Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ALCANCE:
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
Infraestructura
Gestionar el Inventario de Hardware (Servidores y almacenamiento).
Gestionar el licenciamiento de Software.
Administrar los servidores, almacenamiento y sistemas operativos.
Red de comunicaciones
Administrar los equipos de comunicación.
Administrar el cableado estructurado.
Administrar la planta telefónica.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
Seguridad
Definir e implantar política de seguridad informática.
Definir esquema de seguridad en sistemas de información de acuerdo a
las mejores prácticas.
Aplicaciones
Administración de roles y usuarios de los sistemas
Copias de seguridad y pruebas de restauración de información
Soporte
Atender los incidentes reportados por medio de la mesa de ayuda
(soporte nivel 1).
Administrar las herramientas de apoyo (Antivirus, Backup,
actualizaciones etc.)
Gestionar la creación y actualización de cuentas de usuario
1. ADMINISTRACION DE USUARIOS
2. INSTALACION Y USO DE SOFTWARE
3. SEGURIDAD DE LA INFORMACION DE EQUIPOS
4. USO DE INTERNET
5. ADMINISTRACIÓN DEL BUZÓN DE CORREO ELECTRÓNICO
Igualmente la entidad cuenta con otro documento para socializar con el usuario final los lineamientos
establecidos para garantizar la adecuada utilización de los recursos informáticos y de comunicaciones
disponibles en todas las sedes de Soluciones Inmediatas S.A, el documento en referencia es el MANUAL
DE TECNOLOGÍA Y SISTEMAS DE INFORMACIÓN PARA EL USUARIO FINAL identificado con código
TIMN03.
Este documento define los lineamientos sobre los siguientes temas al interior de la compañía:
Capacitación
Producto de lo anterior se concluye que le entidad cuenta con unas políticas de seguridad de la
información documentadas y que definen los lineamientos para los usuarios y el área informática aplique
en sus funciones diarias, adicional a ello se encuentran actualizadas de acuerdo a información de control
de cambios.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
ejecución del backup, software de ejecución de los backup para servidores y sistemas como QUERYX y
CGUNO, así como tampoco se observaron prácticas de restauración de información.
No evidenciamos un control preventivo de monitoreo continuo sobre las actualizaciones efectivas de los
parches de seguridad o paquetes de servicios de Microsoft en la Jefatura de Sistemas y TIC de la
compañía, sobre los Sistemas Operativos instalados en los servidores y equipos del área usuaria.
Esto toma mayor relevancia teniendo en cuenta que la entidad no cuenta con una plataforma de
Antivirus.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
En indagación con el Jefe de Sistemas y TIC se conoció que la entidad no cuenta con un proceso
documentado de plan de contingencia de informática, que contemple actividades como:
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
DYNAMIC SOLUTIONS: Contrato a través del cual se realiza el alquiler de los equipos de cómputos de la
entidad y legalización de su sistema operativo y herramientas utilitarias:
La figura anterior ilustra la carta de legalidad de software con que cuentan los equipos de cómputo de
Soluciones Inmediatas, igualmente se evidenciaron acuerdos de niveles de servicio y cláusulas de
protección de datos y confidencialidad de información entre el proveedor y Soluciones Inmediatas SAS.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
En validación a los usuarios, políticas y grupos del DA se verificaron los usuarios pertenecientes a grupo
de administrador, en donde se evidenciaron los usuarios autorizados:
Igualmente se validaron los grupos existentes con el fin de identificar grupos con permisos de
administrador o súper usuarios:
En la anterior imagen se observa que el grupo Administrators es el único grupo que cuenta con permisos
completos y sin estricción sobre el DA.
Políticas:
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
La imagen anterior ilustra las políticas de contraseña para los usuarios del DA, en donde se observa que
se encuentran los parámetros para l conformación de contraseñas robustas.
La imagen anterior ilustra las políticas de seguridad y auditoria del directorio activo, mediante el cual se
puede monitorear los eventos de los usuarios de la red. Se evidencian que se encuentran deshabilitadas
por lo que se procede a relacionar en el informe de auditoría.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
Se identificó que el inventario cuenta con 52 equipos de cómputo que no se visualizan en la carta de
legalidad de software del proveedor de las licencias de Windows 7, así como no se identificaron algunos
equipos en la carta de legalidad con licencia de Microsoft Office.
Lo anterior genera el riesgo de violación a los derechos de propiedad intelectual, y derechos de autor.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
No existe un mecanismo automático de interface entre los sistemas CGUNO (Contabilidad) y QUERYX
(Facturación) que velen por la integridad de la información, el proceso de interface se realiza mediante
un archivo de texto que puede ser editado.
Lo anterior genera el riesgo de Pérdida de integridad de información que se carga a la Contabilidad.
Facturación, Nómina,
QUERYX SOFTLAN Interfaz con 8.5 mediante TXT
contratación
En la impementación del sistema de información QUERYX se revisó la integridad de la data del sistema;
Se observaron 93 empleados sin el número de cuenta del banco correspondiente en la base de datos de
QUERYX por lo que se validó con el Jefe de TI informando que Soluciones Inmediatas no realiza el pago
directo de la nómina a los empleados de estas empresas:
REESTRUCTURA S.A.S.
AGENTE GENERAL S.A.S.
INDUSTRIAS METALURGICAS SAYCAR
LIMITADA
MOTORED DE COLOMBIA S.A.S.
COMERCIALIZADORA INTERNACIONAL AND
SAS
KUEHNE + NAGEL S A S
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18
No se evidenciaron los permisos definidos de los usuarios que acceden al sistema de información
QUERYX, y las opciones de eliminación, modificación y creación en los módulos que conforman el
aplicativo.
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR