Está en la página 1de 37

Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas
Grupo: 90168_19

Fase 2. Planeación de la Auditoria.

Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1.114.451.738
PAOLA ANDREA RODRIGUEZ
Código: 52.667.062
LUIS CARLOS CABAL
Código: 1.113.676.091
JEISSON LENIS MARULANDA
Código: 1.113.654.486
DIEGO FERNANDO VARELA HEREDIA
Código: 1.113.639.731

Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)
Marzo de 2018

Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, realizaremos un cuadro de vulnerabilidades, amenazas y
riesgos para definir el objetivo de la auditoría en el plan de auditoría de la empresa seleccionada en la
fase anterior.
En este plan de auditoria se definirá, a parte del objetivo de la auditoria; los alcances, la metodología
con la que se realizara la auditoria, los recursos necesarios para la auditoria y un cronograma de
actividades para llevar a cabo la auditoria.

Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

OBJETIVOS

 Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante
 Consolidar el cuadro de vulnerabilidades, amenazas y/o riesgos existentes para definir el objetivo de la auditoría
 Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas
 Diseñar el plan de auditoría de acuerdo a los riesgos detectados en la empresa que ha sido seleccionada
 Elegir los dominios, procesos y objetivos de control de la norma CobIT que será aplicada

INFORME DE CONSTRUCCIÓN GRUPAL

1. Realizar la lectura de los temas de la primera unidad correspondientes a los conceptos generales de auditoría de sistemas
2. Vulnerabilidades, amenazas y/o riesgos existentes en la empresa propuesta por cada estudiante

no tienen un usuario Acceso a la Base de genérico o personal para realizar las Negación de servicios a consultas. por tal motivo si no se realizan los res Información o Información cada usuario ni alojarlos en la backups. data de clientes Usuarios/Desarrollado Seguridad de la Pérdida de información Por accidente o de forma intencional eliminar información res Información o Información confidencial de la compañía. de los respectivos back ups incrementales en dos data de clientes instancias distintas las cuales son: copia local (En los discos duros NAS) y copia en la nube. la información puede ser tomada para Usuarios/Desarrollado Seguridad de la llamadas o servidor de manipulación. El Desarrollador no res Información o Error Funcional aplicación que entrega facturación tuvo capacitación a nivel del uso de las aplicaciones de data de clientes al cliente. Activo Vulnerabilidades Amenazas / Factores Riesgo Todo el personal del área de Acceso a la Base de desarrollo tiene acceso y Borrado de la base de datos. alteración de la información. secuestro o robo de la Base de Datos consultas o tareas que desean información. conexión de producción de la base de datos. Acceso a registro de la base Base de Datos datos conocimiento al usuario de de datos con data sensible. data de clientes Pérdida de información por no La mayoría de usuarios manejan archivos en sus PC que Usuarios/Desarrollado Seguridad de la realizar Backups de archivos de no están en red. confidencial. La empresa Usuarios/Desarrollado Seguridad de la No respaldo de la información debe de contar con software que automatice la realización res Información o Información crítica. cliente. información en caso de daño del equipo (disco duro). Y debido a las políticas que debe tener una res Información o Información telecomunicaciones no posee un empresa de la no-publicación de los nombres y datos data de clientes firewall instalado. Usuarios/Desarrollado Seguridad de la Pérdida de información res Información o Robo. Pérdida o robo de información catalogada como crítica para el desarrollo de las actividades laborales. Programa: Ingeniería de Sistemas Escuela: Ciencias Básicas Tecnología e Ingeniería Curso: Auditoria Todosde los Sistemas desarrolladores tienen Cambio en la estructura por no tener conocimiento del Usuarios/Desarrollado acceso a la configuración de la funcionamiento de la aplicación. Compromete a la empresa en ser más estricta para . datos Universidad Nacional Abierta y a Distancia – UNAD realizar. personales o conversaciones de usuarios. Información confidencial de la compañía. Las llamadas y la administración del mismo servidor se Actualmente el servidor de pueden ver afectada. es muy difícil recuperar algún tipo de data de clientes carpeta disponible en el servidor.

teniendo pérdidas de la res Información o Antivirus y/o Troyanos información. data de clientes Usuarios/Desarrollado res Información o Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada. Información res Información o Copias de Seguridad Perdida de datos con errores. CDS) Usuarios/Desarrollado No recuperación de la información o data. Robo de información confidencial Propagación de virus res Información o dispositivos extraíbles dentro de la discos duros provenientes de estos dispositivos. No existe una recuperación de los datos en data de clientes caso de un desastre Usuarios/Desarrollado Contracción de Virus sea Gusanos Contaminación del activo. data de clientes Actualmente los usuarios cuentan Usuarios/Desarrollado Contraseñas de Otros usuarios pueden interferir en el trabajo de sus en las aplicaciones que manejan res Información o usuarios sin compañeros y manipular sus trabajos y datos de una contraseña que tienen por data de clientes personalizar actividades defecto asignado. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Dispositivos Usuarios/Desarrollado No se controla el uso de extraíbles (USB. . data de clientes organización portables.

