FASE 4 - APORTE COLABORATIVO - EJECUCIÓN DE LA AUDITORÍA MARIA ELENA CARDENAS CODIGO 1038404260 DIANA MARCELA MORENO BE
Views 22 Downloads 0 File size 748KB
FASE 4 - APORTE COLABORATIVO - EJECUCIÓN DE LA AUDITORÍA
MARIA ELENA CARDENAS CODIGO 1038404260 DIANA MARCELA MORENO BELLO CODIGO 1070010343 PEDRO HERNANDEZ CODIGO 80545962 GRUPO 90168_4
TUTOR FRANCISCO NICOLAS SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD AUDITORIA DE SISTEMAS NOVIEMBRE 2018
TABLA DE CONTENIDO Pág.
TABLA DE CONTENIDO ........................................................................................................................ 2 INTRODUCCION ................................................................................................................................... 4 OBJETIVOS ........................................................................................................................................... 5 INFORME CONSTRUCCIÓN GRUPAL .................................................................................................... 6 ESTUDIANTE MARÍA ELENA CÁRDENAS .............................................................................................. 6 AI2 Adquirir y Mantener Software Aplicativo ................................................................................. 6 AI5 Adquirir recursos de TI ............................................................................................................ 11 ESTUDIANTE DIANA MARCELA MORENO BELLO............................................................................... 15 Proceso DS5 Garantizar la seguridad de los sistemas. .................................................................. 16 Proceso DS7 Educar y entrenar a los usuarios .............................................................................. 23 ESTUDIANTE PEDRO ALEJANDRO HERNANDEZ................................................................................. 30 Proceso AI3 Adquirir y Mantener Infraestructura Tecnológica .................................................... 31 CONCLUSIONES ................................................................................................................................. 38 BIBLIOGRAFIA .................................................................................................................................... 39
Tabla 1 Análisis Y Evaluación De Riesgos ............................................................................................ 6 Tabla 2Matriz de Riesgos .................................................................................................................... 7 Tabla 3Tratamiento de los Riesgos. .................................................................................................... 7 Tabla 4CONTROLES PROPUESTOS ....................................................................................................... 8 Tabla 5Hallazgos ................................................................................................................................ 10 Tabla 6Análisis Y Evaluación De Riesgos ........................................................................................... 11 Tabla 7Matriz de Riesgo .................................................................................................................... 12 Tabla 8Tratamiento de los Riesgos ................................................................................................... 12 Tabla 9CONTROLES PROPUESTOS ..................................................................................................... 13 Tabla 10Hallazgos .............................................................................................................................. 14 Tabla 11 Análisis Y Evaluación De Riesgos Diana .............................................................................. 16 Tabla 12RESULTADO MATRIZ DE RIESGOS Diana.............................................................................. 17 Tabla 13 TRATAMIENTO DE LOS RIESGOS Diana............................................................................... 17 Tabla 14 CONTROL PROPUESTO Diana............................................................................................. 18 Tabla 15 Hallazgo 1 Diana ................................................................................................................ 19 Tabla 16 Hallazgo 2 Diana ................................................................................................................. 22 Tabla 17 Análisis Y Evaluación De Riesgos Diana .............................................................................. 24 Tabla 18 RESULTADO MATRIZ DE RIESGOS Diana............................................................................. 24
Tabla 19 TRATAMIENTO DE LOS RIESGOS Diana............................................................................... 25 Tabla 20 CUADRO DE CONTROL PROPUESTO DE LOS RIESGOS Diana .............................................. 25 Tabla 21 Hallazgo 1 Diana ................................................................................................................. 27 Tabla 22 Hallazgo 2 ........................................................................................................................... 29 Tabla 23 Tabla 11 Análisis Y Evaluación De Riesgos Pedro ............................................................... 31 Tabla 24 FORMATO DE HALLAZGOS Pedro ....................................................................................... 31 Tabla 25CUADRO DE CONTROLES PROPUESTOS Pedro .................................................................... 33 Tabla 26 Proceso DS4 Garantizar la continuidad del servicio Pedro................................................. 34 Tabla 27 HALLAZGO 2 Pedro ............................................................................................................. 34 Tabla 28CONTROLES PROPUESTOS Pedro ........................................................................................ 36
INTRODUCCION
La metodología de la auditoria y sus respectivas fases permite al auditor reducir la posibilidad de dejar riesgos fuera de la auditoría en este trabajo identificaremos las soluciones o controles para cada uno de los riesgos detectados en el proceso evaluado, teniendo en cuenta las posibles causas que lo originan
OBJETIVOS
Determinar el tratamiento de los riesgos identificados en la matriz Comprender el proceso que se debe realizar con cada riesgo encontrado para identificar sus controles
INFORME CONSTRUCCIÓN GRUPAL
ESTUDIANTE MARÍA ELENA CÁRDENAS Cuadro de tratamiento de riesgos teniendo en cuenta los resultados de la matriz de riesgos entregada anteriormente en el análisis y evaluación de riesgos para cada proceso evaluado.
