Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Alain Velazquez Palomera

ProyectoU4 parte1

Anuncio 
TECNOLÓGICO NACIONAL DE MÉXICO / INSTITUTO TECNOLÓGICO DE GUSTAVO A.
MADERO
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
AUDITORIA EN TICS
PRESENTA:
VELAZQUEZ PALOMERA ALAIN
CERON GALINDO JONATHAN
PROFESORA:
LIC. GABRIELA CARMONA
Fecha: 15/05/22
1
AUDITORIA DE LA EMPRESA ALAJONI
4.1 Areas de la auditoria.
El área de seguridad informática hará una revisión de los procesos que evaluaran su
nivel de seguridad del Banco “ALAJONI” desde analizar sus procesos y comprobar si
las políticas se cumplen.
Cuyo objetivo es detectar si existen vulnerabilidades y debilidades en la seguridad con
mal uso o ingresos de la información falsa o hurto de ella o impedimentos que puedan
causar daños a la empresa viendo si pueden hacerse:
Mejoras a los controles internos de seguridad.
Detecta debilidades en los sistemas de seguridad como errores, omisiones o fallos.
Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados o robos a
nivel interno).
Ayuda a eliminar los puntos débiles de la empresa en cuestión de seguridad (webs,
correo electrónico o accesos remotos, por ejemplo).
Permite controlar los accesos, tanto físicos como virtuales (revisión de privilegios de
acceso).
Permite mantener sistemas y herramientas actualizadas.
4.1.1 Auditoría de la dirección Informática.
Uno de los puntos importantes es comenzar por conocer la estructura del banco para así
saber que otras áreas tiene el banco, así como obtener una idea más clara sobre las
condiciones de trabajo, empleo, salarios y deducciones, así como el director o los
miembros del banco con cargos directivos deben de llenar cuestionarios sobre la
estructura organizacional, funciones, objetivos y políticas elaborando y solicitando ciertas
áreas y documentaciones que nos servirán para el desarrollo de esta como:
 Organigramas
 Entrevistas a directivos y personal
 Evaluaciones
2
4.1.2 Auditoría de la Seguridad Física y lógica.
Para la parte de la seguridad se realizará un programa de seguridad el cual consiste en
una serie de evaluaciones periódicas y sucesivas que se llevan a cabo para asegurarse
de que los recursos físicos de una instalación informática están adecuadamente
salvaguardados. Revisando las primeras tareas del administrador de seguridad es
preparar y estudiar una lista amplia de las posibles amenazas o peligros a la
organización, preparar un inventario de los activos, evaluar la adecuación de los
controles, implantar nuevos controles. El programa de seguridad llevara a cabo
evaluaciones periódicas, para determinar si la siempre cambiante realidad de una
organización continúa cubierta en sus aspectos de seguridad haciendo la preparación
de un plan escrito, con objetivos claros y alcanzables, tomando conciencia de los
aspectos de seguridad en la instalación informática y debe considerando las áreas
críticas una vez identificadas estas, podremos comenzar a considerar aspectos de
seguridad para la instalación como:
Objetivos y ámbito de la evaluación
Tareas a realizar
Organización del equipo del plan de seguridad
Asignar y presupuestar los recursos
Planificación de tareas
una vez contemplado las amenazas se definirá una acción o suceso que puede evitar a
una pérdida por eso el administrador de la seguridad, Identificarlas, evaluar la
probabilidad de que ocurra y Después de identificar las amenazas a las que se debe
estimar la probabilidad de que ocurran haciendo un análisis de riesgos y garantizar su
fiabilidad además de evaluar la probabilidad de que una amenaza se convierta en
realidad, dada la fiabilidad de los controles diseñados para enfrentarse a ella haciendo
la revisión de los controles como el rediseño de los mismos o incluso la implantación de
nuevos controles y elaborar documentación de los hallazgos, la revisión y
recomendaciones.
3
4.1.3 Auditoría de servicios de subcontratación.
En este proceso es de identificar el alcance de lo que está considerando para el
outsourcing, estableciendo los criterios, las marcas importantes, iniciales y los para las
decisiones iniciales. Asigna recursos iniciales para del proyecto en un periodo de dos a
cuatro semanas.
Durante la evaluación examinaremos la factibilidad del Outsourcing definiendo el
alcance y los límites del proyecto o informe que satisfaga los criterios establecidos en
un periodo de cuatro a seis semanas revisado por el patrocinador, el gerente haciendo
un estudio de factibilidad o de otro tipo donde la decisión acerca de si se debe o no
proceder a la etapa de planeación Decisión acerca de proceder o no.
