Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Guía de actividades y rúbrica de evaluación – Fase 2 –
Planeación de auditoria

1. Descripción general del curso

Escuela o Unidad Escuela de Ciencias Básicas, Tecnología e

Académica Ingeniería
Nivel de Profesional
formación
Campo de Formación disciplinar
Formación
Nombre del Auditoría de sistemas
curso
Código del curso 90168
Tipo de curso Teórico Habilitable Si ☒ No ☐
Número de 3
créditos

2. Descripción de la actividad

Tipo de Número de
Individual ☐ Colaborativa ☒ 2
actividad: semanas
Momento de
Intermedia,
la Inicial ☐ ☒ Final ☐
unidad: 1
evaluación:
Peso evaluativo de la
Entorno de entrega de actividad:
actividad: 120 puntos que
Seguimiento y evaluación
corresponde a un 24%
Fecha de inicio de la
Fecha de cierre de la actividad:
actividad: 17 de Octubre de
31 de Octubre de 2018
2018
Competencia a desarrollar:

El estudiante identifica los principales problemas y las necesidades de

una empresa en el uso de TI.

El estudiante identifica las vulnerabilidades, amenazas y riesgos a que

se ve enfrentada la empresa.
El estudiante elabora el plan de auditoría donde identifica el objetivo
de la auditoría y los alcances de acuerdo a los riesgos de la empresa

El estudiante elabora el programa de auditoría donde muestra el

estándar que aplicará y asigna tareas específicas a cada integrante del
grupo.

Temáticas a desarrollar:

Conceptos de Auditoría Informática, Metodología de la Auditoría

Pasos, fases o etapa de la estrategia de aprendizaje a

desarrollar

Fase de Planeación de la auditoría

Actividades a desarrollar

Cada estudiante debe identificar y describir las vulnerabilidades,

amenazas y riesgos en la empresa que propuso en la actividad inicial
(mínimo 15), con esta información debe elaborar un cuadro con cuatro
columnas, en la primera identificando las vulnerabilidades o debilidades
de la empresa en informática o sistemas, en la segunda identificando
las amenazas o factores que puedan explotar las vulnerabilidades
existentes para cometer ataques, en la tercera columna los riesgos
donde se describa específicamente como se han presentado estos
ataques o amenazas en la empresa evaluada y en la cuarta columna en
que activos informáticos (hardware, redes y comunicaciones, software,
personal, seguridad física, seguridad lógica, usuarios, sistema de
información, sistemas operativos, bases de datos, equipos de
protección eléctrica, otro) se están presentando.

De acuerdo a los resultados del cuadro anterior entregado por cada

estudiante en el foro, se debe elaborar un cuadro consolidado con todas
las de las vulnerabilidades, amenazas y riesgos informáticos
agrupándolos de acuerdo al tipo de activo informático donde se
presentan, esto servirá posteriormente para definir el objetivo de la
auditoría en el plan de auditoría. Para esta actividad se requiere que
cada estudiante publique en el foro sus aportes individuales, en caso
de que se repitan solo deben aparecer una vez en el cuadro
consolidado.

El grupo colaborativo una vez seleccionada la empresa a auditar, debe

elaborar un plan de auditoría que contenga los siguientes ítems:
Objetivo de la auditoria de acuerdo a los riesgos detectados donde se
menciona los activos que se evaluarán, los alcances de la auditoria
donde se definan que aspectos serán evaluados de cada activo
informático, la metodología con los pasos que se llevará a cabo, los
recursos necesarios para la auditoría y un cronograma de actividades
de acuerdo al tiempo que dura el curso. El plan de auditoría solo debe
definirse para la empresa que haya sido seleccionada para la auditoría.

El grupo colaborativo deberá consultar la estructura del estándar COBIT

en la versión disponible 4.1 (mirar inicialmente el blog), identificando
dentro de esta norma los dominios, procesos y objetivos de control, y
de ellos elegir mínimo 5 procesos que pueden estar en cualquiera de
los dominios y que deben tener relación directa con el objetivo y
alcances de la auditoría. Como fruto de este trabajo se debe entregar
el programa de auditoría donde se seleccione inicialmente los procesos
y objetivos de control que estén en concordancia con el objetivo de la
auditoria y los alcances definidos en el plan de auditoría y
posteriormente cada integrante del grupo seleccione por lo menos uno
de los procesos que posteriormente será evaluado.

Diligenciar las actividades realizadas semanalmente en el e-portafolio

El trabajo deberá desarrollarse en el entorno de

aprendizaje colaborativo en el foro creado para el trabajo,
donde cada uno de los estudiantes deberá participar
Entornos
activamente en cada uno de los puntos solicitados de
para su
manera individual y al final participará en la consolidación
desarrollo
de los aportes individuales en un solo trabajo para su
entrega final.

