UNIPANAMERICANA

FACULTAD DE INGENIERIA DE SISTEMAS

INFORME DE AUDITORIA DRIVE CAR - 2020

Bogotá – Colombia

2020
 FORMULACIÓN DEL PROBLEMA.

¿Cuáles serían los beneficios que se ganarían al ejecutar una Auditoría Informática al
Sistema Informático de Drive Car que es una empresa que oferta actividades de ocio en el
mundo del motor y además oferta cursos de conducción?

 DELIMITACIÓN DEL PROBLEMA.

Ubicación del problema:

o Objeto de Estudio: Sistemas Informáticos Drive Car
o Campo de acción: Instalaciones de la empresa Drive Car ubicada en la ciudad de
Bogotá.
o Espacio y tiempo: Áreas tanto Operativas, Administrativas y Financieras de la empresa,
con el fin de determinar como mejorar las actividades que se evidencien en el
transcurso de la auditoria, Año 2020.

 Alcance.

o Se verificarán todos los elementos tecnológicos que involucren tanto software como
hardware de la compañía desde el área de IT.

o Se examinarán los registros de creación de usuarios, asignación de roles y niveles de

permisos tanto de acceso físico como lógico en los sistemas de la empresa.

o Se revisará si la empresa cuenta con algún mecanismo de recuperación o reparación de

fallas que se puedan ocasionar en el caso de suceder este tipo de eventos.
 OBJETIVOS.

 Objetivo General.

Verificar por medio de una Auditoria de Sistemas Informáticos las practicas

implementadas en Drive Car con el fin de identificar las oportunidades de mejora o
elementos que pueden ser sujetos de una falla o amenaza en la operación de la compañía.

 Objetivos Específicos.

o Revisar los procesos, procedimientos y normas que se efectúan a diario y poder

fortalecerlas luego de la finalización del proceso de auditoria.
o Identificar por medio del desarrollo de actividades propias de la Auditoria de Sistemas,
el lograr evidenciar hallazgos que correspondan a las normas que esto dicta.
o Generar un informe que permita a la gerencia de la compañía tomar tanto decisiones
como los correctivos necesarios para garantizar que la información y procesos propios
de la empresa cumplan con la normatividad y buenas practicas del uso de las tecnologías
de la información.
Tabla de Contenido
 FORMULACIÓN DEL PROBLEMA...................................................................................................................2
 DELIMITACIÓN DEL PROBLEMA...................................................................................................................2
 ALCANCE................................................................................................................................................................2
 OBJETIVOS............................................................................................................................................................3
 OBJETIVOS ESPECÍFICOS.................................................................................................................................3
MARCO TEÓRICO.........................................................................................................................................................5
 AUDITORÍA INFORMÁTICA.............................................................................................................................5
 TIPOS DE AUDITORÍA INFORMÁTICA..........................................................................................................6
PLANIFICACIÓN Y EJECUCIÓN DE LA AUDITORÍA INFORMÁTICA...........................................................8
 CONOCIMIENTO PRELIMINAR.......................................................................................................................8
 AUDITORÍA DE SISTEMAS INFORMÁTICOS...............................................................................................8
 DESIGNACIÓN DEL EQUIPO DE TRABAJO..................................................................................................9
 TIEMPO UTILIZADO...........................................................................................................................................9
1. AMBIENTE INTERNO........................................................................................................................................10
2. ESTABLECIMIENTO DE OBJETIVOS...........................................................................................................10
3. IDENTIFICACIÓN DE RIESGOS......................................................................................................................10
4. EVALUACIÓN DE RIESGOS.............................................................................................................................10
5. RESPUESTA AL RIESGO...................................................................................................................................10
6. ACTIVIDADES DE CONTROL..........................................................................................................................11
7. INFORMACIÓN Y COMUNICACIÓN.............................................................................................................11
8. MONITOREO........................................................................................................................................................11
CARTA A GERENCIA.................................................................................................................................................13
I. ANTECEDENTES.................................................................................................................................................13
II. OBJETIVOS DE LA AUDITORÍA DE SISTEMAS INFORMÁTICOS........................................................14
OBJETIVOS ESPECÍFICOS........................................................................................................................................14
III. ALCANCES DEL PROYECTO......................................................................................................................14
IV. METODOLOGÍA.............................................................................................................................................15
V. TIEMPO Y COSTO (VER TABLA 2: TIEMPO Y COSTO DESIGNADO PARA LA AUDITORÍA.)..........110
RECOMENDACIONES..............................................................................................................................................111
TABLA 1: INDICADORES INFORMÁTICOS..........................................................................................................113
TABLA2: TIEMPO Y COSTO DESIGNADO PARA LA AUDITORÍA....................................................................114
........................................................................................................................................................................................115
ANEXOS........................................................................................................................................................................115
TABLA3: EDR DRIVE CAR.........................................................................................................................................115
REFERENCIAS...........................................................................................................................................................116
 MARCO TEÓRICO