Falta de conocimientos para atender los mantenimientos Personal personal de TI de los equipos nuevos. Información muy centralizada. del Proveedor por la versión de SO Capacitación al Personal Malas prácticas de trabajo personal de TI El personal de TI de la organización no recibe capacitación y actualización sobre Capacitación al las nuevas tecnologías salientes. es decir Información no revisada por los Continuas renuncias por parte del personal que labora en Personal todo depende de la superiores en la sede principal la sede principal y colapsos continuos sede Bogotá La red de Biblioteca Falta de capacitaciones al personal de la sede muy Personal que maneja las bases de datos Poco uso de la biblioteca y sus herramientas virtuales apartada de todos los bibliográficas procesos Grupos de estudios demasiados grandes Capacidad desborda del personal Colapso en la utilización de las salas de cómputo y clínica Personal lo que supera el docente y administrativo para odontológica número de puesto en satisfacer a todos las aulas . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas No hay atención o soporte de parte Servidores Servidores Daños del Software.

mantenimientos. Plan de Hardware Deterioro de los equipos. video proyector. multimedia y antenas WI-FI. mantenimientos. Switch. Hardware Fallos y malfuncionamiento. Falta de control de inventario de equipos tecnológicos como Inventario Hardware computadores. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Continuas amenazas de paros por Falta apoyo en el Colapso del personal que labora por falta de auxiliares y parte de los estudiantes por Personal personal de seguridad los que se encuentran están muy saturados por ser una sede inconformidades en muchas de las de la sede tan grande dependencias Falta de Impresoras Impresoras muy obsoletas para en algunas áreas por Cantidad de papel perdido por malas prácticas y malos Personal mejorar la calidad de algunos lo que retrasa algunos manejos en las impresiones procesos procesos Algunos usuarios no revisan el Uso de papel papel. Falta de un cronograma de mantenimientos preventivos para todos los equipos tecnológicos de la Plan de organización. este no debe tener ganchos El gancho ocasiona daños en la fusora de la impresora y Hardware reciclado de cosedora. . las impresoras. para ser utilizados en por ende gastos económicos para la empresa. Pérdida o robo de hardware. tecnológico UPS.

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Plan de Hardware Sobrecostos por falta de mantenimiento.A. preventivos o predictivos además como también los cambio en hardware y software. mantenimientos. los tiempos prolongados a los equipos tecnológicos. Dispositivos Pérdida de información capturada Por ser un dispositivo pequeño. dentro de la organización. de robo. bajones de energía son constantes provocando retrasos en las actividades diarias. equipos. bloques . corre el riesgo romperse o Hardware electrónicos (Tablet) en Tablet. realizados. Daño o robo de Pérdida de información importante Por estar ubicados en lugares semiabiertos. están sensores del Clima Seguridad Física de grados y temperatura que estos expuestos al agua y a químicos debido a las aspersiones y ubicados en los sensores capturan en cada bloque. otros factores naturales. Los equipos no cuentan con sus respectivas hojas de vida. donde se puedan identificar el histórico de Hoja de vida de los Falta de trazabilidad en cuanto a los mantenimientos Hardware mantenimientos correctivos. Debido a que la energía es proporcionada directamente por No se cuentan con las UPS necesarias para mantener pro Hardware Suministro de energía Ingenio Providencia S.

responsabilidades en software contable. están expuestos equipos PC y Descontrol del manejo del riego Seguridad Física al robo o daño de estos equipos ya que no está vigilado Controladores automatizado de la finca. Roles y Usuarios del software ERP. información administración de la organización Roles y con permisos "roles" para crear. información restricción. responsabilidades en modificar. robo o pérdida de información Seguridad Lógica Ataques informáticos equipos de cómputo de la relevante para la organización. MIRFE Propagación de malware en los Malfuncionamiento. organización. permanentemente. eliminar y consultar Modificación y consulta inapropiada de registros de Seguridad Lógica registros. intranet y Modificación y consulta inapropiada de registros Seguridad Lógica los sistemas de demás programas usados para la financieros. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Daño o robo de sensores del Clima Seguridad Física También están expuestos a robo ubicados en los bloques No se tiene un control de plagas o Daños en la infraestructura de red o en los equipos Seguridad Física Control de animales roedores tecnológicos ocasionados por animales. Daño o robo en Por estar en lugares dispersos de la finca. . sin ningún tipo de los sistemas de cadena de suministros.

