Auditoria Fase3 Colaborativo V4
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería
Views 127 Downloads 1 File size 972KB
Recommend stories
- Author / Uploaded
- Serrat Robert
Citation preview
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Auditoria en sistemas Grupo: 90168_19
Fase 3 – Planeación y ejecución de la Auditoria
Presentado por: ROBERTO JOSE SERRANO PEREZ Código: 1114451738 DIEGO VARELA Código:1113639731 PAOLA ANDREA RODRIGUEZ Código: 52667062 JEISSON LENIS Código: 1.113.654.486 LUIS CARLOS CABAL Código: 1.113.676.091
Presentado a: Tutor: FRANCISCO NICOLÁS SOLARTE
Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas) CEAD Palmira Abril de 2018
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
INTRODUCCIÓN
Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores de la auditoria de sistemas, que se socializan en la Fase 3 – Planeación y ejecución de la Auditoria. Así mismo, vamos a compartir mediante los procesos CobIT del programa de auditoria, diseñando instrumentos de recolección de información para proceder con el proceso de auditoría.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
OBJETIVOS Objetivo General Aprender a diseñar los instrumentos de recolección de la información de acuerdo al estándar CobIT. Objetivos Específicos Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría. Fortalecer nuestro campo visual en la auditoria en sistemas.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
Cuadro de Consolidado INTEGRANTE Roberto Jose Serrano
DOMINIO Entrega de Servicios y Soportes
PROCESO DS6: Educación y entrenamiento de usuarios.
OBJETIVOS DE COTROL DS6.1 Identificación de Necesidades de Entrenamiento y Educación DS6.2 Impartición de Entrenamiento y Educación DS6.3 Evaluación del Entrenamiento Recibido
Roberto Jose Serrano
Entrega de Servicios y Soportes
DS11: Administración de Datos.
DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos
Paola Andrea Rodríguez
Jeisson Lenis
Entrega de Servicios y Soportes
Planificar y Organizar
DS12: Administración del Ambiente Físico
PO6: Comunicar las Aspiraciones y
DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales PO6.1 Ambiente de Políticas y de Control
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
la Dirección de la Gerencia
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.1 Ambiente de Políticas y de Control
Luis Carlos
Entrega de Servicios y Soportes
PO7: Administrar Recursos Humanos de TI DS5 Garantizar la Seguridad de los Sistemas
PO7.4 Entrenamiento del Personal de TI
DS9 Administrar la Configuración
DS9.1 Administración componentes de TI
DS5.10 Seguridad de la Red DS5.9 Prevención, Detección y Corrección de Software Malicioso
DS9.2 Control de componentes TI
de
cambios
los
de
los
DS9.3 Verificación de existencia de los componentes de TI
Diego Fernando Varela Heredia
Entrega de Servicios y Soportes
DS3 Administrar el Desempeño y la Capacidad DS12 Administración del Ambiente Físico
DS3.1 Planeación del Desempeño y la Capacidad
DS12.5 Administración Instalaciones Físicas
de
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
APORTE ROBERTO JOSE SERRANO Los procesos CobIT escogidos son los siguientes: Proceso N° 1 1. DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo. Objetivos de control 1.1.
DS6.1 Identificación de Necesidades de Entrenamiento y Educación
1.2.
DS6.2 Impartición de Entrenamiento y Educación
1.3.