Individuales:
Productos
a entregar Cuadro de vulnerabilidades, amenazas y riesgos para
por el cada uno de los recursos o activos informáticos.
estudiante
Colaborativos:
Trabajo consolidado de los integrantes que participaron
en la actividad con el cuadro consolidado de
vulnerabilidades, amenazas y riesgos, el plan de auditoría
y el programa de auditoría con los dominios, procesos y
objetivos de control de acuerdo al estándar COBIT y que
estén relacionados directamente con los objetivos y
alcances definidos en el plan de auditoría.

El Producto a entregar es un documento en formato .DOC

o .PDF que incluya:
 Portada con nombres de los integrantes que
participaron en el trabajo.
 Introducción
 Objetivos
 Informe de construcción grupal.
 Conclusiones
 Referencias bibliográficas
 Número máximo de páginas: sin límite

El trabajo final será entregado por el líder del grupo en el

entorno de Evaluación y seguimiento.
 Lineamientos generales del trabajo colaborativo para el
desarrollo de la actividad

Actividades Previas:
1. Cada integrante del pequeño grupo colaborativo:
o Realizar una lectura reflexiva de los temas
correspondientes a la Unidad 1.
o Leer, analizar e interpretar las instrucciones
de la guía de actividades.
o Revisar a rúbrica de evaluación.
2. Realizar un debate en grupo para definir cómo se va
a organizar y desarrollar el trabajo.
3. Elegir un líder de grupo que será responsable de
subir un único trabajo final.

Pasos para el desarrollo del trabajo de

reconocimiento:
Planeación
de 1. Realizar la lectura de los temas de la primera
actividades unidad correspondientes a los conceptos generales de
para el auditoría de sistemas
desarrollo 2. Identificar las vulnerabilidades, amenazas y/o
del trabajo riesgos existentes en la empresa propuesta por
colaborativo cada estudiante
3. Consolidar el cuadro de vulnerabilidades,
amenazas y/o riesgos existentes para definir el
objetivo de la auditoría
4. Seleccionar la empresa que va a ser auditada
dentro de las propuestas enviadas
5. Diseñar el plan de auditoría de acuerdo a los
riesgos detectados en la empresa que ha sido
seleccionada
6. De acuerdo al objetivo de la auditoría, elegir los
dominios, procesos y objetivos de control de la norma
CobIT que será aplicada.

Para realizar estas actividades deben revisar el blog

del curso y el estándar pueden bajarlo directamente
de internet.
 Es importante que los estudiantes realicen sus
aportes efectivos en el foro colaborativo tanto
en la parte individual como en la colaborativa
desde su apertura ya que no se aceptarán
intervenciones de última hora.
El único rol indispensable para el trabajo colaborativo
Roles a es el rol de líder quien será la persona encargada de
desarrollar la entrega de los trabajos finales resultado del trabajo
por el colaborativo.
estudiante
dentro del Los demás integrantes deben ser encargados de
grupo realizar aportes efectivos tanto en el trabajo individual
colaborativo como en el colaborativo durante el tiempo que dure la
actividad.
Roles y responsabilidades

Compilador: Cuya función es consolidar el

documento que se constituye como el producto final
del debate, teniendo en cuenta que se hayan incluido
los aportes de todos los participantes y que solo se
incluya a los participantes que intervinieron en el
proceso. Debe informar a la persona encargada de las
Roles y alertas para que avise a quienes no hicieron sus
responsabili participaciones, que no se les incluirá en el producto a
dades para entregar.
la
producción Revisor: Cuya función es asegurar que el escrito
de cumpla con las normas de presentación de trabajos
entregables exigidas por el docente.
por los
estudiantes Evaluador: Cuya función es de asegurar que el
documento contenga los criterios presentes en la
rúbrica. Debe comunicar a la persona encargada de
las alertas para que informe a los demás integrantes
del equipo en caso que haya que realizar algún ajuste
sobre el tema.

Entregas: Cuya función es alertar sobre los tiempos

de entrega de los productos y enviar el documento en
 los tiempos estipulados, utilizando los recursos
destinados para el envío, e indicar a los demás
compañeros que se ha realizado la entrega.

Alertas: Cuya función es asegurar que se avise a los

integrantes del grupo de las novedades en el trabajo
e informar al docente mediante el foro de trabajo y la
mensajería del curso, que se ha realizado el envío del
documento.

Uso de la norma APA, versión 3 en español (Traducción

de la versión 6 en inglés)

Las Normas APA es el estilo de organización y

presentación de información más usado en el área de
las ciencias sociales.

Estas se encuentran publicadas bajo un Manual que

Uso de permite tener al alcance las formas en que se debe
referencias presentar un artículo científico.