Seleccionara a un contratista como resultado de un proceso identificando a un
proveedor de respaldo que puede incluir asesores externos, contratistas y sus socios y
transición al nuevo servicio estableceremos los procedimientos para la administración
de la función transfiriendo la responsabilidad de las operaciones en un periodo de dos a
tres meses donde el gerente, Recursos Humanos, usuarios, gerencia y personal Un
plan de transición
Durante administración y revisión se revisa el contrato de forma regular, tomando en
cuenta los cambios y requerimientos adicionales y considerando el tiempo de duración
del contrato tomando en cuenta el tiempo normalmente de tres a cinco años. Contando
con la participación del contratista responsable, encargado de la función del usuario y
responsable del contrato. Examinando un servicio administrado, Revisiones regulares,
Ausencia de sorpresas además de una verificación de validez de la evaluación original
y tomando una decisión sobre la continuidad del contrato.
4
4.1.4 Auditoría de bases de datos.
Se realizó una matriz de evaluación para conocer si la empresa contaba con una buena
seguridad en su base de datos para la protección de datos de sus clientes:
Descripción de los
conceptos
10
8
Excelente
Bueno
6
Aceptable Regular
evaluados
Seguridad de la
X
Información de la
base de datos.
Personal capacitado
para el manejo de la
base de datos
X
Prevención contra
X
riesgo de pérdida de
información
Copias de seguridad
X
en la base de datos
Prevención contra
X
fallas del sistema
Bitácoras en la base
de datos
Prevención contra
fallas de
almacenamiento en la
base de datos
X
X
5
4
2
Deficiente
4.1.5 Auditoría de aplicaciones.
La empresa “ALAJONI” cuenta con una app móvil, por lo que se elaboró un cuestionario
para detectar deficiencias de seguridad en la aplicación:
Preguntas
si
1.- ¿La empresa cuenta con una app móvil?
X
2.- ¿La aplicación tiene más de 1 millón de descargas?
X
3.- ¿Al descargar la app se le solicita al usuario permisos para utilizar
X
no
funciones del teléfono?
4.- ¿La aplicación tiene claves criptográficas?
X
5.- ¿Se utilizan tokens en la aplicación?
X
6. ¿La aplicación cuenta con seguridad biométrica?
X
7.- ¿Se pueden realizar pagos atreves de la aplicación?
X
8.- ¿La aplicación se puede clonar?
X
9.- ¿La aplicación funciona en dispositivos root?
X
6
4.1.6 Auditoría de Desarrollo y mantenimiento de sistemas informáticos.
Se realizó una entrevista al administrador de sistemas para verificar que la empresa
cuente con el mantenimiento adecuado a sus equipos de cómputo:
1. ¿Cuánto tiempo llevas trabajando en la empresa?
R= 10 años
2.- ¿Cuáles son tus funciones actuales en la empresa?
R= Realizar los procesos de seguridad, evaluar el software y su rendimiento e
implementación de software.
3.- ¿La empresa cuenta con licencias de software?
R= Se cuentan con todas las licencias en sus versiones más actuales.
4.- ¿Cada cuánto tiempo le dan mantenimiento al equipo de cómputo?
R= Aproximadamente cada 6 meses.
5.- ¿Todos los equipos de cómputo cuentan con antivirus?
R= Si
6.- ¿Actualmente tienen algún proyecto atrasado?
R= No
7
4.1.7 Auditoría de las telecomunicaciones.
Descripción de los
conceptos
10
8
Excelente
Bueno
6
Aceptable Regular
evaluados
Instalación de red
X
Operación y
seguridad de la red
X
Administración de la
X
red de
telecomunicaciones
Mantenimiento de la
red
X
X
Control de las líneas
telefónicas
8
4
2
Deficiente
Documentos relacionados
Cuentas anuales e Informe de Gestión 2010
Cuentas anuales e Informe de Gestión 2010
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
informe sobre la gestión del Registro Civil
informe sobre la gestión del Registro Civil
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
05 ENS SEBS
05 ENS SEBS
AUDITORIA INTERNA
AUDITORIA INTERNA
SERVICIOS INTERNACIONALES Servicios internacionales que
SERVICIOS INTERNACIONALES Servicios internacionales que
09 ENS SEBS
09 ENS SEBS
CAMPO DE APLICACIÓN
CAMPO DE APLICACIÓN
Descargar
Anuncio
Anuncio