Anda di halaman 1dari 32

AUDITORIA DE SISTEMAS

EJECUCION Y RESULTADOS DE AUDITORIA DE SISTEMAS

Presentado por:
Jhonathan Velandia - Cdigo 79220847
Nstor Augusto Tocan cipa Guevara - Cdigo 79.526.016
Fabio Andrs Len Cdigo: 74446458
Ricardo Rodrguez Suarez Cdigo 709697262
Grupo 301569_4

Presentado a
Sara carolina Igua muoz
Geovanni Cataln

Universidad Nacional Abierta y a Distancia UNAD


Escuela de Ciencias Bsicas Tecnologa e Ingeniera ECBTI
Bogot 28 Noviembre de 2016

INTRODUCCION

El presente trabajo se desarrolla siguiendo la Gua de Actividades del curso Auditoria de


Sistemas de la Escuela de Ciencias Bsicas, Tecnologa e Ingeniera ECBTI - Unidad 3
Auditoria Informtica; cuyo propsito es ejecutar acciones que permitan mitigar y
contra restar los hallazgos encontrados en la fase anterior, basados el tratamiento de
riesgos se determinaran cules de ellos tienes mayor criticidad y se plantearan
soluciones para corregirlos.

OBJETIVOS

Objetivo General
Ejecutar los planes de accin definidos en la fase anterior para la empresa Procesos &
Canje S.A mitigando las amenazas y riegos hallados.

Objetivos especficos
Aplicar el estndar CobIT en el diseo y estructura de la Auditoria Informtica en la
empresa Procesos & Canje S.A.
Aplicar los dominios y procesos del estndar CobIT
Ejecutar y dar solucin a los riesgos y amenazas detectados en la compaa de
acuerdo al tratamiento de riesgo definido para cada falla encontrada.
Presentar los resultados de la Auditoria Informtica para la empresa elegida,
formulando las recomendaciones y sugerencias para la mitigacin de riesgos.

Nivel
5
4
3
2
1

Rango
Catastrfic
o
Mayor
Moderado
Menor
Insignifican
te

Los pasos a seguir en el tratamiento de los riesgos sern


los que se describen a continuacin:

Identificacin // Matriz cuadro de vulnerabilidades


Anlisis // Matriz probabilidad e impacto
Evaluacin // Matriz valoracin de riesgo - Leve- Moderado Catastrfico

(JHONATHAN VELANDIA) VALORACION DE RIESGOS


NIVEL

RANGO

RIESGO

CATASTROFI
CO

R5

CATASTROFI
CO

R3

CATASTROFI
CO

R2

MODERADO

R1

MENOR

R4

DESCRIPCION
Ataques de intromisin
e ingeniera social , robo
o eliminacin de
informacin, no hay
sistema de deteccin de
intrusos.
Dao en equipos,
indisponibilidad en el
sistema y prdida de
informacin.
Prdida, modificacin,
robo de informacin.
No existe proceso de
revisin de contrasea.
Perdida de informacin,
debida a dao de las
cintas de Backus.

CUADRO DE VULNERABILIDAES-AMENAZAS RISGOS CATEGORIA

Vulnerabilidad

Amenazas

Riesgo

Categora

COBIT # 1

Descripcin del
proceso

Proceso
Planear y
Organizar

Descripcin

Probabilidad
Baj Medi Alt
a
a
a
X

No existen contraseas de acceso a


los equipos
R8 Falta de conocimiento de los
usuarios en el manejo de
herramientas computacionalesControl
y en de
el manejo de los acceso.
sistemasCambio,
informticos
existentes, nomodificacin
se han
No existen
o
realizado
capacitaciones
a robo
los de
contraseas
de
para concientizarlos
sobre
R4 usuariosacceso
a los
informacin
de
la seguridad
de los datos. los archivos en
equipos
la computadora
R9 Acceso no contralado a Internet,
no se tienen grupos de acceso ni
restricciones
a
sitios
potencialmente
No secuentapeligrosos.
con
cambio de los
control fsico de
documentos
verificacin de
fsicos
documentos
R6
(cheques,
de intromisin e
R1 Ataques
formularios
de y robo o
ingeniera social
pensiones).
0
eliminacin
de informacin
R8
Falta
de Errores de
Falta de Sistema Deteccin de
conocimiento
de usuario, dao
Intrusiones
los
el manejo
accidental
hayusuarios
firewall enpara
de de
R11 No manejo
de
equipos
acceso de envi de informacin dey
herramientas
interfaces
desde fuera de laaplicaciones,
Red de
computacionales
y uso indebido de
la compaa, desde Internet.
enseel manejo
los sistemas
de
cuenta de
conlos equipos
de
R1 No sistemas
de
Contingencias de para sus informacin
sistemas
informticos
la
compaa
2
de informacin principales (DRP)
existentes, noy se continuidad
R1 Disponibilidad
han
inmediata
de realizado
sus sistemas en lo
3
quecapacitaciones
se refiere a fallas ade hardware,
los contar
usuarios
al no
con para
redundancia en
susconcientizarlos
equipos.
la seguridad
existe
directriz para el X
R1 No sobre
de los datos.
adecuado
manejo de dispositivos
Acceso
no Ingeniera
5 R9 de almacenamiento
contralado
a social y uso
Internet, no se indebido de los
tienen grupos de sistemas
de
acceso
ni informacin.
restricciones
a
sitios
potencialmente
peligrosos.
R10
No hay
Los usuarios
segmentacin
finales pueden
adecuada de la red
ver en su red los
servidores de
aplicaciones y
Bases de Datos