DS6.3 Evaluación del Entrenamiento Recibido
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1 ENTREVISTA ENTIDAD AUDITADA
UNIVERSIDAD ANTONIO NARIÑO
PAGINA 1 D 1 E
OBJETIVO Fortalecer el uso de las herramientas tecnológicas. AUDITORÍA PROCESO Educación y entrenamiento de usuarios. AUDITADO RESPONSABLE Roberto José Serrano Pérez MATERIAL DE SOPORTE COBIT DOMINIO DS6 PROCESO Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
ENTREVISTADO CARGO
Doris Elena Martinez Auxiliar de Biblioteca
1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar mejor su desempeño? Si, la universidad me aporta las herramientas necesarias para elaborar mi trabajo acorde a lo solicitado. 2. ¿Qué función desempeña en la Universidad? Mi función es prestar los libros y recursos bibliográficos con que cuenta la biblioteca de la universidad 3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día a día? El computador y el lector de códigos de barras 4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es básico, intermedio, avanzado, justifique su respuesta? Creo que es básico porque las tecnologías son algo complejas y dentro de mi trabajo solo utilizo una parte que he aprendido mediante capacitaciones que se requieren para laborar en mi puesto. 5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas tecnológicas? La verdad es que son muy pocas la capacitación referente a las tecnologías se puede decir que son una vez por semestre 6. ¿Qué tipo de capacitaciones le gustaría realizar? Manejo de Excel, porque creo que es indispensable por estos tiempos 7. ¿Las características del equipo son suficientes para el desempeño de su trabajo? Si el computador me parece muy bueno además es muy reciente 8. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
Cuando me falla el equipo lo que hago es acudir al área de sistemas de la universidad quien se encarga de estos asuntos. 9. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas? Manejo Excel, Word ya que el resto de cosas que se realizan son en línea 10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en su día a día? Si creo que hasta el momento todo es acorde a mi trabajo 11. ¿Desea agregar algún otro comentario sobre los temas en relación de la entrevista? Ninguna Doris Elena Martínez
Diego Fernando Varela
______________________ NOMBRE ENTREVISTADO FIRMA
______________________ AUDITOR RESPONSABLE FIRMA
LISTA DE CHEQUEO LISTA CHEQUEO Educación y DOMINIO DS6 PROCESO entrenamiento de usuarios DS6.1 Identificación de Necesidades de OBJETIVO DE CONTROL Entrenamiento y Educación CONFOR ME Nº ASPECTO EVALUADO OBSERVACIÓN SI NO ¿Se realizan capacitaciones para Aunque muy pocas 1 X el manejo del aplicativos? veces OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
2
¿Es consciente del uso adecuado de las herramientas tecnológicas?
X
Creo que son vitales
OBJETIVO DE CONTROL DS6.3 Evaluación del Entrenamiento Recibido
3
¿Ha recibido usted algún plan de capacitación para mejorar su desempeño laboral?
Si, pero más bien relacionado con salud ocupacional en el trabajo, es decir muy poco sobre lo tecnológicos
X
CUESTIONARIO CUESTIONARIO CUANTITATIVO
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
UNIVERSIDAD ANTONIO NARIÑO
REF
PAGINA 1 DE 1
Educación y entrenamiento de usuarios Roberto José Serrano Pérez COBIT 4.1 DS6
PROCESO DS6.1 Identificación de Necesidades de Entrenamiento y Educación
OBJETIVO DE CONTROL N
PREGUNTA
SI
NO
NA
REF
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
1
¿Considera que es importante el uso 4 adecuado de las TICS? 2 ¿Conoce sobre las políticas utilizadas 1 3 por el área de Tecnología? 3 ¿Realiza periódicamente capacitaciones 2 2 en donde se incluya al usuario como principal capa de seguridad? 4 ¿Realizan seguimiento para evaluar el 4 conocimiento adquirido en el campo laboral que se encuentra usted? 5 ¿Existe un plan de acción para mitigar 4 los espacios en blancos “Dudas o inquietudes” sobre el uso de software? 6 ¿Los aplicativos o software que utiliza 4 son adecuados para el desarrollo de su actividad laboral? TOTAL 15 9 TOTAL, CUESTIONARIO 24 Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 % Porcentaje de riesgo total = 100 – 12,5 = 87,5 % PORCENTAJE RIESGO 87,5 % (Riesgo Alto)
Proceso N° 2 2. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI Objetivos de control 2.1.
DS11.1 Requerimientos del Negocio para Administración de Datos
2.2.
DS11.2 Acuerdos de Almacenamiento y Conservación
2.3.
DS11.3 Sistema de Administración de Librerías de medios
2.4.
DS11.4 Eliminación
2.5.
DS11.5 Respaldo y Restauración
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
2.6.
S11.6 Requerimientos de Seguridad para la Administración de Datos
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 2
ENTREVISTA ENTIDAD AUDITADA
UNIVERSIDAD ANTONIO NARIÑO
PAGINA 1 D 1 E Brindar una mejor seguridad en el manejo y control de la información de la empresa. Administración de Datos.
