Está en la página 1de 16

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

90168A_761 AUDITORIA DE SISTEMAS


UNIDAD 1: FASE 2 - PLANEACIÓN DE LA AUDITORÍA

NOMBRE ESTUDIANTE
Código 94331647
Richar Wilmar Posso Jimenez
Yenny Melina Jimenez Velasquez
GRUPO 90168_32

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


INGENIERIA EN SISTEMAS

CEAD PALMIRA
FECHA 11-02-2020
INTRODUCCIÓN:

Toda empresa que tiene un departamento de IT debe estar al día con los
últimos avances en tecnológicos en cuanto a Hardware y software que
garanticen la seguridad de la información que es uno de los activos mas
valiosos, es por esto que los directivos requieren tener a la mano el estado de
esta y si hay riesgo de fuga o daño de la misma, para lograr este fin se contrata
el servicio de auditoria informática quienes realizaran el proceso de verificación
de todos los controles que el departamento de IT tiene para su protección, a
continuación se realizara el plan de auditoria al departamento de IT de la
empresa Hexion Química.
INFORME DE CONSTRUCCIÓN GRUPAL
1. Propuestas de empresa
Richar Wilmar Posso
Esta es una empresa química sucursal de una multinacional
norteamericana, está dedicada a la fabricación de pintura
arquitectónica y alquídicos, esta tiene despachos en toda
Colombia desde 3 centros logísticos, es proveedor de pintura para
la principal cadena de comercio de la construcción, ferretería y
mejoramiento del hogar, tanto en maquila como marca propia,
cuenta con aproximadamente 200 empleados de los cuales poco
mas 60 tienen acceso al sistema, la planta está ubicada en la
ciudad de Yumbo.

2. Empresa seleccionada

La empresa seleccionada tiene un departamento de sistemas local integrado


por 3 personas las cuales tienen las siguientes funciones:

A. COORDINADOR DE SISTEMAS: Es la persona responsable del


departamento, está encargada de llevar a cabo todos los proyectos que
solicitan los demás departamentos y los que solicita el corporativo;
contacta con los diferentes proveedores de servicios tecnológicos para
llevar a cabo estos proyectos.
B. AUXILIAR DE SOPORTE: Esta persona está encargada de todo el
soporte tecnológico a los usuarios locales y remotos, tales como el buen
funcionamiento de los equipos de cómputo, impresoras, servidores
administración de Bases de datos y Backup de las mismas, soporte para
infraestructura de red, debe realizar los mantenimientos preventivos y
correctivos que se sean necesarios para el buen funcionamiento del
área de sistemas, está en contacto con proveedores de tecnología para
la compra y alquiler de equipos y periféricos y solicitud de soporte para
los servicios que se tienen contratados como internet y factura
electrónica. Tiene contacto con el soporte de IT del corporativo para las
solicitudes de las soluciones de software que son administradas por
ellos, tales como Administración de Dominio, Correo, seguridad
informática, conexión VPN, Citrix Y Virtualización de servidores.
C. AUXILIAR DE BASES DE DATOS: Esta persona realiza las consultas
en las bases de datos requeridas por los usuarios, creación de vistas,
cubos y reportes y ayuda en cierta medida con el soporte que presta el
Auxiliar de soporte.
El área de sistemas consta de 2 servidores físicos en los cuales se
virtualizan 6 servidores Windows, la infraestructura de red está formada
por 6 switches administrables CISCO, un Firewall, dos dispositivos VPN
las tres marcas Palo Alto, estos dispositivos administrados por IT
corporativo. En los servidores hay instalada una ERP sobre SQL Server,
se han desarrollado diferentes programas auxiliares para realizar los
procesos que la ERP no hace. Hay 65 computadores entre desktop y
laptops, todos estos tienen Windows 10.

PLAN DE AUDITORIA

Antecedentes: El área de IT de la empresa Hexion Química S.A. se realiza el


seguimiento a todos los procesos de producción, esto debido a que al ser una
sucursal extranjera los directivos en Estados Unidos requieren saber que su
empresa esté funcionando adecuadamente por esto es necesario que se
realice dos auditorías externas al año.
El principal recurso tecnológico de la empresa es su ERP en la cual se registra
todos las transacciones y procesos de producción y ventas y a su vez es
almacenado en una base de datos.

