Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas
Grupo: 90168_19

Fase 2. Planeación de la Auditoria.

Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1.114.451.738
PAOLA ANDREA RODRIGUEZ
Código: 52.667.062
LUIS CARLOS CABAL
Código: 1.113.676.091
JEISSON LENIS MARULANDA
Código: 1.113.654.486
DIEGO FERNANDO VARELA HEREDIA
Código: 1.113.639.731

Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)
Marzo de 2018

Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, realizaremos un cuadro de vulnerabilidades, amenazas y
riesgos para definir el objetivo de la auditoría en el plan de auditoría de la empresa seleccionada en la
fase anterior.
En este plan de auditoria se definirá, a parte del objetivo de la auditoria; los alcances, la metodología
con la que se realizara la auditoria, los recursos necesarios para la auditoria y un cronograma de
actividades para llevar a cabo la auditoria.

Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

OBJETIVOS

 Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante
 Consolidar el cuadro de vulnerabilidades, amenazas y/o riesgos existentes para definir el objetivo de la auditoría
 Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas
 Diseñar el plan de auditoría de acuerdo a los riesgos detectados en la empresa que ha sido seleccionada
 Elegir los dominios, procesos y objetivos de control de la norma CobIT que será aplicada

INFORME DE CONSTRUCCIÓN GRUPAL

1. Realizar la lectura de los temas de la primera unidad correspondientes a los conceptos generales de auditoría de sistemas
2. Vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante

personales o conversaciones de usuarios. información en caso de daño del equipo (disco duro). El Desarrollador no res Información o Error Funcional aplicación que entrega facturación tuvo capacitación a nivel del uso de las aplicaciones de data de clientes al cliente. data de clientes Usuarios/Desarrollado Seguridad de la Pérdida de información Por accidente o de forma intencional eliminar información res Información o Información confidencial de la compañía. la información puede ser tomada para Usuarios/Desarrollado Seguridad de la llamadas o servidor de manipulación. La empresa Usuarios/Desarrollado Seguridad de la No respaldo de la información debe de contar con software que automatice la realización res Información o Información crítica. cliente. Programa: Ingeniería de Sistemas Escuela: Ciencias Básicas Tecnología e Ingeniería Curso: Auditoria Todosde los Sistemas desarrolladores tienen Cambio en la estructura por no tener conocimiento del Usuarios/Desarrollado acceso a la configuración de la funcionamiento de la aplicación. Usuarios/Desarrollado Seguridad de la Pérdida de información res Información o Robo. conexión de producción de la base de datos. Pérdida o robo de información catalogada como crítica para el desarrollo de las actividades laborales. Información confidencial de la compañía. data de clientes Pérdida de información por no La mayoría de usuarios manejan archivos en sus PC que Usuarios/Desarrollado Seguridad de la realizar Backups de archivos de no están en red. Activo Vulnerabilidades Amenazas / Factores Riesgo Todo el personal del área de Acceso a la Base de desarrollo tiene acceso y Borrado de la base de datos. secuestro o robo de la Base de Datos consultas o tareas que desean información. es muy difícil recuperar algún tipo de data de clientes carpeta disponible en el servidor. alteración de la información. Acceso a registro de la base Base de Datos datos conocimiento al usuario de de datos con data sensible. datos Universidad Nacional Abierta y a Distancia – UNAD realizar. no tienen un usuario Acceso a la Base de genérico o personal para realizar las Negación de servicios a consultas. por tal motivo si no se realizan los res Información o Información cada usuario ni alojarlos en la backups. Y debido a las políticas que debe tener una res Información o Información telecomunicaciones no posee un empresa de la no-publicación de los nombres y datos data de clientes firewall instalado. confidencial. Las llamadas y la administración del mismo servidor se Actualmente el servidor de pueden ver afectada. Compromete a la empresa en ser más estricta para . de los respectivos back ups incrementales en dos data de clientes instancias distintas las cuales son: copia local (En los discos duros NAS) y copia en la nube.

teniendo pérdidas de la res Información o Antivirus y/o Troyanos información. Robo de información confidencial Propagación de virus res Información o dispositivos extraíbles dentro de la discos duros provenientes de estos dispositivos. . CDS) Usuarios/Desarrollado No recuperación de la información o data. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Dispositivos Usuarios/Desarrollado No se controla el uso de extraíbles (USB. Información res Información o Copias de Seguridad Perdida de datos con errores. data de clientes organización portables. No existe una recuperación de los datos en data de clientes caso de un desastre Usuarios/Desarrollado Contracción de Virus sea Gusanos Contaminación del activo. data de clientes Actualmente los usuarios cuentan Usuarios/Desarrollado Contraseñas de Otros usuarios pueden interferir en el trabajo de sus en las aplicaciones que manejan res Información o usuarios sin compañeros y manipular sus trabajos y datos de una contraseña que tienen por data de clientes personalizar actividades defecto asignado. data de clientes Usuarios/Desarrollado res Información o Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada.

