348106364-COLABORATIVO-AUDITORIA-DE-SISTEMAS

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,
Controles
Víctor Julio Martínez Barrios
William Mario Villa Castro
Enrique David Pinto Peralta
Grupo colaborativo: 90168_6
Tutor
Yolima Esther Mercado Palencia
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas
2017
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Contenido
Introducción...............................................................................................................3
Objetivos....................................................................................................................4
Objetivo general.....................................................................................................4
Objetivos específicos.............................................................................................4
1
Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los
Usuarios.....................................................................................................................5
2
Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7
3
Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los
Usuarios...................................................................................................................10
4. Tabla
de
hallazgos proceso:
DS5
Garantizar
la
Seguridad
de
los
Sistemas…...18
5. Tabla de Tratamiento de Riesgos……………………………………………………
27
6. Tabla de Controles de Riesgos ...……………………………………………………
28
Conclusiones...........................................................................................................30
Referencias bibliográficas........................................................................................31
Anexo1 Cuestionario de Control: C1.......................................................................32
Anexo 2 Cuestionario de Control C2 ...…………………………………………………
34
Anexo 3 Entrevista ………………………………………………………………………36
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditoría de sistemas en la universidad nacional abierta
y a distancia UNAD.
En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del
curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo
durante el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estándar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, así como los
hallazgos y los controles propuestos para dichos riesgos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Objetivos
Objetivo general
Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de
sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la
empresa Softcaribbean S.A.
Objetivos específicos
 Analizar la matriz de riesgos de cada proceso del estándar COBIT
abordado, para generar su cuadro de tratamiento de riesgos.
 Diseñar el cuadro de hallazgos para cada uno de los procesos del
estándar COBIT abordados.
 Determinar los controles propuestos para cada uno de los riesgos
encontrados en los procesos del estándar COBIT abordados.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
1 Cuadro de tratamiento de riesgos del proceso: DS7
Educar y Entrenar a los Usuarios
Antes que nada, debemos recordar la matriz de riesgos detectados para el
proceso DS7 Educar y Entrenar a los Usuarios:
N°
R1
R2
Probabilidad
B
M
A
Descripción
No se capacita al personal en temas relacionados con la
seguridad informática
Falta de capacitación y sensibilización del personal del
área de sistemas
No existe un control sobre los insumos y recursos
Impacto
L M C
X
X
X
X
informáticos que la empresa compra, lo cual permite que
R3
estos sean utilizados para tareas diferentes a las
X
X
previstas, haciendo que éstos se acaben de una manera
R4
R5
más rápida
Los empleados no usan VPN para conectarse a la red de
información a personal externo o para el registro en foros
y redes sociales.
Algunos de los
R6
X
la empresa
Uso indebido del correo electrónico para el envío de
empleados
conectan
X
X
X
dispositivos
personales no seguros a la red de la empresa lo que
puede generar huecos de seguridad dando cabida a la
X
X
entrada de piratas cibernéticos
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Alto
PROBABILIDAD
61100%
Medio
31-60%
Bajo
R1, R5
R4
R3
R2
R6
Leve
Moderado
Catastrófico
0-30%
IMPACTO
N°
R1
R2
R3
R4
R5
Descripción Riesgo
No se capacita al personal en temas relacionados con la
seguridad informática
Falta de capacitación y sensibilización del personal del área
de sistemas
No existe un control sobre los insumos y recursos
informáticos que la empresa compra, lo cual permite que
estos sean utilizados para tareas diferentes a las previstas,
haciendo que éstos se acaben de una manera más rápida
Los empleados no usan VPN para conectarse a la red de la
empresa
Uso indebido del correo electrónico para el envío de
información a personal externo o para el registro en foros y
Tratamiento Riesgo
Transferir
Controlarlo
Aceptarlo
Controlarlo
Controlarlo
redes sociales.
Algunos de los empleados conectan dispositivos personales
R6
no seguros a la red de la empresa lo que puede generar
huecos de seguridad dando cabida a la entrada de piratas
Controlarlo
cibernéticos
2 Hallazgos del proceso: DS7 Educar y Entrenar a los
Usuarios
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
REF
HALLAZGO 1
HHDN_0
1
PROCESO
Capacitación a empleados acerca del PÁGINA
AUDITADO
uso seguro de las herramientas TIC.
