UNIDAD 3: FASE 4 - RESULTADOS DE LA AUDITORÍA

CURSO 90168

GRUPO 17

JOHANNA MURCIA ARCHILA

Còd. 52840313

TUTOR

FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

AUDITORIA DE SISTEMAS

OCTUBRE 2019
 1- FORMATO DE HALAZGOS

REF
HALLAZGO 1
R2

PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE
Entregar y Dar DS4.3 Recursos
DOMINIO PROCESO
Soporte (DS) Críticos de TI.
DESCRIPCIÓN HALLAZGO: Las máquinas cuentan con unas características
básicas que no permiten el desarrollo óptimo en la ejecución de algunos programas
( Edición de vídeos)
CAUSAS: las máquinas son demasiado antiguas lo que ocasiona que no acepten
formatos nuevos como por ejemplo el vídeo.
CONSECUENCIAS: Los docentes de la institución, continuamente requieren la
proyección de videos en sus clases, de igual manera cuando realizan reuniones,
suelen proyectar información, pero las máquinas no permiten dicha actividad.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad Alta .
RECOMENDACIONES: Se hace necesario adquirir nuevas máquinas, con
características técnicas más actualizadas y con mejor capacidad.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
 REF
HALLAZGO 2
R3

PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE
DS4.4
Entregar y Dar Mantenimiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.
DESCRIPCIÓN HALLAZGO: La cobertura de las UPS no es la adecuada para las
caídas eléctricas
CAUSAS: La capacidad eléctrica de las UPS, no alcanza para cubrir la pérdida de
electricidad, dura unos muy poco minutos generando energía.
CONSECUENCIAS: Cuando la electricidad se va, las UPS se activan, sin embargo
en muy poco tiempo se apaga, ocasionando en muchos casos pérdidas de
información.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto
catastrófico, con probabilidad media.
RECOMENDACIONES: Adquirir nuevas UPS que se conecten a la red eléctrica
comercial, como a plantas eléctricas de emergencia, por lo que tienen un amplio
rango de protección eléctrica y respaldo. Una UPS industrial puede tener una
capacidad de 20 KVA a 160 KVA, pesar unos 600 Kg y alimentar 143 computadoras.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
 REF
HALLAZGO 3
R4

PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE
DS4.5 Pruebas del
Entregar y Dar
DOMINIO PROCESO Plan de
Soporte (DS)
Continuidad de TI.
DESCRIPCIÓN HALLAZGO: Insatisfacción por parte de los educandos con la
cobertura del INTERNET y el WIFI
CAUSAS: La cobertura de WIFI en la institución es muy corta, los dispositivos
usados para emitir y repetir la señal tienen pocos metros de distancia.
CONSECUENCIAS: El WIFI al tener corta emisión, ocasiona pérdida de tiempo, es
decir, cuando los docentes, alumnos o directivos, están realizando alguna consulta
en internet, o enviando correos, etc, el WIFI se “cae” ocasionando que no se lleve a
cabo el procedimiento que se está consultando.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.
RECOMENDACIONES: Solicitar al proveedor de internet, mejorar la velocidad y
buscar que la distancia de conexión sea mínimo de 15Mts.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

Ç
 REF
HALLAZGO 4
R5

PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE
DS4.6
Entregar y Dar Entrenamiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.
DESCRIPCIÓN HALLAZGO: No se cuenta con el levantamiento de hojas de vida
de los PCS de las salas de sistemas
CAUSAS: No se conoce las características mínimas de los PC`s de la institución, no
se tiene la información de fecha adquirida, los componentes y características de
hardware y software, licenciamiento, etc.
CONSECUENCIAS: Mal funcionamiento del software, al no conocer las
características, se puede cometer error de instalar software no compatible.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.
RECOMENDACIONES: Iniciar con el diligenciamiento de planillas donde se
identifique una a una las características técnicas, físicas e información básica de
cada equipo de cómputo
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
.
 REF
HALLAZGO 5
R6

PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1

RESPONSABLE JOHANNA MURCIA ARCHILA

MATERIAL DE
COBIT
SOPORTE
DS4.9
Almacenamiento
Entregar y Dar
DOMINIO PROCESO de Respaldos
Soporte (DS)
Fuera de las
Instalaciones.
DESCRIPCIÓN HALLAZGO: La intranet carece de seguridad frente a otros
usuarios
CAUSAS: No se tiene control de accesos, encriptación de información, radar contra
intrusos y paredes contrafuego.
CONSECUENCIAS: Se puede presentar accesos a la información de la institución
por parte de usuarios no deseados, kackeos en la información, pérdida de datos,
etc.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto
catastrófico, con probabilidad media.
RECOMENDACIONES: Implementar medidas sólidas de seguridad definiendo
políticas y acciones definitivas, que mejoren la seguridad que se tienen actualmente
en la institución.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
.
 2- CONTROLES PROPUESTOS
RIEGOS O TIPO
HALLASGOS CONTROL
ENCONTRADOS
Las máquinas cuentan
con unas características
básicas que no permiten CORRECTIVO
el desarrollo optimo en la
ejecución de algunos
programas ( Edición de
vídeos)
La cobertura de las UPS CORRECTIVO
no es la adecuada para
las caídas eléctricas
Insatisfacción por parte de
los educandos con la CORRECTIVO
cobertura del INTERNET
y el WIFI
No se cuenta con el
levantamiento de hojas de CORRECTIVO
vida de los PCS de las
salas de sistemas
La intranet carece de
CORRECTIVO
seguridad frente a otros
usuarios
DE SOLUCIONES o CONTROLES
Se hace necesario adquirir nuevas
máquinas, con características
técnicas más actualizadas y con
mejor capacidad.
Adquirir nuevas UPS que se
conecten a la red eléctrica
comercial, como a plantas eléctricas
de emergencia, por lo que tienen un
amplio rango de protección eléctrica
y respaldo. Una UPS industrial
puede tener una capacidad de 20
KVA a 160 KVA, pesar unos 600 Kg
y alimentar 143 computadoras.
Solicitar al proveedor de internet,
mejorar la velocidad y buscar que la
distancia de conexión sea mínimo
de 15Mts.
Iniciar con el diligenciamiento de
planillas donde se identifique una a
una las características técnicas,
físicas e información básica de cada
equipo de cómputo
Implementar medidas sólidas de
seguridad definiendo políticas y
acciones definitivas, que mejoren la
seguridad que se tienen
actualmente en la institución.
 3- DICTAMEN DE LA AUDITORÍA

A continuación me permito socializar, los resultados definitivos de la

auditoria y las recomendaciones de mejoramiento para el proceso COBIT
auditado, una vez revisadas las observaciones y aclaraciones hechas por la
empresa al grupo auditor:

PROCESO COBIT: DS4 Garantizar la Continuidad del Servicio

Objetivo de la Auditoria: Emitir un diagnóstico sobre el servicio que presta

el Colegio Cooperativo Monseñor Ismael Perdomo a la comunidad, con el
ánimo de tomar decisiones sobre el mismo. Éstas decisiones pueden ser de
diferentes tipos respecto al área examinada y al usuario del dictamen o
diagnóstico.

Dictamen: Se califica un nivel de madurez 3 DEFINIDO, por cuanto los

procesos, organización y relaciones del área evaluada están contenidos en
un manual de procesos y los recursos de hardware y software son
adecuados.

Sin embargo, este manual no se ha actualizado con respecto a la evolución

que ha tenido el Colegio, lo que hace que no sea posible medirlo y
redefinirlo. En procesos clave de administración del sistema se observa
excesiva dependencia en la capacidad y conocimiento que empleados clave
tienen del sistema.

Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los

módulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitación cruzada, en
caso de necesidad de reemplazar o rotar personal clave en las operaciones
y administración del sistema.

Se encontró que la empresa contratista del sistema ejecuta labores de

captura de la información, operación directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditoría y también administra el
sistema operativo, la aplicación y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles.

Se encontró que el funcionario encargado del módulo de auditoría, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a él, pero nadie realiza auditoria a las entradas de los súper
usuarios del sistema.
Recomendaciones:

Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de

funciones y procedimientos del Área Comercial.

Documentar los procesos de consulta, lecturas y facturación realizados por

fuera del software, para que sean integrados al software. Implementar
registro de solicitudes de modificaciones y diseño de soluciones y
actualizaciones.

Documentar y diferenciar en forma precisa los procesos, políticas

administrativas y procedimientos de la administración de riesgos, la
seguridad de la información, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas, administración y auditoria sobre las
tablas de la base de datos.

