• Author / Uploaded
• Carlos Michu

Citation preview

INFORME FINAL DE LA AUDITORIA FASE DE RESULTADOS DE LA AUDITORIA

Estudiante: CARLOS JARAMILLO CRUZ Cód. 1082928952

GRUPO: 90168_5

TUTOR FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD) ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS

INTRODUCCIÓN Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria Informática. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas. El concepto de auditoria es mucho más que esto. La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, también se define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

OBJETIVOS Objetivo General Determinar las posibles vulnerabilidades del sistema y plataforma tecnológicas utilizadas en el centro de comunicaciones, con el fin de hacer las recomendaciones que dieran lugar. Objetivos Específicos      

Incrementar la satisfacción de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área de navegación y del área de telefonía del Centro de Comunicaciones, así como también, las actividades que se desarrollan y los esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa. Reducir riesgos y aumentar los controles. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Capacitación y educación sobre controles en los sistemas de información.

CONEQUIPOS ING S.A.S. es una compañía privada establecida en Colombia con una trayectoria de más de 42 años de liderazgo en el diseño, construcción y montaje de obras de infraestructura para el desarrollo del país, tanto para el sector público como privado. Fundada en 1973, su progreso constante, logística, maquinaria adecuada y equipo humano diverso y altamente calificado en todas las ramas de la ingeniería, han permitido a lo largo de más de cuatro décadas, transformarse y llegar a posicionarse en un lugar destacado en el desarrollo de la Ingeniería en Colombia. De la empresa se necesita hacer una descripción general de la actividad económica que desarrolla, la ubicación, el organigrama general, y una descripción detallada del área informática, los recursos y sistemas de información, los cargos y funciones del personal que atiende los servicios del área informática. 1. Ubicación: Calle 110 No 9-25 Of. 1705. Bogotá, D.C. - Colombia. 2.

3. Departamento de Informática Objetivos: El Departamento de Informática es el responsable de elaborar, desarrollar y proponer la implementación de nuevas tecnologías y sistemas informáticos dentro de la Dirección General de Administración y Finanzas. Elaborar planes de mantenimiento preventivo y brindar soporte técnico solicitado por las distintas unidades administrativas de la Administración General. Subordinación: El Departamento de Informática está subordinado directamente de la Coordinación de Recursos Administrativos.

Funciones: 1. Proponer y acompañar los Sistemas de Control Informáticos a ser implementados en las diferentes áreas de la empresa 2. Apoyar directamente la capacitación adecuada de los responsables operativos, para garantizar la total implementación de los Sistemas Informáticos. 3. Proponer y acompañar los sistemas Informáticos de Control en las diferentes áreas que afectan a la Dirección General de Administración Finanzas. 4. Investigar, desarrollar e implantar innovaciones en temas referentes a sistemas informáticos que puedan ser aplicados a la Dirección General de Administración y Finanzas. 5. Coordinar y / o Asesorar el análisis, diseño o desarrollo de los sistemas informáticos y / o propuestos, en acción integrada con otras dependencias de Conequipos. 6. Proponer, Planificar y Realizar el desarrollo informático de la Dirección General de Administración y Finanzas en el marco de las políticas institucionales de la empresa. 7. Impulsar el adecuado uso de los recursos informáticos de la Dirección General de Administración y Finanzas, como herramienta de Gestión. 8. Participar en los lineamentos generales y específicos de planificación, evaluación y gestión en las adquisiciones de los recursos informáticos para la Administración General. 9. Velar y mantener en buen funcionamiento, los recursos informáticos de la Administración General estableciendo políticas de gestión informática para sus efectos.