RESPONSABLE
Víctor Julio Martínez Barrios
MATERIAL
DE
SOPORTE
1
DE
1
COBIT
DOMINI
ENTREGAR
O
SOPORTE
Y
DAR PROCES
O
DS7: Educar y Entrenar
a los Usuarios
DESCRIPCIÓN:
 Se encuentra que la empresa no cuenta con un plan de capacitaciones
enfocadas
en
ayudarle
a
sus
empleados
a
reconocer
los
comportamientos seguros e inseguros cuando hacen uso de las
herramientas informáticas tanto de la empresa como externas.
 Se detecta que los empleados no usan VPN para acceder desde redes
diferentes a la interna, a repositorios que contienen información privada
de la empresa y sus clientes.
REF_PT:
Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
 La falta de capacitación de los empleados en temas relacionados con
los comportamientos seguros e inseguros respecto al uso de las
herramientas TIC, puede ocasionar serios problemas de seguridad para
la empresa, ya que se corre el riesgo de que los empleados sean
víctimas de un sinnúmero de amenazas externas a las que diariamente
están expuestos, que buscan la obtención ilegal de información
confidencial, tanto de las personas como de las empresas para las que
laboran.
 Al no garantizarse la seguridad en las conexiones de los empleados a
través
del
uso
de
VPN,
se
abre
una
puerta
a
personas
malintencionadas para que tengan acceso a información de la empresa
y sus clientes, poniendo en alto riesgo el desarrollo de las actividades
de la compañía.
RIESGO:
Probabilidad de ocurrencia: 100%
Impacto según relevancia del proceso: Alto.
RECOMENDACIONES:
 Implementar un programa de capacitación para los empleados de la
empresa, en el que se busque mantenerlos conscientes de los riesgos a
los que están expuestos cuando hacen uso de las herramientas TIC y
ayudarlos a reconocerlos para evitar posibles afectaciones a nivel
personal y/o profesional, aminorando así el riesgo de pérdida o
divulgación de información de ellos y de la empresa.
 Implementar el uso de VPN para asegurar las conexiones de los
empleados a los repositorios de información de la empresa, cuando no
estén conectados a la red interna.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
3 Cuadro de controles propuestos del proceso: DS7
Educar y Entrenar a los Usuarios
Riesgos o hallazgos
encontrados
Falta de capacitación y
sensibilización
del
personal del área de
Tipo de control
PREVENTIVO
Soluciones o controles
Construir un plan de capacitaciones periódicas
para el personal de sistemas en las que se
actualicen los conocimientos de los mismos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Capacitar al personal de sistemas en el
manejo adecuado de las herramientas que se
CORRECTIVO
sistemas
usan en la empresa. Si no se cuenta en la
empresa con el personal idóneo para esta
capacitación puede contratarse un tercero que
lo haga.
Los
empleados
usan
VPN
no
para
conectarse a la red de
Implementar el uso de una VPN en todas las
CORRECTIVO
conexiones de los empleados de la empresa a
los repositorios de información de la misma.
la empresa
Exponer a los empleados los riesgos a los que
PREVENTIVO
para
el
envío de información a
la cuenta de correo electrónico empresarial
para tratar asuntos diferentes a los laborales.
Instalación de herramienta de software de
Uso indebido del correo
electrónico
se exponen y exponen a la empresa, al utilizar
análisis de contenido de correo electrónico que
DETECTIVO
permita el monitoreo en tiempo real del uso
dado a el correo electrónico empresarial por
personal externo o para
el registro en foros y
parte de los empleados.
Tomar acciones disciplinarias
redes sociales
empleados que usen la cuenta de correo
CORRECTIVO
sobre
los
empresarial para tratar temas diferentes a los
laborales. En caso de detectarse que se ha
comprometido
la
cuenta
de
correo
del
empleado deshabilitar la misma.
Algunos
empleados
de
los
conectan
dispositivos personales
no seguros a la red de
la
empresa
lo
que
puede generar huecos
de
seguridad
Ejercer
PREVENTIVO
controles
de
seguridad
para
la
conexión de dispositivos no permitidos a la red
de la empresa.
dando
cabida a la entrada de
piratas cibernéticos
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Aporte: William Mario Villa Castro
Análisis y evaluación de riesgos:
Fase 3 | Trabajo colaborativo III
N°
Probabilidad
Baja Media Alta
Descripción
Leve
Impacto
Moderado Catastrófico
Falta de un plan
Universidad Nacional Abierta y a Distancia
R1
x
Escuelaestratégico
de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
x
Falta de conocimiento
R2
de la importancia de
x
un plan estratégico
x
de TI
Falta de un plan de
R3
desarrollos
aplicaciones
de
X
para
X
toma de decisiones
Falta de un manual
de
R4
aplicaciones
donde se registre el
x
uso y la confiabilidad
X
de los datos de la
empresa.