OBJETIVO AUDITORÍA PROCESO AUDITADO RESPONSABLE Roberto José Serrano Pérez MATERIAL DE SOPORTE COBIT DOMINIO DS11 PROCESO
ENTREVISTADO CARGO
Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Octavio de la Cruz Auxiliar de Computo
1. ¿Realizan copias de seguridad en la empresa? Si se realiza copias de seguridad 2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo o equipo móvil? Semestralmente es decir alrededor de 6 meses 3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que se realizan en las diferentes oficinas. 4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la empresa? La universidad realiza backup a toda la información que se hace en línea, pero no conozco si es alguna empresa o si este proceso lo hace directamente la universidad 5. ¿Sabe sobre el manejo del almacenamiento en la nube? Si regularmente lo utilizo para mi información personal. 6. ¿Sabe sobre políticas de la protección de datos? Si la universidad nos ha hablado mucho de este tema por cuanto se tiene contacto con muchas personas externas 7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013? En lo personal no. 8. ¿La empresa maneja base de datos para los diferentes aplicativos? Si cuenta con aplicativos, pero son controlados por la sede principal que está en Bogotá 9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos? No tengo conocimiento de esta información 10. ¿Para usted que son los datos personales? Es toda la información que nos solicitan o que podemos solicitar 11. ¿Cómo protege usted sus datos personales? Mediante claves y cambiándolas periódicamente Octavio de la Cruz ______________________ NOMBRE ENTREVISTADO
Diego Fernando Varela ______________________ AUDITOR RESPONSABLE
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
FIRMA LISTA DE CHEQUEO
FIRMA
LISTA CHEQUEO Administración de Datos DS11.1 Requerimientos del Negocio para OBJETIVO DE CONTROL Administración de Datos CONFOR ME N.º ASPECTO EVALUADO OBSERVACIÓN SI NO ¿El manejo de la información la La información es 1 X manejada por la realiza un tercero u proveedor? universidad DOMINIO
DS11
PROCESO
OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación 2
¿Cuentan con almacenamiento información?
control de
del la
En algunos casos se utiliza un ftp
X
DS11.3 Sistema de Administración de Librerías de medios ¿Dentro de las copias de No conozco, pero me seguridad se estructura algún tipo X supongo que debe de control o seguimiento? tenerlo
OBJETIVO DE CONTROL 3
OBJETIVO DE CONTROL DS11.4 Eliminación
4
¿Cuentan con versionamiento en las copias de seguridad?
La información debe estar disponible en cualquier momento y para cualquier equipo(sistema)
X
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
5
¿Cuentan con un plan en caso de tener alguna pérdida o daño sobre la información?
DS11.6 Requerimientos Administración de Datos ¿Cuentan con políticas para la X protección de datos?
OBJETIVO DE CONTROL 6
X
En la sede solo contamos con lo que se guarda en el backup de quipos de Seguridad para la Si la universidad es muy clara en ese sentido
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
CUESTIONARIO CUESTIONARIO CUANTITATIVO
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
REF
UNIVERSIDAD ANTONIO NARIÑO 1
PAGINA DE 1
Administración de Datos Roberto José Serrano Pérez COBIT 4.1 DS11
OBJETIVO DE CONTROL
PROCESO Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI
DS11.6 Requerimientos de Seguridad para la Administración de Datos N PREGUNTA SI NO NA REF 1 ¿La información de su equipo cuenta con 4 copias de seguridad? 2 ¿Almacena usted información en la 2 2 nube? 3 ¿Realiza periódicamente copias de 1 3 seguridad? 4 ¿Cuenta con un plan de trabajo para 4 realizar las copias de seguridad? 5 ¿Conoce sobre las políticas frente al 1 3 plan de seguridad de la información? 6 ¿Sabe sobre las políticas de bases de 1 3 datos? TOTAL 9 15
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
TOTAL, CUESTIONARIO 24 Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 % Porcentaje de riesgo total = 100 – 12,5 = 87,5 % PORCENTAJE RIESGO 87,5 % (Riesgo Alto) PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – ROBERTO SERRANO Vulnerabilidades 1. 2. 3. 4.
No se realiza capacitaciones con regularidad. No existe evidencia de las capacitaciones. Los equipos no cuentan con copias de seguridad periódicas. Falta cronograma para las actividades de capacitación.
Amenaza 1. 2. 3. 4. 5.
No existen copias de seguridad periódicas. No hay conocimientos de los periodos para realizar copias de seguridad. No existe cronograma para la realización de las capacitaciones. Se desconoce sobre las políticas sobre la protección y seguridad de la información. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.
Riesgos 1. 2. 3. 4. 5. 6. 7. 8. 9.
