ACA SEGUNDO CORTE

DOCENTE

Katherine Astrid Romero Ussa

INTEGRANTES

Leidy Katherine Calderón Castaño 51113

Mauricio Lopez 51113

Alejandro Borraez Muñoz 51113

Corporación Unificada Nacional de Educación Superior

Ingeniería de Sistemas
Bogota D.C
2023
 Tabla de Contenido

Introducción 3
Objetivos de la Auditoría de Sistemas 3
Actividad 3
Referencias 4
 Introducción

La auditoría de sistemas se encarga de llevar a cabo la evaluación de lo que son

normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para
poder lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que
se procesa a través de los sistemas de información.

La auditoría de sistemas se puede considerar como una rama especializada de la

auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de
información.
La auditoría de los sistemas de información se define como cualquier auditoría que
abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta

gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología
informática con el fin de lograr mayor eficiencia operacional y administrativa

Objetivos de la Auditoría de Sistemas

Desarrollar el entendimiento de los conceptos generales de la Auditoría de Sistemas de

Información, que permitan la identificación de riesgos a que está sujeto el negocio y el
desarrollo de los respectivos controles que minimicen el impacto de los mismos. Conocer los
estándares, normas y guías para la realización de auditorías internas y externas.

Desarrollar las habilidades y destrezas para planificar, ejecutar, evaluar y elaborar el informe
final de una auditoría.

Entender la relación entre la auditoría, el control interno, la mejora continua y la acción

correctiva.

Conocer metodologías y métodos (cuantitativos, cualitativos, mixtos).

Actividad
Teniendo en cuenta lo visto el encuentro sincrónico #4 (Campos de la Auditoría) se exponen
los siguientes casos de uso los cuales deberá enmarcar en alguno de los siguientes tipos de
auditoría y deberá describir las falencias que evidencia en ellos y que propondría para
mejorarlos o solucionarlos.
Tipos de auditoria:

● Infraestructura: consiste en evaluar el diseño y la eficacia del control interno del

sistema con respecto a los estándares relevantes y las mejores prácticas. Esto incluye,
entre otros, diseño, implementación, rendimiento, eficiencia, protocolos de seguridad
y gobierno o supervisión de TI.

● Bases de datos: La auditoría de base de datos gestionará la confidencialidad,

integridad y continuidad de la información empresarial, incrementando con esto la
credibilidad y confiabilidad de la empresa. Los siguientes son algunos aspectos y
ventajas de nuestros servicios de auditoría de base de datos.

● Redes: La auditoría de red son las medidas colectivas que se realizan para analizar,
estudiar y recopilar datos sobre una red con el fin de determinar su salud de acuerdo
con los requisitos de la red y la organización.

● Desarrollo: Debe estar sometido a un exhaustivo control de cada una de sus fases, ya
que en caso contrario, además del habitual disparo de los costes, podría producirse
una total insatisfacción del usuario si finalmente no cumple las funcionalidades
necesarias así como la ergonomía de los interfaces de la misma.

● Seguridad de la información: Se podría definir como la evaluación del nivel de

madurez en seguridad de una organización, donde se analizan las políticas y
procedimientos de seguridad definidos por la misma y se revisa su grado de
cumplimiento.

Casos:

1. CASO #1: La información de la compañía reposa en un servidor que esta almacenado en

un datacenter local el cual gestiona otros dispositivos no solo de la empresa si no de otras
entidades en el mismo rack, la última revisión de las condiciones físicas del lugar dejó en
evidencia que el aire acondicionado no estaba funcionando adecuadamente y que el control
de acceso a veces se atasca cuando alguien entra o sale.

