• Author / Uploaded
• Serrat Robert

• Categories
• Apoyo
• Seguridad de información
• Ingeniería
• Programa de computadora
• Tecnología

Citation preview

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas Grupo: 90168_19

Fase 3 – Planeación y ejecución de la Auditoria Presentado por: ROBERTO JOSE SERRANO PEREZ Código: 1114451738 DIEGO VARELA Código:1113639731 PAOLA ANDREA RODRIGUEZ Código: 52667062

Presentado a: Tutor: FRANCISCO NICOLÁS SOLARTE

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas) CEAD Palmira Abril de 2018

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores de la auditoria de sistemas, que se socializan en la Fase 3 – Planeación y ejecución de la Auditoria. Así mismo, vamos a compartir mediante los procesos CobIT del programa de auditoria, diseñando instrumentos de recolección de información para proceder con el proceso de auditoría.

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

OBJETIVOS Objetivo General aprender a diseñar los instrumentos de recolección de la información de acuerdo al estándar CobIT. Objetivos Específicos Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría. Fortalecer nuestro campo visual en la auditoria en sistemas.

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

Cuadro de Consolidado INTEGRANTE Roberto Jose Serrano

PROCESOS Educación y entrenamiento de usuarios.

DOMINIOS DS6

OBJETIVOS DE COTROL DS6.1 Identificación de Necesidades de Entrenamiento y Educación DS6.2 Impartición de Entrenamiento y Educación DS6.3 Evaluación del Entrenamiento Recibido

Roberto Serrano

Jose

Administración Datos.

de

DS11

DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

APORTE ROBERTO JOSE SERRANO Instrumento de recolección escogido el cual es: 

Cuestionario

Los dos procesos que escojo son:  

DS6 Educación y entrenamiento de usuarios DS11 Administración de Datos

Los procesos CobIT escogidos son los siguientes: Proceso N° 1 Dominio DS6 Procesos Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo. Objetivos de control DS6.1 Identificación de Necesidades de Entrenamiento y Educación DS6.2 Impartición de Entrenamiento y Educación DS6.3 Evaluación del Entrenamiento Recibido

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1 ENTREVISTA

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

ENTIDAD AUDITADA

UNIVERSIDAD ANTONIO NARIÑO

PAGINA 1 D 1 E

OBJETIVO Fortalecer el uso de las herramientas tecnológicas. AUDITORÍA PROCESO Educación y entrenamiento de usuarios. AUDITADO RESPONSABLE Roberto José Serrano Pérez MATERIAL DE SOPORTE COBIT DOMINIO DS6 PROCESO Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo. ENTREVISTADO CARGO

Doris Elena Martinez Auxiliar de Biblioteca

1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar mejor su desempeño? Si, la universidad me aporta las herramientas necesarias para elaborar mi trabajo acorde a lo solicitado. 2. ¿Qué función desempeña en la Universidad? Mi función es prestar los libros y recursos bibliográficos con que cuenta la biblioteca de la universidad 3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día a día? El computador y el lector de códigos de barras 4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es básico, intermedio, avanzado, justifique su respuesta?

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

Creo que es básico porque las tecnologías son algo complejas y dentro de mi trabajo solo utilizo una parte que he aprendido mediante capacitaciones que se requieren para laborar en mi puesto. 5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas tecnológicas? La verdad es que son muy pocas la capacitación referente a las tecnologías se puede decir que son una vez por semestre 6. ¿Qué tipo de capacitaciones le gustaría realizar? Manejo de Excel, porque creo que es indispensable por estos tiempos 7. ¿Las características del equipo son suficientes para el desempeño de su trabajo? Si el computador me parece muy bueno además es muy reciente 8. ¿Qué hace en caso de que el equipo falle? ¿a quién acude? Cuando me falla el equipo lo que hago es acudir al área de sistemas de la universidad quien se encarga de estos asuntos. 9. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas? Manejo Excel, Word ya que el resto de cosas que se realizan son en línea 10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en su día a día? Si creo que hasta el momento todo es acorde a mi trabajo 11. ¿Desea agregar algún otro comentario sobre los temas en relación de la entrevista? Ninguna Doris Elena Martínez

Diego Fernando Varela

______________________ NOMBRE ENTREVISTADO FIRMA

______________________ AUDITOR RESPONSABLE FIRMA

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

LISTA DE CHEQUEO LISTA CHEQUEO Educación y DOMINIO DS6 PROCESO entrenamiento de usuarios DS6.1 Identificación de Necesidades de OBJETIVO DE CONTROL Entrenamiento y Educación Nº

ASPECTO EVALUADO

1

¿Se realizan capacitaciones para el manejo del aplicativos?