información Por falta de información y capacitación. se corre el riesgo Seguridad Lógica Phishing Recepción de correo malicioso de abrir link que contiene virus que pueden robar o causar daño en la información Falta de firewall y Fortinet para Seguridad Lógica Firewall proteger la red de la organización Robo de información contra ataques externos. No actualización o Seguridad Lógica Firewall Robo de Data de la compañía o de clientes Robustecimiento del Firewall . Falta de firewall y Fortinet para Seguridad Lógica Firewall proteger la red de la organización Accesos no autorizados a la red contra ataques externos. Falta de firewall y Fortinet para Perdida de velocidad de transferencia y/o negación del Seguridad Lógica Firewall proteger la red de la organización servicio contra ataques externos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Roles y responsabilidades en Usuarios con asignación doble de permisos para creación Seguridad Lógica los sistemas de y autorización de documentos.

sanción por la piratería. para un ataque por virus. Por tema legal o auditoria constante Uso de Software sin Demanda por parte del fabricante de software. producción. Sanción de Software la empresa puede tener alguna licencia parte de la Dian. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Acceso o restricciones Acceso a Sitios web que tienen Instalación de malware en los equipos o servidores de Seguridad Lógica a navegación malware o Troyanos. (Internet) Seguridad Lógica Phishing Recepción de correo malicioso Captura de datos e instalación de malware Red sin protección mediante Robo de Data de la compañía o de clientes. . dejándola Seguridad Lógica documentación servidor para algún cliente o expuesta al acceso de todos los usuarios. producto en especial. Contaminación del equipo del desarrollador. Permisión al Seguridad Lógica Redes LAN Firewall hacker al ambiente productivo. Existen malos procedimientos en Ausencia de el alistamiento de un nuevo Mal configuración de la máquina virtual. No se tiene un lugar adecuado para Documentación/Licen guardar todos los documentos de Se puede perder dicha documentación que es importante Software ciamiento PC los equipos como sus licencias y en caso de ser auditada por la Dian programas.

hosting en donde actualmente están subidas. administración de la organización. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Ejecución de software no Licenciamiento de Software licenciado dentro de la Multas de ley por utilización de software no licenciado software organización Sistema antiguo Un computador con sistema Daños en el sistema antiguo por falta de actualización de Software manejado por un solo operativo Windows 98 maneja dicho sistemas operativo y aplicativo que maneja este equipo información de muchos años atrás sistema Poca capacidad de los Falta de instalación computadores para instalar varios Software del programa como Perdida de programas excelente por su poco usp programa de diseño y de como Matlab investigación al tiempo Falta de Software y pc Demora en la elaboración de Perdidas de historias clínicas por falta de computadoras y Software para historias en la historias clínicas software para este proceso clínica Odontológica Páginas web hechas en la Debido a que las herramientas de Joomla estén con una herramienta Joomla las cuales su versión desactualizada o extinta e imposible de Software Ataques informáticos versión está desactualizada u actualizar. . Errores y malfuncionamiento de Sistemas de Fallas en los sistemas los diferentes sistemas Negación de actividades operativas y administrativas de información de información informáticos utilizados para la la organización. puede ser objeto de ejecución de scripts en el obsoleta.

bloquean el usuario Retraso en las labores que realizan las personas que usan información soporte de Soporte. salida del personal. despachos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Suspensión de los servicios Sistemas de Denegación del servicio de correo corporativo. ya que algunos este usuario genérico. lectores de reserva. oficinas etc. MIRFE . y servicios de Google Suite cfiprovidencia. Se retrasa la labor de lectura en Colapso en el proceso de entrada y salida de flor en sistema de la recepción. Daño o robo en Retraso en la toma de decisiones Se corre el riesgo de someter a las plantas en exceso o Sistemas de equipos PC y para actuar ante una necesidad del falta de agua y/o fertilizantes adecuados para su información Controladores riego productividad. pagina Dominio corporativo conexos al dominio información web. bicicleteros. algunos Sistemas de Fallas de conexión de biométricos presentan fallas y no Se corre el riesgo de registrar novedades de ausencia al información Biométricos permite registrar el ingreso o personal o reprocesos de verificación de asistencia. lockers. Por falta de atención o Sistemas de Bloqueo usuario información. Cuando la red falla. acceden con este usuario genérico. salida de Sistemas de Fallas de los lectores recepción y se llenan las bandas de ramos y se podrían las cajas de flor. información arreglo de las cámaras de seguridad portería. por no tener de producción e inventarios. como también de información código de barras pasar cajas o ramos sin leer lo que afecta la información los ramos bonchados.com Se expone el riesgo de mantener la vigilancia por cámaras Sistemas de No hay soporte oportuno para el Cámaras de seguridad en los sitios estratégicos de la empresa.

