Está en la página 1de 16

Momento 1 Intermedio del Trabajo Colaborativo 1:

Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria

Mario Alexander Poveda Suta - Cdigo: 80.217.189


Hctor Fabio Arce Castaeda - Cdigo: 1.115.063.533
Yhuleyver Mosquera Bonilla - Cdigo: 11.706.818
William Ortiz Romero - Cdigo: 16.546.868

FRANCISCO NICOLAS SOLARTE


Tutor Curso: 90168_72

Universidad Nacional Abierta y a Distancia UNAD


Escuela de ciencias bsicas tecnologas e ingeniera
Ingeniera de Sistemas
Auditoria de Sistemas
2016

Introduccin

El uso de la tecnologa informtica en un ambiente corporativo supone la convergencia


de cuatro (4) recursos interactuantes e interdependientes entre si; las personas, la
informacin, las comunicaciones y la infraestructura, cada una con limitaciones y
fortalezas propias, pero que deben optimizarse para poder cumplir con los requisitos o el
objeto social de la empresa.
Cada empresa sea del sector pblico o privada debe satisfacer la calidad, los requisitos
misionales de orden superior, en otras palabras lo que se la ha encomendado que haga
segn el presupuesto que recibe, adems de garantizar la seguridad de la informacin
que maneja, para ello es necesario apoyarse en procesos de arquitectura empresarial
con el objeto de establecer una administracin de TI basada en estndares.
En el presente trabajo encontrara una aproximacin a un proceso de auditora informtica
para una entidad estatal del orden territorial, el documento no es exhaustivo al abordar
todos los aspectos de la auditora, sin embargo presenta en un contexto una lnea de
observacin que deriva en un plan de auditora y la seleccin de los controles COBIT
que se evaluaran para la implementacin de una administracin de TI en el sector
pblico.

OBJETIVOS

Objetivo General
Elaborar un plan de auditora para una entidad gubernamental del orden territorial
especificando los dominios, procesos y objetivos de control, adems de los controles
aplicables segn el marco COBIT 4.1.

Objetivos especficos.

Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la


organizacin o la empresa auditable.

Elaborar el plan de auditora con objetivos, alcances y metodologa de acuerdo a


los riesgos detectados en la empresa.

Seleccionar los dominios, procesos y objetivos de control del Framework COBIT


4.1, aplicables a la empresa auditable.

Realizar el dictamen de la auditora para los procesos evaluados en el estndar,


y presentar el informe de resultados de la auditora.

CONTEXTO DE LA EMPRESA

La gobernacin del Guaina es una entidad del orden territorial cuyo objeto social es
desarrollar los planes estatales orientados a garantizar los derechos de sus ciudadanos
y velar por el cumplimiento de sus deberes. Para lograrlo se ha estructurado en un
conjunto de secretarias que permiten organizar sus funciones segn las reas de
atencin; de esta manera cuenta con las divisiones operativas de hacienda, educacin,
planeacin, salud, gobierno y asesora jurdica.
Cada secretaria presenta un grado de complejidad asociado a los proceso que adelanta,
en algunos casos las actividades son desarrolladas como tareas u otras responde a un
modelo por procesos, como es el caso de la secretaria de educacin, es decir; tienen
claramente definidas cuales son las entradas y las salidas de informacin, cada unidad
de procesamiento tiene total claridad sobre las tareas que se aplican a los subproductos
de informacin para convertirlos en la unidad cohesionada de salida.
Para soportar los requerimientos de informacin de cada una de las secretarias y sus
reas de procesamiento, se han provisto de un conjunto de aplicaciones que facilitan la
automatizacin de los procesos o actividades asociadas al quehacer individual.
Para garantizar la disponibilidad de las herramientas de software, la entidad ha instalado
una infraestructura tecnolgica que consta de:
Una red LAN con direccionamiento esttico, y la ampliacin mediante infraestructura
(instalacin de Access Point que amplia una red LAN a dispositivos inalmbricos), para
estos dispositivos la seguridad se provee de dos maneras, por direccionamiento esttico
y por restricciones de direcciones MAC, para el acceso a los recursos compartidos.
La configuracin de los equipos de red estn conformada por Switch, Router, modem
satelital, Access Point, los cuales estas distribuidos por la planta fsica de la secretaria,
solo la secretaria de hacienda y planeacin tienen centralizado en un punto los equipos
de red, las otras secretarias poseen su propio sistema de servicio de conectividad, sin
embargo comparten los recursos de intranet.

