• Author / Uploaded
• yonatan carrillo mora

Citation preview

AUDITORÍA DE SISTEMAS GRUPO: 45

YONATAN MANUEL CARRILLO VIVIANA MERCADO BENITEZ CARLOS ALBERTO VEGA

TUTOR: FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA INGENIERIA DE SISTEMAS NOVIEMBRE DE 2019

INTRODUCCIÓN

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

OBJETIVOS

    

Controlar la función informática. Evaluar la eficacia y eficiencia de los sistemas informáticos. Examinar de manera critica los sistemas informáticos. Verificar los riesgos para tomar medidas necesarias. Velar por la correcta utilización de los diferentes recursos que la empresa pone a disposición.

REF FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA

PROCESO AUDITADO

001

VERSION 1

PAGINA Caja de compensación familiar del magdalena, sede ciénaga 1 DE 1 Verificar si la empresa cuenta con un manual de procedimientos necesarios para contribuir al eficiente desarrollo de las funciones, actividades y tareas de los servicios informáticos para satisfacer los requerimientos de sistemas de la empresa.( Definir arquitectura de información )

RESPONSABLE

YONATAN MANUEL CARRILLO MORA

MATERIAL DE SOPORTE

COBIT PO2.1 Modelo de Arquitectura de Información Empresarial

PROCESO

PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

DOMINIO FUENTES DE CONOCIMIENTO Las pruebas se encuentran diseñadas para cada uno de los Departamentos de la empresa. Gerencia, finanzas, administrativo, Recurso Humano.

Planear y Organizar (PO) REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION

Mediante el análisis de la información suministrada como contratos manuales, modelos, frecuencia de capacitaciones suministradas por la Empresa

Pruebas mediante bases de datos, y recopilación de información de protocolos de seguridad.

AUDITOR RESPONSABLE: SHIRLEY JASBLEIDY CURICO NORIEGA

ENTIDAD AUDITADA

PAGINA 1 DE 1 Identificar los problemas relacionados con el diseño, desarrollo, implantación y seguridad del sistema informático. Planear y Organizar (PO) Cajamag, sede cienaga

OBJETIVO AUDITORÍA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINI Planear y Organizar (PO) O

ENTREVISTADO CARGO

PROCESO

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

Administrador del Sistema Informático

1. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad? R/: si, el área cuenta con los suficientes equipos de trabajo ya que la empresa se caracteriza por manejar la empresa con relación en bases de datos para poder dar una menor información.

2. ¿La empresa evalúa considerablemente el perfil de cada puesto con la capacidad idónea de cada función establecida en el manual organizacional? R/: por supuesto que sí, debemos tener el mejor personal calificado a la hora de expresarse ya que manejamos atención al usuario y se deben tener en cuenta el perfil enfatizado en atención al cliente para que de una información clara y los afiliados de vayan contentos.

3. ¿Posee la empresa sistemas de información? R/: la empresa, actualmente cuenta con distintos software con diferentes funcionalidades las cuales son de gran importancia a la hora de realizar cualquier proceso administrativo o de atención.

4. ¿Todo el personal conoce los lineamientos, políticas, procesos y procedimientos definidos en el manual organizacional de la empresa? R/: desafortunadamente no todos conocen los lineamientos, hay que capacitar más a personal.

5. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas institucionales de la empresa? R/: claro que sí, la empresa posee ingenieros de sistemas el cual están pendientes de estos procesos de actualización. .

6. ¿Se usó algún lenguaje de modelado para diseñar la base de datos?

R/: Si, se usó MYSQL

7. ¿Cuánto tiempo lleva en funcionamiento desde que se terminó el primer desarrollo?

R/: lleva 15 años funcionando en esta ciudad como sede.

8. ¿lo desarrolló una persona o un equipo de trabajo?

R/: Fue un equipo, que tenía 3 integrantes: Un director de proyecto y dos desarrolladores.

9. Para el desarrollo ¿usaron alguna metodología de desarrollo en especial? R: No, todo se hacía según la necesidad del momento.

10. ¿El desarrollo se hizo usando algún framework web? R: Si, el framework usado fue laravel.