Información muy centralizada. del Proveedor por la versión de SO Capacitación al Personal Malas prácticas de trabajo personal de TI El personal de TI de la organización no recibe capacitación y actualización sobre Capacitación al las nuevas tecnologías salientes. es decir Información no revisada por los Continuas renuncias por parte del personal que labora en Personal todo depende de la superiores en la sede principal la sede principal y colapsos continuos sede Bogotá La red de Biblioteca Falta de capacitaciones al personal de la sede muy Personal que maneja las bases de datos Poco uso de la biblioteca y sus herramientas virtuales apartada de todos los bibliográficas procesos Grupos de estudios demasiados grandes Capacidad desborda del personal Colapso en la utilización de las salas de cómputo y clínica Personal lo que supera el docente y administrativo para odontológica número de puesto en satisfacer a todos las aulas . Falta de conocimientos para atender los mantenimientos Personal personal de TI de los equipos nuevos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas No hay atención o soporte de parte Servidores Servidores Daños del Software.

las impresoras. . Falta de control de inventario de equipos tecnológicos como Inventario Hardware computadores. mantenimientos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Continuas amenazas de paros por Falta apoyo en el Colapso del personal que labora por falta de auxiliares y parte de los estudiantes por Personal personal de seguridad los que se encuentran están muy saturados por ser una sede inconformidades en muchas de las de la sede tan grande dependencias Falta de Impresoras Impresoras muy obsoletas para en algunas áreas por Cantidad de papel perdido por malas prácticas y malos Personal mejorar la calidad de algunos lo que retrasa algunos manejos en las impresiones procesos procesos Algunos usuarios no revisan el Uso de papel papel. Hardware Fallos y malfuncionamiento. video proyector. Falta de un cronograma de mantenimientos preventivos para todos los equipos tecnológicos de la Plan de organización. Pérdida o robo de hardware. tecnológico UPS. Switch. multimedia y antenas WI-FI. mantenimientos. Plan de Hardware Deterioro de los equipos. este no debe tener ganchos El gancho ocasiona daños en la fusora de la impresora y Hardware reciclado de cosedora. para ser utilizados en por ende gastos económicos para la empresa.

Dispositivos Pérdida de información capturada Por ser un dispositivo pequeño. bloques . realizados. corre el riesgo romperse o Hardware electrónicos (Tablet) en Tablet. están sensores del Clima Seguridad Física de grados y temperatura que estos expuestos al agua y a químicos debido a las aspersiones y ubicados en los sensores capturan en cada bloque. dentro de la organización. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Plan de Hardware Sobrecostos por falta de mantenimiento. Los equipos no cuentan con sus respectivas hojas de vida. Debido a que la energía es proporcionada directamente por No se cuentan con las UPS necesarias para mantener pro Hardware Suministro de energía Ingenio Providencia S.A. mantenimientos. de robo. los tiempos prolongados a los equipos tecnológicos. equipos. donde se puedan identificar el histórico de Hoja de vida de los Falta de trazabilidad en cuanto a los mantenimientos Hardware mantenimientos correctivos. bajones de energía son constantes provocando retrasos en las actividades diarias. preventivos o predictivos además como también los cambio en hardware y software. Daño o robo de Pérdida de información importante Por estar ubicados en lugares semiabiertos. otros factores naturales.

eliminar y consultar Modificación y consulta inapropiada de registros de Seguridad Lógica registros. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Daño o robo de sensores del Clima Seguridad Física También están expuestos a robo ubicados en los bloques No se tiene un control de plagas o Daños en la infraestructura de red o en los equipos Seguridad Física Control de animales roedores tecnológicos ocasionados por animales. permanentemente. organización. . Daño o robo en Por estar en lugares dispersos de la finca. información administración de la organización Roles y con permisos "roles" para crear. información restricción. Roles y Usuarios del software ERP. están expuestos equipos PC y Descontrol del manejo del riego Seguridad Física al robo o daño de estos equipos ya que no está vigilado Controladores automatizado de la finca. MIRFE Propagación de malware en los Malfuncionamiento. robo o pérdida de información Seguridad Lógica Ataques informáticos equipos de cómputo de la relevante para la organización. sin ningún tipo de los sistemas de cadena de suministros. responsabilidades en software contable. intranet y Modificación y consulta inapropiada de registros Seguridad Lógica los sistemas de demás programas usados para la financieros. responsabilidades en modificar.

Falta de firewall y Fortinet para Perdida de velocidad de transferencia y/o negación del Seguridad Lógica Firewall proteger la red de la organización servicio contra ataques externos. información Por falta de información y capacitación. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Roles y responsabilidades en Usuarios con asignación doble de permisos para creación Seguridad Lógica los sistemas de y autorización de documentos. Falta de firewall y Fortinet para Seguridad Lógica Firewall proteger la red de la organización Accesos no autorizados a la red contra ataques externos. No actualización o Seguridad Lógica Firewall Robo de Data de la compañía o de clientes Robustecimiento del Firewall . se corre el riesgo Seguridad Lógica Phishing Recepción de correo malicioso de abrir link que contiene virus que pueden robar o causar daño en la información Falta de firewall y Fortinet para Seguridad Lógica Firewall proteger la red de la organización Robo de información contra ataques externos.

Contaminación del equipo del desarrollador. sanción por la piratería. producto en especial. dejándola Seguridad Lógica documentación servidor para algún cliente o expuesta al acceso de todos los usuarios. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Acceso o restricciones Acceso a Sitios web que tienen Instalación de malware en los equipos o servidores de Seguridad Lógica a navegación malware o Troyanos. No se tiene un lugar adecuado para Documentación/Licen guardar todos los documentos de Se puede perder dicha documentación que es importante Software ciamiento PC los equipos como sus licencias y en caso de ser auditada por la Dian programas. Sanción de Software la empresa puede tener alguna licencia parte de la Dian. Existen malos procedimientos en Ausencia de el alistamiento de un nuevo Mal configuración de la máquina virtual. Por tema legal o auditoria constante Uso de Software sin Demanda por parte del fabricante de software. Permisión al Seguridad Lógica Redes LAN Firewall hacker al ambiente productivo. (Internet) Seguridad Lógica Phishing Recepción de correo malicioso Captura de datos e instalación de malware Red sin protección mediante Robo de Data de la compañía o de clientes. . producción. para un ataque por virus.

puede ser objeto de ejecución de scripts en el obsoleta. Errores y malfuncionamiento de Sistemas de Fallas en los sistemas los diferentes sistemas Negación de actividades operativas y administrativas de información de información informáticos utilizados para la la organización. administración de la organización. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Ejecución de software no Licenciamiento de Software licenciado dentro de la Multas de ley por utilización de software no licenciado software organización Sistema antiguo Un computador con sistema Daños en el sistema antiguo por falta de actualización de Software manejado por un solo operativo Windows 98 maneja dicho sistemas operativo y aplicativo que maneja este equipo información de muchos años atrás sistema Poca capacidad de los Falta de instalación computadores para instalar varios Software del programa como Perdida de programas excelente por su poco usp programa de diseño y de como Matlab investigación al tiempo Falta de Software y pc Demora en la elaboración de Perdidas de historias clínicas por falta de computadoras y Software para historias en la historias clínicas software para este proceso clínica Odontológica Páginas web hechas en la Debido a que las herramientas de Joomla estén con una herramienta Joomla las cuales su versión desactualizada o extinta e imposible de Software Ataques informáticos versión está desactualizada u actualizar. . hosting en donde actualmente están subidas.

lockers. algunos Sistemas de Fallas de conexión de biométricos presentan fallas y no Se corre el riesgo de registrar novedades de ausencia al información Biométricos permite registrar el ingreso o personal o reprocesos de verificación de asistencia. salida de Sistemas de Fallas de los lectores recepción y se llenan las bandas de ramos y se podrían las cajas de flor. Cuando la red falla. y servicios de Google Suite cfiprovidencia. información arreglo de las cámaras de seguridad portería. acceden con este usuario genérico. lectores de reserva. como también de información código de barras pasar cajas o ramos sin leer lo que afecta la información los ramos bonchados. oficinas etc. Se retrasa la labor de lectura en Colapso en el proceso de entrada y salida de flor en sistema de la recepción. Daño o robo en Retraso en la toma de decisiones Se corre el riesgo de someter a las plantas en exceso o Sistemas de equipos PC y para actuar ante una necesidad del falta de agua y/o fertilizantes adecuados para su información Controladores riego productividad. despachos. bloquean el usuario Retraso en las labores que realizan las personas que usan información soporte de Soporte. MIRFE . salida del personal. Por falta de atención o Sistemas de Bloqueo usuario información.com Se expone el riesgo de mantener la vigilancia por cámaras Sistemas de No hay soporte oportuno para el Cámaras de seguridad en los sitios estratégicos de la empresa. pagina Dominio corporativo conexos al dominio información web. ya que algunos este usuario genérico. bicicleteros. por no tener de producción e inventarios. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Suspensión de los servicios Sistemas de Denegación del servicio de correo corporativo.

con las normas No existe un control El personal de las redes. No atención oportuna de una desconoce de dónde proviene. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas El cableado del Redes y Se presenta problemas en la No hay atención oportuna del incidente de red. Acceso o restricciones Acceso a YouTube o emisoras Se ponen lentos los programas que requieren trabajar con Redes y a navegación online que ocupan el ancho de internet y retrasan los procesos informáticos. pueden ocasionar daños en otras Cuando se presenta problemas de Redes y de las nuevas conexiones de red que van a otros servidores. en los switches caída de red. recepción de flor. Hay un rack que tiene muchos El cableado supera los 10 años de uso en algunos casos En la sede los router Redes y años y no ha sido cambiado ni sin ser cambiado no tienen contraseñas comunicaciones actualizado Algunos usuarios desconocen temas No hay unas políticas claras de Redes y relacionados con la Algunos router sin contraseñas por lo que cualquier seguridad de la información en la comunicaciones seguridad de la usuario se conecta a la red sede información con que cuentan y manejan Altibajos de energía Bodedos de madera que llevan Redes y en algunos edificios Incendio por falta de mantenimiento en los cableados de muchos años y pasa gran parte del comunicaciones de la sede. ya que no lo comunicación o aislamiento se comunicaciones conexiones cableadas realizan bajo una norma. sobre todo energía cableado por encima en los bloques A y C . de paquetes. como comunicaciones (Internet) banda. despachos. Perdidas DataCenter no cumple comunicaciones comunicación de los servidores.

Redes y Cableados por fuera Router muy obsoletos para cubrir la cantidad de personas Fallas en la configuración de router comunicaciones de las canaletas que se conectan Redes y Falta de líneas Cableado telefónico en muy mal Cajas telefónicas muy obsoletas y con mucho desorden comunicaciones telefónicas estado . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Falta de capacitación Redes y para las personas del Mucho conflicto por malas conexiones en los diferentes No existe un mapa de redes comunicaciones área de sistemas de la cables sede Redes y Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos comunicaciones el wifi están los cables red(Utp) audiovisuales y de comunicaciones.

Compromete a la empresa en ser más estricta para Usuarios/Desarrollador Copias de Seguridad Perdida de datos No recuperación de la información o data. Usuarios/Desarrollador Seguridad de la Actualmente el servidor de llamadas Las llamadas y la administración del mismo servidor se es Información o data Información o servidor de telecomunicaciones no pueden ver afectada. El Desarrollador no tuvo de clientes aplicación que entrega facturación al capacitación a nivel del uso de las aplicaciones de cliente.Seguridad lógica ( seguridad de la información) . Información con es Información o data errores.Redes y Comunicaciones Activo Vulnerabilidades Amenazas / Factores Riesgo Usuarios/Desarrollador Error Funcional Todos los desarrolladores tienen Cambio en la estructura por no tener conocimiento del es Información o data acceso a la configuración de la funcionamiento de la aplicación. para el desarrollo de las actividades laborales. Y debido a las políticas que debe tener una empresa de la no-publicación de los nombres y datos personales o conversaciones de usuarios. No existe una recuperación de los datos en caso de de clientes un desastre . La empresa de clientes debe de contar con software que automatice la realización de los respectivos back ups incrementales en dos instancias distintas las cuales son: copia local (En los discos duros NAS) y copia en la nube. manipulación. amenazas y/o riesgos existentes para definir el objetivo de la auditoría.Control de usuarios . Al realizar el consolidado se determinó que los activos en donde más es recurrente la vulnerabilidad son: . cliente. Consolidar el cuadro de vulnerabilidades. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 3. la información puede ser tomada para de clientes posee un firewall instalado. Usuarios/Desarrollador Seguridad de la No respaldo de la información Pérdida o robo de información catalogada como crítica es Información o data Información crítica.

software Usuarios con asignación doble de permisos para creación responsabilidades en contable. teniendo pérdidas de la es Información o data y/o Troyanos información. Seguridad Lógica Ataques informáticos Propagación de malware en los Malfuncionamiento. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Usuarios/Desarrollador Dispositivos extraíbles No se controla el uso de dispositivos Robo de información confidencial Propagación de virus es Información o data (USB. los sistemas de usados para la administración de la información organización con permisos "roles" . Seguridad Lógica Roles y Usuarios del software ERP. intranet y demás programas financieros. de clientes Usuarios/Desarrollador Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada. sin ningún tipo de restricción. es Información o data de clientes Usuarios/Desarrollador Contraseñas de Actualmente los usuarios cuentan en Otros usuarios pueden interferir en el trabajo de sus es Información o data usuarios sin las aplicaciones que manejan una compañeros y manipular sus trabajos y datos de de clientes personalizar contraseña que tienen por defecto actividades asignado. los sistemas de usados para la administración de la información organización con permisos "roles" para crear. CDS) Usuarios/Desarrollador Antivirus Contracción de Virus sea Gusanos Contaminación del activo. Seguridad Lógica Roles y Usuarios del software ERP. de clientes portables. modificar. eliminar y consultar registros. organización. discos duros extraíbles dentro de la organización provenientes de estos dispositivos. software Modificación y consulta inapropiada de registros responsabilidades en contable. intranet y demás programas y autorización de documentos. robo o pérdida de información equipos de cómputo de la relevante para la organización.

Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas para crear. modificar. software Por falta de información y capacitación. eliminar y consultar registros. intranet y demás programas de abrir link que contiene virus que pueden robar o causar usados para la administración de la daño en la información organización con permisos "roles" para crear. eliminar y . eliminar y consultar registros. intranet y demás programas servicio usados para la administración de la organización con permisos "roles" para crear. Seguridad Lógica Firewall Usuarios del software ERP. software Perdida de velocidad de transferencia y/o negación del contable. sin ningún tipo de restricción. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. se corre el riesgo contable. Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Seguridad Lógica Phishing Usuarios del software ERP. sin ningún tipo de restricción. modificar. modificar.

sin ningún tipo de restricción. eliminar y consultar registros. software Accesos no autorizados a la red contable. intranet y demás programas usados para la administración de la Seguridad Lógica Firewall organización con permisos "roles" Robo de Data de la compañía o de clientes para crear. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. modificar. . Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. No actualización o Robustecimiento del Firewall Seguridad Lógica Firewall Usuarios del software ERP. sin ningún tipo Seguridad Lógica Acceso o restricciones de restricción. Instalación de malware en los equipos o servidores de a navegación Recepción de correo malicioso producción. Contaminación del equipo del desarrollador. (Internet) Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas consultar registros.

pueden ocasionar daños en otras de las nuevas comunicación o aislamiento se conexiones de red que van a otros servidores. No atención oportuna de una en los switches caída de red. Redes y comunicaciones Acceso o restricciones Acceso a YouTube o emisoras online Se ponen lentos los programas que requieren trabajar con a navegación que ocupan el ancho de banda. con las normas Redes y comunicaciones No existe un control Cuando se presenta problemas de El personal de las redes. Permisión al hacker al ambiente productivo. Seguridad Lógica Redes LAN Red sin protección mediante Firewall Robo de Data de la compañía o de clientes. internet y retrasan los procesos informáticos. . Seguridad Lógica Ausencia de Existen malos procedimientos en el Mal configuración de la máquina virtual. recepción de flor. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. para un ataque por virus. ya que no conexiones cableadas desconoce de dónde proviene. dejándola documentación alistamiento de un nuevo servidor expuesta al acceso de todos los usuarios. Redes y comunicaciones El cableado del Se presenta problemas en la No hay atención oportuna del incidente de red. para algún cliente o producto en especial. como (Internet) despachos. lo realizan bajo una norma. Perdidas DataCenter no cumple comunicación de los servidores. de paquetes. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. No actualización o Robustecimiento del Firewall Acceso a Sitios web que tienen malware o Troyanos.

sobre todo en los cableado por encima bloques A y C Redes y comunicaciones Falta de capacitación No existe un mapa de redes Mucho conflicto por malas conexiones en los diferentes para las personas del cables área de sistemas de la sede Redes y comunicaciones Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos el wifi están los cables red(Utp) audiovisuales y de comunicaciones. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Redes y comunicaciones En la sede los router no Hay un rack que tiene muchos años y El cableado supera los 10 años de uso en algunos casos sin tienen contraseñas no ha sido cambiado ni actualizado ser cambiado Redes y comunicaciones Algunos usuarios No hay unas políticas claras de Algunos router sin contraseñas por lo que cualquier desconocen temas seguridad de la información en la sede usuario se conecta a la red relacionados con la seguridad de la información con que cuentan y manejan Redes y comunicaciones Altibajos de energía en Bodedos de madera que llevan Incendio por falta de mantenimiento en los cableados de algunos edificios de la muchos años y pasa gran parte del energía sede. Redes y comunicaciones Cableados por fuera de Fallas en la configuración de router Router muy obsoletos para cubrir la cantidad de personas las canaletas que se conectan Redes y comunicaciones Falta de líneas Cableado telefónico en muy mal Cajas telefónicas muy obsoletas y con mucho desorden telefónicas estado .