Las aplicaciones son tipo cliente servidor, las bases de datos se encuentran distribuidas
por secretarias.
Las aplicaciones y sus bases de datos son accedidas mediante terminales de usuarios,
las claves de acceso tanto a las bases de datos como de la aplicacin son manejadas
por cada usuario en particular, no se cuenta con sistema de Backup en lnea.
El edificio donde funciona la entidad estn conformadas por dos plantas fsicas dividida
en 22 oficinas, se cuenta con un cuarto de cableado y de servidores, debido a situaciones
presupuestales y ciertos manejos algunas reas de cableado estn desorganizadas.

El cuarto de cableado tiene una pequea dificultad en al puerta de acceso y presenta


una goteras o filtraciones en el techo.
La entidad cuenta con un servidor de aplicacin para cada secretaria, los cuales estn
ubicados en oficinas diferentes, solo el servidor de pginas web corre el servidor de
bases de datos para la aplicacin de recaudo de impuestos departamentales.
La secretaria de salud maneja la informacin relacionada con el personal para el SISBEN
y el rgimen subsidiado, el procedimiento para ingresar un nuevo beneficiario del
SISBEN est divido en dos momentos, en el primer momento el personal de campo

recolecta la informacin en un formulario fsico, el cual al final de la semana es entregado


a la persona que procesa la informacin y la ingresa al sistema, en el segundo momento,
que ocurre una vez se han recibido los formularios del personal de campo, un operario
la debe ingresar en las mismas condiciones en las cuales recibi la informacin los datos
al sistema.
La entidad cuenta con una planta de equipos conformada por 250 computadoras, las
cuales tiene instalados Windows 7, XP, win 98, win vista y Windows 8, cuentan con
paquetes ofimticos office 2007 y 2013, tienen instalado diferentes sistemas de antivirus,
cada usuario puede instalar o desinstalar aplicaciones ya que la entidad no regula este
tipo de actividades.
La compra de computadoras se realiza de acuerdo a la necesidad, de igual manera, la
adquisicin de las aplicaciones es realizada por los secretarios de despacho que
ponderan de manera autnoma los beneficios potenciales y adquieren las aplicaciones.

ASPECTOS A EVALUAR

1. Del hardware se evaluara los siguientes aspectos:

Elementos en condiciones perfectas

Funcionamiento de cada uno de ellos

Tecnologa adecuada

2. Del software se evaluara los siguientes aspectos:

Software actualizado

Proteccin de los diferentes dispositivos

Antivirus actualizado

Software adecuado para las diferentes funciones

Manejo de los datos.

3. De los usuarios se evaluara los siguientes aspectos

Uso personalizado de los dispositivos

Contraseas en cada uno de los dispositivos

Manejo que le da el usuario a la informacin

Polticas de seguridad

Capacitacin del usuario en el manejo de los dispositivos y los diferentes software.

Idoneidad para el cargo de cada usuario

Limites en el manejo de la informacin de cada usuario.

Cuadro consolidado de vulnerabilidades, amenazas y riesgos detectados en


cada elemento auditable.

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA


N

Vulnerabilidad

Amenaza

Riesgo

Categora

Deficiente rea de
ventilacin de los
dispositivos

Funcionamiento
defectuoso por altas
temperaturas

Daos dispositivos

Hardware

Deficiente uso de las UPS

Daos por fluctuaciones


de voltaje en los
dispositivos

Prdida total de los


dispositivos

Hardware

Claves de los equipos de


computo poco complejas

Manejo de informacin
sin restriccin

Extraccin de
informacin

Seguridad lgica

Puntos de red sin usar

Manipulacin de
dispositivos sin
autorizacin

Extraccin de
informacin

Seguridad lgica

Falta de capacitacin en
polticas de seguridad al
personal

Operacin incorrecta

Procedimientos
incorrectos por el talento
humano

Manejo y control del


personal

Uso no personalizados de
los dispositivos

Uso de dispositivos sin


control

Extraccin de
informacin

Seguridad lgica

Contraseas de
dispositivos deficientes

Ingreso de intrusos al
sistema

Robo de informacin o
destruccin de la misma

Seguridad lgica

Servidores, switch, huds,


en zonas expuestas.

