora continua y toma de decisiones oportuna.
TÉCNICAS A UTILIZADAS
Para la ejecución del trabajo de auditoría y recolección de información se utilizarán las
siguientes técnicas de auditoría:
1. Entrevista
2. Observación
3. Cuestionarios
4. Inventario.
6
SIGMAPLAST S.A. PA
AUDITORIA INFORMÁTICA 1/33.1
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
REQUERIMIENTOS DE AUDITORÍA
Informes de Auditoría: Técnico y ejecutivo
FECHAS DE INTERVENCIÓN
Fecha de Inicio del Examen 03/10/2017
Fecha de Finalización: 28/12/2017
DÍAS PRESUPUESTADOS
Se determinaron 70 días laborables para la de auditoría.
RECURSOS
RECURSOS NECESARIOS PARA EL EXAMEN DE AUDITORÍA DE INFORMÁTICA
HUMANO
EQUIPO AUDITOR CARGOS
Estupiñan Maritza Senior
Tenemaza Vanessa Junior
Toapanta Johana Asistente
Rodríguez Katherine Auxiliar
EQUIPOS
DETALLE CANTIDAD
Computador portátil 3
Flash Memory 4
Impresora 1
MATERIALES
7
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 2/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
8
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 3/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
USUARIOS DE LA EMPRESA
Los principales usuarios de la empresa ECUACOPIA CIA. LTDA., son las entidades
de regulación como SRI, Superintendencia de Compañías, SENAE, Registro mercantil,
INEN con que, el propósito de la empresa es ayudar y brindar soporte de nuestros
productos aportar al crecimiento tecnológico, mediante la distribución de las marcas
RICOH, PANINI Y FUJTISU reconocidas a nivel mundial ofreciendo soluciones de
digitalización e impresión por medio de la venta o renta de nuestros productos.
9
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 4/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
10
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 5/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
Gerencia General
Ventas nacionales -
Talento humano Contabilidad Almacen Gestor de Proyecto's (TI) Coordinador TI Interno
internacionales
Analista de TI
Tesoreria
interno
Gerencia Informática
TIC S
Analista de TI
interno
El área de Tecnología está divida en dos sub-áreas para la atención de cliente interno y externo; como
parte de soporte externo se da mantenimiento y garantía a los equipos, además a partir de este año.
Como área interna está vinculado con el personal interno de la compañía, entre sus principales
funciones se encuentra el soporte a usuarios de PAC- ERP, mantenimiento de equipos,
administración de la data center, etc.
El área de Tecnología se encuentra relacionada con el área Comercial por el cambio en visión de
negocio que se está teniendo.
12
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 7/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
STAKEHOLDES
APLICACIÓN PRINCIPIO 1: SATISFACER LAS PARTES INTERESADAS
GRUPO ECUACOPIA
INTERNOS
ALTA DIRECCIÓN
Gerente General Chediak Martínez José Javier
Presidente Chediak Rivadeneira Enrique Adolfo
Vicepresidente Chediak Rivadeneira José Marun
Presidente Ejecutivo Chediak Bueno Felipe
DIRECTORES DEPARTAMENTO DE TI
DEPARTAMENTO DE TI
SUCURSALES
13
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 8/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
ENTIDADES REGULADORAS
Superintendencia de Compañías
Registro mercantil
Servicio ecuatoriano de
normalización
14
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 9/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
FUNCIONES GERENTE DE TI
IDENTIFICACIÓN GENERAL:
15
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 10/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
COMPETENCIAS REQUERIDAS
TEMAS
Liderazgo
Innovación
Trabajo En Equipo
Apertura Al Cambio
Orientación A Resultados
Autocontrol
Orientación De Servicio
TEMAS
Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos
16
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 11/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
TEMAS
17
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 12/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
IDENTIFICACIÓN GENERAL:
18
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 13/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
COMPETENCIAS REQUERIDAS
Responsabilidad
Honestidad
Liderazgo
Trabajo En Equipo
Comunicación
Empoderamiento
Construcción De Relaciones De Confianza
Confidencialidad De La Información
Manejo De Conflictos
Negociación
19
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 14/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
Microsoft Exchange
Firewall
Base de datos
Sistemas operativos para servidores y PC’S
Lenguajes de programación
Servidores web
Seguridad de la información
Redes de comunicaciones
Gestión de proyectos
ITIL
Habilidades directivas
20
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 15/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
FUNCIONES COORDINADOR DE TI
IDENTIFICACIÓN GENERAL:
21
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 16/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
COMPETENCIAS REQUERIDAS
TEMAS
Trabajo a presión
Innovación
Trabajo en equipo
Apertura al cambio
Orientación a resultados
Autocontrol
Orientación de servicio
TEMAS
Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo Windows
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos
22
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 17/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
23
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 18/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
FUNCIONES ANALISTA TI
IDENTIFICACIÓN GENERAL:
COMPETENCIAS REQUERIDAS
Responsabilidad
Trabajo en equipo
Comunicación
Confidencialidad de la información
24
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 19/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta Excel
Sistemas Operativos
Manejo de Base de Datos
Software
Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta EXCEL
Sistemas operativos
Manejo de base de datos
25
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 20/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
INVENTARIO DE HARDWARE
PORTÁTILES
SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
Windows 10
1 TOSHIBA Tecra A50 -C-16L Intel Core i5 2.3 Ghz, HD 500 GB
(64 bits)
Satellite C55D - C- Windows 10
2 TOSHIBA Intel Core i3 1.5 GHz Dual- Core
166 (64 bits)
Intel Celeron N3050 1.6 GHz Windows 10
3 HP Stream 11
Dual-Core, 2MB Cache (64 bits)
Intel N3060 Dual-Core 2.48 GHz Windows 8
4 HP HP 240 G6
500 GB. (64 bits)
Windows 8
5 HP HP 15 Touch Intel core i3 -6100u 2.3 GHz
(64 bits)
Windows 8
6 HP 15H007A Intel Core i7-7500U 3.5 GHz
(64 bits)
Windows 10
7 HP 1001440LA Intel Core i5 2.4 GHz Dual Core
(64 bits)
HP-
Windows 10
8 HP 455VE11205X500LX Intel Core i3 1.5 GHz Dual- Core
(64 bits)
CO4L4
Windows 10
10 GATEWAY P-172FX Intel Core 2 Duo T8300
(64 bits)
26
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 21/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
COMPUTADORAS DE ESCRITORIO
SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
INTEL DUAL CORE G4400 3.3
GHZ 1151 6ta GEN, disco duro
COMPUTADOR 500 GB HITACHI SATA MB
SAMSUNG Windows 8
1 A DE GIGABYTE H110M-H LGA 1151
CASE (64 bits)
ESCRITORIO MEMORIA DDR4 4GB
KINGBSTON PC 2133, mouse
óptico, teclado.
DELL 0902SFi5S81TW7P3W
EQUIPO DE
Procesador Intel Core i5, cache de Windows 8
3 DELL ESCRITORIO
6MB, RAM 8 GB Disco duro 1Tb (64 bits)
COMPLETO
Monitor 18.5, DVD/RW
PROYECTOR
No. MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
Wifi opcional, se puede colocar a
72cm de la pantalla para obtener
una imagen de 178 cm y alta
1 EPSON EB - 420 PROYECTOR calidad. Equipado con tecnología
3LCD, emisión de luz blanca y en
color de hasta 25 lúmenes,
proyección de imágenes nítidas.
Tecnología 3LCD Panel LCD 0.55
Pulgadas con MLA Salida
luminosa, modo económico 2400
100-240V-
2 EPSON PROYECTOR lúmenes, Salida de imagen en
50/60HZ
blanco/negro y a color de 3000
lúmenes, contraste 3000:1 horas
de lámpara.
Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017
27
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA 1/1
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA
28
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 22/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
SERVIDOR
DESCRIPCI SISTEMA
No. MARCA SERIE MODELO ÓN CARACTERÍSTICAS OPERATIVO
Procesador 1 Intel Xeon
E5645 / 2.4 GHz (2.67
Este servidor se
GHz), Soporte de
homologa para
procesador: soporta hasta
XSERIES Windows Server
KQDG 2 procesadores, Memoria
1 IBM SYSTEM SERVIDOR 2008 con
RBT RAM/ Expansión 4 GB
X3650 hardware de
(instalados) / 192 GB
marca de
(Max) - DDR3 SDRAM-
fabricante.
ECC 1333 MHz - PC3 -
10600
IMPRESORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
29
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 23/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
COPIADORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
30
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 24/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
TELÉFONOS
No MARCA MODELO # DESCRIPCIÓN
INALÁMBRICO
LCD de 1.6 en color ámbar, teclado
iluminado, mejoría de alcance del
1 PANASONIC CONTE TCG 360 2 radio debido a la fabricación con 2
antenas, altavoz, identificador de
llamadas, Modo silencio, directorio
telefónico, sistema de contestadora
INALÁMBRICO
Funciona con los conmutadores
CloudCall, tienen dos puertos de
red una va al router y el otro a la
2 PANASONIC T19 2
computadora, calidad de sonido,
volumen de altavoz, indicador de
correo electrónico, historial de
llamadas
INALÁMBRICO
Tecnología 2,4 GHz, llamada en
espera, indicador luminoso y alerta
3 PANASONIC KX-TG2420B 2
de mensajes, altavoz, teclado
luminoso, montable en la pared,
más de 60mts de alcance.
INALÁMBRICO
Terminal pre-registrado con la
estación base, pantalla gráfica
iluminada, eco plus sin radiaciones,
4 SIEMENS GIGASET A 120 1
lista de llamadas con 25 entradas,
remarcación de los últimos 10
números, indicación de la fecha,
identificación de autor de llamadas.
EJECUTIVO
Compatible con el conmutador KX-
5 PANASONIC KX-DT521 2
NS500, altavoz y cascos full
dúplex, LCD gráfico de una línea.
EJECUTIVO
CloudCall, dos puertos, directorio
CLOUD
6 T19 3 telefónico, historial de llamadas o
CALL
transferencias, realiza llamadas
confidenciales, altavoz.
31
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 25/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
SUMADORA
No MARCA INV MODELO DESCRIPCIÓN
Sumadora
conversión métrica,
1 CASIO 2 Dr-120 TM
funcionamiento
corriente
CALCULADORAS
No MARCA INV MODELO DESCRIPCIÓN
PANTALLA DE PROYECTOR
No MARCA INV MODELO DESCRIPCIÓN
pantalla para
1 LOCH 1 MS84SR proyectar 1,80 metros
de ancho
USB
No MARCA INV MODELO DESCRIPCIÓN
DATA
1 KINGSTON 8 16 GB
TRAVELER
DISPENSADOR DE AGUA
No MARCA INV MODELO DESCRIPCIÓN
32
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 26/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
CORREO DOMINIO
La empresa ECUACOPIA CIA. LTDA., cuenta con un dominio que es privado
www.ecuacopia.com, cuenta con una plataforma web y perfil institucional.
FIREWALL SOPHOS
La infraestructura de seguridad cuenta con firewall Sophos para monitorear el
tráfico de internet y correo electrónico con vigencia hasta junio del 2018.
ANTIVIRUS
La empresa cuenta con 14 portátiles y computadora de escritorio cuentan con
licencia de antivirus marca Kaspersky Anti-Virus actualizada y con vigencia hasta
junio del 2018.
PAC –ERP
Este sistema administrativo contable financiero más fuerte, completo y confiable
desarrollado en el Ecuador. A precio nacional, un sistema de nivel internacional.
Especificaciones técnicas
El sistema PAC está desarrollado en PHP, JavaScript y HTML bajo una
arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos.
SLA
Service Level Agreement (SLA) es un contrato que describe el nivel de servicio
que un cliente espera de su proveedor.
33
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 27/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
MySQL Server
El gestor de bases de datos
Provedatos: Proveedor del ERP PAC, desarrollado en PHP, Javascript y HTML bajo
una arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos
(MySQL, ORACLE, MYSQL Server)
34
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA 1/1
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA
TIPOS DE REDES
VPN
(Virtual Private Network) es una tecnología de red que se utiliza para conectar una o
más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar
una VPN para que sus empleados desde sus lugares alejados a la empresa, puedan
acceder a recursos corporativos que, de otro modo, no podrían.
Red LAN
La red LAN abarca el área del edificio de ECUACOPIA CIA. LTDA. Como
protección cuenta con firewall.
ESQUEMA GENÉRICO
CANALIZACIÓN DE CABLEADO
Todo el recorrido de cables, desde su salida hasta la toma final está distribuido mediante
canaletas de tal forma que ningún cable se encontró suelto.
La distribución del cableado está distribuido por canaletas adheridas al techo y paredes
para cada área de trabajo. Cuenta con ventilación apropiada.
35
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 28/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
36
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 29/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
37
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 30/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
Gestión Talento Humano Atraer motivar y retener a los empleados para explotar sus
habilidades y adquirir su capacidad, garantizando el
cumplimientos de las actividades y procesos de trabajo
encomendadas según sus perfiles, roles y funciones.
