Está en la página 1de 13

UNIVERSIDAD ISRAEL

AUDITORIA INFORMÁTICA

Ing. Christian Vaca

Resolución del Caso: SU PROPIEDAD


INTELECTUAL NO ESTÁ SEGURA

Realizado por:

JONATHAN POLANCO
LEONARDO GUERRON
FERNANDO CASTILLO
JOSE AREVALO
PATRICIO CELI

9to SISTEMAS “C”

1
Objetivo General
Identificar por medio de una auditoria los problemas de vulnerabilidades de seguridad en redes que se
presentan dentro de la organización para de esta manera tomar las medidas necesarias para resolver las
fallas o posibles ataques que se puedan presentar a futuro.

Objetivos Específicos
 Utilizar SIW para escanear todos los dispositivos conectados a la red LAN de la empresa
 Identificar los dispositivos que presenten alertas o mensajes de software no licenciado
 Analizar los dispositivos que permiten ejecutar e instalar software sin contar con permisos de
Administrador

METODOLOGÍA:
Se utilizara un proceso de Revisión detallado en las siguientes fases:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la
unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de
política, reglamentos, Entrevistas con los principales funcionarios de la Organización y de la
Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de


procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas
críticas, revisión de procesos históricos (backups), revisión de documentación y archivos, entre otras
actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre
ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la
distribución de carga del mismo, establecerá los motivos, objetivos, alcance y recursos que usará, definirá
la metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de
la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz,
cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoria.

2
MARCO LEGAL
Ley de la propiedad intelectual

Articulo 28

Los programas de ordenador se consideran obras literarias y se protegen como tales. Dicha protección se
otorga independientemente de que hayan sido incorporados en un ordenador ya sea en forma legible por el
hombre (código fuente) o en forma legible por máquina ( código objeto), ya sean programas operativos y
programas aplicativos, incluyendo diagramas de flujo, planos, manuales de uso, y en general, aquellos
elementos que conformen la estructura, secuencia y organización del programa.

Articulo 29

Es titular de un programa de ordenador, el productor, esto es la persona natural o jurídica que toma la
iniciativa y responsabilidad de la realización de la obra. Se considerará titular, salvo prueba en contrario, a
la persona cuyo nombre conste en la obra o sus copias de la forma usual. Dicho titular está además
legitimado para ejercer en nombre propio los derechos morales sobre la obra, incluyendo la facultad para
decidir sobre su divulgación.

El productor tendrá el derecho exclusivo de realizar, autorizar o prohibir la realización de modificaciones


o versiones sucesivas del programa, y de programas derivados del mismo.

Art. 30

La adquisición de un ejemplar de un programa de ordenador que haya circulado lícitamente, autoriza a su


propietario a realizar exclusivamente:

a) Una copia de la versión del programa legible por máquina (código objeto) con fines de seguridad o
resguardo;

b) Fijar el programa en la memoria interna del aparato, ya sea que dicha fijación desaparezca o no al
apagarlo, con el único fin y en la medida necesaria para utilizar el programa; y,

c) Salvo prohibición expresa, adaptar el programa para su exclusivo uso personal, siempre que se limite al
uso normal previsto en la licencia. El adquirente no podrá transferir a ningún título el soporte que
contenga el programa así adaptado, ni podrá utilizarlo de ninguna otra forma sin autorización expresa,
según las reglas generales.

3
Ley de comercio electrónico

En Ecuador mediante Ley No. 67, publicada en el Registro Oficial Suplemento No. 577, se expidió la Ley
de Comercio Electrónico, Firmas y Mensajes de Datos.

Con esta ley se logra regular los mensajes de datos, la firma electrónica, los servicios de certificación, la
contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de
información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas, logrando un
riesgo prácticamente nulo para su falsificación.