Manipulacin de
dispositivos sin
autorizacin

Dao de la red

Redes

Antivirus no actualizados

Ataques de virus

Destruccin de la
informacin por virus

Seguridad lgica

10

Claves expuestas en los


puestos de trabajo

Ingreso de intrusos a la
red

Acceso no autorizados a
la red

Seguridad lgica

11

Ausencia de sistema
adicionales de seguridad,

Daos por desastres


naturales

Costo ms elevado

Hardware

de entrada en los sistemas


de computo

12

Navegacin de internet sin


restriccin

Desvi de informacin

Poco control en el
manejo de informacin

Seguridad lgica

13

Ausencia de un correo
interno

Poca eficiencia en la
comunicacin

Desinformacin del
personal

Talento humano

14

Deterioro de la red

Presencia de
interferencias
electromagnticas

Retraso en las
actividades de la
empresa

Redes

15

Tiempo de uso de los


dispositivos

Poco mantenimiento a los


dispositivos

Hardware obsoleto

Hardware

PLAN DE AUDITORIA

Alcance
La auditora se realizar sobre la infraestructura tecnolgica y de comunicaciones de la
entidad seleccionada.

Objetivo
Verificar la implementacin de controles para garantizar los sistemas de informacin en
cuanto a la seguridad fsica, las polticas de utilizacin, transferencia de datos y
seguridad de los activos.

Recursos
El nmero de personas que integraran el equipo de auditoria ser de tres, con un
tiempo mximo de ejecucin de 3 a 4 semanas.

Metodologa

1. Recopilacin de informacin bsica


Se debe obtener una perspectiva clara de la entidad que se auditara, por ello se enviara
un requerimiento de informacin a la entidad en la cual deben reportar la siguiente el
direccionamiento estratgico, marco y naturaleza jurdica vigente; el bien y/o servicio a
prestar, la naturaleza, caractersticas, actividades y/o procesos; los riesgos de prdida o
de inadecuada utilizacin de recursos, que se pueden presentar en desarrollo del objeto
principal y la existencia o no de controles establecidos; informes de auditoras anteriores
, planes de mejoramiento anterior e informes de evaluacin de las oficinas de control
interno.
Es importante tambin reconocer y entrevistarse con los responsables del rea de
sistemas de la empresa para conocer con mayor profundidad el hardware y el software
utilizado.
En las entrevistas incluirn:

Director / Gerente de Informtica


Subgerentes de informtica
Asistentes de informtica
Tcnicos de soporte externo

2. Identificacin de riesgos potenciales


Se evaluara el inventario de equipos tecnolgicos para determinar las configuraciones
aplicadas y las acciones de seguridad adelantadas y establecer la pertenencia y
eficiencia de los controles aplicados el momento de la auditoria.
Se evaluara la forma de adquisicin de nuevos equipos o aplicativos s de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los
estndares de la empresa y los requerimientos mnimos para ejecutar los programas
base y alineados con los controles cobit 4.1 para la adquisicin de software.

DOMINIOS A EVALUAR
Dentro del proceso solo se evaluaran dos dominios.

10

Planear y Organizar (PO): Este dominio cubre las estrategias y las tcticas, y
tiene que ver con identificar la manera en que TI puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, se debe implementar una estructura organizacional y
una estructura tecnolgica apropiada.

Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas as como
implementadas e integradas en los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes est cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

Entregar y Dar Soporte (DS): Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operativos.

CONTROLES
Se evaluaran los siguientes controles para los sistemas de informacin:
AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los
documentos fuente estn preparados por personal autorizado y calificado siguiendo los
procedimientos establecidos, teniendo en cuenta una adecuada segregacin de
funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones
pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar
errores e irregularidades para que sean informados y corregidos.
AC2 Recoleccin y Entrada de Informacin Fuente: Establecer que la entrada de
datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones
y reenvos de los datos que fueron errneamente ingresados se deben realizar sin
comprometer los niveles de autorizacin de las transacciones originales. En donde sea
apropiado para reconstruccin, retener los documentos fuente original durante el tiempo
necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las
transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o
devolver para corregir, tan cerca del punto de origen como sea posible.