Gestión Contable y Procesar, controlar, asegurar y garantizar la información,
financiera
con la correcta aplicación de leyes, reglamentos y políticas
PROCESOS DE APOYO
38
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 31/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
MAPA DE PROCESOS
Gestión Gestión
Gestión de Gestión y Informática
Talento contable y
Administración logística (TI)
Humano financiera
39
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 32/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
PROCESOS DE LA EMPRESA
PROCESOS ESTRATÉGICOS
Planificación Estratégica
- Análisis y programa de desarrollo institucional.
Gestión y Desarrollo
- Definición de los objetivos, metas, estrategias institucionales.
PROCESOS OPERATIVOS
Gestión de Comercialización
- Compra y adquisiciones.
- Requerimiento de cotizaciones a proveedores.
Gestión de Venta
- Requerimiento de cotizaciones a Clientes.
- Emisión de facturas.
PROCESOS DE APOYO
Gestión de Administración
- Presupuesto.
- Planes, programas y proyectos.
Gestión de Talento
- Selección y contratación de personal.
- Capacitación de personal.
40
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 33/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA
Gestión y logística
- Publicidad.
Informática TIC’S
- Plan de contingencia para pérdida de información.
- Requerimiento de hardware
- Soporte de usuarios internos.
- Protección de información con firewall cortafuegos para software.
- Creación de cuentas y claves de usuario
- Monitoreo de redes.
- Mantenimiento de Equipos informáticos
- Respaldos de información
41
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
42
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CUESTIONARIO GENERAL ECUACOPIA CIA. LTDA.
Esta encuesta está dirigida a clientes internos de la empresa ECUACOPIA CIA. LTDA. La misma tiene la finalidad de
determinar el servicio, agilidad y cumplimiento del departamento de TI, con la cual levantaremos información del nivel de
riesgos y seguridad de la información.
1. ¿Conoce usted si cuenta la empresa con un Plan de Desarrollo Estratégico?
Si (___)
No (___)
2. ¿Conoce usted si el departamento de TI cuenta con Plan Estratégico de Tecnologías de Información?
Si (___)
No (___)
3. ¿Conoce usted si el departamento de TI cuenta con un inventario de hardware y de software?
Si (___)
No (___)
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?
Si (___)
No (___)
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de información u
otros?
Si (___)
No (___)
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?
Si (___)
No (___)
7. ¿Se realizan mantenimientos periódicos a sus equipos?
Si (___)
No (___)
8. ¿Se realiza mantenimiento al servidor externos en los cual se generar back-up?
Si (___)
No (___)
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?
Si (___)
No (___)
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?
Si (___)
No (___)
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?
Si (___)
No (___)
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?
Si (___)
No (___)
13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en equipos?
Si (___)
No (___)
14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o incidentes relacionado
con la información?
Si (___)
No (___)
Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017
43
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
Interpretación de la pregunta 1.- De los 9 clientes encuestados 8 clientes (88,9%) conocen del plan de desarrollo
estratégico de la empresa y solo 1 de sus clientes (11,1%) desconoce del mismo.
Interpretación de la pregunta 2.- De los 9 clientes encuestados 4 clientes (44,4%) conocen del plan estratégico de
tecnologías de información la empresa y 5 de sus clientes (55,6%) desconoce del mismo.
Interpretación de la pregunta 3.- De los 9 clientes encuestados 8 clientes (88,9%) conocen que el departamento de
TI cuenta con un inventario de hardware y software, y 1 de sus clientes (11,1%) desconoce de ese inventario
44
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?
Interpretación de la pregunta 4.- De los 9 clientes encuestados 8 clientes (88,9%) han tenido problemas con el
funcionamiento del sistema, y 1 de sus clientes (11,1%) no ha tenido ningún problema.
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de
información u otros?
Interpretación de la pregunta 5.- De los 9 clientes encuestados 8 clientes (88,9%) no han tenido problemas con
virus, encriptación u otro problema técnico, y 1 de sus clientes (11,1%) si ha tenido un problema de encriptación.
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?
Interpretación de la pregunta 5.- De los 9 clientes encuestados 9 clientes (100%) cuentan con licencias vigentes y
originales en sus equipos de trabajo (pc’s).
45
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
7. ¿Se realizan mantenimientos periódicos a sus equipos?
Interpretación de la pregunta 7.- De los 9 clientes encuestados 2 clientes (22.2%) si han recibido
mantenimiento de sus equipos y 7 clientes (77.8%) no han recibido mantenimiento de su equipo.
8. ¿Se realiza mantenimiento al servidor externo en los cual se genera back-up?
Interpretación de la pregunta 8.- De los 9 clientes encuestados 3 clientes (33.3%) considero que se ha
generado un mantenimiento al servidor oportunamente y 6 (66.7%) no considera que se ha generado
un mantenimiento oportuno.
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?
Interpretación de la pregunta 9.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si realizan
respaldos de la información frecuentemente y 7 de sus clientes (77.8%) considera que no se ha generado
respaldos frecuentemente.
46
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?
Interpretación de la pregunta 10.- De los 9 clientes encuestados 7 clientes (77.8%) si cuenta con un usuario
y contraseña como medida de seguridad para acceder al sistema y 2 de sus clientes (22.2%) no cuenta con
su usuario, ni clave.
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?
Interpretación de la pregunta 11.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si existe
un tratamiento adecuado para daños de su red local (LAN) y 7 de sus clientes (77.8%) no considera que
exista un tratamiento adecuado de la red.
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?
Interpretación de la pregunta 12.- De los 9 clientes encuestados 6 clientes (66.7%) si considera que si
cumple con procedimientos y políticas de adquisición y 3 de sus clientes (33%) considera que no cumple
con sus procedimientos y políticas.
Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017
47
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en
equipos?
Interpretación de la pregunta 13.- De los 9 clientes encuestados 6 clientes (66.7%) considera que no ha
tenido soporte inmediato para resolver sus problemas en el sistema o equipo y 3 de sus clientes
(33.3%) considera que si han tenido soporte inmediato.
14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o
incidentes relacionado con la información?
Interpretación de la pregunta 14.- De los 9 clientes encuestados 7 clientes (77.8%) no conoce del plan
de contingencia de TI en caso de siniestro o perdida de la información y 2 de sus clientes (22.2%) si
conoce del plan de contingencia de TI.
48
49
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CUESTIONARIO DE CONTROL DE RIESGO
RESPUESTA POND.
No ACTIVIDAD OBSERVACIONES
SI NO N/A C CT
¿Existe políticas para el uso de
1 X 9 10
claves de sistema?