AI2 Adquirir y Mantener Software Aplicativo
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
Tabla 1 Análisis Y Evaluación De Riesgos
N° R1
R2 R3
R4
R5
R6 R7
Descripción No existe control de acceso a direcciones de internet por parte del administrador, lo que hace inseguro a la red de datos Hurto de información, modificaciones en el sistema operativo y daños en el software
Impacto 2
Probabilidad 3
3
4
Modificación sin autorización de los datos, o de software instalado en el sistema, incluyendo borrado de archivos No se realizan respaldos de seguridad de manera periódica de la información sensible en medios externos No se cuenta con alguna restricción a elementos externos, y el antivirus debe ser licenciado para mayor efectividad La no configuración de puertos en el Firewall, para bloquear o permitir accesos
2
3
4
3
3
4
3
3
Infección en los software ocasionando perdida de información
4
3
No existan programas con las versiones requeridas en software para su funcionamiento Ausencia de parches de seguridad y actualizaciones, pérdida de información
R8
R9
2
3
2
2
Tabla 2Matriz de Riesgos
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1) Raro (1) Improbable (2) R9 Posible (3)
R1, R3,R8
Probable (4) Casi Seguro (5)
Moderado Mayor Catastrófico (3) (4) (5)
R2,R6
R4,R7
R5
Tabla 3Tratamiento de los Riesgos.
Riesgo
Descripción del Riesgo
Tratamiento del Riesgo
R1
No existe control de acceso a direcciones de internet por parte del administrador, lo que hace inseguro a la red de datos
Controlarlo
R2
Hurto de información, modificaciones en el sistema operativo y daños en el software
Aceptarlo
R3
Modificación sin autorización de los datos, o de software instalado en el sistema, incluyendo borrado de archivos
R4
R5
No se realizan respaldos de seguridad de manera periódica de la información sensible en medios externos No se cuenta con alguna restricción a elementos externos, y el antivirus debe ser
Controlarlo
Aceptarlo Transferirlo
licenciado para mayor efectividad R6
La no configuración de puertos en el Firewall, para bloquear o permitir accesos
Controlarlo
R7
Infección en los software ocasionando perdida de información
Controlarlo
R8
No existan programas con las versiones requeridas en software para su funcionamiento
Controlarlo
R9
Ausencia de parches de seguridad actualizaciones, pérdida de información
Controlarlo
y
RIESGOS, CONTROLES PROPUESTOS, TIPO DE CONTROL (PREVENTIVO, DETECTIVO, CORRECTIVO, O DE RECUPERACIÓN)
Dominio Proceso
Adquirir e implementar AI2 Adquirir y Mantener Software Aplicativo
Tabla 4CONTROLES PROPUESTOS
RIESGOS
CONTROLES PROPUESTOS
CONTROLES
Preventivo
Prevenir el ingreso a diferentes paginas mediante una validación al uso frecuente de ellas
Detectivo
Restringir el acceso a las páginas web para evitar que los usuarios sean víctimas del robo de información o en su defecto virus informático
Correctivo
Se tiene mucho más control en el ingreso a diferentes paginas
No existe control para el acceso ilimitado a internet
Preventivo
Ausencia de parches de seguridad y actualizaciones, pérdida de información
Los servidores y equipos del área de sistemas no se encuentran bajo algún armario cerrado o en alguna oficina con acceso restringido ocasionando perdida o robos de las mismos
Correctivo
Mantener permanentemente actualizados todos los sistemas y aplicaciones utilizados en la empresa a sus últimas versiones y con todos los parches de seguridad instalados, estén conectados a la red o no; para facilitar esta tarea se recomienda activar las actualizaciones automáticas
Preventivo
Mantener actualizados los inventarios físicos y real de activos fijos, adecuar un sitio para la ubicación y debidamente identificado
Detectivo
Realizar seguimiento y control delos inventarios de la empresa
Correctivo
Infección en los software ocasionando perdida de información
Son susceptibles de tener fallos de seguridad o vulnerabilidades
Realizar un control o inventario semanal de cada uno de los activos para evitar los presuntos robos o pérdidas de inventarios.
Preventivo
Identificación por cada usuario las políticas mínimas de seguridad informática.
Detectivo
Verificación de requisitos y controles existente
Correctivo
Monitorear los ataques informáticos para eliminar posibles.