R4

R11

No hay firewall
para manejo de
acceso de envi de
informacin de
interfaces desde
fuera de la Red de
la compaa, desde
Internet.

Acceso
indebido a la
Red de la
compaa
externamente a
travs de Pertas
traseras
asequibles,

Lev
e

Impacto
Moderad
Catastrfico
o
X

Corromper datos,
archivos y hasta el
S.O.

Definir la arquitectura de la
informacin

Seguridad
lgica

PO2

Manipulacin
fsica por parte de
todos los
funcionarios.

Seguridad
fsica

N/A

X
El personal no
cuenta con las
actitudes y
aptitudes
requeridas para
hacer uso de la
informacin por
medio de los
sistemas de
informacin,
X
perdida de
informacin,
retraso en los
procesos.

Establecer un modelo de datos


empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos.

N/A

X
Administrar los Recursos
Humanos

X
X

Manejo y
control de
personal

PO7

X y entrenamiento
La contratacin
del personal, la motivacin por
medio de planes de carrera claros,
la asignacin de los roles que
X
correspondan a las habilidades, el
establecimiento de procesos de
revisin definidos, la creacin de
X
descripcin de puestos y el
aseguramiento de la conciencia de
la
dependencia
sobre
los
individuos.

X
Dao
en
los
equipos,
indisponibilidad
de algn sistema,
perdida
de
informacin por
causa de virus

Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.

Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.

Seguridad
Red

Seguridad
Red

PO2

PO2

PO2
Seguridad
Red

Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos
Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos
Definir la arquitectura de la
informacin
Establecer un modelo de datos
empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos

MATRIZ CLASIFICACION DE RIESGO


LEVE

MODERADO

ALTO

R10-R11-R12

MEDIO
BAJO

R4-R9
R15

Riesgo

Controlarlo

R8

Falta de conocimiento de los usuarios en el manejo de


herramientas computacionales y en el manejo de los
sistemas informticos existentes, no se han realizado
capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a Internet, no se tienen grupos de
acceso ni restricciones a sitios potencialmente peligrosos.

Controlarlo

Ataques de intromisin e ingeniera social y robo o


eliminacin de informacin Falta de Sistema Deteccin de
Intrusiones
No hay firewall para manejo de acceso de envi de
informacin de interfaces desde fuera de la Red de la
compaa, desde Internet.
No se cuenta con equipos de Contingencias de para sus
sistemas de informacin principales (DRP)

Transferirlo

Disponibilidad y continuidad inmediata de sus sistemas en lo


que se refiere a fallas de hardware, al no contar con
redundancia en sus equipos.
No existe directriz para el adecuado manejo de dispositivos
de almacenamiento

Aceptarlo

R11
R12
R13
R15

RIESG
O

R9

Tratamiento

No existen contraseas de acceso a los equipos

R10

R8

Descripcin Riesgo

R8-R13

R4

R9

R4

CATASTROFICO

RIESGOS o
HALLAZGOS
ENCONTRADO
S
No existen contraseas de
acceso a los equipos
Falta de conocimiento de
los usuarios en el manejo
de
herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se
han
realizado
capacitaciones
a
los
usuarios
para
concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a
Internet, no se tienen
grupos de acceso ni
restricciones
a
sitios

TIPO DE
CONTROL

CORRECTIVO

Controlarlo

Transferirlo
Transferirlo

Controlarlo

SOLUCIONES O CONTROLES

Controlar el acceso a travs del servidor de directorio


activo

Dictar charlas y capacitacin a los usuarios acerca del


uso correcto de la informacin y los medios seguros
para su trasmisin.
PREVENTIVO

Controlar el acceso a internet o a aquellas pginas no


autorizadas por la organizacin.
CORRECTIVO

R15

potencialmente peligrosos.
No existe directriz para el
adecuado
manejo
de
dispositivos
de
almacenamiento

CORRECTIVO

Establecer polticas de seguridad y controles que


permitan sustraer informacin a travs de medios
magnticos, solo a personal autorizado.