Aquí podrás encontrar los aspectos más relevantes de

la sexta edición del Manual de las Normas APA, como
referencias, citas, elaboración y presentación de tablas
y figuras, encabezados y seriación, entre otros.

Puede consultar como implementarlas ingresando a la

página http://normasapa.com/
En el acuerdo 029 del 13 de diciembre de 2013, artículo
99, se considera como faltas que atentan contra el
orden académico, entre otras, las siguientes: literal e)
“El plagiar, es decir, presentar como de su propia
autoría la totalidad o parte de una obra, trabajo,
Políticas de documento o invención realizado por otra persona.
plagio Implica también el uso de citas o referencias faltas, o
proponer citad donde no haya coincidencia entre ella y
la referencia” y liberal f) “El reproducir, o copiar con
fines de lucro, materiales educativos o resultados de
productos de investigación, que cuentan con derechos
intelectuales reservados para la Universidad.
Las sanciones académicas a las que se enfrentará el
estudiante son las siguientes:

a) En los casos de fraude académico demostrado en

el trabajo académico o evaluación respectiva, la
calificación que se impondrá será de cero punto cero
(0.0) sin perjuicio de la sanción disciplinaria
correspondiente.
b) En los casos relacionados con plagio demostrado
en el trabajo académico cualquiera sea su naturaleza,
la calificación que se impondrá será de cero punto cero
(0.0), sin perjuicio de la sanción disciplinaria
correspondiente.
 4. Formato de Rubrica de evaluación

Formato rúbrica de evaluación

Actividad Actividad
Tipo de actividad: ☐ ☒
individual colaborativa
Momento de la Intermedia,
Inicial ☐ ☒ Final ☐
evaluación unidad 1
Aspectos Niveles de desempeño de la actividad individual
Puntaje
evaluados Valoración alta Valoración media Valoración baja
El estudiante
entrega el cuadro
El estudiante
de
entrega el cuadro
vulnerabilidades,
de
amenazas y El estudiante NO
Cuadro de vulnerabilidades,
riesgos entrega el cuadro
vulnerabilidade amenazas y riesgos
detectados en la de
s, amenazas y detectados en la 40
organización que vulnerabilidades,
riesgos organización menos puntos
propuso con amenazas y riesgos
detectados de 15 y solo lo
mínimo 15 y lo
entrega al finalizar
hace tres días
la actividad
antes de finalizar
la actividad
(Hasta 40 (Hasta 20
(Hasta 0 puntos)
puntos) puntos)
Aspectos Niveles de desempeño de la actividad colaborativa
Puntaje
evaluados Valoración alta Valoración media Valoración baja
El estudiante
participa en la El estudiante
elaboración del participa solo con
Cuadro El estudiante NO
cuadro su aporte individual
consolidado participa en la
consolidado de y no en el cuadro
de elaboración del
vulnerabilidades, consolidado de
vulnerabilidade cuadro consolidado 20
amenazas y vulnerabilidades,
s, amenazas y de puntos
riesgos con su amenazas y riesgos
riesgos vulnerabilidades,
aporte individual detectados o lo
detectados amenazas y
y la consolidación hace solo al
inicialmente riesgos.
tres días antes finalizar la
de finalizar la actividad.
actividad
 (Hasta 20 (Hasta 10
(Hasta 0 puntos)
puntos) puntos)
El estudiante
participa
efectivamente en El estudiante
la elaboración del participa en la
plan de auditoría, elaboración del
y el objetivo de plan de auditoría
El estudiante NO
la auditoría está solo con algunos de
participa
acorde a las los ítems o solo
activamente con
Plan de vulnerabilidades, envía comentarios 30
aportes en el plan
Auditoría amenazas y en la elaboración puntos
de auditoría
riesgos del plan de
detectados, auditoría y solo lo
participa tres hace al final de la
días antes de actividad
finalizar la
actividad
(Hasta 30 (Hasta 15
(Hasta 0 puntos)
puntos) puntos)
El estudiante
El estudiante participa en la
participa elaboración del
efectivamente en programa de
la elaboración del auditoría
programa de seleccionando
auditoría dominios, procesos
El estudiante NO
seleccionando y objetivos de
participa
dominios, control pero no
Programa de efectivamente en la 30
procesos y están de acuerdo
Auditoría elaboración del puntos
objetivos de con el objetivo de
programa de
control la auditoria o solo
auditoría
relacionados con participa con
el objetivo de la comentarios en la
auditoría tres elaboración del
días antes de programa de
finalizar la auditoría y lo hace
actividad al finalizar la
actividad
(Hasta 30 (Hasta 15
(Hasta 0 puntos)
puntos) puntos)
120
Calificación final
puntos