Auditoria

1. DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN
VASP DE LA EMPRESA SMSAMERICAS LTDA
LADY JOHANA TORO
FREDY ALEXANDER DÍAZ
CAMILO ANDRÉS GÓMEZ
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACION
BOGOTÁ D.C – 2016

2. DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN
VASP DE LA EMPRESA SMSAMERICAS LTDA
LADY JOHANA TORO
FREDY ALEXANDER DÍAZ
CAMILO ANDRÉS GÓMEZ
Trabajo de grado para obtener el título de especialista en Auditoria de Sistemas de
Información.
ASESOR: OSCAR GORDILLO
INGENIERO DE SISTEMAS, MSC.
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACION

3. BOGOTÁ D.C – 2016

4. Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Bogotá D.C., noviembre de 2016.

5. DEDICATORIA
Quiero dedicar este proyecto a Dios quien me ha dado salud y vida para realizar este
proyecto educativo y permitirme culminarlo satisfactoriamente. Dedicárselo a mi esposa que es un
pilar de fortaleza, consejo y acompañamiento constante. A mi familia que han sido un apoyo muy
grande durante todo el proceso y una dedicación muy especial a la familia Rodríguez Rodríguez,
familia que han sido los artífices principales de mi ingreso y culminación de esta Especialización,
el apoyo y continua preocupación por mi proceso me permitió sentirme acompañado en todo
momento.
Camilo Andrés Gómez Téllez
Agradezco primeramente a Dios quien abrió las puertas para iniciar y ahora culminar un
reto más en mi vida, por permitirme conocer nuevas personas, superar cada paso de esta etapa y
ahora cerrar un ciclo lleno de éxitos profesional y personalmente. A mi esposo por apoyar mis
decisiones y acompañarme en este camino. A los directivos de la empresa SMSAmericas Ltda.,
quienes depositaron su confianza en nosotros y nos apoyaron para trabajar en el desarrollo de este
proyecto y a mis compañeros de grupo quienes fueron un soporte durante la realización de la
especialización.
Lady Johana Toro
Este proyecto se lo dedico a mi familia que gracias a ellos soy lo que soy. A mis padres por
su apoyo, consejos, comprensión, amor, ayuda en los momentos difíciles, quienes forjaron mis
valores, mis principios, mi empeño, mi perseverancia para conseguir mis objetivos. A mis
hermanos por estar siempre presentes, acompañándome para poderme realizar como profesional.
A mi hija Gabriela quien ha sido y es una motivación, inspiración y felicidad.

6. Así mismo le agradezco a Dios por concederme grandes logros personales y profesionales
en mi vida, por guiarme por el buen camino y darme la oportunidad de poder culminar
satisfactoriamente un logra más en mi vida.
“La dicha de la vida consiste en tener siempre algo que hacer, alguien a quien amar y alguna cosa que esperar”. Thomas
Chalmers
Fredy Alexander Díaz Rubio

7. AGRADECIMIENTOS
Los autores de este proyecto agradecen primero que todo a Dios por la vida y la salud para
estar siempre presentes en el desarrollo de este trabajo. A sus padres y familiares que siempre han
sido un pilar importante en sus vidas, siempre han estado dispuestos a apoyarlos
incondicionalmente.
Agradecen de manera especial a los tutores que tuvieron mientras se desarrollaba esta
actividad y a los profesores que dieron todo para transmitir los conocimientos que ahora plasman
en este trabajo.

8. TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................................16
1 GENERALIDADES DEL TRABAJO DE GRADO ...................................................................18
1.1 LÍNEA DE INVESTIGACIÓN .......................................................................................................... 18
1.2 PLANTEAMIENTO DEL PROBLEMA............................................................................................... 18
1.2.1 Antecedentes del problema............................................................................................... 18
1.2.2 Pregunta de investigación ................................................................................................ 19
1.3 JUSTIFICACIÓN .......................................................................................................................... 21
1.4 OBJETIVOS ................................................................................................................................ 21
1.4.1 Objetivo general .............................................................................................................. 21
1.4.2 Objetivos específicos........................................................................................................ 21
2 MARCOS DE REFERENCIA.....................................................................................................23
2.1 MARCO CONCEPTUAL ................................................................................................................ 23
2.1.1 Wiki................................................................................................................................. 23
2.1.2 Google Sites..................................................................................................................... 23
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas) ................. 24
2.1.4 ISACA (isaca.org)............................................................................................................ 24
2.1.5 Circular Externa 038 de 2009 - Superfinanciera............................................................... 25
2.1.6 Riesgo.............................................................................................................................. 25
2.1.7 Amenaza.......................................................................................................................... 25
2.1.8 Vulnerabilidad................................................................................................................. 26
2.1.9 Probabilidad.................................................................................................................... 26
2.1.10 Impacto ........................................................................................................................... 27
2.2 MARCO TEÓRICO ....................................................................................................................... 27
3 METODOLOGÍA........................................................................................................................29
3.1 AUDITORIA BASADA EN RIESGOS ............................................................................................... 29
4 DESARROLLO...........................................................................................................................30
4.1 FAMILIARIZACION ............................................................................................................... 30
4.1.1 Cuestionario de Control de Auditorias de Sistemas........................................................... 32
4.1.2 Familiarización por Entornos .......................................................................................... 33

9. 4.1.2.1 Bases de Datos...........................................................................................................................33
4.1.2.2 Redes y Comunicaciones............................................................................................................35
4.1.2.3 Control de Seguridad Lógica e Informática .................................................................................36
4.1.2.4 Control de Compra y Garantía de Hardware................................................................................37
4.1.2.5 Control y Seguridad de Instalaciones ..........................................................................................38
4.1.2.6 Control de Impacto Ambiental....................................................................................................38
4.1.2.7 Control Seguridad Física ............................................................................................................39
4.1.2.8 Control Riesgos .........................................................................................................................39
4.1.2.9 Control de Entrenamiento...........................................................................................................39
4.1.2.10 Control de Mesa de Ayuda .......................................................................................................40
4.2 ANALISIS DE INFORMACION OBTENIDA .......................................................................... 40
4.2.1 Definición y Calificación de Riesgos ................................................................................ 40
4.2.2 Análisis de riesgos en los diferentes entornos ................................................................... 43
4.2.2.1 Entorno de Base de Datos...........................................................................................................44
4.2.2.2 Redes y Comunicaciones............................................................................................................45
4.2.2.3 Control de Seguridad Lógica ......................................................................................................45
4.2.2.4 Compras y Garantía de HW........................................................................................................46
4.2.2.5 Seguridad de Instalaciones..........................................................................................................47
4.2.2.6 Continuidad del negocio.............................................................................................................47
4.2.2.7 Entrenamiento del Personal ........................................................................................................48
4.2.3 Mapa De Riesgos............................................................................................................. 49
4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y Cobit 5 .... 49
4.3 DISEÑO Y EVALUACION.............................................................................................................. 52
4.3.1 Programación de Prueba de Auditoria............................................................................. 52
4.3.2 Diseño Pruebas de Auditoria............................................................................................ 56
4.3.3 EJECUCION DE PRUEBAS ............................................................................................ 98
4.3.3.1 BASE DE DATOS: P001...........................................................................................................98
4.3.3.2 BASE DE DATOS: P002.........................................................................................................100
4.3.3.3 BASE DE DATOS: P003.........................................................................................................102
4.3.3.4 BASE DE DATOS: P004.........................................................................................................103
4.3.3.5 BASE DE DATOS: P005.........................................................................................................105
4.3.3.6 BASE DE DATOS: P006.........................................................................................................105
4.3.3.7 BASE DE DATOS: P007.........................................................................................................107
4.3.3.8 BASE DE DATOS: P008.........................................................................................................108
4.3.4 INFORME ..................................................................................................................... 108
5 CONCLUSIONES Y RECOMENDACIONES......................................................................... 111

10. BIBLIOGRAFÍA ................................................................................................................................ 113
ANEXOS............................................................................................................................................. 115

11. LISTA DE ILUSTRACIONES
ILUSTRACIÓN 1 INGRESO DE USUARIO Y CONTRASEÑA........................................................................................... 98
ILUSTRACIÓN 2 PROGRAMA ASTERISK KEY............................................................................................................ 99
ILUSTRACIÓN 3 ERROR DE AUTENTICACIÓN ........................................................................................................... 99
ILUSTRACIÓN 4 LISTADO DE USUARIOS REGISTRADOS.......................................................................................... 100
ILUSTRACIÓN 5 INGRESO DE USUARIO Y CONTRASEÑA......................................................................................... 100
ILUSTRACIÓN 6 VALIDACION DE RESTRICCIONES DE USUARIO.............................................................................. 101
ILUSTRACIÓN 7 COMPARACIÓN PROCESO DE CONTRATACIÓN............................................................................... 102
ILUSTRACIÓN 8 DOCUMENTACIÓN EN LINEA ........................................................................................................ 103
ILUSTRACIÓN 9 DOCUMENTACIÓN EN LINEA 2 ..................................................................................................... 104
ILUSTRACIÓN 10 DOCUMENTACIÓN EN LINEA 3 ................................................................................................... 104
ILUSTRACIÓN 11 PANTALLA DE COMANDO BACKUP............................................................................................. 106
ILUSTRACIÓN 12 PANTALLA RESTAURACIÓN DE BACKUP ..................................................................................... 106
ILUSTRACIÓN 13 VALIDACIÓN DE LA INFORMACIÖN RESTAURADA ....................................................................... 107
ILUSTRACIÓN 14 MODIFICACIÓN PROCESO ENVÍOS .............................................................................................. 107
ILUSTRACIÓN 15 MODIFICACIÓN DE PARAMETROS ............................................................................................... 107

