Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS
CONSOLIDACION TRABAJO
GRUPO: 90168_78
TUTOR:
FRANCISCO NICOLAS SOLARTE
INTRODUCCIN
Hoy en da los sistemas de informacin son el alma de organizaciones, empresas y
entidades, el grado de responsabilidad reposa en los sistemas, datos e informacin
encaminados al logro de los objetivos internos, estos se pueden mejorar y mantener
teniendo una adecuada sistematizacin y documentacin. El tratamiento de la informacin
abarca aspectos que van desde el manejo de documentos en medio fsico como el proceso
de almacenaje y recuperacin conocido tambin como proceso de gestin documental,
hasta los sistemas de informacin que tenga la organizacin o sistemas externos a los que
est obligada a reportar informacin, pasando por aspectos tan importantes como la forma
de almacenamiento de los datos digitales, modelos de respaldo de informacin y planes de
contingencia o de continuidad del negocio, si existen, claro est, incluyendo adems los
sistemas fsicos de proteccin y accesibilidad a sitios o reas restringidas.
OBJETIVOS
Aplicar una metodologa de evaluacin de riesgos que permita definir las
vulnerabilidades y amenazas de seguridad existentes, y evaluar los riesgos de
acuerdo a la escala definida por la metodologa Magerit.
DESARROLLO DE LA ACTIVIDAD
Razn Social o Nombre de la Empresa: ALMACENES LA 14 S.A
Actividad Econmica: Almacenes La 14 S.A es una cadena de tiendas a nivel nacional que
se dedica al comercio al detalle de productos de consumo masivo.
La Ubicacin: Almacenes La 14 tiene su sede principal en la ciudad Santiago de Cali en la
Carrera 1ra con calle 70 del barrio Calima,
ORGANIGRAMA
PLAN DE AUDITORIA
OBJETIVO: Realizar auditoria a la seguridad lgica sobre los aspectos del uso del
software y la proteccin de los datos de la empresa Almacenes La 14 S.A.
Metodologa para Objetivo 1: Conocer las rutas de acceso hacia los programas y archivos
para establecer puntos de control de acceso a la informacin, la cual se realizara solicitando
la informacin requerida al administrador de los datos y de la red
- Se solicitar la documentacin adecuada sobre las personas que tienen accesos a los
programas y archivos
- Indagar sobre las rutas de acceso a la informacin y quienes tienen permisos total
Recursos Humanos.
Esta auditoria se llevar a cabo por los integrantes del grupo Oscar Andrs Rincn y Omar
Montao Torres.
Recursos Fsicos
Esta auditoria se realizar en las instalaciones de la empresa Almacenes LA 14 S.A en el
departamento de Informtica.
Equipos Tecnolgicos: Los que nos provean en la empresa donde se desarrolla la auditoria.
Presupuestos
ITEM VALOR
tiles y Papelera $60.000
Pago de Honorarios $2000.000
Equipo de Oficina (1 Porttil) $1.500.000
Gastos Generales (Cafetera, Almuerzos, transportes e imprevistos) $700.000
Total, Presupuesto $4.260.000
PLANEAR Y ORGANIZAR
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems,
la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada
OBJETIVOS DE CONTROL
P04.8 RESPONSABILIDAD SOBRE EL RIEGOS, LA SEGURIDAD Y EL
CUMPLIMIENTO
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel
superior apropiado. Definir y asignar roles crticos para administrar los riegos de TI,
Incluyendo la responsabilidad especfica de la seguridad de la informacin, la seguridad
fsica y el cumplimiento. Establecer responsabilidad sobre la administracin del riesgo y la
seguridad a nivel de toda la organizacin para manejar los problemas a nivel de toda la
empresa. Puede ser necesario asignar responsabilidades adicionales de administracin de la
seguridad a nivel de sistemas especfico para manejar problemas relacionados con la
seguridad. Obtener orientacin de la alta direccin con respecto al apetito de riesgo de TI y
la apropiacin de cualquier riesgo residual de TI.
P04.10. Supervisin
Implementar practicas adecuadas de supervisin dentro de las funciones de TI para
garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar
si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y
responsabilidades y para revisar en general los indicadores clave de desempeo
ENTREVISTA REF
CARGO
__________________________________________________________________
__________________________________________________________________
__
8. Se implementa el mismo tipo de proteccin para el acceso a los datos de las
Copias de seguridad que para los datos de uso
Pregunta Se No se OBSERVACIONES
cumple cumple
Las estrategias de la TI son correctas? 1
Hay garanta en los servicios e infraestructura de TI puedan 2
resistir y recuperarse en caso de ataques o desastres?
Hay un uso adecuado de las aplicaciones tecnolgicas? 1
Las tcnicas para fomentar la conciencia de seguridad son
eficientes?
La gerencia ha establecido un ambiente positivo de control de 2
informacin?
La administracin de la informacin es adecuada? 1
Las soluciones tecnolgicas son las adecuadas? 1
El manejo de informacin confidencial es adecuado? 1
Hay garanta en los servicios e infraestructura de TI puedan 2
resistir y recuperarse de fallas o errores?
El uso de la tecnologa es adecuado para el conocimiento de las 1
polticas
El marco de control de la TI es el adecuado? 2
Hay revisiones y actualizaciones de las polticas? 1
La comunicacin de las polticas de control interno y la 2
delegacin de responsabilidades por parte de la gerencia es
adecuada?
El intercambio de informacin es el adecuado? 2
Hay polticas clara de la TI? 2
TOTAL PARCIAL 14 7 TOTAL FINAL 21
Los valores para las preguntas son los siguientes se calificarn de 1 a 3, dependiendo si se
cumple, no se cumple o no aplica
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea
afectado por las acciones de las cuales se est indagando, entre mas alto el porcentaje
mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
TABLA 1. VALORACIN DE RIESGOS
RIESGOS/VALORACION PROBABIL IMPACTO
IDAD
A M B L M C
Hardware
R3 Perdida de informacin si se presenta la falla x x
R4 Posibles fallas en el funcionamiento de los equipos de computo x
Seguridad lgica
R1 Falta de poltica de desactivacin de cuentas de correo x x
Permite el ingreso de personal no autorizado a los sistemas de x x
informacin
Personal del rea
R2 El personal no tiene la aptitud para capacitarse x x
R5 Los usuarios tardan para realizar sus labores x x
Software
R7 Posibles cadas de sistemas en los equipos x x
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico
ALTO R5 R1 R6 R3
MEDIO R4 R2 R7
BAJO
Los usuarios tardan para PREVENTIVO Realizar capacitaciones al usuario para que se
realizar sus labores concienticen de la importancia de sus funciones y de
esta manera agilicen sus labores
Permite el ingreso de personal CORRECTIVO Controlar el acceso a personas no autorizadas a los
no autorizado a los sistemas de centros de cmputo mediante avisos y capacitaciones
informacin
Posibles cadas de sistemas en DETECTIVO Identificar el porqu de las cadas de sistemas de los
los equipos equipos para de esta manera lograr adquirir equipos que
nos permitan evitar estas cadas
FINALMENTE, CADA ESTUDIANTE DEBE ELABORAR UN CUADRO CON
UNA COLUMNA DE LOS RIESGOS, OTRA CON LOS CONTROLES
PROPUESTOS, Y UNA COLUMNA ADICIONAL CON EL TIPO DE CONTROL
(PREVENTIVO, DETECTIVO, CORRECTIVO, O DE RECUPERACIN).
VULNERABILIDA CONTROLES TIPO DE
# D PROPUESTOS RIESGO CONTROL
el usuario: es la causa
Riesgo laboral
mayor del problema de preventivo
1 symlink races. riesgo de accidente,
la seguridad de un
riesgo de patologa.
sistema informtico
Programas
riesgo geolgico
maliciosos: son
terremotos o sismos,
Secuestro de programas destinados a correctivo
2 erupciones
sesiones. perjudicar o a hacer uso
volcnicas,
ilcito de los recursos
corrimiento de tierra
del sistema.
Intruso: es una persona
riesgo financiero
que consigue acceder a
desbordes de pila y riesgo de crdito,
3 los datos o programas defectivo
otros buffers riesgo de liquidez,
de los cuales no tiene
riesgo de mercado
acceso permitido.
Riesgo biolgico
Siniestro: una mala infeccin viral,
manipulacin o mala epidemia, material
errores de validacin
4 mal intencin provocan biolgico peligroso, correctivo
de entradas
la prdida del material agentes
o de los archivos. microscpicos
altamente patgenos.
acceso no autorizado
Ejecucin de cdigo entrada o accesos no
a las reas preventivo
remoto. autorizados
5 restringidas
Incendios en el
Riesgos destruccin centro de cmputo.
de informacin Fuga de informacin. Perdida de defectivo
confidencial. Falta de disponibilidad integridad de los
6 de aplicaciones crticas. datos.
Perdidas econmicas
perdida de datos prdida de
Riesgos algunos
7 informacin errnea credibilidad. Cada preventivo
ejemplos de riesgos.
daos en hardware de la red. servidor
fuera de servicio
no existe un control y utilizacin de los
8 monitoreo en el recursos del sistema red insegura correctivo
acceso a internet para fines no previstos
no existe control de alteracin o prdida
los dispositivos de introduccin de de la informacin correctivo
9
almacenamiento informacin falsa registrada en base
(USB, cd, discos) de datos o equipos
es posible modificar
las tablas de
modificaciones del desviar del destino los enrutamiento correctivo
1
trfico y tablas de paquetes hacia otras mediante
0
enrutamiento redes determinados
paquetes de control
del trfico
es importante
cdigo malicioso o destacar la gran preventivo
1 tipos de ataques daino susceptibles de facilidad y velocidad
1 malware causar daos en las de propagacin
redes informticas mediante el correo
electrnico
consisten en descubrir Por fuerza bruta de
las claves utilizadas en diccionario contra el
ataques a los
1 un sistema, o bien diseo del algoritmo preventivo
sistemas
2 descubrir el algoritmo contra los
criptogrficos
utilizado para una dispositivos
posterior reproduccin hardware de control.
se trata de intrusos que
normalmente no
1 se dedican a esto como correctivo
tipos de intrusos suelen causar daos
3 pasatiempo y reto
al sistema
tcnico
persiguen observar el Una forma de
tipo de trfico protegerse de este
1 transmitido usando tipo de ataques es defectivo
anlisis del trfico
4 herramientas sniffers, mediante redes
sin modificar su conmutadas
contenido (switches).
el servidor web est
1 utilizando una versiones de defectivo
5 versin php manipulacin de la software
desactualizada configuracin desactualizadas
TABLA HALLAZGOS
MATERIAL DE
COBIT
SOPORTE
P04.8
Responsabilidad
DOMINIO Planear y Organizar PROCESO sobre el Riesgo,
Seguridad y el
cumplimiento
DESCRIPCIN:
Crear polticas de seguridad en las cuales cuando un usuario ya no labore en la empresa
el administrador del rea de informtica desactivar la cuenta previo informe semanal del
departamento de gestin humana quien enva listado del personal que ya no laboran en la
empresa
REF_PT:
CONSECUENCIAS:
Fuga de informacin
Uso indebido de la informacin por parte de los ex trabajadores
RIESGO:
Probabilidad de ocurrencia: 61
RECOMENDACIONES:
Tener polticas de eliminacin de usuarios cuando dejen de laborar en la empresa, el
departamento de gestin humana debe enviar un listado al departamento de sistemas para
comparar y eliminar usuarios del sistema
PROCESO PGINA
Capacitacin usuarios
AUDITADO 1 DE 1
RESPONSABLE Omar Montao Torres
MATERIAL DE
COBIT
SOPORTE
P04.6 Establecimiento de
Planear y
DOMINIO PROCESO Roles y
Organizar
Responsabilidades
DESCRIPCIN:
El personal de sistemas no tiene la suficiente capacitacin sobre los cargos que
desempean
REF_PT:
CONSECUENCIAS:
Mal manejo de la informacin y alto riegos que realicen procesos indebidos
RIESGO:
Probabilidad de ocurrencia: 31
RECOMENDACIONES:
Plan estructurado de capacitaciones por cargo y funciones a cada uno de los usuarios
sobre los procesos de cada uno debe realizar en cargo y rea de sistemas
PROCESO PGINA
Seguridad en los datos de informacin
AUDITADO 1 DE 1
P04.9
DOMINIO Planear y Organizar PROCESO Propiedad de datos
y de Sistemas
DESCRIPCIN:
Almacenar la informacin de la empresa de manera automtica a travs de la
programacin de copias en un servidor de respaldo
REF_PT:
CONSECUENCIAS:
Perdida de informacin y demora en los procesos
Informacin inoportuna e incumplimiento del proceso
Iteracin de la operacin.