N Vulnerabilidad Amenazas Riesgo Categoría


°
1 No existe un control Equipos de cómputo Perdida de equipos, Hardware
de información del sin registro. fallas en los equipos que
total de equipos Sin control de se queden por fuera del
mantenimiento mantenimiento

2 Falta de planeación Equipos en mal Daños en equipos de Hardware


de mantenimiento a estado computo por falta de
equipos. limpieza.
3 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no
labora en la empresa.
4 Ausencia de planes Desastres naturales No se realizan copias Seguridad
para recuperación de de seguridad de manera lógica
información periódica de la
información sensible en
medios externos.
5 Falta de conocimiento Errores de usuario El personal no cuenta Talento
de los usuarios en el con programas de Humano -
tema de seguridad capacitación y formación usuarios
informática y de la en seguridad informática
información y de la información.
6 Acceso no autorizado Acceso físico a los Los servidores y equipos Talento
al área de sistemas recursos del sistema del área de sistemas en Humano –
alguna oficina con personal
acceso restringido. de la
empresa
7 Falta de Desactualizaciones Equipos sin Software
documentación de en los sistemas actualizaciones de
equipos sistema operativo y
licencias.
8 Acceso no autorizado Entrada o Accesos No se tiene Talento
a las áreas no autorizados implementado un Humano –
restringidas sistema de identificación personal
de empleados, interno y
visitantes, visitantes
acompañantes y registro empresa
de visitantes.
9 Fallas en el suministro Bajas de voltaje, Ups insuficientes para Hardware
de energía cortes de energía y soportar equipos de las
poca concientización oficinas y servidores del
por parte del área de T. I
personal
administrativo.
10 No existe control en Equipos muy Equipos que tiene fallas Hardware
garantías de equipos antiguos y sin por ser obsoletos y que
garantía no se pueden actualizar
o reparar por garantía
11 Falta de capacitación Fallas en la Falta de actualización y Software
del personal del área configuración de los configuración adecuada
informática. equipos del equipo por parte del
personal del área de
sistemas

12 Fallos en la red LAN Estructura de Red congestionada y Redes


cableado en mal con fallos intermitentes
estado.
Objetivos
· Objetivo general: Obtener toda la información necesaria acerca de la
estructura y funcionamiento del área de IT de la empresa Hexion Química de la
ciudad de Yumbo, para una vez adquirida y utilizando la metodología CobIT,
identificar y evaluar de manera objetiva las diferentes falencias en seguridad de
los controles en el procesamiento para el tratamiento de la información y
equipos de computo, una vez finalizado este proceso se entregara la
retroalimentación a la gerencia acerca de las falencias, para que puedan
generar planes de acción para dar solución a estos hallazgos y puedan
garantizar la seguridad en la información.

· Objetivos específicos:
 Identificar la seguridad lógica del área de IT, el recurso humano de la
empresa, que software hay instalado los equipos que están instalados
en red y el funcionamiento de la red para detectar los problemas que se
presentan, haciendo un análisis tanto de vulnerabilidades como las
amenazas, causantes de los riesgos para obtener soluciones.
 Diseñar un plan de auditoria, el cual contenga las actividades a realizar,
asignando los recursos para cada una de estas, crear herramientas de
recolección de datos las cuales nos podrán ayudar a identificar otros
riesgos que no fueron detectados en la exploración inicial, crear pruebas
para la identificación de riesgos y de acuerdo con el estándar CobIT
determinar cuáles procesos tienen relación directa con el objetivo de la
auditoria.

 Realizar las pruebas aplicando las herramientas de recolección de datos


para encontrar los riesgos existentes para el estándar de CobIT
relacionados directamente con los activos que serán evaluados, aplicar
listas de chequeo que revisen los controles existentes en la seguridad
lógica y el recurso humano, luego analizar y evaluar los riesgos y su
causa, valorar estos riesgos por probabilidad e impacto lo cual permita
encontrar soluciones que permitan mitigarlos.
 Establecer los hallazgos con las respectivas pruebas, crear el
diagnóstico de la auditoria para cada proceso de CobIT evaluado, pare
medir el nivel de experiencia de la empresa, elaborar un informe final
con los hallazgos encontrados dando las recomendaciones para
solución de los problemas hallados.

Alcance y delimitación: La presente auditoria pretende identificar la condición


actual del hardware, la infraestructura de red y el soporte eléctrico de la
empresa, con el fin de verificar el cumplimiento de las normas corporativas que
garantice la disponibilidad y seguridad de la información.
Los puntos por evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas
 Instalación cableada de la red de datos
 Control de acceso físico al área de servidores

De equipos o hardware se evaluará:

 Que se tenga Inventario del hardware de red y equipos de computo


 Mantenimiento preventivo y correctivo anual de equipos y redes.
 Hojas de vida de los equipos de cómputo y redes
 La programación de mantenimiento preventivo a los equipos de cómputo
y redes
 Revisión de informes de mantenimiento preventivo y correctivo
 Personal encargado de mantenimiento
 Obsolescencia de la tecnología, equipos fuera de garantía

