+AUDITORIA DE SISTEMAS CÓDIGO: (90168A_611) Fase 3 Ejecución de la Auditoria Unidad 2 – Metodología de Auditoria Aplic
Views 392 Downloads 8 File size 565KB
+AUDITORIA DE SISTEMAS
CÓDIGO: (90168A_611)
Fase 3 Ejecución de la Auditoria Unidad 2 – Metodología de Auditoria Aplicada a la Informática y los Sistemas
Presentado a: FRANCISCO SOLARTE Director de curso
Entregado por: SHIRLEY JASBLEIDY CURICO NORIEGA - Código: 41.061.151
Grupo: 90168_47
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ABRIL DE 2019 LETICIA- AMAZONAS
INTRODUCCION
OBJETIVOS
PROPUESTA FASE3 Ejercicios a desarrollar OBJETIVO: El estudiante descubre las vulnerabilidades, amenazas y riesgos informáticos a que se ve expuesta la organización empresarial para determinar las causas que originan los riesgos y resolver los problemas mediante la definición y aplicación de controles. 1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado. INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN: En esta fase el equipo verificador y auditor aplicara como medio de evaluación el método de la entrevista y listas de chequeo cuando se trate de pruebas documentales, la cual se encuentra diseñada para cada una de los Departamentos de la empresa CONTRASUR Industria y Comercio. Esta empresa estará constituida por los siguientes departamentos. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Departamento de gerencia Departamento de finanzas Departamento de administración Departamento de estadística Departamento de jefe de personal Departamento de disciplina y ética Departamento de información general Departamento de secretaria. Departamento de Seguridad Oficina de Operadores de Radio y Conductores
ENCUESTA DE PERCEPCION- DEPARTAMENTO DE GERENCIA
1. ¿Dispone de un organigrama Empresarial? SI
NO
2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes
Cada 6 meses
Cada 3 meses
Cada 12 meses
3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI
NO
4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA
EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI
NO
IDENTIFICADOR
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
Tiene diseñado el organigrama de la empresa Hay procedimientos y procesos escritos de la operación de la empresa, constituidos en el manual de funciones y procedimiento Identifica los modelos gerenciales y recurso humano de acuerdo al plan estratégico que tiene su empresa.
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA
OBSERVACIONES
AI1.2 Reporte de Análisis de Riesgos PO3.2 Plan de Infraestructura Tecnológica
La empresa aplica los estándares de cálida establecido. Se generan actualizaciones entrenamiento, capacitaciones o cursos que mejoren los procesos y actividades del personal Se realizan auditorias en todas las áreas de la empresa La empresa cuenta con protocolos de seguridad informática Cuenta con equipos de cómputo suficiente para cuada una de las área de la empresa.
ENCUESTA DE PERCEPCION - DEPARTAMENTO DE FINANZAS
1. ¿El Departamento Financiero tiene relación directa con las demás áreas de la empresa? SI
NO
2. ¿Se realizan controles o revisiones internas de las operaciones sistemáticas realizadas dentro del Departamento? SI
NO
3. ¿Se encuentran las cuentas bancarias registradas y autorizadas por la entidad competente? SI
NO
4. ¿Está centralizada la responsabilidad de los cobros y depósitos en efectivo en el menor número de personas? SI
NO
5. Se realizan de manera separada el balance de las cuentas de gastos y las provisiones por beneficios sociales. SI
NO
6. ¿El área cuenta con un software y libros auxiliares contables para las acciones correspondientes del área? SI
NO
7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?