CONFORME

SI X

NO

OBSERVACIÓN Aunque muy pocas veces

OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación 2

¿Es consciente del uso adecuado de las herramientas tecnológicas?

X

Creo que son vitales

OBJETIVO DE CONTROL DS6.3 Evaluación del Entrenamiento Recibido

3

¿Ha recibido usted algún plan de capacitación para mejorar su desempeño laboral?

X

Si, pero más bien relacionado con salud ocupacional en el trabajo, es decir muy poco sobre lo tecnológicos

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

CUESTIONARIO CUESTIONARIO CUANTITATIVO

ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO

REF

UNIVERSIDAD ANTONIO NARIÑO 1

PAGINA DE 1

Educación y entrenamiento de usuarios Roberto José Serrano Pérez COBIT 4.1 DS6

PROCESO DS6.1 Identificación de Necesidades de Entrenamiento y Educación

OBJETIVO DE CONTROL N PREGUNTA SI NO NA REF 1 ¿Considera que es importante el uso 4 adecuado de las TICS? 2 ¿Conoce sobre las políticas utilizadas 1 3 por el área de Tecnología? 3 ¿Realiza periódicamente capacitaciones 2 2 en donde se incluya al usuario como principal capa de seguridad? 4 ¿Realizan seguimiento para evaluar el 4 conocimiento adquirido en el campo laboral que se encuentra usted? 5 ¿Existe un plan de acción para mitigar 4 los espacios en blancos “Dudas o inquietudes” sobre el uso de software? 6 ¿Los aplicativos o software que utiliza 4 son adecuados para el desarrollo de su actividad laboral? TOTAL 15 9 TOTAL, CUESTIONARIO 24 Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 % Porcentaje de riesgo total = 100 – 12,5 = 87,5 % PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

Proceso N° 2 Dominio DS11 Procesos Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI Objetivos de control DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 2

ENTREVISTA ENTIDAD AUDITADA

UNIVERSIDAD ANTONIO NARIÑO

PAGINA 1 D 1 E Brindar una mejor seguridad en el manejo y control de la información de la empresa. Administración de Datos.

OBJETIVO AUDITORÍA PROCESO AUDITADO RESPONSABLE Roberto José Serrano Pérez MATERIAL DE SOPORTE COBIT DOMINIO DS11 PROCESO

ENTREVISTADO CARGO

Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

Octavio de la Cruz Auxiliar de Computo

1. ¿Realizan copias de seguridad en la empresa? Si se realiza copias de seguridad 2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo o equipo móvil? Semestralmente es decir alrededor de 6 meses 3. ¿Conoce sobre qué seguridad tiene para la conservación de la información? Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que se realizan en las diferentes oficinas.

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la empresa? La universidad realiza backup a toda la información que se hace en línea, pero no conozco si es alguna empresa o si este proceso lo hace directamente la universidad 5. ¿Sabe sobre el manejo del almacenamiento en la nube? Si regularmente lo utilizo para mi información personal. 6. ¿Sabe sobre políticas de la protección de datos? Si la universidad nos ha hablado mucho de este tema por cuanto se tiene contacto con muchas personas externas 7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013? En lo personal no. 8. ¿La empresa maneja base de datos para los diferentes aplicativos? Si cuenta con aplicativos, pero son controlados por la sede principal que está en Bogotá 9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos? No tengo conocimiento de esta información 10. ¿Para usted que son los datos personales? Es toda la información que nos solicitan o que podemos solicitar 11. ¿Cómo protege usted sus datos personales? Mediante claves y cambiándolas periódicamente Octavio de la Cruz ______________________ NOMBRE ENTREVISTADO FIRMA LISTA DE CHEQUEO

Diego Fernando Varela ______________________ AUDITOR RESPONSABLE FIRMA

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

LISTA CHEQUEO DOMINIO

DS11

OBJETIVO DE CONTROL

Administración de Datos DS11.1 Requerimientos del Negocio para Administración de Datos PROCESO

CONFORME

N.º

ASPECTO EVALUADO

1

¿El manejo de la información la realiza un tercero u proveedor?

SI

NO X

OBSERVACIÓN La información manejada por universidad

es la

OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación 2

¿Cuentan con almacenamiento información?

control de

del la

En algunos casos se utiliza un ftp

X

DS11.3 Sistema de Administración de Librerías de medios ¿Dentro de las copias de No conozco, pero me seguridad se estructura algún tipo X supongo que debe de control o seguimiento? tenerlo

OBJETIVO DE CONTROL 3

OBJETIVO DE CONTROL DS11.4 Eliminación

4

¿Cuentan con versionamiento en las copias de seguridad?

