• Author / Uploaded
• Deyber Pinzón Bernal

• Categories
• Software antivirus
• Software
• Disco compacto
• Red de computadoras
• Virus de computadora

Citation preview

FASE 4 PLANEACIÓN Y EJECUCIÓN DE LA AUDITORIA

PRESENTADO POR: Danilo López – código: Cindy Mayerly Durán Ortiz - Código: 1.121.832.819 Deyber Pinzón Bernal – Código: 86.046.910 Javier Orlando Sánchez – Código: 1.055.313.571

GRUPO: 90168_6

FRANCISCO NICOLAS SOLARTE (Tutor)

UNIVERSIDAD NACIONAL A BIERTA Y A DISTACIA “UNAD” ESCUELA DE CIENCIAS BASICA, TECNOLOGIA E INGENIERIA AUDITORIA DE SISTEMAS 2018

INTRODUCCIÓN.

OBJETIVOS Objetivo general

Objetivos específicos

HERRAMIENTAS PARA RECOLECCÓN DE DATOS PARA LA AUDITORIA. FORMATO DE ENTREVISTA NOMBRE EMPRESA: NOMBRE ENTREVISTADO: CARGO : AREA: Email Empresa:

NOMBRE EMPRESA: NATALIA ACEVEDO

AUDITOR : Tipo AUXILIAR entrevista: ADMINISTRATIVO FECHA HORA

UNAD CINDY DURAN Abierta NOV 13 DE 2018 8PM

Existen procedimientos establecidos por la empresa para el manejo de correo institucional. Si, la empresa cuenta con dominio para el manejo de correo interno y el sistema está configurado para el acceso a estos correos a través de la plataforma Outlook. Existen protocolos de manejo para la navegación en internet? Cada colaborador de la empresa tiene conocimiento de sus funciones y el adecuando manejo de las herramientas informáticas, adicional, los equipos cuentan con ciertas restricciones para garantizar el adecuado uso Existen protocolos en el manejo de la información empresarial por labor desempeñada. Si se cuenta con los protocolos de manejo de información y clausulados de confidencialidad, cada colaborador a través del reglamento interno de trabajo tiene conocimiento del adecuado uso de la información que se maneja internamente en la

compañía. Hay control para el manejo de dispositivos externos de la empresa. Por protocolo no se permite acceso a dispositivos externos ya que la información se maneja a través de correo institucional y los dispositivos están bloqueados para el manejo de usb/cd/y medios de almacenamiento externo. A demás para conectar los equipos que no están configurados con la red interna de la empresa se debe ser con previa autorización y en casos especiales u ocasionales ¿Cuenta la empresa con capacitaciones para los empleados en informática? . La organización capacita el personal en cuanto a los programas internos que se utiliza, sin embargo el colaborador debe contar con conocimientos mínimos de manejo de software ¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra, supresor de pico instalado, sistema regulado de energía? Si, las instalaciones cuentan con adecuada red eléctrica, a adicional de los reguladores que cada equipo cuenta y las ups para equipos de constante funcionamiento. ¿Existen plan de contingencia para recuperación de los datos ante un incidente imprevisto? Si, los sistemas generan respaldo de información en la nube, lo cual permite garantizar la confiabilidad de los datos, adicional a este respaldo, se genera un respaldo físico cada trimestre ¿Existen protocolos de actualización del sistema periódicamente del sistema? Se tiene establecidas fechas para realizar revisión de los equipo para actualizar sistemas como antivirus y actualizaciones s de seguridad, sin embargo no se actualiza el sistema interno ya que no existe actualizaciones para estos ¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa al dar mal uso de dispositivos o navegadores de internet? Si, como mencionaba anteriormente, cada colaborador conoce el reglamento interno de

trabajo, y en especial el adecuado uso de la información, adicional los bloqueos que se generan a los equipos permiten mitigar el riesgo a la fuga de información.

FORMATOS DILIGENCIADOS

CHECK LIST REPORTE DEEQUIPOS CANTIDAD

EQUIPO

Existencia SI

1

EL CPU

2

DISCO DURO

x

3

MEMORIA RAM

x

4

TARJETA GRAFICA

x

5

TARJETA DE SONIDO

6

TARJETA DE RED

7

CD\DVD ROM

8

GABINETE

9

SISTEMA BIOMETRICO

10

UPS

x

11

CAMARAS INTERNAS

x

12

CAMARAS EXTERNAS

x

Observaciones:

NO

Observación Debe cumplir con la capacidad adecuada miniio 500 GB El requerimiento del disco debe tener espacio suficiente para guardar la información total de las actividades de la empresa La unidad de memoria debe tener la máxima soportada por el slot para obtener el mejor desempeño Debe soportar los gráficos y mejorar el desempeño de construcciones digitales

x

Sin observaciones. Debe funcionar slot de conexión tarjeta de red. Realiza detección de cd y abre archivos de diferentes extensiones

x x x x

Sistema indoor. Funcionamiento con inforacion actualizada Adecuada capacidad para soportar la red por mas de 30 min 3KVA o mas Posicionamiento y correcto funcionamiento. Posicionamiento y correcto funcionamiento.