12. LISTA DE TABLAS
TABLA 1 AUDITORIA BASADA EN RIESGOS............................................................................................................. 29
TABLA 2 FICHA TÉCNICA ...................................................................................................................................... 30
TABLA 3 CUESTIONARIO DE CONTROL DE AUDITORIA DE SISTEMAS ....................................................................... 32
TABLA 4 CLASIFICACIÓN, CALIFICACIONES Y CRITERIOS USADOS .......................................................................... 41
TABLA 5 DEFINICIÓN DEL RIESGO.......................................................................................................................... 41
TABLA 6 IDENTIFICACIÓN DE RIESGOS ................................................................................................................... 42
TABLA 7 MATRIZ DE RIESGOS DE BASE DE DATOS ................................................................................................. 44
TABLA 8 MATRIZ DE RIESGOS DE REDES Y COMUNICACIONES ................................................................................ 45
TABLA 9 MATRIZ DE RIESGOS DE CONTROL DE SEGURIDAD LÓGICA....................................................................... 46
TABLA 10 MATRIZ DE RIESGOS DE COMPRAS Y GARANTÍA DE HW......................................................................... 46
TABLA 11 MATRIZ DE RIESGOS DE SEGURIDAD DE INSTALACIONES ........................................................................ 47
TABLA 12 MATRIZ DE RIESGOS DE CONTINUIDAD DEL NEGOCIO............................................................................. 48
TABLA 13 MATRIZ DE RIESGOS DE ENTRENAMIENTO DEL PERSONAL ...................................................................... 48
TABLA 14 MAPA DE RIESGOS ................................................................................................................................ 49
TABLA 15 NORMATIVIDAD: CIRCULAR 038 DE SPTIEMBRE DE 2009 - COBIT 5......................................................... 50
TABLA 16 PROGRAMACIÓN DE PRUEBA DE AUDITORÍA........................................................................................... 52
TABLA 17 PRUEBA P001 POLÍTICAS DE CONTROL DE ACCESO A BASE DE DATOS ..................................................... 56
TABLA 18 PRUEBA P002 POLÍTICAS DE CREACIÓN DE USUARIOS Y CONTRASEÑAS.................................................. 57
TABLA 19 PRUEBA P003 POLÍTICAS DE SELECCIÓN DE PERSONAL........................................................................... 58
TABLA 20 PRUEBA P004 DOCUMENTACIÓN ENTREGADA AL PERSONAL. ................................................................. 59
TABLA 21 PRUEBA P005 CONTRATO CON PROVEEDOR DE ALOJAMIENTO DE SERVIDORES ....................................... 60
TABLA 22 PRUEBA P006 RECUPERACIÓN DE INFORMACIÓN.................................................................................... 61
TABLA 23 PRUEBA P007 CONTROL DE CAMBIOS. ................................................................................................... 62
TABLA 24 PRUEBA P008 DOCUMENTACIÓN SOBRE LA BASE DE DATOS DEL VASP.................................................. 63
TABLA 25 PRUEBA P009 GARANTIZAR QUE CADA USUARIO SE AUTENTIQUE AL INGRESAR A KA RED EMPRESARIAL 64
TABLA 26 PRUEBA P010 COMPROBAR LA SEGURIDAD CONFIGURADA DE SEGURIDAD DEL SOFTWARE UTILIZADO
PARA LA CONEXIÓN REMOTA. ...................................................................................................................... 65
TABLA 27 PRUEBA P011 VALIDAR EL ACCESO A LAS PERSONAS QUE INGRESAN A LAS INSTALACIONES Y QUE
TRABAJOS SE DISPONEN A REALIZAR............................................................................................................ 66
TABLA 28 PRUEBA P012 COMPROBAR LA INTEGRIDAD DEL CABLEADO ESTRUCTURADO......................................... 67
TABLA 29 PRUEBA P013 VERIFICAR LAS POLÍTICAS DE ACCESO A INTERNET CONFIGURADAS EN EL FIREWALL........ 68

13. TABLA 30 PRUEBA P014 VERIFICAR LA CONEXIÓN DE RED A INSTALADA EN LAS OFICINAS Y LA PRESTACIÓN DEL
SERVICIO POR PARTE DEL PROVEEDOR. ........................................................................................................ 69
TABLA 31 PRUEBA P015 COMPROBAR LAS CONFIGURACIONES DEL FIREWALL POR PARTE DEL PROVEEDOR. ........... 70
TABLA 32 PRUEBA P016 VERIFICAR LEL FUNCIONAMIENTO DE LA UPS. ................................................................. 71
TABLA 33 PRUEBA P017 VERIFICAR LOS LOGS DE LSO BACKUPS REALIZADOS........................................................ 72
TABLA 34 PRUEBA P018 VERIFICAR EL PROCEDIMIENTO PARA LAS PRUEBAS DE CAMBIOS EN EL CÓDIGO FUENTE... 73
TABLA 35 PRUEBA P019 VERIFICAR EL SOFTWRAE INSTALADO EN LOS EQUIPOS DE CÓMPUTO................................ 74
TABLA 36 PRUEBA P020 REVISAR LAS LICENCIAS DEL SOFTWARE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ........ 75
TABLA 37 PRUEBA P021 COMPROBAR LA ELIMINACIÓN DE ARCHIVOS TEMPORALES Y OBSOLETOS......................... 76
TABLA 38 PRUEBA P022 REVISIÓN DEL CUBRIMIENTO DE LA GARANTÍA DE LOS EQUIPOS DE CÓMPUTO. ................. 77
TABLA 39 PRUEBA P023 CONFIRMAR LA CAPACITACIÓN DEL PERSONAL DE SOPORTE TÉCNICO DE EQUIPOS DE
CÓMPUTO.................................................................................................................................................... 78
TABLA 40 PRUEBA P024 REVISAR LAS ESPECIFICACIONES TÉCNICAS DE LOS EQUIPOS DE CÓMPUTO NECESARIOS PARA
LA LABOR EN LA COMPAÑIA......................................................................................................................... 79
TABLA 41 PRUEBA P025 SUPERVISAR LOS ELEMENTOS DE OFICINA........................................................................ 80
TABLA 42 PRUEBA P026 CONFIRMAR EL FUNCIONAMIENTO DE LA VENTILACIÓN DE LA OFICINA............................. 81
TABLA 43 PRUEBA P027 VERIFICACIÓN DE LA LUMINOSIDAD DE LOS DIFERENTES ESPACIOS DE LA COMPAÑIA. ...... 82
TABLA 44 PRUEBA P028 COMPROBAR LAS SEÑALIZACIONES DE EMERGENCIA INSTALADOS EN LA COMPAÑÍA......... 83
TABLA 45 PRUEBA P029 VALIDAR LOS CARGOS Y LOS PROCESOS ESTABLECIDOS PARA LA CONTINUIDAD DEL
NEGOCIO. .................................................................................................................................................... 84
TABLA 46 PRUEBA P030 CONTINUIDAD DEL NEGOCIO POR PARTE DE LOS PROVEEDORES Y DISTRIBUIDORES........... 85
TABLA 47 PRUEBA P031 VERIFICAR LAS ESTRATEGIAS PARA LA MEJORA DEL PLAN DE CONTINUIDAD DEL NEGOCIO.
................................................................................................................................................................... 86
TABLA 48 PRUEBA P032 RESPALDO DE LA INFORMACIÓN....................................................................................... 87
TABLA 49 PRUEBA P033 REANUDACIÓN DE LAS OPERACIONES DESPUÉS DE UNA INTERRUPCIÓN............................. 88
TABLA 50 PRUEBA P034 REALIZACIÓN DE LOS BACKUPS. ...................................................................................... 89
TABLA 51 PRUEBA P035 RUSTAS DE ESCALAMIENTO PARA LA CONTINUIDAD DEL NEGOCIO TRAS UNA EVENTUAL
CATÁSTROFE. .............................................................................................................................................. 90
TABLA 52 PRUEBA P036 VALIDAR LOS CONTROLES DE ACCESO............................................................................. 91
TABLA 53 PRUEBA P037 ACTUALIZACIONES DE LAS DESCRIPCIONES Y REQUISITOS DE LOS PUESTOS DE TRABAJO... 92
TABLA 54 PRUEBA P038 TIEMPO DETERMINADO PARA CUBRIR UNA VACANTE....................................................... 93
TABLA 55 PRUEBA P039 POLÍTICAS PAR EL RECLUTAMIENTO INTERNO Y EXTERNO. ............................................... 94
TABLA 56 PRUEBA P040 FORMULARIOS DE DESEMPEÑO DE LOS EMPLEADOS.......................................................... 95
TABLA 57 PRUEBA P041 PLANES PARA CUBRIR LAS VACANTES EN UN FUTURO. ..................................................... 96

14. TABLA 58 PRUEBA P042 PROCESO DE CAPACITACIÓN. ........................................................................................... 97

15. 15
RESUMEN
En este proyecto se observará como se desarrolla una auditoria de sistemas de información
a una aplicación de la empresa SMSAMERICA LTDA. Esto para mostrar a la alta gerencia de la
compañía las fortalezas y vulnerabilidades de las políticas y procedimientos implementadas sobre
el software con respecto al manejo de la información, la estructura de los datos, la seguridad de
esta aplicación y los tiempos de respuesta hacia los clientes internos y externos. Todo esto tomando
como base a normas y estándares internacionales como COBIT para brindar opciones de mejora y
posibilidades de crecimiento para esta empresa.
Palabras clave: Auditoria, políticas, procedimientos, estándares, bases de datos, software,
COBIT, ISO, normas
ABSTRACT
In this project, will be an audit of information systems develops an application of the
company SMSAMERICA LTDA. This to show senior management of the company's strengths
and vulnerabilities of the policies and procedures implemented on the software with respect to
information management, the structure of the data, the security of this application and response
times to customers internal and external. All this based on international norms and standards such
as COBIT to provide options for improvement and growth opportunities for the company.
Keywords: Audit, policies, procedures, standards, databases, software, COBIT, ISO
standards.

16. 16
INTRODUCCIÓN
El mercado de mensajería móvil en Latinoamérica y especialmente en Colombia ha venido
sufriendo una caída en sus ingresos, por lo cual estas empresas han ido buscando nuevas
alternativas de captación de clientes. Debido a la necesidad de dar una respuesta rápida a los
requerimientos de clientes internos y externos, sus procesos no tienen un desarrollo, ni
metodología clara, lo cual ha permitido la perdida de información y falla en los procesos.
Es por esto que la empresa SMSAmericas Ltda., ha visto la necesidad de implementar
controles, políticas y planes de mejora, que le permitan diseñar y ejecutar sus procesos de la manera
adecuada, proporcionando disponibilidad rápida y eficiente de la información, dándoles la
oportunidad de aprovechar el tiempo para desarrollar e incursionar en nuevos mercados.
Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna para el sistema
de información VASP, que sea fácil de aplicar en la empresa y sin que ello implique un alto costo.
A continuación, se describen algunas de las falencias que se han identificado hasta el
momento y que se deben atacar:
 Demora en obtener la información debido a la falta de centralización.
 Fallas en los controles de acceso que no permite identificar responsables de los
cambios que pueden afectar el desarrollo del negocio.
 Falta de políticas de seguridad de la información.
 Falta de documentación de los desarrollos y procesos internos.
 Se necesita implementar mecanismos de control de cambios, que permitan
disminuir el riesgo de fallas en producción.
 Definir planes de contingencia que permitan la continuidad del negocio.
 Mantener procesos que permitan validar la calidad del software.