(NESTOR AUGUSTO TOCANCIPA) VALORACION DE RIESGOS


PROBABILIDAD
RIESGOS/VALORACION

IMPACTO
L

Seguridad Lgica
R1
R2

R3
R4

No
existe
proceso
de
revisin
de
contraseas
Modificacin no autorizada de informacin o
retrasos en la operacin, por actualizaciones
no
aprobadas
y/o
desarrolladas
debidamente
Ataques de intromisin e ingeniera social y
robo o eliminacin de informacin Falta de
Sistema Deteccin de Intrusiones
Corromper datos, archivos y hasta el S.O.

Software
R5

Perdida, modificacin y robo de informacin

Seguridad fsica
R6

Manipulacin fsica por parte de todos los


funcionarios.

Manejo y control de personal


R7
R8

Dao en los equipos, indisponibilidad de


algn sistema, perdida de informacin
El personal no cuenta con las actitudes y
aptitudes requeridas para hacer uso de la
informacin por medio de los sistemas de
informacin, perdida de informacin, retraso
en los procesos.

X
X

Seguridad de red
R9
R10
R11

Dao en los equipos, indisponibilidad de


algn sistema, perdida de informacin por
causa de virus
Acceso indebido a la informacin, prdida y
robo de informacin confidencial.
Acceso indebido a la informacin, prdida y
robo de informacin confidencial.

Hardware

R12
R13
R14
R15

Perdida de informacin y clientes


Perdida de informacin y Dinero por el
retraso en el procesamiento de informacin
Perdida de informacin, debida a dao de las
cintas de back-up.
Alteracin o prdida de la informacin
registrada en base de datos o equipos

PROBABILIDAD
A: Alta
M: Media
B: Baja

IMPACTO
L: Leve
M: Moderado
C: Catastrfico

MATRIZ CLASIFICACION DE RIESGO


LEVE
ALTO
MEDIO
BAJO
ID.
Riesgo
R1
R3
R5
R7
R8

R9
R13
R14

R9

MODERADO

CATASTROFICO

R14

R3

R1, R5, R13,

R7
R8

Descripcin Riesgo

Tratamiento Riesgo

No existe proceso de revisin de contraseas


Ataques de intromisin e ingeniera social y
robo o eliminacin de informacin Falta de
Sistema Deteccin de Intrusiones
Perdida, modificacin y robo de informacin
Dao en los equipos, indisponibilidad de
algn sistema, perdida de informacin
El personal no cuenta con las actitudes y
aptitudes requeridas para hacer uso de la
informacin por medio de los sistemas de
informacin, perdida de informacin, retraso
en los procesos.
Dao en los equipos, indisponibilidad de
algn sistema, perdida de informacin por
causa de virus
Perdida de informacin y dinero por el retraso
en el procesamiento de informacin
Perdida de informacin, debida a dao de las
cintas de back-up.

Controlarlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo

Aceptarlo
Aceptarlo
Transferirlo

RIESGOS o
HALLAZGOS
ENCONTRADOS

TIPO DE
CONTROL
CORRECTIV
O
y PREVENTIV
O

No existe proceso de
revisin de contraseas
Perdida, modificacin
robo de informacin

Dao en los equipos,


indisponibilidad de algn
sistema,
perdida
de
informacin

DETECTIVO,
PREVENTIV
O

El personal no cuenta con


las actitudes y aptitudes
requeridas para hacer uso
de la informacin por
medio de los sistemas de
informacin, perdida de
informacin, retraso en los
procesos.

DETECTIVO,
PREVENTIV
O

SOLUCIONES O CONTROLES
Controlar el acceso a travs de
algoritmos de control y bloqueo.
Elaborar
polticas
de
administracin y organizacin de
la informacin, en coordinacin
con el Ingeniero Jefe del rea y
con asesora de personal experto
en el manejo de servidores y
seguridad.
Seguimiento
que
permita
identificar la situaciones problema
y estudio de las soluciones que
minimicen la ocurrencia
Establecer
un
plan
de
capacitacin enfocado en las
falencias detectadas, para lo cual
se hace necesario la identificacin
de las reas temticas a reforzar.