Falta de un plan para
R5
la
adquisición
de
X
x
recurso tecnológicos
falta de
personal
especializado
R6
para
dar asesorías sobre
x
x
las tecnologías
Falta de un modelo
R7
R8
R9
de
información
empresarial.
Falta de un plan de
infraestructura de TI.
Falta
de
unos
estándares
X
x
x
x
X
X
x
X
x
X
Tecnológicos.
Falta de un monitoreo
R10
de
las
evoluciones
Tecnológicas.
Falta de herramientas
R11
para la clasificación
TI.
Falta de definición de
R12
responsabilidades
y
Fase 3 | Trabajo colaborativo III
X
X
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
PROBABILID
Alto
61-100%
Medio
31-60%
Bajo
0-30%
R3
R5
R1, R12
R2,R4,R6,R9,r10,R11
R13
Moderado
Catastrófico
R7,R8
AD
Leve
IMPACTO
Tabla Hallazgos
REF
HALLAZGO 1
HHDN_0
1
PROCESO
P01 Definir un Plan Estratégico de TI.
AUDITADO
RESPONSABLE
MATERIAL
SOPORTE
DOMINIO
PÁGINA
1
DE
1
William Mario Villa Castro
DE
COBIT
Planear
Organizar
y
P01 Definir un
PROCESO
Plan Estratégico
de TI.
DESCRIPCIÓN:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
 Falta de un plan estratégico: La empresa no cuenta con un diseño de una
planeación estratégica de TI es necesaria para gestionar y dirigir todos los
recursos de TI en línea con la estrategia y prioridades del negocio.
 Falta de definición de responsabilidades y roles del personal: La
empresa no cuenta con las jerarquías definidas, sin asignación de
responsabilidades del personal.
REF_PT: Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de
TI, existiendo una falta de negligencia por parte de la gerencia y del personal
encargado de TI, carencia de control sobre la efectividad y eficiencia de los
componentes TI, no cuenta con planes definidos ni planes de contingencia
para cualquier eventualidad.
No se establece con claridad los roles y responsabilidades del personal para el
buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.
RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un
100%, mostrando un impacto catastrófico para la empresa.
RECOMENDACIONES: Debemos hacer una relación de las metas y los
objetivos con la TI, diseñar y construir un plan estratégico de TI, construir un
planes tácticos de TI, contratación de personas idóneas en el tema de las TI.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
La planeación estratégica de TI es un proceso documentado, el cual se debe
tener en cuenta para el cumplimiento de los objetivos y las metas definidas por
la empresa.
CUESTIONARIO DE CONTROL
DOMINIO
Planear y Organizar
OBJETIVO DE CONTROL
Nº
PROCESO
P01 Definir un Plan
Estratégico de TI.
PO1.1 Administración del Valor de TI
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
¿Cuentan con un plan
1
estratégico
de
TI
la
X
empresa?
¿Conoce la necesidad
2
la empresa de contar
X
con un plan estratégico
de TI?
P02.
DOMINIO
Planear y Organizar
OBJETIVO
DE PO2.1
CONTROL
¿Se
Modelo
Arquitectura
de
la
la
Información.
de Arquitectura de Información
Empresarial
mantiene
un
desarrollo
3
PROCESO
Definir
aplicaciones
de
para
la
x
toma de decisiones de
la empresa?
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
¿Existe algún manual
de
4
aplicaciones
actividades
donde
6
se
x
registre el uso y la
confiabilidad
5
o
de
los
datos de la empresa?
¿Cuentan con una base
de datos la empresa?
¿Cuentan
con
un
inventario de todos los
componentes
de
la
x
x
infraestructura de TI?
¿Existe un plan para la
7
adquisición de recurso
x
tecnológico?
DOMINIO
Planear y Organizar
OBJETIVO
DE
CONTROL
¿Cuenta
con
8
con
P03.
Determinar
la
Dirección Tecnológica.
PO3.1 Planeación de la Dirección Tecnológica
la
empresa
asesorías
personal
PROCESO
de
especializado
respecto
a
x
las
tecnologías?
