PLAN DE MEJORAMIENTO

Presentado por:

LUISA FERNANDA CAPERA MALAMBO

FABIÁN BARBERY PRECIADO
JESÚS DAVID ARIZA CASTRO

Docente:
JOSE GERARDO CUTA

Fundación Universitaria Del Área Andina

Facultad De Ingenierías Y Ciencias Básicas
Programa De Ingeniería De Sistemas
X Semestre
Bogotá, DC.
2022
Objetivo de aprendizaje
Proponer un plan de mejoramiento sobre los activos tecnológicos de la empresa.

Descripción del taller

1. Realizar la auditoría de los dispositivos (mínimo tres, por ejemplo: router -
impresora – equipo de cómputo – switch – access point – router wifi) de la
compañía en la cual labora.
2. Analizar mediante la matriz de riesgos los activos de una empresa.
3. Generar un plan de acción que optimice los procesos y riesgos en cada dispositivo.
4. Presentar un informe que evidencie la actividad.

Requisitos para el taller

1. Conformar un equipo de 3 estudiantes.
2. Lectura previa de los ejes.
3. Equipo de cómputo – equipo fotográfico.
4. Software para generar de forma colaborativa el informe.
5. Se recomienda leer la rúbrica de esta actividad.

Instrucciones
1. Buscar una matriz que se adecue a su trabajo, para esto es fundamental la
realización de las actividades y los recursos de cada eje.
2. Organizarse en grupos de tres personas y establecer la metodología de trabajo.
3. Identificar autores, documentos y guías para desarrollar la actividad.
4. Subir el informe final al espacio que determine el tutor.
 INTRODUCCIÓN

Las auditorías a las compañías se deben realizar de una manera ordenada y periódica, esto
ayuda a que la infraestructura tecnológica no sufra ataques informáticos y los activos se
vean afectados, a mitigar la perdida de la infraestructura, información y daños irreversibles,
se debe auditar todo componte que haga parte de las tecnologías, como auditores ayudamos
a realizar y que las compañías lleven un estándar y cumplan con políticas de seguridad,
identificar vulnerabilidades en los sistemas, cuidar los activos, los auditores deben contar
con experiencia y estar capacitados para estas auditorías, para así diseñar planes de
mejoras, capacitar el personal encargado de las tecnologías de las información, el auditor
debe conocer de metodologías, para implementar controles internos, fortalecimiento en el
sistema de riesgos, conocer productos de auditoria de software estos productos cada vez son
más relevantes para llevar una auditoria controlada y ordenada.

OBJETIVO GENERAL
Ejecutar las instrucciones para el análisis de auditoría de dispositivos.

OBJETIVOS ESPECÍFICOS
 Consultar información en fuentes académicas y externas a la Universidad
 Interpretar y analizar la información consultada.
 Implementar los conocimientos adquiridos para dar solución a la actividad.
 Redactar un documento en formato Word
Desarrollo de la actividad (informe)

1. Realizar la auditoría de los dispositivos (mínimo tres, por ejemplo: router -

impresora – equipo de cómputo – switch – access point – router wifi) de la
compañía en la cual labora.

Para el desarrollo de la presente actividad se tomará como elementos de análisis para

efectos de la auditoria, los equipos de cómputo, routers, switchs.

Hallazgos
Proceso realizado Activo Conclusión
Verificación de la hoja de vida Equipos de cómputo Equipos de cómputo obsoletos.
de cada equipo

Verificación de parámetros de Equipos de cómputo Equipos con acceso a administrador sin

inicio de sesión contraseña.

Validación de las Switches Acceso las configuraciones de VLAN

configuraciones de seguridad

Validación de las Switches Puertos sin control de acceso.

configuraciones de seguridad

Verificación SO instalado Equipos de cómputo Hay equipos que aun ejecutan versiones
sin soporte como Windows 7.

Verificación direccionamiento Routers Acceso a paginas sin restricciones en

algunos equipos
 2. Analizar mediante la matriz de riesgos los activos de una empresa.

