FASE 4 PLANEACIÓN Y EJECUCIÓN DE LA AUDITORIA PRESENTADO POR: Danilo López – código: Cindy Mayerly Durán Ortiz - Código
Views 56 Downloads 0 File size 930KB
FASE 4 PLANEACIÓN Y EJECUCIÓN DE LA AUDITORIA
PRESENTADO POR: Danilo López – código: Cindy Mayerly Durán Ortiz - Código: 1.121.832.819 Deyber Pinzón Bernal – Código: 86.046.910 Javier Orlando Sánchez – Código: 1.055.313.571
GRUPO: 90168_6
FRANCISCO NICOLAS SOLARTE (Tutor)
UNIVERSIDAD NACIONAL A BIERTA Y A DISTACIA “UNAD” ESCUELA DE CIENCIAS BASICA, TECNOLOGIA E INGENIERIA AUDITORIA DE SISTEMAS 2018
INTRODUCCIÓN.
OBJETIVOS Objetivo general
Objetivos específicos
HERRAMIENTAS PARA RECOLECCÓN DE DATOS PARA LA AUDITORIA. FORMATO DE ENTREVISTA NOMBRE EMPRESA: NOMBRE ENTREVISTADO: CARGO : AREA: Email Empresa:
NOMBRE EMPRESA: NATALIA ACEVEDO
AUDITOR : Tipo AUXILIAR entrevista: ADMINISTRATIVO FECHA HORA
UNAD CINDY DURAN Abierta NOV 13 DE 2018 8PM
Existen procedimientos establecidos por la empresa para el manejo de correo institucional. Si, la empresa cuenta con dominio para el manejo de correo interno y el sistema está configurado para el acceso a estos correos a través de la plataforma Outlook. Existen protocolos de manejo para la navegación en internet? Cada colaborador de la empresa tiene conocimiento de sus funciones y el adecuando manejo de las herramientas informáticas, adicional, los equipos cuentan con ciertas restricciones para garantizar el adecuado uso Existen protocolos en el manejo de la información empresarial por labor desempeñada. Si se cuenta con los protocolos de manejo de información y clausulados de confidencialidad, cada colaborador a través del reglamento interno de trabajo tiene conocimiento del adecuado uso de la información que se maneja internamente en la
compañía. Hay control para el manejo de dispositivos externos de la empresa. Por protocolo no se permite acceso a dispositivos externos ya que la información se maneja a través de correo institucional y los dispositivos están bloqueados para el manejo de usb/cd/y medios de almacenamiento externo. A demás para conectar los equipos que no están configurados con la red interna de la empresa se debe ser con previa autorización y en casos especiales u ocasionales ¿Cuenta la empresa con capacitaciones para los empleados en informática? . La organización capacita el personal en cuanto a los programas internos que se utiliza, sin embargo el colaborador debe contar con conocimientos mínimos de manejo de software ¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra, supresor de pico instalado, sistema regulado de energía? Si, las instalaciones cuentan con adecuada red eléctrica, a adicional de los reguladores que cada equipo cuenta y las ups para equipos de constante funcionamiento. ¿Existen plan de contingencia para recuperación de los datos ante un incidente imprevisto? Si, los sistemas generan respaldo de información en la nube, lo cual permite garantizar la confiabilidad de los datos, adicional a este respaldo, se genera un respaldo físico cada trimestre ¿Existen protocolos de actualización del sistema periódicamente del sistema? Se tiene establecidas fechas para realizar revisión de los equipo para actualizar sistemas como antivirus y actualizaciones s de seguridad, sin embargo no se actualiza el sistema interno ya que no existe actualizaciones para estos ¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa al dar mal uso de dispositivos o navegadores de internet? Si, como mencionaba anteriormente, cada colaborador conoce el reglamento interno de
trabajo, y en especial el adecuado uso de la información, adicional los bloqueos que se generan a los equipos permiten mitigar el riesgo a la fuga de información.
FORMATOS DILIGENCIADOS
CHECK LIST REPORTE DEEQUIPOS CANTIDAD
EQUIPO
Existencia SI
1
EL CPU
2
DISCO DURO
x
3
MEMORIA RAM
x
4
TARJETA GRAFICA
x
5
TARJETA DE SONIDO
6
TARJETA DE RED
7
CD\DVD ROM
8
GABINETE
9
SISTEMA BIOMETRICO
10
UPS
x
11
CAMARAS INTERNAS
x
12
CAMARAS EXTERNAS
x
Observaciones:
NO
Observación Debe cumplir con la capacidad adecuada miniio 500 GB El requerimiento del disco debe tener espacio suficiente para guardar la información total de las actividades de la empresa La unidad de memoria debe tener la máxima soportada por el slot para obtener el mejor desempeño Debe soportar los gráficos y mejorar el desempeño de construcciones digitales
x
Sin observaciones. Debe funcionar slot de conexión tarjeta de red. Realiza detección de cd y abre archivos de diferentes extensiones
x x x x
Sistema indoor. Funcionamiento con inforacion actualizada Adecuada capacidad para soportar la red por mas de 30 min 3KVA o mas Posicionamiento y correcto funcionamiento. Posicionamiento y correcto funcionamiento.