 AUDITORÍA.

Según José Antonio Echenique García, Auditoría: “Es un examen crítico que se realiza
con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo, y
determinar cursos alternativos de acción para mejorar la organización, y lograr los
objetivos propuestos.

La palabra auditoría viene del latín auditorias, y de esta proviene “auditor”, el que tiene
virtud de oír; el diccionario lo define como “revisor de cuentas colegiado”. El auditor
tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo
específico, que es el de evaluar la eficiencia y eficacia con que se está operando para
que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones
que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de
actuación”1.

En mi opinión Auditoría es el examen posterior y sistemático que realiza un profesional

en esta rama, de todas o parte de las operaciones que realiza una empresa con el
propósito de emitir un dictamen que contenga comentarios, conclusiones y
recomendaciones para que la alta gerencia pueda tomar decisiones.

 AUDITORÍA INFORMÁTICA.

 CONCEPTO DE AUDITORÍA INFORMÁTICA.

“La auditoría Informática es un conjunto importante de tareas, realizadas y materializadas

por profesionales especialmente capacitados para el efecto, y que consiste en recolectar,
agrupar y evaluar evidencias, para poder saber si un sistema informático salvaguarda el

1
Echenique García, Segunda Edición 2001, pág. 2.
 activo empresarial, si mantiene la integridad de los datos, si utiliza eficientemente los
recursos y si cumple con las leyes y regulaciones establecidas”2.

“Auditoría Informática es el proceso formal ejecutado por especialistas del área de auditoría
e informática; se orienta a la verificación y aseguramiento para que las políticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnología informática en
la organización se realice de manera oportuna y eficiente”3.

La Auditoría Informática es un examen que se ejecuta al manejo de los bienes informáticos

con que cuenta una empresa realizado por un auditor especialista en informática a fin de
emitir un informe sobre la situación en que se encuentran dichos recursos para que la alta
gerencia pueda tomar decisiones y realizar las correcciones necesarias.

 TIPOS DE AUDITORÍA INFORMÁTICA4.

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

 Auditoría de la Gestión: Referido a la contratación de bienes y servicios, documentación
de los programas, etc.

 Auditoría Legal del Reglamento de Protección de Datos: Cumplimiento legal de las

medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.

 Auditoría de los Datos: Clasificación de los datos, estudio de las aplicaciones y análisis
de los flujogramas.
 Auditoría de las Bases de Datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.

2
Carrión, 2012, pág. 3.
3
Murillo, 1997, pág. 8.
4
Ramírez Rodríguez, 2009, p 20.
 Auditoría de la Seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.

 Auditoría de la Seguridad Física: Referido a la ubicación de la organización, evitando

ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, vigilantes, etc.) y
protecciones del entorno.

 Auditoría de la Seguridad Lógica: Comprende los métodos de autenticación de los

sistemas de información.

 Auditoría de las comunicaciones: Se refiere a la auditoría de los procesos de

autenticación en los sistemas de comunicación.

 Auditoría de la seguridad en Producción: Frente a errores, accidentes y fraudes.

Para esta investigación se trabajará con más énfasis la Auditoría de Seguridad tanto Lógica
como Física, para encontrar las posibles debilidades del Sistema Informático.
 PLANIFICACIÓN Y EJECUCIÓN DE LA AUDITORÍA
INFORMÁTICA.

 PLANIFICACIÓN DE LA AUDITORÍA.

 Planificación Preliminar.