4. FUNCIONES Y CARGOS POR DEPARTAMENTOS SECCIÓN DE SISTEMA Y REDES JEFE DE SECCIÓN: Es un área crítica similar a la sección de planilla de Recurso Humano o a las cajeras de Tesorería. El jefe de sección debe tener una preparación importante en Informática, licenciatura o ingeniería. Debe dominar el área de sistemas, servicios de Internet, sistemas operativos de red, conexiones de red y cableado, equipos de comunicación (routers, switch, hubs) y su configuración y mantenimiento, base de datos y servidores web, incluido conexiones VPN y PPPT. TÉCNICO DE SISTEMAS: Este cargo requiere un nivel medio de dominio de sistemas, puede ser un técnico o experiencia comprobada. Su principal función es apoyar en horarios nocturnos y sabatinos. Dominar cableado estructurado y conexiones de red. TECNICO EN WEB: Este cargo es responsable de la construcción y mantenimiento de la hoja web de la universidad. Esta función es continua, no puede ser por periodos, debe estar disponible de forma permanente. Además, debe encargarse de la recopilación de la información de todas las instancias de la universidad y trabajar con el equipo editor correspondiente. La persona debe conocer de creación de servidores webs, su seguridad redes básicas y equipos de comunicación, configuración TCP/IP y DNS, correo electrónico, FTP y su configuración, diseño gráfico (manejo y programación básica de Flash, Photoshop y Dreamwever), esto significa capturar y editar imágenes, animaciones, construcción de webs y programación básica en

lenguajes scripts como el javascript. Esta persona es el responsable por UDELAS de mantener la relación con la empresa proveedora de Internet.

PLAN DE AUDITORIA La auditoría en sistemas es la revisión y evaluación de procesos implementados en la empresa con respecto a sus equipos de cómputo, como se están utilizando, su eficiencia, estas auditorías son necesarias también para lograr una utilización más eficiente y segura de la información. Todo esto hace que la auditoria de sistemas sea de gran importancia para el buen uso, desempeño y optimización de los sistemas de información en el contexto laboral Para hacer una buena labor en la auditoria es necesario tener en cuenta y poner en práctica unos pasos. Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados. Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son: - El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar. - Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados. Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos. La auditoría se realizará en las siguientes áreas: el hardware donde también se realiza una evaluación en las áreas de más criticidad como lo son software, seguridad física, y sistemas operativos.

El software: el alcance que tendrá esta auditoria es con respecto al software de verificar el correcto uso de los equipos, licencias, antivirus y la verificación del equipo tal que tiene que

concordar con lo que se tiene físicamente documentado, en este caso lo que se tiene sobre el software. El hardware: en esta parte se verificará el hardware y lo que se tiene de información escrita o digital del hardware que va ser revisado o auditado de tal forma que la información tiene que ser la misma porque que digan tienen las computadoras que serán revisadas y verificadas.

Alcance de la Auditoria  Organización y cualificación del personal de Seguridad.  Remodelar el ambiente de trabajo.  Planes y procedimientos.  Sistemas técnicos de Seguridad y Protección.  Planes y procedimientos  Políticas de Mantenimiento  Inventarios Ofimáticos  Capacitación del Personal aspectos serán evaluados de cada activo informático  Conexiones  Cifrado  Salidas gateway y routers  Correo Electrónico  Páginas WEB  Firewalls METODOLOGÍA Etapa de Planeación de la Auditoria El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo. Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la auditoria y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal

asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas que se presentan en el área auditada. Aquí se deben tener en cuenta aspectos tales como: - La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoria?. Con esta información el auditor podrá diseñar las medidas necesarias para una adecuada planeación de la auditoria y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluación. Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son: - El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar. - Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados. Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos. Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo. Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que

serán utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; Otras especificaciones del programa de auditoría. Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria: En este se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y métodos de pruebas para la auditoria. Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria. Etapa de Ejecución de la Auditoria La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación. Etapa de Dictamen de la Auditoria La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría. Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas. Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa. Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales.

Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos. Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima perfección, tratando de evitar errores. También deben contener de manera clara y concreta, las desviaciones detectadas en la evaluación. CRONOGRAMA DE ACTIVIDADES FASE ACTIVIDAD Conocimiento del sistema 1.Identificar el origen de la o área auditada auditoria. 2.Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada. 3.Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización. 4.Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas. 1.Elaborar el plan de auditoría 2.Seleccionar los estándares a utilizar de acuerdo al objetivo CobIT 3.De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados que estén en relación directa con el objetivo y alcances definidos en el Planeación de la plan. Auditoria de Sistemas