17. 17
 Controlar el acceso a la base de datos de tal manera que se disminuya la posibilidad
de pérdida o daños de la información.
Por lo cual, al desarrollar el plan de auditoría interna para el sistema de información Core
de la empresa, les dará herramientas que permitirán mejorar sus procesos y sacar mayor provecho
a los recursos físicos, tecnológicos y humanos con los que cual cuentan actualmente.
Se utilizará como referencia el modelo COBIT para auditar la gestión y el control de los
sistemas de información internos de la organización. Y con el acompañamiento y dirección del
director IT y del equipo de tecnología, se recopilará la información y el estado de cada proceso, a
través de entrevistas, encuestas y visitas, para identificar los puntos más críticos y enfocar en ellos
el plan de auditoría.

18. 18
1 GENERALIDADES DEL TRABAJO DE GRADO
1.1 LÍNEA DE INVESTIGACIÓN
La línea de investigación que adopta este proyecto es La Gestión Integral y Dinámica de
las Organizaciones Empresariales, según lineamientos de la Universidad Católica de Colombia.
Como sub-línea se puede determinar que está en la rama de la Auditoria de sistemas en
pequeñas empresas.
1.2 PLANTEAMIENTO DEL PROBLEMA
1.2.1 Antecedentes del problema
En las últimas décadas en Colombia se ha aumentado la cantidad de medianas y pequeñas
empresas en el país. En 2013 había 2.9 millones de estas empresas registradas en la cámara de
comercio y responden al 40% del PIB nacional. Este dato es tomado de un artículo de la revista
DINERO del 16 de septiembre de 2015, articulo “La revolución de las “Big Litte” colombianas”.
Para poderse mantener en el mercado y no terminar siendo “absorbidas” por las grandes
empresas, estas PYME deben prestar más atención a todo lo relacionado con la tecnología, y
manejo de la información. Esto lleva a que deban certificar todos los procesos internos de la
compañía y para esto se requiere auditoria para evaluar todo el sistema, verificar como están los
controles y emitir un diagnostico que permita mantener de forma adecuada la infraestructura
tecnológica y la integridad de la información. (Revista Dinero, 2015)
La PYME de mensajería móvil que se está tomando como base para realizar el plan de
auditoria a tratado de implementar mecanismos de control, documentación y centralización de la
información utilizando herramientas como Wikis y Google Sites, los cuales se han quedado cortos

19. 19
al momento de atender las necesidades de la empresa. Esto ha hecho que la información se
encuentre dispersa y no centralizada, dificultando el acceso rápido a la misma.
Se buscaron algunos trabajos de grado e investigaciones que colaboraran como base
documental para el desarrollo del plan de auditoria que se busca realizar para una PYME de
mensajería móvil. Los proyectos tomados son:
• Seminario de Integración y Aplicación “Auditoria en PYMES”. Este trabajo fue
elaborado por Roxana Julia Russo de la Universidad de Buenos Aires.
Aporte. Aunque es un proyecto que va dirigido a información de los estados contables,
otorga una mirada a la aplicación de la auditoria de para empresas PYMES.
• Tesis Una Metodología Para Auditar Tecnologías De Información. fue
elaborada por los estudiantes de la Facultad de Ingeniería de la Universidad Nacional Autónoma
de México, David Plata Sánchez y Eduardo Hilario Ponce Casanova, como requisito para obtener
en Título de Ingeniero en Computación. La Tesis se realizó bajo la dirección del Ing. Heriberto
Olguín Romo en septiembre de 2009.
Aporte. Este proyecto aporto algunas herramientas para la realización de auditorías de
tecnologías de información (TI), asimismo, ponen a disposición unas recomendaciones para sean
tenidas en cuenta al momento de dar recomendación sobre las políticas, normas o procedimientos
a mejorar en la empresa auditada.
1.2.2 Pregunta de investigación
Debido a la disminución del uso de mensajes móviles en el mercado colombiano, causadas
por el aumento de uso de herramientas como WhatsApp, Line, Facebook, Twitter, e incluso el
mismo internet, entre otras. Las empresas de mensajería móvil en los últimos años han venido

20. 20
sufriendo una caída en sus ingresos, lo cual ha llevado a que deban buscar nuevas estrategias de
recuperación.
Dentro de ellas buscar alternativas de nuevos mercados y mejoras en la calidad de sus
procesos, por lo cual al diseñar un modelo o plan de auditoria interna para su sistema de
información VASP, se busca que al ejecutarlo, les proporcione herramientas que ayuden a
encontrar puntos de falencia, para así poder desarrollar e implementar mecanismos de control que
permita dar soluciones optimas y de calidad, para poder mejorar sus procesos y tiempos de
respuesta a sus usuarios y clientes finales, aumentado así el tiempo de incursionar en nuevas
actividades de recuperación del mercado (Como el desarrollo de juegos de celular, desarrollo de
CRMs, entre otras).
Debido a que el VASP fue un desarrollo a la medida para la empresa SMSAmericas, con
el pasar de los años, este se ha expuesto a cambios que no han sido desarrollados bajo una
metodología concreta, ni con el análisis y pruebas debidas. Por lo cual, al tratar de implementar
dichos cambios, se ha expuesto el negocio a varios problemas (Saturación de los servidores o Base
de datos, Errores en la lógica de negocio, Indisponibilidad de la plataforma, entre otros) que han
generado quejas por parte de los usuarios, multas por parte de los operadores y pérdida de ingresos
durante horas o incluso días. Lo cual hace necesario que se ejecuten procesos de auditoria sobre
cada uno de los ambientes que comprenden dicho sistema (Base de Datos, Software, Redes y
Continuidad del negocio), con el fin de mitigar y reducir las falencias que actualmente se tienen y
poder brindar al nuevo desarrollo del VASP 3, los mecanismos de control y calidad necesarios
para dar una respuesta rápida y eficaz.
¿De qué manera se realiza un plan de auditoria para el sistema de información VASP de la
empresa de mensajería móvil SMSAmericas Ltda.?

21. 21
1.3 JUSTIFICACIÓN
La empresa de mensajería móvil SMSAMERICAS, debido a la caída del mercado no
dispone de los recursos necesarios para efectuar una auditoria en sus procesos, lo cual no le permite
disponer de mayores competencias para crecer y posicionarse en el mercado, quedándose atrás con
respecto a su competencia directa e indirecta.
Por lo cual se busca diseñar un modelo de auditoria para el sistema de información VASP,
sin que esto implique un alto costo para la empresa, permitiendo a su vez obtener un diagnostico
muy exacto y real del estado de sus procesos, dándole las herramientas necesarias, para la toma de
decisiones y creación de medidas de control que permitirá la mejora en la calidad del sistema y
tiempo de respuesta a las solicitudes que se le realizan.
Actualmente se cuenta con el conocimiento del VASP, sus procedimientos y manejo, por
lo cual es viable poder identificar las necesidades de la empresa y así poder proponer un modelo
que pueda cumplir con sus expectativas y necesidades.
1.4 OBJETIVOS
1.4.1 Objetivo general
Diseñar un plan de auditoria para el sistema de información VASP, implementado en la
empresa de mensajería móvil SMSAmericas Ltda.
1.4.2 Objetivos específicos
• Recopilar la información asociada al sistema de información VASP para generar un
diagnóstico del sistema acertado.
• Analizar la información recolectada del sistema de información VASP, haciendo
uso de normas y estándares internacionales.

22. 22
• Diseñar y evaluar el plan de auditoria para el sistema de información VASP, de
acuerdo a la información recolectada.

23. 23
2 MARCOS DE REFERENCIA
2.1 MARCO CONCEPTUAL
2.1.1 Wiki.
Un wiki es una colección de documentos web escritos en forma colaborativa. Básicamente,
una página de wiki es una página web puede crear desde el navegador de Internet, sin que necesiten
saber HTML. Un wiki empieza con una portada. Cada autor puede añadir otras páginas al wiki,
simplemente creando un enlace hacia una página (nueva) que todavía no existe.
Los wikis obtuvieron su nombre del término hawaiano "wiki wiki," que significa "muy
rápido". Un wiki es, de hecho, un método rápido para crear contenido como grupo. Es un formato
tremendamente popular en la web para crear documentos como un grupo. Usualmente no existe
un editor central del wiki, no hay una sola persona que tenga el control editorial final. En su lugar,
la comunidad edita y desarrolla su propio contenido.
Emergen visiones de consenso del trabajo de muchas personas sobre un documento.
(Moodle, 2016)
2.1.2 Google Sites.
Es una aplicación online gratuita ofrecida por la empresa estadounidense Google. Esta
aplicación permite crear un sitio web o una intranet de una forma tan sencilla como editar un
documento. Con Google Sites los usuarios pueden reunir en un único lugar y de una forma rápida
información variada, incluidos vídeos, calendarios, presentaciones, archivos adjuntos y texto.
Además, permite compartir información con facilidad para verla y compartirla con un grupo
reducido de colaboradores o con toda su organización, o con todo el mundo. (Wikipedia, 2016)

24. 24
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas)
Es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA
(Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el
departamento de informática de una compañía.
Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave
(KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para
recoger datos que la compañía puede usar para alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes
que abarcan 318 objetivos:
• Entrega y asistencia técnica
• Control
• Planeamiento y organización
• Aprendizaje e implementación (Benchmark, 2016)
2.1.4 ISACA (isaca.org)
Ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo
digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin
ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity
Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio
para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y
certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones
globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information
Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y

25. 25
Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200
capítulos en todo el mundo. (ISACA, 2016)
2.1.5 Circular Externa 038 de 2009 - Superfinanciera
La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de
servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento. Por lo tanto, se tendrá que velar porque el diseño del SCI para la gestión de la
tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las
exigencias normativas sobre la materia. De otra parte, el sistema deberá ser objeto de evaluación
y el mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales
y a la prestación de los servicios en las condiciones señaladas.
Las entidades deben establecer, desarrollar, documentar y comunicar políticas de
tecnología y definir los recursos, procesos, procedimientos, metodologías y controles necesarios
para asegurar su cumplimiento. (Superintendencia Financiera de Colombia, 2009)
2.1.6 Riesgo
La incertidumbre de que ocurra un evento y pueda tener un impacto en el logro de los
objetivos. El riesgo se mide en términos de impacto y probabilidad. (Instituto de Auditores
Internos, 2012)
2.1.7 Amenaza
Es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto
periodo de tiempo, en un sitio dado.