En el transcurso del proceso investigativo, se requiere hacer una revisión del historial de la
compañía, en este caso Drive Car, para conocer en detalle que aspectos son susceptibles de
esta auditoria, los sistemas implementados que si bien se conoce que ofrece cursos de
conducción, es necesario poder conocer los elementos que fueron constituyentes de la
construcción de la solución implementada para lograr una revisión y evaluación interna
junto con los registros que se han generado a lo largo del tiempo.

 Conocimiento Preliminar.
Es requerido que se pueda conocer, investigar y recopilar la información necesaria para el
entendimiento y evaluación de las tareas realizadas por Drive Car de modo que se puedan
determinar tanto la oportunidad como la idoneidad de los hallazgos que se puedan
identificar en el proceso con el fin de tomar acciones y controles sobre las mismas.

 Objetivo de la Auditoría.
En el contexto general de una Auditoria de Sistemas Informáticos se tiene un objetivo claro
y es el poder determinar cuales, y de que tipo de componentes pueden estar sujetos a
acciones de riesgos y su grado de protección en este caso, podemos hablar de componentes
de hardware o de software, de este modo podemos enumerar elementos de seguridad física
y lógica al mismo modo. Se deben revisar elementos importantes como lo puede ser una
situación catastrófica (natural, artificial) y también susceptibilidad a suplantación, robo de
identidad y otros. Estos elementos pueden afectar la continuidad de la empresa y de los
recursos de información que puedan estar depositados allí y por lo tanto generar afectación
a Drive Car.

 Auditoría de Sistemas Informáticos.

En el desarrollo de la Auditoría de Sistemas Informáticos, fue necesaria la verificación del

tipo y modo como se dispone la información en Drive Car., esto se estimó como parte de la
Planificación Preliminar y a su vez, con esta verificación se pudieron determinar los
elementos de mayor importancia en cuanto a los riesgos a los que se pueden ver expuestos.
 Designación del Equipo de Trabajo.

En la ejecución de todos los procesos de Auditoría se hace necesario el apoyo de todas las
personas involucradas en las tareas cotidianas de Drive Car., esto debido a que si hay un
alto índice de colaboración se puede llegar al cumplimiento de la auditoria y las metas
propuestas en un menor tiempo. Del mismo modo se requiere que el equipo que maneja las
áreas tecnológicas, pueda ser un apoyo para obtener un conocimiento sobre la manera como
se vienen administrando los sistemas al interior y la manera como han venido funcionando.
Otro equipo que se necesita involucrar es el que se encarga de la interacción con los clientes
que para este caso puede ser el área de ventas con el fin de entender necesidades o fallas que
han evidenciado en el sistema a lo largo del tiempo de su operación.

 Tiempo Utilizado.

El proceso de Auditoría de Sistemas Informáticos se programó de modo que se pueda cubrir

a lo largo de tres (3) meses en los cuales se cubrirán una serie de visitas y reuniones con las
distintas áreas con el fin de obtener suficientes elementos propios del análisis de Drive Car
y los procesos que tienen establecidos a su interior.

Indicadores Informáticos.
(Ver Tabla 1 – Indicadores Informáticos)
1. Ambiente Interno.
La empresa, Drive Car, en lo que respecta al área de personal cuenta con falencias de trato
y conocimiento de las reglas internas, esto hace que las personas con funciones sobre todo
en el área de tecnología no sean claras o se establezcan de manera verbal, por este motivo
una sola persona puede hacer tanto las veces de Soporte de TI como Administrador de
Accesos y Seguridad, esto genera un riesgo interno por el nivel de acceso. Se sugiere
realizar un plan de carrera o establecimiento de las funciones de manera más clara para
evitar este riesgo.

2. Establecimiento de Objetivos.
La empresa, Drive Car, cuenta con un déficit de planeación estratégica, lo que genera una
carencia a la par de objetivos claros a cubrir y de esta manera las metas no tienen un
seguimiento o tiempos establecidos más allá de lo acordado de manera verbal. Es necesario
implementar un sistema de seguimiento de tareas y objetivos básico con el fin de evitar
procesos y tiempos perdidos en esto.