ENTREVISTADO: FIRMA:

Administrador

RESPONSABLE: FIRMA:

 Cuestionario

Dominio Proceso

Cuestionario de Control: C1 Planear y Organizar (PO) PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

Pregunta ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

Si 4

¿La empresa evalúa considerablemente el perfil de cada puesto con la capacidad idónea de cada función establecida en el manual organizacional? ¿Posee la empresa sistemas de información?

No

3

5

¿Todo el personal conoce los lineamientos, políticas, procesos y procedimientos definidos en el manual organizacional de la empresa?

3

¿El control sistemático se encuentra actualizado de acuerdo a las políticas institucionales de la empresa?

5

¿Se usó algún lenguaje de modelado para diseñar la base de datos?

4

¿Cuánto tiempo lleva en funcionamiento desde que se terminó el primer desarrollo? ¿Lo desarrolló una persona o un equipo de trabajo?

5

4

Para el desarrollo ¿usaron alguna metodología de desarrollo en especial?

3

¿El desarrollo se hizo usando algún framework web? TOTALES

4 26

13

OBSERVACIONES

PORCENTAJE y NIVEL DE RIESGO Cálculo utilizando las siguientes fórmulas: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Para determinar el nivel de riesgo total: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto Cálculos: Porcentaje de riesgo parcial = (26 * 100) / 51 = 50.98 Porcentaje de riesgo = 100 – 50.98 = 49.02 RIESGO: Porcentaje de riesgo parcial: 50.98 % Porcentaje de riesgo = 49.02 % Impacto según relevancia del proceso: Riesgo Medio

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS Y PRUEBAS DE AUDITORIA

ENTIDAD AUDITADA

CAJAMAG – Sede Ciénaga Magdalena

PROCESO AUDITADO

Evaluación de Riesgos de Seguridad Informática

RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO

    

PAGINA 1 DE 1

VIVIANA MERCADO BENITEZ COBIT 4.1 Entregar y Dar Soporte (DS) DS5 Garantizar la seguridad de sistemas

FUENTES DE CONOCIMIENTO



REF

Documentación de la  empresa en materia de seguridad. Jefe de la Unidad  de Seguridad de la Información. Sala Departamento de tecnología de información.  Herramientas de Monitoreo/Usuarios Internos y externos. Contratos legales de proveedor de internet y red. Informes de inventarios de los dispositivos en riesgo

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCIÓN Informe de inventarios  de todos los dispositivos en riesgo de seguridad. Corroborar la existencia de documentación de todo lo adquirido por la empresa, en materia de seguridad informática. Verificar la existencia de equipos y software y  contratos legales de proveedor de internet y red.

 

Reportar un inventario de todos los dispositivos de red, servicios y aplicaciones con calificación de riesgo de seguridad, así como un procedimiento para la actualización de dicho inventario Evidenciar el cumplimiento de documentación en materia de seguridad, y procedimientos de administración asociados, para autorizar acceso y controlar los flujos de información desde y hacia las redes. Ejecutar un software de protección (antivirus,firewall). Establecer controles de seguimiento y monitoreo a la actividad establecida “fortalecer el proceso de gestión de incidentes” de forma que no se deteriore y se

mantenga la calidad y suficiencia de esta.

AUDITOR RESPONSABLE:

LISTA CHEQUEO

DOMINIO

Entregar y dar Soporte

OBJETIVO DE CONTROL Nº 1

2

¿Existen planes de administración de Seguridad de TI?

4

5

x

DS5.4 Administración de Cuentas del Usuario x

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

x

DS5.6 Definición de Incidente de Seguridad

¿Se han definido los incidentes de seguridad? OBJETIVO DE CONTROL

7

x

¿Realizan monitoreo de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad? OBJETIVO DE CONTROL

6

x

¿Existe un procedimiento para la gestión de cuentas de usuario?

OBJETIVO DE CONTROL

x

DS5.7 Protección de la Tecnología de Seguridad

¿Existen mecanismos, para la protección de la tecnología de seguridad?

OBJETIVO DE CONTROL

OBSERVACIÓN

DS5.3 Administración de Identidad

¿Los usuarios y su actividad en sistemas de TI son identificados de manera única?