C. ORGANIGRAMA GENERAL . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 4. Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas. EMPRESA SELECCIONADA PARA AUDITAR La Universidad Antonio Nariño cuenta con 37 sedes a nivel nacional y la sede Principal se encuentra ubicada en la ciudad de Bogotá D.

allí se encuentran los monitores de centros de cómputos quienes son los responsables en cada una de las ciudades donde hay una UAN  Director TIC  Jefe centro de apoyo para el aprendizaje virtual CAAV:  Jefe universidad virtual:  Jefe sistema de información financiero y administrativo SIFA:  Administrador de redes e internet: Web master . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Recursos y sistemas de información. todas estas personas quienes dirigen el sistema a nivel nacional se encuentran en la ciudad de Bogotá que a su vez delegan algunas funciones a las diferentes sedes. los cargos y funciones del personal que atiende los servicios del área informática. La Dirección de Tecnologías de Información y Comunicaciones (DTIC) es una dependencia adscrita a la Vicerrectoría Administrativa que articula los servicios que requiere la Universidad en materia de software e infraestructura tecnológica. Cuenta con los siguientes cargos en área en el área informática.

1 Reconfigurar y dar una mejor ubicación a los dispositivos de wifi para dar una mejor cobertura de internet. Objetivos Específicos 5.2. Objetivo General Realizar la auditoria a la red de datos. 5. 5.2.2.6 Evaluar políticas para el uso adecuado de las Tecnologías de información y comunicación. 5. teniendo en cuenta un constante flujo de los datos a través de la red y elaborando un esquema de seguridad.1.2. Planeación de la auditoria. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 5.3 Identificar las amenazas y vulnerabilidades a las que están supeditados los procesos activos y críticos durante su operación. comprometiendo políticas de contraseña. a la seguridad de la información y control de usuarios de la Universidad Antonio Nariño ubicada en la ciudad de Palmira. 5. 5.2.2. políticas para el uso del software y políticas de capacitación . políticas de internet y correo electrónico.2 Revisar el cableado estructurado de la red con el fin de saber el estado en que se encuentra y verificar la posibilidad de cambiar algunos dispositivos como hub por Switch.2.4 Evaluar copias de respaldo de la información sensible de la organización y contar con una copia fuera de sus instalaciones o según las políticas establecidas por la universidad. 5. 5.5 Identificar si el bloqueo de navegación no permitida ó limitación de páginas web por firewall instalado es efectivo mediante pruebas con instalaciones de aplicaciones de navegación externas u otras formas de ingreso no recomendables.

1 . Patrón de contraseñas en cada equipo . Conocer el estado del cableado. .2. . .Navegación en páginas no permitidas según políticas de la Universidad. La seguridad de la Red Corporativa . . Solicitar inventario de los dispositivos (Switch) . . Copias de seguridad Del control de usuarios se evaluará los siguientes aspectos: . Mantenimiento de la Red De la seguridad de la información se evaluará los siguientes aspectos: . . Metodología Objetivo 5.Solicitar mapa y/o ubicación de los dispositivos de Wifi Metodología Objetivo 5. El cableado estructurado de la red.2.2 .3 Alcance De la red de datos se evaluará los siguientes aspectos: .4 Metodología Se utilizará como metodología de trabajo el uso de la norma CobIT que contempla dentro de sus procesos un plan que evalúa tecnologías de información y comunicaciones en los procesos empresariales.Bloqueo de equipos.Conocer los problemas más frecuentes en la red por parte del TI de la Universidad . Ubicación y acceso de routers. Archivos maliciosos descargados y/o ejecutados . Solicitar mapa de la estructura de red. .Capacitación a los usuarios en el manejo adecuado y seguridad de la información. Licenciamiento de los equipos estén en regla. . Verificar el estado de los dispositivos (Switch). 5. Programa de Antivirus . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 5.

Papel (listas de chequeo) . Diego Fernando Varela .Validar el acceso y navegación a las páginas web no autorizadas según políticas de la Universidad. . Metodología Objetivo 5.Solicitar plan de seguridad de la información según políticas de la Universidad.5 . .5 Recursos humanos: .Software para pruebas de auditoría sobre escaneo y tráfico en la red. Luis Carlos Cabal .Solicitar plan de políticas de la Universidad en cuanto a la navegación de las páginas web no autorizadas. Roberto José Serrano .Cámara fotográfica para pruebas que servirán de evidencia . lápices .Computador Portátil .2.2.2. Jeisson Lenis Recursos Tecnológicos: .Solicitar plan de seguridad de la información según políticas de la Universidad.4 .Solicitar esquema de seguridad de la red Metodología Objetivo 5.Solicitar registro de capacitaciones realizadas en el manejo de tecnología y de los sistemas.Solicitar acceso para verificar las copias de seguridad. . 5. Paola Andrea Rodríguez . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Metodología Objetivo 5. Metodología Objetivo 5.Esferos.5 .3 . .2.