3. Identificación de Riesgos.
En el momento de identificar los riesgos, se deben revisar de manera frecuente, dado que se
deben subsanar o cubrir a la medida que se presentan, no se puede establecer el esquema de
riesgos como un elemento estático, debe revisarse dependiendo del entorno tanto físico
como económico y otros aspectos, sobre todo se debe tener en cuenta el dinamismo y los
cambios implementados en los sistemas informáticos de Drive Car.

4. Evaluación de Riesgos.
La evaluación de riesgos se debe realizar de manera proactiva y no reactiva como se viene
realizando en Drive Car, esto genera un grado de afectación y solo hasta ese momento se
toman acciones, generando una sobrecarga tanto en el momento de decisión como en los
tiempos de respuesta para solucionar las eventualidades presentadas.

5. Respuesta al Riesgo.
Así como se mencionó en el punto anterior, el no verificar o determinar los riesgos de
manera preventiva, hace que no se tenga un plan de contingencia o modo de operación
alternos, se recomienda implementar métodos de acceso alterno a lo que se cuenta en la
actualidad con el fin de brindar las opciones necesarias para continuar la operación en un
menor tiempo de interrupción de los servicios que se puedan ver afectados.
6. Actividades de Control.
En lo que respecta a las actividades de control, se evidencia una clara deficiencia en lo que
respecta al control de diferentes elementos como un ejemplo podemos citar que el área de
Informática de Drive Car, no cuenta con controles de acceso físico eficientes, por lo tanto,
personas no autorizadas pueden tener acceso a la oficina y también a los cuartos de
comunicaciones. En todas las visitas se revisó este elemento y se hizo especial mención
que se debe cambiar el sistema de accesos y control que de momento solo es cubierto por
una cerradura que no cuenta con las especificaciones para garantizar la seguridad de los
elementos en su interior.
En Drive Car, no se cuenta con procesos de control y mantenimiento de instalaciones
eléctricas y físicas para garantizar el correcto funcionamiento de los servidores donde se
encuentran alojadas las diferentes soluciones funcionales y que cubren la operación
habitual.
El acceso de los usuarios a sus equipos no está protegido por contraseñas de conocimiento
único de los empleados, adicional las claves se intercambian entre las diferentes áreas y en
muchos casos se encontraron puestas en los escritorios sin control alguno de la
manipulación de las mismas.
El área de Tecnología está compuesta por tres personas o recursos y entre ellos se delegan
las tareas, de este modo el control de hardware no está bien determinado y tampoco cuenta
con un responsable, no se tiene un inventario de elementos y tampoco una trazabilidad de
los mismos. En la actualidad los equipos están cercanos a su periodo de obsolescencia
técnica y en muchos casos fallan los componentes y por ende el acceso a las
funcionalidades de los aplicativos. No se encontró ningún registro de modificaciones o
cambios de funcionalidades de la aplicación, según lo mencionaron en el área de
Tecnología los cambios se hacen a medida que se presentan las fallas o que la Gerencia
solicita alguna modificación.

7. Información y Comunicación.
Se encontró que la información y comunicación en muchos casos es un factor que
contribuye al desconocimiento de procesos y tareas de manera que el hecho de no contar
con un canal de comunicación bien establecido, genera que se desconozcan las metas o
expectativas a corto y mediano plazo de las distintas áreas.

8. Monitoreo.
En este aspecto se evidencia que no se hace un seguimiento del desempeño tanto humano
como de los recursos tecnológicos por lo tanto no existe un conocimiento de las tareas que
se vienen realizando y por lo tanto no hay factores de decisión acerca de posibles resultados
o elementos a mejorar, como en el caso de lograr mantener los equipos de computo en buen
estado.

 Determinación del alcance de auditoría de sistemas informáticos.

La “Auditoria de Sistemas Informáticos de Drive Car”, está enfocada en la revisión y
verificación de los esquemas de control que se tienen en el Área de Tecnologías de la
Información e Informática, incluyendo un análisis de los sistemas y equipos que maneja la
compañía.

El alcance de la auditoría incluyó lo siguiente:

1. Evaluación del departamento informático en lo que corresponde a:

o Puestos - Funciones del personal informático.
o Estructura orgánica del departamento informático.