La empresa cuenta con
2 X 8 10
planificación estratégica?
¿Se encuentran establecidas las
3 actividades, objetivos, metas y X 9 10
estrategias institucionales?
¿La empresa cuenta con políticas de
4 X 9 10
compra y adquisición?
¿Existe una política para
5 requerimiento de cotizaciones a X 7 10
proveedores y clientes?
¿Se realizan periódicamente No se realiza el
6 mantenimiento y soporte a los X 6 10 mantenimiento de acuerdo
usuarios de la empresa? al cronograma
¿Los clientes externos se sienten
7 X 8 10
satisfechos con las instalaciones?
Es sistema se demora en
¿Las facturas a los clientes son
realizar el reporte de las
8 emitidas en el momento de la X 6 10
facturas, debido a que son
compra?
facturas electrónicas
¿Se realiza una estimación de
9 X 9 10
presupuesto anual?
¿Los gastos incurridos en
10 proyectos, planes y programas son X 8 10
controlados y supervisados?
La empresa no cuenta con el
¿El departamento de talento
sistema pero cuenta con una
11 humano cuenta con una aplicación X 6 10
persona especializada para
para selección?
la contratación del personal
¿Se programan capacitaciones Las capacitaciones se
12 X 6 10
habituales para el personal? realizan 2 veces al año más.
¿Existen responsables para el uso
13 de archivos y base de datos respecto X 9 10
al sistema?
¿Han existido problemas dentro del El sistema se colapsa
14 módulo contable en el registro de X 6 10 cuando existen muchos
información? ingresos de información.
¿La liquidación de gastos, cuenta
15 con respaldo de documentos X 9 10
electrónicos legales?
50
ECUACOPIA CIA. LTDA. Pro
AUDITORIA INFORMÁTICA gA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
¿El software que utilizan cuenta
16 con un modelo de impuestos y X 9 10
declaraciones?
¿Se lleva periódicamente un
17 X 8 10
monitoreo de la cartera?
¿La empresa cuenta con un
18 X 8 10
software para realizar publicidad
¿El departamento de TI cuenta
19 con procedimientos X 9 10
informáticos?
¿Se realizan informes de
adquisiciones con las Se emiten los informes pero no son
20 características de los X 6 10 elaborados con todas las características
requerimientos de hardware necesarias para requeridos por TI
(infraestructura)?
¿Se ha implementado un La empresa si cuenta con antivirus pero
21 software antivirus y se realiza su X 7 10 no se le realiza las actualizaciones en
mantenimiento? los tiempos requeridos
¿El departamento de TI se realiza El departamento de TI no realiza
pruebas de verificación cuando directamente la verificación lo hace
22 X 6
se hacen soporte técnicos a los mediante vía telefónica con la persona
usuarios? perjudicada
¿Se tiene confidencialidad con No en lo absoluto debido que el gerente
23 X 5 10
las claves de los usuarios? general sabe algunas claves.
¿El departamento de TI recibe
24 notificaciones para la creación de X 8
usuarios y claves nuevas?
Si realizamos monitoreo de redes, pero
25 ¿Se realiza monitoreo de redes? X 7 10
no de forma periódica.
¿TI tiene acceso a todos los
26 módulos del software de la X 9 10
empresa?
¿La empresa cuenta con
27 respaldos de información X 9 10
externa?
La empresa cuenta con seguro
¿Cuentan con un plan de
empresarial pero TI no cuenta con plan
28 contingencia para algún siniestro X 6 10
de contingencia para siniestros
o pérdida de información?
relacionado con la información.
¿Se delegó responsables para
29 controlar el uso de información X 8 10
compartida?
La empresa si realiza los
¿Se realizan periódicamente el
mantenimiento a los equipos
30 manteniendo a los equipos X 7 10
informáticos, pero no tienen un
informáticos?
cronograma detallado.
SUMA 224 280
51
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MATRIZ DE RIESGO
Valor
Aparición Gravedad Nivel de
MACROPROCESOS No PROCESOS del Optimo Porcentaje
probabilidad (Impacto) Riesgo
Riesgo
PROCESOS 1 Análisis y programa de desarrollo institucional. 3 1 3 25 12% MUY BAJO
ESTRATÉGICOS 2 Definición de los objetivos, metas, estrategias institucionales. 3 3 9 25 36% BAJO
3 Compra y adquisiciones. 3 1 3 25 12% MUY BAJO
4 Requerimiento de cotizaciones a proveedores. 3 2 6 25 24% BAJO
PROCESOS 5 Mantenimiento usuarios externos. 5 3 15 25 60% MODERADO
OPERATIVOS 6 Instalaciones usuarios externos. 4 2 8 25 32% BAJO
7 Requerimiento de cotizaciones a Clientes. 3 2 6 25 24% BAJO
8 Emisión de facturas. 3 4 12 25 48% MEDIO
9 Presupuesto. 4 3 12 25 48% MEDIO
10 Planes, programas y proyectos. 3 2 6 25 24% BAJO
11 Selección y contratación de personal. 3 3 9 25 36% BAJO
12 Capacitación de personal. 3 4 12 25 48% MEDIO
13 Registro de información contable y financiera. 5 1 5 25 20% BAJO
14 Liquidación de gastos. 5 2 10 25 40% MEDIO
15 Liquidación de impuestos. 5 3 15 26 58% MODERADO
16 Declaración y presentación de la información financiera 4 3 12 25 48% MEDIO
PROCESOS DE 17 Control de cartera. 4 2 8 25 32% BAJO
APOYO 18 Publicidad. 3 1 3 25 12% MUY BAJO
19 Plan de contingencia para siniestro o pérdida de información. 5 5 25 25 100% ALTO
20 Requerimiento de hardware 5 4 20 25 80% ALTO
21 Protección de información con firewall cortafuegos para software. 4 5 20 25 80% ALTO
22 Soporte de usuarios internos. 4 5 20 25 80% ALTO
23 Creación de cuentas y claves de usuario 4 5 20 25 80% ALTO
24 Monitoreo de redes 4 4 16 25 64% ALTO
25 Mantenimiento de Equipos informáticos 4 4 16 25 64% ALTO
26 Respaldo y almacenamiento de la información extraída en dispositivos. 4 4 16 25 64% ALTO
Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017
52
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
LEYENDA
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
(probabilidad)
MUY BAJO 5 5 10 15 20 25
APARICIÓN
BAJO 4 4 8 12 16 20
MEDIO 3 3 6 9 12 15
MODERADO 2 2 4 6 8 10
ALTO 1 1 2 3 4 5
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%
SCORE DE RIESGO
MUY BAJO 1 0-3
BAJO 2 4-9
MEDIO 3 10 - 12
MODERADO 4 13 - 15
ALTO 5 16 - 25
53
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
SCORE DE RIESGO
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
20. Requerimiento de 19. Plan de contingencia para
hardware. siniestro o pérdida de
ALTA 5 26. Respaldos de información. información.
