• Author / Uploaded
• darkness5125

• Categories
• Seguridad y privacidad en línea
• La seguridad informática
• Auditoría
• Servidor (Computación)
• Software

Citation preview

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

Trabajo: El proceso y las fases de la auditoria de Sistemas de Información

CONTENIDO Introducción......................................................................................................................1 Planificación De La Auditoría............................................................................................1 Desarrollo De La Auditoría................................................................................................1 Informe De Auditoría.........................................................................................................1

INTRODUCCION Se desarrollará una auditoría a la empresa Viento en Popa la cual es una empresa dedicada a la planificación de actividades náuticas, así como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de obtener la certificación de Patrón de Embarcaciones de Recreo (PER). Dentro de la estrategia empresarial, se desarrolló como canal de información y venta un portal Web el cual y de forma somera consta de dos partes claramente diferenciadas: La zona de Administración, desde la cual se gestiona la información relativa a cursos y alumnos. La zona de clientes y alumnos, donde el usuario tiene acceso a la información de Viento en Popa referente a actividades y cursos, y acceso a la parte privada de cada uno, con la posibilidad de realizar exámenes, descargar temarios y documentación, etc. Dicha plataforma se encuentra alojada en los servidores de la misma compañía. PLANIFICACION DE LA AUDITORIA

Alcance -Obtener un entendimiento en la gestión de la plataforma web -Evaluar los controles generales de tecnología Recursos y tiempo -Recursos: Dos Auditores -Tiempo Estimado: Un Mes

TEMA 3 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

Recopilación de información básica Entre vistas con personal: -Gerente de Sistemas -Desarrollador de la Plataforma -Oficial de seguridad -Administrador de la plataforma Programa de trabajo

Plan de comunicación Todo requerimiento y solicitudes debe canalizarse a través de la persona designada por la empresa y cada hallazgo se debe discutir con la administración previa elaboración del informe. DESARROLLO DE LA AUDITORIA

Identificación de riesgos potenciales -Perdida de disponibilidad por ataques externos -Rendimiento de servidores -Acceso lógico no autorizado -Protocolos tcp inseguros -Inyección -Cross-Site Scripting (XSS) -Autenticación y gestión de sesiones Seleccionar las pruebas y técnicas a utilizar Las técnicas de auditoría aplicadas incluyeron la indagación con el personal de la compañía, la observación y el examen de documentación, además en las áreas significativas de desarrollo, aplicamos técnicas de auditoría asistidos por computadora para verificar la integridad y exactitud de los datos procesados en los sistemas de información de las áreas o aseveraciones significativas.

TEMA 3 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

INFORME DE AUDITORIA CONFIDENCIAL Señores Junta Directiva Viento en Popa Estimados Señores: Hemos llevado a cabo la revisión de los registros y documentos para dictaminar el estado de los sistemas de la compañía, al 31 de Febrero de 2020. En la planeación y ejecución de la auditoría, y como parte de la evaluación de la estructura del control interno, consideramos llevar a cabo la revisión de la plataforma web de la compañía, para determinar los procedimientos de auditoría, con el propósito de expresar nuestra opinión sobre los mismos y no para proveer seguridad sobre la estructura de control interno. De nuestro examen surgieron algunos asuntos que consideramos de importancia para asegurar un adecuado funcionamiento operativo y de control relacionado con el sistema informático de la compañía, por lo que preparamos nuestro informe con las observaciones y recomendaciones que se adjuntan a la presente. Aprovechamos la oportunidad para agradecer la colaboración que nos brindó el personal y quedamos a su entera disposición para ampliarle cualquiera de nuestros comentarios. Sin otro particular y con todo respeto, nos suscribimos de ustedes. Atentamente, Firma Auditora

TEMA 3 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

INFORME SOBRE LA REVISION DEL SISTEMA INFORMATICO Este informe está basado en la documentación suministrada por la administración de la compañía, la información provista en las entrevistas con el personal y el resultado de las evaluaciones de los controles. Como resultado del trabajo identificamos algunas áreas de mejora, las cuales se detallan en este documento. Nuestras observaciones y recomendaciones tienen la intención de fortalecer la estructura de control interno de la compañía, por lo tanto algunas de estas podrían requerir una acción inmediata, una vez que hayan sido analizadas por la Administración. Descripción del Alcance del Trabajo Realizado El alcance del trabajo comprendió: -Obtener un entendimiento en la gestión de la plataforma web -Evaluar los controles generales de tecnología Controles Generales La evaluación de los controles generales incluyó lo siguiente: 1.

Acceso a los Programas y Datos Implantación de prácticas de seguridad Acceso lógico y físico a los recursos de computación de TI Entorno de seguridad Acceso a data centers Seguridad de los equipos Control de accesos Seguridad de comunicaciones Segregación de funciones Organización interna Aspectos organizativos de la seguridad de la información Continuidad del negocio Tercerización de servicios

2.

Cambios a Programas Cambios autorizados, documentados y probados Cambios a la configuración de los sistemas y las aplicaciones Migración de los cambios al ambiente de producción

3.

Desarrollo de Programas Autorización, desarrollo y pruebas de los nuevos sistemas y aplicaciones

4.

Operaciones de Computadora Procedimientos de respaldo de implantación y recuperación Procedimientos para la administración de problemas Exactitud, integridad y procesamiento oportuno de los trabajos del sistema

TEMA 3 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

Valoración de Riesgos de los Hallazgos Alto: Es cuando los controles son débiles o no existen, situación que compromete el control interno, la seguridad e integridad de la información. Sobre estos riesgos es necesario se actué de inmediato. Moderado: Es cuando los controles no cubren el riesgo en su totalidad debido a que se tienen procedimientos implementados pero son aplicados parcialmente. Bajo: Es cuando el control es fuerte, pero requiere de ciertas recomendaciones para mitigar el riesgo. Las mejoras requeridas no son críticas para el control interno o la seguridad e integridad de la información.

Hallazgo y Recomendaciones

Hallazgo No.1. Sistemas Obsoletos Área Responsable: Tecnología Nivel de Riesgo: Moderado Condición Observamos que hay servidores que siguen utilizando la plataforma Windows server 2003 y los gestores de base de datos SQL server 2000 y 2003 Riesgo e Impacto Se tiene el riesgo de que el Sistema Operativo y los gestores de bases de datos en servidores actuales puedan tener vulnerabilidades y fallas, las cuales ya no son cubiertas por el fabricante, ya que el soporte para Windows server 2003 igual que para SQL server 2003 concluyó en julio de 2015. Recomendación Se debería actualizar el sistema operativo y los gestores de estos servidores, migrando a una versión más reciente.

TEMA 3 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Sandoval Coello 19/01/2020 Nombre: Jenner Noé

Hallazgo No.2. Cámaras de seguridad en Centro de Datos Área Responsable: Tecnología Nivel de Riesgo: Moderado Condición Observamos que dentro del Centro de Datos de la Compañía no hay cámaras de seguridad. Riesgo e Impacto Se tiene el riesgo de no tener evidencia de las actividades realizadas en el Centro de Datos, ya sea por personal interno como externo lo que dificultaría detectar posibles daños a los equipos. Recomendación Se deberá instalar cámara de seguridad en el Centro de Datos de la Compañía.

TEMA 3 – Actividades