2. Evaluación de seguridades tanto Físicas y Lógicas.

o Seguridad lógica del sistema, que comprendió la confidencialidad y respaldos.
o Identificación de los riesgos.
o Evaluación de los riesgos.
o Seguridad contra virus.
o Seguridades físicas de todas las sucursales.
o Seguridad en el personal.
o Seguridad en la utilización de los equipos.

o Seguridad en la restauración de los equipos y de los sistemas.

3. Elaboración del informe con conclusiones y recomendaciones por cada una de las
evaluaciones señalados anteriormente.
 CARTA A GERENCIA
(Propuesta de Servicios de Auditoría de Sistemas Informáticos).

I. Antecedentes
La empresa Drive Car, cuenta con un Sistema Informático Web, con acceso a los módulos
de Contactos, Administración, Contabilidad y Configuración de Usuarios; también se
dispone de un acceso a internet sin restricción usando programas como Google Chrome y
Mozilla Firefox vinculados a los perfiles personales de cada empleado.

En el proceso de revisión se encontraron algunas oportunidades de mejora que derivan en la

perdida de eficiencia y efectividad en las actividades que se desarrollan en la compañía, la
más importante en este caso, la falta de controles y la alta exposición a incidentes de
seguridad de la información. Los usuarios se intercambian sin control de modo que se
pueden modificar resultados de pruebas y también información contable incluso, esto
ocasiona perdida de confianza y también incurre en un alto riesgo de perdida de
información u oportunidad de fraude.

La carencia de controles de la navegación de internet y la infraestructura actual que no es

suficiente para funcionar, ocasiona continuamente “caídas” ocasionadas por el alto trafico
sin control de uno o varios usuarios en el uso incorrecto de los recursos, por ello la
desconexión del servidor a internet, genera la indisponibilidad del acceso a las tareas a
menudo. Estos son algunos de los elementos que repercuten en la percepción de calidad y
rapidez del servicio que tienen los clientes, en algunas ocasiones las demoras generan la
molestia de uno o varios de ellos esperando que se re-establezca el servicio de la aplicación
para realizar tramites como la generación de un certificado de asistencia a los cursos.
 II. Objetivos de la Auditoría de Sistemas Informáticos.

Objetivo General.
En el propósito particular de la Auditoría de Sistemas Informáticos se tiene como objetivo
verificar el nivel de protección y exposición tanto de hardware y software a un incidente de
seguridad, incluyendo los elementos de protección física de las ubicaciones donde se
encuentra la empresa. En la calidad de Auditor de Sistemas, debo revisar y evidenciar la
manera como se pueden afrontar situaciones como catástrofes de diferentes índoles,
sabotajes, robos, y otros elementos que pueden afectar en varias maneras a Drive Car.

Objetivos Específicos.
 Evaluar el uso de los recursos financieros en el área del centro de información, así como
del aprovechamiento del sistema informático, sus equipos periféricos e instalaciones.
 Evaluar la seguridad del acceso autorizado de los usuarios al sistema informático de las
computadoras, así como al manejo que se le dé a esta información.
 Identificar que el hardware y software se encuentren en buen estado, sin exponerles a
virus, hurtos, estafas, etc.
 Emitir un dictamen con una opinión clara y concisa sobre la razonabilidad de las
operaciones del sistema, el cual contenga recomendaciones apropiadas que ayude a la
alta gerencia a tomar mejores decisiones.

III. Alcances del Proyecto

El alcance del proyecto comprende:

1. Evaluación del departamento informático en lo correspondiente a:
 Puestos - Funciones del personal informático.
 Estructura orgánica del departamento informático.

2. Evaluación de seguridades tanto Físicas y Lógicas.

 Seguridad lógica del sistema, que comprendió la confidencialidad y respaldos.
 Identificación de los riesgos.
 Evaluación de los riesgos.
 Seguridad contra virus.
 Seguridades físicas de todas las sucursales.
 Seguridad en el personal.
  Seguridad en la utilización de los equipos.
 Seguridad en la restauración de los equipos y de los sistemas.

3. Elaboración del informe con conclusiones y recomendaciones por cada una de las
evaluaciones señalados anteriormente.

IV. Metodología

La metodología de investigación utilizada en el examen de auditoría fue la siguiente:

1. Para la evaluación de la dirección de informática se llevaron a cabo las siguientes

actividades:
 Solicitud del Reglamento Interno de Trabajo, organigrama, delimitación de
funciones, políticas.
 Solicitud de los inventarios de computadoras utilizadas.
 Elaboración de una entrevista preliminar que permita evaluar a la Dirección y al
ámbito computacional.
 Aplicación de cuestionarios de control interno al personal, y realización de
entrevistas.
 Análisis y evaluación de la información.
 Elaboración del informe.

2. Para la evaluación del sistema informático se llevaron a cabo las siguientes actividades:
 Aplicación de Indicadores de Gestión Informática.
 Análisis de la seguridad lógica y confidencial.
 Evaluación de controles a través de lista de chequeos.
 Entrevistas con usuarios de los sistemas.
 Evaluación directa de la información obtenida contra las necesidades y
requerimientos de los usuarios.
 Análisis objetivo de la estructuración y flujo de los programas.
 Análisis y evaluación de la información compilada.
 Elaboración del informe.
 3. Para la evaluación de los equipos se llevaron a cabo las siguientes actividades:
 Elaboración de un cuestionario sobre la utilización de equipos, archivos, unidades de
entrada/salida, equipos periféricos, y su seguridad.
 Visita a las instalaciones y a los lugares de almacenamiento de archivos magnéticos.
 Visita técnica de comprobación de seguridad física y lógica de las instalaciones.
 Evaluación de los sistemas de seguridad de acceso.
 Determinación de áreas críticas.
 Análisis de niveles de confianza y de riesgo.
 Determinación de hallazgos.
 Elaboración del informe.

V. Tiempo y Costo (Ver Tabla 2: Tiempo y Costo designado para la Auditoría.)

 RECOMENDACIONES.

 Es necesario implementar medidas de control interno adecuadas a los requerimientos y

necesidades de la empresa DRIVE CAR. a fin de brindar seguridad y confianza a los
funcionarios y empleados, ya que de su implantación depende el adecuado desarrollo de
las actividades de la empresa.
 En los diferentes niveles jerárquicos que conforman la empresa DRIVE CAR., es
necesario contratar personal con mayor capacidad de dirección y liderazgo que ayude a
velar por el cumplimiento de las medidas de control interno, estableciendo nuevos
objetivos, actualizando los enunciados de misión y visión, aparte de redefinir las
funciones del personal, de tal manera que cada funcionario cumpla a cabalidad con las
tareas a ellos encomendadas.
 Es necesario implementar un área de control interno que permita controlar y supervisar
los diferentes procesos y funciones del personal, de tal forma que esta unidad pueda
adoptar medidas de seguridad físicas y lógicas de los sistemas informáticos y de todos
los recursos con los que cuenta la empresa, poniendo especial interés en medidas de:
identificación, evaluación, respuesta a riesgos y aplicando medidas de seguridad
informática como las antes señaladas en el desarrollo de la auditoría.
 La Dirección de la empresa DRIVE CAR. debe emprender una campaña interna de
concienciación y difusión de las medidas de seguridad que son necesarias adoptar para
salvaguardar toda la información empresarial automatizada que reposa en los sistemas
informáticos existentes, más allá de delimitar funciones y responsabilidades en el
manejo de dichos sistemas.
 La administración y dirección de DRIVE CAR. adopte los indicadores aplicados y las
medidas de seguridad sugeridas en el transcurso de la auditoría, de tal forma que pueda
brindar una confianza relevante en el normal desarrollo de las actividades.
ACTIVIDAD NOMBRE FÓRMULA
Número medio de computadores por Número de PC / Número de empleados.
empleado.
Número de pedidos de cambio de equipos / Número de cambios
Número medio del cambio de los realizados
Infraestructu equipos.
ra Número de pedidos de mantenimiento / mantenimiento total realizado en las
Tiempo medio del mantenimiento de PC.
computadores.
Número medio de impresoras por Número de Impresoras / Número de Departamentos.
departamento.
Costo Total, de las compras + Mantenimiento
Costo total del sistema informático
de las PC.
Costo de actualización del software / Costo total del sistema informático
Costo medio de actualización del
software.
Costo total de compra de las PC / Número de los PC
Costo medio por computador.
Costo del sistema informático en
relación a los ingresos de la compañía. Costo total del sistema informático/ Ingresos totales de la empresa.
Costo medio del sistema informático por Costo total del sistema informático / Número Total de empleados.
empleado.
Número de incidencias indebidas en el sistema informático / número total de
Incidencias Incidencias indebidas en el sistema incidencias.
informático.