TIEMPO ESTIMADO

2 DIAS

8 DIAS

4. Seleccionar el equipo de trabajo y asignar tareas específicas 5.Determinar las actividades que se llevarán a cabo y los tiempos en que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría) 6.Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios) 7.Diseñar el plan de pruebas (formato pruebas) 1.Aplicar los instrumentos de recolección de información diseñados 2.Ejecutar las pruebas del plan de pruebas 3.Levantar la información de activos informáticos de Ejecución de la Auditoria la organización auditada de Sistemas 4.Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT) 5.Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas 6.Realizar el proceso de evaluación de riesgos 7.Determinar el tratamiento de los riesgos

4 DIAS

1.Determinar las soluciones para los hallazgos encontrados (controles) 1 DIA

Resultados de la Auditoria de Sistemas

2.Elaborar el Dictamen para cada uno de los procesos evaluados. 3.Elaborar el informe final de auditoría para su presentación y sustentación 4.Integrar y organizar los papeles de trabajo de la auditoria 5.Diseñar las políticas y procedimientos integrando los controles definidos

Vulnerabilidades

Amenazas

Riesgos

Carencia De Control De Cambio De Configuraciones Software Malicioso

Error De Usuario O Del Personal De Operaciones. Se Pueden Contraer Virus Informáticos

Mal uso de configuraciones echas en sistema Desconfiguraciones y vulnerabilidad del sistema o equipos

Personal No Calificado O No Capacitado Mantenimiento Inadecuado En Equipos Carencia De Autenticación De Usuarios

Errores En La Programación Del Software Fallas En Hardware

Errores en las instalaciones de software requerido Daños y pérdidas totales en equipos

Acceso No Autorizado A Través De La Red

Fragilidad en el sistema siendo fácil de acceso para cualquier intruso

Activos Informáticos Servidores, Usuarios, Bases De Datos. Base De Datos, Comunicación Software, Seguridad Lógica Software, Base De Datos, Sistemas Operativos Equipos Hardware

Usuarios, Base De Datos

Carencia De Políticas Sobre El Uso De Dispositivos Extraíbles

Código Malicioso (Virus, Gusanos, Caballos Troyanos)

Descarga Y Uso De Software No Adecuado De Internet No Controlado El No Uso De Software Legal

Se Pueden Contraer Virus Informáticos

Carencia De Equipos De Protección Eléctrica

Alteraciones O Cortos Circuitos

Abuso De Conocimientos Internos

Datos Inseguros

Perdida De Información Por Rotación Criminalidad

Salida De Personal

Desastres Naturales

Destrucción De Planta

Hardware Obsoleto

Equipos Anticuados

No Posee Centro De Computo Sin UPS

Ausencia de suministro eléctrico

Fragilidad En Sistema

Robo O Ataque Cibernético

Alteraciones en el sistema ya que dispositivos extraíbles no son revisados antes de usar Alteraciones graves en sistemas (software)

Sistemas Operativos, Software, Sistemas De Información

Falta de actualizaciones y problemas penales Daños a infraestructura y equipos por fallas eléctricas Acceso a personal no autorizado a datos de uso privado

Sistemas Operativos, Softwares Equipos, Infraestructura

Robo o no entrega de datos de uso confidencial Robo equipos o acceso a personal externo a el sistema Perdida de infraestructura por alteraciones naturales Un equipo viejo tiene un rendimiento más bajo En caso de ausencia de fluido eléctrico quedaría inservible el sistema

Sistemas Operativos, Software

Bases De Datos, Software, Configuraciones, Seguridad Lógica Base de Datos, Configuraciones Base De Datos, Configuraciones, Software Planta o infraestructura

hardware

Equipos, base de datos

OBJETIVOS DE CONTROL PO9.3 Identificación de Eventos: El administrador de TI de la compañía, se encarga de determinar la naturaleza el impacto de los riesgos y mantendrá un registro de los más relevantes. PO9.4 Evaluación de los Riesgos de TI: Será necesario la utilización de métodos cuantitativos para la evaluación recurrente de la probabilidad e impactos que tienen todos los riesgos. PO9.5 Respuesta a los Riesgos: El administrador de TI, creara un soporte el cual nos garantice un proceso de respuesta inmediata para los riesgos, para poder identificar las estrategias que nos ayuden en su adecuada administración. PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos: Crear un plan de mantenimiento para los riesgos que se encuentran identificados y asegurarse de que las acciones comprometidas están a cargo del dueño (s) de los procesos afectados.