Una vez obtenida le revalidación al momento en que a la empresa o institución se le realice una auditoría,
por ejemplo, y ha venido utilizando este mecanismo podrá demostrar la validez y autenticidad de los
documentos firmados electrónicamente amparado en:

 La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su artículo 2,


reconoce el valor jurídico de los mensajes de datos, otorgándoles igual valor jurídico que los
documentos escritos;
 La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su artículo 8,
determina las características para el archivo en la conservación de los mensajes de datos;
 La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su artículo 14,
establece que la firma electrónica tendrá igual validez y se le reconocerán los mismos efectos
jurídicos que a una firma manuscrita en relación con los datos consignados en documentos
escritos, y será admitida como prueba en juicio;
 La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su artículo 15,
establece los requisitos de validez de la firma electrónica, para garantizar autenticidad, fiabilidad
e integridad de los mensajes de datos;
 La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en su artículo 51,
otorga la calidad de instrumento público y reconoce la validez jurídica de los mensajes de datos
otorgados , conferidos, autorizados o expedidos por y ante autoridad competente y firmados
electrónicamente;

NORMAS DE CONTROL INTERNO PARA LAS ENTIDADES, ORGANISMOS DEL SECTOR


PÚBLICO Y DE LAS PERSONAS JURÍDICAS DE DERECHO PRIVADO QUE DISPONGAN
DE RECURSOS PÚBLICOS CGE 500

El suministro de información a los usuarios, con detalle suficiente y en el momento preciso, permitirá
cumplir con sus responsabilidades de manera eficiente y eficaz.

500-01 Controles sobre sistemas de información

Los sistemas de información contarán con controles adecuados para garantizar confiabilidad, seguridad y
una clara administración de los niveles de acceso a la información y datos sensibles.

4
USO DE BUENAS PRÁCTICAS

Identificación

Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así
como las debilidades propias, a fin de determinar el objetivo a seguir.

Administración de calidad total

Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el
pertinente concepto de medición y evaluación de resultados.

Comunicación

Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y
las mejoras obtenidas.

Tecnología

Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la


eficacia, eficiencia y oportunidad en los resultados de las revisiones.

Interrelación externa

Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de
intercambiar estrategias, criterios y resultados.

Agente de cambio

Proporcionan las bases para posicionar a la Auditoría como un agente de cambio en la organización a fin
de implementar la auto evaluación del control.

Reingeniería de auditoría

Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluación del
control.

Aseguramiento de los Datos

Referente la información histórica o prospectiva, probabilística e indicadores de desempeño.

Aseguramiento de los Procesos

Basado principalmente en controles internos y procedimientos establecidos para la protección de intereses.

Aseguramiento del Comportamiento

Conformidad con normas, regulaciones o mejores prácticas.

5
Aseguramiento del Sistema de Gestión

En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y
empleados.

Basados en:

Information Technology Infraestructure Library, ITIL .- que es un conjunto de las mejores prácticas
para la gestión de servicios de TI

BS 7799 e ISO 17799.- que es un código de buenas prácticas para la gestión de la seguridad de la
información. En 1998 también el BSI publica la norma BS 7799-2 con especificaciones para los sistemas
de gestión de la seguridad de la información.

British Standard BS 15000.- BS 15000 especifica un conjunto de procesos de gestión interrelacionados


basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría
del servicio gestionado.

Committee of Sponsoring Organizations, COSO.- es una herramienta que puede asistirlo en la


evaluación, auditoría, documentación, mejora y seguimiento del sistema de control interno. Permite
facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de
las organizaciones preocupadas por mejorar sus resultados.

Esta herramienta permite construir o mejorar en sistema de control interno (total o parcial por ejemplo
solo acotado al objetivo información contable) y de este modo recibir con tranquilidad la evaluación de los
auditores externos que podrán así efectuar su tarea de atestiguamiento en forma más rápida y eficaz.

6
PROPUESTA ECONOMICA

Quito

Viernes 16 de febrero del 2018

Sr. xxxxxxxx

Gerente General

xxxxxxxxxxxx

Estimado señor,

Hemos elaborado nuestra propuesta de los servicios que como firma podemos proporcionarles y, además,
para comunicarles nuestro firme deseo de proporcionarles servicios de calidad y con valor agregado.

Existe un fuerte compromiso por parte de cada miembro de nuestro equipo para proveer de los servicios
que ustedes esperan y desean. Nuestros profesionales están reconocidos por su demostrada experiencia, en
cada uno de los campos de su especialización.

