• Categories
• Seguridad y privacidad en línea
• Seguridad informática
• Hardware de la computadora
• Software
• Tecnología

Citation preview

+AUDITORIA DE SISTEMAS

CÓDIGO: (90168A_611)

Fase 3 Ejecución de la Auditoria Unidad 2 – Metodología de Auditoria Aplicada a la Informática y los Sistemas

Presentado a: FRANCISCO SOLARTE Director de curso

Entregado por: SHIRLEY JASBLEIDY CURICO NORIEGA - Código: 41.061.151

Grupo: 90168_47

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

ABRIL DE 2019 LETICIA- AMAZONAS

INTRODUCCION

OBJETIVOS

PROPUESTA FASE3 Ejercicios a desarrollar OBJETIVO: El estudiante descubre las vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesta la organización empresarial para determinar las causas que originan los riesgos y resolver los problemas mediante la definición y aplicación de controles. 1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado. INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN: En esta fase el equipo verificador y auditor aplicara como medio de evaluación el método de la entrevista y listas de chequeo cuando se trate de pruebas documentales, la cual se encuentra diseñada para cada una de los Departamentos de la empresa CONTRASUR Industria y Comercio. Esta empresa estará constituida por los siguientes departamentos. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Departamento de gerencia Departamento de finanzas Departamento de administración Departamento de estadística Departamento de jefe de personal Departamento de disciplina y ética Departamento de información general Departamento de secretaria. Departamento de Seguridad Oficina de Operadores de Radio y Conductores

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE GERENCIA

1. ¿Dispone de un organigrama Empresarial? SI

NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes

Cada 6 meses

Cada 3 meses

Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI

NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA

EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI

NO

IDENTIFICADOR

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

Tiene diseñado el organigrama de la empresa Hay procedimientos y procesos escritos de la operación de la empresa, constituidos en el manual de funciones y procedimiento Identifica los modelos gerenciales y recurso humano de acuerdo al plan estratégico que tiene su empresa.

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA

OBSERVACIONES

AI1.2 Reporte de Análisis de Riesgos PO3.2 Plan de Infraestructura Tecnológica

La empresa aplica los estándares de cálida establecido. Se generan actualizaciones entrenamiento, capacitaciones o cursos que mejoren los procesos y actividades del personal Se realizan auditorias en todas las áreas de la empresa La empresa cuenta con protocolos de seguridad informática Cuenta con equipos de cómputo suficiente para cuada una de las área de la empresa.

ENCUESTA DE PERCEPCION - DEPARTAMENTO DE FINANZAS

1. ¿El Departamento Financiero tiene relación directa con las demás áreas de la empresa? SI

NO

2. ¿Se realizan controles o revisiones internas de las operaciones sistemáticas realizadas dentro del Departamento? SI

NO

3. ¿Se encuentran las cuentas bancarias registradas y autorizadas por la entidad competente? SI

NO

4. ¿Está centralizada la responsabilidad de los cobros y depósitos en efectivo en el menor número de personas? SI

NO

5. Se realizan de manera separada el balance de las cuentas de gastos y las provisiones por beneficios sociales. SI

NO

6. ¿El área cuenta con un software y libros auxiliares contables para las acciones correspondientes del área? SI

NO

7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI

NO

IDENTIFICADOR

PO2.1 Modelo de Arquitectura de Información Empresarial

Cuenta con un software contable para las acciones misionales propias del Departamento. La empresa cuenta con una matriz de indicadores Cada cuanto se realizan inventarios de activos fijos. Se realizan periódicamente arqueos de caja en taquilla de venta de tiquetes Los tiquetes de rutas están sujetas a variaciones de precios. Los sueldos y los beneficios sociales son aplicados de acuerdo a la normatividad laboral vigente. Esta la empresa al día en presentación de planillas, con el Ministerio de Trabajo. Los contratos de compra se encuentran con sus respectivas altas y bajas, con entradas y salidas, debidamente legalizados La empresa tiene un alto índice de endeudamiento por el pago de acreencias La empresa cuenta con un recurso disponible para la dotación, mantenimiento preventivo y correctivo de los equipos informáticos

PO2.3 Esquema de Clasificación de Datos

PO2.4 Administración de Integridad

PO3.2 Plan de Infraestructura Tecnológica

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS

OBSERVACIONES

ENCUESTA DE PERCEPCION - DEPARTAMENTO ADMINISTRATIVO/ ESTADISTICO

1. ¿En la empresa se han realizado auditorias administrativas? SI

NO

2. ¿Cree usted que al realizar auditorías administrativas internas en la empresa ayudaría para tomar mejores decisiones? SI

NO

3. ¿La empresa mantiene algún tipo de registros de manera permanente para evaluar el desenvolvimiento de todos los Departamentos? SI

NO

4. ¿Existen políticas de manera que permitan realizar un diagnóstico estructural de acuerdo al organigrama? SI

NO

5. Realiza una planificación estratégica para cada uno de los componentes establecidos en el organigrama estructural. SI

NO

6. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI

NO

IDENTIFICADOR

PO2.1 Modelo de Arquitectura de Información Empresarial

Los manuales de organización y de procedimiento están autorizados y socializados Aplica al menos una vez al año en cuentas de satisfacción a los clientes y empleados de acuerdo a los servicios ofertados La empresa promueve el cumplimientos de los principios, en cuanto a normatividad Esta el número de empleados en proporción al volumen de operaciones de la empresa Cuenta con una base de datos sistematizada

PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO

OBSERVACIONES

Cuenta con mecanismos de evaluación y seguimiento de acuerdo a los protocolos de seguridad informática. Cumple con el mantenimiento preventivo y correctivo de los equipos de cómputo.