De software y sistemas de información


 Licencias de software y sistemas operativos
 Seguridad de contraseñas, aplicación de MFA (Múltiple factor de
autenticación)
 Segregación de funciones
 Respaldo programado de archivos y bases de datos en dispositivos
externos
 Retiro de permisos y accesos usuarios que ya no están en la empresa

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría,


se realizarán las siguientes actividades:
1. Investigación preliminar: Visita preliminar a la empresa a auditar, para
determinar el estado actual, realizar entrevistas con el coordinador de IT
y algunos usuarios, los cuales nos pueden dar información acerca de
fallas y obsolescencia de los equipos.
2. Recolectar información: Diseñar los formatos de trabajo: Entrevistas,
listas de chequeo y Cuestionarios, realizar plan de pruebas y estándar
aplicar, asignar tareas a los integrantes del equipo de auditoria.
3. Aplicación de instrumentos: Realizar las entrevistas al coordinador IT y
algunos usuarios usar las listas de chequeo para verificación de
controles y los cuestionarios para descubrir nuevos riesgos y confirmar
los detectados inicialmente.
4. Ejecución de las pruebas: Realizar las pruebas necesarias para
determinar la obsolescencia del hardware y pruebas de red para
comprobar la correspondencia con los inventarios de quipos
suministrados.
5. Realizar el proceso de análisis y evaluación de riesgos: diseñar el
cuadro de Vulnerabilidades y amenazas a los cuales se enfrenta
diariamente la empresa, para con esto realizar la evaluación de los
riesgos y elaborar la matriz de riesgos.
6. Tratamiento de riesgos: establecer que tratamiento se les dará a los
riesgos a partir de la matriz de riesgos y proponer los controles
necesarios y posibles soluciones a los ya identificados.
7. Dictamen de la auditoría: establecer que grado de madurez tiene la
empresa con respecto a cada uno de los elementos evaluados, y los
hallazgos detectados en cada uno de los procesos.
8. Informe final de auditoría: realización de los borradores del informe
técnico de la auditoria para confrontarlo con el coordinador de IT, ya
debatido se realiza el informe final, técnico y ejecutivo, organización de
papeles para su entrega.

Recursos:
Humanos: Esta auditoria será llevaba a cabo por el grupo de estudiantes de
ingeniería de sistemas, con la asesoría metodológica del ingeniero tutor
Físicos: instalaciones de la empresa, el departamento de sistemas.
Tecnológicos: equipos de cómputo, software instalado para la red.

Presupuesto:

Ítem Cantidad Valor


Útiles y Papelería 50 $100.000
Computadores 5 $5.000.000
otros equipos de Oficina como calculadoras. 3 $50.000
Medios de almacenamiento como memorias 3 $50.000
Gastos generales: Cafetería, imprevistos,
50 $200.000
transporte, etc.
Pago de Honorarios (1 millón mensual x c/u) 5 $5.000.000
$10.400.00
Total
0

Cronograma

Mes 1 Mes 2 Mes 3


Actividades
 1  2  3  4  1  2  3  4  1  2  3  4
Estudio Preliminar                        
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria                        
Elaboración de
Programa de
Auditoria                        
Aplicar el Evaluación de
modelo de Riesgos                        
auditoria Ejecución de
Pruebas y
Obtención de
Evidencias                        
Elaboración de
Construir los
Informe                        
planes de
Sustentación de
mejoramiento
Informe                        
PROGRAMA DE AUDITORIA

Para realizar el proceso de auditoría al Sistema de información de la empresa,


se utilizará el estándar de mejores prácticas en el uso de Tecnología de
información (TI) COBIT (Objetivos de Control para la Información y Tecnologías
Relacionadas), donde se especifica el dominio, el proceso y los objetivos de
control que se debe trabajar en relación directa con el objetivo y alcances,
dentro de ellos se elegiría los siguientes:

Dominio: Planeación Y Organización:  Este dominio cubre las estrategias y


las tácticas, tiene que ver con identificar la manera en que las tecnologías de
información pueden contribuir de la mejor manera al logro de los objetivos de
una entidad. 
Los procesos seleccionados que se revisará y los objetivos de control a
verificar son los siguientes:
PO9.1 Marco de trabajo de administración de riesgos: Se debe
establecer un marco de referencia de evaluación sistemática de riesgos que
contenga una evaluación regular de los riesgos de la parte física de las
comunicaciones, servidores y equipos con indicadores de cumplimiento.

PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza


explota las vulnerabilidades existentes), determinando si son relevantes y en
qué medida afectan al área informática.

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la


evaluación periódica de la probabilidad e impacto de los riesgos identificados,
usando métodos cuantitativos y cualitativos, que permitan la medición del
riesgo encontrado.