No hay copias de seguridad periódicas. No tienen conocimientos de las herramientas tecnológicas que utilizan. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones. Se presentan problemas por falta de conocimiento sobre las políticas. No existe una política clara sobre la protección y seguridad de la información. No cuentan con un plan para eventos de respaldo de la información. Afectación de la integridad de los datos. Afectación de la disponibilidad del respaldo de la información de los procesos. Falta de personal debidamente autorizado para la realización de las actividades del proceso.
MATRIZ DE PROBABILIDAD DE IMPACTO Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso Evaluación de Riesgos
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
N° R1
R2
R3
R4
R5
R6
R7
R8
Descripción No hay copias de seguridad periódicas No tienen conocimientos de las herramientas tecnológicas que utilizan. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones. Se presentan problemas por falta de conocimiento sobre las políticas. No existe una política clara sobre la protección y seguridad de la información. No cuentan con un plan para eventos de respaldo de la información. Afectación de la integridad de los datos. Afectación de la disponibilidad del respaldo de la información
Probabilidad Baja Media Alta
Leve
Impacto Moderado Catastrófico
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
R9
de los procesos. Falta de personal debidamente autorizado para la realización de las actividades del proceso.
X
X
Resultado Matriz de riesgos
PROBABILIDAD
R6 Alto 61-100% Medio 31-60% Bajo 0-30%
R1, R5, R8
R4, R9 R3, R7
R2 Leve
Moderado Catastrófico
IMPACTO
APORTE PAOLA ANDREA RODRIGUEZ Los procesos CobIT escogidos son los siguientes: Proceso N° 3
3. DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. Objetivos de control
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
3.1. 3.2. 3.3.
DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 3
LISTAS DE CHEQUEO
UNIVERSIDAD ANTONIO NARIÑO R/PT Lista de chequeo LC1 Dominio Entrega de Servicios y Soportes Proceso Administración del Ambiente Físico Protección ContraNacional FactoresAbierta Ambientales Objetivo de Universidad y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Control Curso: Auditoria de Sistemas Cuestionario Pregunta SI NO N/A ¿El centro de cómputo tiene alguna sección con sistema de X refrigeración? ¿Con cuanta frecuencia se revisan y calibran los controles ambientales?
¿Se tiene contrato de mantenimiento para los equipos que proporcionan el control ambiental? ¿Se tienen instalados y se limpian regularmente los filtros de aire? ¿Con cuanta frecuencia se limpian los filtros de aire?
Una empresa se encarga de la revisión de los aires cada 3 meses x x Cada 3 meses
¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? Documentos probatorios presentados:
x
UNIVERSIDAD ANTONIO NARIÑO R/PT Cuestionario de Control LC2 Dominio Entrega de Servicios y Soportes Proceso Administración del Ambiente Físico Medidas de Seguridad Física Objetivo de Control Cuestionario Pregunta SI ¿Se tienen lugares de acceso restringido? x ¿Se poseen mecanismos de seguridad para el acceso a estos lugares? ¿A este mecanismo de seguridad se le han detectado debilidades? ¿Tiene medidas implementadas ante la falla del sistema de seguridad?
NO
N/A Puertas de seguridad
x x
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
¿Con cuanta frecuencia se actualizan las claves o credenciales de acceso? Documentos probatorios presentados:
UNIVERSIDAD ANTONIO NARIÑO Cuestionario de Control Dominio Entrega de Servicios y Soportes Proceso Administración del Ambiente Físico Acceso Físico Objetivo de Control Cuestionario Pregunta ¿Se tiene un procedimiento establecido para autorizar el ingreso a las diferentes áreas de sistemas? ¿Las áreas de sistemas tienen accesos limitados de personal? ¿Se justifica, autoriza, registra y supervisa todos los accesos a las diferentes áreas de sistemas, incluyendo personal, clientes, proveedores, visitantes? Documentos probatorios presentados:
x
R/PT LC3
SI x
NO
N/A
x x
PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – PAOLA RODRIGUEZ
VULNERABILIDAD
1. 2. 3. 4. 5. 6. 7.
Falta capacitación al personal Todo depende de la sede central (Bogotá) Grupos grandes que supera la capacidad de aulas Falta apoyo en el personal se seguridad de la sede Falta inventario tecnológico Falta plan de mantenimientos No hay control de acceso al rack.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
AMENAZA 1. Suplantación de identidad 2. El personal de TI de la organización no recibe capacitación y actualización sobre las nuevas tecnologías salientes. 3. Capacidad desborda del personal docente y administrativo para satisfacer a todos 4. Continuas amenazas de paros por parte de los estudiantes por inconformidades en muchas de las dependencias 5. Falta de un cronograma de mantenimientos preventivos para todos los equipos tecnológicos de la organización. 6. No hay soporte oportuno para el arreglo de las cámaras de seguridad. 7. Hay un rack que tiene muchos años y no ha sido cambiado ni actualizado. RIESGO 1. 2. 3. 4. 5.