CHECK LIST REPORTE SOTFWARE CANTIDAD
EQUIPO
ACTUALIZACIÓN Si
no
Sugerido
1
SISTEMA OPERATIVO
x
2
ANTIVIRUS
x
3
CONTROLADORES
x
Actualizado, con soporte del proveedor Actualizado, soporte del proveedor, que puede obtener acceso a parches y lista de virus actualizado Que sean aprobados por firmas digitales del sistema operativos.
4
OFFICE
x
Vigente.
5
JAVA
x
Controlador actualizado.
6
NAVEGADORES
x
Actualizados a fecha actual.
7
COREO EMPRESARIAL
x
8
SISTEMA BIOMETRICO
9
SOPORTE DE FABRICANTE
x
Software actualizado, correo certificado. En funcionamiento e información actualizada para personal de ingreso Los programas utilizados para el dsempeño laboral anexo a los existentes deben contar con soporte del fabricante
10
CAMARAS
x
De alta definición, acceso por ip,
Observaciones:
x
CANTIDAD
FORMATO DE RECOLLECION DE INFORMACION PROTOCOLOS Y PROCESOS. Existencia PROTOCOLOS O PROCESOS. SI NO Observación
1 2 3 4 5 6 7 8 9 10 11 12 13 Observaciones: se Anexa en el formato los procesos y protocolos existentes y faltantes que se expongan en la entrevista.
FORMATO DE RECOLLECION DE INFORMACION PRUEBAS DE FUNCIONAMIENTO DE SFTWARE PANTALLAZO CANTIDAD
EQUIPO
ANTES
DEPUES
VERSION
1
SISTEMA OPERATIVO
2
ANTIVIRUS
3
CONTROLADORES
4
OFFICE
5
JAVA
6
NAVEGADORES
7
COREO EMPRESARIAL
8
SISTEMA BIOMETRICO
9
PRUEBA IMPRESORA
10
CAMARAS
11
PAQUETES IP (PING)
12
PRUEBA RED INTERNA
Observaciones:
Estrategia de mantenimiento de aplicaciones software: En los tiempos en los cuales se realiza el mantenimiento preventivo (cada tres meses), se revisa la actualidad de los programas y componentes que la empresa maneja, esto controlará las actualizaciones, parches del sistemas operativo, riesgos, y requerimientos de seguridad del software de las terminales de los pc. Los cambios que generan la actualización del sistemas no tendrán un impacto a gran escala ya que los programas que se manejan solo serán actualizados será un manejo intuitivo con los mismos procedimientos, en caso extremo, al cambiar de hardware o software, se manejaran manuales y capacitaciones con documentCIÓN precisa, que ayuden a correcto apredizaje y posteriormente su eficaz ejecución.
La siguiente tabla es el informe de los riesgos, impacto y su probabilidad.
RIESGO RESIDUAL DE LA ORGANIZACIÓN PORCENTAJE
PROBABILIDAD
RIESGO
R1 61 AL 100 %
ALTO
R4 R7
30 AL 60 %
DESCRIPCIÓN (Riesgo).
Uso de software no Licenciado Software no licenciado Adquisición de software que no tiene soporte del fabricante
R11
Errores en la desactivación de cuentas de usuario
R22
Uso indebido de Dispositivos personales externos para lucro propio
GESTIÓN DE RIESGO
IMPACTO
ELIMINAR ASUMIR
CATASTROFICO
MITIGAR
MITIGAR
MEDIO
CATASTROFICO
MITIGAR
R3 R6 R8 R8 R10 0 AL 30 %
BAJO
R12 R13 R15 R18 R21 R23 R2 R5
0 AL30%
BAJO
R9
R14 R16
Sanciones Fallas en la configuración de los equipos Acceso no autorizado al área de sistemas Acceso no autorizado al área de sistemas Acceso no autorizado a las áreas restringidas Fuga de Información Daños en la Información privada. Pérdida de Hardware Perdida completa de la información Daños de las comunicaciones. Perdida de información Daño del sistema Operativo No visualización de contenido multimedia El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información. Detección de intrusiones, contención y/o eliminación. Acceso no autorizado a áreas privadas
MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR
CATASTROFICO
MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR
MITIGAR
MITIGAR MITIGAR
MODERADO
R17 R19 R25 0 AL30%
BAJO
R24
Inseguridad en las salas de informática Red local insegura Daño en los equipos de cómputo. Fallo por parte de los teclados y los mouses.