● Infraestructura:
○ Falencias:
■ “La última revisión de las condiciones físicas del lugar dejó en
evidencia que el aire acondicionado no estaba funcionando
adecuadamente”
■ “Que el control de acceso a veces se atasca cuando alguien entra o
sale.”
○ Posibles soluciones
■ Para el primer Falencia debemos tener en cuenta antes, que un mal
estado a nivel ambiental dentro de un datacenter, puede colocar en
riesgo los equipos y a su vez la servicialidad de los clientes alojados;
para ello debemos evaluar las causas o los motivos por los cuales no
 hay buenas condiciones ambientales y de ser así validar el estado de
los equipos, que las manejadoras que proveen el aire frio en las areas
blancas esten funcionando con normalidad, escalar el caso con el
personal encargado para que puedan realizar las adecuaciones y
modificaciones necesarias y validar variaciones ambientales a futuro
para ver asi s se ha solucionado el inconveniente.
■ Para la segunda falencia es necesario escalar el incidente frente los
accesos ya que es de vital importancia garantizar que todos los accesos
estén funcionales y para ello es necesario realizar un mantenimiento
trimestral de los accesos y asu vez reportar novedades oportunamente
del estado de los accesos
● Redes:
○ Falencias
■ Para este caso es necesario tener en cuenta que en un rack no pueden a
haber equipos de dos empresas alojados en el mismo rack y con
respecto al tema de redes lo ideal sería que para el caso de los patch
panel sea autónomos para cada cliente ya que por temas de seguridad
informática se pueden vulnerar servicios y otro cliente retira algun
patch cord en un equipo que no esté en su dominio
○ Posibles soluciones
■ Es necesario hacer caer en cuenta a cada uno de los clientes que es
necesario que tengan sus equipos en racks distintos para que no se
vulnere la información o en este caso validar que cada uno de los
clientes tengan un proveedor de servicio tercerizado que administre
ambas empresas y que exija y mantenga los protocolos de seguridad
adecuados para que no se vulnere la información (Acompañamiento
permanente) y así garantizar una buena servicialidad a casas uno de los
clientes
● Base de datos:
○ Falencias
■ Una falencia importante es que el administrador del datacenter no
tenga conocimiento de los clientes que se encuentren alojados en el
área blanca ya que de ser así podría permitir el acceso a distintas
personas de distintos clientes a las áreas comunes de otros racks de
otras empresas.
○ Posibles soluciones
■ Es necesario que se tenga estandarizado bases de datos con los
nombres de todos las empresas y a su vez con el personal autorizado
para la solicitud de ingreso e intervenciones de los equipos que se
encuentren alojados en el data center, ya que esto permitiría un control
más oportuno, con las respectivas bitácoras para el acceso de personal
que realice alguna función en los racks del cliente
 ● Desarrollo:
○ Falencias
■ No contar con un plataforma que nos permita realizar el monitoreo de
las condiciones ambientales, consumos eléctricos y estado de los
equipos
○ Posibles soluciones:
■ Desarrollar un software o implementar un software que nos permita
validar los datos gráficos de las mediciones ambientales, circuitos
eléctricos, y control de accesos que estén dentro del datacenter,
● Seguridad informática:
○ Falencias
■ “La información de la compañía reposa en un servidor que está
almacenado en un datacenter local el cual gestiona otros dispositivos
no solo de la empresa si no de otras entidades en el mismo rack”
○ Posibles soluciones:
■ Es importante tener en cuenta que dos clientes no pueden compartir el
mismo a rack a menos de que los dos clientes cuenten con el mismo
proveedor de alojamiento de servicios y que el proveedor garantice la
normalización de aspectos de seguridad de la información debido a que
se podrían llegar a vulnerar, para el tema de compartir el mismo
espacio es necesario que un personal del proveedor esté presente el
desarrollo de las actividades para así poder salvaguardar dichos
procesos

2. CASO #2: La información de la compañía está contenida en un servidor virtual al cual se

puede acceder no solo desde las instalaciones de la empresa sino desde cualquier ubicación
que cuente con acceso remoto a la red local de la empresa, las consultas a la base de datos
suelen dejar un registro en el log del servidor sin embargo los usuarios son compartidos entre
los administradores de las bases de datos, adicionalmente es acostumbrado que uno de estos
administradores ejecute manualmente una tarea para la generación de una copia de seguridad
la cual queda almacenada en el mismo servidor.

● Infraestructura:
○ Falencias
■ El tener un servidor virtual permite optimizar tareas desde cualquier
lugar siempre y cuando tengamos acceso al servidor, pero debemos
dejar de lado que la persona que tiene labores manuales debe contar
con los permisos necesarios para acceder al data center.
○ Posibles soluciones:
■ ES necesario que cuando la persona autorizada realice todo tipo de
trabajos manuales, sepa e identifique que se debe acatar con las norma
del datacenter desde los accesos hasta el ingreso de materiales no
deseados, por lo tanto es necesario hacer saber los protocolos de acceso
para así no infringir las normas del datacenter
● Redes:
○ Falencias:
■ No contar con una buen red de internet y datos para que los
proveedores se puedan conectar a los equipos y a asu vez las personas
que realicen procesos manuales dentro de las áreas blancas
○ Posibles soluciones:
■ Es necesario garantizar una red pública dentro del datacenter para que
las personas que requieren tener dicha disponibilidad de conexión
puedan escalar y realizar los procesos requeridos en sus equipos
● Bases de datos:
○ Falencias
■ “Las consultas a la base de datos suelen dejar un registro en el log del
servidor sin embargo los usuarios son compartidos entre los
administradores de las bases de datos”
○ Posibles soluciones:
■ Es necesario que haya un área especializada en poder descentralizar la
información y que a su vez pueda realizar seguimiento a los procesos
de gestión que realice no solo el administrador de la base de datos si no
el público en general, ya que esto permitirá visualizar las fallas no solo
de una persona si no también de todos los que puedan acceder
● Desarrollo:
○ Falencias
■ No contar con un software de tickets que nos permita visualizar los
eventos ocasionados por cada uno de los usuarios que acceda a las
bases de datos.
○ Posibles soluciones:
■ Es necesario implementar un software de tickets o bien sea por el
mismo correo electrónico que los administradores de los espacios
locativos puedan detallar los procesos que se realicen bien sea a nivel
físico o a nivel virtual ya que de esto permitiría ser más objetivos con
la consecución de actividades
● Seguridad Informática:
○ Falencias:
■ Al visualizar que varias personas aparte del mismo administrador
puedan hacer uso de la base datos podemos ver que no habría un
proceso de seguimiento al manejo de la misma base de datos y así el
poder detectar quien afectó el proceso.
○ Posibles soluciones:
■ Debemos velar por cada gestión que se realice a nivel de procesos ya
que de ser así cualquier persona puede vulnerar los datos de cualquier
entidad, es necesario ver que a nivel de desarrollo la implementación
del software y crear un seguimiento pertinente siempre garantizara una
buena ejecución del manejo de la información
 Referencias
Hernandez, J. (2004, 12 mayo). Auditoria de Sistemas. Monografias.com.

https://www.monografias.com/trabajos15/auditoria-comunicaciones/auditoria-comuni

caciones

CUN Digital: Iniciar sesión en el sitio. (s. f.).

https://campusdigital.cun.edu.co/digital/course/view.php?id=100887