Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estudiante:
CARLOS JARAMILLO CRUZ
Cód. 1082928952
GRUPO:
90168_5
TUTOR
FRANCISCO NICOLAS SOLARTE
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas
y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de
la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por
ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria
Informática.
La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que
se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, también se define como: Revisor de Cuentas colegiado. En un principio esta
definición carece de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y eficacia.
OBJETIVOS
Objetivo General
Objetivos Específicos
es una compañía privada establecida en Colombia con una trayectoria de más de 42 años de
liderazgo en el diseño, construcción y montaje de obras de infraestructura para el desarrollo
del país, tanto para el sector público como privado.
1. Ubicación:
Calle 110 No 9-25 Of. 1705. Bogotá, D.C. - Colombia.
2.
3. Departamento de Informática
Objetivos:
El Departamento de Informática es el responsable de elaborar, desarrollar y proponer
la implementación de nuevas tecnologías y sistemas informáticos dentro de la
Dirección General de Administración y Finanzas.
Elaborar planes de mantenimiento preventivo y brindar soporte técnico solicitado por
las distintas unidades administrativas de la Administración General.
Subordinación:
El Departamento de Informática está subordinado directamente de la Coordinación
de Recursos Administrativos.
Funciones:
1. Proponer y acompañar los Sistemas de Control Informáticos a ser implementados
en las diferentes áreas de la empresa
2. Apoyar directamente la capacitación adecuada de los responsables operativos,
para garantizar la total implementación de los Sistemas Informáticos.
3. Proponer y acompañar los sistemas Informáticos de Control en las diferentes
áreas que afectan a la Dirección General de Administración Finanzas.
4. Investigar, desarrollar e implantar innovaciones en temas referentes a sistemas
informáticos que puedan ser aplicados a la Dirección General de Administración
y Finanzas.
5. Coordinar y / o Asesorar el análisis, diseño o desarrollo de los sistemas
informáticos y / o propuestos, en acción integrada con otras dependencias de
Conequipos.
6. Proponer, Planificar y Realizar el desarrollo informático de la Dirección General
de Administración y Finanzas en el marco de las políticas institucionales de la
empresa.
7. Impulsar el adecuado uso de los recursos informáticos de la Dirección General de
Administración y Finanzas, como herramienta de Gestión.
8. Participar en los lineamentos generales y específicos de planificación, evaluación
y gestión en las adquisiciones de los recursos informáticos para la Administración
General.
9. Velar y mantener en buen funcionamiento, los recursos informáticos de la
Administración General estableciendo políticas de gestión informática para sus
efectos.
- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de
la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende
evaluar.
- Los objetivos específicos que son los fines individuales que se pretenden para el logro del
objetivo general, donde se señala específicamente los sistemas, componentes o elementos
concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar
aspectos específicos del área informática y de los sistemas computacionales tales como: la
gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las
funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la
operación de los sistemas en producción, los programas de capacitación para el personal del
área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y
accesos a las mismas, protección de las copias de seguridad y la restauración de la
información, entre otros aspectos.
La auditoría se realizará en las siguientes áreas: el hardware donde también se realiza una
evaluación en las áreas de más criticidad como lo son software, seguridad física, y sistemas
operativos.
El software: el alcance que tendrá esta auditoria es con respecto al software de verificar el
correcto uso de los equipos, licencias, antivirus y la verificación del equipo tal que tiene que
concordar con lo que se tiene físicamente documentado, en este caso lo que se tiene sobre el
software.
Alcance de la Auditoria
Organización y cualificación del personal de Seguridad.
Remodelar el ambiente de trabajo.
Planes y procedimientos.
Sistemas técnicos de Seguridad y Protección.
Planes y procedimientos
Políticas de Mantenimiento
Inventarios Ofimáticos
Capacitación del Personal
aspectos serán evaluados de cada activo informático
Conexiones
Cifrado
Salidas gateway y routers
Correo Electrónico
Páginas WEB
Firewalls
METODOLOGÍA
- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo
de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se
pretende evaluar.
- Los objetivos específicos que son los fines individuales que se pretenden para el logro
del objetivo general, donde se señala específicamente los sistemas, componentes o
elementos concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de los sistemas computacionales
tales como: la gestión administrativa del área informática y el centro de cómputo, el
cumplimiento de las funciones del personal informático y usuarios de los sistemas, los
sistemas en desarrollo, la operación de los sistemas en producción, los programas de
capacitación para el personal del área y usuarios de los sistemas, protección de las bases
de datos, datos confidenciales y accesos a las mismas, protección de las copias de
seguridad y la restauración de la información, entre otros aspectos.
Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que
sirven de guía; la estimación de los recursos humanos, materiales e informáticos que
serán utilizados; los tiempos estimados para las actividades y para la auditoria; los
auditores responsables y participantes de las actividades; Otras especificaciones del
programa de auditoría.
Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final
de auditoría y complementarlo con el dictamen final, para después presentarlo a los
directivos del área auditada para que conozcan la situación actual del área, antes de
presentarlo al representante o gerente de la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo
cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que
luego se llevan a documentos formales.