INSTRUMENTOS APLICADOS: ENTIDAD AUDITADA

CONEQUIPOS SAS

PAGINA 1 D 1 E

Fallas Y Falencias En El Sistema De Información OBJETIVO AUDITORÍA Procedimientos Para Evaluar Los Resultados De Las Pruebas Y PROCESO Revisiones Referentes Al Hardware Y Software De La Empresa AUDITADO Sofía Parra – Recursos Humanos RESPONSABLE COBIT MATERIAL DE SOPORTE Planificación Y DOMINIO PROCES Todos Organización O Sofía Parra ENTREVISTADO Recursos Humanos CARGO 1. ¿Las características del equipo son suficientes para el desempeño de su trabajo? Rta: Como podemos ver son equipos un poco anticuados por lo cual son equipos que no cumplen la demanda de uso se recomienda una actualización de hardware y software. 2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude? Rta: Llamar a soporte técnico acudimos a la empresa Compulago. 3. ¿Cuántos Mantenimiento se le han realizado al equipo? Rta: Al año se le realiza por mucho un solo mantenimiento 4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador? Rta: Un nivel básico muy relacionado afines de mi cargo 5. ¿Ud. maneja el equipo adecuadamente y lo protege con contraseña? Rta: Creo yo que el uso que le doy es el adecuado y no le coloco contraseña porque creo que soy la única que lo utiliza. 6. ¿Ud. ¿Ha recibido asesoramiento o capacitación sobre el manejo del equipo y Rta: sus componentes? Desde que hago parte de la compañía no me han brindado capacitaciones del buen uso de equipos solo he trabajado con mis conocimientos ya existentes a la hora de ingresar.

7. ¿usan programas de antivirus o herramientas de prevención al sistema? Rta: Se tienen programas de estos, pero se nota en los equipos que no tienen actualizaciones.

8. ¿tienen una base de datos y respaldo de información? Rta: Todos los datos trabajados en la oficina son guardados en un disco duro portable 9. ¿Ha tenido problemas con esta modalidad? si ¿Cuáles? Rta: Que si no está el disco duro en la oficina se omite el guardado de información y a veces se pierde esta. 10. ¿cuentan con sistemas de ups? Rta: No. 11. ¿siente usted segura la manera de uso del sistema de información de la empresa? Rta: No soy profesional en estos temas, pero sé que no es segura es muy vulnerable y obsoleto sería una buena iniciativa una implementación de un sistema modernizad.

Sofía Parra NOMBRE ENTREVISTADO

Carlos Jaramillo AUDITOR RESPONSABLE

Cuestionario cuantitativo

Entidad auditada

Ref.

CONEQUIPOS ING S.A.S 1

Subproceso Responsables Material de soporte dominio

pagina DE 1

PO9.4 Evaluación de los Riesgos de TI Carlos Jaramillo Cruz COBIT 4.1 Planear y Organizar proceso PO9 Evaluar y (PO) administrar los riesgos de TI

OBJETIVO DE CONTROL N pregunta SI NO NA REF 1 ¿Existe un marco de referencia para la 4 evaluación sistemática de los riesgos a los que está expuesta la infraestructura tecnológica de la institución? 2 ¿Se realiza la evaluación de los riesgos que 4 pueden afectar la infraestructura tecnológica mediante la utilización de una metodología? 3 ¿Se realiza actualización de los diferentes 3 tipos de riesgos que pueden afectar la infraestructura tecnológica? 4 ¿Se utilizan métodos cualitativos o 4 cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura tecnológica? 5 ¿Existe un plan de acción para mitigar los 4 riesgos de la infraestructura tecnológica de forma segura? 6 ¿Se monitorea el plan de acción? 3 TOTAL 3 19 TOTAL CUESTIONARIO 22 Porcentaje de riesgo parcial = (3 * 100) / 22 = 13,63 % Porcentaje de riesgo total = 100 – 13,63 = 86,36 % PORCENTAJE RIESGO 86,36 % (Riesgo Alto)

