Trabajo colaborativo _Fase 5
AUDITORIA DE SISTEMAS LIGIA PILAR DAZA RODRIGUEZ MILLER STIWEL CASTELLANO PRADA OMAR CAMILO SANTIAGO GARCÍA. GRUPO 9016
Views 91 Downloads 42 File size 804KB
Recommend stories
- Author / Uploaded
- camilo
Citation preview
AUDITORIA DE SISTEMAS
LIGIA PILAR DAZA RODRIGUEZ MILLER STIWEL CASTELLANO PRADA OMAR CAMILO SANTIAGO GARCÍA. GRUPO 90168_62
GUÍA DE ACTIVIDADES Y RÚBRICA DE EVALUACIÓN FASE 4 – RESULTADOS DE LA AUDITORIA
UNIVERSIDAD ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA. DICIEMBRE 2019.
Auditoria de sistemas
1
INTRODUCCIÓN
En la realización de este trabajo se agrupan todas las fases trabajadas durante el curso de AUDITORIA DE SISTEMAS, en donde aprendemos a hacer una auditoria de una empresa que en este caso la empresa auditada es la de ALKOSTO. Con esto podemos crecer como futuros ingenieros o profesionales en nuestros respectivos campos de acción
Auditoria de sistemas
2
OBJETIVOS
•
Por medio de un sector empresarial, se hace un proceso de Auditoria de sistemas para el beneficio de ella misma y su seguridad
•
El propósito principal de este proceso colaborativo es aprender los conceptos principales de la unidad 1.
•
Se analiza por varios métodos, los fundamentos principales de la auditoria de informática y los sistemas del sector empresarial de Alkosto.
•
Se organiza en grupo un plan de auditoria y se complementa con un programa de auditoria tomando en cuenta las estrategias de COBIT (Objetivos de Control para la información y Tecnologías relacionadas)
•
En propósito de todo esto es descubrir las vulnerabilidades, amenazas y riesgos informáticos que se ven expuestos en sectores empresariales por lo tanto determinar las causas para resolver los errores internos o externos.
•
Como futuros profesionales aprendemos lo importante que es ejecutar una auditoria para el bienestar de un sector empresarial y su seguridad.
•
Se diseñan métodos gráficos o tablas para dar la información más clara y de ese modo dar énfasis a datos de suma importancia.
Auditoria de sistemas
3
•
Detectar vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesto la organización.
•
Implementar el enfoque final de la auditoría realizada en la empresa que se encuentra trabajando (ALKOSTO).
•
Ejecutar un informe completo de auditoria dependiendo del proceso seleccionado.
•
Como estudiantes descubrimos las vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesta la organización empresarial
•
Determinamos las causas que originan los riesgos y buscamos las recomendaciones necesarias para resolver los problemas mediante los hallazgos y las aplicaciones de controles
•
Aprendemos a organizar un informe completo de auditoria dependiendo de cada proceso seleccionado
•
Lograr realizar el enfoque final de la auditoría realizada en la empresa que se encuentra trabajando.
•
Elaborar un dictamen y un informe de auditoría de sistemas.
•
Validar y aprender las técnicas del proceso del CobIT en los sistemas de información.
Auditoria de sistemas
4
PLANEACIÓN DE AUDITORÍA
Enlaces de la fase 5 Compañero Miller Stiwel Castellano Prada. https://www.youtube.com/watch?v=9k6sP96sN3I&feature=youtu.be
Compañero Omar Camilo Santiago García. https://youtu.be/URW8d4a8j_8
Actividades para desarrollar: 1. Cada estudiante propone una empresa para llevar a cabo la auditoria. Estudiante Ligia Pilar Daza Rodríguez Miller Stiwel Castellano Prada Omar Camilo Santiago García.
Empresa Alpina Alkosto Alkosto
2. El grupo selecciona una de las empresas propuestas para realizar la auditoría.
3. El estudiante describe la empresa seleccionada: La estructura organizacional, los cargos y funciones, y los servicios del área informática, los activos y los sistemas informáticos de la empresa. Alkosto S.A es una empresa 100% colombiana y es uno de los líderes de hipermercado, pioneros en implementar esta forma de mercadeo en Colombia. Los Productos que ofrece:
Auditoria de sistemas
5
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Electrodomésticos. Llantas. Hogar y confección. Mercado. Tecnología. Cuentas online. Juguetes. Viajes
Estructura organizacional, cargos y funciones. ✓ Presidente de la empresa: ejercer la representación legal de la empresa, presidir las sesiones de la asamblea y de la junta directiva. ✓ Gerente de operaciones: encargado de la administración de los recursos necesarios para un correcto funcionamiento de una empresa. ✓ Gerente Jurídico: es el encargado de la dirección y supervisión inmediata de toda la actividad del personal de abogados, de las unidades de servicio al usuario en aspectos técnico-jurídicos y sociales. ✓ Gerente Financiero y Gerente Administrativo: Gestionar y supervisar los recursos económicos y financieros de la compañía para poder trabajar con las mejores condiciones de coste, liquidez, rentabilidad y de seguridad, gerente administrativo diseña, instaurar y controlar las estrategias financieras de la empresa. ✓ Director de riesgos: gestiona y desarrolla un proceso integral para evaluar, identificar, vigilar y reducir los riesgos que podrían interferir con los objetivos y metas de la empresa. ✓ Director de Tecnología: puesto importante dentro de una empresa moderna en cuanto a la transformación digital. ✓ Gerente comercial: planifica, organiza, dirige, controlar y coordinar eficientemente el sistema comercial de la empresa, diseñando estrategias que permitan lograr los objetivos y metas empresariales. Servicios del área informática:
Auditoria de sistemas
6
Los servicios del área informática de https://www.alkosto.com/ son: ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Compras online. Servicio al cliente. Venta telefónica. Seguimiento del pedido. Ubicación de tiendas físicas. Carritos de compras. Ayudas y consultas. Envío gratis y rápido en 800 municipios del país. Servicio de compra online y recoger en tienda. Ganar el 50% de la compra. Suscripción para recibir mensajes con promociones. 13 medios diferentes de pagos online. Información de la compañía. Políticas de la empresa
Activos informáticos. ✓ La mercancía de la empresa. (Tecnología, Electrodomésticos, Pines virtuales, Hogar, Viajes, Mercado o alimentos, seguros, deportes, rifas, e instalaciones). ✓ Bienes. (Almacenes, Transportes, Bodegas, Oficinas y Fabricas). Sistemas informáticos. ✓ Software: Pagina web didáctica y redes sociales (Facebook, Twitter y YouTube) ✓ Hardware: Equipos de cómputo o telefonía inteligente para acceder a los medios de comunicación de la empresa ✓ Personal: Tiendas, almacenes, asesoría, ayuda, atención al cliente y oficinas en diferentes puntos de Colombia. ✓ Documentación: Políticas (Políticas de entrega, Política de cambio y devoluciones, Garantías y centros de servicio técnico, Política de privacidad, Términos y condiciones, contrato de compraventa en línea y entidad de protección al consumidor www.sic.gov.co [La superintendencia de Industria y comercio], Todo lo que debes saber sobre TDT y Línea Ética
Auditoria de sistemas
7
4. El grupo elabora el plan de auditoria que incluya: El objetivo de la auditoria, los alcances de la auditoría, la metodología, los recursos para el desarrollo, y el cronograma de actividades. Proceso de prueba
Descripción de la prueba
Adquirir e implementar
Adquirir y Mantener Infraestructura Tecnológica
Entregar y dar Soporte
Administrar la Mesa de Servicio y los Incidentes
Adquirir e implementar
Administrar cambios
Tipo de prueba AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la infraestructura AI3.4 Ambiente de Prueba de Factibilidad DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Análisis de Tendencias AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia
Nombre del auditor
Ligia Pilar Daza Rodríguez
Miller Stiwel Castellano Prada
Omar Camilo Santiago García.
Auditoria de sistemas
8
AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio 5. El grupo consulta en el blog la estructura del estándar CobIT (Dominios, procesos, y los objetivos de control), seleccionan 5 procesos con sus respectivos objetivos de control y actividades de control y elabora el programa de auditoría. Link:http://auditordesistemas.blogspot.com/2011/11/cobit-objetivos-de-control-parala.html 1) 2) 3) 4) 5)
AI3 Adquirir y Mantener Infraestructura Tecnológica DS8 Administrar la Mesa de Servicio y los Incidentes A16 Administrar cambios PO9 Evaluar y Administrar los Riesgos de TI DS5 Garantizar la Seguridad de los Sistemas
Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica El objetivo es proporcionar una página web de Alkosto apropiada para soportar aplicaciones de negocios y comercial mediante la realización de una evaluación del desempeño del software, además, la necesidad de un mantenimiento preventivo de la instalación de la seguridad y control de las herramientas que contiene el sistema web de la empresa, los cuales son los siguientes: Servicios del área informática: https://www.alkosto.com/ ✓ Compras online. ✓ Servicio al cliente. ✓ Venta telefónica. ✓ Seguimiento del pedido. ✓ Ubicación de tiendas físicas. ✓ Carritos de compras. ✓ Ayudas y consultas. ✓ Envío gratis y rápido en 800 municipios del país. ✓ Servicio de compra online y recoger en tienda. ✓ Ganar el 50% de la compra. ✓ Suscripción para recibir mensajes con promociones.
Auditoria de sistemas
9
✓ 13 medios diferentes de pagos online. ✓ Información de la compañía. ✓ Políticas de la empresa Se logra con: ✓ Establecer un plan de orden y planeación sobre la infraestructura en general de la página web didáctica ✓ Planear fechas concretas y lógicas para un mantenimiento preventivo del software que tiene la infraestructura tecnológica ✓ Implementar medidas de control interno, de seguridad y la auditoria Y se mide con: ✓ El promedio de herramientas de la página web que no se comprenden o conectan con la arquitectura de TI definida y los estándares de tecnología establecidos ✓ El total de procesos que forman inconvenientes resultantes al utilizar las herramientas de la infraestructura de la página web ✓ Análisis de herramientas o componentes que no tan utilizados ni necesarios en la arquitectura didáctica de la página we Objetivos. AI3.1 Plan de Adquisición de Infraestructura Tecnológica Crear un plan para lograr, completar y mantener la infraestructura de la página web de Alkosto. Generar satisfacción al cumplimiento que se ha establecido y que esté de acuerdo con las necesidades del público, teniendo en cuenta las extensiones de la capacidad, costos, transición, riesgos o la economía en general. AI3.2 Protección y Disponibilidad del Recurso de Infraestructura Tener disponible un plan con las medidas de control internas de seguridad y arquitectura durante la configuración, uso, integración y mantenimiento del software para proteger recursos, datos o información y garantizar la integridad de que se mantengan seguros y sin amenazas. AI3.3 Mantenimiento de la infraestructura
Auditoria de sistemas
10
Poner en desarrollo un plan con el propósito de programar un mantenimiento y active la garantía de controlar los cambios que genere la arquitectura de la página web. Dentro del plan también es necesario que se programe una revisión periódica con actualizaciones tomando en cuenta las necesidades, riesgos y vulnerabilidades que la página web genere o necesite.
AI3.4 Ambiente de Prueba de Factibilidad Se toma un acuerdo para establecer en concreto un ambiente que desarrolle y haga pruebas para soportar la efectividad y eficiencia de los posibles cambios que se generen, para verificar su funcionabilidad, configuración del software, la integración y excelencia de los datos o información de la página Web. Entregar y dar Soporte - DS8 Administrar la Mesa de Servicio y los Incidentes La función de la Mesa de Ayuda es proveer a los usuarios un punto único de contacto mediante el cual se resuelvan y/o canalicen sus necesidades relativas al uso de recursos y servicios de plataformas tecnológicas, siempre de acuerdo con un estándar adoptado por la empresa. Dentro de los objetivos de una mesa de ayuda se encuentran: ✓ ✓ ✓ ✓
Atender todas las llamadas recibidas. Resolver un alto porcentaje en línea. Seguimiento en línea de los casos derivados. Reducir llamados recurrentes en el tiempo.
Se logra con: Con establecer como punto único de contacto entre el cliente o usuario y el soporte, esto ayuda a que los usuarios no se extravíen en su afán de que su problema sea resuelto y que la calidad del servicio que se brinda se encuentre homologada, claro está cuidando cumplir siempre con los SLA acordados con ellos. La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia. La evaluación, la asignación de prioridad y automatización de cambios. Seguimiento de estatus y reporte de cambios Se mide con: ✓ Tiempos de atención de SLA o nivel de criticidad de la situación ✓ Según su importancia ya sea requerimiento o Incidentes ✓ Tiempo transcurrido entre el fallo y la creación de una incidencia
Auditoria de sistemas
11
Objetivos. DS8.1 Mesa de Servicios La Mesa de Ayuda y Soporte es un equipo de trabajo, punto de contacto entre los usuarios de la empresa y las tecnologías estándares adoptadas por la misma, y cuyo objetivo principal será responder de una manera oportuna, eficiente y con alta calidad a las peticiones que dichos usuarios realicen, en relación con los diversos aspectos de la Tecnología de la Información. DS8.2 Registro de consulta de clientes El primer paso para seguir en la gestión de incidentes es la recepción y registro de estos. Estos pueden proceder de diferentes fuentes, mesa de ayuda, usuarios, gestión de aplicaciones o el soporte técnico. Los registros se pueden clasificar en: ✓ Aceptación del incidente: la mesa de ayuda debe estar en la capacidad de evaluar en primera instancia, si el servicio está incluido en el acuerdo de nivel de servicios del cliente o de lo contrario debe enviarlo a la autoridad competente. ✓ Comprobar que el incidente no ha sido registrado: se debe evitar la duplicidad de registro de incidentes, en caso de que otro usuario informe sobre el mismo. ✓ Asignación de código: se debe asignar un código único a cada incidente el cual lo identificará en todos los procesos internos y en las comunicaciones con los clientes. ✓ Registro inicial: se debe registrar la información necesaria en la base de datos con datos puntuales como la fecha, hora, descripción detallad a del incidente, sistemas, afectados, etc. ✓ Información de soporte: se debe incluir cualquier tipo de información importante para poder brindar una solución al incidente. ✓ Notificación del incidente: en caso de que el incidente pueda afectar a otros usuarios, estos deben ser informados de manera inmediata. ✓ Clasificación: a través de esta actividad se puede compilar la información necesaria para dar solución a un incidente. Este proceso consta de los siguientes pasos: Categorización: se asigna una categoría de acuerdo con el tipo de incidente o del grupo encargado de dar solución a este. Clasificar la importancia del incidente teniendo como base el impacto que ocasione y la urgencia de su resolución. Asignar unos recursos en caso de que la mesa de servicio no logre dar solución al incidente en primera instancia.
Auditoria de sistemas
12
DS8.3 Escalamiento de Incidentes. La Dependencia debe tener establecido un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia. Se pueden establecer dos tipos distintos de escalado: ✓ Escalado funcional: consiste en el apoyo que brinda un especialista del más alto nivel para dar solución al problema. ✓ Escalado jerárquico: en este tipo el apoyo lo brinda un responsable de mayor autoridad para tomar una decisión que no posee el funcionario de primera instancia, en este caso se puede presentar que se debe asignar más recursos para dar solución al incidente DS8.4 Cierre de Incidentes Se debe hacer un seguimiento a través de un reporte de las solicitudes de cambio, de solución y autorización. DS8.5 Análisis de Tendencias Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.
Adquirir e implementar - A16 Administrar cambios Para realizar algún cambio bien sea de software, de hardware de comunicaciones o de servidores, debe existir un proceso que administre formal y controladamente dichos cambios, cada cambio debe seguir un proceso de recepción, evaluación, prioridad y autorización previo a la implantación, sin obviar la constatación o revisión después del cambio, esto con el fin de reducir riesgos que impacten negativamente la estabilidad o integridad del ambiente del buen funcionamiento de las comunicaciones y servidores. Objetivos. AI6.1 Estándares y Procedimientos para Cambios.
Auditoria de sistemas
13
Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos parámetros de sistema y servicio y las plataformas fundamentales. AI6.2 Evaluación de Impacto, Priorización y Autorización. Garantizar que todas las solicitudes de cambio se evalúan de una estructura manera en cuanto a impactos en el sistema operacional funcional. Esta evaluación deberá incluir categorizaciones y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios. AI6.3 Cambios de Emergencia. La Dependencia debe tener establecido un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia. AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a través de un reporte de las solicitudes de cambio, de solución y autorización. AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para garantizar la implantación completa de los cambios.
6. El líder del grupo asigna un proceso a cada integrante del grupo para trabajar la auditoría.
Estudiante Ligia Pilar Daza Rodríguez Miller Stiwel Castellano Prada Omar Camilo Santiago García.
Proceso AI3 Adquirir y Mantener Infraestructura Tecnológica DS8 Administrar la Mesa de Servicio y los Incidentes A16 Administrar cambios
Auditoria de sistemas
14
EJECUCIÓN AUDITORIA Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica. Actividades para desarrollar: 1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado. Hardware. Equipos de cómputo, monitores, videocámaras, Reuters, Wifi, teléfonos, sensores, escáneres, impresores, cableado estructurado, ventiladores, teléfonos, elementos de megafonía, estabilizadores de corriente, etc. Software. Sistemas operativos, programas, y Aplicaciones Cuestionario para verificar el estado de la infraestructura tecnológica. Objetivo. Descubrir si la infraestructura tecnológica de la empresa funciona de la manera correcta por medio de sus empleados. Empresa Nombre completo Sector Cargo Fecha Teléfono Marque con una (x) las respuestas que desea seleccionar. 1. ¿Cuáles son los implementos físicos que tienes en tu sector de trabajo? Selecciona más de una opción si es necesario. a) Equipo de computo b) Impresora c) Escáner
Auditoria de sistemas
15
d) e) f) g) h) i)
Reuter Ethernet Reuter Inalámbrico Teléfonos fijos Ventiladores o aire acondicionado Elementos de megafonía Otro, ¿Cuál?
2. ¿Cuáles son los implementos lógicos que utilizas en tu sector trabajo? Selecciona más de una opción si es necesario. a) b) c) d) e)
Sistemas operativos telefónicos Sistemas operativos de equipos de computo Aplicaciones Programas Otro, ¿Cuál?
3. Si tienes un equipo de cómputo a tu disposición para hacer tus actividades laborales, ¿Logras hacer los procesos con rapidez? a) No b) Si c) ¿Por qué? 4. En tu zona de trabajo el cableado físico del internet, ¿Cómo se manifiesta? a) Organizado, limpio y perfecto b) Sucio, desorganizado y en mal estado 5. Cuando utilizas el internet por medio de un equipo de cómputo para hacer tus actividades laborales, ¿Cómo funciona? a) Eficaz, rápido y agradable b) Es muy lento, genera estrés y se cae muchas veces la señal c) Funciona bien, pero es un poco lento 6. Al utilizar la impresora de tu sector de trabajo, ¿Has tenido algunos de estos problemas? Marca más de una vez si es necesario. a) Se atasca el papel
Auditoria de sistemas
16
b) c) d) e) f) g)
Macha la impresión con tinta La tinta de la impresión sale casi invisible La impresión se demora en salir Se bloquea cada rato Se apaga o se enciende desprevenidamente Ninguno, funciona bien
7. Cuando utilizas un programa, por ejemplo, un editor de documentos, ¿Cómo funciona? a) b) c) d)
Es lento, se demora para reaccionar y a veces no abre el programa Algunos programas son estables, pero otros son muy lentos para usarlos Se atascan mucho, incluso bloquean el equipo de cómputo y toca apagarlo Todos funcionan de manera correcta
8. Cuando utilizas los ventiladores o el aire acondicionado, ¿Cuál es su estado? a) b) c) d)
No tenemos en la empresa No funcionan Se utilizan, pero se encuentran muy sucios o en el mal estado Todo funciona de manera correcta
9. ¿Los elementos de megafonía están en buen estado? a) b) c) d)
No Si ¿Por qué? No tenemos elementos de megafonía, porque no son necesarios
10. Para guardar tus documentos, archivos y multimedia, ¿Lo guardas en…? a) b) c) d) e)
En el equipo de cómputo de la empresa En mi propia memoria USB o disco duro extraíble En un almacenamiento online No guardo nada porque no es necesario en mi sector de trabajo ¿Por qué?
11. Cuando guardas tus documentos, archivos y multimedia, ¿Utilizas copias de seguridad y contraseñas?
Auditoria de sistemas
17
a) b) c) d)
Si No Solo utilizo una contraseña Solo utilizo una copia de seguridad
12. ¿El equipo de trabajo que utilizas en tu zona de trabajo tiene programas de seguridad y prevención de virus? a) No tengo idea, no me fijo en eso b) Si, detallo la buena seguridad que tienen c) No tienen ningún programa para eso 13. ¿En su zona de trabajo se ha acercado un personal destinado para hacer mantenimientos preventivos a los implementos tecnológicos? a) Si b) No c) Al parecer no es importante, porque nunca se han acercado a revisar 14. Cuándo surge un error o daño en la infraestructura tecnológica, ¿Qué hace la empresa? a) Nada, la empresa lo ignora y si es posible lo desechan para no ser utilizado b) En urgencia, viene un personal destinado para arreglar el error o daño c) Se arregla, pero después de meses se solicitudes o quejas d) Nunca pasa nada, porque siempre viene un personal destinado para hacer mantenimiento preventivo a todos los implementos tecnológicos en fechas concretas 15. Para finalizar el cuestionario, me gustaría saber si se encuentra satisfecho con los implementos tecnológicos que tienen la empresa. a) Si b) No c) ¿Por qué? Gracias por participar en la encuesta, será de mucha ayuda para la empresa. Entrevista a un Gerente de Seguridad informática o Gerente de Tecnología de Información.
Auditoria de sistemas
18
Objetivo. Descubrir por medio de una serie de preguntas el estado de la infraestructura tecnológica de la empresa y como se interesan por su bienestar. Estrategias para obtener una perfecta entrevista. ✓ Investigar a la persona, en este caso averiguar ¿Quién es el gerente que controla el área de la infraestructura? ✓ Tener en claro el objetivo de la entrevista, en esta ocasión es descubrir el estado de la tecnología de la empresa ✓ Preparar las preguntas. Tener en cuenta preguntas abiertas, cerradas y flexibles para que la persona se sienta cómoda. ✓ Buscar el tema principal: La seguridad informática de la infraestructura tecnológica ✓ Ya en la entrevista debemos: Presentarnos, prestar atención, escucharlo, hablar con respeto y ser amables. Preguntas. 1. ¿Qué es un ataque, amenaza o riesgo informático? 2. ¿Cuáles serían las estrategias más importantes para la seguridad informática? 3. Nos podría comentar ¿Cuáles son los riesgos, amenazas o vulnerabilidades más comunes para una infraestructura tecnológica? 4. Además de las estrategias que utiliza en la seguridad informática, ¿Tiene algunas técnicas personales que utiliza en la empresa para prevenir errores en tecnología que usted controla? 5. De la larga lista de la tecnología que usa esta empresa, ¿Cuál es la que tiene más vulnerabilidad? 6. ¿Cree usted como gerente que es importante las capacitaciones de seguridad informática o tecnológica para sus empleados? 7. Me imagino que tiene una larga experiencia sobre los peligros que genera una tecnológica que se encuentra indefensa, ¿Cuáles son sus consecuencias? 8. ¿Ha tenido que vivir personalmente algún ataque informático? 9. ¿Es importante para usted tener un cronograma para hacer mantenimientos preventivos a la infraestructura tecnológica? 10. Para finalizar, ¿Nos diría cuales son las funciones principales para un gerente de seguridad informática (o un gerente de tecnología de información)? 2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información. Cuestionario para verificar el estado de la infraestructura tecnológica.
Auditoria de sistemas
19
Objetivo. Descubrir si la infraestructura tecnológica de la empresa funciona de la manera correcta por medio de sus empleados. Prueba. Ficha técnica para revisión de los implementos tecnológicos, formato para mantenimientos de equipos de cómputo/Telecomunicaciones y cronograma para la revisión y cumplimiento del mantenimiento. Objetivo de prueba. Para confirmar si existen daños o peligros en los implementos tecnológicos y estar alerta para prevenir peligros y si suceden actuar de manera rápida para solucionarlos. Ficha técnica de un producto tecnológico. Ficha técnica del producto Nombre del producto. Estado de producto. Referencia. Fecha de adquisición. Serial/Modelo. Tiempo de utilidad. Características técnicas. Información adicional. Formato para mantenimientos de equipos de cómputo y Telecomunicaciones. Nombre completo Sector Cargo Teléfono Correo electrónico Serie del producto Fecha/Hora No.