Tabla 5Hallazgos
REF HALLAZGO 1 PÁGINA
PROCESO AUDITADO
Adquirir e implementar
RESPONSABLE
María Elena Cárdenas
MATERIAL DE SOPORTE
COBIT
DOMINIO
1
AI2 Adquirir y Mantener Software Aplicativo
PROCESO
DE
1
AI2 Adquirir y Mantener Software Aplicativo
DESCRIPCIÓN:
No existe control para el acceso ilimitado a internet Ausencia de parches de seguridad y actualizaciones, pérdida de información Los servidores y equipos del área de sistemas no se encuentran bajo algún armario cerrado o en alguna oficina con acceso restringido ocasionando perdida o robos de las mismos Infección en los software ocasionando perdida de información
CAUSAS: No existe control de acceso a direcciones de internet por parte del administrador, lo que hace insegura a la red de datos No prospera el negocio Mal funcionamiento y rendimiento de los quipos presentado fallas constantes Perdida de información CONSECUENCIAS: Utilización de los recursos del sistema para fines no previstos Mal funcionamiento y rendimiento de los quipos presentado fallas constantes Pérdida de clientes Puede ser víctima de hurtos de información y equipos del negocio VALORACIÓN DEL RIESGO: R1, R3,R9
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Catastrófico R7 Probabilidad de ocurrencia: = 40% Impacto según relevancia del proceso: Catastrófico RECOMENDACIONES: Restringir el acceso a las páginas web para evitar que los usuarios sean víctimas del robo de información o en su defecto virus informático Realizar monitoreo a los ataques informáticos para eliminar posibles Mantener permanentemente actualizados todos los sistemas y aplicaciones utilizados en la empresa a sus últimas versiones y con todos los parches de seguridad instalados, estén conectados a la red o no; para facilitar esta tarea se recomienda activar las actualizaciones automáticas Tomar acciones para mitigar las causas que generaron el riesgo. Aplicar las sanciones correspondientes por pérdida de información confidencia EVIDENCIAS - REF_PT: CUESTIONARIOS_CHDN/AER_5(ANEXO 2) E_AUDIO/ AI5 Adquirir recursos de TI
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5 Tabla 6Análisis Y Evaluación De Riesgos
N°
Descripción
Impacto
Probabilidad
R8
Los servidores y equipos del área de sistemas no se encuentran 2 bajo algún armario cerrado o en alguna oficina con acceso restringido
4
R9
El personal no cuenta con programas de capacitación y formación 3 en seguridad informática y de la información. Facilidad de acceso a la información
3
R10 Robo de información y suplantación de identidad
4
2
R11 La infraestructura tecnológica de los equipos no cuenta con 3 recursos TI
2
R12
Pérdida de clientes
R13 Falta de mantenimiento a los equipos
2
3
2
3
Tabla 7Matriz de Riesgo
EVALUACIÓN Y MEDIDAS DE RESPUESTA PROBABILIDAD
IMPACTO Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
R11
R10
Catastrófico (5)
Raro (1) Improbable (2) Posible (3)
R12,R13
Probable (4)
R8
R9
Casi Seguro (5)
Tabla 8Tratamiento de los Riesgos
Riesgo
Dominio
Adquirir e implementar
Proceso
AI5 Adquirir recursos de TI Descripción del Riesgo
Tratamiento del Riesgo
R8
Falta de mantenimiento a los equipos
Controlarlo
R9
Robo de información y suplantación de identidad
Controlarlo
R10
La infraestructura tecnológica de los equipos no cuenta con recursos TI
Controlarlo
R11
Los servidores y equipos del área de sistemas no se encuentran bajo algún armario cerrado o en alguna oficina con acceso restringido
Aceptarlo
R12
Pérdida de clientes
Controlarlo
R13
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Facilidad de acceso a la información
Controlarlo
RIESGOS, CONTROLES PROPUESTOS, TIPO DE CONTROL (PREVENTIVO, DETECTIVO, CORRECTIVO, O DE RECUPERACIÓN)
Dominio
Adquirir e implementar
Proceso
AI5 Adquirir recursos de TI
Tabla 9CONTROLES PROPUESTOS
RIESGOS
Personal si capacitación para dar soporte
Pérdida de información
CONTROLES PROPUESTOS
CONTROLES
Preventivo
Realizar capacitaciones a todo el personal del área de sistemas.
Detectivo
Realizar validación en la práctica de dicha capacitación.
Correctivo
Realizar retroalimentación al personal en cuanto al soporte de los equipos
Preventivo
Contar con un sistema de seguridad que guarde y respalde la información física o electrónica generada por la
Empresa
Detectivo
Correctivo
Falta de mantenimiento a los equipos
Supervisar y monitorear las actividades que realiza el personal. Tomar acciones para mitigar las causas que generaron el riesgo. Aplicar las sanciones correspondientes por pérdida de información confidencia
Preventivo
Se recomienda realizar mantenimiento a los equipos por lo menos una vez a la semana ya que se usa más de 8 horas diarias
Detectivo
Si no se realiza periódicamente un escaneo del disco duro para corregir posibles errores o fallas, una limpieza de archivos y la desfragmentación del disco duro, la información estará más desprotegida y será más difícil de recuperar
Correctivo
Realizar periódicamente mantenimiento a los equipos
Tabla 10Hallazgos
REF HALLAZGO 2
PROCESO AUDITADO
PÁGINA Adquirir e implementar 1
DE
1
un
RESPONSABLE
María Elena Cárdenas
MATERIAL DE SOPORTE
COBIT
DOMINIO
AI5 Adquirir PROCESO recursos de TI
AI5 Adquirir recursos de TI
DESCRIPCIÓN: Personal si capacitación para dar soporte Pérdida de información Falta de mantenimiento a los equipos CAUSAS: No tiene respuesta a los requerimiento del cliente No tener una respuesta algún ataque en el sistema Perdida de información Daños físicos en los equipos CONSECUENCIAS: Al no tener una capacitación sobre el manejo en los equipos, se puede presentar pérdida de información, ataques al sistema de algún tipo de virus. Si no se realiza periódicamente un escaneo del disco duro para corregir posibles errores o fallas, una limpieza de archivos y la desfragmentación del disco duro, la información estará más desprotegida y será más difícil de recupera
VALORACIÓN DEL RIESGO: R8,12,13 Probabilidad de ocurrencia: = 100% Impacto según relevancia del proceso: Catastrófico RECOMENDACIONES: Realizar retroalimentación al personal en cuanto al soporte de los equipos Realizar validación en la práctica de dicha capacitación. Contar con un sistema de seguridad que guarde y respalde la información física o electrónica generada por la Empresa Se recomienda realizar mantenimiento a los equipos por lo menos una vez a la semana ya que se usa más de 8 horas diarias EVIDENCIAS - REF_PT: CUESTIONARIOS_CHDN/AER_5(ANEXO 2) E_AUDIO/
ESTUDIANTE DIANA MARCELA MORENO BELLO
Proceso DS5 Garantizar la seguridad de los sistemas.