2 Seguridad de la Red Corporativa 2.4 Licenciamiento de los equipos 3.000 Papel (listas de chequeo.4 Mantenimiento de la Red 3 Seguridad de la información 3.2 Solicitud de información para auditoria 1.3 Programa de Antivirus 3.000 Total 2.5 Copias de seguridad 4 Control de Usuarios 4. lápices 5 6. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Recursos Económicos: Ítem Cantidad subtotal Cámara digital 1 400.6 Cronograma CRONOGRAMA AUDITORIA UNIVERSIDAD ANTONIO NARIÑO SEMANA SEMANA SEMANA TAREAS SEMANA 1 2 3 4 RECURSOS 13 abril de 2018 a 13 mayo de 2018 1 Apertura Auditoria 1.1 Estructura del cableado de Red 2.000 Computador Portátil 1 2.1 Patrón de contraseñas en cada equipo Archivos maliciosos descargados y/o 3.408.1 Reunión de apertura 1. 50 2500 informe) Esferos.1 Bloqueo de equipos 4.2 ejecutados 3.3 Planteamiento auditoria 2 Red de Datos 2.3 Ubicación y acceso de routers 2.000.2 Navegación en páginas no permitidas según políticas de la Universidad .500 5.

2 Hallazgos 5.1 Reunión de cierre 5.3 Informe auditoria .3 manejo adecuado y seguridad de la información 5 Cierre auditoria 5. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Capacitación a los usuarios en el 4.

4 Evaluación de Riesgos de TI económicas para mitigar los riesgos.1 Planeación del Desempeño y la Capacidad Servicios y objetivo es asegurar que la capacidad adecuada DS3 soporte está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. De acuerdo al objetivo de la auditoría.5 Respuesta a los Riesgos PO9.1.2 Capacidad y Desempeño Actual .3 Identificación de Eventos PO9 organización en la identificación de riesgos de TI y en el análisis de impacto. elegir los dominios.3 Administración de Políticas para TI de usuario prácticas y utilizables.2 Riesgo Corporativo y Marco de Referencia de Control establecidas y transmitidas a la comunidad de PO6 Interno de TI usuarios. Teniendo en cuenta la norma CobIT 4. PO6.2 Establecimiento del Contexto del Riesgo mediante la participación de la propia PO9. los dominios.1 Ambiente de Políticas y de Control aspiraciones de la gerencia. procesos y objetivos de control de la norma CobIT que será aplicada. DS3. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 6.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Administración de desempeño y capacidad: El DS3. procesos y objetivos de control que se aplicaran en la auditoria son: DOMINIO PROCESOS OBJETIVOS DE CONTROL El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las PO6. PO9.1 Marco de Trabajo de Administración de Riesgos amenazas hacia la provisión de servicios de TI. PO9. a través de políticas PO6. necesitándose para esto estándares para traducir las opciones estratégicas en reglas PO6.5 Comunicación de los Objetivos y la Dirección de TI Planificación y Organización Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las PO9. tomando medidas PO9.4 Implantación de Políticas de TI PO6.

divulgación.5 Pruebas.1 Identificación de Necesidades de Entrenamiento y DS6 objetivo es asegurar que los usuarios estén Educación Roberto haciendo un uso efectivo de la tecnología y DS7. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas realizando controles de manejo de capacidad y DS3.11 Intercambio de Datos Sensitivos Educación y entrenamiento de usuarios: El DS7. tamaño de aplicaciones.3 Administración de Identidad pérdida.3 Capacidad y Desempeño Futuros desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo.7 Protección de la Tecnología de Seguridad DS5. daño o DS5.5 Monitoreo y Reporte Garantizar la seguridad de sistemas: El objetivo DS5.3 Evaluación del Entrenamiento Recibido . DS3.4 Administración de Cuentas del Usuario que aseguren que el acceso a sistemas. realizando controles de acceso lógico DS5.10 Seguridad de la Red DS5.8 Administración de Llaves Criptográficas DS5.2 Plan de Seguridad de TI autorizados.1 Administración de la Seguridad de TI es salvaguardar la información contra uso noDS5.4 Disponibilidad de Recursos de TI DS3.9 Prevención. modificación. DS5. Detección y Corrección de Software Malicioso DS5. Vigilancia y Monitoreo de la Seguridad autorizados.2 Impartición de Entrenamiento y Educación Serrano estén conscientes de los riesgos y responsabilidades involucrados realizando DS7. manejo y demanda de recursos. datos y programas está restringido a usuarios DS5.6 Definición de Incidente de Seguridad DS5 DS5.