Captura de contraseñas con acceso a información delicada. Falta de conocimientos para atender los mantenimientos de los equipos nuevos. Colapso en la utilización de las salas de cómputo. Pérdida o robo de hardware. Se expone el riesgo de mantener la vigilancia por cámaras en los sitios estratégicos de la empresa, despachos, portería, lockers, bicicleteros, oficinas etc.
MATRIZ DE PROBABILIDAD DE IMPACTO Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso Evaluación de Riesgos
N°
Descripción Baja
R1
R2
Captura de contraseñas con acceso a información delicada. Falta de conocimientos
Probabilidad Media Alta
X
Leve
Impacto Moderado
Catastr ófico
X
X
X
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
R4 R5
X
X
X
X
X
X
Resultado Matriz de riesgos R2-R3 –R5
PROBABILIDAD
R3
para atender los mantenimientos de los equipos nuevos Colapso en la utilización de las salas de cómputo Pérdida o robo de hardware Se expone el riesgo de mantener la vigilancia por cámaras en los sitios estratégicos de la empresa, despachos, portería, lockers, bicicleteros, oficinas etc.
Alto 61-100% Medio 31-60% Bajo 0-30%
R4
R1 Leve Moderado Catastrófico
IMPACTO
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
APORTE JEISSON LENIS Los procesos CobIT escogidos son los siguientes: Proceso N° 4 4. PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia Objetivos de control 4.1. 4.2. 4.3.
PO6.1 Ambiente de Políticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.1 Ambiente de Políticas y de Control
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 4 ENTREVISTA UNIVERSIDAD ANTONIO NARIÑO
ENTIDAD AUDITADA
PAGINA 1 D 1 E
OBJETIVO AUDITORÍA Ambiente de Políticas y de Control PROCESO AUDITADO Seguridad Lógica RESPONSABLE Jeisson Lenis Marulanda MATERIAL DE SOPORTE COBIT DOMI PLANIFICAR Y PROCE Comunicar las Aspiraciones y la NIO ORGANIZAR SO Dirección de la Gerencia ENTREVISTADO CARGO
Cristina Quintero Arias Coordinadora Administrativa
1. ¿Actualmente sus datos están seguros en su computadora? ________________________________________________________________ 2. ¿Conoce los bloqueadores de anuncios potencialmente peligrosos para su equipo? ______________________________________________________________________ _____________
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
3. ¿Desearía tener más conocimiento sobre páginas que puedan ser peligrosas para usted y su información? _____________________________________________________ 4. ¿Su información personal se encuentra alojada en su computadora? __________________________________________________________________ 5. ¿Su email presenta correos con contenido spam? __________________________________ 6. ¿El uso de su correo es usado solo para contenido laboral? __________________________________________________________________ 7. ¿Conoce un estándar de crear una contraseña segura? ____________________________________
NOMBRE ENTREVISTADO _________________________
AUDITOR RESPONSABLE FIRMA
________________________
CUESTIONARIO UNIVERSIDAD ANTONIO NARIÑO
Dominio Proceso
Cuestionario de Control: C1 Planificar y Organizar Comunicar las Aspiraciones y la Dirección de la Gerencia
Pregunta
Si
¿Los equipos tienen un usuario asignado el cual es el encargado del manejo y responsabilidad del mismo? ¿El usuario cuenta con una clave privada la cual le 5 da acceso a su propio equipo? ¿Los usuarios cuentan con el acceso a correo 4 corporativo de manera individual y contralada por ellos? ¿Los usuarios conocen riesgos de la navegación no permitida en su equipo asignado? ¿El protocolo para reportar un error es conocido y aplicado por los usuarios? Describa el proceso
No
OBSERVACION ES
4
5 3
Actualmente no siguen los pasos
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
indicados, se debe realizar una petición vía correo electrónico para que sea controlado el soporte y de tal manera llevar a cabo el mantenimiento o resolver la duda. Cada 6 meses
¿Hacen uso de jornadas de capacitación para el 4 manejo de los equipos? Con qué regularidad lo hacen ¿El usuario promedio entiende el uso correcto al no 4 compartir sus contraseñas ni su equipo? ¿Se han presentado inconvenientes por equipos 5 sin bloquear o correos con sesión iniciada? TOTALES 18 16 Porcentaje de riesgo parcial = (18 * 100) / 39 = 52.94 Porcentaje de riesgo = 100 – 52.94 = 47.06 (Riesgo Medio) Proceso N° 5 5. PO7: Administrar Recursos Humanos de TI Objetivos de control 5.1.