MEDIA 3
BAJA 2
MUY BAJA 1
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%
54
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
LEY DE SUPERINTENDENCIA
PRINCIPIOS Y NORMAS DE
GESTIÓN DE LA CALIDAD
SEGURIDAD DE LA
ISO 9001 NORMA DE
PROCEDIMIENTOS
POLITICA
DE COMPAÑIAS
INFORMACIÓN
MANUAL DE
SEGURIDAD
POLITICA
EMPRESA
NIC- NIIF
FISICA
LORTI
(IESS)
PROCES OS
55
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
PRINCIPIOS Y NORMAS DE
SEGURIDAD DE LA
ORGANIZACIONAL
PROCEDIMIENTOS
DE LA CALIDAD
DE COMPAÑIAS
INFORMACIÓN
MANUAL DE
SEGURIDAD
EMPRESA
POLITICA
NIC- NIIF
LORTI
FISICA
(IESS)
PROCESOS
56
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
3 P P
Reducir los costos de los procesos
4 P S S
Controlar la cartera de clientes.
Interna
9 Cumplir con las leyes y regulaciones P P S
externas.
10 P P S
Administrar los riesgos de negocios
Principal P
Secundario S
No aplica
57
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
5 Transparencia Financiera P P S
Cultura de servicio
6 P S S
orientada al cliente
Continuidad y
7 disponibilidad del servicio P S P
de negocio
Respuestas ágiles a un
Cliente 8 entorno de negocio P P
cambiante
Toma estratégica de
9 Decisiones basada en la P P S
Información.
Optimización de coste de
10 P P
entrega del servicio
Optimización de la
11 funcionalidad de los P P
procesos de negocio
Optimización de costes de
12 P P
los procesos de negocio
Interna Programas gestionados de
13 P S P
cambio en el negocio
Productividad operacional
14 P S P
y de los empleados
Cumplimiento con las
15 P P
políticas internas
Personas preparadas y
16 P S S
Aprendizaje y motivadas
Crecimiento Cultura de innovación de
17 P S P
producto y negocio
58
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
requerimientos de negocio.
Optimización de costos de
productos competitivos en
Automatizar e integrar la
Reducir los costos de los
motivado y capacitado.
decisiones estratégicas
Controlar la cartera de
Mejorar y mantener la
servicios y atención al
regulaciones externas.
contable y financiera.
cadena de valor de la
funcionalidad de los
Ofrecer servicios y
Mantener personal
METAS CORPORATIVAS
el mercado
procesos.
negocios
empresa.
procesos
clientes.
cliente.
No.
METAS COBIT 5
N
10
11
12
13
1
9
No.
METAS CORPORATIVAS COBIT 5 Financiero Cliente Interna Aprendizaje y crecimiento
59
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE METAS CORPORATIVAS
MAPEO DE METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS
requerimientos de negocio.
Mejorar y mantener la
regulaciones externas.
productos y servicios.
valor de la empresa.
y financiera.
capacitado.
estratégicas
negocios
procesos
METAS CORPORATIVAS
No.
METAS COBIT 5
10
12
13
1
9
No.
Aprendizaje y
METAS CORPORATIVAS COBIT 5
Financiero Cliente Interna crecimiento
Principal P
Soporte S
No aplica
Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017
60
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
METAS DE TI COBIT
Metas de COBIT relacionadas con TI
61
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
METAS DE TI EMPRESA
Financiera 1
Evaluar el mercado de tecnologías que reduzcan los costos operacionales
Cliente 2
Dotar de mejores herramientas tecnológicas al proceso de comercialización.
3
Adquisición y requerimiento de hardware y software.
4
Reducir el tiempo de ejecución en los sistemas
5
Supervisar redes e infraestructura
6
Integrar los sistemas de soporte a los usuarios.
7
Interna Administración de cuentas y clave para usuarios.
8
Elaborar planes de contingencia
9
Mantenimiento de Equipos Informáticos
Diseñar proyectos que sirvan de base al cumplimiento de la normatividad
10
existente
Elaborar un plan de evaluación y tratamiento de incidentes y riesgos
11
informáticos.
12 Respaldo y almacenamiento de la información extraída en dispositivos.
Aprendizaje 13 Capacitar al personal de TI sobre los procesos del negocio y nuevas tecnologías.
y
crecimiento 14 Apoyar en los procesos que nos brinden una posición de competitivos
62
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE METAS TI
MAPEO DE METAS DE LAS TI COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI
Respaldo y almacenamiento de la
Supervisar redes e infraestructura
TI
posición de competitivos
METAS TI COBIT 5
software.
usuarios.
usuarios.
sistemas
1 2 3 4 5 6 7 8 9 10 11 12 13 14
METAS COBIT 5 Financiero Cliente Interna Aprendizaje y
crecimiento
Principal P
Soporte S
No aplica
63
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE PROCESOS TI
MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS
Respaldo y almacenamiento de la
Registro de información contable
Declaración y presentación de la
Requerimiento de cotizaciones a
Requerimiento de cotizaciones a
de Equipos
Plan de contingencia para
información extraída en
información financiera
siniestro o pérdida de
Emisión de facturas.
Monitoreo de redes
PROCESOS RELACIONADOS TI
Control de cartera.
información.
proveedores.
dispositivos.
informáticos
y financiera.
software.
Clientes.
usuario
Mantenimiento
METAS COBIT 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
SUPERVISAR
ORIENTAR Y
P S S S P S p
EVALUAR,
64
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE PROCESOS TI
MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS
Mantenimiento usuarios
de en
cotizaciones a Clientes.
información financiera
PROCESOS RELACIONADOS TI
Creación de cuentas y
almacenamiento de la
contable y financiera.
siniestro o pérdida de
Equipos informáticos
extraída
Emisión de facturas.
Monitoreo de redes
Soporte de usuarios
Control de cartera.
presentación de la
Requerimiento de
Requerimiento de
Requerimiento de
claves de usuario
cortafuegos para
Mantenimiento
cotizaciones a
Declaración y
Protección de
información.
proveedores.
dispositivos.
informacion
Respaldo y
hardware
software.
externos.
internos.
METAS COBIT 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
BAI01 Gestionar los Programas y Proyectos S S S
BAI02 Gestionar la Definición de Requerimiento P S P P P P
IMPLEMENTACIÓN
CONSTRUCCIÓN,
VERIFICA
P S P P P
EVALUA
CIÓN
IÓN,
65
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
METAS RELACIONADAS TI
66
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
GERENCIA DE COMERCIALIZACIÓN
GERENTE DE ADMINISTRACIÓN
GERENCIA DE LOGÍSTICA
GERENTE GENERAL
GERENCIA TI
MATRIZ RACI
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
67
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
INICIO
PROCESO
SUBPROCESO
DATOS
DOCUMENTO
DECISIÓN
FIN
68
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
69
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No
. ACTIVIDADES
1 Recibir las solicitudes de monitoreo. R
2 Autorizar el monitoreo. A
3 Validar las alertas de monitoreo. A R C
4 Soporte de primer nivel. A R
5 Verificar las conexiones eléctricas. A R
6 Revisar las conexiones físicas a la red. A R
7 Prueba de funcionamiento. A R
Emitir un informe. I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
70
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
(MONITOREO DE REDES)
DESARROLLO OPERACION
INICIO
de monitores
Solicitud de alertas
Autoriza el
monitoreo
Soporte de primer
COORDINADOR DE TI
nivel.
Verificar las
conexiones
eléctricas.
Revisar la
NO
conexión fisica a
la red.
Prueba de
funcionamiento.
¿Esta correcto?
SI
ANALISTA DE TI
Emite un reporte
Informe
FIN
71
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
72
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
Monitoreo de redes
Condición:
El monitoreo de red respondió a solo dos solicitudes, debido a que el personal está
atendiendo otros requerimientos, por lo que no cumple con la totalidad de lo requerido.
Criterio:
Establecer una arquitectura común compuesta por los procesos de negocio , la
información los datos, aplicaciones y las capas de arquitectura tecnológica de manera
eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante
creación de modelos clave y prácticas que describan las líneas de partida y las
arquitecturas objetivo. Definir los requisitos, las normas, las directrices los
procedimientos, las plantillas y las herramientas proporcionando un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la
información y generar ahorros de costes potenciales mediante iniciativas tales como la
reutilización de bloques de componentes para los procesos de construcción.
Conclusión:
Se identifica que no se respondió de una manera eficaz a las 12 solicitudes de monitoreo
de las cuales solo 2 fueron atendidas, ya que estas solo se realizan cada trimestre y no
se toma en cuenta la importancia de requerimientos técnicos y una revisión continua.
Recomendación:
Cambiar la política de monitoreo de red cada a cada vez que sea necesario (o de forma
periódica) dicho monitoreo, además realizar un plan claro y detallado para que los
usuarios se sientan seguros de que si existe un desajuste en la red en cualquier momento
será atendido.
73
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
74
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
GESTOR DE PROYECTOS DE TI
ANALISTA DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Revisar políticas de TI R
2 Verificar puertos en el sistema R C
3 Informar el funcionamiento del firewall R C
4 Revisar la eficiencia de firewall Sophos R
5 Extraer comandos de pc’s R
6 Verificar comandos maliciosos R
7 Ejecutar firewall R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
75
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO12 GESTI ONAR EL RIESGO
SISTEMA SEGURIDAD
Inicio
Revisar
políticas de
TI
Gestor de Proyectos
Verificar puertos
del sistema
Informar el
funcionamiento de
Firewall Sophos
Revisar la eficiencia
FIREWALL
SOPHOS
Extraer NO
comandos de
PC s
Comandos
maliciosos
SI
Analista TI
Eliminar comandos
maliciosos
Ejecutar Firewall
Elaborar informe
FIN
76
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
77
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
AP012 GESTIONAR EL RIESGO
Condición:
No se llevó a cabo la actualización del Firewall Shopos por esta situación se presentó
fallas el en 1 pc. Llevando hasta la encriptación de la información de la misma
Criterio:
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
Conclusión:
1. Al revisar y analizar la eficiencia del firewall Sophos en el sistema TI, identificó
incidentes en evaluaciones y procesos específicamente en software e Internet por
ello se llevó a cabo el control al acceso de la información con la finalidad de
monitorear el tráfico en internet, acceso a correos electrónicos y descargas no
permitidas en ECUACOPIA CIA. LTDA. con (contrafuegos) Firewall Sophos
adquirido por la empresa.
Recomendación:
1. Integrar a todas las pc’s de la empresa con un firewall en su hardware.
2. Verificar constantemente la eficiencia de Firewall en su software, para evitar
malware, virus informáticos y riesgos de perdida de información en los sistemas
de ECUACOPIA CIA. LTDA.
3. Asegurar que la información que se extraiga en los medios electrónicos, puertos
USB y otros dispositivos de entrada externos sea supervisada y controlada.
78
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
79
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
Se determina e identifica la información que se va a
1 A
respaldar en los equipos de las diferentes áreas.
Obtener una autorización de la gerencia técnica para operar,
2 implementar y operar el sistema de seguridad de C R
información.
Se define un sistema de seguridad de información de acuerdo
3 C R
con la política de la empresa.
Alinear el sistema de seguridad de la información con el
4 C R
enfoque global de la gestión de la seguridad de la empresa.
Prepara una declaración de la información que será
5 C R
respaldada.
6 Verifica la información para las copias de restauración. C
Si el archivo del servidor indica un error se realiza una copia
7 C R
por segunda vez.
Se graba las copias de respaldos de acuerdo a las políticas, en
8 C R
un dispositivo de almacenamiento.
Se almacena la copia y para el caso de ser magnético se
9 C
marca con la fecha respectiva, usuario y nombre del equipo.
Comunicar el enfoque del sistema de seguridad de la
10 C R
información.
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.
80
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO 13 GESTIONAR LA SEGURIDAD
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Identificar archivos de
respaldo
Autorización
Definición de sistema de
seguridad
COORDINADOR DE TI
¿Existe error de
FIN
información?
SI
Grabar Copias
Almacena Copias
ANALISTA DE TI
81
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
14 Disponibilidad de
Nivel de satisfacción de los usuarios del negocio y 52
información útil y relevante Número de respaldos realizados X 100 𝑥100 14,69%
para la toma de decisiones disponibilidad de la información de gestión. Número de respaldos planificados 354
82
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
APO13 RESPALDO DE INFORMACIÓN
Respaldos de información
Condición:
Se evidencio que no se cumplió con lo planificado en la toma de copias de seguridad,
ya que solo se han realizado 52 respaldos de las mismas, además no existe un adecuado
control en la toma de copias de seguridad y un almacenamiento seguro, existe
almacenamiento en discos duros externos, sin las medidas físicas y de seguridad.