IMPACTO
Probabilidad Catastrófico Insignificante
Mayor (4) Moderado (3) Menor (2)
(5) (1)
Casi Seguro
(5) 25 20 15 10 5

Probable (4) 20 16 12 8 4
Posible (3) 15 12 9 6 3
Improbable
(2) 10 8 6 4 2

Raro (1) 5 4 3 2 1

Criticidad Extremo Alto Moderado Bajo

Rango 25, 20, 16, 15 12, 10, 9 8, 6, 5 4, 3, 2, 1

Tipo de Riesgo Consecuencias Impacto Probabilidad Riesgo

activo
1 Equipo Infección por  Pérdida de
de virus documentos,
computo informático bases de datos y
programas de la
compañía.
 lentitud y
mal desempeño
de los equipos 3 3 9
de cómputo,
ocasionando
daño en discos y
RAM.

2 Router Ingreso a  Lentitud en la

páginas Web red de la
no confiables compañía,
4 3 12
generando
traumatismos a
las aplicaciones
3 Equipo Instalación de  Descontrol en el
de programas inventario de
computo indeseados software y
problemas
legales y/o en
auditorias.
 hurto de
información
 Propagación de
malware en la
red ocasionando
problemas sobre
la información 5 3 15
crítica de la
compañía.
 Aumento de
recursos en los
equipos de
cómputo por
instalación de
software no
controlado que
afecten los
principios de
seguridad de la
información.
4 Switch Caída de la  Ataque de
red denegación.
 Exposición de la
4 1 4
información.
 Sabotaje.
 Robo de datos.

3. Generar un plan de acción que optimice los procesos y riesgos en cada

dispositivo.
Plan de acción para mitigar los riesgos en cada uno de los dispositivos.
INFECCIÓN POR VIRUS INFORMÁTICO
 Instalar un sistema operativo licenciado.
 Actualizaciones al día (parches de seguridad).
 Bloqueos de puertos (periféricos).
 Control de instalación de programas.
 Software antivirus actualizado.

INGRESO A PÁGINAS WEB NO CONFIABLES

 Implementación de firewall.
 Bloqueo del DNS.
 Instalación de Proxy.
 Limitación de navegación a paginas no autorizadas (redes sociales).
 Bloqueo de navegadores.
 Bloqueo de descargas.
 Control de acceso a la red.
 Establecimiento de rutas estáticas.
 Configuración de contraseña robustas para los enrutadores.

INSTALACIÓN DE PROGRAMAS INDESEADOS

 Programación de mantenimientos correctivos y preventivos.
 Limitación de perfiles de usuarios.
 Instalación de software de seguimiento al usuario.

CAÍDA DE LA RED
 Asociar los puertos de las MAC de los equipos legítimos.
 Control de VLAN.
 Segmentar la red.
 Segmentación del dominio de difusión.
 Control de acceso a terceros.
 Actualizar el firmware de los switchs.
 Limitar el acceso remoto al switchs.
 Definición de roles del personal de TI
 Controles de entrada y salida de la red.

Conclusión
De acuerdo con lo visto a lo largo del desarrollo de la presente actividad, se ha podido
identificar la importancia de la identificación de riesgos en los activos tecnológicos, cabe
señalar que gracias a una matriz de riesgos es posible comprender el impacto y la
probabilidad de ocurrencia de un riesgos, en el ámbito de la auditoria informática este tipo
de información permite llegar a conclusiones mas acertadas acerca del estado de
preparación de una compañía en materia de seguridad, adicionalmente este acercamiento le
permite al auditor poder proponer soluciones que ayuden a mitigar las posibles falencias
encontradas en los hallazgos.
Los planes de acción propuestos por el auditor deben procurar estar acode a los estándares
internaciones y la normativa vigente.

Referencias
 Fernández, D. A. A., & Casas, X. C. (2017). Auditoría informática: un enfoque
efectivo. Dominio de las Ciencias, 3(3), 157-173.
 Ramírez, G., & Álvarez, E. (2003). Auditoría a la Gestión de las Tecnologías y
Sistemas de Información. Industrial Data, 6(1), 99-102.
 Martínez, Y. A., Alfonso, B. B., & Marichal, L. L. (2013). Propuesta del Sistema de
Acciones para la implementación de la Auditoría con Informática. Revista de
Arquitectura e Ingeniería, 7(2), 1-13.