26. 26
En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo,
de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de
exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y
durante un tiempo de exposición determinado.
Una amenaza informática es un posible peligro del sistema. Puede ser una persona
(cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (UNAD, 2016)
2.1.8 Vulnerabilidad
Es el grado de pérdida de un elemento o grupo de elementos bajo riesgo, resultado de la
probable ocurrencia de un suceso desastroso expresada en una escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la
factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno que caracteriza la
amenaza.
En el campo de la informática, la vulnerabilidad es el punto o aspecto del sistema que es
susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o
aspectos falibles o atacables en el sistema informático. (UNAD, 2016)
2.1.9 Probabilidad
Para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o
cuantitativamente, considerando lógicamente, que la medida no debe contemplar la existencia de
ninguna acción de control, o sea, que debe considerarse en cada caso que las posibilidades existen,
que la amenaza se presenta independiente del hecho que sea o no contrarrestada. (UNAD, 2016)

27. 27
2.1.10 Impacto
Son las consecuencias de la ocurrencia de las distintas amenazas y los daños por pérdidas
que éstas puedan causar. Las pérdidas generadas pueden ser financiaras, económicas, tecnológicas,
físicas, entre otras. (UNAD, 2016)
2.2 MARCO TEÓRICO
El proyecto realizado es un es un plan de auditoria diseñado específicamente para una
PYME de mensajería móvil llamada SMSAmericas. Este tendrá como base los estándares de
mejores prácticas como COBIT e ISO, pero modificado para que se acomode a las necesidades de
la empresa mencionada.
SMSAmericas fue creada a mediado del 2004, iniciando su mercado en los países de
Colombia, Nicaragua, El Salvador y Ecuador. Y actualmente se encuentra en 9 países de
Latinoamérica. Por lo cual la primera versión que se desarrolló del VASP, era sencilla y su
esquema no era de fácil manejo, por lo cual con el pasar de los años se desarrolló el VASP 2, el
cual tiene un esquema mucho más estructurado, pero al que se le han tenido que implementar
desarrollos que no van acorde a su modelo, ni su estructura inicial.
Actualmente los 2 VASP se encuentran trabajando simultáneamente, cada uno haciéndose
cargo de mecánicas específicas.
• VASP 1 – Servicios de concurso, clasificaciones, trivias, juegos, etc.
• VASP 2 – Servicios de suscripción diaria (Que son la mayoría de los servicios), de
igual manera maneja los procesos de cobros que varían por operador.
• Actualmente se está trabajando en el desarrollo de VASP 3, el cual abarcara las
mecánicas que en su anterior versión no se contemplaba, al igual que manejara de

28. 28
manera más óptima la implementación de nuevas mecánicas que puedan salir con
el tiempo y el manejo óptimo de las peticiones realizadas a la plataforma.

29. 29
3 METODOLOGÍA
La presente investigación se basara en un enfoque mixto con los objetivos de control
contenidos en el estándar COBIT que brinda buenas prácticas a través de una marco referencial
las cuales, se enfocan fuertemente en el control e ilustran un modelo hacia procesos de acuerdo las
áreas de responsabilidad como lo son planear, construir, ejecutar y monitorear, ofreciendo una
visión de punta a punta de TI dentro de la empresa de mensajería móvil donde garantiza lo alineado
del negocio, el uso de los recursos responsables y la administración de los riesgos; por otro lado la
Circular 038 del 2009 que da un enfoque en el cumplimiento de los objetivos y la prestación de
servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento.
3.1 AUDITORIA BASADA EN RIESGOS
Tabla 1 Auditoria Basada en Riesgos
Conocimiento del Negocio
Presentacion del Plan de Auditoria a la Empresa
Levantamiento de Información
Analisis de la Información recolectada
Identificación de Riesgos por Entorno
Evalución de riesgos
Valoración de Riesgos
Realización de Pruebas
Politicas y Normativas de procedimientos de la Organización
Procedimientos Analiticos
Diseño de Pruebas detalladas por entorno
Recomendaciones en el entorno evaluado
Conclusiones del Plan de Auditoria
CONCLUSIÓN DEL PLAN DE AUDITORIA
PRUEBAS DE CUMPLIMIENTO
AUDITORIA BASADA EN RIESGOS
REALIZACIÓN DE PRUEBAS
COMPRENSIÓN DEL CONTROL INTERNO
RECOPILACIÓN DE LA INFORMACION Y PLANIFICACIÓN

30. 30
4 DESARROLLO
Con el siguiente capítulo se busca desarrollar uno a uno los objetivos presentados al inicio
de este documento.
Cada uno de los objetivos hacen parte de una fase del programa de auditoria de sistemas
diseñado para la empresa SMSAmericas y dirigidos al sistema de información VASP.
4.1 FAMILIARIZACION
La familiarización es la relación que deben tener los auditores inicialmente con la empresa
y más detalladamente con los empleados que están involucrados constantemente con los procesos
de esta.
Los auditores deben tener conocimiento de los objetivos de la actividad o procesos a
auditar, para esto deben obtener información detallada de los mismos.
Inicialmente se realizará una ficha técnica de los servidores que contienen el SI y la base
de datos y equipos que son usados en la empresa para acceder a estos. Tabla 2 Ficha
Tabla 2 Ficha Técnica
FICHA TÉCNICA
OBJETIVO DE LA APLICACIÓN
Gestionar la recepción y envíos de mensajería móvil en tiempo real y con disponibilidad 7/24, manejando
diferentes mecánicas, adicional de gestionar el proceso de cobro de diferentes operadores de acuerdo a las
políticas de cada uno.
ESTADO
En producción.
DEPENDENCIAS
Área Comercial, Operativa y Clientes Externos.

31. 31
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
S.O. Red Hat Ram: 32 Gigas Cualquier Navegador (Explorer, FireFox,
Opera, Chrome, etc)
Ram: 1GB
BD:
Postgres/pgs
ql-9.0
Disco Duro:
1 Raid Cero y 1 Raid 5 con 3
discos de 1.2 Teras.
- Microsoft Office desde versión 2003 en
adelante.
- S.O Linux cualquier versión.
- Mac OS X
Disco Duro:
Superior a 80
Gigas
Procesador:
Intel Xeon Processor E5-4669
v3 (45M Cache, 2.10 GHZ) 18
Núcleos.
Windows 7 en adelante.
Procesador:
Desde Dual
Core.
REDES
Servidor PCs
Canal dedicado de 20 Megas, se tiene un
Juniper, un Switch
Una buena conexión a internet
MÓDULOS
1) Alta a suscripción diaria:
* Combo text avance y wap
club
* Combo Texto Programado y
Wap Push
* Combo Texto y Wap Push
* Combo text y wap club
* Contenido ordenado por
fecha
* Contenido ordenado por
secuencia infinita
* Doble opt-in
* Double Send Free Welcome
and Content
MO
* Un solo opt-in para
contenido definido
* Un solo opt-in para
contenido programado
* Wap push del club
* Welcome + Url Portal with
bill
* Welcome + URL y adiciona
registro en mongo Miknal
* Welcome y guarde en
mongo para completar mecanica
adicional
* Welcome y Wap Push with
bill
* Welcome y Wap Push
without bill
* Welcome y Wap Push
without bill Type Club
* Welcome y Wap Push
without bill Type Club y Miknal
2) Generación de Batchs
3) Generación de Mts
4) Mecanicas Ondemand
* Trivias
* Clasificaciones
* Tarjetas
5) Generación de cobros.
* Tornado
* SMT
* CDC
* Por MT
6) Recobros
7) Validación de palabras (Baja,
Info, Ayuda).
8) Reminder Messages
9) Envio de Noticias.
OTRA DOCUMENTACIÓN
No hay.

32. 32
Para continuar con este acercamiento se diseñó un Cuestionario con preguntas sobre los
entornos involucrados en el sistema de información VASP de la empresa SMSAmericas. Dichas
preguntas fueron formuladas a la persona responsable del personal que realiza las operaciones
cotidianas sobre este SI.
Los entornos que fueron consultados son: Base de datos, Redes y comunicaciones, Control
de Seguridad Lógica e Informática, Control de Compras y Garantía de Hardware, Control y
Seguridad de Instalaciones, Control de Impacto Ambiental, Control Seguridad Física, Control de
Riesgos, Control de Entrenamiento y Control de Mesa de Ayuda.
4.1.1 Cuestionario de Control de Auditorias de Sistemas.
A continuación, se describe una parte de las plantillas de preguntas aplicadas a los
empleados de SMSAmericas, ver Tabla 3. Para acceder a los cuestionarios completos, ver el anexo
número 1.
Tabla 3 Cuestionario de Control de Auditoria de Sistemas

33. 33
4.1.2 Familiarización por Entornos
En los siguientes numerales se podrá observar la familiarización por cada uno de los
entornos seleccionados. Esta familiarización salió a partir del cuestionario anterior.
4.1.2.1 Bases de Datos
Se realiza un levantamiento de información de los procesos, tecnología, redes, base de
datos asociados al sistema de información VASP, en esta se indica que la base de datos no cuenta
con logs que registren las acciones que se efectúan sobre esta. Aunque indican que realizan copias
de seguridad a los datos y tablas más importantes, diaria o semanalmente de acuerdo al volumen
de información que se mueva en estas. Se observa que los usuarios que ingresan a la base de datos
del área de sistema tienen acceso a la base de datos, donde pueden ingresar, borrar o modificar la
información de la misma sin tener un registro propio, ni restricción de cada usuario, ya que estos
utilizan el mismo usuario. Actualmente no hay un administrador propio de base de datos, ni de la
gestión o creación de usuarios. Ya que se tiene el mismo usuario y la mayoría de los procesos lo
utilizan, no se realiza cambio de la clave, pero para acceder a la base de datos desde un navegador,
se cuenta con otro acceso, la cual permite hacer el cambio de la contraseña sin afectar los procesos
actuales.
Debido a que la persona que diseño e implemento la base de datos ya no se encuentra y no
se pudo hacer una entrega formal del puesto, falta el modelo Entidad Relación, diccionario de
datos o algún diseño físico o lógico que permita entender la estructura de manera rápida.
Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.
El volumen de información (Causada por la cantidad de envíos) va creciendo a diario, por
esto, es necesario hacer backups de las tablas de envíos, donde a diario, en horas de la noche se
corre un proceso que cambia de servidor la tabla del día anterior, dejando solo la tabla del día

34. 34
actual en el servidor principal. Y cada mes se hace el backup del mes anterior y se restaura en otro
servidor, para tener disponible la información de envíos de los últimos 6 meses.
Los backups se tienen en 2 de los servidores principales (Contratados con el proveedor),
de igual manera se tiene otro servidor en la oficina, el cual es espejo de uno de los servidores del
proveedor. Y a medida que el espacio de estos servidores se va agotando, se bajan a algunos
computadores de la oficina.
Si se sufre de daños en algunos de los equipos de cómputo de la empresa, se tienen otros
de respaldo con características similares. Y si se presenta algún otro tipo de problema o se va la
luz, se puede acceder desde los equipos que se encuentran en la casa de algunos de los empleados.
Cuando se solicitan hacer cambios sobre la base de datos o el sistema de información
VASP, se debe recibir un correo con la solicitud formal y se confirma el cambio por Skype, correo
o WhatsApp con la persona que lo solicito. De igual manera todo cambio sobre el sistema queda
guardado y almacenado por versiones, permitiendo devolver a una versión anterior en el caso de
que el cambio que se hizo, no responda de acuerdo a lo solicitado, así mismo todo cambio principal
se deja documentado en una bitácora.
A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el VASP, cada empleado cuenta con su usuario
y contraseña, permitiendo identificar quien realizo cada cambio. Este acceso es entregado a cada
desarrollador y es desactivado cuando alguno ya no se encuentra en la empresa, por parte de un
proveedor que se encuentra en planta.
Actualmente la base de datos no cuenta con procesos o herramientas de auditoria.