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE
LOS SISTEMAS
TABLA HALLAZGO 1
REF
HALLAZGO 1
HHDN_O1
PROCESO
AUDITADO
Planes para
información.
RESPONSABLE
Enrique David Pinto Peralta
MATERIAL
DE
SOPORTE
DOMINIO
la
recuperación
PÁGINA
de
1
DE
1
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la
Seguridad de los
Sistemas
DESCRIPCIÓN:
 No se cuenta con un plan de recuperación de información, en caso que
se produzca pérdida parcial o total de la misma.
 No se realiza de manera organizada ni periódica las copias de
seguridad o backup de la información de la empresa.
 No existe una persona encargada de realizar y custodiar las copias de
seguridad o backup de la información de la empresa.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
 Al no existir un plan de recuperación de información, en el momento que
se produzca una pérdida parcial o total de la misma, esa información no
podrá recuperarse, lo cual puede incluso llevar a la desaparición de la
empresa.
 Al no realizar de manera periódica ni organizada las copias de
seguridad de la empresa, cualquier información que pueda llegar a
borrarse está en riesgo de no volver a ser recuperada.
 Al no existir una persona encargada de realizar y custodiar las copias
de seguridad en la empresa, existe un alto porcentaje que estas nunca
se realicen o se hagan de manera muy esporádica, lo cual hace
vulnerable de una perdida en cualquier momento a la información de la
empresa.
RIESGO:
¿ 100

Probabilidad de ocurrencia:

Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
 Elaborar un plan de acciones a realizar en caso que se produzca una
pérdida parcial o total de la información de la empresa.
 Elaborar un cronograma para la realización de las copias de seguridad
o backup de la información de la empresa, de manera que permita tener
siempre presente la importancia de su realización diaria.
 Asignarle a una persona la responsabilidad de la realización y custodia
de las copias de seguridad de la información de la empresa, de manera
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
que no existan pretextos para la no realización de las mismas.
TABLA HALLAZGO 2
REF
HALLAZGO 2
HHDN_O2
Nivel de Capacitación del personal
encargado de Mantenimiento del
cableado estructurado y de la Red en
General.
PROCESO
AUDITADO
RESPONSABLE
MATERIAL
DOMINIO
1
DE
1
Enrique David Pinto Peralta
DE
SOPORTE
PÁGINA
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la
Seguridad de los
Sistemas
DESCRIPCIÓN:
 No existe personal capacitado para la realización de los mantenimientos
del cableado estructurado de la red y de los equipos que la componen.
 No existe un plan de capacitación para el personal técnico encargado
del mantenimiento de los equipos y cableado estructurado que integran
la red de la empresa, de manera que se garantice su adecuado
funcionamiento.
REF_PT:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
 Al no contar con personal adecuadamente capacitado para la
realización de los mantenimientos de los equipos y del cableado
estructurado de la red se puede producir una reducción en los niveles
de seguridad de la red de la empresa, exponiendo de esta manera toda
la información confidencial de la misma a personas inescrupulosas que
pretendan acceder a dicha información, así como a softwares
maliciosos que puedan llegar a ocasionar pérdida parcial o total de
dicha información. Además, si los mantenimientos no se realizan de
manera correcta, se puede producir una disminución en los niveles de
productividad de los empleados, motivado por errores de conexión que
no permiten ingresar o vuelven más lentos los sistemas manejados en
la empresa.
 Al no existir un plan de capacitación para el personal encargado del
mantenimiento de los equipos y cableado estructurado de la red de la
empresa, siempre va a existir un desconocimiento en dicho personal
que puede llevarlo en cualquier momento a cometer errores durante la
realización de dichos mantenimientos que pueden poner en riesgo la
información y actividades de la empresa.
RIESGO:
¿ 100

Probabilidad de ocurrencia:

Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
 Contratar personal capacitado que se encargue de la realización de los
mantenimientos de los equipos y el cableado que conforman la red de la
empresa, de manera que se garantice la seguridad de la misma.
 Elaborar un plan de capacitaciones periódicas al personal encargado
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
del mantenimiento del cableado y los equipos que integran la red de la
empresa, de manera que siempre se garantice la realización de estos
mantenimientos de manera adecuada.
TABLA HALLAZGO 3
REF
HALLAZGO 3
HHDN_O3
PROCESO
AUDITADO
Control en la Compra de los Softwares
Antivirus.