CHECK LIST REPORTE SOTFWARE CANTIDAD

EQUIPO

ACTUALIZACIÓN Si

no

Sugerido

1

SISTEMA OPERATIVO

x

2

ANTIVIRUS

x

3

CONTROLADORES

x

Actualizado, con soporte del proveedor Actualizado, soporte del proveedor, que puede obtener acceso a parches y lista de virus actualizado Que sean aprobados por firmas digitales del sistema operativos.

4

OFFICE

x

Vigente.

5

JAVA

x

Controlador actualizado.

6

NAVEGADORES

x

Actualizados a fecha actual.

7

COREO EMPRESARIAL

x

8

SISTEMA BIOMETRICO

9

SOPORTE DE FABRICANTE

x

Software actualizado, correo certificado. En funcionamiento e información actualizada para personal de ingreso Los programas utilizados para el dsempeño laboral anexo a los existentes deben contar con soporte del fabricante

10

CAMARAS

x

De alta definición, acceso por ip,

Observaciones:

x

CANTIDAD

FORMATO DE RECOLLECION DE INFORMACION PROTOCOLOS Y PROCESOS. Existencia PROTOCOLOS O PROCESOS. SI NO Observación

1 2 3 4 5 6 7 8 9 10 11 12 13 Observaciones: se Anexa en el formato los procesos y protocolos existentes y faltantes que se expongan en la entrevista.

FORMATO DE RECOLLECION DE INFORMACION PRUEBAS DE FUNCIONAMIENTO DE SFTWARE PANTALLAZO CANTIDAD

EQUIPO

ANTES

DEPUES

VERSION

1

SISTEMA OPERATIVO

2

ANTIVIRUS

3

CONTROLADORES

4

OFFICE

5

JAVA

6

NAVEGADORES

7

COREO EMPRESARIAL

8

SISTEMA BIOMETRICO

9

PRUEBA IMPRESORA

10

CAMARAS

11

PAQUETES IP (PING)

12

PRUEBA RED INTERNA

Observaciones:

Estrategia de mantenimiento de aplicaciones software: En los tiempos en los cuales se realiza el mantenimiento preventivo (cada tres meses), se revisa la actualidad de los programas y componentes que la empresa maneja, esto controlará las actualizaciones, parches del sistemas operativo, riesgos, y requerimientos de seguridad del software de las terminales de los pc. Los cambios que generan la actualización del sistemas no tendrán un impacto a gran escala ya que los programas que se manejan solo serán actualizados será un manejo intuitivo con los mismos procedimientos, en caso extremo, al cambiar de hardware o software, se manejaran manuales y capacitaciones con documentCIÓN precisa, que ayuden a correcto apredizaje y posteriormente su eficaz ejecución.

La siguiente tabla es el informe de los riesgos, impacto y su probabilidad.

RIESGO RESIDUAL DE LA ORGANIZACIÓN PORCENTAJE

PROBABILIDAD

RIESGO

R1 61 AL 100 %

ALTO

R4 R7

30 AL 60 %

DESCRIPCIÓN (Riesgo).

Uso de software no Licenciado Software no licenciado Adquisición de software que no tiene soporte del fabricante

R11

Errores en la desactivación de cuentas de usuario

R22

Uso indebido de Dispositivos personales externos para lucro propio

GESTIÓN DE RIESGO

IMPACTO

ELIMINAR ASUMIR

CATASTROFICO

MITIGAR

MITIGAR

MEDIO

CATASTROFICO

MITIGAR

R3 R6 R8 R8 R10 0 AL 30 %

BAJO

R12 R13 R15 R18 R21 R23 R2 R5

0 AL30%

BAJO

R9

R14 R16

Sanciones Fallas en la configuración de los equipos Acceso no autorizado al área de sistemas Acceso no autorizado al área de sistemas Acceso no autorizado a las áreas restringidas Fuga de Información Daños en la Información privada. Pérdida de Hardware Perdida completa de la información Daños de las comunicaciones. Perdida de información Daño del sistema Operativo No visualización de contenido multimedia El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información. Detección de intrusiones, contención y/o eliminación. Acceso no autorizado a áreas privadas

MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR

CATASTROFICO

MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR MITIGAR

MITIGAR

MITIGAR MITIGAR

MODERADO

R17 R19 R25 0 AL30%

BAJO

R24

Inseguridad en las salas de informática Red local insegura Daño en los equipos de cómputo. Fallo por parte de los teclados y los mouses.