con las normas No existe un control El personal de las redes. pueden ocasionar daños en otras Cuando se presenta problemas de Redes y de las nuevas conexiones de red que van a otros servidores. No atención oportuna de una desconoce de dónde proviene. despachos. en los switches caída de red. sobre todo energía cableado por encima en los bloques A y C . de paquetes. ya que no lo comunicación o aislamiento se comunicaciones conexiones cableadas realizan bajo una norma. Hay un rack que tiene muchos El cableado supera los 10 años de uso en algunos casos En la sede los router Redes y años y no ha sido cambiado ni sin ser cambiado no tienen contraseñas comunicaciones actualizado Algunos usuarios desconocen temas No hay unas políticas claras de Redes y relacionados con la Algunos router sin contraseñas por lo que cualquier seguridad de la información en la comunicaciones seguridad de la usuario se conecta a la red sede información con que cuentan y manejan Altibajos de energía Bodedos de madera que llevan Redes y en algunos edificios Incendio por falta de mantenimiento en los cableados de muchos años y pasa gran parte del comunicaciones de la sede. como comunicaciones (Internet) banda. recepción de flor. Perdidas DataCenter no cumple comunicaciones comunicación de los servidores. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas El cableado del Redes y Se presenta problemas en la No hay atención oportuna del incidente de red. Acceso o restricciones Acceso a YouTube o emisoras Se ponen lentos los programas que requieren trabajar con Redes y a navegación online que ocupan el ancho de internet y retrasan los procesos informáticos.

Redes y Cableados por fuera Router muy obsoletos para cubrir la cantidad de personas Fallas en la configuración de router comunicaciones de las canaletas que se conectan Redes y Falta de líneas Cableado telefónico en muy mal Cajas telefónicas muy obsoletas y con mucho desorden comunicaciones telefónicas estado . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Falta de capacitación Redes y para las personas del Mucho conflicto por malas conexiones en los diferentes No existe un mapa de redes comunicaciones área de sistemas de la cables sede Redes y Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos comunicaciones el wifi están los cables red(Utp) audiovisuales y de comunicaciones.

La empresa de clientes debe de contar con software que automatice la realización de los respectivos back ups incrementales en dos instancias distintas las cuales son: copia local (En los discos duros NAS) y copia en la nube. Y debido a las políticas que debe tener una empresa de la no-publicación de los nombres y datos personales o conversaciones de usuarios. Consolidar el cuadro de vulnerabilidades.Redes y Comunicaciones Activo Vulnerabilidades Amenazas / Factores Riesgo Usuarios/Desarrollador Error Funcional Todos los desarrolladores tienen Cambio en la estructura por no tener conocimiento del es Información o data acceso a la configuración de la funcionamiento de la aplicación. No existe una recuperación de los datos en caso de de clientes un desastre . Al realizar el consolidado se determinó que los activos en donde más es recurrente la vulnerabilidad son: . manipulación. la información puede ser tomada para de clientes posee un firewall instalado.Seguridad lógica ( seguridad de la información) . cliente.Control de usuarios . para el desarrollo de las actividades laborales. El Desarrollador no tuvo de clientes aplicación que entrega facturación al capacitación a nivel del uso de las aplicaciones de cliente. Información con es Información o data errores. amenazas y/o riesgos existentes para definir el objetivo de la auditoría. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 3. Usuarios/Desarrollador Seguridad de la No respaldo de la información Pérdida o robo de información catalogada como crítica es Información o data Información crítica. Usuarios/Desarrollador Seguridad de la Actualmente el servidor de llamadas Las llamadas y la administración del mismo servidor se es Información o data Información o servidor de telecomunicaciones no pueden ver afectada. Compromete a la empresa en ser más estricta para Usuarios/Desarrollador Copias de Seguridad Perdida de datos No recuperación de la información o data.

intranet y demás programas financieros. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Usuarios/Desarrollador Dispositivos extraíbles No se controla el uso de dispositivos Robo de información confidencial Propagación de virus es Información o data (USB. software Usuarios con asignación doble de permisos para creación responsabilidades en contable. CDS) Usuarios/Desarrollador Antivirus Contracción de Virus sea Gusanos Contaminación del activo. robo o pérdida de información equipos de cómputo de la relevante para la organización. teniendo pérdidas de la es Información o data y/o Troyanos información. los sistemas de usados para la administración de la información organización con permisos "roles" . Seguridad Lógica Roles y Usuarios del software ERP. es Información o data de clientes Usuarios/Desarrollador Contraseñas de Actualmente los usuarios cuentan en Otros usuarios pueden interferir en el trabajo de sus es Información o data usuarios sin las aplicaciones que manejan una compañeros y manipular sus trabajos y datos de de clientes personalizar contraseña que tienen por defecto actividades asignado. discos duros extraíbles dentro de la organización provenientes de estos dispositivos. software Modificación y consulta inapropiada de registros responsabilidades en contable. de clientes Usuarios/Desarrollador Ingeniería Social Suplantación de identidad Captura de contraseñas con acceso a información delicada. Seguridad Lógica Roles y Usuarios del software ERP. de clientes portables. intranet y demás programas y autorización de documentos. sin ningún tipo de restricción. organización. eliminar y consultar registros. Seguridad Lógica Ataques informáticos Propagación de malware en los Malfuncionamiento. modificar. los sistemas de usados para la administración de la información organización con permisos "roles" para crear.