La información debe estar disponible en cualquier momento y para cualquier equipo(sistema)

X

OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración

5

¿Cuentan con un plan en caso de tener alguna perdida o daño sobre la información?

DS11.6 Requerimientos Administración de Datos ¿Cuentan con políticas para la X protección de datos?

OBJETIVO DE CONTROL 6

X

En la sede solo contamos con lo que se guarda en el backup de quipos de Seguridad para la Si la universidad es muy clara en ese sentido

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

CUESTIONARIO CUESTIONARIO CUANTITATIVO

ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO

UNIVERSIDAD ANTONIO NARIÑO

REF

PAGINA 1 DE 1

Administración de Datos Roberto José Serrano Pérez COBIT 4.1 DS11

OBJETIVO DE CONTROL

PROCESO Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI

DS11.6 Requerimientos de Seguridad para la Administración de Datos N PREGUNTA SI NO NA REF 1 ¿La información de su equipo cuenta con 4 copias de seguridad? 2 ¿Almacena usted información en la 2 2 nube? 3 ¿Realiza periódicamente copias de 1 3 seguridad? 4 ¿Cuenta con un plan de trabajo para 4 realizar las copias de seguridad? 5 ¿Conoce sobre las políticas frente al 1 3 plan de seguridad de la información?

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

6

¿Sabe sobre las políticas de bases de 1 3 datos? TOTAL 9 15 TOTAL, CUESTIONARIO 24 Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 % Porcentaje de riesgo total = 100 – 12,5 = 87,5 % PORCENTAJE RIESGO 87,5 % (Riesgo Alto) PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – ROBERTO SERRANO Vulnerabilidades 1. 2. 3. 4.

No se realiza capacitaciones con regularidad. No existe evidencia de las capacitaciones. Los equipos no cuentan con copias de seguridad periódicas. Falta cronograma para las actividades de capacitación.

Amenaza 1. 2. 3. 4. 5.

No existen copias de seguridad periódicas. No hay conocimientos de los periodos para realizar copias de seguridad. No existe cronograma para la realización de las capacitaciones. Se desconoce sobre las políticas sobre la protección y seguridad de la información. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.

Riesgos 1. 2. 3. 4. 5. 6. 7. 8. 9.

No hay copias de seguridad periódicas. No tienen conocimientos de las herramientas tecnológicas que utilizan. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones. Se presentan problemas por falta de conocimiento sobre las políticas. No existe una política clara sobre la protección y seguridad de la información. No cuentan con un plan para eventos de respaldo de la información. Afectación de la integridad de los datos. Afectación de la disponibilidad del respaldo de la información de los procesos. Falta de personal debidamente autorizado para la realización de las actividades del proceso.

MATRIZ DE PROBABILIDAD DE IMPACTO

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso Evaluación de Riesgos N°

Descripción Baja

R1

R2

R3

R4

R5

R6

R7

R8

No hay copias de seguridad periódicas No tienen conocimientos de las herramientas tecnológicas que utilizan. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones. Se presentan problemas por falta de conocimiento sobre las políticas. No existe una política clara sobre la protección y seguridad de la información. No cuentan con un plan para eventos de respaldo de la información. Afectación de la integridad de los datos. Afectación de la disponibilidad del respaldo de la información

Probabilidad Media Alta

Leve

Impacto Moderado Catastrófico

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

X

X

Resultado Matriz de riesgos R6

PROBABILIDAD

R9

de los procesos. Falta de personal debidamente autorizado para la realización de las actividades del proceso.

Alto 61-100% Medio 31-60% Bajo 0-30%

R1, R5, R8

R4, R9 R3, R7

R2 Leve

Moderado Catastrófico

IMPACTO

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

CONCLUSIÓN La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más importante de una compañía, el cual es la información, como profesionales de sistemas, debemos tener los conceptos claros de la unidad formativa, esto con el propósito de salva guardar toda la infraestructura dentro de una compañía. La auditoría de sistemas nos permitirá generar correctivos, por medio planes de trabajo, planes de acción proyectos, o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual se mueve la información.

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

BIBLIOGRAFÍA Referencias bibliográficas requeridas Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre= book&issn=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date= 20090101&spage=&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c 3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20audit or%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI: Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial McGraw-Hill. Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=110 38908&ppg=4 Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=1104 6196 Huesca, G. (2012). Auditoria informática. Recuperado https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

de

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=audito r%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f= false OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad, amenaza y riesgos y su clasificación. Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De http://hdl.handle.net/10596/10236 Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas. Recuperado de

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html