Mantenimiento preventivo de hardware Elemento físico Actividad realizada
Completado
Mantenimiento preventivo de software
Auditoria de sistemas
20
No.
Elemento físico
Actividad realizada
Completado
Cronograma. No.
Sector
Actividad.
Encargado.
Duración.
1
Semana1 2 3 4
5
Entrevista a un Gerente de Seguridad informática o Gerente de Tecnología de Información. Objetivo. Descubrir por medio de una serie de preguntas el estado de la infraestructura tecnológica de la empresa y como se interesan por su bienestar. Prueba. Comprobar por medio de los empleados, que la infraestructura tecnológica de la zona de trabajo funciona de la manera correcta, por medio de: Formatos de quejas y sugerencias. Objetivo de prueba. Confirmar si existen inconvenientes en la tecnología que tiene la empresa de ese modo, encontrar soluciones satisfactorias para que el entorno o el ambiente empresarial sea seguro. Formato quejas y sugerencias. Marque con una (X) el tipo de solicitud. Petición
Queja
Reclamo
Sugerencia
Nombre completo Teléfono Correo electrónico Sector Cargo
Auditoria de sistemas
21
Fecha/Hora Describa su solicitud con detalles
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado. Posibles fallos o peligros que pueden surgir en una empresa, al descubrir y confirmar que existen, por medio de la recolección de datos y pruebas. Ejemplo: Tipo
Hardware
Software
Vulnerabilidades Amenazas Riegos ✓ Diseños en mal estado ✓ Errores de fabricación ✓ Apagones y bajos voltajes ✓ Desgaste ✓ Descuido e irresponsabilidad ✓ Robo de archivos, documentos o multimedia privada ✓ Ambiente húmedo o árido ✓ Cableado dañado ✓ Errores de utilidad ✓ Cableado eléctrico en mal estado ✓ Vandalismo ✓ Elementos mal ubicados ✓ Impresiones en mal estado ✓ Virus ✓ Registrador para obtener contraseñas ✓ Programas maliciosos ✓ Robo de datos personales ✓ Robo de archivos, documentos y multimedia ✓ Atascos ✓ Lentitud ✓ Tráfico pesado en el internet
Auditoria de sistemas
22
✓ ✓ ✓ ✓ ✓ ✓
Interrupciones por publicidad Irresponsabilidad de información privada Descuido Configuración mal diseñada Desconfiguración de procesos solicitados Programas de gran capacidad no abren o se demoran
Entregar y dar soporte – DS8 Administrar la mesa de servicio y los incidentes Actividades para desarrollar: 4. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado.
Hardware. Equipos de cómputo. Software. Sistemas operativos, programas, y Aplicación de SharePoint Mesa de servicio Alkosto . Vista solicitud servicios TI.
Ilustración 1 – Módulo de solitud (servicios ti) Categorización: ✓ Servicios TI
Auditoria de sistemas
23
ITEM: ✓ Reporta tu incidente
Ilustración 2 – Cuadro de solicitud Alkosto Cuestionario con relación a la mesa de ayuda. Objetivo. Satisfacción al servicio según información de la mesa de ayuda. Escala de satisfacción Insatisfecho Aceptable Satisfecho Muy satisfecho Información sobre los recursos de la mesa de ayuda |¿Ha recibido la información que necesitaba de la mesa de ayuda? ¿Le ha llegado a tiempo para atender su solicitud? ¿La información ha sido clara?
Valor 1 2 3 4 Si
No
Cuestionario de opinión “Queremos mejorar nuestro servicio de información: Necesitamos conocer su opinión sobre el servicio. Este es el punto de partida para mejorarlo. Por favor, responda de forma sincera, según su apreciación y experiencia. Una vez cumplimentado, deposítelo en la bandeja que indica “Cuestionario de Opinión”. El propio servicio se encarga de su tratamiento y análisis.” Indique su nivel de satisfacción recibida sobre los recursos de la mesa de ayuda Escala de satisfacción Valor Auditoria de sistemas
24
Insatisfecho Aceptable Satisfecho Muy satisfecho
1 2 3 4
Información sobre los recursos ¿Cuáles son los cambios o mejoras que, en su opinión, debería incorporar los servicios de la mesa de ayuda? Respuesta:
5. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información. Cuestionario para verificar el estado del servicio hacia los incidentes en la mesa de ayuda. Objetivo. Descubrir el nivel de claridad al utilizar las herramientas de información al ingresar a la plataforma de servicio de la mesa de ayuda. Prueba. índice el grado de importancia que tienen para usted los siguientes aspectos con relación a la mesa de ayuda Objetivo de prueba. Determinar el nivel de satisfacción y uso de la plataforma al gestionar los servicios de TI ante la mesa de ayuda Lista de verificación. Indique el grado de importancia que tienen para usted los siguientes aspectos con relación a la mesa de ayuda Nada importante Muy importante Argumento 1 2 3 4 5 La cantidad de la información recibida La claridad de la información La utilidad de la información La claridad de acceso a la información “Si tuviera que poner una nota global al servicio de información de la mesa de ayuda sobre ¿qué puntuación le daría?
Auditoria de sistemas
25
6. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado. Posibles fallos o peligros que pueden surgir en una empresa, al descubrir y confirmar que existen, por medio de la recolección de datos y pruebas Ejemplo: Análisis del Impacto y Riesgo al Negocio ✓ Objetivo Procesal: Cuantificar el impacto de la pérdida de servicios y activos en una empresa y determinar la probabilidad de una amenaza o la vulnerabilidad ante la misma. El resultado de este proceso es el Registro de Riesgos, una lista de riesgos que deben atenderse según su prioridad. Evaluación de Mitigación de Riesgo Requerida ✓ Objetivo Procesal: Determinar dónde se necesitan medidas de mitigación de riesgo e identificar a los responsables del Riesgo, quienes están a cargo de la implementación y el mantenimiento continuo. Monitorización de Riesgo ✓ Objetivo Procesal: Monitorear el progreso de la implementación de contramedidas, y tomar acción correctiva de ser necesario. Adquirir e implementar – A16 Administrar cambios Actividades para desarrollar: 7. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado. Software: Aplicaciones y servicio web “Plataforma virtual” Hardware: Equipos de cómputo. Cuestionario para verificar cambios.
Auditoria de sistemas
26
Objetivo: Evaluar la infraestructura tecnología virtual y de infraestructura física que tiene la empresa ALKOSTO, de manera correcta después de administrar cambio.
ADMINISTRAR CAMBIOS Nombre de la empresa. Nombres completos. Sector. Cargo. Fecha de realización del cuestionario. Número telefónico o celular
Firma de la persona quien realizo el cuestionario: A continuación, se realizará una pequeña encuesta donde se debe marcar con una x en las dos opciones de respuesta Si o No PREGUNTAS ¿Considera que la empresa Alkosto cuenta con una buena plataforma virtual de ventas? ¿Considera que la infraestructura física más específicamente la parte de equipos de cómputo es la adecuada para la realización del trabajo con rapidez? ¿Considera que la página web de la empresa es responsable, es decir tiene fácil adaptabilidad a equipos móviles?
Si
No
¿Piensa que la empresa debería realizar una mejor plataforma virtual para sus clientes y empleados? ¿La organización física y logística de la empresa es la adecuada?
8. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información. Cuestionario de nivel de satisfacción de los clientes con la parte de infraestructura física y virtual.
Auditoria de sistemas
27
Objetivo: identificar el nivel de agrado que tiene la empresa ALKOSTO, en la parte física y virtual. Prueba: Índice de satisfacción que tienen el cliente en cuanto la administración de cambios que se debería realizar en la empresa. Tipo de prueba: lista de chequeo. Indique el nivel de satisfacción que tiene usted con la empresa Alkosto en cuanto los aspectos que se debería cambiar tanto en la parte física como en la virtual Nada importante
Muy importante
PREGUNTA 1
2
3
4
5
¿Si está conforme con la organización física de la empresa? ¿ La organización de la página web es clara? ¿Las opciones de pago en línea son suficientes y seguras para usted? ¿La página web es multiplataformas? Califique de 1 a 5 en donde 1 y 2 es bajo, 3 – 4 es medio y 5 alta cómo calificaría el desempeño de la página web de la empresa
9. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado. Teniendo en cuenta que el proceso evaluado es la administración de cambios las posibles vulnerabilidades, amenazas y riesgos que se pueden detectar en el proceso seria: Tipo
Vulnerabilidades
Amenazas
Riesgos
Auditoria de sistemas
28
•
• • •
Página web
• • • • •
Metadatos. Configuraciones débiles. Comunicación insegura entre clientes y servidor. Software desactualizado. Cross Site Scripting (XSS). XSS. Cross Site Request/Reference Forgery (CSRF).
•
• •
SQL Injecion. BooleanBase SQL Injecion. Stack Queries
•
•
•
• • • Almacenes Alkosto “Físico”
• •
Infraestructura en mal estado. Conexiones a internet viejas. Conexiones eléctricas en mal estado. Mala organización de los productos.
•
•
Perdida de la imagen de la empresa en cuanto la parte física de ella. Cortos del flujo continuo de internet. Cortos del flujo
•
•
•
Mal funcionamiento de la página web. Lenguajes de programación antiguos y obsoletos. Robo de sesiones y robo de datos personales. Posibles modificaciones de código fuente para robar información tanto de la empresa como del cliente. Archivos basura que saturen la base de datos Posibles daños físicos tanto de la infraestructura como hacia los clientes. Perdida de información en la base de datos o al momento de realizar algún pago. Desorden de
Auditoria de sistemas
29
de corriente
los productos implicando que el cliente no encuentre con facilidad lo que busca.
Trabajo colaborativo. 10. Realizar el análisis y evaluación de riesgos para cada proceso asignado. Impacto. • • • • •
Sin importancia (1) Bajo (2) Moderado (3) Alto (4) Desastre (5)
Probabilidad. • • • • • No.
Inusual (1) Improbable (2) Posible (3) Probable (4) Casi certero (5) Descripción
Impacto
Probabilidad
Perdida de información de archivos, datos, multimedia y documentos privados
5
3
2
Inadecuada capacidad de almacenamiento
3
3
3
Fallas en las redes de internet, con tráfico pesado o lentitud
4
5
4
3
1
4
Mal funcionamiento de programas y aplicaciones, poniendo en atraso las actividades laborales
Auditoria de sistemas
30
5
Fallas en el sistema eléctrico creando consecuencias apagones o voltajes bajos, formando daños en los implementos físicos
5
2
6
Virus o programas maliciosos
5
3
7
Incumplimiento del cronograma para hacer mantenimientos preventivos lógicos o físicos
4
1
Configuración mal diseñada, creando procesos complejos y sin sentido
3
1
4
2
4
3
Alto (4) R7 R9
Desastre (5) R5
R4, R10
R1, R6
8 9
10
Descuido al utilizar los implementos tecnológicos, sin cuidado o seguridad haciendo que poco a poco se deteriore Desactualización del elementos físicos o lógicos
11. Elaborar la matriz de riesgos de cada proceso evaluado. Matriz de Riesgos Impacto
Probabilidad Sin importancia (1) Bajo (2) Inusual (1) Improbable (2) Posible (3) Probable (4) Casi Certero (5)
Moderado (3) R8 R2
R3
12. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado
Bajo
Zona de riesgo bajo
Aceptar riesgo
Moderado
Zona de riesgo moderado
Disminuir riesgo
Auditoria de sistemas
31
Alto
Zona de riesgo Alto
Evitar riesgo
Critico
Zona de riesgo critico
Aceptar, disminuir, evitar y eliminar riesgo
RESULTADOS DE LA AUDITORÍA Teniendo en cuenta el cuadro de tratamiento de riesgos de cada proceso evaluado, cada estudiante deberá: Adquirir e implementar - AI3 Adquirir y Mantener Infraestructura Tecnológica Actividades para desarrollar: 13. Elaborar el formato de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo o ejercer control. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 1 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Pérdida o robo de información de archivos, datos, Objetivo de control multimedia y documentos privados Riesgos Asociados R1 Descripción El robo de información de una empresa desde información personal, confidencial y hasta secretos industriales tiene graves consecuencias tanto legales como de reputación, que pudieran traer consigo diversas sanciones económicas, la responsabilidad penal para la empresa y la quiebra de la empresa. Recomendaciones • Utilice un firewall. Este servidor le permitirá proteger sus equipos contra amenazas que puedan poner en riesgo su información, bloquear los equipos, o incluso robar sus contraseñas o datos sensibles. •
Actualice constantemente sistemas operativos, aplicaciones y software (incluido el antivirus). La mayoría de los incidentes de seguridad tiene como origen una falta de actualización o parche de seguridad que sirve como agujero de entrada al ciberdelincuente.