Elaborar el Dictamen Formal: El último paso de esta metodología es presentar
formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la
empresa donde se informa de los resultados de la auditoria. Tanto el informe como el
dictamen deben presentarse en forma resumida, correcta y profesional. La presentación
de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje
claro tanto en el informe como en la exposición del mismo. El informe debe contener los
siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de
situaciones relevantes y los anexos y cuadros estadísticos.
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los
directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada
uno de los auditores. La integración del dictamen y el informe final de auditoría deben
ser elaborados con la máxima perfección, tratando de evitar errores. También deben
contener de manera clara y concreta, las desviaciones detectadas en la evaluación.
CRONOGRAMA DE ACTIVIDADES
FASE ACTIVIDAD TIEMPO ESTIMADO
Conocimiento del sistema 1.Identificar el origen de la
o área auditada auditoria.
2.Realizar visitas para
conocer procesos, activos
informáticos, procesos y 2 DIAS
organización del área
auditada.
3.Determinar las
vulnerabilidades, y
amenazas informáticas a
que está expuesta la
organización.
4.Determinar el objetivo de
la auditoría de acuerdo a
las vulnerabilidades, y
amenazas informáticas
encontradas.
1.Elaborar el plan de
auditoría
2.Seleccionar los
estándares a utilizar de
acuerdo al objetivo CobIT
3.De acuerdo al estándar 8 DIAS
elegido, seleccionar los
ítems que serán evaluados
que estén en relación
directa con el objetivo y
alcances definidos en el
Planeación de la plan.
Auditoria de Sistemas
4. Seleccionar el equipo de
trabajo y asignar tareas
específicas
5.Determinar las
actividades que se llevarán
a cabo y los tiempos en que
serán llevadas a cabo en
cada ítem evaluado.
(Programa de auditoría)
6.Diseñar instrumentos
para recolección de
información (formatos de
entrevistas, formatos de
listas de chequeo, formatos
de cuestionarios)
7.Diseñar el plan de
pruebas (formato pruebas)
1.Determinar las
soluciones para los
hallazgos encontrados
(controles)
1 DIA
Resultados de la 2.Elaborar el Dictamen
Auditoria de Sistemas para cada uno de los
procesos evaluados.
3.Elaborar el informe final
de auditoría para su
presentación y sustentación
4.Integrar y organizar los
papeles de trabajo de la
auditoria
5.Diseñar las políticas y
procedimientos integrando
los controles definidos
OBJETIVO DE CONTROL
N pregunta SI NO NA REF
1 ¿Existe un marco de referencia para la 4
evaluación sistemática de los riesgos a los
que está expuesta la infraestructura
tecnológica de la institución?
2 ¿Se realiza la evaluación de los riesgos que 4
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
3 ¿Se realiza actualización de los diferentes 3
tipos de riesgos que pueden afectar la
infraestructura tecnológica?
4 ¿Se utilizan métodos cualitativos o 4
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar la
infraestructura tecnológica?
5 ¿Existe un plan de acción para mitigar los 4
riesgos de la infraestructura tecnológica de
forma segura?
6 ¿Se monitorea el plan de acción? 3
TOTAL 3 19
TOTAL CUESTIONARIO 22
Porcentaje de riesgo parcial = (3 * 100) / 22 = 13,63 %
Porcentaje de riesgo total = 100 – 13,63 = 86,36 %
PORCENTAJE RIESGO 86,36 % (Riesgo Alto)
ANÁLISIS DE RIESGOS
En el siguiente informe veremos planteado todos los seguimientos que se ha realizado a los
procesos teniendo encuentra las pruebas que se han recolectado con las diferentes
herramientas implementadas siguiendo siempre las guía CobiT 4.1, para poder visibilizar
todos los hallazgo o posibilidades de amenazas a las cuales actualmente se encuentra la
empresa auditada.
Teniendo en cuenta todo lo anteriormente planteado se van a exponer los riesgos:
RIESGOS:
1. Instalación de programas de dudosa procedencia.
2. Equipos con bajo rendimiento por los años de uso continuo.
3. Daño en el sistema eléctrico de los equipos de cómputo por falta de mantenimiento
preventivo que jamás se realizó.
4. No hay una hoja de vida de la existencia de los equipos
5. No existe monitorio continuo de software instalado en los equipos de cómputo.
6. Inexistentes actualizaciones antivirus que ayuden a mitigar los riesgos palpables en
la internet al día de hoy.
7. La falta de creación de usuarios según el rol desempeñado en la empresa.
8. Carencia de Backup que son necesarios al momento de perdida de la información.
Siguiendo con el análisis tendremos que hablar de la Probabilidad, que tiene su escala de
medición y se refiere a la frecuencia con se presenta el problema en un periodo de tiempo
determinado, es decir el número de veces que el problema se presenta en un año, mes o
semana de acuerdo a la escala de tiempo elegida. Por ejemplo, la frecuencia de que se
presente un virus en los computadores puede llegar a darse una o varias veces en la semana,
un corte de energía puede presentarse una vez cada dos meses, el daño de un equipo puede
presentarse cada seis meses. De acuerdo a estas escalas se debe hacer la medición teniendo
la escala de valoración cualitativa (alto, medio, bajo).