RESPONSABLE
Enrique David Pinto Peralta
MATERIAL
DE
SOPORTE
DOMINIO
PÁGINA
1
DE
1
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la
Seguridad de los
Sistemas
DESCRIPCIÓN:
 No existen informes previos que recomienden y avalen la compra de los
antivirus que se han adquirido hasta el momento en la empresa.
 No se tienen identificadas las necesidades de seguridad de la
información de la empresa, de manera que con base en estas
necesidades se pueda determinar cuál es el antivirus indicado para
comprar.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
ENTREVISTA (ANEXO 3)
CONSECUENCIAS:
 Al no existir informes previos que recomienden y avalen la compra de
un determinado Antivirus, se terminaran utilizando otros criterios, para
comprar los antivirus, tales como precio, facilidad de descarga, facilidad
de instalación, entre otros, lo cual hace que la información de la
empresa este permanentemente en riesgo, dado que lo más probable
es que los antivirus adquiridos no cumplan con los requisitos mínimos
de seguridad de la información.
 Al no tener identificadas las necesidades de seguridad de la información
de la empresa, los antivirus que se compren no van a brindar los niveles
de seguridad requeridos por la empresa, razón por la cual la
información de la misma va a estar todo el tiempo vulnerable a la acción
de personas y softwares maliciosos.
RIESGO:
¿ 100

Probabilidad de ocurrencia:

Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
 Elaborar un informe cada vez que se requiera adquirir un software
Antivirus, con el fin de determinar, de acuerdo a sus características y a
las necesidades de seguridad de la información de la empresa, cual es
el más indicado para comprar.
 Elaborar un estudio que permita identificar claramente cuáles son las
necesidades de seguridad de la información de la empresa, de manera
que establezca que información requiere mayor grado de seguridad y
cual menor seguridad. Además, el estudio debe permitir identificar
cuales equipos de cómputo manejan la información que requiere mayor
seguridad y cuál es la manera de transportar dicha información, ya sea
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
a través de la red, de una intranet o de dispositivos tales memorias usb
o cds; todo lo anterior, con el objetivo de determinar cuál es el antivirus
más idóneo para salvaguardar la información de la empresa.
ANÁLISIS Y EVALUACIÓN DE RIESGOS
TABLA DE VALORACIÓN DE LOS RIESGOS
N°
Descripción
R1
Falta de control de
cuentas de usuario
R2
Falta de control en
los
permisos
y
privilegios de cada
una de las cuentas
de usuario de la
empresa.
Falta de revisión de
la gestión de las
cuentas de usuario
existentes
Falta de revisión
periódica de los
equipos de cómputo
para detectar algún
software malicioso
Falta de control en
la compra de los
Antivirus instalados
No existe registro
de los softwares
maliciosos
encontrados
No existe control de
Probabilidad
Baja
R3
R4
R5
R6
R7
Media
Alta
Impacto
Leve
X
Moderado
Catastrófico
X
X
X
X
X
X
X
X
X
X
X
X
X
los dispositivos de
almacenamiento
R8
R9
(usb, cd, discos).
Falta de controles
de acceso a la
información
No existe un firewall
activo
X
X
X
X
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
R1
No existe un Control
y monitoreo en el
0
acceso a Internet
R11 Mantenimiento del
cableado
estructurado
por
parte de personal
poco capacitado
R1 Ausencia de planes
para recuperación
2
de información
R1 No se garantiza la
seguridad en las
3
conexiones
R1 Desconocimiento en
seguridad
4
informática de los
empleados
X
X
X
X
X
X
X
X
X
X
MATRIZ DE RIESGOS
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
R6
R5, R11, R14
R8, R12
R3
R1, R9
R13
R2
R4, R7, R10
PROBABILIDAD
Alto
61-100%
Medio
31-60%
Bajo
0-30%
Leve
Moderado
Catastrófico
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
5. TABLA DE TRATAMIENTO DE RIESGOS
ID.
Descripción Riesgo
Tratamiento Riesgo
Riesgo
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
R1
R2
R3
R4
R5
R6
R7
R8
R9
R10
R11
R12
R13
R14
Falta de control de cuentas de usuario
Falta de control en los permisos y
privilegios de cada una de las cuentas de
usuario de la empresa.
Falta de revisión de la gestión de las
cuentas de usuario existentes
Falta de revisión periódica de los equipos
de cómputo para detectar algún software
malicioso
Falta de control en la compra de los
Antivirus instalados
No existe registro de los softwares
maliciosos encontrados
No existe control de los dispositivos de
almacenamiento (usb, cd, discos).