Auditoria de sistemas
32
•
Realice copias periódicas de seguridad de la información. Este proceso debe ser constante y acompañado de una definición concreta de los procedimientos de restauración de la información en caso de ataque.
•
Establezca políticas de seguridad. Es preciso que les enseñe a sus empleados a hacer un buen uso de los recursos tecnológicos y a reconocer posibles correos corporativos falsos, al igual que otras amenazas. Causa El gerente de seguridad informática y su equipo técnico no hacen las prevenciones y estrategias necesarias para evitar amenazas de la delincuencia cibernética que pone en peligro los datos de la empresa. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en posible, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 2 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Objetivo de control Inadecuada capacidad de almacenamiento Riesgos Asociados R2 Descripción En la empresa, cada día que vaya pasando, los datos irán creciendo ya que la información se presenta de muchas maneras, desde documentos de textos, bases de datos de clientes, mensajes de correo electrónico, fotos, presentaciones, archivos de sonido, archivos de video que pueden ser enormes, etc. Por eso es necesario tener alternativas de almacenamientos para que los equipos de cómputo no formen problemas de lentitud, atascos o errores para guardar un dato. Recomendaciones • Disco duro externo: Estas unidades suelen ser usadas por las pequeñas empresas para almacenar datos adicionales de vez en cuando. •
Unidades Flash: Se utilizan comúnmente como dispositivos de almacenamiento portátil. Estos dispositivos no deben ser considerados unidades de almacenamiento para respaldo, sencillamente su mayor uso es para copiar archivos que luego podrás acceder en otro dispositivo dentro o fuera de la empresa.
•
Soluciones en línea: Otra opción es utilizar un servicio de almacenamiento en línea, con esta modalidad los datos se almacenan en un servidor remoto. Por lo general
Auditoria de sistemas
33
estos servicios cifran los datos para así garantizar la seguridad durante el transporte y almacenamiento. Inclusive algunos servicios ofrecen la posibilidad de usar este tipo de almacenamiento para copias de seguridad. •
Servidores de almacenamiento: una tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un computador/ordenador con computadoras personales o servidores clientes a través de una red, haciendo uso de un sistema operativo optimizado para dar acceso a ciertos protocolos informáticos. Causa El gerente principal no permite que el gerente de tecnologías de información y su equipo técnico, elabore un sistema avanzado, con tecnologías mejoradas para el almacenamiento necesario para toda la empresa. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en posible, y en cuanto al impacto es moderado. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 3 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Fallas en las redes de internet, con tráfico pesado o Objetivo de control lentitud Riesgos Asociados R3 Descripción A menudo los problemas de conectividad provienen de componentes dañados, a causa de un clima adverso o por simples errores de configuración. Una vez que su red esté conectada a Internet o abierta al público en general, aparecerán una gran cantidad de amenazas provenientes de los mismos usuarios, lo que genera problemas con la velocidad y en ocasiones la caída de sus sistemas. Estos problemas están vinculados con el mal funcionamiento de sus redes internas provocadas por una mala instalación. Recomendaciones • Verificar la conexión: Que el cableado esté en buenas condiciones, que transmita sin problemas y hacer pruebas en la continuidad de atenuación y la impedancia. • Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos que puedan afectar al rendimiento. • Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los Reuters funcionen correctamente. • Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de trabajo.
Auditoria de sistemas
34
•
Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para ello herramientas como “Network inspector”. • Observar si en la red hay servicios o protocolos innecesarios que puedan estar generando tráfico en la red y por lo tanto colapsando las comunicaciones. • Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas funcionan correctamente y que todos tienen acceso a ellos. Causa El jefe de tecnologías de información y su equipo no hacen el mantenimiento necesario en los equipos físicos que proveen el internet y además no hicieron una configuración correcta de la red para su funcionamiento. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en casi certero, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 4 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Mal funcionamiento de programas y aplicaciones, Objetivo de control poniendo en atraso las actividades laborales Riesgos Asociados R4 Descripción Los programas son conjuntos de instrucciones que le dicen al computador qué debe hacer, le da al computador las instrucciones para que realice tareas específicas. Sin los programas, el computador es una máquina inútil. Por esa razón, las empresas deben controlar que los programas de los equipos de cómputo funcionen de manera correcta o todas las actividades laborales obtendrían consecuencias graves, como impuntualidad o procesos en mal estado. Recomendaciones • Libere memoria RAM cerrando otros programas abiertos. • Reinicie el software. • Apague y reinicie su computadora. • Desinstale el software y vuelva a instalarlo. • Escanee para detectar virus o programas malignos. • Revise posibles conflictos con el firewall. • Desfragmente su disco duro. • Actualice los programas y aplicaciones. Causa
Auditoria de sistemas
35
El jefe de tecnologías de información y su equipo técnico no hacen el proceso de mantenimiento preventivo para el software de los equipos provocando consecuencias para los procesos que necesiten los empleados de la empresa, incluso sus usuarios. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es posible, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 5 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Fallas en el sistema eléctrico creando consecuencias Objetivo de control apagones o voltajes bajos, formando daños en los implementos físicos Riesgos Asociados R5 Descripción Inicialmente algunos sistemas eléctricos de potencia de complejos industriales o sea para empresas fueron diseñados para operar de manera aislada. Sin embargo, con el incremento en la demanda de carga, y la necesidad de asegurar la continuidad de sus operaciones, se interconectaron con la red pública, eso genero ventajas, pero al mismo tiempo consecuencias, por ejemplo, efectos que han contribuido a la presencia de fallas y por consiguiente a la reducción de la vida útil de los equipos instalados. Recomendaciones El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones rutinarias, pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el peligro de muertes; además, minimiza costosos parones no programados y tiempos caídos de las actividades laborales. Causa El jefe de tecnologías de información y su equipo técnico en electricidad no generan el mantenimiento profesional y correcto a los implementos físicos de los equipos de cómputo. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es improbable, y en cuanto al impacto es un desastre.
Auditoria de sistemas
36
Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 6 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Objetivo de control Virus o programas maliciosos Riesgos Asociados R6 Descripción El software malicioso, también conocido como programas maliciosos contiene virus, spyware y otros programas indeseados que se instalan en su computadora, teléfono o aparato móvil sin su consentimiento. Estos programas pueden colapsar el funcionamiento de su aparato y se pueden utilizar para monitorear y controlar su actividad en internet. Además, con estos programas su computadora puede quedar expuesta al ataque de virus y enviar anuncios indeseados o inapropiados. Los delincuentes usan programas maliciosos para robar información personal, enviar spam y cometer fraude. Recomendaciones • Instale un programa de seguridad y manténgalo actualizado, y también use un firewall. Configure su software de seguridad, el navegador de internet y el sistema operativo para que se actualicen automáticamente. • No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene las funciones de seguridad predeterminadas de su navegador puede minimizar las descargas “drive-by” o empaquetadas. • Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores tienen incorporada una función de escaneo de seguridad que le mostrará un mensaje de advertencia antes de visitar una página web infectada o de descargar un archivo malicioso. • En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio web confiable en la barra de su navegador. Los delincuentes envían emails que parecen enviados por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos, pero al hacer clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a un sitio web fraudulento. • No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué se trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen enviados por amigos o familiares – puede instalar programas maliciosos en su computadora. • Descargue programas reconocidos directamente desde el sitio del proveedor original. Es más probable que los sitios que ofrecen descargas gratuitas de varios navegadores diferentes, lectores de documentos PDF y otros programas populares incluyan software malicioso. • Cuando instale un software nuevo lea la información que aparece en cada pantalla. Si no reconoce un programa o le aparece un mensaje que le indica que instale otro Auditoria de sistemas
37
software “empaquetado”, decline la instalación del programa adicional o salga del proceso de instalación. • No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información sobre el rendimiento de su computadora. Los estafadores insertan programas maliciosos en carteles de anuncios que lucen legítimos, especialmente en los anuncios que hacen referencia al funcionamiento de su computadora. Si no conoce la fuente de esos anuncios, evite hacer clic. • Escanee las unidades de memoria USB y demás dispositivos externos antes de usarlos. Estos dispositivos pueden estar infectados con software malicioso, especialmente si los usa en lugares muy concurridos, como kioscos de impresión de fotografías o computadoras de uso público. • Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de todos los datos importantes para usted, como declaraciones de impuestos, fotos o demás documentos esenciales, que quiera conservar en caso de que su computadora deje de funcionar. Causa Descuido por no hacer el mantenimiento preventivo en el software por el jefe de tecnologías de información y su equipo técnico. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es posible, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 7 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Incumplimiento del cronograma para hacer Objetivo de control mantenimientos preventivos lógicos o físicos Riesgos Asociados R7 Descripción Una acción preventiva es una operación, o conjunto de operaciones encaminadas a prolongar la vida útil de los aparatos y/o instalaciones con el objetivo de evitar la interrupción de las actividades laborales por acontecimientos imprevistos. Por eso es muy importante cumplir con el cronograma que organice la empresa para hacer el mantenimiento preventivo, con la finalidad de mejorar la eficiencia y productividad de la empresa. Cuando no se tiene disciplina con el cronograma, claramente los implementos tecnológicos pueden ser un obstáculo en el futuro de la empresa. Recomendaciones
Auditoria de sistemas
38
• • • •
• • • •
Determinar metas y objetivos: El primer paso a realizar cuando se crea un plan de mantenimiento preventivo es determinar exactamente qué se quiere obtener del mismo. Establecer un presupuesto: para realizar el mantenimiento preventivo de los activos de la empresa se realiza teniendo en cuenta la frecuencia recomendada por el fabricante, costes de mantenimientos, fechas de revisión, etc. Maquinaria y equipo por incluir: Realizar un inventario de los equipos existentes. Es importante tener una ficha detallada por cada uno de los equipos/máquinas que puedan ser objeto de mantenimiento. Revisar los mantenimientos previos realizados: Si se ha realizado algún mantenimiento sobre los equipos, es importante revisarlos antes de empezar a planificar, ya que nos ayudará saber qué sistemas, equipos, responsables y repuestos se han utilizado, y por supuesto, en qué fecha se hicieron. Consultar los manuales de los equipos: Es necesario conocer las especificación y recomendaciones de los fabricantes, así como los plazos de garantía. Obligaciones legales: Tener en cuenta las leyes gubernamentales dependiendo del país. Designar a los responsables: Elegir personal calificado y profesional en el tema, como un Ingeniero de sistemas y su equipo técnico. Escoger el tipo de mantenimiento a realizar y planificarlo: Organizarlo en el cronograma.
Causa El jefe de seguridad informática y/o el jefe de tecnología de información no cumplen con el cronograma de mantenimientos preventivos, ni siquiera se toman la tarea de revisas o hacer un cronograma correcto para la empresa. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es inusual , y en cuanto al impacto es Alto. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 8 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Configuración mal diseñada, creando procesos Objetivo de control complejos y sin sentido Riesgos Asociados R8 Descripción
Auditoria de sistemas
39
La configuración tecnológica requiere analizar la forma en la que la tecnología ha interactuado con los procesos de innovación, fabricación, transformación para los procesos laborales que requiere la empresa, pero los avances de la tecnología o las actualizaciones que requieren generan nuevas configuraciones, y la empresa debe tener en cuenta en implementar esa configuración correcta para el funcionamiento correcto de todos los implementos tecnológicos. Recomendaciones Mantenimiento de la tecnología por el jefe de tecnología de información y su equipo técnico, o un Ingeniero de sistemas. Al dar el mantenimiento a los recursos tecnológicos es importante estar consciente de mantener al día lo siguiente, para que la empresa no genere errores en el futuro: • Protección antivirus • Actualizaciones de software. • Actualizaciones de navegador. • Si la organización tiene un crecimiento alto, aumentar el ancho de banda y el número de puntos de acceso para obtener mejor tráfico de la red de internet o de las impresoras. Causa El jefe de tecnología de información y su equipo técnico no le prestan la atención debida a los equipos que requieran configuraciones nuevas para proveer las herramientas necesarias para los empleados y ellos pueden usarlas sin ningún problema. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es inusual , y en cuanto al impacto es Moderado. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 9 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Descuido al utilizar los implementos tecnológicos, sin Objetivo de control cuidado o seguridad haciendo que poco a poco se deteriore. Riesgos Asociados R9 Descripción Cuando la empresa adquiere un producto o servicio tecnológico, ya sea hardware o software, busca mejorar su infraestructura, su negocio y el servicio al cliente pero los empleados, incluso los mismos clientes pueden utilizar esos implementos tecnológicos para cosas no seguras, no aptas para el trabajo, incluso llegan a maltratar o dañar los implementos, por ejemplo: Malgastar el papel de la impresora, acabando con la tinta,
Auditoria de sistemas
40
utilizando el internet para ver cosas inmorales o violentas, rallar o manchar las superficies con esferos o marcadores, etc. Recomendaciones El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad para que haga vigilancia necesaria para estar pendiente de que todos utilicen las herramientas tecnológicas de manera responsable y con cuidado. Además, el jefe de seguridad informática y el jefe de tecnologías de información pueden asesorar a los empleados para que utilicen todos los implementos tecnológicos de manera correcta. Causa No se tiene el personal de seguridad responsable de vigilar el personal o clientes para que no sean irresponsables al utilizar los implementos tecnológicos. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es improbable, y en cuanto al impacto es Alto.
Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 10 Dominio Adquirir e implementar Proceso AI3 Adquirir y Mantener infraestructura tecnológica Objetivo de control Desactualización del elementos físicos o lógicos Riesgos Asociados R10 Descripción Los implementos tecnológicos físicos y lógicos de una empresa es tan necesario como los empleados que trabajan allí, porque con esos implementos se haces procesos laborales ayudando al funcionamiento de la empresa, pero muchas empresas sufren una lentitud porque los mismos implementos de tecnología están desactualizados, ya no funcionan o simplemente no se pueden hacer las actividades laborales por falta de la actualización necesario, ya que la tecnología avanza cada día. Recomendaciones El jefe de tecnología de información y su equipo técnico al hacer los mantenimientos preventivos, ya sean lógicos o físicos, deben hacer unas anotaciones concretas y argumentos serios sobre los implementos que están desactualizados, por ejemplo, si hace falta un complemento o un programa para que los implementos tecnológicos funciones de manera correcta y cumplan con su funcionamiento. Causa El jefe de tecnología de información y su equipo técnico hacen el papeleo necesario y correcto para informar al gerente principal que actualizaciones de elementos tecnológicos físicos o lógicos son necesarios para la empresa y sus empleados, pero el
Auditoria de sistemas
41
gerente no desea invertir dinero para eso y simplemente el personal de la empresa deben aguantar las consecuencias de las desactualizaciones de los implementos tecnológicos y tener paciencia para hacer las actividades laborales. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es Posible, y en cuanto al impacto es Alto. 14. Elaborar un cuadro de los controles propuestos, y clasificarlos como controles preventivos, detectivos y correctivos. •
•
•
Preventivos: es el destinado a la conservación de equipos o instalaciones mediante la realización de revisión y limpieza que garanticen su buen funcionamiento y fiabilidad. Detectivos: descubrir, localizar, revelar, manifestar inconvenientes de la implementación tecnológica que no se muestran en los mantenimientos preventivos y surjan por investigación del equipo técnico que tenía la predicción de que pasaba algo inusual. Correctivos: aquel que corrige los defectos observados en los equipamientos o instalaciones, es la forma más básica de mantenimiento y consiste en localizar averías o defectos para corregirlos o repararlos.
Descripción de los controles propuestos Supervisión del personal o empleados Evaluación del desempeño de la empresa Encuestas para verificar estado de la empresa Capacitación para conocer nueva tecnología Entrenamiento para usar la tecnología actualizada Registro de las tecnologías de toda empresa Cronogramas de mantenimientos tecnológicos Inspección de que la tecnología funcione bien Verificación del cumplimiento legal de la empresa Registros de los manteamientos de la tecnología Manual concreto para el uso de la tecnología Auditoria de seguridad informática Protocolos de conducta empresarial Cámaras de seguridad
Preventivos x x x x x x x x x x x
Tipos Detectivos x x
Correctivos x
x x x x x
x x
Auditoria de sistemas
x
42
15. Elaborar el dictamen de la auditoría para la medición del nivel de madurez de cada proceso evaluado. DICTAMEN DE LA AUDITORÍA PROCESO COBIT: AI3 Adquirir y Mantener Infraestructura Tecnológica Objetivo de la Auditoria: Las organizaciones, empresas o negocio, en este caso: Alkosto, debe contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las implementaciones tecnologías lógicas o físicas de la empresa Alkosto. Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios a la infraestructura para cada implementación tecnológica de Alkosto, sea lógica o física, con un conjunto de estrategias organizado por profesionales para ser desarrollado, todo por medio de un cronograma para cada área específica de la empresa. Aunque se tiene la percepción de que la infraestructura de Tecnología de la información es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo dependiendo del cronograma, aunque en situaciones de emergencia, se actúa con rapidez, pero con el mantenimiento preventivo se evita esos acontecimientos. Hallazgos que tolera el Dictamen: • • • • • • • •
Pérdida o robo de información de archivos, datos, multimedia y documentos privados Inadecuada capacidad de almacenamiento Fallas en las redes de internet, con tráfico pesado o lentitud Mal funcionamiento de programas y aplicaciones, poniendo en atraso las actividades laborales Fallas en el sistema eléctrico creando consecuencias apagones o voltajes bajos, formando daños en los implementos físicos Virus o programas maliciosos Incumplimiento del cronograma para hacer mantenimientos preventivos lógicos o físicos Configuración mal diseñada, creando procesos complejos y sin sentido Auditoria de sistemas
43
• •
Descuido al utilizar los implementos tecnológicos, sin cuidado o seguridad haciendo que poco a poco se deteriore Desactualización del elementos físicos o lógicos
Recomendaciones: •
Para la seguridad de los equipos de cómputo u otras tecnologías utilice un firewall, actualice constantemente sistemas operativos, aplicaciones y software (incluido el antivirus), realice copias periódicas de seguridad de la información y establezca políticas de seguridad.
•
Utilice almacenamiento extra como: Disco duro externo, unidades Flash, soluciones en línea y servidores de almacenamiento.
•
Para prevenir fallos de la red en una empresa es necesario verificar la conexión, observar que las conexiones sean las correctas, comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los routers funcionen correctamente, comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de trabajo, verificar que haya el menor número de colisiones posibles para ello el técnico puede utilizar herramientas como “Network inspector”, observar si en la red hay servicios o protocolos innecesarios que puedan estar generando tráfico en la red y por lo tanto colapsando las comunicaciones y Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas funcionan correctamente y que todos tienen acceso a ellos.
•
Es importante librar atascos de programas y aplicaciones es necesario liberar memoria RAM cerrando otros programas abiertos, reiniciar el software, apagar y reiniciar la computadora, desinstalar el software e instalarlo de nuevo, escanear para detectar virus o programas malignos, revisar posibles conflictos con el firewall, desfragmentar el disco duro y actualizar los programas y aplicaciones.
•
El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones rutinarias, pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el
Auditoria de sistemas
44
peligro de muertes; además, minimiza costosos parones no programados y tiempos caídos de las actividades laborales. •
Para prevenir virus maliciosos en los implementos tecnológicos es necesario lo siguiente: Instale un programa de seguridad y manténgalo actualizado, y también use un firewall, configure su software de seguridad, el navegador de internet y el sistema operativo para que se actualicen automáticamente, no cambie la configuración de las funciones de seguridad de su navegador, preste atención a las advertencias de seguridad de su navegador, en lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio web confiable en la barra de su navegador, no abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué se trata, descargue programas reconocidos directamente desde el sitio del proveedor original, no haga clic en las ventanas pop-up ni en los carteles de los anuncios con información sobre el rendimiento de su computadora, escanee las unidades de memoria USB y demás dispositivos externos antes de usarlos y por ultimo haga copias de seguridad de sus datos con regularidad Entregar y dar soporte – DS8 Administrar la mesa de servicio y los incidentes
Actividades para desarrollar: 16. Elaborar el formato de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo o ejercer control. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 1 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Pérdida de información de archivos, datos en el Objetivo de control navegador Riesgos Asociados R3 Descripción La pérdida de información de una empresa desde información del usuario y empleador, que sea confidencial y hasta funciones correspondientes a su manejo dentro y fuera de la empresa estas nos genera consecuencias tanto legales como económicos, que pudieran traer consigo diversas sanciones y penalidades. Recomendaciones
Auditoria de sistemas
45
•
Utilice un proxy. Este servidor nos permite proteger sus equipos contra inestabilidad en la red que puedan poner en riesgo el proceso de información entre la conexión a la plataforma de SharePoint.
•
Actualice constantemente los parches de seguridad de Windows, navegador y software (incluido el antivirus). La mayoría de los incidentes de seguridad tiene como origen por falta de actualizaciones y políticas de DA.
Causa La falta de estabilidad de conexión en la red o tiempos de espera se generan retrasos en las vistas y brechas de la plataforma donde este por parte de equipo de infraestructura no hacen las prevenciones y estrategias necesarias para evitar las fallas en la conexión de la red Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en posible, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 2 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Objetivo de control Inadecuada capacidad de almacenamiento Riesgos Asociados R2 Descripción En la plataforma de SharePoint, se genera cierta información constante a nivel del servicio de mesa de ayuda de Alkosto donde son varias sedes, los datos irán creciendo ya que la información se presenta de muchas maneras, desde documentos de textos, bases de datos de clientes, mensajes de correo electrónico, fotos, presentaciones que pueden ser extensas. Por eso es necesario tener un monitoreo constante a el servidor de almacenamiento que se encuentra físicamente. Recomendaciones • Disco duro (RAID): Estas unidades son presentación con grandes espacios como storage para genera almacenamiento de altos impactos. •
Servidor de Backus: Otra opción es utilizar un servicio de almacenamiento en raíz junto al físico, con esta modalidad los datos se almacenan en un servidor storage como servicio de Backus de manera conjunta cada 24h o según corresponda.
Auditoria de sistemas
46
Causa El gerente principal no permite que el gerente de tecnologías de información y su equipo técnico, elabore un sistema de almacenamiento, con capacidad mejorada para el almacenamiento necesario para toda la empresa. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en posible, y en cuanto al impacto es moderado. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 3 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Fallas en las redes de internet, con tráfico pesado o Objetivo de control lentitud Riesgos Asociados R3 Descripción A menudo los problemas de conectividad provienen de componentes dañados, a causa de un clima adverso o por simples errores de configuración. Una vez que su red esté conectada a Internet o abierta al público en general, aparecerán una gran cantidad de amenazas provenientes de los mismos usuarios, lo que genera problemas con la velocidad y en ocasiones la caída de sus sistemas. Estos problemas están vinculados con el mal funcionamiento de sus redes internas provocadas por una mala instalación. Recomendaciones • Verificar la conexión: Que el cableado esté en buenas condiciones, que transmita sin problemas y hacer pruebas en la continuidad de atenuación y la impedancia. • Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos que puedan afectar al rendimiento. • Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los routers funcionen correctamente. • Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de trabajo. • Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para ello herramientas como “Network inspector”. • Observar si en la red hay servicios o protocolos innecesarios que puedan estar generando tráfico en la red y por lo tanto colapsando las comunicaciones. • Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas funcionan correctamente y que todos tienen acceso a ellos. Causa
Auditoria de sistemas
47
El jefe de tecnologías de información y su equipo no hacen el mantenimiento necesario en los equipos físicos que proveen el internet y además no hicieron una configuración correcta de la red para su funcionamiento. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados en casi certero, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 4 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Mal funcionamiento de programas y aplicaciones, Objetivo de control poniendo en atraso la gestión de la mesa de ayuda Riesgos Asociados R4 Descripción Los programas son conjuntos de instrucciones que le dicen al equipo qué debe hacer, le da al sistema las instrucciones para que realice tareas específicas. Sin los programas, la aplicación no funcionara de manera correcta para el ingreso y visualización de la página que se utiliza en este caso como SharePoint . Por esa razón, las empresas deben controlar que los programas de los equipos de cómputo funcionen de manera correcta o todas las actividades laborales obtendrían consecuencias graves, como impuntualidad o procesos en mal estado. Recomendaciones • Libere memoria RAM cerrando otros programas abiertos. • Reinicie el software. • Apague y reinicie su computadora al finalizar su jornada laboral. • Escanee para detectar virus o programas malignos. • Revise que siempre este actualizado el perfil de red. • Desfragmente su disco duro. • Mantenga Actualizado los programas y aplicaciones. Causa El Analista senior de tecnología de información y su equipo soporte sitio no hacen el proceso de mantenimiento preventivo para el software de los equipos provocando consecuencias para los procesos que requieran los empleados de la empresa, incluso sus usuarios de la tienda. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es posible, y en cuanto al impacto es un desastre.