PO7.4 Entrenamiento del Personal de TI
Proceso N° 6 6. DS5 Garantizar la Seguridad de los Sistemas Objetivos de control 6.1. 6.2.
DS5.10 Seguridad de la Red DS5.9 Prevención, Detección y Corrección de Software Malicioso
UNIVERSIDAD ANTONIO NARIÑO
REF
PAGINA
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
ENTIDAD AUDITADA
1
D E
1
OBJETIVO AUDITORÍA
Prevención, Detección y Corrección de Software Malicioso PROCESO AUDITADO Sofware RESPONSABLE Jeisson Lenis Marulanda MATERIAL DE SOPORTE COBIT DOMI ENTREGAR Y DAR PROCESO Garantizar la Seguridad de los NIO SOPORTE Sistemas ENTREVISTADO Alejandra Colorado CARGO Auxiliar administrativa 1. ¿Alguna vez a instalado un programa en su equipo de trabajo? ___________________________________________________________________ ______________ 2. ¿conoce los riesgos de las aplicaciones maliciosas? ___________________________________________________________________ ___________________ 3. ¿Nota sospechosas algunas aplicaciones de su equipo? ___________________________________________________________________ _____________________ 4. ¿Cómo está funcionando su equipo entorno a su sistema operativo? ___________________________________________________________________ _______________________ 5. ¿EL antivirus de su equipo se actualiza automáticamente? ___________________________________________________________________ ___________________________ 6. ¿El equipo presenta ventanas de error las cuales se ejecutan al iniciar o apagar el equipo? Describa su respuesta en caso de que sí presente estos casos
NOMBRE ENTREVISTADO _________________________
AUDITOR RESPONSABLE FIRMA
MATRIZ DE PROBABILIDAD DE IMPACTO
________________________
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
N°
Descripción
Evaluación de Riesgos Probabilidad Impacto Baja Media Alta Leve Moderado Catastrófico
Desconocimiento del protocolo de reportes R1 a encargados del soporte R2
Pérdida o filtración de correos elcectrónicos
X
X
Equipos sin mantenimiento del R3 sistema operativo y software Daño de equipos al no R4 recuperarse de software peligroso Equipos sin medidas de prevención (Antivirus, firewall) con R5 respecto a ataques por plugins o software mailicioso R6
software desactualizado
Acceso a páginas que R7 representan riesgo inminente Desconocimiento de los peligros por R8 navegación no autorizada
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
Alto 61100% Medio 3160% PROBABILIDAD
Bajo R2 0-30%
Leve
R1
R5,R7,R8
R3
R4
R9,R6
Moderado Catastrófico
IMPACTO
APORTE LUIS CARLOS CABAL ROJAS Los procesos CobIT escogidos son los siguientes: Proceso N° 7 7. DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI, así como su localización física y un programa regular de verificación que confirme su existencia.
Objetivos de control 7.1.
DS9.1 Administración de los componentes de TI
7.2.
DS9.2 Control de cambios de los componentes TI
7.3.