Asignar funciones de auditoría a uno de los funcionarios que esté en

capacidad de registrar los movimientos realizados por los súper usuarios del
sistema, pudiendo el mismo realizar auditorías y ejerciendo controles
adecuados sobre la seguridad del servidor e producción y sobre la base de
datos
 Vulnerabilidades
Cables expuestos
No existe circuito regulado
No hay fuente alterna de
energía
Hardware sin mantenimiento
No hay redundancia en las
conexiones Internet
No existe control de los
dispositivos de
almacenamiento (USB, cd,
discos)
Ausencia de cableado Daño de los equipos e
estructurado. infraestructura
Amenazas Riesgos Activos informáticos
(hardware, redes y
comunicaciones, software,
personal, seguridad física,
seguridad lógica, usuarios,
sistema de información,
sistemas operativos, bases
de datos, equipos de
protección eléctrica, otro)
Daño físico a circuitos
El cableado puede ser dañado Hardware
voluntaria o accidentalmente.
Fluctuaciones de Los picos de corriente pueden Hardware
voltaje dañar los equipos.
Cortes de energía Al fallar el servicio público de Hardware
energía se detiene la operación
Daño de equipos Al faltar el mantenimiento los Hardware
equipos acumulan mugre y
contaminantes que los pueden
dañar permanentemente
Caída del proveedor Perdida de disponibilidad de la Hardware
de servicio información en caso tal que se
tenga un corte por el proveedor
de servicio
Introducción de Alteración o pérdida de la Hardware, información
información falsa información registrada en base de
datos o equipos
Peligro de corto circuito, sobre Hardware
carga en los circuitos eléctricos,
 incendio y lesiones a el personal
Software desactualizado Accesos no Al no actualizar y aplicar parches Software
autorizados quedan expuestos los equipos y
los sistemas a malware y accesos
no autorizados.
Antivirus incompletos Software de malware Al usar versiones gratuitas o no Software
licenciados no se tiene la
protección completa que ofrecen
los fabricantes de antivirus
Falta de análisis al tráfico de Accesos no Al no analizar el tráfico en busca Seguridad lógica, seguridad
red en busca de actividad autorizados del de software malintencionado, física
maliciosa sistema, fuga de correo no deseado, contenido
información inapropiado e intrusiones
Adquisición de software sin Fallos en el sistema Incompatibilidad de los equipos Software
soporte del fabricante operativo, Reiterados de cómputo con las funciones
anuncios sobre la requeridas para el desarrollo de
activación del sistema las actividades empresariales
Operativo
Falta de capacitación del Fallas en la Falta de actualización y Software
personal del área configuración de los configuración adecuada del
informática. equipos equipo por parte del personal del
área de sistemas
Uso de software no Inconvenientes Incurrir en actividades y prácticas Software
licenciado legales ilegales, en las políticas de
derechos de autor.
No se tiene respaldo de la Perdida de Perdida de proyectos y clientes Seguridad lógica
información información
No existe sistema de Backup Perdida de Se puede perder información Seguridad lógica
información tanto histórica como en uso y
detener la operación
La empresa no cuenta con Desastre natural Perdida de información Seguridad lógica
plan de contingencia en caso
de pérdida de la información
Ausencia de planes para Desastres naturales No se realizan copias de Seguridad lógica
recuperación de información seguridad de manera periódica de
la información sensible en medios
externos.
No existe proceso de Accesos no No existe directivas de Seguridad lógica
revisión de contraseñas autorizados contraseñas para las cuentas de
usuario
Falta de control de cuentas Suplantación de Se encuentran activas cuentas de Seguridad lógica
de usuario identidad las usuario de personal que ya no
contraseñas labora en la empresa. El ingreso
suministradas por el se realiza con control de huella y
soporte técnico no la base de datos en ocasiones no
tienen mayor cifrado o coincide
complejidad
No se controla los permisos No existe perfiles de Modificación sin autorización de Seguridad lógica
y privilegios de los usuarios usuario en el sistema los datos, o de software instalado
en el sistema, incluyendo borrado
de archivos.
Los equipos no cuentan con Suplantación de Suplantación de identidad, acceso Seguridad lógica
cuentas con sus respectivas identidad y acceso de a datos sensibles por personal no
contraseñas terceros autorizado
Algunos equipos no cuentan Acceso de personal no Cualquier persona puede tener Seguridad Lógica
con contraseñas de inicio de autorizado acceso a la información
sesión almacenada en los equipos.
No se cuenta con un sistema Se presenta un libre Cada usuario maneja su propia Seguridad lógica
de directorio activo acceso a cada equipo información, sin control al acceso
y no se controla el o pérdida de la misma.
acceso por medio de
usuarios asignados.
La información transmitida Modificación Los sistemas de información Seguridad lógica
no está cifrada disponibles no cifran los datos
cuando se están almacenando o
transmitiendo y los mismos son
expuestos a accesos no
autorizados
Mal uso del correo Fuga de información Uso indebido del correo de Seguridad lógica
institucional, ya que no se electrónico para el envío de
utiliza solo para información a personal externo
comunicación laboral
No hay seguimiento en la La empresa no cuenta Inhabilidad de detección de Seguridad lógica
seguridad de la información con controles de intrusos, contención y/o
seguridad informática eliminación