SI
NO
IDENTIFICADOR
PO2.1 Modelo de Arquitectura de Información Empresarial
Cuenta con un software contable para las acciones misionales propias del Departamento. La empresa cuenta con una matriz de indicadores Cada cuanto se realizan inventarios de activos fijos. Se realizan periódicamente arqueos de caja en taquilla de venta de tiquetes Los tiquetes de rutas están sujetas a variaciones de precios. Los sueldos y los beneficios sociales son aplicados de acuerdo a la normatividad laboral vigente. Esta la empresa al día en presentación de planillas, con el Ministerio de Trabajo. Los contratos de compra se encuentran con sus respectivas altas y bajas, con entradas y salidas, debidamente legalizados La empresa tiene un alto índice de endeudamiento por el pago de acreencias La empresa cuenta con un recurso disponible para la dotación, mantenimiento preventivo y correctivo de los equipos informáticos
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
PO3.2 Plan de Infraestructura Tecnológica
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS
OBSERVACIONES
ENCUESTA DE PERCEPCION - DEPARTAMENTO ADMINISTRATIVO/ ESTADISTICO
1. ¿En la empresa se han realizado auditorias administrativas? SI
NO
2. ¿Cree usted que al realizar auditorías administrativas internas en la empresa ayudaría para tomar mejores decisiones? SI
NO
3. ¿La empresa mantiene algún tipo de registros de manera permanente para evaluar el desenvolvimiento de todos los Departamentos? SI
NO
4. ¿Existen políticas de manera que permitan realizar un diagnóstico estructural de acuerdo al organigrama? SI
NO
5. Realiza una planificación estratégica para cada uno de los componentes establecidos en el organigrama estructural. SI
NO
6. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?
SI
NO
IDENTIFICADOR
PO2.1 Modelo de Arquitectura de Información Empresarial
Los manuales de organización y de procedimiento están autorizados y socializados Aplica al menos una vez al año en cuentas de satisfacción a los clientes y empleados de acuerdo a los servicios ofertados La empresa promueve el cumplimientos de los principios, en cuanto a normatividad Esta el número de empleados en proporción al volumen de operaciones de la empresa Cuenta con una base de datos sistematizada
PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO
OBSERVACIONES
Cuenta con mecanismos de evaluación y seguimiento de acuerdo a los protocolos de seguridad informática. Cumple con el mantenimiento preventivo y correctivo de los equipos de cómputo.
ENCUESTA DE PERCEPCION - DEPARTAMENTO JEFE DE PERSONAL, DISCIPLINARIO Y ETICO
1. ¿Todo el personal conoce los lineamientos, políticas, procesos y procedimientos definidos en el manual organizacional de la empresa? SI
NO
2. ¿Posee lineamientos de control sistemático establecido por la empresa? SI
NO
3. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas institucionales de la empresa? SI
NO
4. ¿Posee la empresa sistemas de información? SI
NO
5. ¿La empresa evalúa considerablemente el perfil de cada puesto con la capacidad idónea de cada función establecida en el manual organizacional? SI
NO
6. ¿La empresa ha elaborado un programa de evaluación y desempeño considerando los objetivos, alcances y parámetros establecidos en el manual organizacional?
SI
NO
7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?