calor DS12.6 Requerimientos de Seguridad para la Administración de Datos Administración de las instalaciones: El objetivo DS12.4 Protección Contra Factores Ambientales . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas un plan completo de entrenamiento y desarrollo. polvo.3 Revisión de Integridad de la Configuración programa regular de verificación que confirme su existencia. actualización.1 Selección y Diseño del Centro de Datos es proporcionar un ambiente físico conveniente DS12.3 Acceso Físico peligros naturales (fuego. DS9.4 Eliminación DS11. a través de una combinación efectiva de controles generales DS11.1 Repositorio y Línea Base de Configuración es dar cuenta de todos los componentes de TI.5 Respaldo y Restauración DS11.3 Sistema de Administración de Librerías de Roberto y de aplicación sobre las operaciones de TI.2 Acuerdos de Almacenamiento y Conservación DS11 almacenamiento.2 Identificación y Mantenimiento de Elementos de prevenir alteraciones no autorizadas. Administración de la configuración: El objetivo DS9. salida y DS11. Administración de Datos: El objetivo es DS11.1 Requerimientos del Negocio para Administración asegurar que los datos permanezcan de Datos completos. medios Serrano DS11. verificar Configuración la existencia física y proporcionar una base para DS9 el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI así como su localización física y un DS9. precisos y válidos durante su entrada.2 Medidas de Seguridad Física DS12 que proteja al equipo y al personal de TI contra DS12.

5 Administración de Instalaciones Físicas apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas excesivo) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento DS12.

ROBERTO JOSE SERRANO PEREZ Procesos PO6 El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia. DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Se realizará acompañamiento sobre cada Dominio. LUIS CARLOS CABAL Procesos DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI. polvo. modificación. Procesos y objetivos de control por cada uno selecciona el proceso que se va a trabajar en la auditoria. PAOLA ANDREA RODRIGUEZ Procesos DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo. daño o pérdida. a través de políticas establecidas y transmitidas a la comunidad de usuarios. prevenir alteraciones no autorizadas. así como su localización física y un programa regular de verificación que confirme su existencia. calor excesivo) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su . datos y programas está restringido a usuarios autorizados. realizando controles de acceso lógico que aseguren que el acceso a sistemas. divulgación. verificar la existencia física y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI. DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso no autorizados. necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

mediante la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto. PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI. DIEGO FERNANDO VARELA HEREDIA Procesos DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo. manejo y demanda de recursos. salida y almacenamiento. . actualización. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. tomando medidas económicas para mitigar los riesgos. JEISSON LENIS MARULANDA Procesos DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos. tamaño de aplicaciones. precisos y válidos durante su entrada. a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

La auditoría de sistemas nos permitirá generar correctivos. o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual se mueve la información. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas CONCLUSIÓN La auditoría de sistemas. . esto con el propósito de salva guardar toda la infraestructura dentro de una compañía. como profesionales de sistemas. es una herramienta que permite ejercer control sobre el activo más importante de una compañía. planes de acción proyectos. debemos tener los conceptos claros de la unidad formativa. el cual es la información. por medio de planes de trabajo.

Y.net/10596/10236 Solarte.google. Fundamentos de auditoría. G.html Derrien.edu. (2012).61 F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3 . Recuperado de http://bibliotecavirtual. Auditoria informática. De http://hdl.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.unad. N. (2016). Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas BIBLIOGRAFÍA Referencias bibliográficas requeridas Derrien. Auditoría informática y de sistemas. amenaza y riesgos y su clasificación. F. A. Recuperado de http://bibliotecavirtual. (2014). (2001). Á.action?docID=11046196 Huesca. (Productor).unad.edu. J. Espino.co:2077/lib/unadsp/reader.unad.61 F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c 3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas% 20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=D OI: Echenique. M.scribd. http://bibliotecavirtual. Y. Recuperado de https://books.com/document/252662002/Libro-Auditoria-informatica Tamayo. Auditoría de seguridad informática. G. Auditoría de sistemas una visión práctica.blogspot. F. Riesgos informáticos y su clasificación. (2014). (2009).co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.unad. Ciudad de México. Solarte. Auditoría en Informática. México: Editorial McGraw- Hill. J. J.com. Recuperado de https://es. N.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+de+ sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad.edu.co:2077/lib/unadsp/detail.com.handle. Técnicas de la auditoría informática. A.edu. Recuperado de. Recuperado de http://bibliotecavirtual. (2009).action?docID=11038908&ppg=4 Gómez. Recuperado de http://auditordesistemas. Técnicas de la auditoría informática. (30 de noviembre de 2011). (2001).co/2011/11/conceptos.

Auditoría de seguridad informática. Recuperado de. Auditoría en Informática.edu. México: Editorial McGraw- Hill. (2014). M. Á. (2014).action?docID=11038908&ppg=4 Gómez. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas %a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20 de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI: Echenique. Espino.unad. Fundamentos de auditoría. Recuperado de.action?docID=11046196 . G. http://bibliotecavirtual. http://bibliotecavirtual. (2001). J. A.co:2077/lib/unadsp/reader.edu. Ciudad de México.co:2077/lib/unadsp/detail.unad.