FASE DE RESULTADOS – HALLAZGOS DE LA AUDITORIA, TRATAMIENTO DE RIESGOS, CONTROLES ANDRES RENE VARGAS ROBLES Código 1049
Views 100 Downloads 1 File size 710KB
FASE DE RESULTADOS – HALLAZGOS DE LA AUDITORIA, TRATAMIENTO DE RIESGOS, CONTROLES
ANDRES RENE VARGAS ROBLES Código 1049633545
GRUPO No. 90168_5
TUTOR JOSE ALFAIR MORALES
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD) AUDITORIA DE SISTEMAS 2017
INTRODUCCIÓN
Este trabajo es desarrollado con el fin de mostrar los hallazgos de auditoria que tuvimos en el proceso dentro de la empresa que auditamos y además de esto dar el tratamiento y control que se le va a dar a los riesgos que fueron detectados, para posteriormente realizar el respectivo control interno e informático. Se puede evidenciar en este documento todo los objetivos logrados, demostrando así una evidencia que se alcanzó los objetivos sobre las auditorias informáticas, y el control interno dentro de una organización el cual surge por la necesidad de evaluar y satisfacer la eficiencia, eficacia, razonabilidad, oportunidad y confiabilidad en la protección y seguridad de los bienes de una organización.
OBJETIVOS
determinar el tratamiento de los riesgos ejecutar los respectivos planes de auditoria presentar los hallazgos de la auditoria realizar formulario de recomendación y mitigación de riesgos lograr realizar un informe final de auditoria en la empresa que se está trabajando. lograr elaborar el dictamen y el informe final de auditoría. interpretar y aplicar las técnicas el documento de procesos de COBIT
CUADRO DE VULNERABILIDAES-AMENAZAS –RISGOS –CATEGORIA °
R1
Activo Informático
PC Contabilidad
Vulnerabilidad
Software no actualizado
Amenaza
Riesgo
Falta de protección contra virus y malware Ausencia de actualizaciones y de soporte técnico
-Pérdida en la seguridad del almacenamiento de información. -Virus informático
Probabilidad Impacto Baja Media Alta Leve Moderado Catastrófico
X
R2
X PC GERENCIA
No actualización del SO
Disminución del rendimiento, Ransomware
R3
R4
X
PC secretaria Falta de de gerencia contraseña
PC AREAS
R5
PC FINANCIERO
R6
PC SISTEMAS
No hay políticas de gestión del riesgo No hay políticas de seguridad informática
Acceso no autorizado al área
Acceso no autorizado a la información
Inundación
X
Indisponibilidad de base de datos de recurso humano
Perdida de información por rotación, salida de personal
X
Perdida de información total
X
X
x
x
x
Pérdidas económicas Spyware
Ingreso de personas ajenas al área
el sistema de Contabilidad. Perdida y robo de información
X
X
TRATAMIENTO DE RIESGOS
ID. RIESGO R1
DESCRIPCIÓN RIESGO
R2
No están actualizados los sistemas operativos de todos los computadores de la Controlarlo empresa
R3
Perdida, modificación y robo de información por falta de control
R4
Daño en los equipos, indisponibilidad de algún sistema, perdida de información por Transferencia inundación.
R5
Pérdidas económicas el sistema de Contabilidad
La mayoría de los antivirus ya no tiene licencia y no están actualizados
TRATAMIENTO RIESGO Controlarlo
Controlarlo
Aceptarlo
CUADRO DE HALLAGOS
RIESGO
HALLAZGO
Virus informático
Daño en los equipos, indisponibilidad de algún sistema, perdida de información por causa de no tener actualizado el antivirus de todos los computadores de la empresa
Indisponibilidad de base de datos de recurso humano
Los equipos de la empresa en su gran mayoría tienen los sistemas operativos con versiones muy viejas y además de eso desactualizadas
Perdida de información por rotación, salida de personal Perdida de información total
se ha detectado mucha perdida de información debido a el constante cambio de personal y la falta de contraseñas en los equipos
Pérdidas económicas el sistema de Contabilidad.
se puede perder las bases de datos e información por desastres naturales por falta de planes de prevención de riesgos naturales como lo es una inundación se detectó que la empresa puede sufrir ataques de robo de información de tipo financiera ya que es vulnerable a su sistema y puede ser controlado fácil mente por cibercriminales
TIPO DE CONTROL
Preventivo y correctivo
Correctivo
Correctivo
Preventivo
Preventivo y detectivo
SOLUCIONES Realizar una valoración a cada equipo de la empresa para determinar que quipos se encuentran desactualizados y previamente realizar jornadas de actualización de antivirus Realizar actualizaciones de los sistemas operativos de los computadores desactualizados
se debe realizar mayor control con el personal asignado a las diferentes áreas y asignar contraseñas a cada persona encargada de su respectivo equipo. Realizar políticas de prevención del riesgo, y asegurar la empresa
debe contratar personal idóneo y tener políticas de seguridad informática que implementen planes de defensa en caso de ataque y salvaguarden la información financiera
CUADRO DE NIVEL DE MADUREZ Activo Informático
SOLUCIONES
Nivel de Madurez
Software
La mayoría de los antivirus ya La instalación de software debe tener los derechos de autor que Nivel 1 no tiene licencia y no están cumpla con los objetivos específicos en para salvaguardar toda la actualizados documentación e información imprescindible para el dar manejo a las diferentes operaciones. Se debe adquirir un antivirus de pago o Premium que ofrezca las funciones de detención a cualquier objetivo malicioso. Se deben implementar actualización de los sistemas operativos en cada una de las áreas porque es de vital importancia para el buen funcionamiento de nuestro ordenador ya que mejoran las diversas aplicaciones que se ejecutan en el sistema. Se recomienda a los trabajadores asignados a cada equipo que es necesario que les sea asignado un usuario y contraseña para evitar estos incontinentes. Políticas de prevención y riesgos de seguridad.