ANALISIS Y EVALUACIÓN DE RIESGOS
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
Tabla 11 Análisis Y Evaluación De Riesgos Diana
N° R1
R2 R3 R4
R5
R6 R7
R8 R9
Descripción Falta de mecanismos de Backup para asegurar la información de los equipos Indisponibilidad del servidor o equipos de computo Falta de controles, aseguramiento y restricciones para el acceso a equipos No existe sistema de vigilancia, tanto para los equipos, como para el talento humano de la organización. Falla de control de acceso según el tipo de usuario, para el uso de direcciones de internet, lo que también hace insegura a la red de datos Ausencia de planes de riesgos para recuperación de información Falta restricción y control en la conexión de algún dispositivo USB o CD Falta de antivirus en todos los equipos Falta garantizar y cumplir ANS´s con los fabricantes
Impacto 5
Probabilidad 3
5
3
3
2
3
2
4
3
5
2
3
3
5 3
4 3
Falta de soportes del estado de la verificación de la plataforma o servicios ya sean externos Falta de capacitación al personal Falla de proceso para el aseguramiento de los equipos Ausencia de parches de seguridad y actualizaciones, pérdida de información
R10
R11 R12 R13
4
3
5 5
4 3
5
3
RESULTADO MATRIZ DE RIESGOS Tabla 12RESULTADO MATRIZ DE RIESGOS Diana
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD
Insignificante Menor (2) (1)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) Improbable (2)
R3, R4
Posible (3)
R7, R9
Probable (4)
R6 R5, R10
R1, R2, R12, R13 R8, R11
Casi Seguro (5)
Tabla 13 TRATAMIENTO DE LOS RIESGOS Diana
ID. Riesgo R1
R2 R3
Descripción Riesgo
Tratamiento Riesgo Transferirlo
Falta de mecanismos de Backup para asegurar la información de los equipos Indisponibilidad del servidor o Transferirlo equipos de computo Falta de controles, aseguramiento y Controlarlo
R4
R5
R6 R7
R8 R9 R10
R11 R12 R13
restricciones para el acceso a equipos No existe sistema de vigilancia, tanto para los equipos, como para el talento humano de la organización. No existe restricciones para el uso de direcciones de internet, lo que provoca inseguridad por la red Ausencia de planes de riesgos para recuperación de información Falta restricción y control en la conexión de algún dispositivo USB o CD Falta de antivirus en todos los equipos Falta garantizar y cumplir ANS´s con los fabricantes Falta de soportes del estado de la verificación de la plataforma o servicios ya sean externos Falta de capacitación al personal Falla de proceso para el aseguramiento de los equipos Ausencia de parches de seguridad y actualizaciones, pérdida de información
Transferirlo
Controlarlo
Controlarlo Controlarlo
Transferirlo Controlarlo Transferirlo
Controlarlo Controlarlo Transferirlo
CUADRO DE CONTROL PROPUESTO DE LOS RIESGOS Tabla 14 CONTROL PROPUESTO Diana
RIESGOS o HALLAZGOS ENCONTRADOS No existe controles de aseguramiento y restricciones para el acceso a equipos No existe restricciones para el uso de direcciones de internet, lo que provoca
TIPO DE CONTROL
SOLUCIONES O CONTROLES
PREVENTIVO
Control en el aseguramiento y restricción para el acceso a los equipos según cada tipo de usuario.
PREVENTIVO
Controlar el acceso y bloqueo de páginas que no brindan ningún beneficio para el desarrollo de las actividades.
inseguridad por la red Ausencia de planes de riesgos para recuperación de información
PREVENTIVO
Elaborar plan de riesgo para salvaguardar la información, lo cual se podría realizar a través de copias digitales y mantener su almacenamiento por determinado tiempo.
No existe restricción y control en la conexión de dispositivos USB o CD
PREVENTIVO
Deshabilitar puertos y/o unidades que no sean necesarias según los tipos de usuario, esto con el fin de prevenir trasferir virus o sustracción de información.