Cabe mencionar, que participaremos en la auditoria en calidad de observadores y durante la misma


efectuaremos algunas pruebas sustantivas y de cumplimiento que consideremos necesarias de acuerdo a
las circunstancias.

Presupuesto Referencial $2.000.000,00

a. La contratación de los servicios de auditoría se llevará a efecto una vez se realice la firma del contrato
y se propone tenga un periodo de duración de 10 día hábiles.

b. La forma de pago de los servicios serán el cincuenta por ciento a la firma del contrato, un segundo
desembolso del cincuenta por ciento una vez aprobado y recibido el Informe Final.

c. Nuestra propuesta incluye los costos por traslado, y verificación in situ de documentación.

Falta de pago de los servicios

En caso de falta de pago, nos reservamos el derecho de:

a) suspender la ejecución de nuestros servicios,

(b) cambiar las condiciones de pago establecidas bajo esta oferta,

(c) poner fin a nuestros servicios.

7
Si elegimos suspenderlo, tales servicios no serán reanudados hasta que su cuenta sea pagada como
establece el acuerdo. Por otra parte, si elegimos poner fin a nuestros servicios por la falta de pago, la
Oficina está obligada a que nos compense por todo tiempo invertido y reembolsarnos todos los costos
hasta la fecha de terminación.

Mecanismos de Ejecución

Llevaremos a cabo nuestros servicios de conformidad con los términos expresamente señalados en esta
propuesta, incluyendo todas las normas profesionales aplicables. Por lo tanto, nuestros servicios serán
valorados únicamente de conformidad con tales términos y normas. Cualquier reclamo de no conformidad
debe ser claramente y convincentemente indicado.

Solución de controversias

En caso de ser contratados, las diferencias que surjan entre las partes en lo relativo a la interpretación de
esta propuesta, durante la vigencia de la misma, se someterán a un diálogo de confianza mutua entre los
contratantes. Si persisten la(s) diferencia(s), de conformidad entre las partes se nombrará un árbitro que
será persona de notoria representatividad, designada de común acuerdo entre las partes.

Apreciamos de antemano la oportunidad de poder participar como proponente de los servicios de auditoría
(aquí queda definido la naturaleza)

Muy atentamente,

Leonardo Guerron

8
PROPUESTA TÉCNICA
Métodos a utilizar

 Tomar 5 equipos al azar y evaluar la accesibilidad a los mismos


 Intentar obtener información de los equipos con medios extraíbles y portables
 Facilidad de sacar equipos de cómputo y medios de almacenamiento del centro de cómputo
 Verificación de contratos
 Facilidad de acceso a la información, verificación de usuarios y claves
 Comprobar el software, integridad y desenvolvimiento de la persona o usuario encargado del
equipo

Control de confirmaciones
 El software debe estar claramente identificado y documentado
 Los equipos deben contar con licencias de cada programa o software instalado o embebido

Perfiles y recursos

La intervención de personal calificado y cuentan con experiencia que garantizan cumplir los procesos y
normas establecidos para llevar y ejecutar el proyecto propuesto el mismo que fue aceptado con las
garantías, condiciones acordadas entre las partes.

Intervienen y ejecutan

Jonathan Polanco Auditor

José Arévalo Auditor

Leonardo Guerron Audito

Patricio Celi Analista

Fernando Castillo Analista

Los integramtes del equipo de trabajo estan propiamente certificados y licenciados para la ejecución del
proyecto.

Se detallará toda la información obtenida así como lo que se derive de dicha información, ya sena faltas o
fallas de seguridad, organizacional o estructura de la sala o área como tal, se expondran las fallas
encontradas o posibles riesgos detectados en la seguridad física y lógica de la infraestructura, o por temas
de resgurado o seguridad física de la información (ya sea por robo, incendios ect) o seguridad lógica como
copias de resplados, normativas de uso de contraseñas, formularios de adquisición de carácter o tipo
informático de esta manera se puede detectar o establecer la utilidad y beneficio de la adquisición.