MITIGAR MITIGAR MITIGAR LEVE

MITIGAR

REF HALLAZGO

PÁGINA

PROCESO AUDITADO

LICENSAMIENTOS DE SOFTWARE

RESPONSABLE

DEYBER PINZON

MATERIAL SOPORTE DOMINIO

1

DE

DE

COBIT Adquicision e PROCESO implementación

AI, AI2, AI6

1

DESCRIPCIÓN:

A pesar de contar con un organigrama no están claras las funciones de los empleados en el área de sistemas, dan cumplimiento con las obligaciones por mantener la red en optimas condiciones pero no aplican los procedimientos de la empresa CAUSAS: posterga miento de la empresa para obtener certificado activo del sistema operativo.

CONSECUENCIAS: perdida de información, a causa de los reinicios y actualización del equipo, exposición a blancos de ataques con virus informáticos ya que no actualiza el certificado de actualización de malware, y de virus

RECOMENDACIONES: Crear grupo con responsabilidades con cumplimineto sin

EVIDENCIAS: REF_PT: Formatos de entrevistas inspecciones

DESCRIPCIÓ

Ejemplo Hallazgos Tabla Hallazgo 1 REF HALLAZGO 1 HHDN_O1

PÁGINA

PROCESO AUDITADO

LICENSAMIENTOS DE SOFTWARE

RESPONSABLE

DEYBER PINZON

MATERIAL SOPORTE DOMINIO

1

DE

1

COBIT

ADQUIRIR IMPLEMENTAR

E

PROCESO

AI, AI2, AI6

DESCRIPCIÓN: A pesar de contar con un organigrama no están claras las funciones de los empleados en el área de sistemas, dan cumplimiento con las obligaciones por mantener la red en optimas condiciones pero no aplican los procedimientos de la empresa CAUSAS: A PESAR QUE LA EMPRESA TIENE PROCEDIMIENTOS ESTABLECIDO NO SE CUMPLE A EAL CABALIDAD, POR NEGLINECIA DEJAN VENCER LOS TERMINOS DE LICENCIAS DE SOFTWARE

CONSECUENCIAS: 

Las consecuencias de no tener el software, con los parámetros reglamentados, están expuestos a ataques que atenten contra los activos de la empresa, esto seria catastrófica para los activos dela empresa si fuean atacados por la red

VALORACIÓN DEL RIESGO: las perdidas serian catastróficas ya que robarían información de clientes nomina compra de insumos etcétera  

Probabilidad de ocurrencia: = 100% Impacto según relevancia del proceso: Alto

RECOMENDACIONES:



Crear procedimientos delegar funciones y responsabilidades con órdenes estrictas al equipo de sistemas que verifique y vigile la red

EVIDENCIAS - REF_PT: FORMATOS, ENTREVISTAS E INSPECCIONES CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) E_AUDIO/A_CHDN_01

SOA DECLARACIÓN DE APLICATIVIDAD (SOA) CONTROL

RIESGO N°

TECNICO/ ORGANIZATIVO.

R1

Técnica

R4

Técnica

x

R7

ORGANIZATIVO

x

R11

Técnica

R22

Técnica

R3

ORGANIZATIVO

DESCRIPCIÓN / EXCLUSIÓN.

DOCUMENTO IMPLANTACION

ESTA CONTENIDPO EN EL RIESGO 2

COBIT 4.1

Software no licenciado

COBIT 4.1

ESTA CONTENIDPO EN EL RIESGO 2

COBIT 4.1

Errores en la desactivación de PC4 Roles y cuentas de responsabilidades usuario

COBIT 4.1

x

PC6 Políticas, planes y procedimientos

Uso indebido de Dispositivos personales externos para lucro propio

COBIT 4.1

x

PC6 Políticas, planes y procedimientos

Sanciones

COBIT 4.1

(Aplicativo)

OBJETIVO (Control)

SI NO x

x

PC6 Políticas, planes y procedimientos

R6

R8

R8

Técnica

ORGANIZATIVO

ORGANIZATIVO

x

Fallas en la configuración de los equipos

COBIT 4.1

x

Acceso no autorizado al área de sistemas

COBIT 4.1

x

Acceso no autorizado al área de sistemas

COBIT 4.1

R10

ORGANIZATIVO

x

R12

Técnica

x

R13

Técnica

x

R15

Técnica

x



PC6  Políticas, planes y procedimientos

Acceso no autorizado a las áreas restringidas

COBIT 4.1

Fuga de Información

COBIT 4.1

Daños en la Información privada.

COBIT 4.1

Pérdida de Hardware

COBIT 4.1

R18

R21

Técnica

Técnica

R23

Técnica

R2

Técnica

Perdida completa de la información

COBIT 4.1

x

PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Daños de las comunicaciones.