Tiempo medio entre fallas en el sistema (Tiempo operativo – tiempo no disponible) / Número de fallas.
informático.
Tiempo medio sin sistema informático. Tiempo sin sistema informático / tiempo total operativo.
ACTIVIDAD NOMBRE FÓRMULA

Número de horas de capacitación / número de empleados encargados del

Usuarios Capacitación de Usuarios Internos.
sistema informático.
Internos y
Externos Número de empleados presentados después de 6 meses / Número de nuevos
Estabilidad Laboral.
empleados contratados hace 12 meses.
Tiempo dedicado a actividades del Tiempo dedicado a actividades del sistema informático / Tiempo de trabajo
Sistema Informático. total en la PC.
Media del tiempo de demora en atender a Tiempo de demora en atender a un cliente/ tiempo total que se demora
Seguridad
un cliente en el sistema. atendiendo a un cliente.
Física.
Media de riesgos existentes. Total, de riesgos presentados / Total de posibles riesgos registrados.
Número de medidas de seguridad tomadas / posibles medidas de
Medidas de Seguridad
seguridades existentes.
Accesos Número de accesos de personal desautorizados / Número de control de
Seguridad acceso a los equipos informáticos
Lógica. Media de Fallas del Personal. Nº de incidencias / solicitudes atendidas en un mes.
Soporte técnico Número de casos solucionados / número de problemas recibidos.

Tabla 1: Indicadores Informáticos

Fuente: Información evidenciada en Drive Car.

Auditor:
 ETAPA TIEMPO
Planificación
25 días
 Preliminar
25 días
 Específica
Ejecución 30 días
Comunicación de Resultados 10 días
Tiempo total de la Auditoría 90 días

ETAPA COSTO
Planificación
$1’650.000
 Preliminar
 Específica $1’380.00
0
Ejecución $1’240.000
Comunicación de Resultados $1’460.000
Total, costos de Auditoría $ 5’730.000

Tabla2: Tiempo y Costo designado para la Auditoría.

Fuente: Proceso de Auditoría.
Realizado por:
 Audito r
No . R Rie s g o Obj.de co ntro l Co ntro l P. Cumplimie nto P. Sus tantiva
enc arg ado
La información del sitio Procedimiento de Existe procedimiento?
Acceso a información no web de estar restingida de asignacion de perfiles - Comprobar que 20 usuarios tiene - Ampliar muestra y revisar
1 Manuel Rangel
autorizada acuerdo con los perfiles según en tipo de usuario asignados correctamente su perfil y tiene raiz de N usuarios
establecidos creado acceso a la información correspondiente