OBJETIVO DE CONTROL

CONFORME SI NO

DS5.2 Plan de Seguridad de TI

¿Existe un plan de seguridad TI?

OBJETIVO DE CONTROL 3

DS5.1 Administración de la Seguridad de TI

ASPECTO EVALUADO

OBJETIVO DE CONTROL

DS5 Garantizar la seguridad de sistemas

PROCESO

x

DS5.8 Administración de Llaves Criptográficas

¿Existen procedimientos para la administración de llaves criptográficas, que al menos incluyan generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo.?

8

OBJETIVO DE CONTROL

x

DS5.9 Prevención, Detección y Corrección de Software Malicioso

¿Se aplican medidas para la prevención, detección y corrección de malware?

9

OBJETIVO DE CONTROL 10

DS5.10 Seguridad de la Red

¿Se utilizan mecanismos de seguridad, para autorizar el acceso desde y hacia la red?

OBJETIVO DE CONTROL

11

x

x

DS5.11 Intercambio de Datos Sensitivos

¿Existen políticas de seguridad, para el intercambio de datos sensibles (autenticidad de contenido, prueba de envío, prueba de recepción y no rechazo del origen)?

x

ENTREVISTA PAGINA 1 DE 1 Salvaguardar la información contra uso no autorizados, divulgación, modificación, OBJETIVO AUDITORÍA daño o pérdida. PROCESO AUDITADO DS5 Garantizar la seguridad de sistemas RESPONSABLE VIVIANA MERCADO BENITEZ MATERIAL DE SOPORTE COBIT 4.1 Entregar y Dar Soporte (DS) DOMINIO PROCESO DS5 Garantizar la seguridad de sistemas ENTIDAD AUDITADA

ENTREVISTADO CARGO

CAJAMAG – Sede Ciénaga Magdalena

Cesar David Sierra Pulido Jefe de seguridad informática

1. ¿La organización reconoce la necesidad de la seguridad para TI? La organización no reconoce la necesidad de la seguridad para TI. Las responsabilidades y la rendición de cuentas no están asignadas para garantizar la seguridad. Las medidas para soportar y administrar la seguridad de TI no están implementadas. No hay reportes de seguridad de TI, ni un proceso de respuesta para resolver brechas de seguridad de TI. 2. ¿Existen soluciones de seguridad motivadas por un análisis de riesgo? No existen soluciones de seguridad, porque no cuenta con protocolos ni procedimientos que permitan identificar riesgos. 3. ¿Cuál es la falla más frecuente en la empresa sobre seguridad en la información? Una de las fallas más frecuentes ocurre si los directivos de la empresa no reconocen la importancia de la Seguridad de la Información. Los empleados solo deben tener acceso a la información necesaria para realizar sus labores. 4. ¿Existen políticas de seguridad de TI? Si, Se ha establecido una política de seguridad y ha sido comunicada a todos los usuarios pero esta se actualiza al menos una vez al año. 5. ¿Se cuenta con un plan de capacitación en seguridad de TI? Se elaboran planes de capacitación, en función de las necesidades al respecto, de acuerdo con el puesto; sin embargo, no se ejecutan en un 100%. 6. ¿Realizan campañas de concientización de seguridad de TI? Si se realizan campañas de concientización a las personas que sistematizan los datos o información de la organización, para que en la medida que avancen tengan en cuenta la seguridad. 7. ¿Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos)? No se realizan, debido a que las pruebas que se crean no se ejecutan completamente. 8. ¿Se hace algún tipo de prueba, monitoreo o de vigilancia de la seguridad de TI? El jefe del departamento soporte técnico es el encargado de administrar la red por la cual viaja toda la información de la organización, él es quien realiza el monitoreo de los sistemas de TI. 9. ¿Cada cuánto se lleva a cabo esta actividad? No se tiene documentado cada cuanto tiempo.