eliminar y . eliminar y consultar registros. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas para crear. Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. sin ningún tipo de restricción. eliminar y consultar registros. Seguridad Lógica Phishing Usuarios del software ERP. modificar. Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. modificar. sin ningún tipo de restricción. modificar. se corre el riesgo contable. intranet y demás programas servicio usados para la administración de la organización con permisos "roles" para crear. Seguridad Lógica Firewall Usuarios del software ERP. intranet y demás programas de abrir link que contiene virus que pueden robar o causar usados para la administración de la daño en la información organización con permisos "roles" para crear. software Perdida de velocidad de transferencia y/o negación del contable. software Por falta de información y capacitación.

Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. . (Internet) Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. modificar. Recepción de correo malicioso Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Instalación de malware en los equipos o servidores de a navegación Recepción de correo malicioso producción. Contaminación del equipo del desarrollador. software Accesos no autorizados a la red contable. No actualización o Robustecimiento del Firewall Seguridad Lógica Firewall Usuarios del software ERP. intranet y demás programas usados para la administración de la Seguridad Lógica Firewall organización con permisos "roles" Robo de Data de la compañía o de clientes para crear. sin ningún tipo Seguridad Lógica Acceso o restricciones de restricción. eliminar y consultar registros. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas consultar registros. sin ningún tipo de restricción.

como (Internet) despachos. No atención oportuna de una en los switches caída de red. Seguridad Lógica Ausencia de Existen malos procedimientos en el Mal configuración de la máquina virtual. dejándola documentación alistamiento de un nuevo servidor expuesta al acceso de todos los usuarios. para algún cliente o producto en especial. Seguridad Lógica Redes LAN Red sin protección mediante Firewall Robo de Data de la compañía o de clientes. lo realizan bajo una norma. para un ataque por virus. Permisión al hacker al ambiente productivo. Perdidas DataCenter no cumple comunicación de los servidores. de paquetes. Redes y comunicaciones El cableado del Se presenta problemas en la No hay atención oportuna del incidente de red. con las normas Redes y comunicaciones No existe un control Cuando se presenta problemas de El personal de las redes. ya que no conexiones cableadas desconoce de dónde proviene. internet y retrasan los procesos informáticos. . No actualización o Robustecimiento del Firewall Acceso a Sitios web que tienen malware o Troyanos. Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. pueden ocasionar daños en otras de las nuevas comunicación o aislamiento se conexiones de red que van a otros servidores. recepción de flor. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Falta de firewall y Fortinet para proteger la red de la organización contra ataques externos. Redes y comunicaciones Acceso o restricciones Acceso a YouTube o emisoras online Se ponen lentos los programas que requieren trabajar con a navegación que ocupan el ancho de banda.

sobre todo en los cableado por encima bloques A y C Redes y comunicaciones Falta de capacitación No existe un mapa de redes Mucho conflicto por malas conexiones en los diferentes para las personas del cables área de sistemas de la sede Redes y comunicaciones Constantemente falla Cables de energía pasan por donde Que se extraigan sin autorización algunos equipos el wifi están los cables red(Utp) audiovisuales y de comunicaciones. Redes y comunicaciones Cableados por fuera de Fallas en la configuración de router Router muy obsoletos para cubrir la cantidad de personas las canaletas que se conectan Redes y comunicaciones Falta de líneas Cableado telefónico en muy mal Cajas telefónicas muy obsoletas y con mucho desorden telefónicas estado . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Redes y comunicaciones En la sede los router no Hay un rack que tiene muchos años y El cableado supera los 10 años de uso en algunos casos sin tienen contraseñas no ha sido cambiado ni actualizado ser cambiado Redes y comunicaciones Algunos usuarios No hay unas políticas claras de Algunos router sin contraseñas por lo que cualquier desconocen temas seguridad de la información en la sede usuario se conecta a la red relacionados con la seguridad de la información con que cuentan y manejan Redes y comunicaciones Altibajos de energía en Bodedos de madera que llevan Incendio por falta de mantenimiento en los cableados de algunos edificios de la muchos años y pasa gran parte del energía sede.

ORGANIGRAMA GENERAL .C. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 4. EMPRESA SELECCIONADA PARA AUDITAR La Universidad Antonio Nariño cuenta con 37 sedes a nivel nacional y la sede Principal se encuentra ubicada en la ciudad de Bogotá D. Seleccionar la empresa que va a ser auditada dentro de las propuestas enviadas.