Auditoria de sistemas
48
Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 5 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Fallas en el sistema eléctrico creando consecuencias Objetivo de control apagones o voltajes bajos, formando daños en los implementos físicos Riesgos Asociados R5 Descripción Inicialmente algunos sistemas eléctricos de potencia de complejos industriales o sea para empresas fueron diseñados para operar de manera aislada. Sin embargo, con el incremento en la demanda de carga, y la necesidad de asegurar la continuidad de sus operaciones, se interconectaron con la red pública, eso genero ventajas, pero al mismo tiempo consecuencias, por ejemplo, efectos que han contribuido a la presencia de fallas y por consiguiente a la reducción de la vida útil de los equipos instalados. Recomendaciones El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones rutinarias y los equipos de respaldo de energía en sus celdas (UPS), pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el peligro de muertes; además, minimiza costosos parones no programados y tiempos caídos de las actividades laborales. Causa El Analista senior de tecnologías de información y su equipo técnico en electricidad no generan el mantenimiento profesional y correcto a los implementos físicos de los equipos de cómputo. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es improbable, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 6 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Objetivo de control Virus o programas maliciosos Riesgos Asociados R6
Auditoria de sistemas
49
Descripción El software malicioso, también conocido como programas maliciosos contiene virus, spyware, troyano y otros programas indeseados que se instalan en su Equipo, teléfono o cualquier dispositivo móvil sin su autorización. Estos programas pueden interrumpir el correcto funcionamiento de su dispositivo y se pueden utilizar para monitorear o controlar su actividad en internet. Además, con estos programas su computadora puede quedar expuesta al ataque de virus y enviar anuncios indeseados o inapropiados. Los delincuentes usan programas maliciosos para robar información personal, enviar spam y cometer fraude. Recomendaciones • Instale un programa de seguridad y manténgalo actualizado, y también use un firewall. Configure su software de seguridad, el navegador de internet y el sistema operativo para que se actualicen automáticamente. • No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene las funciones de seguridad predeterminadas de su navegador puede minimizar las descargas “drive-by” o empaquetadas. • Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores tienen incorporada una función de escaneo de seguridad que le mostrará un mensaje de advertencia antes de visitar una página web infectada o de descargar un archivo malicioso. • En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio web confiable en la barra de su navegador. Los delincuentes envían emails que parecen enviados por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos, pero al hacer clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a un sitio web fraudulento. • No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué se trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen enviados por amigos o familiares – puede instalar programas maliciosos en su computadora. • Descargue programas reconocidos directamente desde el sitio del proveedor original. Es más probable que los sitios que ofrecen descargas gratuitas de varios navegadores diferentes, lectores de documentos PDF y otros programas populares incluyan software malicioso. • Cuando instale un software nuevo lea la información que aparece en cada pantalla. Si no reconoce un programa o le aparece un mensaje que le indica que instale otro software “empaquetado”, decline la instalación del programa adicional o salga del proceso de instalación. • No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información sobre el rendimiento de su computadora. Los estafadores insertan programas maliciosos en carteles de anuncios que lucen legítimos, especialmente en
Auditoria de sistemas
50
los anuncios que hacen referencia al funcionamiento de su computadora. Si no conoce la fuente de esos anuncios, evite hacer clic. • Escanee las unidades de memoria USB y demás dispositivos externos antes de usarlos. Estos dispositivos pueden estar infectados con software malicioso, especialmente si los usa en lugares muy concurridos, como kioscos de impresión de fotografías o computadoras de uso público. • Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de todos los datos importantes para usted, como declaraciones de impuestos, fotos o demás documentos esenciales, que quiera conservar en caso de que su computadora deje de funcionar. Causa Descuido por no hacer el mantenimiento preventivo en el software por el jefe de tecnologías de información y su equipo técnico. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es posible, y en cuanto al impacto es un desastre. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 7 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Actualización correcta de los complementos del Objetivo de control navegador Riesgos Asociados R7 Descripción El no mantener los complementos del navegador actualizados estos no permiten abrir o visualizar ciertas paginas emergentes ya sea de interacción por java o archivos, en este caso por el SharePoint nos genera formularios o vistas para poder describir o interactuar con la misma . Recomendaciones Mantenimiento de la tecnología por parte del analista senior de tecnología de información y su equipo soporte en sitio Al dar el mantenimiento a los recursos tecnológicos es importante estar consciente de mantener al día lo siguiente, para que la plataforma y sistemas de información no genere errores por actualizaciones: • Protección antivirus • Actualizaciones de complementos. • Actualizaciones de navegador. Si la organización tiene un crecimiento alto, aumentar el ancho de banda y el número de puntos de acceso para obtener mejor tráfico de la red de internet o de las impresoras.
Auditoria de sistemas
51
Causa El jefe de analista senior informática no cumplen con el cronograma de mantenimientos preventivos a nivel de software, ni siquiera se toman la tarea de revisas o hacer un cronograma correcto para la empresa. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es inusual, y en cuanto al impacto es Alto. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 8 Dominio Entregar y Dar Soporte Proceso DS8 Administrar la Mesa de Servicio y los Incidentes Descuido al utilizar los implementos tecnológicos, sin Objetivo de control cuidado o seguridad haciendo que poco a poco se deteriore Riesgos Asociados R8 Descripción Cuando la empresa adquiere un producto o servicio tecnológico, ya sea hardware o software, busca mejorar su infraestructura, su negocio y el servicio al cliente pero los empleados, incluso los mismos clientes pueden utilizar esos implementos tecnológicos para cosas no seguras, no aptas para el trabajo, incluso llegan a maltratar o dañar los implementos, por ejemplo: Malgastar el papel de la impresora, acabando con la tinta, utilizando el internet para ver cosas inmorales o violentas, rallar o manchar las superficies con esferos o marcadores, etc. Recomendaciones El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad para que haga vigilancia necesaria para estar pendiente de que todos utilicen las herramientas tecnológicas de manera responsable y con cuidado. Además, el jefe de seguridad informática y el jefe de tecnologías de información pueden asesorar a los empleados para que utilicen todos los implementos tecnológicos de manera correcta. Causa No se tiene el personal de seguridad responsable de vigilar el personal o clientes para que no sean irresponsables al utilizar los implementos tecnológicos. Nivel de riesgo En cuanto a la probabilidad de los sucesos están clasificados es improbable, y en cuanto al impacto es Alto.
Auditoria de sistemas
52
17. Elaborar un cuadro de los controles propuestos, y clasificarlos como controles preventivos, detectivos y correctivos. •
•
•
Preventivos: es el destinado a la conservación de equipos o instalaciones mediante la realización de revisión y limpieza que garanticen su buen funcionamiento y fiabilidad. Detectivos: descubrir, localizar, revelar, manifestar inconvenientes de la implementación tecnológica que no se muestran en los mantenimientos preventivos y surjan por investigación del equipo técnico que tenía la predicción de que pasaba algo inusual. Correctivos: aquel que corrige los defectos observados en los equipamientos o instalaciones, es la forma más básica de mantenimiento y consiste en localizar averías o defectos para corregirlos o repararlos.
Descripción de los controles propuestos Supervisión del personal o empleados Evaluación del desempeño de la empresa Encuestas para verificar estado de la empresa Capacitación para conocer nueva tecnología Entrenamiento para usar la tecnología actualizada Registro de las tecnologías de toda empresa Cronogramas de mantenimientos tecnológicos Inspección de que la tecnología funcione bien Verificación del cumplimiento legal de la empresa Registros de los manteamientos de la tecnología Manual concreto para el uso de la tecnología Auditoria de seguridad informática Protocolos de conducta empresarial Cámaras de seguridad
Tipos Detectivos x x
Preventivos x x x x x x
Correctivos x
x x x x x
x x x x x
x x
x
18. Elaborar el dictamen de la auditoría para la medición del nivel de madurez de cada proceso evaluado.
DICTAMEN DE LA AUDITORÍA PROCESO COBIT: DS8 Administrar la Mesa de Servicio y los Incidentes
Auditoria de sistemas
53
Objetivo de la Auditoria: Las organizaciones, empresas o negocio, en este caso: Alkosto, debe contar con procesos Administrar la Mesa de Servicio y los Incidentes. Esto requiere de un enfoque planeado para adquirir, de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las implementaciones tecnologías lógicas o físicas de la empresa Alkosto. Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y operabilidad de la plataforma de servicio e incidentes tecnológicos de Alkosto, sea lógica o física, con un conjunto de estrategias organizado por profesionales para ser desarrollado, todo por medio de un cronograma para el área de tecnología de la empresa. Aunque se tiene la percepción de que el departamento de Tecnología de la información es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo dependiendo del cronograma, aunque en situaciones de emergencia, se actúa con rapidez, pero con el mantenimiento preventivo se evita esos acontecimientos. Hallazgos que tolera el Dictamen: • • • • • • • •
Perdida de información de archivos, datos en el navegador Inadecuada capacidad de almacenamiento Fallas en las redes de internet, con tráfico pesado o lentitud Mal funcionamiento aplicaciones, poniendo en atraso la gestión de la mesa de ayuda Fallas en el sistema eléctrico creando consecuencias apagones o voltajes bajos, formando daños en los implementos físicos Virus o programas maliciosos Actualización correcta de los complementos del navegador Descuido al utilizar los implementos tecnológicos, sin cuidado o seguridad haciendo que poco a poco se deteriore
Recomendaciones: • •
Utilice un proxy. Este servidor nos permite proteger sus equipos contra inestabilidad en la red que puedan poner en riesgo el proceso de información entre la conexión a la plataforma de SharePoint. Actualice constantemente los parches de seguridad de Windows, navegador y software (incluido el antivirus). La mayoría de los incidentes de seguridad tiene como origen por falta de actualizaciones y políticas de DA.
Auditoria de sistemas
54
• • •
•
•
• • •
Disco duro (RAID): Estas unidades son presentación con grandes espacios como storage para genera almacenamiento de altos impactos. Servidor de Backus: Otra opción es utilizar un servicio de almacenamiento en raíz junto al físico, con esta modalidad los datos se almacenan en un servidor storage como servicio de Backus de manera conjunta cada 24h o según corresponda. Para prevenir fallos de la red en una empresa es necesario verificar la conexión, observar que las conexiones sean las correctas, comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los routers funcionen correctamente, comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de trabajo, verificar que haya el menor número de colisiones posibles para ello el técnico puede utilizar herramientas como “Network inspector”, observar si en la red hay servicios o protocolos innecesarios que puedan estar generando tráfico en la red y por lo tanto colapsando las comunicaciones y Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas funcionan correctamente y que todos tienen acceso a ellos. Es importante librar atascos de programas y aplicaciones es necesario liberar memoria RAM cerrando otros programas abiertos, reiniciar el software, apagar y reiniciar la computadora, desinstalar el software e instalarlo de nuevo, escanear para detectar virus o programas malignos, revisar posibles conflictos con el firewall, desfragmentar el disco duro y actualizar los programas y aplicaciones. El mantenimiento eléctrico preventivo y correctivo se refiere a la realización de inspecciones rutinarias y los equipos de respaldo de energía en sus celdas (UPS), pruebas y servicios en el equipo eléctrico, para que se puedan detectar, reducir o suprimir problemas en los equipos eléctricos. La intención de realizar un programa de mantenimiento eléctrico preventivo en un equipo eléctrico es la de reducir el riesgo de accidentes como resultado de fallos en el sistema y equipos eléctricos, ya que un mantenimiento preventivo bien desarrollado, reduce accidentes y con ello el peligro de muertes; además, minimiza costosos parones no programados y tiempos caídos de las actividades laborales. Instale un programa de seguridad y manténgalo actualizado, y también use un firewall. Configure su software de seguridad, el navegador de internet y el sistema operativo para que se actualicen automáticamente. No cambie la configuración de las funciones de seguridad de su navegador. Si mantiene las funciones de seguridad predeterminadas de su navegador puede minimizar las descargas “drive-by” o empaquetadas. Preste atención a las advertencias de seguridad de su navegador. Muchos navegadores tienen incorporada una función de escaneo de seguridad que le mostrará un mensaje de
Auditoria de sistemas
55
•
•
•
•
•
•
•
•
advertencia antes de visitar una página web infectada o de descargar un archivo malicioso. En lugar de hacer clic en el enlace de un email, escriba directamente el URL de un sitio web confiable en la barra de su navegador. Los delincuentes envían emails que parecen enviados por compañías conocidas y confiables. Los enlaces tal vez parezcan legítimos, pero al hacer clic podrían instalarle un software malicioso en su dispositivo o dirigirlo a un sitio web fraudulento. No abra los archivos adjuntos de los emails a menos que sepa quién se los envió y de qué se trata. Al abrir un documento adjunto inapropiado – incluso aquellos que parecen enviados por amigos o familiares – puede instalar programas maliciosos en su computadora. Descargue programas reconocidos directamente desde el sitio del proveedor original. Es más probable que los sitios que ofrecen descargas gratuitas de varios navegadores diferentes, lectores de documentos PDF y otros programas populares incluyan software malicioso. Cuando instale un software nuevo lea la información que aparece en cada pantalla. Si no reconoce un programa o le aparece un mensaje que le indica que instale otro software “empaquetado”, decline la instalación del programa adicional o salga del proceso de instalación. No haga clic en las ventanas pop-up ni en los carteles de los anuncios con información sobre el rendimiento de su computadora. Los estafadores insertan programas maliciosos en carteles de anuncios que lucen legítimos, especialmente en los anuncios que hacen referencia al funcionamiento de su computadora. Si no conoce la fuente de esos anuncios, evite hacer clic. Escanee las unidades de memoria USB y demás dispositivos externos antes de usarlos. Estos dispositivos pueden estar infectados con software malicioso, especialmente si los usa en lugares muy concurridos, como kioscos de impresión de fotografías o computadoras de uso público. Haga copias de seguridad de sus datos con regularidad. Haga una copia de seguridad de todos los datos importantes para usted, como declaraciones de impuestos, fotos o demás documentos esenciales, que quiera conservar en caso de que su computadora deje de funcionar. El gerente principal debe instalar cámaras de seguridad y contratar un personal de seguridad para que haga vigilancia necesaria para estar pendiente de que todos utilicen las herramientas tecnológicas de manera responsable y con cuidado. Además, el jefe de seguridad informática y el jefe de tecnologías de información pueden asesorar a los empleados para que utilicen todos los implementos tecnológicos de manera correcta.
Auditoria de sistemas
56
Adquirir e implementar - AI6 Administrar Cambios Actividades para desarrollar: 19. Elaborar el formato de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo o ejercer control. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 1 Dominio Adquirir e implementar Proceso A16 Administrar cambios Mal funcionamiento de programas y aplicaciones, Objetivo de control poniendo en atraso las actividades laborales. Riesgos Asociados R4 Descripción El mal funcionamiento de las aplicaciones o programas puede generar represamiento de trabajo dentro del funcionamiento normal de la empresa, Recomendaciones • Implementar programas de segundo plano es decir implementar programas de respaldo. • Mejorar los servidores Proxy para evitar caídas del servicio. Causa Carga excesiva del programa, ocasiona caída o perdida de funcionamiento de los programas o aplicaciones. Nivel de riesgo En cuanto el nivel de riesgo es alto y posible que ocurra. Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 2 Dominio Adquirir e implementar Proceso A16 Administrar cambios Objetivo de control Fallas en las redes de internet, con tráfico pesado o lentitud Riesgos Asociados R3 Descripción
Auditoria de sistemas
57
El servicio de internet puede presentar fallas debido al tráfico que tiene diariamente el servicio dentro de la empresa, de igual manera puede presentar lentitud al momento de ser requerido el servicio que en esta ocasión va a ser 100% utilizado Recomendaciones • Aumentar la velocidad de carga y descarga del servicio de internet. • Implementar nuevos modelos de redes locales dentro de la empresa. • Amplificar cobertura de señal implementando repetidores. • Adquirir más servicios de internet y seccionarlos para cada área de funcionamiento. Causa Mucha conectividad de dispositivos causa lentitud de señal y el tráfico de la información es defectuosa debido a lo mencionado, el servicio que presta el internet es muy corto para la cantidad de equipos conectados. Nivel de riesgo En cuanto el nivel de probabilidad es posible y del impacto es alto Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 3 Dominio Adquirir e implementar. Proceso A16 Administrar cambios Objetivo de control Virus o programas maliciosos Riesgos Asociados R6 Descripción Al realizar una conexión a internet la gran mayoría de servidores o páginas web que se acceden traen virus por debajo al momento de ejecutar o abrir algún enlace, por ende, los equipos se contagian de virus o programas maliciosos causando estragos en los equipos. Recomendaciones • Actualizar o adquirir antivirus. • Adquirir anti- malwares. • Mejorar protocolos SSL Causa Mala actualización o malos antivirus instalados; malos protocolos SSL implementados en la página web de la empresa Nivel de riesgo En cuanto la privacidad es posible y el impacto es desastroso.
Auditoria de sistemas
58
Implementaciones tecnologías de la empresa Alkosto Hallazgos de la Auditoria No. 4 Dominio Adquirir e implementar Proceso A16 Administrar cambios Objetivo de control Desactualización de elementos físicos o lógicos Riesgos Asociados R10 Descripción La mala actualización de infraestructura física como lógica “hardware y software” causa que el buen funcionamiento de la empresa empiece a decaer por fallas de tipo físico o lógico. Recomendaciones • Actualizar equipos. • Actualizar infraestructura física. • Mantenimiento y renovación de infraestructura y de equipos. Causa Al tener equipos antiguos causa que el proceso natural del trabajo se restringa debido a fallas lo mismo pasa con la infraestructura física Nivel de riesgo En cuanto al nivel de probabilidad es posible y el nivel de impacto es alto. 20. Elaborar un cuadro de los controles propuestos, y clasificarlos como controles preventivos, detectivos y correctivos. •
•
•
Preventivos: es el destinado a la conservación de equipos o instalaciones mediante la realización de revisión y limpieza que garanticen su buen funcionamiento y fiabilidad. Detectivos: descubrir, localizar, revelar, manifestar inconvenientes de la implementación tecnológica que no se muestran en los mantenimientos preventivos y surjan por investigación del equipo técnico que tenía la predicción de que pasaba algo inusual. Correctivos: aquel que corrige los defectos observados en los equipamientos o instalaciones, es la forma más básica de mantenimiento y consiste en localizar averías o defectos para corregirlos o repararlos.
Auditoria de sistemas
59
Adquirir e implementar - AI6 Administrar Cambios Descripción de los controles propuestos Supervisión del personal o empleados Evaluación del desempeño de la empresa Encuestas para verificar estado de la empresa Capacitación para conocer nueva tecnología Entrenamiento para usar la tecnología actualizada Registro de las tecnologías de toda empresa Cronogramas de mantenimientos tecnológicos Inspección de que la tecnología funcione bien Verificación del cumplimiento legal de la empresa Registros de los manteamientos de la tecnología Manual concreto para el uso de la tecnología Auditoria de seguridad informática Protocolos de conducta empresarial Cámaras de seguridad
Preventivos x x x x x x x x x x x
Tipos Detectivos x x
Correctivos x
x x x x x
x x
x
21. Elaborar el dictamen de la auditoría para la medición del nivel de madurez de cada proceso evaluado. DICTAMEN DE LA AUDITORÍA PROCESO COBIT: A16 Administrar cambios Objetivo de la Auditoria: Las organizaciones, empresas o negocio, en este caso: Alkosto, debe contar administrador de cambios. Esto requiere de un enfoque planeado para adquirir, de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las implementaciones tecnologías lógicas o físicas de la empresa Alkosto. Dictamen: Nivel de madurez: No1.Inicial. Se realizan cambios al proceso de seguimiento y operabilidad de la plataforma de servicio e incidentes tecnológicos de Alkosto, sea lógica o física, con un conjunto de estrategias organizado por profesionales para ser desarrollado, todo por medio de un cronograma para el área de tecnología de la empresa. Aunque se tiene la percepción de que el departamento de Tecnología de la información es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de
Auditoria de sistemas
60
corto plazo dependiendo del cronograma, aunque en situaciones de emergencia, se actúa con rapidez, pero con el mantenimiento preventivo se evita esos acontecimientos. Hallazgos que tolera el Dictamen: • • • • • • • •
Perdida de información de archivos, datos en el navegador Inadecuada capacidad de almacenamiento Fallas en las redes de internet, con tráfico pesado o lentitud Mal funcionamiento aplicaciones, poniendo en atraso la gestión de la mesa de ayuda Fallas en el sistema eléctrico creando consecuencias apagones o voltajes bajos, formando daños en los implementos físicos Virus o programas maliciosos Actualización correcta de los complementos del navegador Descuido al utilizar los implementos tecnológicos, sin cuidado o seguridad haciendo que poco a poco se deteriore
Recomendaciones: 1. Aumentar la velocidad de carga y descarga del servicio de internet. 2. Implementar nuevos modelos de redes locales dentro de la empresa. 3. Amplificar cobertura de señal implementando repetidores. 4. Adquirir más servicios de internet y seccionarlos para cada área de funcionamiento. 5. Actualizar o adquirir antivirus. 6. Adquirir anti- malwares. 7. Mejorar protocolos SSL 8. Actualizar equipos. 9. Actualizar infraestructura física. 10. Mantenimiento y renovación de infraestructura y de equipos.
Trabajo colaborativo. 22. Elaborar el informe final de auditoría con los hallazgos y recomendaciones INFORME FINAL DE AUDITORIA Villavicencio (Meta), 23 de octubre de 2019
Auditoria de sistemas
61
Ingenieros. Ligia Pilar Daza Rodríguez Miller S. Castellano Prada Omar Camilo Santiago García Directores encargados de: La seguridad informática de la empresa Alkosto. Cordial saludo, Adquirir y Mantener Infraestructura Tecnológica Referencia. Auditoria de sistemas aplicada a la implementación tecnológica (Hardware/Software) que maneja la empresa Alkosto para sus clientes y empleados de todas diferentes áreas empresariales, entre ellas y las más importante: La página web de Alkosto. Como es de su conocimiento la tecnología lógica y física que manipulan para las actividades laborales de Alkosto, fue sometido a una auditoria de sistemas para evaluar los diferentes tipos que hacen parte de las implementaciones tecnologías, tanto en entradas, procesos y salidas que hacen parte del personal, de igual manera se hizo para la seguridad de información de los datos empresariales. Esta evaluación se realizó en un lapso comprendido entre octubre de 2018 y octubre 2019. Los resultados obtenidos fueron los siguientes. Después de realizar las pruebas y la verificación de procedimientos realizados sobre los diferentes tipos que hacen parte de las implementaciones tecnologías que conforman los sistemas lógicos y físicos de Alkosto se relacionan algunos aspectos generales y positivos extraídos del informe de la presente auditoría. La auditoría se realizó con buena disposición por parte del personal encargado del manejo de los distintos tipos de implementaciones de tecnología lógica y física. La tecnología posee un buen avance para esta generación, sobre todo para el personal de la empresa, lo que permite que los procesos sean eficaces, agilizando las actividades laborales requeridos por los distintos gerentes de cada área de control como la
Auditoria de sistemas
62
contabilidad registrada por ofimática o el informe de productos vendidos mensualmente, minimizando trabajos operativos, haciéndolos de forma más simple y organizada. Cada proceso laboral hecho por los empleados que recluta el área de recursos humanos tiene incluido asesorías tecnologías y practicas lo que facilita la recolección de actividades cumplidas y su correcto procesamiento para campañas comerciales de ventas, promociones y ofertas donde se utilizan implementos tecnológicos y eso permite ampliar el crecimiento de clientes, gracias al aprendizaje que han obtenido. Alkosto facilita y ofrece el proceso de ventas online por medio de la nueva generación de páginas webs didácticas, una tecnología utilizada por muchas empresas. Aquella innovación permite cercanía para los clientes de una forma sistemática, donde ellos obtienen diferentes estrategias para la compra de productos que ofrece Alkosto, además, el mismo cliente puede pagar en línea y recibir sus productos en sus propios hogares, esta herramienta tecnológica reduce el tiempo necesario para gestionar las ventas que controla Alkosto. La página web didáctica genera datos concretos e importantes para brindar información legitima y segura para los clientes, ya que muchos de ellos tienen dudas o no conocen el proceso de comprar en línea, eso permite que los clientes se sientan seguros y a gusto por utilizar esa innovadora tecnología. Este tipo de tecnología, tipo software o lógica permite que el cliente se acerque virtualmente a la empresa Alkosto virtualmente, solo es necesario un dispositivo inteligente e internet. La página web permite, comprar en línea, pedir asesorías, generar quejas o recomendaciones, etc., todo de manera ágil y fácil. El software provee búsquedas fáciles por medio de herramientas didácticas y creativas, organizada por códigos y tipos, permitiendo agilizar la práctica de comprar en línea o comunicarse con Alkosto de rápida. Alkosto implementa formularios, archivos, datos, multimedia en el cual el cliente o el personal que está conociendo Alkosto haga seguimiento general de la empresa y verifique la seguridad de utilizar los implementos tecnológicos. Las herramientas que se encuentran son: Nuestra Compañía, Quiénes somos, Nuestras tiendas, Trabaje con nosotros, Para proveedores, Certificados tributarios, Contáctenos, Tarjeta de crédito Alkosto, Fondo de empleados, convenios y cooperativas, Garantía Extendida, Hiper
Auditoria de sistemas
63
verde, Servicios, Instalaciones, Compras en línea, Ayuda, Marcas, Seguridad, Entregas por ciudad, Ganadores de Rifas, Política de entrega, Política de cambio y devoluciones, Garantías y centros de servicio técnico, Política de privacidad, Términos y condiciones, Contrato de compraventa en línea, Entidad de protección al consumidor www.sic.gov.co, Todo lo que debes saber sobre TDT y Línea Ética. Todo eso en beneficio de la empresa y sus clientes. El área de tecnología de Facturación en línea permite llevar un control de los productos en compra, su garantía, su estado, sus características y sobre la seguridad de manejar cuentas de dinero por internet de acuerdo con la parametrización realizada en el momento de crear los contratos, en ciertas circunstancias la información puede ser modificada de acuerdo con las necesidades. Todas estas herramientas tecnologías y creativas permite que el personal responsable en ese sector lleve de manera registrada el Inventario de existencias productos y tener la oportunidad de organizarlo, realizando un seguimiento del inventario, de manera fácil y correcta. En cuanto a su funcionamiento, su desempeño es bueno, procesa los datos y realiza las acciones debidas que ofrece la tecnología, sin embargo, presenta algunas fallas debido a la baja conexión y congestión de usuario, algo negativo para la empresa. Por lo tanto, se podría decir que la implementación tecnológica de Alkosto en sus diferentes tipos lógicos y físicos tiene un funcionamiento adecuado del 80% y el restante 20% del sistema debe ser corregido y mejorado para lograr la optimización en un 99%, ya que es un sistema de tecnología muy importante para los procesos laborales que necesita la empresa para seguir avanzando y mejorando, además, de esa manera logre sus procesos de manera más fácil y eficaz.