Falta de controles de acceso a la
información
No existe un firewall activo
No existe un Control y monitoreo en el
acceso a Internet
Mantenimiento del cableado estructurado
por parte de personal poco capacitado
Ausencia de planes para recuperación
de información
No se garantiza la seguridad en las
conexiones
Desconocimiento
en
seguridad
informática de los empleados
Controlarlo
Controlarlo
Aceptarlo
Controlarlo
Controlarlo
Controlarlo
Controlarlo
Controlarlo
Eliminarlo
Controlarlo
Transferirlo
Eliminarlo
Controlarlo
Controlarlo
6. TABLA DE CONTROLES DE LOS RIESGOS
RIESGOS o HALLAZGOS
ENCONTRADOS
Falta de control
cuentas de usuario
de
TIPO DE
CONTROL
CORRECTIVO
SOLUCIONES O CONTROLES
Control sobre la creación, modificación
o eliminación de alguna cuenta de
usuario, dejando como constancia un
acta cada vez que se realice uno de
estos procesos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Falta de control en los CORRECTIVO Controlar que los permisos y privilegios
otorgados a cada una de las cuentas de
permisos y privilegios de
usuario, sean de acuerdo a las
cada una de las cuentas
funciones que desarrolla el dueño de la
de
usuario
de
la
cuenta.
empresa.
Falta de revisión de la PREVENTIVO Hacer revisiones periódicas de la
gestión desarrollada por cada una de
gestión de las cuentas de
las cuentas de usuario, dejando como
usuario existentes
Falta
de
revisión
periódica de los equipos
de
cómputo
para
detectar algún software
malicioso
PREVENTIVO
Falta de control en la CORRECTIVO
compra de los Antivirus
instalados
No existe registro de los CORRECTIVO
softwares
maliciosos
encontrados
No existe control de los
dispositivos
de
almacenamiento
(usb,
cd, discos).
PREVENTIVO
Falta de controles de
acceso a la información
PREVENTIVO
No existe
activo
PREVENTIVO
un
firewall
No existe un Control y CORRECTIVO
monitoreo en el acceso a
Internet
constancia un informe de dichas
revisiones.
Revisar periódicamente los equipos de
cómputo, para establecer si tienen
instalado algún tipo de software
malicioso que ponga en riesgo la
seguridad de la información de la
empresa.
Comprar los Antivirus con base en un
informe que avale dicha compra, de
acuerdo a las necesidades de seguridad
de la información de la empresa.
Llevar un registro de los softwares
maliciosos encontrados en los equipos
de cómputo, indicando el procedimiento
realizado para eliminarlo.
Deshabilitar los puertos usb y unidades
ópticas en los equipos que no son
necesarios,
para
evitar
transferir
softwares maliciosos o robo de
información a través de memoria usb o
cds.
Control en el acceso a la información,
de manera que cada empleado pueda
acceder solo a la información que
necesita para el adecuado desarrollo de
sus funciones.
Contar con un Firewall que brinde
mayor seguridad a la red, de manera
que bloquee el contenido que considera
que pone en riesgo dicha seguridad.
Controlar el acceso a las páginas web,
bloqueando el acceso a aquellas
páginas que no brindan ningún tipo de
beneficio para el desarrollo de las
actividades laborales.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Mantenimiento
del CORRECTIVO Contratar personal capacitado para la
realización de los mantenimientos del
cableado
estructurado
cableado estructurado y de los demás
por parte de personal
equipos que conforman la red.
poco capacitado
Ausencia de planes para PREVENTIVO Elaborar un plan determine los pasos a
seguir para recuperar información, en
recuperación
de
caso que se produzca pérdida de la
información
No se garantiza la CORRECTIVO
seguridad
en
las
conexiones
Desconocimiento
en CORRECTIVO
seguridad informática de
los empleados
misma. Dicho plan debe contemplar
distintas causas posibles que produzcan
perdida de información. Además, en
este plan se debe incluir el cronograma
de las copias de seguridad a realizar,
estableciendo la cantidad de backup por
días y las horas de realización de los
mismos.
Garantizar la seguridad de los sistemas
mediante
la
realización
de
mantenimientos de la red por personal
capacitado, la compra de antivirus
licenciados, la compra de equipos de
red y de computo de última tecnología
que brinden una mayor seguridad, entre
otros.