EVALUACIÓN DE RIESGOS
PROBABILID IMPACTO
RIESGOS/VALORACION AD
A M B L M C
Hardware
R1 Uso inadecuado de los equipos X X
R2 Existe sistema de respaldo eléctrico (UPS) X X
R3 Esta en buen estado el sistema de protección X X
eléctrica contra descargas eléctricas
REDES
R4 Actualmente no existen políticas ni X X
procedimientos escritos para la seguridad de
la red
R5 No existen políticas ni procedimiento para X X
mantenimiento de redes
R6 No existe políticas ni procedimientos para el X X
inventario de los componentes de la red
R7 no existen asignaciones de responsabilidades X X
con respecto a las redes
R8 Entrada de virus a la red X X
SEGURIDAD FÍSICA
R9 No se cuenta con sistema de seguridad para X X
evitar robos
R10 Es vulnerable a atentados contra la X X
infraestructura
INFRAESTRUCTURA
R11 La infraestructura es inadecuada X X
R12 El área de computo esta climatizada X X
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
REF_PT:
Cuadro de control de riesgos. Equipos informáticos de la empresa.
CONSECUENCIAS:
Cualquiera podría utilizar los equipos de la empresa de manera malintencionada.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Catastrófico.
RECOMENDACIONES:
Se recomienda la creación de un directorio activo el cual le establezca un usuario y
contraseña a cada empleado.
REF
HALLAZGO
HPO01
REF_PT:
Cuadro de control de riesgos. Equipos informáticos de la empresa.
CONSECUENCIAS:
Podrían presentarte errores en el sistema o en los programas instalados, e incluso fallos
de seguridad.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Moderado.
RECOMENDACIONES:
Es necesario aplicar los parches de seguridad y actualizaciones regulares y
acumulativas, tanto a los sistemas operativos, así como a todo el software instalado,
para solucionar u evitar agujeros de seguridad o bugs conocidos.
REF
HALLAZGO
HPO01
REF_PT:
Entrevistas, y cuestionarios.
CONSECUENCIAS:
Podrían presentarse problemas en el manejo de los equipos, y también errores en el
manejo de los programas.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Moderado.
RECOMENDACIONES:
Se recomienda diseñar e implementar un cronograma de capacitaciones para los
empleados que se encuentran a cargo de las tecnologías de información de la compañía.
REF
HALLAZGO
HPO01
REF_PT:
Cuadro de control de Riesgos, Entrevistas.
CONSECUENCIAS:
Si llegaran a presentarse riesgos no habría una manera adecuada para gestionarlos,
impidiendo su corrección.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Moderado.
RECOMENDACIONES:
Es necesario crear e implementar un plan para la gestión de los incidentes que se puedan
presentar en la compañía.
REF
HALLAZGO
HPO01
REF_PT:
Equipos de cómputo, Cuadro de control de Riesgos.
CONSECUENCIAS:
Fugas de información, robo y o suplantación de datos.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Moderado.
RECOMENDACIONES:
Es necesaria la implementación de políticas de seguridad estrictas para el copiado de
información a dispositivos externos.
PROCESO P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI.
b. Dictamen Individual:
Se establece en nivel de madurez es de 0 No Existente, porque no existe marco de referencia
para la evaluación de los riesgos, tampoco se realiza la evaluación de los riesgos que afectan
la infraestructura, además no cuentan con un plan de acción para mitigar los riesgos, ni un
plan de capacitaciones para los empleados.
c. Hallazgos:
Deficiente control de acceso a las aplicaciones y equipos, debido a que no existe una
contraseña de usuario establecida para cada empleado.
Existencia de vulnerabilidades en los sistemas operativos y softwares instalados por
falta de aplicación de actualizaciones regulares.
No existe un programa de capacitaciones para los empleados, que se encuentran al
frente del manejo de los sistemas de información.
No existe un plan de gestión para los incidentes de seguridad que pudiesen
presentarse.
No existe una política para controlar su copia en sistemas de almacenamiento
externos como son memorias USB y discos duros.
d. Recomendaciones:
Se recomienda la creación de un directorio activo el cual le establezca un usuario y
contraseña a cada empleado.
Es necesario aplicar los parches de seguridad y actualizaciones regulares y
acumulativas, tanto a los sistemas operativos, así como a todo el software instalado,
para solucionar u evitar agujeros de seguridad o bugs conocidos.
Se recomienda diseñar e implementar un cronograma de capacitaciones para los
empleados que se encuentran a cargo de las tecnologías de información de la
compañía.
Es necesario crear e implementar un plan para la gestión de los incidentes que se
puedan presentar en la compañía.
Es necesaria la implementación de políticas de seguridad estrictas para el copiado de
información a dispositivos externos.
CONCLUSION