ANÁLISIS DE RIESGOS En el siguiente informe veremos planteado todos los seguimientos que se ha realizado a los procesos teniendo encuentra las pruebas que se han recolectado con las diferentes herramientas implementadas siguiendo siempre las guía CobiT 4.1, para poder visibilizar todos los hallazgo o posibilidades de amenazas a las cuales actualmente se encuentra la empresa auditada. Teniendo en cuenta todo lo anteriormente planteado se van a exponer los riesgos: RIESGOS: 1. Instalación de programas de dudosa procedencia. 2. Equipos con bajo rendimiento por los años de uso continuo. 3. Daño en el sistema eléctrico de los equipos de cómputo por falta de mantenimiento preventivo que jamás se realizó. 4. No hay una hoja de vida de la existencia de los equipos 5. No existe monitorio continuo de software instalado en los equipos de cómputo. 6. Inexistentes actualizaciones antivirus que ayuden a mitigar los riesgos palpables en la internet al día de hoy. 7. La falta de creación de usuarios según el rol desempeñado en la empresa. 8. Carencia de Backup que son necesarios al momento de perdida de la información. Siguiendo con el análisis tendremos que hablar de la Probabilidad, que tiene su escala de medición y se refiere a la frecuencia con se presenta el problema en un periodo de tiempo determinado, es decir el número de veces que el problema se presenta en un año, mes o semana de acuerdo a la escala de tiempo elegida. Por ejemplo, la frecuencia de que se presente un virus en los computadores puede llegar a darse una o varias veces en la semana, un corte de energía puede presentarse una vez cada dos meses, el daño de un equipo puede presentarse cada seis meses. De acuerdo a estas escalas se debe hacer la medición teniendo la escala de valoración cualitativa (alto, medio, bajo).

EVALUACIÓN DE RIESGOS

RIESGOS/VALORACION

R1 R2 R3

R4

R5 R6 R7 R8

Hardware Uso inadecuado de los equipos Existe sistema de respaldo eléctrico (UPS) Esta en buen estado el sistema de protección eléctrica contra descargas eléctricas REDES Actualmente no existen políticas ni procedimientos escritos para la seguridad de la red No existen políticas ni procedimiento para mantenimiento de redes No existe políticas ni procedimientos para el inventario de los componentes de la red no existen asignaciones de responsabilidades con respecto a las redes Entrada de virus a la red

R11 R12

SEGURIDAD FÍSICA No se cuenta con sistema de seguridad para evitar robos Es vulnerable a atentados contra la infraestructura INFRAESTRUCTURA La infraestructura es inadecuada El área de computo esta climatizada

R13 R14

R9 R10

R15

R16

R17

PROBABILID AD A M B X X

IMPACTO L

M

C

X X

X

X

X

X

X

X

X

X X

X

X

X

X

X

X

X

X

X X

X

Existe sistema contra incendio

X

X

Cuenta con rutas de fácil acceso y evacuación de personal en caso de emergencia Se realiza su mantenimiento a la infraestructura para mantenerla en buen estado SEGURIDAD LÓGICA No existe cuentas de autenticación para el personal DOCUMENTACIÓN Carnetización actualizada de empleados

X

X

X

X

X

X

X

X

R18 R19

Cumple con procedimientos para trabajos a realizar en el área de sistemas Existe sistema de gestión

X

R20

Software Ilegal

X

R21

Registro documental de equipos

R22 R23

X X X

X

PERSONAL DEL ÁREA Se contrata personal con las competencias adecuadas para el cargo y área Se brinda capacitación sobre el uso de los componentes del área

PROBABILIDAD A: Alta M: Media B: Baja

X

X

X

X X

X

IMPACTO L: Leve M: Moderado C: Catastrófico

MATRIZ DE CLASIFICACIÓN DE RIESGO LEVE

MODERADO

CATASTROFICO

ALTO

R11

R9 R19 R22

R4 R8 R10 R16 R20

MEDIO

R15 R18

R3 R12 R13

BAJO

R1 R17 R23

R2 R5 R6 R14 R21 R7

CUADRO DE TRATAMIENTO DE RIESGOS: ID. Riesgo R1 R2 R3 R4

R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15 R16 R17 R18 R19 R20 R21 R22 R23