ENCUESTA DE PERCEPCION - DEPARTAMENTO JEFE DE PERSONAL, DISCIPLINARIO Y ETICO

1. ¿Todo el personal conoce los lineamientos, políticas, procesos y procedimientos definidos en el manual organizacional de la empresa? SI

NO

2. ¿Posee lineamientos de control sistemático establecido por la empresa? SI

NO

3. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas institucionales de la empresa? SI

NO

4. ¿Posee la empresa sistemas de información? SI

NO

5. ¿La empresa evalúa considerablemente el perfil de cada puesto con la capacidad idónea de cada función establecida en el manual organizacional? SI

NO

6. ¿La empresa ha elaborado un programa de evaluación y desempeño considerando los objetivos, alcances y parámetros establecidos en el manual organizacional?

SI

NO

7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

SI

NO

IDENTIFICADOR

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

El área proporciona planes para el seguimiento de procesos y procedimientos definidos en el manual organizacional

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y ETICO

OBSERVACIONES

AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware PO3.2 Plan de Infraestructura Tecnológica

Se encuentran definidos los perfiles para el reclutamiento del personal a contratar Proporcionan capacitaciones al personal nuevo o en proceso de selección Se aplican medidas correctivas en cuanto a posibles fallas del sistema de control Cada personal cuenta con los recursos físicos, medios y equipos en cuanto a dotación correspondiente para ejercer la labor Cuenta con una periodicidad establecida para realizar el mantenimiento preventivo de correctivo de los Software y hardware Los sistemas de información e infraestructura son acordes a las necesidades de la empresa

ENCUESTA DE PERCEPCIONGENERAL/ SECRETARIA

DEPARTAMENTO

DE

INFORMACIÓN

1. ¿Dispone de un organigrama Empresarial? SI

NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses

Cada 6 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI

NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA

EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI

NO

IDENTIFICADOR

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - INFORMACIÓN GENERAL/ SECRETARIA

OBSERVACIONES

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE SEGURIDAD

1. ¿Dispone de un organigrama Empresarial? SI

NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses

Cada 6 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI

NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA

EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI

NO

IDENTIFICADOR

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - SEGURIDAD

OBSERVACIONES

ENCUESTA DE PERCEPCION- DEPARTAMENTO DE OPERADORES DE RADIO Y CONDUCTORES

1. ¿Dispone de un organigrama Empresarial? SI

NO

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses

Cada 6 meses Cada 12 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI

NO

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA

EXTERNA

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

SI

NO

IDENTIFICADOR

NO CUMPLE

PROCESO COBIT

CUMPLE

LISTA DE CHEQUEO - OPERADORES DE RADIO Y CONDUCTORES

OBSERVACIONES

2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información. En esta parte el equipo pretende aplicar una serie de pruebas que permitan confirmar si la empresa CONTRASUR Industria y Comercio, se encuentra expuestas a posibles riesgos el cual se detectara por medio de los instrumentos de recolección diseñados. Las pruebas se realizarán de manera Unitaria, analizando la funcionalidad, integración, validación y pruebas del sistema mediante estos pasos diseñados a continuación: 1. Observación de cada una de las áreas con el fin de tener un cotejo de los componentes de software, hardware y de la red que cuenta la empresa. 2. Entrevistas/Encuestas con cada una de las áreas y centro de cómputo. 3. Análisis de documentos de gestión y técnicos. 4. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. 5. Evaluar las tecnologías de información tanto de hardware como del software. 6. Evaluar el Plan de la infraestructura tecnológica que cuenta la empresa.

Los procedimientos que se llevarán a cabo serán los siguientes:  Tomar cada una de los equipos y evaluar la dificultad de acceso al sistema.  Intentar sacar datos con un dispositivo externo con el fin de verificar la seguridad del sistema.  Facilidad de acceso a información confidencial tanto de usuarios y contraseñas del sistema.  Verificación de mantenimiento preventivo de los componentes de hardware.  Comprobar la inactividad del usuario y si el mismo se desloguee. 3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado. PROCESO COBIT PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

PO3.2 Plan Infraestructura Tecnológica

AI1.2 Reporte Análisis de Riesgos

de

de

VULNERABILIDAD Programas de comunicación. Programas de producción de datos. Base de datos interno y externo. Mecanismos de verificación de normas y reglas claras para el análisis adecuado de datos de control. Infraestructura (planes documentación etc.,). Medidas de Protección física adecuada. Administración de las redes adecuadas. Plan de abastecimiento y medición de energía. Diseño de aplicación de los sistemas de información. Sistemas de autenticación. Transmisión cifrada de Datos. Red asegurada para el acceso no autorizado. Acceso autorizado a medios electrónico.

