La empresa Avidesa de Occidente hace parte del grupo MacPollo se encarga del proceso
de aves, desde su nacimiento hasta su proceso de beneficio para obtener el producto
terminado.
Coordinación TI: Son las personas que presentan informes directamente al director del
área, velan por que el personal tenga los recursos para el cumplimiento de labores, se
cumplan las tareas en sus plazos establecidos y determinar el personal que estará disponible
en los diferentes momentos operacionales de la planta
Supervisores TI: Son las personas que están en campo junto con los auxiliares de TI, su
función es garantizar que los procesos se lleven a cabo con todos los estándares
establecidos por parte de los coordinadores y director del dpto.
Profesionales TI: En este grupo se encuentran las personas que desarrollan software para la
compañía y gestionan las redes de comunicaciones, presentan informes directamente al
director del área.
Auxiliares TI: Son las personas encargadas del soporte final al usuario en sitio, realizan
mantenimiento físico a los diferentes recursos tecnológicos de la compañía (PC, servidores,
racks, switches, NAS)
Atención al usuario
Control de navegación
Control de firewall
Control de acceso a espacio definido para servidores
Control de acceso a los diferentes racks de la planta física
Desarrollo de software
Gestión de la seguridad de la información de los usuarios
Mantenimiento general de la red mpls
Gestión de servidor de correo electrónico
Gestión de servidores de antivirus
Gestión de servidores de telefonía
Activos Informáticos
En el cuadro anterior se puede evidenciar que los activos informáticos más impactados por
los problemas detectados inicialmente son: la seguridad lógica, el software dispuesto para
seguridad del área y las redes en su orden. En este caso el Objetivo de la auditoria sería:
Evaluar la seguridad lógica, el software instalado y el funcionamiento de la red y los
servicios de red en la empresa Avidesa de Occidente S.A de la ciudad de Buga.
Objetivo 1: Conocer la seguridad lógica, el software dispuesto para seguridad del área, y el
funcionamiento de la red de datos para conocer los problemas existentes, analizando las
vulnerabilidades y amenazas que originan los riesgos con el propósito de obtener soluciones
viables.
Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se desarrollan en
la auditoria y la asignación de los recursos para cada actividad en el tiempo establecido,
elaborar los instrumentos de recolección de información que permitan conocer otros riesgos
que no han sido detectados inicialmente, diseñar las pruebas que permitan evidenciar los
riesgos, y determinar del estándar CobIT cuales de los procesos tienen relación directa con
el objetivo general y que serán evaluados.
Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de información
que se han diseñado para encontrar los riesgos existentes para los procesos de CobIT
relacionados directamente con los activos a evaluar, y aplicar las listas de chequeo para
verificar los controles existentes (seguridad lógica, el talento humano (empleados, seguridad,
usuarios, empleados área informática), el software instalado y el funcionamiento de la red y
los servicios de red), posteriormente hacer el análisis y evaluación de riesgos para determinar
las posibles causas que originan los riesgos y valorar los riesgos por probabilidad e impacto
para buscar las mejores soluciones que permitan mitigarlos.
Objetivo 4: Determinar los hallazgos encontrados cada uno con sus pruebas, elaborar el
dictamen de la auditoría para cada proceso de CobIT evaluado que permita medir el nivel de
madurez de la empresa, y así elaborar el informe final de los hallazgos encontrados además
de las recomendaciones de solución de esos problemas en la empresa.
Para este caso, los alcances de la auditoria serán:
De la seguridad lógica:
- La asignación de login y password para acceso a las áreas.
- El control de acceso a la información confidencial de la empresa
- El cambio periódico de claves y las claves usadas por los usuarios
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de normas de cableado estructurado
- La seguridad de acceso a los elementos de la red
- Configuración de los servicios de red disponibles
- La administración de los usuarios en la red
- Administración de seguridad en la red
Del talento humano
- Cumplimiento de funciones por los empleados del área informática
- Contratación de personal de seguridad para la empresa
- Controles de las visitas y acompañamiento de visitantes al interior de la empresa
- Responsables de la seguridad física y lógica
- Responsables de información sensible de la empresa
- Formación en seguridad de los empleados
la seguridad física se evaluará:
- Los sistemas de seguridad existentes en la empresa
- El personal de seguridad en la entrada, salida y al interior de la empresa
- La demarcación de oficinas y zonas restringidas y el mapa de ubicación de las oficinas
Metodología Objetivo 1
Conocer la seguridad lógica, el software dispuesto para seguridad del área, y el
funcionamiento de la red de datos para conocer los problemas existentes, analizando las
vulnerabilidades y amenazas que originan los riesgos con el propósito de obtener
soluciones viables.
Metodología Objetivo 2.
Elaborar el plan de auditoría para determinar actividades que se desarrollan en la auditoria y
la asignación de los recursos para cada actividad en el tiempo establecido, elaborar los
instrumentos de recolección de información que permitan conocer otros riesgos que no han
sido detectados inicialmente, diseñar las pruebas que permitan evidenciar los riesgos, y
determinar del estándar CobIT cuales de los procesos tienen relación directa con el objetivo
general y que serán evaluados.
Metodología Objetivo 4