10. ¿Utilizan algún tipo de software que les facilite el análisis de los datos obtenidos durante la realización de esta actividad? No, porque los datos no se obtienen, puesto que los análisis no se hacen o no se terminan. 11. ¿Utilizan algún software que me permita clasificar las incidencias de seguridad para luego ser tratadas por el proceso de gestión de incidencias y problemas? No, porque el tratamiento de la información en cuanto a la seguridad no cumple el primer objetivo y nunca se obtienen resultados para clasificar. 12. ¿Se realiza una supervisión permanente, de la eficacia de los componentes de la gestión de riesgos (por ejemplo revisión de indicadores clave, revisión del rendimiento comparado contra los índices de riesgo, indicadores de alerta, entre otros)? No se realiza supervisión, los procedimientos en la seguridad para TI es inconclusa.

NOMBRE ENTREVISTADO FIRMA

DOMINIO PROCESO

AUDITOR RESPONSABLE

CUESTIONARIO DE CONTROL: C1 Entregar y Dar Soporte (DS) DS5 Garantizar la Seguridad de los Sistemas

PREGUNTA ¿Los usuarios conocen sobre la existencia de la política de seguridad? ¿Se aplican las sanciones administrativas por incumplimiento de la política (en caso de que aplique)? ¿La información de la empresa está segura no haciendo una revisión de los indicadores de claves de seguridad?

SI

NO

4 3

5

OBSERVACIONES

¿Al no reconocer una necesidad de seguridad para la empresa, resuelven problemas que se presentan en materia de seguridad informática? ¿Las campañas de concientización de seguridad son impartidas a todos los colaboradores? ¿Las campañas de concientización de seguridad se realizan al menos una vez al año? ¿Las capacitaciones son planificadas con base en las necesidades de entrenamiento? ¿Se ha perdido alguna información de la empresa debido a la falta de pruebas adecuadas contra intrusos? ¿Existen Propósitos para los cuales está restringido el uso de las llaves criptográficas y para los cuales se debe hacer uso? ¿Debido a la no existencia de un procedimiento para la gestión de cuentas de usuario, cualquier persona puede controlar la configuración de los ordenadores y el flujo de información que maneja la empresa? ¿Los usuarios identifican incidentes de seguridad? ¿Crees que se puede correr el riesgo de manipulación de información de forma mal intencionada por accesos no autorizados, debido a la no realización de monitoreo y acciones correctivas a los incidentes de seguridad? ¿Utilizan algún software que permitan clasificar las incidencias de seguridad para luego ser tratadas por el proceso de gestión de incidencias y problemas? ¿Crees que al conectarse a la red, se corre el riesgo de que el equipo se infecte con algún virus? ¿Si no aplican medidas para la prevención, detección y corrección de malware, mantienen los equipos a salvo de software malicioso? TOTALES

2

4 4 2 4

4

5

4 5

4

5 4

27

32

El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (27 * 100) / 59 = 45,76 Porcentaje de riesgo = 100 – 45,76 = 54,24

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto RIESGO: Porcentaje de riesgo parcial: = 45,76% Porcentaje de riesgo = 54,24 Impacto según relevancia del proceso: Riesgo Medio

 Instrumentos Aplicados  Fuentes de conocimiento REF FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA PROCESO AUDITADO

1

PAGINA DE 1

Mantenimiento y mejora del sistema informático

RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO

Adquirir e implementar AI2: Adquirir y Mantener Software Aplicativo REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Analizar si existe un Revisar si el acceso al al documento de que contenga sistema es seguro. del la especificación de requisitos del sistema Revisar si todos los módulos informático. de están funcionales.

FUENTES DE CONOCIMIENTO Entrevista Administrador Sistema SICCES.

Analizar si existe Revisar si la base de datos procedimiento para capturar es segura. y aprobar nuevos requerimientos que permitan la mejora de. Analizar si existe una metodología de desarrollo de software que garantice el tiempo de entrega de nuevos módulos para. AUDITOR RESPONSABLE:

 Lista de chequeo

LISTA CHEQUEO DOMINIO

Adquirir e implementar (AI)

OBJETIVO DE CONTROL Nº 1

2

3

4

AI2.1 Diseño de Alto Nivel

ASPECTO EVALUADO

CONFORME SI NO

¿Se traducen los requerimientos a una especificación de alto nivel con el fin de adquirir nuevo software? ¿Están aprobadas todas las especificaciones de diseño por la dependencia que garanticen que estos diseños son de alto nivel?