AMENZAS Falta de inducción, capacitación y conocimientos de programas, planes, normatividad que se encuentran inmersos en el manual de funciones. Sensibilización de datos y el sistema.

Al no contar con un plan estructural correspondiente a cada uno de los procesos inmersos en el manual no se pueden garantizar la monitorización técnica, personal y operacional del sistema tecnológico. Manejo inadecuado de datos críticos (borrar, codificar etc..). Transmisión no cifrada de datos.

RIESGO Mal manejo del sistemas y herramienta. Perdida de datos por error del usuario. Manipulación de datos de manera errónea. No disponibilidad de respaldos. Falta de mantención de la infraestructura tecnológica. Falta de medida de seguridad o de contingencia para el ambiente e infraestructura que puede acarrear desastres naturales. Perdida de datos o información. Infección del sistema atreves de unidades. Sabotaje ataque (físico y electrónico). Perdida de confidencialidad. Exposición de contraseñas.

DS13.5 Mantenimiento Preventivo del Hardware

Mantenimiento Correctivo físico (procesos, repuestos e insumos).

Mal exposición de unidades de equipo cómputo y lugares de almacenamiento.

Fallas por degradación de tiempo y disponibilidad del software y hardware.

Actualización de software (procesos y recursos). Recursos disponibles de hardware y sus componentes.

ME2.1 Monitoreo del Marco de Trabajo de Control Interno

Soporte interno Soporte técnico externo Falta de políticas de Seguridad Corporativa. Mecanismos de monitoreo.

Falta de hardware y sus componentes. Incompatibilidad de unidades de hardware y software. Perdida de datos por error de hardware. Falta de mantenimiento preventivo y correctivo. Ausencia de documentación Falta de definición de perfiles, privilegios y restricciones del personal. Falta de estudios de riesgos del sistema.

Daños por exposición o almacenamiento inadecuado. Rendimiento no esperado del sistema.

Uso no controlados y no autorizados del sistema. Falta de conciencia de seguridad. Falta de mecanismos de monitoreo.

4. Realizar el análisis y evaluación de riesgos para cada proceso asignado. En esta etapa se obtendrá el análisis y evaluación de los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas con el propósito de determinar si cumple o no con el objetivo del plan de la auditoria definidos mediante el proceso de control. PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda causar al usuario por el reconocimiento de información sobre los activos del sistema en la empresa. PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la normatividad corporativa a verificar la falta de normas o reglas de la empresa de los cuales pueden llegar a producir un gran riesgo. AI1.2 Reporte de Análisis de Riesgos: En este proceso se enfocará en la información y datos del sistema al que puedan estar expuestos el acceso no autorizado o alteración de la transmisión de datos no cifrados. DS13.5 Mantenimiento Preventivo del Hardware: En este proceso se enfocará a diferentes fallas que pueda presentar los componentes del hardware y software, errores de diseño, pruebas e implementación del mismo dentro del sistema. ME2.1 Monitoreo del Marco de Trabajo de Control Interno: En este proceso se enfocará a fallas de seguridad en el acceso y transmisión de las políticas de soporte interno/ externo y seguridad de la red del sistema. De acuerdo a la elaboración e implementación de nuestros instrumentos de verificación y recolección de información, se formula una matriz como herramienta de control y gestión para el análisis de posibles riesgos, es mismo se utilizará para identificar y determinar las actividades a realizar de acuerdo a los procesos,

servicios y productos más importantes o relevantes de la empresa CONTRASUR Industria y Comercio. Mediante la siguiente matriz visualizaremos los riesgos desde la etapa inicial, facilitando la mitigación al maximizar las oportunidades de los riesgos de los cuales se manejarán los tiempos minimizando el impacto negativo, cuyo objetivo primordial es identificar y cuantificar los posibles riesgos.

5. Elaborar la matriz de riesgos de cada proceso evaluado CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO PROCESO COBIT

ELEMENTOS DE INFORMACION

CRIMINALIDAD ROBO

VIRUS

SUCESOS FISICOS INCENDIO

ACCIDENTALIDAD

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware ME2.1 Monitoreo del Marco de Trabajo de Control Interno

No contar

NEGLIGENCIA MUERTE

NO CIFRAR CONTRASEÑAS

6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado. CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO PROCESO COBIT

ELEMENTOS DE INFORMACION

CRIMINALIDAD ROBO

VIRUS

SUCESOS FISICOS INCENDIO

ACCIDENTALIDAD

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad

PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware ME2.1 Monitoreo del Marco de Trabajo de Control Interno

No contar

NEGLIGENCIA MUERTE

NO CIFRAR CONTRASEÑAS

CONCLUSION

BIBLIOGRAFÍA