MITIGAR MITIGAR MITIGAR LEVE
MITIGAR
REF HALLAZGO
PÁGINA
PROCESO AUDITADO
LICENSAMIENTOS DE SOFTWARE
RESPONSABLE
DEYBER PINZON
MATERIAL SOPORTE DOMINIO
1
DE
DE
COBIT Adquicision e PROCESO implementación
AI, AI2, AI6
1
DESCRIPCIÓN:
A pesar de contar con un organigrama no están claras las funciones de los empleados en el área de sistemas, dan cumplimiento con las obligaciones por mantener la red en optimas condiciones pero no aplican los procedimientos de la empresa CAUSAS: posterga miento de la empresa para obtener certificado activo del sistema operativo.
CONSECUENCIAS: perdida de información, a causa de los reinicios y actualización del equipo, exposición a blancos de ataques con virus informáticos ya que no actualiza el certificado de actualización de malware, y de virus
RECOMENDACIONES: Crear grupo con responsabilidades con cumplimineto sin
EVIDENCIAS: REF_PT: Formatos de entrevistas inspecciones
DESCRIPCIÓ
Ejemplo Hallazgos Tabla Hallazgo 1 REF HALLAZGO 1 HHDN_O1
PÁGINA
PROCESO AUDITADO
LICENSAMIENTOS DE SOFTWARE
RESPONSABLE
DEYBER PINZON
MATERIAL SOPORTE DOMINIO
1
DE
1
COBIT
ADQUIRIR IMPLEMENTAR
E
PROCESO
AI, AI2, AI6
DESCRIPCIÓN: A pesar de contar con un organigrama no están claras las funciones de los empleados en el área de sistemas, dan cumplimiento con las obligaciones por mantener la red en optimas condiciones pero no aplican los procedimientos de la empresa CAUSAS: A PESAR QUE LA EMPRESA TIENE PROCEDIMIENTOS ESTABLECIDO NO SE CUMPLE A EAL CABALIDAD, POR NEGLINECIA DEJAN VENCER LOS TERMINOS DE LICENCIAS DE SOFTWARE
CONSECUENCIAS:
Las consecuencias de no tener el software, con los parámetros reglamentados, están expuestos a ataques que atenten contra los activos de la empresa, esto seria catastrófica para los activos dela empresa si fuean atacados por la red
VALORACIÓN DEL RIESGO: las perdidas serian catastróficas ya que robarían información de clientes nomina compra de insumos etcétera
Probabilidad de ocurrencia: = 100% Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Crear procedimientos delegar funciones y responsabilidades con órdenes estrictas al equipo de sistemas que verifique y vigile la red
EVIDENCIAS - REF_PT: FORMATOS, ENTREVISTAS E INSPECCIONES CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) E_AUDIO/A_CHDN_01
SOA DECLARACIÓN DE APLICATIVIDAD (SOA) CONTROL
RIESGO N°
TECNICO/ ORGANIZATIVO.
R1
Técnica
R4
Técnica
x
R7
ORGANIZATIVO
x
R11
Técnica
R22
Técnica
R3
ORGANIZATIVO
DESCRIPCIÓN / EXCLUSIÓN.
DOCUMENTO IMPLANTACION
ESTA CONTENIDPO EN EL RIESGO 2
COBIT 4.1
Software no licenciado
COBIT 4.1
ESTA CONTENIDPO EN EL RIESGO 2
COBIT 4.1
Errores en la desactivación de PC4 Roles y cuentas de responsabilidades usuario
COBIT 4.1
x
PC6 Políticas, planes y procedimientos
Uso indebido de Dispositivos personales externos para lucro propio
COBIT 4.1
x
PC6 Políticas, planes y procedimientos
Sanciones
COBIT 4.1
(Aplicativo)
OBJETIVO (Control)
SI NO x
x
PC6 Políticas, planes y procedimientos
R6
R8
R8
Técnica
ORGANIZATIVO
ORGANIZATIVO
x
Fallas en la configuración de los equipos
COBIT 4.1
x
Acceso no autorizado al área de sistemas
COBIT 4.1
x
Acceso no autorizado al área de sistemas
COBIT 4.1
R10
ORGANIZATIVO
x
R12
Técnica
x
R13
Técnica
x
R15
Técnica
x
PC6 Políticas, planes y procedimientos
Acceso no autorizado a las áreas restringidas
COBIT 4.1
Fuga de Información
COBIT 4.1
Daños en la Información privada.
COBIT 4.1
Pérdida de Hardware
COBIT 4.1
R18
R21
Técnica
Técnica
R23
Técnica
R2
Técnica
Perdida completa de la información
COBIT 4.1
x
PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Daños de las comunicaciones.