La Dirección de Tecnologías de Información y Comunicaciones (DTIC) es una dependencia adscrita a la Vicerrectoría Administrativa que articula los servicios que requiere la Universidad en materia de software e infraestructura tecnológica. todas estas personas quienes dirigen el sistema a nivel nacional se encuentran en la ciudad de Bogotá que a su vez delegan algunas funciones a las diferentes sedes. los cargos y funciones del personal que atiende los servicios del área informática. allí se encuentran los monitores de centros de cómputos quienes son los responsables en cada una de las ciudades donde hay una UAN  Director TIC  Jefe centro de apoyo para el aprendizaje virtual CAAV:  Jefe universidad virtual:  Jefe sistema de información financiero y administrativo SIFA:  Administrador de redes e internet: Web master . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Recursos y sistemas de información. Cuenta con los siguientes cargos en área en el área informática.

2. 5.2. teniendo en cuenta un constante flujo de los datos a través de la red y elaborando un esquema de seguridad. Objetivos Específicos 5.2. comprometiendo políticas de contraseña. 5. políticas de internet y correo electrónico. 5. Planeación de la auditoria. Objetivo General Realizar la auditoria a la red de datos.2 Revisar el cableado estructurado de la red con el fin de saber el estado en que se encuentra y verificar la posibilidad de cambiar algunos dispositivos como hub por Switch. a la seguridad de la información y control de usuarios de la Universidad Antonio Nariño ubicada en la ciudad de Palmira. 5.2.4 Evaluar copias de respaldo de la información sensible de la organización y contar con una copia fuera de sus instalaciones o según las políticas establecidas por la universidad. 5.5 Identificar si el bloqueo de navegación no permitida ó limitación de páginas web por firewall instalado es efectivo mediante pruebas con instalaciones de aplicaciones de navegación externas u otras formas de ingreso no recomendables. 5. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 5.1.6 Evaluar políticas para el uso adecuado de las Tecnologías de información y comunicación. políticas para el uso del software y políticas de capacitación .2.2. 5.1 Reconfigurar y dar una mejor ubicación a los dispositivos de wifi para dar una mejor cobertura de internet.3 Identificar las amenazas y vulnerabilidades a las que están supeditados los procesos activos y críticos durante su operación.2.

4 Metodología Se utilizará como metodología de trabajo el uso de la norma CobIT que contempla dentro de sus procesos un plan que evalúa tecnologías de información y comunicaciones en los procesos empresariales. . . 5.Navegación en páginas no permitidas según políticas de la Universidad. . .2. Solicitar mapa de la estructura de red. Mantenimiento de la Red De la seguridad de la información se evaluará los siguientes aspectos: . Metodología Objetivo 5. .Capacitación a los usuarios en el manejo adecuado y seguridad de la información. Licenciamiento de los equipos estén en regla.2. Patrón de contraseñas en cada equipo .Bloqueo de equipos. . .2 . Solicitar inventario de los dispositivos (Switch) . Ubicación y acceso de routers. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 5. Conocer el estado del cableado. Archivos maliciosos descargados y/o ejecutados . La seguridad de la Red Corporativa .1 .3 Alcance De la red de datos se evaluará los siguientes aspectos: .Solicitar mapa y/o ubicación de los dispositivos de Wifi Metodología Objetivo 5. El cableado estructurado de la red.Conocer los problemas más frecuentes en la red por parte del TI de la Universidad . Copias de seguridad Del control de usuarios se evaluará los siguientes aspectos: . Programa de Antivirus . . Verificar el estado de los dispositivos (Switch).

Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Metodología Objetivo 5.Solicitar acceso para verificar las copias de seguridad.Computador Portátil . Luis Carlos Cabal . lápices . 5.2.5 .Cámara fotográfica para pruebas que servirán de evidencia .5 .2.2. Metodología Objetivo 5.Solicitar registro de capacitaciones realizadas en el manejo de tecnología y de los sistemas. Jeisson Lenis Recursos Tecnológicos: . Metodología Objetivo 5.Solicitar plan de seguridad de la información según políticas de la Universidad. Paola Andrea Rodríguez . .Solicitar esquema de seguridad de la red Metodología Objetivo 5. Roberto José Serrano .Solicitar plan de seguridad de la información según políticas de la Universidad.Validar el acceso y navegación a las páginas web no autorizadas según políticas de la Universidad. .Solicitar plan de políticas de la Universidad en cuanto a la navegación de las páginas web no autorizadas.Papel (listas de chequeo) . Diego Fernando Varela .3 . .4 .Esferos. .2.Software para pruebas de auditoría sobre escaneo y tráfico en la red.5 Recursos humanos: .