Descripción Riesgo

Tratamiento Riesgo

Uso inadecuado de los equipos Existe sistema de respaldo eléctrico (UPS) Está en buen estado el sistema de protección eléctrica contra descargas eléctricas Actualmente no existen políticas ni procedimientos escritos para la seguridad de la red No existen políticas ni procedimiento para mantenimiento de redes. No existe políticas ni procedimientos para el inventario de los componentes de la red no existen asignaciones de responsabilidades con respecto a las redes Entrada de virus a la red No se cuenta con sistema de seguridad para evitar robos Es vulnerable a atentados contra la infraestructura La infraestructura es inadecuada El área de computo esta climatizada Existe sistema contra incendio Cuenta con rutas de fácil acceso y evacuación de personal en caso de emergencia No hay Etiquetas de identificación y control de puntos de red No existe cuentas de autenticación para el personal Carnetización actualizada de empleados Cumple con procedimientos para trabajos a realizar en el área de sistemas Existe sistema de gestión Software Ilegal Registro documental de equipos Se contrata personal con las competencias adecuadas para el cargo y área Se brinda capacitación sobre el uso de los componentes del área

Controlarlo Controlarlo Controlarlo Controlarlo

Controlarlo Controlarlo Aceptarlo Controlarlo Transferirlo Controlarlo Controlarlo Controlarlo Controlarlo Controlarlo Controlarlo Controlarlo Aceptarlo Aceptarlo Transferirlo Controlarlo Controlarlo Controlarlo Aceptarlo

REF HALLAZGO HPO01

PROCESO AUDITADO

EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

RESPONSABLE

CARLOS JARAMILLO

MATERIAL DE SOPORTE

COBIT

DOMINIO

Toda la Organización

PROCESO

DESCRIPCIÓN:

PÁGINA 1

DE

1

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

Deficiente control de acceso a las aplicaciones y equipos, debido a que no existe una contraseña de usuario establecida para cada empleado.

REF_PT: Cuadro de control de riesgos. Equipos informáticos de la empresa.

CONSECUENCIAS: Cualquiera podría utilizar los equipos de la empresa de manera malintencionada.

  

RIESGO: Probabilidad de ocurrencia: Impacto según relevancia del proceso: Catastrófico.

RECOMENDACIONES: Se recomienda la creación de un directorio activo el cual le establezca un usuario y contraseña a cada empleado.

REF HALLAZGO HPO01

PROCESO AUDITADO

EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

RESPONSABLE

CARLOS JARAMILLO

MATERIAL DE SOPORTE

COBIT

DOMINIO

Toda la Organización

PROCESO

DESCRIPCIÓN:

PÁGINA 1

DE

1

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

Existencia de vulnerabilidades en los sistemas operativos y softwares instalados por falta de aplicación de actualizaciones regulares.

REF_PT: Cuadro de control de riesgos. Equipos informáticos de la empresa.

CONSECUENCIAS: Podrían presentarte errores en el sistema o en los programas instalados, e incluso fallos de seguridad.   

RIESGO: Probabilidad de ocurrencia: Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES: Es necesario aplicar los parches de seguridad y actualizaciones regulares y acumulativas, tanto a los sistemas operativos, así como a todo el software instalado, para solucionar u evitar agujeros de seguridad o bugs conocidos.

REF HALLAZGO HPO01

PROCESO AUDITADO

EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

RESPONSABLE

CARLOS JARAMILLO

MATERIAL DE SOPORTE

COBIT

DOMINIO

Toda la Organización

PROCESO

DESCRIPCIÓN:

PÁGINA 1

DE

1

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

No existe un programa de capacitaciones para los empleados, que se encuentran al frente del manejo de los sistemas de información.

REF_PT: Entrevistas, y cuestionarios.

CONSECUENCIAS: Podrían presentarse problemas en el manejo de los equipos, y también errores en el manejo de los programas.   

RIESGO: Probabilidad de ocurrencia: Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES: Se recomienda diseñar e implementar un cronograma de capacitaciones para los empleados que se encuentran a cargo de las tecnologías de información de la compañía.

REF HALLAZGO HPO01

PROCESO AUDITADO

EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

RESPONSABLE

CARLOS JARAMILLO

MATERIAL DE SOPORTE

COBIT

DOMINIO

Toda la Organización

PROCESO

DESCRIPCIÓN:

PÁGINA 1

DE

1

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

No existe un plan de gestión para los incidentes de seguridad que pudiesen presentarse.