35. 35
Si se presenta un problema con la base de datos en el servidor principal, se tiene un respaldo
de esta en otro servidor y viceversa, al igual que se cuentan con los backups de las tablas
principales.
4.1.2.2 Redes y Comunicaciones
Todos los equipos se encuentran conectados al router principal y en el momento no se hace
gestión alguna sobre la red inalámbrica.
Si se evidencia algún ataque a la red, se procede a hacer las validaciones y a hacer pruebas
sobre esta cuando se considera necesario. La longitud del cableado de la red no excede los 90
metros y hace falta tener un estándar de colores con el cableado. El mapa de la estructura de los
nodos de la red se tiene de manera informal, aunque es fácil de identificar debido a que la oficina
actual es más pequeña.
El firewall está a cargo del proveedor para el acceso a los servidores.
Para poder conectarse a los servidores el router principal cuenta con una IP fija la cual tiene
la autorización de acceso a estos y los equipos de cómputo tienen configuradas las direcciones IP
por medio de DHCP.
No se hace uso de conmutadores, ya que no se trabaja con una red LAN. Se cuenta con
UPS, para regular el voltaje, al igual que el sistema eléctrico cuenta con polo a tierra, con el fin de
disminuir la posibilidad de daños en los equipos.
No se cuenta con un sistema de control de acceso al centro de cómputo, no se tiene
implementado un modelo de QoS. A nivel de la red local de la oficina, no se tiene implementado
más allá de los antivirus y de los sistemas operativos (Linux y Mac) para evitar ataques externos.

36. 36
En caso de presentarse fallas con el proveedor principal de internet, se cuenta con un
proveedor de backup que está disponible en todo momento, el cual permite conectarse y trabajar a
todos los empleados de la empresa para continuar con las actividades diarias.
Debido a que no se tiene un área de telecomunicaciones, el proveedor de planta valida
algunos temas que se puedan presentar con la red, pero no se llevan a cabo pruebas internas de
ataques periódicas para detectar posibles vulnerabilidades.
4.1.2.3 Control de Seguridad Lógica e Informática
Actualmente la empresa cuenta con procesos automáticos que generan backups diarios de
la información principal de cada servidor y base de datos, que es almacenada afuera del servidor
y cuando se exceden los 60 días, algunos backups se descargan a equipos y en el servidor de la
oficina.
Para desarrollar cualquier tipo de cambio sobre el VASP, se debe tener su propio usuario
y contraseña, la cual es intransferible, proporcionada por el proveedor que se encuentra en planta.
Actualmente no se pide cambio de contraseña, pero esta cumple con la política de números
y letras.
Si se presenta algún problema con el VASP, se entra a analizarlo y a corregir los problemas
en el menor tiempo posible, y por lo general no maneja mantenimiento correctivo.
La mayoría de equipos tienen como sistema operativo Linux o Mac y los que son Windows
cuentan con el antivirus propio del sistema.
La mayoría de software que se tiene en la empresa es libre, pero se cuenta con la licencia
del paquete Office, que está distribuida de acuerdo a la cantidad de equipos que permite.

37. 37
Si un empleado instala software no permitido, este tiene una sanción.
No se tienen áreas restringidas, por esto no se controla el acceso a la oficina.
Los equipos que se encuentran en uso, cuentan con las capacidades tanto en disco, RAM,
procesador, etc. que se requieren para las actividades diarias.
4.1.2.4 Control de Compra y Garantía de Hardware
Desde el área administrativa no existe un inventario formal actualizado de los equipos que
se tienen actualmente. Los equipos ya tienen la garantía expirada y no hay un plan de
mantenimiento preventivo de los computadores.
Si algún equipo necesita mantenimiento, este es realizado por el mismo equipo del área de
TI. Solo en caso de que se presente un daño grave, es llevado a una empresa de mantenimiento
especializada.
Cuando se necesita adquirir un nuevo equipo, se cuenta con un proceso informal de
validación de las características principales, pero no se tiene un proceso establecido que permita
identificar a tiempo cuando es necesario hacer el cambio y comprar nuevos equipos.
En caso de daños o problemas en la infraestructura de la empresa, se tiene un acuerdo con
algunos empleados para hacer teletrabajo, permitiendo la continuidad del negocio.
Cualquier instalación de software en los servidores de producción se hace con la
autorización previa del IT o el proveedor de planta, ya que se debe habilitar el usuario o se debe
hacer con el usuario administrativo.

38. 38
Para poder trabajar desde afuera de la oficina, se debe tener registrada la IP, o se debe
acceder a los computadores de la oficina.
4.1.2.5 Control y Seguridad de Instalaciones
La oficina donde se encuentra la empresa, se encuentra acondicionada para funcionar como
el área de TI y el equipo y recursos que fueron entregados a cada empleado, cumplen con las
características necesarias para cumplir las actividades, sin afectar al empleado.
No se tienen lugares restringidos, el espacio es bueno y permite el acceso rápido y fluido.
El sistema de control de emergencias es inexistente, no se tienen extintores, alarmas o
detectores de humo. Únicamente se tiene una entrada y salida, por lo cual no hay salida de
emergencia. Si se cuenta con buena iluminación adentro de la oficina.
No se tienen implementados sistemas de seguridad que permita identificar rápidamente la
sustracción de equipos, información o recursos de la empresa. Esto se trabaja con el nivel de
confianza que se tiene en las personas de acuerdo a lo analizados en el proceso de selección del
personal.
No se permite fumar o beber bebidas alcohólicas dentro de la oficina, ni en horas laborales,
pero si se tiene permitido el consumo de comida. Todo esto se maneja de manera verbal y no por
escrita.
4.1.2.6 Control de Impacto Ambiental
Los procesos que midan y controlen el impacto ambiental que pueda generar la actividad
diaria de la empresa son nulos.

39. 39
4.1.2.7 Control Seguridad Física
Son escasas las áreas restringidas dentro de la empresa y no se lleva registro o control de
las personas que ingresan a la empresa.
Las contraseñas del sistema se cambian esporádicamente. En caso de presentarse algún
problema con la plataforma se procede con la revisión, análisis y solución de la falla en el menor
tiempo posible.
4.1.2.8 Control Riesgos
En el caso de presentarse algún desastre o problema mayor que impida trabajar desde las
instalaciones de la oficina, no se cuenta con un centro de cómputo alterno, el único medio para
continuar las actividades diarias, es que algunos de los empleados trabajen desde sus casas, dando
autorización de dichas IPs por parte del CEO.
No existe un proceso se mida y administre los posibles riesgos a los que está expuesta la
empresa.
Se tiene identificados cuales son los procesos críticos y a que se le debe dar prioridad ante
una falla del sistema, debido al impacto negativo que puede traer para la empresa de manera
informal.
4.1.2.9 Control de Entrenamiento
Cada vez que ingresa una nueva persona a formar parte del equipo se le explica el
funcionamiento principal del negocio y la plataforma y se le asigna una persona la cual está
pendiente de las inquietudes y trabajo de la persona.
Se tiene un proceso de entrenamiento inicial, el cual se maneja de manera informal y se le
da los accesos para estudiar la documentación de los procesos.

40. 40
No hay cursos de formación adicional en la empresa.
4.1.2.10 Control de Mesa de Ayuda
Cuando se presenta una falla se detienen las actividades y se le da prioridad a solucionar el
incidente en el menor tiempo posible, pero dependiendo del tipo de falla puede tardar una hora o
un día aproximadamente.
Problemas a nivel de infraestructura de la red o de la empresa, son esporádicas. A nivel de
la plataforma, ya sea por cobros o envíos, aunque ha bajado el porcentaje de problemas, se siguen
presentando fallas.
Se tiene una herramienta hecha a la medida que permite registrar las actividades, los
avances y el tiempo invertido en las solicitudes de los usuarios.
Cuando se está en una llamada, conferencia o charla por Skype u otro medio de
comunicación con los country manager, clientes o el CEO, el porcentaje de interrupción de estas,
es muy bajo.
4.2 ANALISIS DE INFORMACION OBTENIDA
En el siguiente capítulo se llevará a cabo la descripción del análisis realizado a la
información recopilada y entregada por parte de empresa SMSAmericas Ltda. donde se evidencio
que no contaban con una matriz, ni una gestión de riesgos apropiadas.
4.2.1 Definición y Calificación de Riesgos
Debido a las actividades diarias y a lo establecido con el área IT y las evidencias
encontradas, la clasificación, la definición, probabilidad y el impacto del riesgo para la empresa se
muestra a continuación. Ver Tabla 4, Tabla 5

41. 41
Tabla 4 Clasificación, Calificaciones y Criterios Usados
Tabla 5 Definición del Riesgo
De acuerdo a la familiarización del capítulo anterior, se realizó la matriz de riesgos y su
calificación (Realizada a cada entorno).
A continuación, se describen los riesgos encontrados a partir de la familiarización
realizada. Ver Tabla 6

42. 42
Tabla 6 Identificación de Riesgos
CODIGO RIESGO
R-01 Perdida de información de la base de datos, causada por robo desde la parte externa de la empresa.
R-02 Perdida de información de la base de datos, causada por robo desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por personal con mala intención.
R-04 Perdida de información de la base de datos, causada por desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información, causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del proveedor.
R-07 Eliminación de información, causada por el personal sin intención o por accidente.
R-08 Eliminación o daño de la información, causada por la ejecución de un proceso inadecuado.
R-09 Daño en la estructura de la base de datos, causada por administración inadecuada de la base de datos.
R-10 Daño de la estructura de la base de base de datos, causada por falta de documentación de su estructura.
R-11 Retrasos en la implementación de cambios en la base de datos, causada por administración inadecuada.
R-12
Daño en la base de datos, causada por falta de conocimiento del personal en la estructura de la base de
datos.
R-13 Robo de información a causa de intrusión a la red por personas ajenas a la empresa.
R-14 Daños en la estructura de la red, causados por ingreso a las oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la detección del cableado interno oportuno.
R-16
Infección de la red por causa de la permisividad al acceso a cualquier página de internet por parte de
los empleados.
R-17 Fallos en la conexión de red, causado por perdida del servicio del proveedor de Internet.
R-18 Ataques a la red a causa de malas configuraciones en el firewall por parte del proveedor.
R-19 Interrupción del servicio, causado por perdida del fluido eléctrico.
R-20 Perdida de información, causada por la no ejecución del proceso de Backup diario.
R-21
Daño del código del VASP, causado por hacer cambios directamente en producción y no en el sistema
de versiones.
R-22 Pérdida de ingresos para la empresa, causado por cambios inadecuados sobre el sistema VASP.
R-23
Generación de Multas por parte de los operadores de telefonía móvil, causadas por cambios inadecuados
sobre el sistema VASP.
R-24 Daño de equipos de cómputo, causado por instalación de software con virus.
R-25 Generación de Multas por parte de la Dian, a causa de instalación de software sin licencia de uso.
R-26 Perdida de información, causada por falta de espacio en los servidores.
R-27 Robo de equipos de cómputo, causado por personal con mala intención.
R-28 Daño de equipos de cómputo, a causa de fallas de fábrica.
R-29 Daño de equipos de cómputo, causado por arreglos hechos por personal no capacitado.
R-30
Perdida de dinero, causado por compra de equipos de cómputo no adecuados para llevar a cabo las
funciones diarias.