DS9.3 Verificación de existencia de los componentes de TI
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 7 ENTREVISTA ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA AUDITADA 1 DE 1 OBJETIVO Administración de los componentes de TI. AUDITORÍA PROCESO Administración de la configuración AUDITADO RESPONSABLE Luis Carlos Cabal Rojas MATERIAL DE SOPORTE COBIT DOMINIO DS9 PROCESO Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI, así como su localización física y un programa regular de verificación que confirme su existencia. ENTREVISTADO CARGO
Octavio de la Cruz Auxiliar de Computo
1. ¿Cómo controla el inventario de los componentes de TI? R// El inventario tecnológico se registra manualmente a través de una base de datos que se tiene en Excel. 2. ¿Registran los componentes de TI dados de baja? R// Una vez realizado un diagnostico técnico del componente de TI dañado, se procede a realizar un acta de baja, dicho componente es descargado del inventario y se hace un proceso de reciclaje electrónico. 3. ¿Como controlan los cambios realizados en los componentes de TI? R// Cada cambio o actualización en los componentes de hardware o software de cualquier equipo de TI, es registrado en su respectiva hoja de vida, la cual nos permite llevar un control del componente interno cambiado, la fecha del cambio, el técnico que realizo el procedimiento, y del costo de dicha actualización.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
4. ¿Lo componentes de TI dados de baja tienen algún proceso de reciclaje electrónico? R// Como mencione anteriormente cada componente de TI dado de baja por daño o por obsolescencia, tiene un proceso de reciclaje electrónico a través de un proveedor externo, el cual nos proporciona un certificado de reciclaje por kilogramo aprovechado. 5. ¿Cómo controlan los componentes de TI que salen y entran de las instalaciones de la universidad? R// A través de los guardas de seguridad, estos se encargan de revisar minuciosamente los componentes de TI entrantes y salientes, cada docente, estudiante o tercero que entre con cualquier equipo de cómputo o tecnológico debe registrarlo, en un formato donde se toman los datos del dueño y el equipo, dichos datos deben concordar cuando se vuelva a validar el registro al salir de las instalaciones. 6. ¿Realizan indicadores periódicos de la disponibilidad de los componentes de TI? R// Cada mes se realizan indicadores de disponibilidad de los componentes de TI, el cual nos ayuda a medir cuantos equipos tenemos vs cuantos necesitamos. 7. ¿Cómo verifican la existencia física de los componentes de TI? R// Periódicamente se realizan chequeos por todo el campus universitario, donde validamos que los equipos tecnológicos registrados en el inventario se encuentren en la sección correspondiente.
Octavio de la Cruz ______________________ NOMBRE ENTREVISTADO FIRMA
Luis Carlos Cabal Rojas ____________________ AUDITOR RESPONSABL E FIRMA
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
LISTA DE CHEQUEO LISTA CHEQUEO DOMINIO
OBJETIVO DE CONTROL Nº
PROCESO
DS9
Administración de la configuración
DS9.1 Repositorio y Línea Base de Configuración
ASPECTO EVALUADO
CONFORME
SI
OBSERVACIÓN
NO
¿Cuenta un sistema de inventarios Se registra de manera organizado y actualizado de los 1 X manual en una base de datos en excel componentes de TI? DS9.2 Identificación y Mantenimiento de Elementos de OBJETIVO DE CONTROL Configuración ¿Los componentes de TI, cuentan con una hoja de vida actualizada donde se registren las 2 X Cumple a cabalidad actualizaciones, cambios y mantenimientos realizados? OBJETIVO DE CONTROL 3
DS9.3 Revisión de Integridad de la Configuración
¿Realiza chequeos periódicos que validen la existencia y localización física de los componentes TI?
Como evidencia cuenta con una lista de chequeo diligenciada y firmada.
X
CUESTIONARIO CUESTIONARIO CUANTITATIVO
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
REF
UNIVERSIDAD ANTONIO NARIÑO 1 Administración de la configuración LUIS CARLOS CABAL COBIT 4.1 DS9
PROCESO
Administración de la configuración
OBJETIVO DE CONTROL N
PAGINA DE 1
PREGUNTA
SI
NO
NA
REF
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
¿Considera que es importante la 4 administración y el control de los componentes de TI? 2 2 ¿Asiste periódicamente a capacitaciones 2 sobre la administración de los componentes de TI? 3 3 ¿Cree que los diferentes componentes de TI 1 que tiene a disposición la universidad, brinda a sus estudiantes educación de calidad? 4 4 ¿Indagan en el mercado sobre nuevas tecnologías? 5 ¿Considera importante la existencia de un 4 inventario de componentes de TI, que ayude al control y a la administración? TOTAL 11 9 TOTAL, CUESTIONARIO 20 Porcentaje de riesgo parcial = (11 * 100) / 20 = 55% Porcentaje de riesgo total = 100 – 55 = 45 % PORCENTAJE RIESGO 45 % (Riesgo medio) 1
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
APORTE DIEGO FERNANDO VARELA HEREDIA Los procesos CobIT escogidos son los siguientes: Proceso N° 8 8. DS3 Administrar el Desempeño y la Capacidad: El objetivo es asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos. Objetivos de Control 8.1.