Respecto al Cableado estructurado de la red. Hallazgos •
Fallas en las redes de internet, con tráfico pesado o lentitud, formando problemas para la comunicación con clientes, proveedores y gerentes de las distintas áreas de la empresa.
Auditoria de sistemas
64
Recomendaciones • • • • • • •
Verificar la conexión: Que el cableado esté en buenas condiciones, que transmita sin problemas y hacer pruebas en la continuidad de atenuación y la impedancia. Observar que las conexiones sean las correctas, es decir, que no tengan falsos contactos que puedan afectar al rendimiento. Comprobar que los equipos de comunicación de equipos, como los switchs, los hubs o los routers funcionen correctamente. Comprobar el estado de la tarjeta de red, tanto de los servidores como de las estaciones de trabajo. Verificar que haya el menor número de colisiones posibles. El técnico podrá usar para ello herramientas como “Network inspector”. Observar si en la red hay servicios o protocolos innecesarios que puedan estar generando tráfico en la red y por lo tanto colapsando las comunicaciones. Verificar que los recursos de red compartidos, como impresoras, servidores o carpetas compartidas funcionan correctamente y que todos tienen acceso a ellos. Administrar la Mesa de Servicio y los Incidentes Referencia. Auditoria de sistemas aplicada a la implementación tecnológica (Hardware/Software) que maneja la empresa Alkosto para sus clientes y empleados de todas diferentes áreas empresariales, entre ellas y las más importante: Administrar la mesa de servicio de los incidentes Como es de su conocimiento la tecnología lógica y física que manipulan para las actividades laborales de Alkosto, fue sometido a una auditoria de sistemas para evaluar los diferentes tipos que hacen parte de las implementaciones tecnologías, tanto en entradas, procesos y salidas que hacen parte del personal, de igual manera se hizo para la seguridad de información de los datos empresariales. Esta evaluación se realizó en un lapso comprendido entre octubre de 2018 y octubre 2019. Los resultados obtenidos fueron los siguientes. Después de realizar las pruebas y la verificación de procedimientos realizados sobre el manejo de la plataforma de SharePoint se valida los diferentes manejos en estas plantillas Auditoria de sistemas
65
que conforman el proceso de atención de la mesa de servicio de Alkosto para su atención se relacionan algunos aspectos generales y positivos extraídos del informe de la presente auditoría. La auditoría se realizó con buena disposición por parte del personal encargado del manejo de la plataforma y su gestión y manejo para la atención de los distintos tipos de soluciones a los diferentes dispositivos y herramientas tecnológicas. Cada proceso laboral hecho por los empleados que recluta el área de recursos humanos tiene incluido asesorías tecnologías y practicas lo que facilita la recolección de actividades cumplidas y su correcto procesamiento para el mejor manejo y funcionamiento correcto de las cajas y dispositivos de información y de pagos de ventas, promociones y ofertas donde se utilizan implementos tecnológicos. Alkosto facilita y ofrece el proceso de ventas online por medio de la nueva generación de páginas webs didácticas, una tecnología utilizada por muchas empresas. Aquella innovación permite cercanía para los clientes de una forma sistemática, donde ellos obtienen diferentes estrategias para la compra de productos que ofrece Alkosto, además, el mismo cliente puede pagar en línea y recibir sus productos en sus propios hogares, esta herramienta tecnológica reduce el tiempo necesario para gestionar las ventas que controla Alkosto. La página web didáctica genera datos concretos e importantes para brindar información legitima y segura para los clientes, ya que muchos de ellos tienen dudas o no conocen el proceso de comprar en línea, eso permite que los clientes se sientan seguros y a gusto por utilizar esa innovadora tecnología. Este tipo de tecnología, tipo software o lógica permite que el cliente se acerque virtualmente a la empresa Alkosto virtualmente, solo es necesario un dispositivo inteligente e internet. La página web permite, comprar en línea, pedir asesorías, generar quejas o recomendaciones, etc., todo de manera ágil y fácil. El software provee búsquedas fáciles por medio de herramientas didácticas y creativas, organizada por códigos y tipos, permitiendo agilizar la práctica de comprar en línea o comunicarse con Alkosto de rápida.
Auditoria de sistemas
66
Y para proceso que se maneja en las compras se lleva a cabo la gestión de los servicios fallas atenciones PQR que presentan los usuarios esto se lleva a cabo en la mesa de servicios e incidentes que se generan en todo el proceso que conlleva en todo tipo de atención en la tienda ya sea física o virtual. Administrar Cambios Referencia. Auditoria de sistemas aplicada a la implementación tecnológica (Hardware/Software) que maneja la empresa Alkosto para sus clientes y empleados de todas diferentes áreas empresariales, entre ellas y las más importante: Administrar cambios. Como es de su conocimiento la tecnología lógica y física que manipulan para las actividades laborales de Alkosto, fue sometido a una auditoria de sistemas para evaluar los diferentes tipos que hacen parte de las implementaciones tecnologías, tanto en entradas, procesos y salidas que hacen parte del personal, de igual manera se hizo para la seguridad de información de los datos empresariales. Esta evaluación se realizó en un lapso comprendido entre octubre de 2018 y octubre 2019. Los resultados obtenidos fueron los siguientes. Después de realizar las pruebas y la verificación de procedimientos realizados sobre el manejo de la plataforma Qually, webpagetest y con las encuestas realizadas tanto internamente con los empleados como con los usuarios “clientes” valida los diferentes manejos en estas plantillas que conforman el proceso de atención de la mesa de servicio de Alkosto para su atención se relacionan algunos aspectos generales y positivos extraídos del informe de la presente auditoría. La auditoría se realizó con buena disposición por parte del personal encargado de la administración de cambios físicos y lógicos de la empresa. Cada proceso laboral hecho por los empleados que recluta el área de recursos humanos tiene incluido asesorías tecnologías y practicas lo que facilita la recolección de actividades cumplidas y su correcto procesamiento para el mejor manejo y funcionamiento correcto de las cajas y dispositivos de información y de pagos de ventas, promociones y ofertas donde se utilizan implementos tecnológicos.
Auditoria de sistemas
67
Alkosto facilita y ofrece el proceso de ventas online por medio de la nueva generación de páginas webs didácticas, una tecnología utilizada por muchas empresas. Aquella innovación permite cercanía para los clientes de una forma sistemática, donde ellos obtienen diferentes estrategias para la compra de productos que ofrece Alkosto, además, el mismo cliente puede pagar en línea y recibir sus productos en sus propios hogares, esta herramienta tecnológica reduce el tiempo necesario para gestionar las ventas que controla Alkosto. La página web didáctica genera datos concretos e importantes para brindar información legitima y segura para los clientes, ya que muchos de ellos tienen dudas o no conocen el proceso de comprar en línea, eso permite que los clientes se sientan seguros y a gusto por utilizar esa innovadora tecnología. Este tipo de tecnología, tipo software o lógica permite que el cliente se acerque virtualmente a la empresa Alkosto virtualmente, solo es necesario un dispositivo inteligente e internet. La página web permite, comprar en línea, pedir asesorías, generar quejas o recomendaciones, etc., todo de manera ágil y fácil. El software provee búsquedas fáciles por medio de herramientas didácticas y creativas, organizada por códigos y tipos, permitiendo agilizar la práctica de comprar en línea o comunicarse con Alkosto de rápida. Y para proceso que se maneja en las compras se lleva a cabo la gestión de los servicios fallas atenciones PQR que presentan los usuarios esto se lleva a cabo en la mesa de servicios e incidentes que se generan en todo el proceso que conlleva en todo tipo de atención en la tienda ya sea física o virtual.
Atentamente Ligia Pilar Daza Rodríguez Miller S. Castellano Prada Omar Camilo Santiago García Auditores.
Auditoria de sistemas
68
CONCLUSIÓN . •
Gracias a estas actividades podemos entender de una mejor forma como es la realización de una auditoria a una empresa ya sea pequeña, mediana o grande, adquirimos conocimientos de como se lleva a cabo una auditoria según las estructuras establecidas o parámetros.
Auditoria de sistemas
69
REFERENCIAS BIBLIOGRÁFICAS
Solarte Solarte, F. (07/01/2019). Conceptos de Auditoría y Seguridad Informática. [Archivo de video]. Recuperado de: http://hdl.handle.net/10596/23475
Empresa Alkosto. (1987, Colombia). Alkosto Hiper Ahorro. Recuperado de https://www.alkosto.com/
Google sitos (2015) CobIT, Procesos del COBIT #2 - ADQUIRIR E IMPLEMENTAR Recuperado de https://sites.google.com/site/cobitprys/adquirir-e-implementar#AI3
Guerrero, G. (2013). COBIT Administrar e Implementar. [online] Es.slideshare.net. Recuperado de: https://es.slideshare.net/Guisse9/exposicion-guisse-
Solarte, F. N.J. (201/11/30). Blog, Auditoría informática y de sistemas. Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de seguridad
informática.
Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
Auditoria de sistemas
70
Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de: https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docI D=3176647&tm=1543338969122
Solarte Solarte, F. Metodología de la auditoria con estándar CobIT. [Archivo de video]. Recuperado de: https://www.youtube.com/watch?v=WHBZCf5B-3Q
INTECO. [Incibe]. (2010, 05, 21). Análisis y valoración de riesgos. Metodologías. [archivo de video]. Recuperado de https://www.youtube.com/watch?v=g7EPuzN5Awg
Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
Alexander Velásquez Rímac (2011/30/Octubre). Auditoría de sistemas controles. Recuperado de https://es.slideshare.net/villarrealino/auditora-de-sistemas-controles
Auditoria de sistemas
71