No se garantiza ni se cumplen los ANS´s con los proveedores
CORRECTIVO
Realizar ajustes de programación del personal y/o elementos que se deben enviar o entregar a los proveedores.
Falta capacitación al personal
PREVENTIVO
Elaborar planes de capacitación al personal sobre sobre incidentes de seguridad con el fin de crear conciencia sobre el buen uso de los elementos de trabajo y/o servicios que se prestan.
Falla el proceso para el aseguramiento de los equipos
PREVENTIVO
Elaborar un proceso y checklist para garantizar el aseguramiento de todos los equipos de la organización cumpliendo con los estándares mínimos de seguridad.
Tabla 15 Hallazgo 1 Diana
HALLAZGO 1
REF
PÁGINA
PROCESO AUDITADO
Garantizar la seguridad de los sistemas
RESPONSABLE
Diana Marcela Moreno Bello
MATERIAL DE SOPORTE
COBIT
DOMINIO
1
Entregar y Soporte (DS)
Dar
PROCESO
DE
1
DS5 Garantizar la seguridad de los sistemas
DESCRIPCIÓN:
No existe controles de aseguramiento y restricciones para el acceso a equipos No existe restricciones para el uso de direcciones de internet, lo que provoca inseguridad por la red No existe restricción y control en la conexión de dispositivos USB o CD Falla el proceso para el aseguramiento de los equipos Ausencia de planes de riesgos para recuperación de información Falta capacitación al personal
Esto es debido a la falta de la generación de un check list y de realización de un Seguimiento correspondiente.
CAUSAS:
Manipulación de información que no les corresponde. Visualización de páginas indebidas que pueden descargar virus. Propagación de virus en los equipos. Al no haber un proceso de aseguramiento se seguirán incumpliendo ítem importantes para la organización Pérdida total de la información Hacer mal los procesos y no atender bien a los clientes
CONSECUENCIAS:
Al no existir controles ni restricciones mínimos en los equipos, conllevan al daño de los mismos o de la información Al no tener documentación de los procesos y/o procedimientos de la organización, ,las personas realizan las cosas a su manera, por lo cual también se debe realizar un plan de capacitación para prestación de Servicios, ya que sin ello se pierde la clientela
VALORACIÓN DEL RIESGO: R3
Probabilidad de ocurrencia: = 40% Impacto según relevancia del proceso: Moderado
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Mayor
R5
R7 R11 R12
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Moderado Probabilidad de ocurrencia: = 80% Impacto según relevancia del proceso: Catastrófico Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:
Crear las restricciones tanto para el ingreso al equipo, para navegación y para los permisos de USB y Unidad DVD. Emplear el proceso de aseguramiento de los equipos Elaborar e implementar los planes de capacitación para el personal. Elaborar e implementar los planes de riesgos para recuperación de información
EVIDENCIAS - REF_PT:
CUESTIONARIOS_CHDN/CC_4(ANEXO 2) E_AUDIO/
Tabla 16 Hallazgo 2 Diana
REF HALLAZGO 2
PÁGINA
PROCESO AUDITADO
Garantizar la seguridad de los sistemas
RESPONSABLE
Diana Marcela Moreno Bello
MATERIAL DE SOPORTE
COBIT
DOMINIO
1
Entregar y Soporte (DS)
Dar
PROCESO
DE
1
DS5 Garantizar la seguridad de los sistemas
DESCRIPCIÓN:
No se garantiza ni se cumplen los ANS´s con los proveedores
Esto es debido a la falta de un proceso o documento donde se detallen las actividades y los tiempos adecuados para cada uno, al igual que falta un seguimiento a los proveedores CAUSAS:
No cumplir a tiempo con los servicios prestados a los usuarios No tener disponibilidad de los equipos, ni servicios Plasmar una mala imagen de prestación a los usuarios No cumplir con la seguridad de los equipos.
CONSECUENCIAS:
Al no tener una documentación clara sobre las actividades y tiempos adecuados a los servicios que nos ofrecen los proveedores se puede ver afectado los equipos, información y los servicios ofrecidos a los usuarios, logrando así que no vuelvan Al tener inconvenientes con los servicios o equipos, bajan las ventas
VALORACIÓN DEL RIESGO: R9
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
Definir las actividades y los tiempos estimados más claros para lograr cumplir con los acuerdos, y así cumplir a los usuarios Realizar un seguimiento periódico a los proveedores con el fin de poder tomar acciones a tiempo y no afectar el servicio.