DS3.1 Planeación del Desempeño y la Capacidad INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 8
ENTIDAD AUDITADA
UNIVERSIDAD ANTONIO NARIÑO
PAGINA 1 D 1 E Ver la capacidad y desempeño del área de computo(Sistemas)
OBJETIVO AUDITORÍA PROCESO Administración de desempeño y capacidad AUDITADO RESPONSABLE Diego Fernando Varela Heredia MATERIAL DE SOPORTE COBIT DOMINIO DS3 PROCESO Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
1.) Se encuentra el ara de computo separada de otras áreas de la Universidad? R. //Si, físicamente tiene un piso donde solo está el área de sistemas (Piso 5) 2.) ¿Se encuentran separadas las funciones dentro del área? R. // Si, aunque hay una persona que se encarga de delegar las funciones y hacer que se cumpla con los objetivos trazados o solicitados por la sede principal (Bogota.) 3.) ¿El área de computo tiene relación directa con las demás áreas de la Universidad? R.// si, debido a que es el área que da soporte a los equipos y sistema de la sede, además es un constante apoyo debido a que se realizan diversas videos conferencias. 4.) ¿Cuenta con los equipos necesarios para todas las oficinas? R.//El consultorio médico no cuenta con equipo propio por lo que el área de sistema decidió prestarle uno mientras es adquirido dicho elemento por el área de compras 5.) ¿El área de sistema cuenta con los software necesarios para cada equipo de la universidad? R. //Si todos los programas que tiene la universidad son licenciados e instalados por el área de computo de acuerdo a la normatividad institucional
Proceso N° 9 9. DS12 Administración del Ambiente Físico: El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.
Objetivos de Control 9.1.
DS12.5 Administración de Instalaciones Físicas
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 9 Aulas de informática Institución R/PT Educativa Lista de chequeo LC5 Dominio Entrega de Servicios y Soportes Proceso DS12 Administración de Instalaciones. Objetivo de Suministro Ininterrumpido de Energía Control Cuestionario Pregunta SI NO N/A ¿Se cuenta con instalación con tierra física X para todos los equipos? ¿La instalación eléctrica se realizó X específicamente para el centro de cómputo? ¿Se cuenta con otra Instalación dentro el X centro de cómputo, diferente de la que alimenta a los equipos de cómputo? ¿La acometida llega a un tablero de X distribución? ¿El tablero de distribución esta en la sala, X visible y accesible? ¿El tablero considera espacio para futuras X ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio físico para la instalación de más equipos)? ¿La Instalación es independiente para el X centro de cómputo? ¿La misma instalación con tierra física se X ocupa en otras partes del edificio? ¿La iluminación está alimentada de la misma X acometida que los equipos? ¿Las reactancias (balastros de las lámparas) X están ubicadas dentro de la sala? ¿Los ventiladores y aire acondicionado están X conectados en la misma instalación de los equipos a la planta de emergencia? ¿Los ventiladores y aire acondicionado están X conectados en la misma instalación de los equipos a los no-brake? ¿Se cuenta con interruptores generales? X ¿Se cuenta con interruptores de emergencia X en serie al interruptor general? ¿Se cuenta con interruptores por secciones ó X aulas? ¿Se tienen los interruptores rotulados X adecuadamente?
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
¿Se tienen protecciones contra corto circuito? ¿Se tiene implementado algún tipo de equipo de energía auxiliar? ¿Se cuenta con Planta de emergencia? ¿Se tienen conectadas algunas lámparas del centro de cómputo a la planta de emergencia? ¿Qué porcentaje de lámparas: % están conectadas a la planta de emergencia (recomendable el 25 %)? Documentos probatorios presentados:
X X X X
No se conoce este dato.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
CONCLUSIÓN La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más importante de una compañía, el cual es la información, como profesionales de sistemas, debemos tener los conceptos claros de la unidad formativa, esto con el propósito de salva guardar toda la infraestructura dentro de una compañía. La auditoría de sistemas nos permitirá generar correctivos, por medio plan de trabajo, planes de acción proyectos, o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual se mueve la información.
Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas
BIBLIOGRAFÍA Referencias bibliográficas requeridas Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=e dselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pag es=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitl e=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=D errien%2C%20Yann&id=DOI: Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial McGraw-Hill.
Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg= 4 Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
de
Huesca, G. (2012). Auditoria informática. Recuperado https://es.scribd.com/document/252662002/Libro-Auditoria-informatica
de
Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%AD a+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad, amenaza y riesgos y su clasificación.
Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De http://hdl.handle.net/10596/10236 Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas. Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html