2 Solicitud de información para auditoria 1.1 Reunión de apertura 1.000 Computador Portátil 1 2.1 Bloqueo de equipos 4.000 Papel (listas de chequeo.2 Seguridad de la Red Corporativa 2.2 ejecutados 3.4 Licenciamiento de los equipos 3.408. 50 2500 informe) Esferos.2 Navegación en páginas no permitidas según políticas de la Universidad .1 Patrón de contraseñas en cada equipo Archivos maliciosos descargados y/o 3.4 Mantenimiento de la Red 3 Seguridad de la información 3.3 Planteamiento auditoria 2 Red de Datos 2.000. lápices 5 6. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Recursos Económicos: Ítem Cantidad subtotal Cámara digital 1 400.5 Copias de seguridad 4 Control de Usuarios 4.6 Cronograma CRONOGRAMA AUDITORIA UNIVERSIDAD ANTONIO NARIÑO SEMANA SEMANA SEMANA TAREAS SEMANA 1 2 3 4 RECURSOS 13 abril de 2018 a 13 mayo de 2018 1 Apertura Auditoria 1.3 Programa de Antivirus 3.3 Ubicación y acceso de routers 2.500 5.1 Estructura del cableado de Red 2.000 Total 2.

3 Informe auditoria . Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Capacitación a los usuarios en el 4.3 manejo adecuado y seguridad de la información 5 Cierre auditoria 5.2 Hallazgos 5.1 Reunión de cierre 5.

4 Evaluación de Riesgos de TI económicas para mitigar los riesgos. procesos y objetivos de control de la norma CobIT que será aplicada. procesos y objetivos de control que se aplicaran en la auditoria son: DOMINIO PROCESOS OBJETIVOS DE CONTROL El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las PO6.5 Comunicación de los Objetivos y la Dirección de TI Planificación y Organización Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las PO9. Teniendo en cuenta la norma CobIT 4. necesitándose para esto estándares para traducir las opciones estratégicas en reglas PO6.2 Capacidad y Desempeño Actual . tomando medidas PO9.3 Administración de Políticas para TI de usuario prácticas y utilizables.1 Planeación del Desempeño y la Capacidad Servicios y objetivo es asegurar que la capacidad adecuada DS3 soporte está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Administración de desempeño y capacidad: El DS3.1 Marco de Trabajo de Administración de Riesgos amenazas hacia la provisión de servicios de TI.3 Identificación de Eventos PO9 organización en la identificación de riesgos de TI y en el análisis de impacto.5 Respuesta a los Riesgos PO9.1 Ambiente de Políticas y de Control aspiraciones de la gerencia.4 Implantación de Políticas de TI PO6. De acuerdo al objetivo de la auditoría.1. PO6. PO9. PO9. a través de políticas PO6. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas 6. DS3.2 Riesgo Corporativo y Marco de Referencia de Control establecidas y transmitidas a la comunidad de PO6 Interno de TI usuarios. elegir los dominios.2 Establecimiento del Contexto del Riesgo mediante la participación de la propia PO9. los dominios.

9 Prevención. divulgación.1 Administración de la Seguridad de TI es salvaguardar la información contra uso noDS5.6 Definición de Incidente de Seguridad DS5 DS5. Detección y Corrección de Software Malicioso DS5.3 Administración de Identidad pérdida.5 Monitoreo y Reporte Garantizar la seguridad de sistemas: El objetivo DS5. DS3.4 Disponibilidad de Recursos de TI DS3.1 Identificación de Necesidades de Entrenamiento y DS6 objetivo es asegurar que los usuarios estén Educación Roberto haciendo un uso efectivo de la tecnología y DS7.3 Capacidad y Desempeño Futuros desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo.10 Seguridad de la Red DS5. Vigilancia y Monitoreo de la Seguridad autorizados. manejo y demanda de recursos.2 Plan de Seguridad de TI autorizados. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas realizando controles de manejo de capacidad y DS3.11 Intercambio de Datos Sensitivos Educación y entrenamiento de usuarios: El DS7. daño o DS5. tamaño de aplicaciones. datos y programas está restringido a usuarios DS5.8 Administración de Llaves Criptográficas DS5. modificación.2 Impartición de Entrenamiento y Educación Serrano estén conscientes de los riesgos y responsabilidades involucrados realizando DS7.3 Evaluación del Entrenamiento Recibido . DS5.5 Pruebas.7 Protección de la Tecnología de Seguridad DS5.4 Administración de Cuentas del Usuario que aseguren que el acceso a sistemas. realizando controles de acceso lógico DS5.

