Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fase 3 - Andres Hernandez
Fase 3 - Andres Hernandez
PRESENTADO POR
ANDRES HERNANDEZ
CÓDIGO: 1.077.970.122
PRESENTADO A
GRUPO: 90168_65
TUNJA/BOYACÁ
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos
deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las
decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento
incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es
detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como
sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.
Para esta fase debemos identificar las vulnerabilidades, amenazas y riesgos informáticos a que se
ve expuesta la organización empresarial, para determinar las causas que originan los riesgos y
también con estos con estos controles logramos mantener de la mejor forma estados financieros o
la parte informática de la empresa este control busca siempre la mayor eficacia para la empresa,
el control interno informático es el que principalmente trabajamos en este trabajo haciendo uso
OBJETIVOS
OBJETIVO GENERAL
ve expuesta la organización empresarial, para determinar las causas que originan los
OBJETIVOS ESPECÍFICOS
Realizar cuadro de riesgos, causas que los originen y los controles definidos para cada
uno de ellos.
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de
Proceso N° 1
Dominio: DS11
Objetivos de control.
DS11.4 Eliminación
1.2. Entrevista.
Cada 2 meses.
Si, se tiene 3 discos externos de 2TB cada uno y allí es guardado todo lo que se realizan
Si, la empresa nos ha hablado mucho de este tema por cuanto se tiene contacto con
Si cuenta con aplicativos, pero son controlados por la sede principal que está en
Barranquilla.
9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?
__________________________ _________________________
FIRMA FIRMA
LISTA CHEQUEO
DS11
DOMINIO PROCESO Administración de Datos
DS11.1 Requerimientos del Negocio para Administración de
OBJETIVO DE CONTROL
Datos
CONFORME
N.º ASPECTO EVALUADO OBSERVACIÓN
SI NO
1 ¿El manejo de la información la realiza X La información es
un tercero u proveedor? manejada por la empresa
OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación
En algunos casos se utiliza
¿Cuentan con control del
2 X discos externos para lo
almacenamiento de la información?
Backup
OBJETIVO DE CONTROL DS11.3 Sistema de Administración de Librerías de medios
¿Dentro de las copias de seguridad se
No conozco, pero me
3 estructura algún tipo de control o X
supongo que debe tenerlo
seguimiento?
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe estar
¿Cuentan con versionamiento en las disponible en cualquier
4 X
copias de seguridad? momento y para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
¿Cuentan con un plan en caso de tener En la sede solo contamos
5 alguna perdida o daño sobre la X con lo que se guarda en el
información? Backup de quipos
DS11.6 Requerimientos de Seguridad para la Administración de
OBJETIVO DE CONTROL
Datos
¿Cuentan con políticas para la protección Si la empresa es muy clara
6 X
de datos? en ese sentido
2.2.3 CUESTIONARIO.
ETAPAS PRUEBAS
ETAPA DESCRIPCIÓN
RECOLECCIÓN DE
INFORMACIÓN Se pretende recolectar gran volumen de información oficial.
Para este caso fueron usadas:
EXAMINAR
Querying System (sistema de consulta), y documentación DNS.
EQUIPAMIENTO
INFORMÁTICO
Se emplea: TraceRoute (marca el trayecto de la red),
Transmisión de sector Sistema de Nombre de Dominio (brindan
información de los hosts existentes en el sector y de la dirección
IP).
Rastreo de puertos. El mapeo ofrece información sobre que
puertos percibe un host. Todo puerto
abierto es muy vulnerable.
ANALIZAR LOS Se aplican herramientas de escaneo de puertos y fingerprinting para
EQUIPOS adquirir información acerca de la versión y sistema operativo que
están montados.
EXAMINAR LOS Aplicando estudio útil, ordenado, ejecutando ataques contra la
PROGRAMAS confirmación de la identidad de un individuo, permisos,
información, condición última de
los procedimientos y los usuarios.
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso
evaluado.
RIESGOS DETECTADOS
ÍTEM RIESGO DOMINIO PROCESOS OBJETIVOS DE CAUSAS
CONTROL
DETALLADOS
1 Error Monitoreo y Monitorear y Monitorear de manera Los errores
humano Evaluación evaluar el interna y de forma continua, humanos se
control interno estos se hacen a pueden producir
profundidad para evitar los por una
riesgos. distracción del
funcionario, una
mala
preparación del
mismo o un
descuido.
2 Robo Adquirir e Adquirir Garantizar la adquisición de Fallas internas
de archivos implementar recursos de TI hardware, software, en la parte de
o equipos infraestructura e seguridad y
instalaciones que satisfagan vigilancia de la
las necesidades de la empresa o
empresa posible robo por
parte del
personal de la
empresa
- Vulnerabilidades
laboral.
- Riesgos
proceso.
6.
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias de
seguridad X X
periódicas
R2 Se presentan
problemas por
falta de X X
conocimiento
sobre las políticas.
R3 No existe una
política clara
sobre la
protección y X X
seguridad de la
información.
R4 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R5 Afectación de la
integridad de los X X
datos.
R6 Afectación de la
disponibilidad del
respaldo de la X X
información de
los procesos.
R7 Falta de personal
debidamente
autorizado para la
realización de las X X
actividades del
proceso.
IMPACTO
7. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.
CONCLUSIONES
La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más
debemos tener los conceptos claros de la unidad formativa, esto con el propósito de salva
La auditoría de sistemas nos permitirá generar correctivos, por medio planes de trabajo,
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
url=http://search.ebscohost.com/login.aspx?
direct=true&db=aci&AN=127420924&lang=es&site=eds-live
Solarte Solarte, F. ( 21,12,2016). Metodología de la auditoria con estándar CobIT. [Archivo