Nivel 1
Financiero
No están actualizados los sistemas operativos de todos los computadores de la empresa Perdida, modificación y robo de información por falta de control Pérdida parcial o total de equipos Pérdidas económicas el sistema de Contabilidad
Controlar el acceso a personas no autorizadas a la empresa
Nivel 3
R1
R2
R3
R4
R5
Riesgo
Nivel 2
Nivel 2
INFORME FINAL DE AUDITORIA
Cordial saludo Se ha realizado una auditoria al Sistema de información para verificar las posibles vulnerabilidades, riesgos y amenazas que tiene la empresa y poder dar solución a dichos problemas encontrados. Los objetivos fueron enfocados a: Practicar auditoria a Las diferentes áreas de la compañía las cuales manejan los sistemas de información, a procesos que aún no se encuentran sistematizados correctamente. Identificados como fallas críticas para la compañía. Como resultado de dicha auditoria se presenta las conclusiones al respecto.
Hallazgos: -
En cuanto el manejo de antivirus y su actualización no se encontró políticas de seguridad, no definen los procesos y procedimientos para realizar estas funciones, No hay una adecuada administración para que se proteja la información de la empresa
-
En cuanto a la mayoría de los computadores de la compañía no se encuentran actualizados los sistemas operativos de la compañía estos procesos deben ser realizados en conjunto con el encargado del área de sistemas
-
Como se pudo evidenciar el acceso a la información de los computadores de la empresa de cada usuario no hay control debido a que no existen contraseñas que protejan el acceso a personas ajenas a la empresa
-
En cuanto a procedimientos de evacuación y políticas de gestión del riesgo se encontró que no hay planes en prevención y además de eso no se trabaja con los entes encargados para recibir orientación sobre este tema.
-
En cuanto a existencia de políticas de seguridad no se encontraron procedimientos que realicen evaluaciones y revisiones, actualización, requerimientos de seguridad de la información de la empresa
Recomendaciones
En el caso particular de los Antivirus, la actualización es necesaria por el simple hecho de que una de las herramientas que tiene este para impedir o detectar a tiempo el ingreso de virus informáticos es la detección por medio de su base de datos. Las actualizaciones de software realizan muchísimas tareas. Hay actualizaciones del sistema operativo y de programas de software individuales. Estas actualizaciones proporcionan muchas revisiones para el equipo, por ejemplo, agregan funciones nuevas, eliminan funciones desactualizadas, actualizan controladores, proporcionan correcciones de errores y, lo que es aún más importante, reparan vulnerabilidades detectadas. Con respecto a la identificación de personal clave de TI y personal de apoyo se recomienda: Implementar un proceso de capacitación en la coordinación de sistemas para minimizar la dependencia del personal clave en cada uno de los módulos. Realizar rotación del personal, asignar roles, responsables en la coordinación de sistemas y documentarlo. Intercambio de roles y contraseñas periódicamente. Se deben manejar políticas de gestión del riesgo y trabajar con las instituciones allegadas que brinden capacitación a todo el personal. Con respecto a la existencia de planes de seguridad, y administración de usuarios se recomienda: Incluir en el Plan de Seguridad aquellos aspectos que son necesarios y que no se han contemplado. Informar inmediatamente a la Coordinación de Sistemas sobre cambios en el personal de cada dependencia. Diseñar un proceso estándar para desarrollo de políticas de seguridad que contemple aspectos como la administración de usuarios.
CONCLUSIONES
la teoría del estándar COBIT que permite encaminarse a la investigación, a la epistemología que nace a partir preguntas o cuestionamiento, para detectar aquellos hechos que deberá investigarse para poder realizar y aplicar una debida auditoria de sistemas
A través de la realización de los hallazgos de auditoria podemos realizar un tratamiento de riesgos a la empresa auditada Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los objetivos planteados con anterioridad .
Este informe final se realizó para poder satisfacer la necesidad de lograr aprender, captar, aplicar y emprender en los procesos de auditoría interna en una cualquier entidad
REFERENCIAS
Auditoría de seguridad de sistemas de información. (2017, 22 de mayo). Wikipedia, La enciclopedia libre. Fecha de consulta: 04:10, julio 17, 2017 desde https://es.wikipedia.org/w/index.php?title=Auditor%C3%ADa_de_seguridad_de_sistem as_de_informaci%C3%B3n&oldid=99308558.
Falconí, Ó. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas. (Spanish).
Contabilidad
Y
Negocios,
1(2),
16-20.
Extraído
de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
Álvarez, M., & Rivera, Z. (2006). La auditoría como proceso de control: concepto y tipología.
(Spanish).
Ciencias
De
La
Información,
37(2/3),
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf
53-