Capacitar a los empleados en seguridad
informática, de manera que tomen las
precauciones necesarias para evitar
cualquier tipo de perdida de información
por algún descuido o error humano.
Conclusiones
Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la
tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos
detectados en cada proceso de la empresa y ayudar en la toma de decisiones
respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el
desarrollo de las actividades de la empresa.
Referencias bibliográficas
Astello,
R.
J.
(2015). Auditoria
en
entornos
informáticos.
Recuperado
de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y
evaluación
de
tecnologías
de
la
información.
Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11013780
Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet.
Recuperado
de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO
%3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005
0101&spage=171&pages=171186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl
e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T
%c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L
%c3%a1zaro+J.&id=DOI%3a&site=ftf-live
Anexos, cuestionario de control: C1
Dominio
Oficina principal Softcaribbean S.A.
Cuestionario de Control: C1
ENTREGAR Y DAR SOPORTE
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Proceso
DS7: Educar y Entrenar a los Usuarios
Pregunta
OBJETIVO DE CONTROL
Si No
OBSERVACIONES
DS7.1 Identificación de Necesidades de Entrenamiento y
Educación
¿Se cuenta con un programa de capacitación en el
uso seguro de las herramientas informáticas para los
5
empleados?
¿Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales?
OBJETIVO DE CONTROL
DS7.2 Impartición de Entrenamiento y Educación
¿Se capacita al personal en cuanto a las nuevas
5
amenazas que surgen?
¿Se cuenta con un repositorio de información acerca
de la seguridad en el uso de las herramienta TIC en la
empresa?
¿Se realizan campañas de prevención de conductas
inseguras para los empleados?
OBJETIVO DE CONTROL
Semestral
Accesible para todos los
4
empleados
(Digital
o
físico)
3
DS7.3 Evaluación del Entrenamiento Recibido
¿Se posee un registro de problemas de seguridad
3
presentados a los empleados?
¿En el registro de problemas se tiene en cuenta con
los siguientes datos?
Fecha
Número de registro
3
Identificación del empleado
Detalle del problema
Detalle de las causas
Detalle de la solución aplicada
TOTALES
7
19
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
ANEXO 2.
CUESTIONARIO DE CONTROL C2
Dominio
Proceso
EMPRESA SOFTCARIBBEAN S.A.
Cuestionario de Control: C2
Entregar y Dar Soporte
DS5 Garantizar la Seguridad de los Sistemas
OBJETIVO DE CONTROL
DS5.4 Administración de Cuentas del Usuario
Pregunta
Si No OBSERVACIONES
¿Se cuenta con un listado detallado de las 4
cuentas de usuario de la empresa?
Si existe el listado, ¿Contiene los siguientes
ítems?
Cuenta de Usuario
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
Nombre del empleado propietario de la cuenta
Identificación del empleado propietario de la
cuenta
Cargo del empleado propietario de la cuenta
Fecha de creación de la cuenta
Perfiles activos y privilegios de la cuenta
¿Se lleva un procedimiento para la creación, 4
modificación o eliminación de las cuentas de
usuarios?
OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software
Malicioso
¿De los antivirus instalados se cuenta con los 4
siguientes datos?
Nombre del antivirus
Licencia del antivirus
Fecha de Compra
Fecha de Instalación
Fecha de Caducidad
¿Se lleva un procedimiento para la adquisición de
4
nuevos antivirus?
¿Se posee un registro de los softwares maliciosos
3
encontrados en los equipos de cómputo?
¿En el registro de los softwares maliciosos se
tiene en cuenta con los siguientes datos?
Nombre del Software malicioso
Características
Fecha en la que se encontró
Número del Computador
Proceso utilizado para eliminar el software
malicioso
¿Al momento de encontrar un software malicioso
De una
en un equipo, la atención que se presta es?
Horas
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
OBJETIVO DE CONTROL
DS5.10 Seguridad de la Red
¿Se cuenta con un plan de control y acceso a la 3
internet, con el fin de preservar la seguridad de la
información de la empresa?
¿Cuentan con algún plan de recuperación de
3
a
24
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
información en caso que se produzca pérdida de
la misma?
¿Cada cuánto se realiza mantenimiento al 4
cableado estructurado de la red, con el objetivo de
conservar sus condiciones mínimas de seguridad?
¿Qué tipo de mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿El personal que se encarga del mantenimiento es
personal capacitado?