SI
NO
IDENTIFICADOR
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
El área proporciona planes para el seguimiento de procesos y procedimientos definidos en el manual organizacional
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y ETICO
OBSERVACIONES
AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware PO3.2 Plan de Infraestructura Tecnológica
Se encuentran definidos los perfiles para el reclutamiento del personal a contratar Proporcionan capacitaciones al personal nuevo o en proceso de selección Se aplican medidas correctivas en cuanto a posibles fallas del sistema de control Cada personal cuenta con los recursos físicos, medios y equipos en cuanto a dotación correspondiente para ejercer la labor Cuenta con una periodicidad establecida para realizar el mantenimiento preventivo de correctivo de los Software y hardware Los sistemas de información e infraestructura son acordes a las necesidades de la empresa
ENCUESTA DE PERCEPCIONGENERAL/ SECRETARIA
DEPARTAMENTO
DE
INFORMACIÓN
1. ¿Dispone de un organigrama Empresarial? SI
NO
2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses
Cada 6 meses Cada 12 meses
3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI
NO
4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA
EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI
NO
IDENTIFICADOR
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - INFORMACIÓN GENERAL/ SECRETARIA
OBSERVACIONES
ENCUESTA DE PERCEPCION- DEPARTAMENTO DE SEGURIDAD
1. ¿Dispone de un organigrama Empresarial? SI
NO
2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses
Cada 6 meses Cada 12 meses
3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI
NO
4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA
EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas SI
NO
IDENTIFICADOR
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - SEGURIDAD
OBSERVACIONES
ENCUESTA DE PERCEPCION- DEPARTAMENTO DE OPERADORES DE RADIO Y CONDUCTORES
1. ¿Dispone de un organigrama Empresarial? SI
NO
2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa? Cada mes Cada 3 meses
Cada 6 meses Cada 12 meses
3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta empresa? SI
NO
4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado? INTERNA
EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas
SI
NO
IDENTIFICADOR
NO CUMPLE
PROCESO COBIT
CUMPLE
LISTA DE CHEQUEO - OPERADORES DE RADIO Y CONDUCTORES
OBSERVACIONES
2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información. En esta parte el equipo pretende aplicar una serie de pruebas que permitan confirmar si la empresa CONTRASUR Industria y Comercio, se encuentra expuestas a posibles riesgos el cual se detectara por medio de los instrumentos de recolección diseñados. Las pruebas se realizarán de manera Unitaria, analizando la funcionalidad, integración, validación y pruebas del sistema mediante estos pasos diseñados a continuación: 1. Observación de cada una de las áreas con el fin de tener un cotejo de los componentes de software, hardware y de la red que cuenta la empresa. 2. Entrevistas/Encuestas con cada una de las áreas y centro de cómputo. 3. Análisis de documentos de gestión y técnicos. 4. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. 5. Evaluar las tecnologías de información tanto de hardware como del software. 6. Evaluar el Plan de la infraestructura tecnológica que cuenta la empresa.
Los procedimientos que se llevarán a cabo serán los siguientes: Tomar cada una de los equipos y evaluar la dificultad de acceso al sistema. Intentar sacar datos con un dispositivo externo con el fin de verificar la seguridad del sistema. Facilidad de acceso a información confidencial tanto de usuarios y contraseñas del sistema. Verificación de mantenimiento preventivo de los componentes de hardware. Comprobar la inactividad del usuario y si el mismo se desloguee. 3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado. PROCESO COBIT PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3.2 Plan Infraestructura Tecnológica
AI1.2 Reporte Análisis de Riesgos
de
de
VULNERABILIDAD Programas de comunicación. Programas de producción de datos. Base de datos interno y externo. Mecanismos de verificación de normas y reglas claras para el análisis adecuado de datos de control. Infraestructura (planes documentación etc.,). Medidas de Protección física adecuada. Administración de las redes adecuadas. Plan de abastecimiento y medición de energía. Diseño de aplicación de los sistemas de información. Sistemas de autenticación. Transmisión cifrada de Datos. Red asegurada para el acceso no autorizado. Acceso autorizado a medios electrónico.
AMENZAS Falta de inducción, capacitación y conocimientos de programas, planes, normatividad que se encuentran inmersos en el manual de funciones. Sensibilización de datos y el sistema.
Al no contar con un plan estructural correspondiente a cada uno de los procesos inmersos en el manual no se pueden garantizar la monitorización técnica, personal y operacional del sistema tecnológico. Manejo inadecuado de datos críticos (borrar, codificar etc..). Transmisión no cifrada de datos.
RIESGO Mal manejo del sistemas y herramienta. Perdida de datos por error del usuario. Manipulación de datos de manera errónea. No disponibilidad de respaldos. Falta de mantención de la infraestructura tecnológica. Falta de medida de seguridad o de contingencia para el ambiente e infraestructura que puede acarrear desastres naturales. Perdida de datos o información. Infección del sistema atreves de unidades. Sabotaje ataque (físico y electrónico). Perdida de confidencialidad. Exposición de contraseñas.