COBIT 4.1
x
PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Perdida de información
COBIT 4.1
x
PC6 Políticas, planes y procedimientos
Daño del sistema Operativo
COBIT 4.1
x
R5
R9
Técnica
ORGANIZATIVO
R14
Técnica
R16
ORGANIZATIVO
PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
No visualización de contenido multimedia
COBIT 4.1
x
PC6 Políticas, planes y procedimientos
El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información.
COBIT 4.1
x
PC6 Políticas, planes y procedimientos
Detección de intrusiones, contención y/o eliminación.
COBIT 4.1
Acceso no autorizado a áreas privadas
COBIT 4.1
x
x
R17
R19
R25
R24
ORGANIZATIVO
Técnica
Técnica
Técnica
x
PC1 Dueño del proceso Asignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Inseguridad en las salas de informática
COBIT 4.1
x
PC1 Dueño del proceso Asignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Red local insegura
COBIT 4.1
x
PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Daño en los equipos de cómputo.
COBIT 4.1
x
PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara
Fallo por parte de los teclados y los mouses.
COBIT 4.1
CONCLUSIONES
Fase final Modelos de madurez empresaral
PARAMETROS GENERICOS DE MADURES ESCALA ETAPA MADUREZ 0 No Existente 1 Inicial 2 Repetible 3 Definido4 Administrado5 Optimizado-
MADURES
LEYENDA NO SE APLICAN PROCESOS ASMINISTRATIVOS EN LO ABSOLUTO los procesos son ad-hopc y desorganizados los procesos siguen un patrón regular los procesos se documentan y se comunican los procesos se monitorean y se miden las buenas practicas se siguen y se automatizan
DATOS MODELO GENERICO DE MADURES ESCALA RIESGO DESCRIPCION
Definido
3
R1
Definido
3
R4
NO EXISTE
0
R7
Definido
3
R11
Uso de software no Licenciado Software no licenciado Adquisición de software que no tiene soporte del fabricante Errores en la desactivación de cuentas de usuario
Optimizado
5
R22
Uso indebido de Dispositivos personales externos para lucro propio
Administrado
4
R3
Sanciones
Administrado
4
R6
Fallas en la configuración de los equipos
Administrado
4
R8
DEFINIDO
3
R8
Administrado
4
R10
Optimizado
5
R12
Optimizado
5
R13
Definido
3
R15
Administrado
4
R18
Definido
3
R21
Optimizado
5
R23
Acceso no autorizado al área de sistemas Acceso no autorizado al área de sistemas Acceso no autorizado a las áreas restringidas Fuga de Información Daños en la Información privada. Pérdida de Hardware Perdida completa de la información Daños de las comunicaciones. Perdida de información
Repetible
2
R2
Daño del sistema Operativo
No Existente
0
R5
No visualización de contenido multimedia
R9
El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información.
Repetible
2
No Existente
0
R14
Administrado
4
R16
Optimizado
5
R17
0
R19
Definido
3
R25
Definido
3
R24
Detección de intrusiones, contención y/o eliminación. Acceso no autorizado a áreas privadas Inseguridad en las salas de informática Red local insegura Daño en los equipos de cómputo. Fallo por parte de los teclados y los mouses.
NIVEL DE MADUREZ 9
8
8 7
6
6 5
5 4
4 3
2
2 1
0
0 NIVEL 0
NIVEL 1
NIVEL 2
NIVEL 3
Series1
NIVEL 4
NIVEL 5
DICTAMEN DE AUDITORIA.
Se realiza la auditoria interna a la empresa xxxx al 1 de diciembre del 2018, obtuve la información necesaria para cumplir mis funciones de revisor fiscal y que se llevo a cabo el trabajo deacuerdo a las normas de auditoria generalmente aceptadas en Colombia, la inspección a las diferentes áreas de tecnología, seguridad de personal, seguridad
informática, inspección de hardware y software, verificación de capacidad de la tecnología y humana que posee la empresa; la información obtenida fue recogida con aplicación de formatos, entrevistas, visitas de inspección realizadas por el equipo de auditoria. Los procedimientos que la compañía tiene para mitigar los diferentes riesgos encontrados durante la interventoría, deben ser puestos en observación con asignación de labor y responsabilidad por la empresa o tercerizar esta labor, en la acción de mitigación de los riesgos se debe actualizar los protocolos de seguridad que operan actualmente, ampliar los alcances limitantes para evitar libertades a los operarios de las distintas áreas,
REFERENCIAS BIBLIOGRAFÍCAS
Metodología de auditoria de sistemas. (s.f.). Recuperado el 12 de 11 de 2018, de Galeon: http://anaranjo.galeon.com/metodo_audi.htm Recuperado (16/02/2016) del curso Auditoria de sistemas Grupo 90168-44 Tomado de: http://campus06.unad.edu.co/ecbti05/mod/forum/view.php?id=696