OBJETIVO DE CONTROL

AI2 Adquirir y Mantener Software Aplicativo

PROCESO

OBSERVACIÓN

X

X

AI2.2 Diseño Detallado

¿Existe algún criterio que permita aceptar o rechazar los requerimientos técnicos de la aplicación que garanticen el diseño de alto nivel? ¿Se hacen reevaluaciones cuando hay discrepancias de criterios lógicos durante el desarrollo mantenimiento de la aplicación?

X

La dependencia lo hace verbalmente, no queda en actas.

X

La dependencia lo hace verbalmente, no queda en actas.

OBJETIVO DE CONTROL

5

AI2.3 Control y Posibilidad de Auditar las Aplicaciones

¿Se aplican pruebas de stress para verificar el buen funcionamiento del sistema informático?

OBJETIVO DE CONTROL

X

AI2.4 Seguridad y Disponibilidad de las Aplicaciones

¿Existen mecanismos que garanticen que 6 el acceso al sistema informático sea X seguro? ¿Se puede garantizar que el sistema 7 informático siempre este en línea en X condiciones normales? AI2.5 Configuración e Implantación de Software Aplicativo OBJETIVO DE CONTROL Adquirido ¿Es fácil configurar o implementar nuevos 8 módulos al sistema informático con el fin X de lograr los objetivos del negocio? OBJETIVO DE CONTROL

9

¿Al momento de realizar cambios significativos al sistema informático se sigue un proceso de desarrollo igual o X similar al que se empleó para desarrollar la aplicación?

OBJETIVO DE CONTROL

10

11

AI2.7 Desarrollo de Software Aplicativo

¿La parametrización del sistema informático es acorde al diseño original, cuyo soporte es la especificación de X requerimientos que han sido aprobados por la dependencia? ¿Cuándo un tercero realiza mejoras o agrega nuevos componentes al sistema, cumple con los aspectos de la normatividad legal y contractual?

OBJETIVO DE CONTROL

12

AI2.6 Actualizaciones Importantes en Sistemas Existentes

Nunca un tercero le ha hecho mejoras a.

AI2.9 Administración de los Requerimientos de Aplicaciones

¿Existe algún mecanismo, tal como una matriz de trazabilidad de requerimientos durante el diseño, desarrollo e implementación de mejoras al sistema informático desarrollo ?

OBJETIVO DE CONTROL

X

X

AI2.10 Mantenimiento de Software Aplicativo

13

¿Existe una estrategia o plan para el mantenimiento del sistema informático?

X

AUDITOR RESPONSABLE:

 Entrevista ENTIDAD AUDITADA

PAGINA 1 DE 1 Identificar los problemas relacionados con el diseño, desarrollo, implantación y seguridad del sistema informático. AI2 Adquirir y Mantener Software Aplicativo

OBJETIVO AUDITORÍA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINI Adquirir e Implementar (AI) O ENTREVISTADO CARGO

PROCESO

AI2: Adquirir y Mantener Software Aplicativo

Administrador del Sistema Informático

Tema 1: Diseño del Sistema Informático 11. ¿Cómo surgió la idea de construir? R: A partir de una necesidad institucional sobre la autoevaluación de programas académicos con fines de renovación.

12. ¿Qué herramientas uso para determinar las características del sistema informatico? R: Se tuvieron en cuenta los formatos en Excel que se usaban cuando el proceso de autoevaluación se hacia manual.

13. ¿Usaron al tipo de instrumentos para capturas los requerimientos funcionales y no funcionales? R: No, solo se escribían en notas de texto lo que se necesitaba. Se anotaba todo aquello que no estuviera en las hojas de Excel.

14. ¿Existe algún documento o diagrama de clases donde se evidencie el diseño? R: Si, existe un documento llamado Descripción de la Obra – que contiene los casos de uso para el sistema informático.

15. ¿Existe alguna Matriz de Trazabilidad que lleve el registro de los requerimientos aprobados con la cual se soporta el diseño? R: No, se cuenta con una matriz de trazabilidad de requerimientos.

16. ¿Se usó algún lenguaje de modelado para diseñar la base de datos? R: Si, se usó PowerDesigner 16.