REF_PT: Cuadro de control de Riesgos, Entrevistas.

CONSECUENCIAS: Si llegaran a presentarse riesgos no habría una manera adecuada para gestionarlos, impidiendo su corrección.   

RIESGO: Probabilidad de ocurrencia: Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES: Es necesario crear e implementar un plan para la gestión de los incidentes que se puedan presentar en la compañía.

REF HALLAZGO HPO01

PROCESO AUDITADO

EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

RESPONSABLE

CARLOS JARAMILLO

MATERIAL DE SOPORTE

COBIT

DOMINIO

Toda la Organización

PROCESO

DESCRIPCIÓN:

PÁGINA 1

DE

1

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.

No existe una política para controlar su copia en sistemas de almacenamiento externos como son memorias USB y discos duros.

REF_PT: Equipos de cómputo, Cuadro de control de Riesgos.

CONSECUENCIAS: Fugas de información, robo y o suplantación de datos.

  

RIESGO: Probabilidad de ocurrencia: Impacto según relevancia del proceso: Moderado.

RECOMENDACIONES: Es necesaria la implementación de políticas de seguridad estrictas para el copiado de información a dispositivos externos.

PROCESO P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI. Auditor: Carlos Jaramillo. a. Objetivo de la Auditoria: Evaluar las fallas y falencias existentes en las tecnologías de la información de la compañía, para así garantizar la buena administración de los riesgos. Alcance: Toda la organización. b. Dictamen Individual: Se establece en nivel de madurez es de 0 No Existente, porque no existe marco de referencia para la evaluación de los riesgos, tampoco se realiza la evaluación de los riesgos que afectan la infraestructura, además no cuentan con un plan de acción para mitigar los riesgos, ni un plan de capacitaciones para los empleados. c. Hallazgos:     

Deficiente control de acceso a las aplicaciones y equipos, debido a que no existe una contraseña de usuario establecida para cada empleado. Existencia de vulnerabilidades en los sistemas operativos y softwares instalados por falta de aplicación de actualizaciones regulares. No existe un programa de capacitaciones para los empleados, que se encuentran al frente del manejo de los sistemas de información. No existe un plan de gestión para los incidentes de seguridad que pudiesen presentarse. No existe una política para controlar su copia en sistemas de almacenamiento externos como son memorias USB y discos duros.

d. Recomendaciones:  



 

Se recomienda la creación de un directorio activo el cual le establezca un usuario y contraseña a cada empleado. Es necesario aplicar los parches de seguridad y actualizaciones regulares y acumulativas, tanto a los sistemas operativos, así como a todo el software instalado, para solucionar u evitar agujeros de seguridad o bugs conocidos. Se recomienda diseñar e implementar un cronograma de capacitaciones para los empleados que se encuentran a cargo de las tecnologías de información de la compañía. Es necesario crear e implementar un plan para la gestión de los incidentes que se puedan presentar en la compañía. Es necesaria la implementación de políticas de seguridad estrictas para el copiado de información a dispositivos externos.

CONCLUSION

Hacemos énfasis en la importancia de la auditoria como herramienta gerencial para la toma de decisiones y para poder verificar los puntos débiles de las organizaciones con el fin de tomar medidas y precauciones a tiempo. Principalmente, la conclusión a la que hemos podido llegar, es que toda empresa, pública o privada, que posean sistemas de información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, un alto porcentaje de las empresas tienen toda su información estructurada en sistemas informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. La empresa hoy, debe y precisa informatizarse. El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo de la auditoria en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

BIBLIOGRAFIA 

Cobit 4.1 en el texto: (2018) bibliografía: (2018). Retrieved from http://www.slinfo.una.ac.cr/documentos/eif402/cobit4.1.pdf



Auditoria de sistemas. [on line] disponible en: Http://www.geocities.com/lsialer/notasinteresantes.htm



Alonso rivas, Gonzalo Auditoria informática. Díaz de santos. Madrid 1998. 187 págs.



Juan rivas, antonio de y pérez pascual, aurora La auditoría en el desarrollo de proyectos informáticos. Díaz de santos. Madrid 1998. 178 págs.