9
PROGRAMA DE AUDITORIA
AUDITORES ESTUDIANTES
PROGRAMA DE AUDITORIA
CLIENTE: xxxxxx CUIDAD: Quito OFICINA: Matriz
SEGURIDAD EN REDES
PERIODO: Para el periodo Enero 2018 Diciembre 2018
Objetivo General:
1 Determinar vulneravilidades de seguridad en redes
Objetivo Específicos:
1 Evaluar los tipos de control interno
2 Revisión de la parte operativa de la red
REF HECHO HORAS
No. PROCEDIMIENTOS P.T. POR ESTIMADAS
Identificar las posibles violaciones de segurida
Exploraci€ ón de los puertos de un servidor Web
Revisión de contraseñas de servicios en los
sistemas
Autentificación de la implementaci€ ón de las
comunicaciones VPN
Revisión de los nombres de hosts que existen en el
dominio
Revisión de las direcciones IP, nombres de hosts y
los servicios con puertos abiertos
Revición de conecciones a los servidores
Verificación de reportes sobre el cumplimiento del
sistema
Verificación de archivos con claves protegidos o
cifrados
Confirmación de archivos en la unidad de
almacenamiento que sean correctos
Revisar que las copias de seguridad esten el un
lugar seguro
Observar cuantas y como vulneraron la red
Revisar el cortafuegos si esta configurado para
acceso a los servicios esencial
Comprobar todas las cuentas del sistema o de
usuario que estan activas y elimine las cuentas no
se utilizadan o desconocidas.

10
Informe de los auditores
Al Consejo de Administración y a los Accionistas

He (mos) auditado a la Compañía X, en un periodo de 12 meses, en el cual se abordó la evaluación del


área donde se llevan a cabo los procesos informáticos de la empresa, que comprenden a la seguridad
física, seguridad lógica, respaldo de datos, planes de mantenimiento, contingencia y continuidad.

Responsabilidad de la Administración en relación con los procesos informáticos

La Administración es responsable de la seguridad de la red y los sistemas de información ya que debido a


un acuerdo entre la administración y los auditores no se realizaron pruebas sustantivas a dichos elementos,
ya que, esto podría dar lugar a que los auditores tuvieran acceso a información valiosa y confidencial de la
compañía.

Responsabilidad del auditor

Mi (Nuestra) responsabilidad es expresar una opinión sobre el área de procesos informáticos adjuntos
basada en mis (nuestras) auditorías. He (mos) llevado a cabo mis (nuestras) auditorías de conformidad con
las Normas Internacionales de Auditoría. Dichas normas exigen que cumpla (mos) los requerimientos de
ética, así como que planifique (mos) y ejecute (mos) la auditoría con el fin de obtener una seguridad
razonable sobre si los procesos informáticos están libres de errores o problemas en su correcto
funcionamiento.

Una auditoría conlleva la aplicación de procedimientos para obtener evidencia de auditoría sobre los
importes y la información revelada en los procesos informáticos. Los procedimientos seleccionados
dependen del juicio del auditor, incluida la evaluación de los riesgos en los procesos informáticos debido a
fraude o error. Al efectuar dichas evaluaciones del riesgo, el auditor tiene en cuenta el control interno
relevante para la preparación y presentación razonable por parte de la Compañía de los procesos
informáticos, con el fin de diseñar los procedimientos de auditoría que sean adecuados en función de las
circunstancias, y no con la finalidad de expresar una opinión sobre la eficacia del control interno de la
Compañía. Una auditoría también incluye la evaluación de lo adecuado de las políticas aplicadas y de la
razonabilidad de las estimaciones realizadas por la administración, así como la evaluación de la
presentación de los procesos informáticos en su conjunto.

Considero (amos) que la evidencia de auditoría que he (mos) obtenido en mis (nuestras) auditorías
proporciona una base suficiente y adecuada para mí (nuestra) opinión de auditoría.

Opinión

En mi (nuestra) opinión, puedo (emos) manifestar que se ha cumplido con evaluar cada uno de los
controles plasmados en el plan, revelando que controles implementados no se aplicación en forma
adecuada, se evidencia que falta un manejo más amplio y exhaustivo de las TIC.