Tema 2: Desarrollo del Sistema Informático

17. ¿Cuánto tiempo lleva en funcionamiento desde que se terminó el primer desarrollo? R: Lleva 7 años en servicio.

18. ¿ lo desarrolló una persona o un equipo de trabajo? R: Fue un equipo, que tenía 3 integrantes: Un director de proyecto y dos desarrolladores.

19. Para el desarrollo ¿usaron alguna metodología de desarrollo en especial? R: No, todo se hacía según la necesidad del momento.

20. ¿El desarrollo se hizo usando algún framework web? R: Si, el framework usado fue MOON. Este framework fue desarrollado por un Magister en informática al interior de las Unidades Tecnológicas de Santander. Este framework no es popular pues solo se usa al interior de las Uts.

21. Puesto que es un desarrollo Web, ¿Qué tipo de tecnologías web usa?

R: A parte del framework que está construido con la tecnología PHP, también se usa Javascript, JQuery, HTML y CSS. En la base de datos se usa PostgreSQL.

22. ¿Al desarrollar se tuvo en cuenta alguna norma legal? R: No. es un desarrollo no comercial. Es de uso exclusivo de las Uts.

Tema 3: Configuración, Actualización y Mantenimiento del Sistema Informático SICCES

23. Suponga que el disco duro del servidor donde estaba almacenado se dañó y que usted tiene copia de seguridad de la semana que pasó ¿Es sencilla o compleja la restauración? R: Realmente es sencilla, solo se necesita la copia de seguridad de la base de datos y el código del sitio web. Su configuración no demora más de media hora.

24. ¿Se requiere algún conocimiento de experto para la configuración o parametrización? R: Realmente no es necesario ser experto, cualquier persona que tenga un conocimiento básico sobre el proceso de autoevaluación le será fácil configurar.

25. ¿En la actualidad, cuando se necesitan hacer mejoras, el equipo de desarrollo usa la misma metodología de desarrollo que uso al inicio del proyecto? R: SI, se usa la misma metodología.

26. ¿Existe algún comité o equipo técnico que apruebe los cambios importantes, actualizaciones o el mantenimiento? R: Realmente los cambios los aprueba la oficina de autoevaluación y calidad.

Tema 4: Seguridad del Sistema Informático

27. ¿ tiene algún mecanismo de seguridad que detecte la instrucción de alguien que quiera acceder al sistema sin permisos de sesión? R: Si, tiene en su interior un algoritmo que detecta si un usuario está registrado o no. En caso de no estarlo indica que se ha presentado una instrucción.

28. ¿Se encuentra protegido contra algún ataque informático que lo quiera sacar de línea? R: Realmente el trabajo de protección lo hace el servidor. Aparte del Firewall institucional también lo protege el Firewall del servidor.

29. ¿Considera que la base de datos es segura? ¿Tiene algún tipo de protección? R: Si totalmente.

30. ¿Considera que la conexión desde el código de la base de datos es segura? ¿Tiene algún tipo de protección? R: Completamente, su algoritmo de conexión impide cualquier tipo de instrucción o inyección SQL.

ENTREVISTADO: FIRMA:

Administrador

RESPONSABLE: FIRMA:

 Cuestionario

Dominio Proceso

Cuestionario de Control: C1 Adquirir e Implementar (AI) AI2: Adquirir y Mantener Software Aplicativo

Pregunta ¿Cuándo se hace alguna actualización al código del sistema, se prueba en un servidor diferente y luego se carga al sistema? ¿Cuándo se necesita hacer una mejora o agregar un nuevo módulo a se emplea un formato o herramienta web para gestionar los requerimientos de esta nueva actualización? ¿Existe algún comité técnico que apruebe cada requerimiento que permita el mejoramiento del sistema informático?