1 Requerimientos del Negocio para Administración asegurar que los datos permanezcan de Datos completos. polvo. Administración de la configuración: El objetivo DS9.1 Selección y Diseño del Centro de Datos es proporcionar un ambiente físico conveniente DS12. Administración de Datos: El objetivo es DS11.2 Acuerdos de Almacenamiento y Conservación DS11 almacenamiento. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas un plan completo de entrenamiento y desarrollo.4 Protección Contra Factores Ambientales .6 Requerimientos de Seguridad para la Administración de Datos Administración de las instalaciones: El objetivo DS12. precisos y válidos durante su entrada.2 Identificación y Mantenimiento de Elementos de prevenir alteraciones no autorizadas. medios Serrano DS11. calor DS12. verificar Configuración la existencia física y proporcionar una base para DS9 el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI así como su localización física y un DS9.2 Medidas de Seguridad Física DS12 que proteja al equipo y al personal de TI contra DS12.1 Repositorio y Línea Base de Configuración es dar cuenta de todos los componentes de TI.5 Respaldo y Restauración DS11.4 Eliminación DS11.3 Acceso Físico peligros naturales (fuego.3 Revisión de Integridad de la Configuración programa regular de verificación que confirme su existencia. salida y DS11. a través de una combinación efectiva de controles generales DS11. actualización. DS9.3 Sistema de Administración de Librerías de Roberto y de aplicación sobre las operaciones de TI.

. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas excesivo) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento DS12.5 Administración de Instalaciones Físicas apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.

verificar la existencia física y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI. LUIS CARLOS CABAL Procesos DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas Se realizará acompañamiento sobre cada Dominio. daño o pérdida. PAOLA ANDREA RODRIGUEZ Procesos DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo. prevenir alteraciones no autorizadas. datos y programas está restringido a usuarios autorizados. divulgación. DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso no autorizados. polvo. calor excesivo) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su . a través de políticas establecidas y transmitidas a la comunidad de usuarios. DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego. necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables. Procesos y objetivos de control por cada uno selecciona el proceso que se va a trabajar en la auditoria. modificación. realizando controles de acceso lógico que aseguren que el acceso a sistemas. así como su localización física y un programa regular de verificación que confirme su existencia. ROBERTO JOSE SERRANO PEREZ Procesos PO6 El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia.

realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. precisos y válidos durante su entrada. mediante la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto. PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI. actualización. DIEGO FERNANDO VARELA HEREDIA Procesos DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. tamaño de aplicaciones. a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. manejo y demanda de recursos. JEISSON LENIS MARULANDA Procesos DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos. . tomando medidas económicas para mitigar los riesgos. salida y almacenamiento.

es una herramienta que permite ejercer control sobre el activo más importante de una compañía. . el cual es la información. debemos tener los conceptos claros de la unidad formativa. planes de acción proyectos. o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual se mueve la información. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas CONCLUSIÓN La auditoría de sistemas. esto con el propósito de salva guardar toda la infraestructura dentro de una compañía. La auditoría de sistemas nos permitirá generar correctivos. por medio de planes de trabajo. como profesionales de sistemas.

Auditoría en Informática. Auditoría de seguridad informática. Solarte. Á.co/2011/11/conceptos. De http://hdl. Técnicas de la auditoría informática. Recuperado de http://auditordesistemas.blogspot. Auditoria informática.61 F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3 . México: Editorial McGraw- Hill.scribd. F. http://bibliotecavirtual. Recuperado de. Espino.unad.html Derrien. Recuperado de http://bibliotecavirtual. Y. Ciudad de México. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas BIBLIOGRAFÍA Referencias bibliográficas requeridas Derrien.co:2077/lib/unadsp/reader. Técnicas de la auditoría informática. (2014). (Productor). (30 de noviembre de 2011).unad.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+de+ sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de vulnerabilidad. A. Auditoría informática y de sistemas. Recuperado de http://bibliotecavirtual.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.edu. F.unad. (2012).unad. M. G.com.edu. J.handle.action?docID=11038908&ppg=4 Gómez. N.edu. amenaza y riesgos y su clasificación.61 F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c 3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas% 20de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=D OI: Echenique. Recuperado de https://es. J. (2016).edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb. (2009). Recuperado de https://books.com/document/252662002/Libro-Auditoria-informatica Tamayo. (2001). Riesgos informáticos y su clasificación. (2009).google.co:2077/lib/unadsp/detail. Fundamentos de auditoría. (2001).net/10596/10236 Solarte. N.com. Auditoría de sistemas una visión práctica. Y. (2014). Recuperado de http://bibliotecavirtual. J. A.action?docID=11046196 Huesca. G.

action?docID=11046196 .unad.action?docID=11038908&ppg=4 Gómez. A.edu.co:2077/lib/unadsp/detail. Universidad Nacional Abierta y a Distancia – UNAD Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas Curso: Auditoria de Sistemas %a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20 de%20la%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI: Echenique. Auditoría de seguridad informática. Recuperado de.unad. http://bibliotecavirtual. M. (2001).co:2077/lib/unadsp/reader. Ciudad de México. J. (2014). Fundamentos de auditoría. Espino. Á. http://bibliotecavirtual. G. Recuperado de. Auditoría en Informática.edu. México: Editorial McGraw- Hill. (2014).