RIESGO:
Probabilidad de ocurrencia: 36
RECOMENDACIONES:
Instalar UPS con energa regulada, tener un sistema de circuito elctrico de tal forma que
haya redundancia elctrica hace los equipos computo.
HALLAZGO 4 REF
Posibles fallas en el funcionamiento de los
equipos de computo
MATERIAL DE
COBIT
SOPORTE
Planear y Establecer posibles
DOMINIO organizar, PROCESO fallas y correcciones
prevencin de los equipos
DESCRIPCIN:
La posible falla de los equipos de cmputo puede deberse a que no se les
genera un mantenimiento ptimo y que no est programado peridicamente.
CONSECUENCIAS:
Falta de mantenimiento ptimo y revisin peridica mente.
RIESGO:
Probabilidad de ocurrencia = 62%
Imparto segn relevancia del proceso: moderado
RECOMENDACIONES:
Se recomiendo realizar una gua donde nos indique un paso a paso para poder
realizar los mantenimientos con una programacin donde a cada equipo se le
realice una revisin total del sistema as podr preveer los daos y saber en
qu estado real mente esta cada computador
Toda organizacin que pretenda optimizar sus recursos tecnolgicos, y, por lo tanto, ser
ms competitiva, requiere comprender el estado de los Procesos que Gestionan sus
Sistemas de Tecnologa de Informacin y Comunicaciones (TIC), con la finalidad de
establecer el nivel de administracin y control adecuado que debe proporcionar a sus
Sistemas.
Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio detallado donde se
indique la realidad de su Gestin actual, y su posicin frente a la competencia, con esto
como base podr plantear a la Alta Gerencia las prioridades de atencin, para que estos
ltimos puedan alinear estas necesidades con la estrategia de la empresa, y conjuntamente
con la Gerencia TIC, establecer un Plan de Accin que garantice beneficios para la
organizacin.
Ahora bien, es conocido que el desempeo de las actividades diarias de la Gerencia TIC,
suele ofuscar una visin objetiva del estado de sus procesos, y por ende medir la eficiencia
de su Gestin. Por esto, muchas veces, las organizaciones requieren los servicios de una
empresa externa, quien pueda tasar de forma imparcial el estado de sus procesos de Gestin
TIC, identificar donde se requieren mejoras, y proponer hacia donde deben ir.
Est prctica, se traduce, sin lugar a dudas, en beneficio para la organizacin puesto que en
la actualidad es imperativo lograr evolucionar las TIC para adecuarse a la estrategia de la
empresa, funcionando entonces como optimizador de recursos y por ende las TIC s
agregaran valor a las actividades operacionales y de gestin empresarial en general,
permitiendo a la organizacin obtener ventajas competitivas, permanecer en el mercado y
centrarse en su negocio.
Para lograrlo, solemos basarnos en el marco de referencia CobIT, quien sugiere medir la
madurez de los procesos a travs del Process Capability Model, el cual est basado en el
estndar ISO/IEC 15504 Software Engineering Process Assessment Standard. Esta
evaluacin es muy exigente respecto a lo que debe cumplir cada proceso para ascender de
nivel, y permite, entre otras cosas, lo siguiente:
Establecer un punto de referencia para la evaluacin de la capacidad.
Realizar revisiones sobre el estado actual y el estado objetivo para asistir al
rgano de Gobierno y de Gestin de la empresa en la toma de decisiones de
inversiones para la mejora de procesos.
Realizar un anlisis de carencias e informacin sobre la planificacin de mejoras
para apoyar la definicin de proyectos de mejora justificables.
Proporcionar al rgano de Gobierno y de Gestin de la empresa los porcentajes de
evaluacin para medir y monitorizar la capacidad actual.
CALIDAD:
Para las necesidades de este tipo de evaluacin, tomaremos el enfoque de la CMMI que
establece que la calidad de un producto o servicio est altamente influenciada por el
proceso que se utiliza. Para el establecimiento o medicin del nivel de implantacin de las
prcticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos
resultados, pero utilizando estrategias diferentes.
NIVEL DE MADUREZ:
Cuando se habla de un nivel de madurez se debe entender como un conjunto de prcticas,
preestablecidas por el modelo, que se deben garantizar por la Organizacin en su conjunto.
Es decir, o se cumplen todas o no se tiene el nivel de madurez. En trminos del modelo son
las reas de proceso que se consideran en cada nivel de madurez y que van evolucionando.
NIVEL DE CAPACIDAD:
En el caso de los niveles de capacidad la comparacin es ms compleja porque tendra que
evaluarse por cada rea de proceso el nivel que se tiene. Aqu el anlisis cambia en el
sentido de que por cada rea de proceso se evoluciona de generar los artefactos o resultados
del proceso, a gestionar la ejecucin del proceso hasta tenerlo definido como proceso
estndar. Pero nuevamente es un anlisis individual y no de conjunto. La idea es que mejora
la calidad de los productos propios del proceso y en su conjunto contribuyen a mejorar la
calidad del producto o servicio que se desarrolla.
Entonces, para concluir, debemos entender de estos conceptos, que en la medida que se
evoluciona en los niveles de madurez, o capacidad la Organizacin posee elementos para
ofrecer una mayor calidad en el producto o servicio.
Ahora bien, entendido esto, pasamos a explicar que el proceso de evaluacin propuesto por
CobIT, el Modelo de Evaluacin de Procesos (PAM), este modelo ofrece una base para la
evaluacin de los procesos de una empresa de forma fiable, consistente y repetible, basada
en la evidencia para evaluar la capacidad de los procesos TIC. Este modelo se basa en dos
dimensiones, donde se integran las Capacidades que evala la ISO 15504 y los Procesos
propuestos por CobIT:
Lo que deseamos con este tipo de evaluacin, es conocer la capacidad de los procesos
implementados por una organizacin, lo que se traduce en determinar la informacin y los
datos que los caracterizan, y el grado en el cual estos logran el propsito para el cual fueron
desarrollados. Este grado ser medido de acuerdo a un conjunto de Atributos de Procesos
(PA), donde cada uno de estos mide un aspecto particular de su capacidad.
ATRIBUTOS DE PROCESO
Como ya hemos comentado anteriormente, el PAM de CobIT 5 se compone de un conjunto
de indicadores de desempeo y capacidad del proceso, los cuales se utilizan como base para
recopilar pruebas objetivas que permitan asignar calificaciones. Esta prueba corresponde a
cada una de las dimensiones previamente indicada:
Para concluir con el anlisis de Madurez, es importante destacar que la decisin de una
organizacin de invertir en la mejora de los procesos TIC debe estar basada en la
comprensin de la importancia estratgica para cada uno de sus objetivos. El resultado de
esta evaluacin permitir disear un plan de Accin para la optimizacin de los procesos y
recursos de la gestin TIC.
Para ello se debe desarrollar una lista de prioridades de los objetivos que requieren mayor
atencin, y a travs de las buenas prcticas aplicables en el dominio de inters optimizar su
Gestin. Luego se puede alinear esta lista con la estrategia de la Empresa, lo que permitir
comenzar a recorrer el camino a la mejora Organizacional.
DICTAMEN DE LA AUDITORIA
OBJETIVO DE LA AUDITORIA
El objetivo de es definir los requerimientos de personal, funciones, roles y
responsabilidades para asegurar la transferencia y el control de los procesos, determinando
las prioridades de los procesos de TI alineados con las necesidades de la empresa, para
proteger la informacin.
INFORME DE AUDITORIA
Seor:
Francisco Nicols Solarte
Tutor
Auditoria de Sistemas
REF: Auditoria de Sistemas aplicada a la empresa Almacenes LA 14 S.A
Cordial saludos
RECOMENDACIONES.
Atentamente:
CONCLUSIONES
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html
http://www.monografias.com/trabajos11/siste/siste.shtml