No se hace revisión de virus, Accesos no Al no contar con VPN, no analiza Seguridad lógica
troyanos y espías en la VPN autorizados al sistema el tráfico por VPN IPSec, L”TP,
a través del uso de sistema PPTP y SSL en busca de software
de usuario remoto (acceso malintencionado, correo no
remoto) deseado, contenidos inapropiados
e intusiones.
No existe un firewall activo. Accesos no La no aplicabilidad en Firewall – Seguridad lógica
autorizados saber qué puertos se deben
bloquear o permitir, la forma de
interactuar con ella o es
propietario de ella, quien tiene
acceso a la consola de control.
No se posee firewall No se tiene control en Suplantación de información e Seguridad lógica
el acceso a páginas intromisión externa.
web peligrosas
No hay seguimiento a los No existe Detección El Ingeniero encargado la Seguridad lógica
controles de seguridad del de intrusiones, administración de los sistemas de
sistema informático contención y/o la empresa, no cumple con las
 eliminación. funciones de administración de la
seguridad del sistema y tampoco
tiene implementados controles de
seguridad por lo que se han
presentado ataques al sistema
Certificados de valides No existen certificados Confidencialidad para el usuario Seguridad Lógica
extendida de validez para las con respecto a la autenticidad de
páginas Web (EV - los sitio Web por medio de
Extended Validity) Certificados Digitales
para comprobar la
identidad de los
visitantes
Algunos equipos de cómputo Falta de control en las Problema con actualizaciones Seguridad Lógica
no cuentan con una IP fija actividades dentro de automáticas, identificar las
según el host de la empresa la red actividades en la red
Copias de Seguridad mal Perdida de
No se pueden restablecer las Seguridad Lógica
elaboradas Información copias de seguridad automáticas
desde los servidores a los PC´s
causando perdida de información
No se tiene un Entrada o Accesos no Accesos no autorizados a los Seguridad lógica
procedimiento definido para autorizados servidores
el manejo remoto de los
servidores
Falta un procedimiento de Instalación de Problemas legales por uso de Seguridad lógica
manejo de licencias software ilegal licencias e instalaciones no
permitidas
No hay un procedimiento el Entrada o Accesos no Accesos no autorizados de Seguridad lógica
cual identifique los puertos autorizados información
activos en el servidor
La conexión LAN es No se tiene control del Conectarse a sitios prohibidos sin Seguridad lógica
inalámbrica no administrada personal que se control.
 conecta a la red
corporativa
No hay una segmentación de La red es de acceso Acceso no autorizado a la red Manejo y control de personal,
la red ya que los usuarios publico redes, información
del área administrativa y los
usuarios normales están
conectados en la misma red
y no existe un dispositivo de
control
Los usuarios del sistema no Errores de usuario Los usuarios no cuentan con las Seguridad lógica, acceso a los
están capacitados en las competencias básicas para el datos, integridad de los datos
herramientas tecnológicas manejo de las herramientas
básicas tecnológicas de la empresa lo
cual puede afectar la seguridad
de los equipos y la información
No existe control en el Alteración de la Los usuarios con acceso al equipo Seguridad lógica, información
acceso a los documentos información, accesos principal el cual se encuentra sin
digitales principales de la no autorizados a la contraseña, pueden acceder a los
institución información documentos importantes para la
institución
No existe un plan de Posible accidentalidad Daño en las personas Seguridad física
evacuación en el momento de una
catástrofe
Instalaciones inadecuadas Daño de equipos La locación no cuenta con la Seguridad física
adecuación para servidores, rack
etc.
No se cuenta con un Humano y ambiental En caso de lluvias puede dañarse Seguridad física
ambiente apropiado del por humedad. Al estar al alcance
servidor físico que hay en la de todo el personal puede haber
compañía , se encuentra a la daño por estática.
vista de todos
No se cuenta con un sistema
de humo
Internet libre
No existe un Control y
monitoreo en el acceso a
Internet
Mala configuración de la
seguridad de los dispositivos
de red tales como routers,
switches
La configuración del router
está por defecto
La prestación del servicio
técnico es realizado por
terceros
Ambiental Daños físicos en la compañía y Seguridad física
posibles pérdidas de información
Mal uso de internet Uso indiscriminado con descarga Software
de todo tipo de software que
puede afectar equipos e
información
Utilización de los No existe control de acceso a Redes
recursos del sistema direcciones de internet por parte
para fines no del administrador, lo que hace
previstos insegura a la red de datos
Fallos en la red LAN Existen fallas en la seguridad y Redes
las comunicaciones originadas por
la inadecuada configuración de
los dispositivos de la red.
Acceso de terceros no Red lógica insegura redes
autorizados
Atentados a las El trabajador externo puede ser Manejo y control de personal
instalaciones de la una víctima incógnita, indirecta y
empresa (vandalismo) presencial a una agresión externa
en contra de la Empresa.
 EFERENCIAS BIBLIOGRÁFICAS

Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de

seguridad informática. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara,
México: Editorial CECSA. (pp. 29-117)recuperado
de: http://eprints.uanl.mx/6977/1/1020073604.PDF

Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado
de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false