Anexos Lograr acceder a la

Manera como se accede a Existe procedimiento? - Es necesario
información solo para
las diferentes aplicaciones comprobar que cada perfil cuente con los
Suplantación o robo de perfiles y roles - Ampliar muestra y revisar
2 alojadas en el servidor de permisos asignaos y hacer las pruebas Manuel Rangel
información previamente establecidos raiz de N usuarios
modo que coincidan con que los usuarios no accedan a lugares no
conforme a las politicas
los roles y creados. autorizados.
aplicables a cada uno.
Conforme a los permisos Procedimiento para la
- Probar que la solución de
de acceso y modificación asignación de contraseñas Existe procedimiento? - Verificar y seguir
software de modo que no
Suplantación o robo de de la información, se debe seguras de acurdo a las el registro de eventos y de ser posible
3 sea posible acceder a las Manuel Rangel
identidad revisar que no sea reglas y también un implementar un algoritmo de validación de
contraseñas de otros
permitida una modificación acuerdo de cumplimiento de politicas de contraseñas.
usuarios.
no deseada. confidencialidad
Revisar que conforme a Procedimiento de inicio de
los roles establecidos, la sesion de modo que se Existe procedimiento? - Probar los perfiles
Modificación de datos no modificación de pueda establecer el no creados de al menos una cantidad de - Ampliar muestra y revisar
4 Manuel Rangel
autorizada información solo sea acceso a información que usuarios para confirmar su nivel de raiz de N usuarios
posible por los usuarios no corresponde al rol acceso.
con esos permisos. asignado.
Procedimiento para el
- Probar que la solución de
El eliminar los datos ingreso y utilización de la Existe procedimiento? - Probar los perfiles
software de modo que no
Eliminar información sin requieree una doble información que se creados de al menos una cantidad de
5 sea posible acceder a las Manuel Rangel
pedirse confirmación. confirmación por parte de encuentre en las usuarios para confirmar su nivel de
contraseñas de otros
los administradores aplicaciones de acuerdo a acceso.
usuarios.
los permisos asignados.
La extracción de Se deben suscribir
información confidencial acuerdos de Existe procedimiento? - Verificar y seguir
Divulgar información sin debe ser restringida por confidencialidad para los el registro de eventos y de ser posible - Ampliar muestra y revisar
6 Manuel Rangel
los permisos. defecto con el fin que no usuarios involucrados de implementar un algoritmo de validación de raiz de N usuarios
se pueda descargar la acuerdo a los permisos cumplimiento de politicas de contraseñas.
misma. asignados.
Se deben suscribir
No permitir la descarga de acuerdos de Existe procedimiento? - Probar los perfiles
No realizar copia de información a la que no confidencialidad para los creados de al menos una cantidad de - Ampliar muestra y revisar
7 Manuel Rangel
informacion debe acceder el usuario usuarios involucrados de usuarios para confirmar su nivel de raiz de N usuarios
final. acuerdo a los permisos acceso.
asignados.
Dimensionar de manera
Existe procedimiento? - Se necesita
adecuada la capacidad Procedimiento de inicio de
revisar y establecer un registro de Establecer tanto la
maxima de los sistemas sesion de modo que se
mantenimiento y gestión de información de aplicación como un
Sobrecarga de Sistemas con el fin de prevenir un pueda establecer el no
8 manera que se pueda identificar falencias servicio alterno para Manuel Rangel
de Informacion fallo tanto de Software acceso a información que
de manera proactiva y también contar con garantizar la continuidad de
como de Hardware al no corresponde al rol
las medidas reactivas y de continuidad de la operación
momento de usar las asignado.
funcionamiento.
soluciones.
No debe estar habilitada la
Procedimiento de inicio de
posibilidad de acceder a
sesion de modo que se Existe procedimiento? - Probar los perfiles
contenidos de examenes o
Modificación de pueda establecer el no creados de al menos una cantidad de - Ampliar muestra y revisar
9 resultados previo a la Manuel Rangel
contenidos o examenes acceso a información que usuarios para confirmar su nivel de raiz de N usuarios
publicación o acceso de
no corresponde al rol acceso.
Tabla3: EDR Drive Car parte de los usuarios
finales.
asignado.

No permitir la modificación, Procedimiento de inicio de

edición o eliminación de sesion de modo que se Existe procedimiento? - Probar los perfiles
Eliminación de resultados información, debido a que pueda establecer el no creados de al menos una cantidad de - Ampliar muestra y revisar
10 Manuel Rangel
y/o documentación se debe preservar acceso a información que usuarios para confirmar su nivel de raiz de N usuarios
conforme a los permisos no corresponde al rol acceso.
asignados. asignado.
 REFERENCIAS.

 Echenique, J. (2001) Auditoría en Informática. 2ª ed., México, Mc Graw – Hill Interamericana

Editores S.A.
 Cadena N. (2012). Introducción a los Sistemas informáticos, Riobamba: ESPOCH. EICA.
 Hernández, A. (2008) Informe Diagnóstico y Plan de Acción: Proyecto de Asistencia Técnica
Especializada., Chimborazo, Capacitación del grupo Asociativo “Coser” de Chimborazo
Editorial.
 Piattini M.y Peso E. (2001) Auditoría Informática: Un enfoque práctico, 2ª ed., México,
Alfaomega Grupo Editor S.A.
 Chaparro González, J., & Martín Beltrán, R. F. (2020). Herramienta para la realización de
auditorías internas para empresas 1con sistemas hseq. Signos, 12(2), 47–57.

116