Si

No

5

3

3

OBSERVACIONES

¿Existe algún software o una alternativa que permita hacer pruebas de rendimiento al sistema informático? ¿Se puede asegurar que el acceso a es seguro? ¿La generación de actualizaciones al sistema se hace de forma sencilla? ¿Las nuevas mejoras que corresponden con los diseños aprobados por el comité técnico? ¿La parametrización o configuración que responde a las necesidades que genera el proceso de Autoevaluación de programas académicos? ¿Existe alguna forma de saber la madures de cada requerimiento que ha sido o no implementado? ¿Existe algún procedimiento o plan que garantice la seguridad e integridad de los datos del sistema cuando se requiere hacer algún tipo de mantenimiento? ¿Cada vez que se hace una actualización del código fuente ose hace cambios en la base de datos, con el fin de mejorar su rendimiento o cambiar la vista de las interfaces de usuario, se hacen las respectivas modificaciones en los diagramas de clase o modelado de la base de datos? ¿considera que este sistema a pesar de estos hechos siga en línea? ¿Cuándo se adquiere un plugin o fragmento de código de terceros, se estudian las licencias de estos para poderlos usar? ¿Los resultados que genera corresponden a los esperados por un proceso de autoevaluación de programas académicos? TOTALES

3 5 3 3 4 3 4

3

3 5 4 27

PORCENTAJE y NIVEL DE RIESGO Cálculo utilizando las siguientes fórmulas: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Para determinar el nivel de riesgo total: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto Cálculos: Porcentaje de riesgo parcial = (27 * 100) / 51 = 52.94

24

Porcentaje de riesgo = 100 – 52.94 = 47.06 RIESGO: Porcentaje de riesgo parcial: 52.94 % Porcentaje de riesgo = 47.06 % Impacto según relevancia del proceso: Riesgo Medio  Pruebas 

Pruebas de Análisis Sistema Informático SICCES Guía de Pruebas Dominio Adquirir e implementar (AI) Proceso AI2: Adquirir y Mantener Software Aplicativo Objetivo de Control AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.7 Desarrollo de Software Aplicativo AI2.9 Administración de los Requerimientos de Aplicaciones Riesgos Asociados R2, R3, R6 No Evidencia Descripción 1 No existe matriz de El sistema informático no cuenta con instrumento o software que trazabilidad de le permita conocer la evolución de sus requerimientos. requerimientos o una alternativa similar. Sistema Informático SICCES Guía de Pruebas Dominio Adquirir e implementar (AI) Proceso AI2: Adquirir y Mantener Software Aplicativo Objetivo de Control AI2.3 Control y Posibilidad de Auditar las Aplicaciones Riesgos Asociados R4 No Evidencia Descripción 1 No existe registro Desde que comenzó a estar en funcionamiento el sistema alguno de que se informático no se le han realizado pruebas de rendimiento tales haya hecho prueba como pruebas de carga o pruebas de estrés. alguna de rendimiento.

Sistema Informático SICCES Guía de Pruebas Dominio Adquirir e implementar (AI) Proceso AI2: Adquirir y Mantener Software Aplicativo Objetivo de Control AI2.10 Mantenimiento de Software Aplicativo Riesgos Asociados R5 No Evidencia Descripción 1 No existe un El sistema informático no cuenta con un manual o procedimiento procedimiento que asegure el buen funcionamiento cuando este se encuentre en escrito que indique mantenimiento. como realizar el mantenimiento al sistema informático SICCES.

Dominio Proceso Objetivo de Control Riesgos Asociados No Evidencia 1 Existen numerosas copias de seguridad del código fuente debido a tos los cambios que se han presentado en desde el año 2015.

Sistema Informático SICCES Guía de Pruebas Adquirir e implementar (AI) AI2: Adquirir y Mantener Software Aplicativo AI2.6 Actualizaciones Importantes en Sistemas Existentes R1 Descripción El sistema informático es un sistema dinámico en su desarrollo, debido a que continuamente se está modificando su código fuente, conforme a los continuos cambios en los lineamientos sobre los procesos de autoevaluación que son exigidos por el ministerio de educación nacional.

 Análisis, Evaluación y Tratamiento de Riesgos  Análisis y evaluación de riesgos  Lista de riesgos iniciales para el proceso AI2- Adquirir y Mantener Software Aplicativo: 1. Inestabilidad del sistema informático por actualización continua de su código.