PO9.5 Respuesta a los riesgos: Definir un plan de acción contra


riesgos, el proceso de respuesta a riesgos debe identificar las estrategias tales
como evitar, reducir, compartir o aceptar los riesgos determinando los niveles
de tolerancia a los riesgos y los controles para mitigarlos.

PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:


Priorizar y planear las actividades de control y respuesta a la solución de
riesgos encontrados, teniendo en cuenta también la parte económica de la
solución de esta prioridad. Monitorear la ejecución de los planes y reportar
cualquier desviación a la alta dirección.

Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega


de los servicios requeridos por la empresa, dentro de este dominio se evaluará
los siguientes procesos y objetivos de control:

DS12 Administración del Ambiente Físico: La protección del equipo de


cómputo y del personal, requiere de instalaciones bien diseñadas y bien
administradas. El proceso de administrar el ambiente físico incluye la definición
de los requerimientos físicos del centro de datos (site), la selección de
instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores ambientales y administrar el acceso físico. La administración efectiva
del ambiente físico reduce las interrupciones del módulo ocasionadas por
daños al equipo de cómputo y al personal.
DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad
físicas alineadas con los requerimientos de la organización. Las medidas deben
incluir, zonas de seguridad, la ubicación de equipo crítico y de las áreas de
envío y recepción. En particular mantenga un perfil bajo respecto a la presencia
de operaciones críticas de TI. Deben establecerse las responsabilidades sobre
el monitoreo y los procedimientos de reporte y de resolución de incidentes de
seguridad física.

DS12.3 Acceso Físico: Evaluar e implementar procedimientos para


otorgar, limitar y revocar el acceso a locales, edificios y áreas de emergencias.
El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y
monitorearse. Esto aplica para todas las personas que accedan a las
instalaciones, incluyendo personal, estudiantes, visitantes o cualquier tercera
persona.

DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar


medidas de protección contra factores ambientales. Deben instalarse
dispositivos y equipo especializado para monitorear y controlar el ambiente.

DS12.5 Administración de Instalaciones Físicas: Se debe administrar las


instalaciones, incluyendo el equipo de comunicaciones y de suministro de
energía, de acuerdo con las leyes y los reglamentos, los requerimientos
técnicos y de la institución, las especificaciones del proveedor y los
lineamientos de seguridad y salud.

Nombre Auditor Proceso auditado CobIT Objetivos de control


proceso elegido
Estudiante 1 PO9 PO9.1 xxxxxxxx,
PO9.2 xxxxxxxxx,
PO9.4 xxxxxxxxx,
PO9.7 xxxxxxxx
………
PO9.1 Marco de
Trabajo de
Administración de
Riesgos
PO9 Evaluar y PO9.2
Administrar los Riesgos Establecimiento del
de TI Contexto del Riesgo
PO9.3 Identificación
de Eventos
Yenny Jimenez PO9.4 Evaluación de
Riesgos de TI
PO9.5 Respuesta a
los Riesgos
PO9.6 Mantenimiento
y Monitoreo de un
Plan de Acción de
Riesgos
DS12.1 Selección y
Diseño del Centro de
Datos
DS12.2 Medidas de
DS12 Administración del Seguridad Física
Ambiente Físico DS12.3 Acceso Físico
DS12.4 Protección
Contra Factores
Ambientales
DS12.5
Administración de
Instalaciones Físicas

Proceso CobIT Descripción Tipo prueba Nombre auditor


prueba
PO9 Revisar y Verificar Análisis Yenny Jimenez
si existe
documentación
de los riesgos por
falta de
mantenimiento en
equipos de
cómputo,
servidores y
estructura de red,
solicitar plan de
mantenimiento
preventivo y
correctivo
mensual, anual.

DS12 Verificación de Prueba y analisis Yenny Jimenez


claves de acceso
de usuarios a la
red,
Pruebas de
ingreso al cuarto
de servidores.
Pruebas a las
alarmas en el
cuarto de
servidores.
Verificar estado
de la
infraestructura de
la red y su
funcionalidad.
Verificar sistema
contra incendios
en el área de los
servidores.
Solicitar plan de
atención de
riesgos del área.

Verificar factores
ambientales del
área de
servidores.
Conclusiones

La Auditoría de Sistemas de Información, hoy en día es de vital importancia


para las empresas porque si no se prevee los mecanismos de control,
seguridad y respaldo de la información dentro de una institución se verá sumida
a riesgos lógicos, físicos y humanos, que conlleven a fraudes no solamente
económicos sino de información.
Referencias Bibliográficas

(2012) Auditoria Informayica y de sistemas. Recuperado de Blogpot


http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-
auditoria.html?view=sidebar