11
Otras cuestiones

Previamente y con fecha 17/12/2018 emití (mos) mi (nuestro) informe de auditoría sobre los procesos
informáticos, de conformidad con las Normas de Auditoría Generalmente Aceptadas en Ecuador. De
acuerdo a las Normas Internacionales de Auditoría, consecuentemente el informe de auditoría sobre las
cifras comparativas de los procesos informáticos, se emiten con base en las Normas Internacionales de
Auditoría.

(Nombre de la Firma a la que pertenece el auditor)

Patricio Celi

17/12/2018

Quito, Ecuador

Hallazgos

HALLAZGO RECOMENDACIÓN
El área de sistemas no cuenta con un plan de Desarrollar un Plan de Contingencia que permita
contingencias integral, el cual incluya acciones a recuperar su operación en corto tiempo.
realizar frente a posibles siniestros que se puedan
presentar.
No existen manuales de políticas y Documentar formalmente las políticas,
procedimientos para el área de sistemas y procedimientos y funciones del área de sistemas,
tampoco para los usuarios finales formalmente y difundirlas hacia las áreas usuarias.
documentados y aprobados por los niveles
directivos.
Las claves principales de los servidores las conoceLa administración de los usuarios de los sistemas
el jefe de sistemas y el asistente. aplicativos las debe realizar una persona
independiente del departamento de sistemas,
preferiblemente del área operativa.
Sobre la base de la evaluación realizada, hemos Implantar dentro del departamento de sistemas un
observado que actualmente no se mantiene un registro o bitácora de los problemas.
registro o bitácora de los problemas que se
presentan en los equipos principales o servidores.
El procedimiento implementado para la obtención Se considera necesario documentar el
de los respaldos es realizado con la debida procedimiento efectuado para realizar los
frecuencia y estos son llevados por el Jefe de respaldos de la información de la Compañía, en el
Sistemas a su domicilio; sin embargo, no existen cual se adopte como política mantener una copia
documentos escritos de los procedimientos a adicional de los respaldos mensuales de la
seguir tanto para la realización de los respaldos Compañía fuera de sus instalaciones.
como para la restauración de los mismos.

12
Conclusiones
 Primeramente, la evidencia de auditoría que se ha obtenido proporciona una base
suficiente y adecuada en lo que cabe de nuestra opinión profesional.
 Al realizar la autentificación de las comunicaciones VPN, verificando contraseñas,
exploración de puertos conectados, revisión de las conexiones a servidores, notamos
ciertas fugas de información de posibles ex-empleados o hackers.
 Al verificar los reportes sobre el cumplimiento de un sistema, archivos con claves
protegidos que están almacenados son correctos debido a su seguridad pese a esto no se
encontró una actualización de las claves cifradas.
 Podemos manifestar que se ha cumplido con evaluar cada uno de los controles originados
en el plan, revelando que controles implementados no se aplican en forma adecuada, se
evidencia que falta un manejo más amplio y íntegro de las TIC.
 La Administración es responsable de la seguridad de la red y los sistemas de información
debido a un acuerdo entre la administración y los auditores no se realizaron pruebas, ya
que esto podría dar lugar a que los auditores tuvieran acceso a información valiosa y
confidencial de la compañía.

Recomendaciones
 Se debería planificar y gestionar las TIC de la empresa, sabemos que es un trabajo difícil
y complejo que requiere una base muy sólida como la de un auditor para el manejo de la
aplicación de cada área.
 La auditoría debe ser de conformidad con las normas que cumplimos como
requerimientos de ética, así como lo planificamos y lo ejecutamos podrán obtener muy
buenas observaciones que ameritan cambios en esta organización.
 Los procedimientos seleccionados dependen del juicio del auditor, incluida la evaluación
de los riesgos en los procesos informáticos, debido a fraude o error que pueda existir en la
organización esto lo hemos llevado externamente por quienes lo auditamos.
 Es recomendable realizar actualizaciones periódicamente y de igual manera revisar las
conexiones de usuarios existentes, verificar los accesos autorizados por el personal dentro
o fuera de la empresa que se conectan.
 Mantener un reporte que contenga información actualizada en cuanto a la seguridad física,
seguridad lógica, respaldo de datos, planes de mantenimiento, contingencia y continuidad.

13

También podría gustarte