 Lista de riesgos resultado de aplicación de entrevista y lista de chequeo: 1. Se desconoce la evolución o madurez de los requerimientos del sistema informático 2. Los requerimientos que se implementaron en el sistema informático no aportaron al mejoramiento del sistema. 3. El sistema informático presenta bajo rendimiento al momento de realizar cálculos complejos o consultas de mayor complejidad. 4. El sistema informático queda comprometido cuando se le realizan mantenimientos. 5. No hay forma de entender el código fuente del sistema informático. 6. El sistema informático se encuentra en problemas legales.

Nuevas Vulnerabilidades, Amenazas y Riesgos Del Proceso AI2 - Adquirir y Mantener Software Aplicativo Ítem

Vulnerabilidad

Amenaza

Riesgo

1

Diseño y desarrollo No existe un instrumento o de módulos que no herramienta que gestione los aportan al proceso requerimientos del sistema de autoevaluación informático. de programas.

2

No existe un comité técnico que apruebe o desapruebe los requerimientos que permitan mejorar el sistema informático.

3

No se realizan pruebas de Demora en rendimiento que permitan generación observar el comportamiento reportes. del sistema informático.

4

El sistema queda fuera de línea. Perdida de No existe un plan o estrategia información cuando se necesita realizar importante de los mantenimientos al sistema procesos de informático. evaluación de cada programa académico.

Diseño y desarrollo de módulos que no aportan al proceso de autoevaluación de programas.

la de

Se desconoce la evolución o madurez de los requerimientos del sistema informático. Los requerimientos que se implementaron en el sistema informático no aportaron al mejoramiento del sistema. El sistema informático presenta bajo rendimiento al momento de realizar cálculos complejos o consultas de mayor complejidad. El sistema informático queda comprometido cuando se le realizan mantenimientos.

Categoria

Software

Software

Software

Software

5

6

No haya generación No existe diagrama de clases de nuevas versiones que permita entender el del sistema funcionamiento de. informático y quede obsoleto. No se hace revisión Multas por minuciosa de las licencias de incumplimiento de software de terceros usados términos de licencia. en.

No hay forma de entender el código fuente del sistema informático. El sistema informático se encuentra en problemas legales.

Software

Software

Matriz de Probabilidad e Impacto de los Riesgos N°

Descripción

Probabilidad Baja Media

R1

R2

R3

R4

R5

R6

Inestabilidad del sistema informático por actualización continua de su código.

X

Se desconoce la evolución o madurez de los requerimientos del sistema informático.

X

Los requerimientos que se implementaron en el sistema informático no aportaron al mejoramiento del sistema.

Alta

Leve

Moderado

Catastrófico

X

X

X

X

El sistema informático presenta bajo rendimiento al momento de realizar cálculos complejos o consultas de mayor complejidad.

X

El sistema informático queda comprometido cuando se le realizan mantenimientos.

X

No hay forma de entender el código fuente del sistema informático.

Impacto

X

X

X

X

El sistema informático se encuentra en problemas legales.

PROBABILIDAD

R7

X

X

Resultado Matriz de riesgos Alto R6 61-100% Medio R2 R4 R1, R5 31-60% Bajo R3 R7 0-30% Leve Moderado Catastrófico IMPACTO

 Tratamiento de riesgos Tabla de Tratamiento de Riesgos para el Proceso ID. Riesgo

Descripción Riesgo

Tratamiento Riesgo

R1

Inestabilidad del sistema informático por actualización continua de su código.

Controlarlo

R2

Se desconoce la evolución o madurez de los requerimientos del sistema informático.

Aceptarlo

R3

Los requerimientos que se implementaron en el sistema informático no aportaron al mejoramiento del sistema.

Aceptarlo

R4

El sistema informático presenta bajo rendimiento al momento de realizar cálculos complejos o consultas de mayor complejidad.

Controlarlo

R5

El sistema informático queda comprometido cuando se le realizan mantenimientos.

Controlarlo

R6

No hay forma de entender el código fuente del sistema informático.

Controlarlo

R7

El sistema informático se encuentra en problemas legales.

Controlarlo

CONCLUSION

En este proceso de la ejecución de la auditoria, nos dimos cuenta de los riesgos que tienen las empresas por diversos estudios que se le realizan, por lo tanto una auditoria se debe ejecutar en periodos muy constantes para llevar un control y así evitar problemas a futuro de los sistemas informáticos.