DS13.5 Mantenimiento Preventivo del Hardware
Mantenimiento Correctivo físico (procesos, repuestos e insumos).
Mal exposición de unidades de equipo cómputo y lugares de almacenamiento.
Fallas por degradación de tiempo y disponibilidad del software y hardware.
Actualización de software (procesos y recursos). Recursos disponibles de hardware y sus componentes.
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
Soporte interno Soporte técnico externo Falta de políticas de Seguridad Corporativa. Mecanismos de monitoreo.
Falta de hardware y sus componentes. Incompatibilidad de unidades de hardware y software. Perdida de datos por error de hardware. Falta de mantenimiento preventivo y correctivo. Ausencia de documentación Falta de definición de perfiles, privilegios y restricciones del personal. Falta de estudios de riesgos del sistema.
Daños por exposición o almacenamiento inadecuado. Rendimiento no esperado del sistema.
Uso no controlados y no autorizados del sistema. Falta de conciencia de seguridad. Falta de mecanismos de monitoreo.
4. Realizar el análisis y evaluación de riesgos para cada proceso asignado. En esta etapa se obtendrá el análisis y evaluación de los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas con el propósito de determinar si cumple o no con el objetivo del plan de la auditoria definidos mediante el proceso de control. PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda causar al usuario por el reconocimiento de información sobre los activos del sistema en la empresa. PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la normatividad corporativa a verificar la falta de normas o reglas de la empresa de los cuales pueden llegar a producir un gran riesgo. AI1.2 Reporte de Análisis de Riesgos: En este proceso se enfocará en la información y datos del sistema al que puedan estar expuestos el acceso no autorizado o alteración de la transmisión de datos no cifrados. DS13.5 Mantenimiento Preventivo del Hardware: En este proceso se enfocará a diferentes fallas que pueda presentar los componentes del hardware y software, errores de diseño, pruebas e implementación del mismo dentro del sistema. ME2.1 Monitoreo del Marco de Trabajo de Control Interno: En este proceso se enfocará a fallas de seguridad en el acceso y transmisión de las políticas de soporte interno/ externo y seguridad de la red del sistema. De acuerdo a la elaboración e implementación de nuestros instrumentos de verificación y recolección de información, se formula una matriz como herramienta de control y gestión para el análisis de posibles riesgos, es mismo se utilizará para identificar y determinar las actividades a realizar de acuerdo a los procesos,
servicios y productos más importantes o relevantes de la empresa CONTRASUR Industria y Comercio. Mediante la siguiente matriz visualizaremos los riesgos desde la etapa inicial, facilitando la mitigación al maximizar las oportunidades de los riesgos de los cuales se manejarán los tiempos minimizando el impacto negativo, cuyo objetivo primordial es identificar y cuantificar los posibles riesgos.
5. Elaborar la matriz de riesgos de cada proceso evaluado CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO PROCESO COBIT
ELEMENTOS DE INFORMACION
CRIMINALIDAD ROBO
VIRUS
SUCESOS FISICOS INCENDIO
ACCIDENTALIDAD
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware ME2.1 Monitoreo del Marco de Trabajo de Control Interno
No contar
NEGLIGENCIA MUERTE
NO CIFRAR CONTRASEÑAS
6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado. CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO PROCESO COBIT
ELEMENTOS DE INFORMACION
CRIMINALIDAD ROBO
VIRUS
SUCESOS FISICOS INCENDIO
ACCIDENTALIDAD
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3.2 Plan de Infraestructura Tecnológica AI1.2 Reporte de Análisis de Riesgos DS13.5 Mantenimiento Preventivo del Hardware ME2.1 Monitoreo del Marco de Trabajo de Control Interno
No contar
NEGLIGENCIA MUERTE
NO CIFRAR CONTRASEÑAS
CONCLUSION
BIBLIOGRAFÍA