11

AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validacin de


los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no
interrumpe el procesamiento de transacciones vlidas.
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores: Establecer
procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de
una forma autorizada, entregada al destinatario apropiado, y protegida durante la
transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la
informacin proporcionada en la salida.
AC6 Autenticacin e Integridad de Transacciones: Antes de pasar datos de la
transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera
de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e
integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin
o el transporte.

PROCESOS EVALUADOS
La auditora evaluara los siguientes procesos:

PO1 Definir un Plan Estratgico de TI


PO3 Determinar la Direccin Tecnolgica
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

Objetivos de control
Durante la auditoria se evaluaran los siguientes objetivos de control

PO1.1 Administracin del Valor de TI.


PO1.3 Evaluacin del Desempeo y la Capacidad Actual.
PO1.4 Plan Estratgico de TI.
PO3.2 Plan de Infraestructura Tecnolgica.
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.

Determinacin de los procedimientos de control

12

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.
Obtencin de los resultados.
En esta etapa se obtendrn los resultados que surjan de la aplicacin de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple
o no con los objetivos de control antes definidos.
Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que
se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura
empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas
de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias
de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de
passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones
para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas
de organizacin empresarial, como son partes responsables de seguridad,
mantenimiento y supervisin de las otras reas.
Entrega del informe a los directivos de la empresa.
Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe
final con los resultados obtenidos en la auditoria.
Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los
puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar
que los que los objetivos de control se sigan.

PRESUPUESTO
ITEM

CANTIDAD

1
2
3
4
5
6
7

2
2
2
1
1
2
1

VALOR
VALOR
UNITARIO
TOTAL
HONORARIOS AUDITORES $ 2.800.000 $ 5.600.000
GASTOS DE VIAJE
$ 500.000 $ 1.000.000
EQUIPOS DE COMPUTO
$ 1.800.000 $ 3.600.000
CAMARA FOTOGRAFICA
$ 650.000 $
650.000
PAPELERIA GENERAL
$ 100.000 $
100.000
MODEM INTERNET
$ 100.000 $
200.000
IMPREVISTOS
$ 100.000 $
100.000
TOTAL
$ 11.250.000
DESCRIPCION

13

CRONOGRAMA
Actividad
Fase
conocimiento

Mes 1
2
3

-Estudio de la informacin
enviada por la empresa
-Informes de auditoras anteriores
y planes de mejoramiento.
-Entrevistas personal de
telemtica
-Identificacin de riesgos
potenciales

Fase
Planeacin de
la auditora

-Preparacin y autorizacin de
informacin fuente
-Recoleccin y entrada de
informacin fuente
-Chequeos de exactitud,
integridad y autenticidad.
-Integridad y validez del
procesamiento
-Revisin de salida,
reconciliacin y manejo de
errores
-Autenticacin e integridad de
transacciones
-Evaluacion de administracin del
valor de TI

Fase
Ejecucin
auditoria

-Evaluacion del desempeo y


capacidad actual
-Plan estratgico TI
-Plan de infraestructura
tecnolgica
-Monitoreo de tendencias y
regulaciones futuras

Fase de
resultados

-Resumen de informacin obtenida


-Entrega de informes

14

Mes 2
2
3

Mes 3
2
3

CONCLUSIONES

Hoy da podemos observar que es de gran importancia la Auditora de Sistemas de la


Informacin para las empresas, debido al cambio tecnolgico continuo y avanzado
generando modernizacin con visin amplia de futuro, ya que si no se obtienen los
elementos necesarios de control, seguridad y respaldo de la informacin dentro de una
empresa se ver envuelta a riesgos lgicos, fsicos y humanos, que conlleven a fraudes
econmicos, informativos y generando as perdidas a las empresas. Para ello la auditoria
de sistemas debe comprender no slo la evaluacin de los equipos de cmputo de
un sistema o procedimiento especfico, sino que tambin se tendr que evaluar los
sistemas de informacin en general desde sus entradas, procedimientos y controles;
para lo cual se ve la necesidad de minimizar los riesgos y generar en el talento humando
sentido de pertenencia bajo lo que est a cargo de forma responsable.

15

Referencias bibliogrficas

Metodologa de Auditora Informtica. Recuperado de:


http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm

16

También podría gustarte