43. 43
R-31 Daño en los servidores, causado por instalación de software malicioso.
R-32 Perdida de información, causado por instalación de software malicioso.
R-33 Perdida de dinero, causado por compra de equipos que no cumplen con el objetivo de la compra.
R-34 Problemas de salud de los empleados, causado por implementos de oficina inadecuados.
R-35 Problemas de salud de los empleados, causado por ventilación inadecuada.
R-36
Demandas por parte de los empleados, a causa de caídas dentro de las instalaciones por cables eléctricos
o de red atravesados en los pasillos.
R-37 Fatiga visual de los empleados, causado por falta de iluminación adecuada dentro de las instalaciones.
R-38 Perdida de la vida de los empleados, causa por falta de salidas alternas ante una catástrofe natural.
R-39 Perdida de equipos de cómputo y objetos de la empresa, causadas por personal mal intencionado.
R-40 Perdida de información, causada por personal mal intencionado.
R-41 Perdida de información, causada por ingreso de personas externas a la empresa.
R-42
Perdida de equipos de cómputo y objetos de la empresa, causada por ingreso de personas externas a la
empresa.
R-43
Perdida de la infraestructura, recursos y de información, causada por incendio ocasionado por fumar
dentro de las instalaciones.
R-44 Pérdida de ingresos, causada por daño en las instalaciones.
R-45 Pérdida de ingresos, causada por no ejecutar todos los procesos que deben correr diariamente.
R-46
Generación de multas por parte de los operadores, causada por no ejecutar todos los procesos que deben
correr diariamente.
R-47
Cierre del contrato con el operador, causada por no ejecutar o la mala ejecución de los procesos que
deben correr diariamente.
R-48 Daño de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
R-49 Perdida de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
R-50
Generación de multas por parte de los operadores, causado por desconocimiento del personal sobre los
procesos de la empresa.
R-51 Rotación constante del personal, causado por no escalamiento dentro de la empresa.
R-52 Daño de la información, causado rotación constante del personal.
4.2.2 Análisis de riesgos en los diferentes entornos
A continuación, se realizará un análisis de riesgos en cada uno de los entornos mencionados
anteriormente en la familiarización.

44. 44
4.2.2.1 Entorno de Base de Datos
Después del análisis de la información recopilada se encuentra que la mayor amenaza a
nivel de la base de datos del sistema de información VASP es la perdida de información causada
por la ejecución de procesos inadecuados por parte del personal con o sin intención y aunque se
crean backups diarios, se evidencio que no siempre se revisa su estado y que se han presentado
problemas con tablas de las cuales no se tienen procesos de backups.
A continuación, se muestra la matriz y calificación de riesgos para el entorno de base de
datos. Ver Tabla 7
Tabla 7 Matriz de Riesgos de Base de Datos

45. 45
4.2.2.2 Redes y Comunicaciones
A nivel de la red de la empresa se encontró que está expuesta a daños de la misma, por falta
de controles para el acceso a las instalaciones de personal ajeno, lo cual hace potencial el ataque.
A continuación, se muestra la matriz de riesgos del entorno de redes y comunicaciones.
Ver Tabla 8
Tabla 8 Matriz de Riesgos de Redes y Comunicaciones
4.2.2.3 Control de Seguridad Lógica
Sobre el sistema de información VASP se encontró que cada empleado del área de sistemas
cuenta con un usuario y contraseña para la revisión y cambios sobre este a nivel del sistema de
versiones, pero se encuentra vulnerable a cambios directamente en el ambiente de producción, ya
que se ingresa con el mismo usuario al servidor y su nivel de gestión para mitigar los riesgos
evidenciados actualmente es muy débil.
A continuación, se describe la matriz de riesgos a nivel de Control de seguridad lógica. Ver
Tabla 9

46. 46
Tabla 9 Matriz de Riesgos de Control de Seguridad Lógica
4.2.2.4 Compras y Garantía de HW
A pesar de que la empresa no cuenta con un sistema de compras y garantía efectivo, no se
encontró evidencia de que esto afecte directamente a la operación del VASP.
A continuación, se muestra la matriz de riesgos para el entorno de Compras y garantía de
HW. Ver Tabla 10
Tabla 10 Matriz de Riesgos de Compras y Garantía de HW

47. 47
4.2.2.5 Seguridad de Instalaciones
Se encontró que el ingreso de personal ajeno a la empresa, es una de las vulnerabilidades
más latentes, ya que puede ocasionar perdida de información o de equipos.
También se encontró que hay deficiencia en los niveles de control para mitigar algunas
lesiones para los empleados.
A continuación, se muestra la matriz de riesgos del entorno de Seguridad de instalaciones.
Ver Tabla 11
Tabla 11 Matriz de Riesgos de Seguridad de Instalaciones
4.2.2.6 Continuidad del negocio
El mayor riesgo encontrado en este entorno es perder ingresos y el cierre del contrato con
cualquiera de los operadores causado por la ejecución inadecuada de los procesos que se deben
ejecutar a diario por parte del personal y por falta de documentación completa y actualizada de
cada proceso. Ver Tabla 12

48. 48
Tabla 12 Matriz de Riesgos de Continuidad del Negocio
4.2.2.7 Entrenamiento del Personal
En este entorno de acuerdo a la familiarización y al análisis inicial, se encontró que a pesar
de las acciones que la empresa ha tomado con respecto a la capacitación de los empleados nuevos
y los actuales, sigue presentando falencias.
Por lo cual el personal se considera como uno de los mayores riesgos y retos para la
organización, como se muestra a continuación. Ver Tabla 13
Tabla 13 Matriz de Riesgos de Entrenamiento del Personal

49. 49
4.2.3 Mapa De Riesgos
A continuación, se detalla el mapa de calor de acuerdo a la calificación de riesgos y se
observa que a la mayoría de riesgos encontrados se les debe hacer una validación mucho más
profunda con la auditoria. Ver Tabla 14
Tabla 14 Mapa de Riesgos
4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y
Cobit 5
Se toma la Circular 38 de septiembre de 2009 de la Superfinanciera como base normativa
para iniciar la compañía en el entorno de estándares internacionales ya que esta no tiene ninguna
norma como base. Luego de revisar de la Circular 038 cuales son los procesos que aplican para la
empresa SMSAmericas, se realiza una comparación con Cobit 5 para saber cuáles van a ser los
pilares para iniciar la empresa en estas buenas prácticas de reconocimiento internacional. Ver
Tabla 15

50. 50
Tabla 15 Normatividad: Circular 038 de Sptiembre de 2009 - Cobit 5
PROCE
SO
NORMATIVIDAD: CIRCULAR 038 DE SEPTIEMBRE DE 2009 -
SUPERFINANCIERA
RISGO
COBIT
5
INDICADOR DE GESTIÓN
7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.
I
Evaluación de la tecnología actual. R-26
PO5 /
AI3
Cantidad de procesos evaluados /
Cantidad de procesos
III Estudios de mercado y factibilidad de alternativas tecnológicas que
respondan a las necesidades de la entidad.
R-29 / R-30 / R-33
DS4 /
DS6
Cantidad de alternativas presentadas /
Cantidad de necesidades de la entidad
7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.
I Identificación clara del cambio a realizar en la infraestructura. R-22 AI6
Cantidad de cambios solicitados /
Cantidad de cambios de infraestructura
realizados
III Evaluación del impacto que ocasiona el cambio en la infraestructura. R-23
AI6 /
PO5
Cantidad de cambios evaluados /
Cantidad de realizados
III Procedimiento de autorización de los cambios. R-11 AI6
Cantidad de cambios solicitados / la
cantidad de cambios autorizados
IV Procedimiento de administración de versiones. R-21
PO9 /
AI6
Cantidad de incidentes solucionados en
cada versión / Cantidad de versiones
implementadas en un año.
V Políticas de distribución del software. R-24 / R-25
AI2 /
AI3
Cantidad de solicitudes de cambio /
Cantidad de Software con políticas de
distribución.
7.6.2.4 SEGURIDAD DE LOS SISTEMAS.
I Autorización, autenticación y control de acceso. R-01 / R-02 / R-39 / R-40 DS5
Cantidad de solicitudes de autorizadas /
Cantidad de solicitudes Autorizadas
II
Prevención y detección de código malicioso, virus, entre otros. R-03 / R-13 / R-31 / R-32 / R-18
DS4/
DS9
Cantidad de casos reportados / Cantidad
de detectados
III
Entrenamiento de usuarios. R-04 / R-07 / R-12 / R-48 / R-49 DS7
Empleados capacitados / Total de
empleados
7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.
I Establecer controles de entrada, procesamiento y salida para garantizar la
autenticidad e integridad de los datos.
R-05 / R-09
DS4 /
DS11
-

51. 51
II
Preservar la segregación de funciones en el procesamiento de datos y la
verificación rutinaria del trabajo realizado. Los procedimientos deberán
incluir controles de actualización adecuados, como totales de control
"corrida a corrida" y controles de actualización de archivos maestros.
R-08 / R-10 / R-45 / R-46 / R-47
DS7 /
AI6
Cantidad de Procesos no ejecutados por
semana / Cantidad de procesos
Ejecutados por semana
III Establecer los mecanismos necesarios para garantizar la integridad
continua de los datos almacenados.
R-20 DS4 -
IV Establecer controles para garantizar la integración y consistencia entre
plataformas. R-06 DS2
Cantidad de controles en las plataformas /
Total de plataformas
7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.
I Acceso a las instalaciones. R-14 / R-27 / R-28 / R-41 / R-42 DS5
Cantidad de incidentes de seguridad /
Cantidad de registro en las instalaciones
II Controles de seguridad física. R-43 / DS6 / R-44 DS12
Cantidad de ataques de seguridad
registrados bimensualmente / Cantidad de
sistemas de seguridad implementados
III Planeamiento de continuidad del negocio y administración de crisis. R-15 / R-16 / R-17 / R-19
DS4
Cantidad de ataques de seguridad
registrados bimensualmente / la cantidad
de sistemas de seguridad implementados
IV Salud y seguridad del personal.
R-34 / R-35 / R-36 / R-37 / R-38 /
R-51 / R-52
PO7
Cantidad de casos reportados de
accidentalidad / Total de Empleados
contratados Activos