Tampoco se evidenció alertas automáticas de éxito o fallo de las copias tomadas, así
como no se realiza pruebas sobre toda la información capturada por componente.
Criterio:
Definir, operar y supervisar un sistema para la gestión de la seguridad de la
información.
Conclusión:
De acuerdo a lo establecido en manual de políticas y lineamiento del Uso de Tecnología
Informática se establece que se debe de realizar respaldos de información de forma
diaria es decir los 354 días laborables del año, se observó que la compañía incumple
esta política y solo se realiza de manera semanal es decir 52 veces año, es por eso que
han generado problemas en los respaldos de información dentro de la organización.
Además la información es guardada por cada uno de los departamentos en discos duros
externos y no se manejan el sistema de seguridad de información por la nube.
Recomendación:
Mantener tres copias del archivo: la original y dos respaldos. Esto disminuirá la
probabilidad de perder información por tener unidades dañadas por malware o
problema físico.
Los empleados deben de cumplir las políticas acordadas en los manuales debido a
que existe un alto riesgo de pérdida de información.
Deberá tener un almacenamiento de los Backups en centros adecuados con
seguridad física y ambiental.
Mantener una de las copias “fuera de sitio” (offsite), es decir, en el caso de la
empresa cuente con presupuesto adquiera el servicio con el que cuenta MySQL-
SQLM proveído por ORACLE.
Realizar pruebas periódicas sobre cada componente copiado.
83
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
Requerimiento de hardware (Infraestructura
META TI
TI).
84
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
Inicio
Recepción de
Gerente TI
solicitudes de
Hardware
Solicitudes
Análisis de las
solicitudes
Hardware
Gestionar los
riesgos de los
requerimientos
Estudiar la
viabilidad para
la adquisición
Gestor de Proyectos
Elección de los
Hardware
NO
Aprobación de
la solicitud
¿Aprueba? SI
NO
FIN
Solicitud
aprobada
Coordinandor TI interno
¿Si esta
correcta?
SI
Compra de los
hardware
FIN
85
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
GESTOR DE PROYECTOS
COORDINADOR DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Recepción de solicitudes de requerimiento de Hardware. A I C
2 Análisis de las solicitudes requerimiento de Hardware. A R
3 Gestionar los riesgos de los requerimientos. A R I
4 Estudiar la viabilidad para la adquisición A R I
5 Elección del hardware. A R
6 Aprobación de la solicitud. A R C
7 Compra de los hardware A R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
86
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
DOMINIO 0 1 2 3 4 5
BAI 02 Gestionar la definición de requisitos. 16,67% 16,67%
87
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
Condición
Criterio
Identificar soluciones y analizar requerimientos antes de la adquisición para asegurar
que estén en línea con los requerimientos estratégicos de la organización y que cubren
los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Coordinar con las partes relacionadas afectadas la revisión de las opciones viables,
incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los
requerimientos y soluciones propuestas.
Conclusión:
El 16.67% de hardware han sido entregados mediante actas para el funcionamiento
correcto dentro de la organización por lo que el 83.33% de hardware aún no ha sido
adquirido.
Recomendación:
Se recomienda que se realice un control adecuado de las adquisiciones de hardware
mismas que estarán respaldadas por actas de entrega, además de que deberán poner
una persona responsable de los requerimientos para que la misma lleve un adecuado
control sobre el funcionamiento y manejo de los mismos.
Se debe realizar un seguimiento a los inventarios de hardware para que reflejen
información veraz.
88
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
OPERACIÓN SERVICIO Y SOPORTE
89
ECUACOPIA CIA. LTDA.
AUDITORIA INFORMÁTICA ProgA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)
Inicio
GERENTE TI
Registro de incidencia
en el Sistema
Coordinandor TI interno
Generar ticket de
mantenimiento
Asignación de
responsable y
envió de
notificación
Verifica si el
quipo tiene
garantía
Esta en
SI
garantía?
NO
Envío notificación
Buscar y analizar
la solución
Analista TI
Efectiviza la
garantía
Aplicar y realizar
pruebas de
verificación
SI
Fin
Genera reporte de
Resultados
mantenimiento y
satisfechos ?
envió notificación
Cierre de ticket
Fin
90
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Registro de incidencia en el Sistema para genera un ticket de mantenimiento A R
2 asigna responsable para el mantenimiento R
3 Verifica si el equipo tiene garantía C R
Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de
4 TI A R
5 Buscar y analizar la solución C R
6 Aplicar y realizar pruebas de verificación C R
Si el equipo es reparado genera un reporte de mantenimiento y notifica al
7 coordinador de TI R
Cerrar ticket en Sistema de Registro de Requerimientos ingresando el
8 motivo de cierre. A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
91
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
92
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Condición
Se evidencio que no se ha realizado mantenimientos preventivos de acuerdo a lo
planificado esto produce aumento de fallos en el desempeño y rendimiento de los
mismos.
Criterio
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes.
Recuperar el servicio normal: gestionar y complementar las peticiones de usuario; y
registrar, diagnosticar y resolver incidentes.
Conclusión:
Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas
por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los
mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el
sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año
produciendo aumento de daños en los equipos dejando varios equipos sin
funcionamiento o concluida su vida útil
Recomendación:
93
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
OPERACIÓN SERVICIO Y SOPORTE
94
ECUACOPIA CIA. LTDA.
AUDITORIA INFORMÁTICA ProgA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS03 GESTIONAR PROBLEMAS ( SOPORTE USUARIOS INTERNOS)
Inicio
Registra solicitud
GERENTE TI
de soporte sist. RR
Generar ticket de
solicitud de soporte
Coordinandor TI interno
Identificación de
problema
direccionar a
responsable
Analiza
requerimiento y
valida informacion
Busca y analiza
solución
NO
Aplica solución
Analista TI
Realiza pruebas de
verificación
SI
Envío de
Recibe la
notificación al
notificacion de
usuario y cierra
cierre de ticket
ticket
Fin
95
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
Registrar solicitud de soporte en el Sistema de Registro de
Requerimientos seleccionando el TIPO DE
1 A C R
REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
El Sistema de Registro de Requerimientos genera un ticket de
2 A R
soporte y envía notificación al mail del usuario.
3 Identificación del problema R
4 Direcciona el responsable R
5 Analizar requerimiento y validar la información R
C Buscar y analizar la solución C R
7 Aplicar y realizar pruebas de verificación R
8 Cerrar ticket en Sistema y envió de notificación al usuarios A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
96
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
97
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
DSS03 GESTIONAR PROBLEMAS.