TOTALES
19
Cada 4 Meses
Correctivo
4
14
ANEXO 3.
ENTREVISTA
REF
ENTIDAD
AUDITADA
SOFTCARIBBEAN S.A.
PAGINA
1 D 1
E
OBJETIVO
AUDITORÍA
Garantizar la protección de la información e infraestructura de los
Sistemas de Información de la empresa, con el fin de minimizar el
impacto causado por violaciones o debilidades de seguridad de los
mismos.
PROCESO
AUDITADO
Contratación TI
ENRIQUE DAVID PINTO PERALTA
MATERIAL DE SOPORTE
COBIT
DOMINIO
PROCE DS5 Garantizar la Seguridad de los
Entregar y Dar Soporte
SO
Sistemas
RESPONSABLE
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
OBJETIVO DE CONTROL
DS5.4 Administración de Cuentas del Usuario
N
CUESTIONARIO
RESPUESTA
º
Se realiza una solicitud ante la
oficina
de
recursos
humanos,
exponiendo los motivos por los
¿Cuál es el procedimiento que se sigue cuales se solicita la creación,
1
para poder Crear, Modificar o Eliminar modificación o eliminación de la
alguna cuenta de usuario?
cuenta.
conjunto
En
con
dicha
la
oficia,
en
gerencia,
se
decide si aceptar o no la solicitud
enviada.
Los perfiles
¿Cuál es el criterio que utilizan para otorgar otorgan
2
una de las cuentas de usuarios creadas?,
En caso de ser afirmativa la respuesta,
¿Cada cuánto realizan la revisión de la
gestión de las cuentas de usuario?
OBJETIVO DE CONTROL
º
dependiendo
de
se
las
empleados propietarios de cada
¿Realizan revisión de la gestión de cada
N
privilegios
los perfiles y privilegios de las cuentas de funciones desarrolladas por los
usuarios de la empresa?
3
y
una de las cuentas.
Si se realiza una revisión de la
gestión de las cuentas de usuario.
Dicha revisión se realiza una vez
al año. Sin embargo, de estas
revisiones no se deja constancia
alguna.
DS5.9 Prevención, Detección y Corrección de Software
Malicioso
CUESTIONARIO
RESPUESTA
¿Cuentan todos los equipos de cómputo Si todos los equipos de cómputo
1
con antivirus debidamente instalados y con cuentan con antivirus instalado,
su respectiva licencia?
con su licencia.
¿Cuál es el criterio que utilizan para En realidad, no existe ningún
2
escoger los antivirus instalados en los criterio para la adquisición de los
3
equipos de cómputo?
antivirus.
¿Cada cuánto realizan un escaneo en los El escaneo de los equipos de
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
equipos de cómputo, a fin de determinar si
cuentan con algún archivo o software
malicioso instalado?
cómputo se realiza de manera
mensual.
Una
vez
se
software
malicioso
computador,
¿Cuál es el protocolo que siguen una vez
4
se encuentra algún software malicioso en
un equipo?
encuentra
se
algún
en
un
procede
a
eliminarlo del equipo en el cual se
encontraba. Además, se verifica
que tanto daño logro causar dicho
virus y, por último, se examinan
los demás equipos para verificar
que tanto logro expandirse el
software malicioso encontrado.
DS5.10 Seguridad de la Red
OBJETIVO DE CONTROL
N
CUESTIONARIO
º
RESPUESTA
Si actualmente se cuenta con un
plan
1
de
control
y
acceso
al
¿Cuentan con algún plan de control y internet, que permite el bloquea el
acceso a la internet?
acceso a ciertas páginas web que
poseen contenido potencialmente
peligroso e inadecuado.
¿Cada
2
cuánto
se
revisa
el
cableado
estructurado, con el fin de establecer en
qué condiciones se encuentra?
El cableado estructurado se revisa
cada 6 meses.
La verdad únicamente se tiene
¿Con que frecuencia se acercan a los
3
empleados de la empresa, con el fin de
conocer cuáles son las mayores dificultades
que estos afrontan en la red?
conocimiento de los problemas
que los empleados presentan en
la red, cuando éstos se acercan a
comunicarnos
trabajar
que
debido
no
pueden
a
algún
inconveniente de red presentado.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168
ENTREVISTADO
CARGO
CARLOS PÉREZ CARRANZA
JEFE DE SISTEMAS
Fase 3 | Trabajo colaborativo III