EVIDENCIAS - REF_PT: CUESTIONARIOS_CHDN/AER_5(ANEXO 2) E_AUDIO/
Proceso DS7 Educar y entrenar a los usuarios ANALISIS Y EVALUACIÓN DE RIESGOS
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3
Probable = 4 Casi Seguro = 5
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
Tabla 17 Análisis Y Evaluación De Riesgos Diana
N°
Descripción
Impacto
Probabilidad
R1
Falla la buena prestación del servicio
5
3
R2
Ingreso de usuarios sin ninguna tipo de restricción
5
2
R3
Falta de conocimiento del personal en el tema de seguridad 4 informática y de la información
2
R4
No existe perfiles de usuario en los ingresos a los equipos
4
2
R5
Demoras en la prestación del servicio e insatisfacción de los 5 usuarios
3
R6
No se cumplen las acciones que ofrecemos a nuestros clientes
5
2
R7
Falta de Plan de capacitaciones
5
3
R8
Falta medir el nivel de satisfacción de los clientes
5
4
Tabla 18 RESULTADO MATRIZ DE RIESGOS Diana
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD
Insignificante Menor (2) (1)
Moderado (3)
Mayor (4)
Catastrófico (5)
R3, R4
R2, R6
Raro (1) Improbable (2)
Posible (3)
R1, R5, R7
Probable (4)
R8
Casi Seguro (5)
Tabla 19 TRATAMIENTO DE LOS RIESGOS Diana
ID. Riesgo R1 R2 R3
R4 R5
R6 R7 R8
Descripción Riesgo Falla la buena prestación del servicio Ingreso de usuarios sin ninguna tipo de restricción Falta de conocimiento del personal en el tema de seguridad informática y de la información No existe perfiles de usuario en los ingresos a los equipos Demoras en la prestación del servicio e insatisfacción de los usuarios No se cumplen las acciones que ofrecemos a nuestros clientes Falta de Plan de capacitaciones Falta medir el nivel de satisfacción de los clientes
Tratamiento Riesgo Controlarlo Controlarlo Controlarlo
Controlarlo Controlarlo
Controlarlo Controlarlo Transferirlo
Tabla 20 CUADRO DE CONTROL PROPUESTO DE LOS RIESGOS Diana
RIESGOS o HALLAZGOS ENCONTRADOS Falla la buena prestación del servicio
TIPO DE CONTROL
SOLUCIONES O CONTROLES
CORRECTIVO
Capacitar al personal de la organización sobre las buenas prácticas para la prestación de un excelente
servicio.
Ingreso de usuarios sin ninguna tipo de restricción a los equipos
PREVENTIVO
Concientizar al personal sobre el uso adecuado de los elementos de trabajo e igualmente proporcionar los permisos correspondientes a cada usuario.
Falta de conocimiento del personal en el tema de seguridad informática y de la información
PREVENTIVO
Elaborar y capacitar al personal sobre temas de seguridad informática y del uso de la información.
No existe perfiles de usuario en los ingresos a los equipos
CORRECTIVO
Creación de cuentas según el tipo de usuario.
Demoras en la prestación del servicio e insatisfacción de los usuarios
CORRECTIVO
Realizar una encuesta a los clientes para detectar los temas en los que no se presta un buen servicio para tomar las medidas necesarias, mediante la contratación de un tercero.
No se cumplen las acciones o servicios que ofrecemos a nuestros clientes
CORRECTIVO
Creación del manual de servicios y funciones para los empleados de la organización, con el fin de satisfacer las necesidades del cliente.
Falta Plan capacitaciones
PREVENTIVO
Elaborar plan de capacitación para el personal sobre guiar a los usuarios para el buen uso de los elementos de la organización.
de
Tabla 21 Hallazgo 1 Diana
REF HALLAZGO 1
PÁGINA
PROCESO AUDITADO
Educar y entrenar a los usuarios
RESPONSABLE
Diana Marcela Moreno Bello
MATERIAL DE SOPORTE
COBIT
DOMINIO
1
Entregar y Soporte (DS)
Dar
PROCESO
DE
1
DS7 Educar y entrenar a los usuarios
DESCRIPCIÓN:
Falta buena prestación del servicio Demoras en la prestación del servicio e insatisfacción de los usuarios No se cumplen las acciones o servicios que ofrecemos a nuestros clientes
Esto es debido a la falta de un procedimiento y claridad en el portafolio de los servicios que se van a brindar.
CAUSAS:
Al brindar un mal servicio, la imagen de la organización baja Las ventas se reducen No prospera el negocio Al no tener claridad de los servicios y el tiempo que se puede ofrecer, la credibilidad de la organización se va disminuyendo
CONSECUENCIAS:
Si el usuario no recibe una buena atención no vuelve, llevando así a que las ventas disminuyan
Al no tener documentación de los procesos y/o portafolio de los servicios a ofertar y los tiempos en que se puede realizar la organización podría llevar al cierre.