Condición
Los requerimientos para dar soporte a los usuarios solo han sido atendidos en un
23.53%.
Criterio
Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes
recurrentes. Proporcionar recomendaciones de mejora.
Conclusión:
El personal de la empresa presentó quejas de soporte técnico que realiza el departamento
de TI, debido a que tardan horas en solucionar los problemas y en algunos casos no han
sido atendidos, generando así demora el cumplimiento de sus actividades. Al llevar
acabo el análisis del proceso de altas y bajas de usuarios identificamos que no existe un
proceso adecuado para gestionar los requerimientos de soporte a los usuarios
Observando que existe tan solo una persona encargada para resolver incidentes que se
presenten en la compañía.
Recomendación:
98
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
OPERACIÓN SERVICIO Y SOPORTE
99
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Definir la política de plan de contingencia y alcance. A C
2 Mantener una estrategia para recuperar la información. R C
3 Desarrollar e implementar una respuesta para la información. R C
4 Ejercitar, probar y revisar el plan. A C
5 Revisar, mantener y mejorar el plan. I R
6 Gestionar acuerdos de respaldo. I R
7 Ejecutar revisiones de información recuperada. I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
100
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS04 GESTIONAR LA CONTINUIDAD
Inicio
Inicio
Definir
Definir políticas
políticas de
de
Plan
Gerente TI
Plan
Alcance
Alcance de
de plan
plan
Estrategia
Estrategia para
para
recuperación
recuperación dede
información
información
Coordinandor TI interno
Desarrollar
Desarrollar ee
implementar
implementar
respuestas
respuestas
Ejercitar,
Ejercitar, aprobar
aprobar yy
revisar
revisar plan
plan
¿Plan
¿Plan aprueba?
aprueba? SI
NO
FIN
FIN
Revisar,
Revisar, mantener
mantener yy
mejorar
mejorar el
el plan
plan
Gestionar
Gestionar acuerdos
acuerdos
Analista TI
de
de respaldo
respaldo
Ejecutar
Ejecutar revisiones
revisiones
de
de información
información
recuperada
recuperada
Fin
101
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
102
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
DSS02 GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL
SERVICIO.
103
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DOMINIO
ENTREGA, SERVICIO, SOPORTE
104
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Solicitud de creación de claves A I R
2 Creación de usuarios A C R
3 Asignación de Roles R
4 Realizar el oficio R
5 Verifica los roles y restricciones C R
6 Entrega de claves A R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.
105
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS 05 GESTIONAR EL SERVICIO DE SEGURIDAD
(Creación de Claves y Usuarios)
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Solitud de creación de
claves
Autorización
Ingresar al Sistema
COORDINADOR DE TI
NO
Crear usuario
Asignación de roles y
claves
Asignación de Clave
Personal
¿Esta correcto?
ANALISTA DE TI
SI
Entrega de claves al
nuevo personal
FIN
106
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
107
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD
Condición:
No se maneja un reporte mensual que enliste y verifique los usuarios existentes y de un
responsable asignado a comprobar el personal que se encuentra laborando y requiere de
una clave de acceso.
Criterio:
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.
Conclusión:
La falta de un procedimiento y la asignación de un responsable que aplique las
regulaciones corporativas, puede generar duplicidad de usuarios con perfiles de acceso
no requeridos a sus funciones, y hasta existencias de cuentas activas para ex
funcionarios de la organización. Esto puede ocasionar un riesgo elevado de acceso o
transmisión de claves de usuarios, inclusive la utilización de usuarios no
correspondientes.
Recomendación:
108
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS
109
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
15.00%
5.00%
0.00%
1
110
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN GENERAL
Antecedente
El 100% de los procesos evaluados se encuentran en un nivel ejecutados. Es decir que
el proceso implementado alcanzo su propósito, pero no se encuentran debidamente
administrados, no cuenta con límites, ni con mejora continua.
5. Como adicional detectamos que el proveedor del sistema financiero PAC (Provedatos)
cuenta con privilegios de administración y acceso directo al ERP PAC donde se
registran las principales transacciones de la compañía sin un adecuado monitoreo por
parte de la compañía, esta situación incrementa el riesgo de la manipulación directa y/o
extracción de información sensible de la compañía.
111
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
RECOMENDACIÓN
1. Mejorar el plan estratégico de TI, de manera que se alineen con los objetivos del
negocio; para ello deberá definirse una visión holística del negocio y el ambiente de
TI actual.
2. El departamento de TI debería presupuestar la construcción de componentes de la
arquitectura de la empresa, incluyendo la provisión de servicios y las capacidades
relacionadas para proveer una rápida, confiable y eficiente respuesta a los objetivos
estratégicos.
3. Asegurar que los servicios de TI estén alineados con los requerimientos del negocio,
es necesario implementar procedimientos formales que incluyan análisis costo-
beneficio, análisis que determine la alineación con las estrategias del negocio,
evaluación de los riesgos, niveles de servicio para los servicios de TI e identificación
del impacto en el portafolio de servicios.
4. Considerando los cambios tecnológicos constantes es recomendable estar a la
vanguardia de los mismos y proveer de una capacitación continua al personal
encargado de gestionar la tecnología de la información. Esta capacitación deberá
consistir en proveer a los empleados las bases de las áreas donde está faltando
conocimiento, incluyendo conocimiento en la administración de proyectos y técnico.
Adicionalmente se puede implementar como una buena práctica el entrenamiento
cruzado que consiste en tener más de una persona propiamente entrenada para
desempeñar un procedimiento o trabajo específico; de esta manera se crea la ventaja
de no depender de una sola persona y puede ser la base de un plan de sucesión de
cargo.
5. Definir responsabilidades con respecto a las estrategias de recuperación, existe
responsabilidad tanto a nivel de los líderes de las unidades administrativas, líderes de
sistemas y de la gerencia.
6. Inventariar los procesos y catalogar con respecto a la criticidad desde el puno de vista
de pérdidas económicas, incumplimientos regulatorios en caso de fallos, para esto se
debe evaluar con criterios definidos y claros para todos los procesos.
7. Identificar para los procesos críticos de los recursos de TI que los soportan e identificar
los tiempos de recuperación.
8. Implementar un procedimiento aprobado por la Alta Gerencia de requerimiento de
acceso al ERP PAC y base de datos en el cual se especifique el motivo del acceso,
tiempo de acceso y persona responsable, el acceso deber ser supervisado por personal
de ECUACOPIA CIA. LTDA.
9. Realizar una depuración de los usuarios del proveedor.
112