COBIT 4.1

x

PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Perdida de información

COBIT 4.1

x

PC6 Políticas, planes y procedimientos

Daño del sistema Operativo

COBIT 4.1

x

R5

R9

Técnica

ORGANIZATIVO

R14

Técnica

R16

ORGANIZATIVO

PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

No visualización de contenido multimedia

COBIT 4.1

x

PC6 Políticas, planes y procedimientos

El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información.

COBIT 4.1

x

PC6 Políticas, planes y procedimientos

Detección de intrusiones, contención y/o eliminación.

COBIT 4.1

Acceso no autorizado a áreas privadas

COBIT 4.1

x

x

R17

R19

R25

R24

ORGANIZATIVO

Técnica

Técnica

Técnica

x

PC1 Dueño del proceso Asignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Inseguridad en las salas de informática

COBIT 4.1

x

PC1 Dueño del proceso Asignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Red local insegura

COBIT 4.1

x

PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Daño en los equipos de cómputo.

COBIT 4.1

x

PC1 Dueño del procesoAsignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara

Fallo por parte de los teclados y los mouses.

COBIT 4.1

CONCLUSIONES

Fase final Modelos de madurez empresaral

PARAMETROS GENERICOS DE MADURES ESCALA ETAPA MADUREZ 0 No Existente 1 Inicial 2 Repetible 3 Definido4 Administrado5 Optimizado-

MADURES

LEYENDA NO SE APLICAN PROCESOS ASMINISTRATIVOS EN LO ABSOLUTO los procesos son ad-hopc y desorganizados los procesos siguen un patrón regular los procesos se documentan y se comunican los procesos se monitorean y se miden las buenas practicas se siguen y se automatizan

DATOS MODELO GENERICO DE MADURES ESCALA RIESGO DESCRIPCION

Definido

3

R1

Definido

3

R4

NO EXISTE

0

R7

Definido

3

R11

Uso de software no Licenciado Software no licenciado Adquisición de software que no tiene soporte del fabricante Errores en la desactivación de cuentas de usuario

Optimizado

5

R22

Uso indebido de Dispositivos personales externos para lucro propio

Administrado

4

R3

Sanciones

Administrado

4

R6

Fallas en la configuración de los equipos

Administrado

4

R8

DEFINIDO

3

R8

Administrado

4

R10

Optimizado

5

R12

Optimizado

5

R13

Definido

3

R15

Administrado

4

R18

Definido

3

R21

Optimizado

5

R23

Acceso no autorizado al área de sistemas Acceso no autorizado al área de sistemas Acceso no autorizado a las áreas restringidas Fuga de Información Daños en la Información privada. Pérdida de Hardware Perdida completa de la información Daños de las comunicaciones. Perdida de información

Repetible

2

R2

Daño del sistema Operativo

No Existente

0

R5

No visualización de contenido multimedia

R9

El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la información por medio de los sistemas de información.

Repetible

2

No Existente

0

R14

Administrado

4

R16

Optimizado

5

R17

0

R19

Definido

3

R25

Definido

3

R24

Detección de intrusiones, contención y/o eliminación. Acceso no autorizado a áreas privadas Inseguridad en las salas de informática Red local insegura Daño en los equipos de cómputo. Fallo por parte de los teclados y los mouses.

NIVEL DE MADUREZ 9

8

8 7

6

6 5

5 4

4 3

2

2 1

0

0 NIVEL 0

NIVEL 1

NIVEL 2

NIVEL 3

Series1

NIVEL 4

NIVEL 5

DICTAMEN DE AUDITORIA.

Se realiza la auditoria interna a la empresa xxxx al 1 de diciembre del 2018, obtuve la información necesaria para cumplir mis funciones de revisor fiscal y que se llevo a cabo el trabajo deacuerdo a las normas de auditoria generalmente aceptadas en Colombia, la inspección a las diferentes áreas de tecnología, seguridad de personal, seguridad

informática, inspección de hardware y software, verificación de capacidad de la tecnología y humana que posee la empresa; la información obtenida fue recogida con aplicación de formatos, entrevistas, visitas de inspección realizadas por el equipo de auditoria. Los procedimientos que la compañía tiene para mitigar los diferentes riesgos encontrados durante la interventoría, deben ser puestos en observación con asignación de labor y responsabilidad por la empresa o tercerizar esta labor, en la acción de mitigación de los riesgos se debe actualizar los protocolos de seguridad que operan actualmente, ampliar los alcances limitantes para evitar libertades a los operarios de las distintas áreas,

REFERENCIAS BIBLIOGRAFÍCAS

 Metodología de auditoria de sistemas. (s.f.). Recuperado el 12 de 11 de 2018, de Galeon: http://anaranjo.galeon.com/metodo_audi.htm  Recuperado (16/02/2016) del curso Auditoria de sistemas Grupo 90168-44 Tomado de: http://campus06.unad.edu.co/ecbti05/mod/forum/view.php?id=696