52. 52
4.3 DISEÑO Y EVALUACION
4.3.1 Programación de Prueba de Auditoria
Inicialmente en este literal se realizará la programación de las pruebas de auditoría por
entornos. Ver Tabla 16
Tabla 16 Programación de Prueba de Auditoría
REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS TAB
ENTORNO: BASE DE DATOS
P001 Verificar si existe fuga de información, por falta de políticas de
control de acceso.
R-01 Tabla 17
P002 Verificar si existe fuga de información, por falta de políticas de
creación de usuarios y contraseñas.
R-02 Tabla 18
P003 Validar el proceso de selección de personal y ver si cumple con
los objetivos del negocio.
R-03, R-05 Tabla 19
P004 Validar si la documentación entregada al personal está
actualizada y si este cumple con el procedimiento estipulado.
R-04 Tabla 20
P005 Revisar el contrato con el proveedor que presta el servicio de
alojamiento de servidores Tenzing y confirmar si se tienen
cláusulas que permitan asegurar el buen estado de los
servidores, recuperación de la información ante un daño en las
instalaciones del proveedor.
R-06 Tabla 21
P006 Verificar el proceso de recuperación de información de la base
de datos, cuando es eliminada accidentalmente.
R-07, R-08 Tabla 22
P007 Validar el proceso de control de cambios establecidos para la
base de datos.
R-09, R-11,
R-12
Tabla 23
P008 Validar la documentación de la base de datos del sistema de
información VASP.
R-10 Tabla 24

53. 53
PROCESO: REDES Y COMUNICACIONES
P009 Garantizar que cada usuario se autentique al ingresar a la red
empresarial.
R-13 Tabla 25
P010 Comprobar la seguridad configurada en el software para acceso
remoto al SI VASP.
R-13 Tabla 26
P011 Validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar.
R-14, R-27,
R-39, R-40,
R-41
Tabla 27
P012 Comprobar la integridad del cableado estructurado. R-15, R-36 Tabla 28
P013 Verificar las políticas de acceso a internet configuradas en el
firewall.
R-16 Tabla 29
P014 Verificar la conexión de red instalada en las oficinas y la
prestación del servicio por parte del proveedor
R-17 Tabla 30
P015 Comprobar las configuraciones del firewall por parte del
proveedor.
R-18 Tabla 31
P016 Verificar el funcionamiento de la UPS. R-19 Tabla 32
PROCESO: SEGURIDAD LOGICA
P017 Verificar los logs de los backups realizados. R-20 Tabla 33
P018 Verificar el procedimiento para las pruebas de cambios en el
código fuente.
R-21, R-22,
R-23
Tabla 34
P019 Verificar el software instalado en los equipos de cómputo. R-24, R-31,
R-32
Tabla 35
P020 Revisar las licencias del software instalado en los equipos de
cómputo.
R-25 Tabla 36
P021 Comprobar la eliminación de archivos temporales y obsoletos. R-26 Tabla 37
PROCESO: RIESGOS DE COMPRAS Y GARANTÍA DE HW

54. 54
P022 Revisión del cubrimiento de la garantía de los equipos de
cómputo.
R-28 Tabla 38
P023 Confirmar la capacitación del personal de soporte técnico de
equipos de cómputo.
R-29 Tabla 39
P024 Revisar las especificaciones técnicas de los equipos de
cómputo necesarios para la labor en la compañía.
R-30 Tabla 40
PROCESO: SEGURIDAD DE INSTALACIONES
P025 Supervisar los elementos de oficina. R-34 Tabla 41
P026 Confirmar el funcionamiento de la ventilación de la oficina. R-35 Tabla 42
P027 Verificación de la luminosidad de los diferentes espacios de la
compañía.
R-37 Tabla 43
P028 Comprobar las señalizaciones de emergencia instalados en la
compañía.
R-38 Tabla 44
ENTORNO: CONTINUIDAD DEL NEGOCIO
P029 Validar los cargos y los procesos establecidos para la
continuidad del Negocio.
R-45 / R-
46 / R-47
Tabla 45
P030 Asegurar que los proveedores y distribuidores principales o
críticos aseguran la continuidad de los procesos ante una falla
o catástrofe.
R-42 / R-
44
Tabla 46
P031 Verificar las estrategias para la mejora del plan de continuidad
del negocio.
R-43 Tabla 47
P032 Validar si se hace respaldos periódicos de la información. R-44 Tabla 48
P033 Validar si se sabe qué tan rápido debe reanudar operaciones tras
una interrupción para evadir impactos severos que amenacen
su supervivencia.
R-50 Tabla 49
P034 Validar si se realizan Backup. R-40 Tabla 50

55. 55
P035 Validar si ante una eventual catástrofe o incidencia, se conocen
y se tienen claras las rutas de escalamiento, para poder dar
continuidad al negocio
R-43 Tabla 51
P036 Validar si se tiene controles de acceso a las diferentes áreas
dentro de la empresa.
R-41 / R-
42
Tabla 52
ENTORNO: ENTRENAMIENTO DEL PERSONAL
P037 Validar si se tiene actualizadas las descripciones y requisitos de
los puestos de trabajo.
R-52 Tabla 53
P038 Validar cual es el tiempo medio para cubrir un puesto de trabajo
de acuerdo a las diferentes categorías de empleados al
momento de reclutar.
R-51 Tabla 54
P039 Validar las políticas que se tiene en marcha respecto del
reclutamiento interno y externo.
R-51 Tabla 55
P040 Revisar si se cuenta con formularios de evaluación del
desempeño que se emplean para las diferentes categorías de
empleados.
R-50 / R-
51 / R-52
Tabla 56
P041 Validar los planes tiene para cubrir las necesidades futuras de
recursos humanos en las diferentes áreas.
R-51 Tabla 57
P042 Validar si se realizan proceso de capacitación de los diferentes
cargos.
R-48 / R-
49 / R-50 /
R-52
Tabla 58

56. 56
4.3.2 Diseño Pruebas de Auditoria
Se realizar el diseño de las pruebas de auditoria basados en la programación descrita en el
apartado anterior.
Las siguientes son pruebas que evaluaran el entorno de base de datos. La prueba P001 está
relacionada con las políticas de control de acceso a las bases de datos y verificara si existe fuga de
información por este motivo. Ver Tabla 17
Tabla 17 Prueba P001 Políticas de Control de Acceso a base de datos
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P001
PROCESO: Políticas de control de acceso a base de datos.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de
control de acceso.
TIPO: Mixta
CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al pgadmin
desde la Web y la segunda clave de acceso
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)
PROCEDIMIENTO A EMPLEAR

57. 57
 Ingresar con el usuario entregado por el área IT y confirmar si se tienen validaciones de
ingreso erróneo.
 Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo desde
la web.
 Digitar erróneamente la contraseña 5 veces.
 Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.
 Se trabaja con el programa Asterisk key 10.0
 Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base
de datos del VASP.
 Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk
Key.
 Capturar el resultado de la prueba.
La prueba P002 está relacionada con las políticas de creación de usuarios y contraseñas y
verificara si existe fuga de información por este motivo. Ver Tabla 18
Tabla 18 Prueba P002 Políticas de Creación de Usuarios y Contraseñas.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P002
PROCESO: Políticas de creación de usuarios y contraseñas.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de
creación de usuarios y contraseñas.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

58. 58
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)
DOCUMENTACIÓN: Listado de usuarios activos.
PROCEDIMIENTO A EMPLEAR
 Solicitar la lista de usuarios asociados en la base de datos.
 Validar con recursos humanos que personas se encuentran aún en la empresa y
compararlos contra la lista de usuarios entregada.
 Validar el ingreso a la base con usuarios que se encuentren activos y confirmar si el
sistema tiene restricción para los usuarios que se encuentran inactivos.
 Validar si el ingreso a la base de datos es único por sección y usuario.
 Ingresar al mismo tiempo desde dos navegadores diferentes con el usuario
entregado.
La prueba P003 está relacionada con las políticas de selección del personal y validar el
proceso el proceso para esto. Ver Tabla 19
Tabla 19 Prueba P003 Políticas de Selección de Personal.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P003
PROCESO: Políticas de selección de personal.
OBJETIVO DE LA PRUEBA: Validar el proceso de selección de personal y ver si cumple con
los objetivos del negocio.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene un proceso de selección que permite contratar personal
idóneo y de confianza.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
DOCUMENTACIÓN: Contratos de 4 empleados.

59. 59
Pruebas técnicas y psicotécnicas realizadas a los empleados.
PROCEDIMIENTO A EMPLEAR
 Solicitar el proceso de contratación para las personas del área de Sistemas.
 Analizar las políticas de contratación del personal.
 Analizar las pruebas técnicas realizadas de acuerdo al cargo al que ingreso.
 Comparar el proceso de contratación de la empresa SMSAmericas Ltda. para el área de
IT vrs el proceso de otras empresas para el mismo cargo.
La prueba P004 está relacionada con la documentación entregada al personal y la
verificación de si la misma está actualizada. Ver Tabla 20
Tabla 20 Prueba P004 Documentación Entregada al Personal.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P004
PROCESO: Documentación entregada al personal.
OBJETIVO DE LA PRUEBA: Validar si la documentación entregada al personal está
actualizada y si este cumple con el procedimiento estipulado.
TIPO: Mixta
CONTROLES A PROBAR: Antes de dar acceso a la base de datos, se entrena al empleado y
se le hace acompañamiento durante la fase de entrenamiento.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)