VALORACIÓN DEL RIESGO: R1, R5
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Catastrófico
Probabilidad de ocurrencia: = 40% Impacto según relevancia del proceso: Catastrófico
R6
RECOMENDACIONES:
Validar internamente el clima que se tiene ya que puede ser que los empleos no se sientan bien y por eso no se brinda un buen servicio Emplear la documentación del proceso sobre los servicios a brindar y los tiempos en que se pueden realizar Divulgar el proceso a los empleados para que toda la organización tenga claridad Diseñar Tips para que queden visibles a los usuarios
EVIDENCIAS - REF_PT: CUESTIONARIOS_CHDN/AER_5(ANEXO 2) E_AUDIO/
Tabla 22 Hallazgo 2
REF HALLAZGO 2
PÁGINA
PROCESO AUDITADO
Educar y entrenar a los usuarios
RESPONSABLE
Diana Marcela Moreno Bello
MATERIAL DE SOPORTE
COBIT
DOMINIO
1
Entregar y Soporte (DS)
Dar
PROCESO
DE
1
DS7 Educar y entrenar a los usuarios
DESCRIPCIÓN:
Ingreso de usuarios sin ninguna tipo de restricción a los equipos Falta de conocimiento del personal en el tema de seguridad informática y de la información No existe perfiles de usuario en los ingresos a los equipos Falta Plan de Capacitaciones
Esto es debido al desconocimiento sobre seguridad informática y de la información, y por lo tanto a la creación de restricciones y perfiles en los equipos para su manipulación, igualmente va de la mano a la falta de documentación de este procedimiento CAUSAS:
Manipulación del equipo e información crítica Perdida de los equipos Perdida de información
CONSECUENCIAS:
Al no tener documentación sobre los procesos de Seguridad en los equipos, se puede presentar pérdida de información, o transferencia de virus llegando así a
poder tener la pérdida física de los equipos. Al no conocer sobre seguridad informática e información, se pueden incurrir en no la prestación de seguridad en los mismos, llegando así a la perdida de información, del equipo y/o prestar los elementos para incurrir en actos no legales como fraudes.
VALORACIÓN DEL RIESGO: R2 Probabilidad de ocurrencia: = 40% Impacto según relevancia del proceso: Catastrófico R3, R4
Probabilidad de ocurrencia: = 40% Impacto según relevancia del proceso: Mayor
Probabilidad de ocurrencia: = 60% Impacto según relevancia del proceso: Catastrófico
R7
RECOMENDACIONES:
Definir y Crear las restricciones de manipulación del equipo, y creación de los diferentes tipos de perfiles. Elaborar e implementar los planes de capacitación para el personal sobre temas de seguridad informática y de la información Diseñar Tips de seguridad informática y de la información para que queden visibles a los usuarios para que también los conozcan
EVIDENCIAS - REF_PT: CUESTIONARIOS_CHDN/AER_5(ANEXO 2) E_AUDIO/
ESTUDIANTE PEDRO ALEJANDRO HERNANDEZ
Proceso AI3 Adquirir y Mantener Infraestructura Tecnológica
Tabla 23 Tabla 11 Análisis Y Evaluación De Riesgos Pedro
PROCESO
ID. Riesgo R10
R11 R12 R13 R14
AI3 Adquirir y mantener la infraestructura tecnológica
Descripción Riesgo Se tiene una distribución del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones No se cuenta con privacidad suficiente en los sitios de trabajo Etiquetas de identificación y control de puntos de red inapropiadas. Degradación de los soportes de almacenamiento de la información Contaminación electromagnética
Tratamiento Riesgo Controlarlo
Controlarlo Controlarlo Controlarlo Controlarlo
Tabla 24 FORMATO DE HALLAZGOS Pedro
REF HALLAZGO
PROCESO AUDITADO
Mal funcionamiento e imposibilidad en la adquisición de nuevos programas y componentes
RESPONSABLE
Pedro Hernández
MATERIAL DE SOPORTE
COBIT
DOMINIO
PROCESOS: ADQUIRIR E
PROCESO
PÁGINA 1
DE
AI3 Adquirir y mantener la
1
IMPLEMENTAR
infraestructura tecnológica
DESCRIPCIÓN HALLAZGO:
No existe una persona encargada en la adquisición de programas nuevos y actualización de estos.
No existen manejos ni instrucciones relacionados con la conformación adecuada de la actualización y comprar de nuevos programas.
CAUSAS:
Errores de sistemas operativos Aplicaciones que funcionan excesivamente lentas Internet no funciona Aparecen ventanas emergentes en tu explorador de procedencia desconocida Mal funcionamiento en programas e imposibilidad en la adquisición de nuevos programas y componentes.
CONSECUENCIAS:
Al no existir un grupo encargado de vigilar el estado de actualización de todos nuestros pc y aplicaciones puede presentar problemas que pueden dañar nuestros archivos y sistemas causando un gran problema en la empresa. Obtener información sensible y confidencial de nuestra empresa, como cuentas de acceso a otros servicios o bases de datos de clientes. Des configurar los sistemas de seguridad de la empresa para, robar información o atacarnos más adelante; Usar nuestros sistemas como plataforma de ataque hacia otros sistemas.
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: = 80% Impacto según relevancia del proceso: moderado
RECOMENDACIONES:
Conformar un grupo concluyente de técnicos y funcionarios que evalúen y estudien el desempeño de los programas y actualizaciones de estas para tener un mejor rendimiento.
aplicar todos los parches en los sistemas operativos que uses en tu empresa e implementar las actualizaciones en cuanto estén disponibles. Activar las actualizaciones automáticas del sistema operativo y del software que uses en tus equipos y dispositivos de la empresa
EVIDENCIAS: REF_PT: CUESTIONARIOS_CHDN/PLAN_ AI3 (ANEXO 1) E_AUDIO/A_CHDN_01
Tabla 25CUADRO DE CONTROLES PROPUESTOS Pedro
RIESGOS o HALLAZGOS ENCONTRADOS Se tiene una distribución del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones
TIPO DE CONTROL
SOLUCIONES O CONTROLES
CORRECTIVO
Creación de un área de trabajo cómoda y adecuada para que el personal se sienta a gusto en su puesto de trabajo
No se cuenta con privacidad suficiente en los sitios de trabajo
CORRECTIVO
Creación de un área de trabajo cómoda y adecuada para que el personal se sienta a gusto en su puesto de trabajo
Etiquetas de identificación y control de puntos de red inapropiadas.
CORRECTIVO
Contar con la pertinente identificación para así facilitar su funcionamiento y mantenimiento.
Degradación de los soportes de almacenamiento de la información
CORRECTIVO
Contar con los repuestos de almacenamiento para su cambio cuando esté presente problemas
Contaminación electromagnética
CORRECTIVO
Vigilar y comprobar las emisiones electromagnéticas de nuestros aparatos.
Tabla 26 Proceso DS4 Garantizar la continuidad del servicio Pedro PROCESO ID. Riesgo R5
R6 R8 R9
DS4 Garantizar la continuidad del servicio. Descripción Riesgo Mal funcionamiento y rendimiento de los equipos presentado fallas constantes Falta de actualización de software (proceso y recursos) Red inalámbrica expuesta al acceso no autorizado Acceso electrónico no autorizado a sistemas externos
Tratamiento Riesgo Controlarlo
Controlarlo Controlarlo Aceptarlo
Tabla 27 HALLAZGO 2 Pedro
REF HALLAZGO 2 HHDN_O2
PROCESO AUDITADO
Red inalámbrica expuesta al acceso no autorizado
PÁGINA 1
DE
1
RESPONSABLE
Pedro Hernández
MATERIAL DE SOPORTE
COBIT
DOMINIO
ENTREGAR Y DAR SOPORTE PROCESO (DS))
DS4 Garantizar la continuidad del servicio.
DESCRIPCIÓN:
No existe una persona encargada en la configuración y desempeño de la red inalámbrica.
No existen manejos ni instrucciones relacionados con la conformación adecuada de la red inalámbrica y buen funcionamiento de esta.
CAUSAS:
Internet no funciona Baja calidad de la señal recibida del router inalámbrico Tamaño apropiado de MTU de la red no determinado Interferencia de frecuencia de otros dispositivos inalámbricos Ajustes del router y el adaptador no coincidente
CONSECUENCIAS:
puede poner en peligro la seguridad de la red inalámbrica y dejarla completamente expuesta al mundo exterior.
Un punto de acceso vulnerable puede poner en peligro la seguridad de la red inalámbrica
VALORACIÓN DEL RIESGO:
Probabilidad de ocurrencia: = 100% Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la red inalámbrica para así tomar las correcciones pertinentes para que esta no se vea expuesta. Evita usar la contraseña predeterminada Protégete contra malware y ataques por Internet Cambia el nombre de la red Cambia la contraseña de acceso Actualizar Firmware Utilizar Firewall
EVIDENCIAS - REF_PT:
CUESTIONARIOS_CHDN/PLAN_ DS4 (ANEXO 1) E_AUDIO/A_CHDN_02
CUADRO DE CONTROLES PROPUESTOS Tabla 28CONTROLES PROPUESTOS Pedro
RIESGOS o HALLAZGOS ENCONTRADOS Mal funcionamiento e imposibilidad en la adquisición de nuevos programas y componentes
TIPO DE CONTROL
SOLUCIONES O CONTROLES
CORRECTIVO
Actualizar los programas continuamente para su mejora. Si no existe la persona para hacer las actualizaciones contratar a una entidad externa.
Falta de actualización de software (proceso y recursos)
CORRECTIVO
Realizar una actualización del software cunado sea requerida para contar con un buen funcionamiento del mismo
Red inalámbrica expuesta al
PREVENTIVO
Contar con contraseñas para evitar el acceso no
autorizado.
acceso no autorizado Acceso electrónico no autorizado a sistemas externos
PREVENTIVO
Contar con contraseñas para evitar el acceso no autorizado.
CONCLUSIONES
La elaboración de los formatos de tratamientos de riesgos para los diferentes procesos CobIT, dan a conocer los diferentes controles que se pueden emplear en cada riesgo encontrado para definir una solución Ya con la identificación de cada control, se puede emplear un cuadro de Hallazgos los cuales se detalla un poco más la solución que se brindará a cada riesgo encontrado, ya que allí se definen las causas, consecuencias y recomendaciones para definir el estado de cada uno.
BIBLIOGRAFIA
UNAD. (2018). WebConference curso Auditoría de sistemas. Recuperado de: https://goo.gl/nPKQUh - https://goo.gl/AnkQC7
http://www.eafit.edu.co/escuelas/administracion/consultoriocontable/Documents/boletines/auditoria-control/b13.pdf
https://youtu.be/9T9X0q2y6vQ http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981 http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO%3aaci&genre=book &issn=&ISBN=9788479088156&volume=&issue=&date=20050101&spage=171& pages=171186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&ati tle=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T%c3%8 9CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L%c3%a1zaro+J.&id=D OI%3a&site=ftf-live