60. 60
DOCUMENTACIÓN: Instructivos, Procedimientos y Manuales entregados al personal para
capacitación.
PROCEDIMIENTO A EMPLEAR
 Revisar la documentación entregada al personal.
 Ejecutar el paso a paso de uno de los procesos encontrados en la documentación en
compañía de personal calificado.
 Comparar proceso ejecutado por el personal, contra lo indicado en la documentación
entregada.
La prueba P005 está relacionada con el contrato con el proveedor del servicio de
alojamiento y arrendamiento de los servidores. Ver Tabla 21
Tabla 21 Prueba P005 Contrato con Proveedor de Alojamiento de Servidores
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P005
PROCESO: Contrato con proveedor de alojamiento de servidores.
OBJETIVO DE LA PRUEBA: Revisar el contrato con el proveedor que presta el servicio de
alojamiento y arrendamiento de servidores Tenzing y confirmar si se tienen cláusulas que
permitan asegurar el buen estado de los servidores, recuperación de la información ante un daño
en las instalaciones del proveedor.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene un contrato con el proveedor de alojamiento y
arrendamiento de servidores Tenzing, con quienes se tienen cláusulas de aseguramiento de la
información.
RECURSOS NECESARIOS PARA APLICARLA

61. 61
INFORMACIÓN
DOCUMENTACIÓN: Contrato de prestación de servicios con el proveedor Tenzing.
PROCEDIMIENTO A EMPLEAR
 Solicitar a la gerencia el contrato vigente con el proveedor Tenzing.
 Evaluar las cláusulas del contrato.
La prueba P006 está relacionada con la recuperación de información y verificar el proceso
para esta cuando se elimina accidentalmente. Ver Tabla 22
Tabla 22 Prueba P006 Recuperación de Información.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P006
PROCESO: Recuperación de Información.
OBJETIVO DE LA PRUEBA: Verificar el proceso de recuperación de información de la base
de datos, cuando es eliminada accidentalmente.
TIPO: Mixta
CONTROLES A PROBAR: Se realizan backups de la información principal a diario.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

62. 62
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB).
DOCUMENTACIÓN: Procedimiento de generación de backups.
PROCEDIMIENTO A EMPLEAR
 Solicitar el proceso de creación de backups.
 Listado de los procesos a los que se le hace backups.
 Restaura un backup y validar su integridad.
La prueba P007 está relacionada con el control de cambios y la validación de los procesos
establecidos para estos. Ver Tabla 23
Tabla 23 Prueba P007 Control de Cambios.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P007
PROCESO: Control de cambios.
OBJETIVO DE LA PRUEBA: Validar el proceso de control de cambios establecidos para la
base de datos.
TIPO: Mixta
CONTROLES A PROBAR: Antes de poner en producción cualquier cambio es evaluado por
el jefe de operaciones o por el desarrollador master.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN

63. 63
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
DOCUMENTO: Manual de control de cambios.
PROCEDIMIENTO A EMPLEAR
 Solicitar el manual de control de cambios.
 Solicitar documentación de los últimos 2 cambios realizados en el VASP.
 Validar si los cambios afectaron directamente a la base de datos.
La prueba P008 está relacionada con la documentación sobre la base de datos del Sistema
de Información VASP y validar que este actualizada. Ver Tabla 24
Tabla 24 Prueba P008 Documentación sobre la Base de Datos del VASP.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P008
PROCESO: Documentación sobre la base de datos del VASP.
OBJETIVO DE LA PRUEBA: Validar la documentación de la base de datos del sistema de
información VASP.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.

64. 64
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
DOCUMENTO: Modelo E/R, Diccionario de Base de Datos.
PROCEDIMIENTO A EMPLEAR
 Solicitar el Modelo E/R.
 Solicitar el Diccionario de datos.
Las siguientes son pruebas que evaluaran el entorno de redes y comunicaciones. La prueba
P009 está relacionada con garantizar que cada usuario se autentique al ingresar a la red empresarial
validando que cada uno tenga su propio identificador. Ver Tabla 25
Tabla 25 Prueba P009 Garantizar que Cada Usuario se Autentique al Ingresar a ka
Red Empresarial
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P009
PROCESO: Garantizar que cada usuario se autentique al ingresar a la red empresarial.
OBJETIVO DE LA PRUEBA: Validar que cada persona que acceda a la red de SMS Américas
tenga asignado un usuario y contraseña para que se autentique en el Sistema.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene configurado clave de acceso.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Postgres/pgsql-9.0 Motor de Base de Datos, Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.

65. 65
PROCEDIMIENTO A EMPLEAR
 Solicitar al IT o al Jefe de Operaciones los usuarios que tienen acceso a la red de la
compañía.
 Ingresar a la dirección electrónica http://database.smsamericas.net/ donde solicitara el
usuario y contraseña.
 Se evidenciará si se cuenta con el acceso a la base, se realiza este mismo procedimiento
con varios usuarios ya confirmados por el IT o el Jefe de Operaciones.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P010 está relacionada con la comprobación de la seguridad configurada en el
software para el acceso remoto al VASP. Ver Tabla 26
Tabla 26 Prueba P010 Comprobar la seguridad Configurada de Seguridad del
Software Utilizado para la Conexión Remota.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P010
PROCESO: Comprobar la seguridad configurada en el software para acceso remoto al SI
VASP.
OBJETIVO DE LA PRUEBA: Validar la configuración de seguridad del software utilizado para
la conexión remota.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: TeamViewer, Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.

66. 66
PROCEDIMIENTO A EMPLEAR
 Solicitar al IT o al Jefe de Operaciones los usuarios que tienen autorizado el acceso
remoto por TeamViewer.
 Solicitar el acceso al equipo de alguno de los usuarios para verificar la configuración.
 Revisar si las configuraciones de seguridad del TeamViewer cumple con las políticas de
seguridad de la compañía.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P011 está relacionada con validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar comprobando la seguridad que se otorga. Ver
Tabla 27
Tabla 27 Prueba P011 Validar el Acceso a las Personas que Ingresan a las
Instalaciones y que Trabajos se Disponen a Realizar.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P011
PROCESO: Validar el acceso de las personas que ingresan a las instalaciones y que trabajos se
disponen a realizar.
OBJETIVO DE LA PRUEBA: Comprobar la seguridad al otorgar acceso de las personas a las
instalaciones.
TIPO: Mixta
CONTROLES A PROBAR: N/E

67. 67
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación y personal de seguridad
PROCEDIMIENTO A EMPLEAR
 Solicitar al personal de seguridad la minuta de acceso de visitantes.
 Confirmar si en la minuta queda consignado la razón de la visita.
 Verificar si los visitantes tendrán o no acceso a lugares no permitidos o confidenciales de
la empresa.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P012 está relacionada con la comprobación de la integridad del cableado
estructurado instalado en las oficinas de la compañía. Ver Tabla 28
Tabla 28 Prueba P012 Comprobar la Integridad del Cableado Estructurado.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P012
PROCESO: Comprobar la integridad del cableado estructurado.
OBJETIVO DE LA PRUEBA: Comprobar la infraestructura del cableado estructurado instalado
en las oficinas de la compañía.
TIPO: Mixta
CONTROLES A PROBAR: N/E

68. 68
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación y personal de seguridad
PROCEDIMIENTO A EMPLEAR
 Solicitar los planos del cableado estructurado instalado en las oficinas.
 Verificar la marcación en los equipos de red y cableado estructurado.
 Inspeccionar los sectores en el que el cableado no se ve en óptimas condiciones.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P013 está relacionada con la verificación de las políticas de acceso a internet
configuradas en el firewall comprobando los permisos otorgados. Ver Tabla 29
Tabla 29 Prueba P013 Verificar las Políticas de Acceso a Internet Configuradas en
el Firewall.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P013
PROCESO: Verificar las políticas de acceso a internet configuradas en el firewall.
OBJETIVO DE LA PRUEBA: Comprobar las configuraciones de los permisos de acceso a
internet configuradas en el firewall.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.

69. 69
PROCEDIMIENTO A EMPLEAR
 Solicitar al jefe de operación el acceso a la configuración del firewall.
 Verificar las políticas de restricción de acceso a páginas de internet.
 Inspeccionar el listado de páginas no permitidas y probar el ingreso a las mismas.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P014 está relacionada con los fallos en la conexión de red a causa de pérdida del
servicio por parte del proveedor verificando el servicio por parte del proveedor secundario. Ver
Tabla 30
Tabla 30 Prueba P014 Verificar la Conexión de Red a Instalada en las Oficinas y la
Prestación del Servicio por Parte del Proveedor.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P014
PROCESO: Verificar la conexión de red instalada en las oficinas y la prestación del servicio
por parte del proveedor.
OBJETIVO DE LA PRUEBA: Verificar la correcta prestación del servicio por parte del
proveedor secundario.
TIPO: Mixta
CONTROLES A PROBAR: Se cuenta con un proveedor alterno para el servicio de internet.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.

70. 70
PROCEDIMIENTO A EMPLEAR
 Solicitar al jefe de operación las direcciones IP asignadas por el proveedor secundario.
 Realizar un cambio de proveedor y configurar el acceso por el segundo.
 Realizar un ping a direcciones externas haciendo uso del servicio del segundo proveedor.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P015 está relacionada con comprobar las configuraciones del firewall por parte
del proveedor confirmando su correcta configuración partiendo desde las necesidades dadas por
SMSAmericas. Ver Tabla 31
Tabla 31 Prueba P015 Comprobar las Configuraciones del Firewall por Parte del
Proveedor.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P015
PROCESO: Comprobar las configuraciones del firewall por parte del proveedor.
OBJETIVO DE LA PRUEBA: Confirmar la correcta configuración del firewall por parte del
proveedor del servicio.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
 Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del
servicio.
 Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

71. 71
La prueba P016 está relacionada con la verificación del funcionamiento de la UPS siendo
esta un respaldo eléctrico instalado en la compañía. Ver Tabla 32
Tabla 32 Prueba P016 Verificar lel Funcionamiento de la UPS.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P016
PROCESO: Verificar el funcionamiento de la UPS.
OBJETIVO DE LA PRUEBA: Verificar el correcto funcionamiento del respaldo eléctrico
instalado en la compañía.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos equipos
mientras la luz se restaura.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
 Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del
servicio.
 Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.

72. 72
Las siguientes son pruebas que evaluaran el entorno de seguridad lógica. La prueba P017
está relacionada con la verificación de los logs de los backups realizados para comprobar que se
estén realizando en los tiempos estipulado. Ver Tabla 33
Tabla 33 Prueba P017 Verificar los Logs de lso Backups Realizados.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P017
PROCESO: Verificar los logs de los backups realizados.
OBJETIVO DE LA PRUEBA: Revisar los logs para confirmar que los backups se estén
realizando en los tiempos estipulados.
TIPO: Mixta
CONTROLES A PROBAR: Ejecutar el proceso manual al día siguiente.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
 Solicitar al jefe de operación las políticas y procedimientos para la realización de los
backups.
 Solicitar al jefe de operaciones el acceso al servidor donde se encuentran alojados los
logs de los backups.
 Revisar los logs para verificar las últimas fechas de los backups y comparar los tiempos
con lo estipulado en las políticas y procedimientos.
 Diligenciará planillas con los hallazgos encontrados durante la prueba.