REF
HALLAZGO
001

PROCESO AUDITADO

RESPONSABLE

DS7 Educar y entrenar a los usuarios y DS12 Administracin del


ambiente fsico

PGINA
1

DE

Nstor Tocancip Guevara


CobIT

MATERIAL DE SOPORTE

DS7 Educar y Entrenar a los Usuarios: se requiere identificar las necesidades de entrenamiento de
los usuarios, definir y ejecutar la estrategia de entrenamiento y medir sus resultados.
DS12 Administracin del Ambiente Fsico: definicin de los requerimientos fsicos del centro de
datos, seleccin y diseo de proceso para monitorear factores ambientales y administrar el acceso
fsico.

DOMINIO

Entrenar y dar soporte DS.

PROCESO

DS7 Educar y entrenar a los


usuarios y DS12
Administracin del ambiente
fsico

DESCRIPCIN:

No existe un programa de capacitacin preestablecido


Se evidencian problemas de ventilacin y contaminacin acstica por lo reducido del rea
No hay control para el acceso al centro de cmputo, excepto su ubicacin dentro del edificio, el aviso con el nombre
de Centro de Cmputo y la puerta de acceso
En el pasillo anexo al rea de computo se mantienen archivos y cajas que obstaculizan circulacin

Se evidencia falta de planeacin en aspectos formativos, as como en la distribucin de los espacios requeridos para el
adecuado funcionamiento del Centro de Cmputo. Es necesario tomar medidas para restringir el acceso al Centro de
Cmputo, a personal no autorizado y as evitar los riesgos descritos; se requiere mejorar la disposicin de archivo, evitando la
aglomeracin de cajas en puestos de trabajo y pasillos.

REF_PT:
-

Lista de chequeo F-CHK 01


Formato de cuestionario
Formato de entrevista

CONSECUENCIAS:
-

Al no existir un programa de capacitacin se pierde la oportunidad de manejo y control sobre atribuciones,


responsabilidades, obligaciones y competencias del personal, facilitando evadirlas.
La deficiencia en las condiciones ambientales del rea disminuye la capacidad de tolerancia y aumenta el
estrs entre los trabajadores, propiciando un clima tenso y restringiendo la creatividad para la solucin de las
distintas situaciones.
El control de acceso al rea y mejoras en la ventilacin del espacio de trabajo favoreceran los ndices de
productividad y potenciaran las capacidades del grupo de trabajo.
Al no dar cumplimiento a los planes y programas de manejo de archivo se incumple con la norma y se
deteriora el ambiente laboral, promoviendo una actitud laxa ante las evidentes fallas de manejo documental

RIESGO:
R3 Retraso en los procesos
Probabilidad de ocurrencia=50%
Impacto segn relevancia del proceso=Medio
R4 Dao en los equipos
Probabilidad de ocurrencia=50%
Impacto segn relevancia del proceso=Medio

R1-El personal no cuenta con la aptitud y actitud requerida, para hacer uso de la informacin por medio de los sistemas de
informacin
Probabilidad de ocurrencia=20%
Impacto segn relevancia del proceso=Bajo

RECOMENDACIONES:

Desarrollar un plan de capacitacin a bajo coste que permita atender los hallazgos y minimizar los riesgos.
Presupuestas a mediano plazo la ampliacin del Centro de cmputo o en su defecto realizar las inversiones
necesarias para mejorar las condiciones ambientales, especialmente en lo relacionado con el sistema de ventilacin
del rea.
Implementas medidas de control de acceso al rea, las cuales pueden darse a bajo costo y en el corto plazo.
Exigir el cumplimiento de los procesos en Gestin Documental, descritos en las polticas inherentes al tema.

(FABIO LEON) VALORACIN DE RIESGOS


PROBABILIDAD
RIESGOS/VALORACION

IMPACTO
L

Hardware
R12
R13
R14

R15

R9

R10
R11

R6

R5

No se cuenta con equipos de Contingencias de


X
para sus sistemas de informacin principales
(DRP
Disponibilidad y continuidad inmediata de sus
sistemas en lo que se refiere a fallas de hardware,
al no contar con redundancia en sus equipos.
Control inadecuado de cintas de Backus, no se
sacan externamente las cintas, solo se almacenan
internamente y solo en una copia sin duplicidad
No existe directriz para el adecuado manejo de
dispositivos de almacenamiento
Redes
Acceso no contralado a Internet, no se tienen
grupos de acceso ni restricciones a sitios
potencialmente peligrosos.
No hay segmentacin adecuada de la red
No hay firewall para manejo de acceso de envi
X
de informacin de interfaces desde fuera de la
Red de la compaa, desde Internet.
Seguridad fsica
No se cuenta con control fsico de verificacin de
documentos (cheques, formularios de pensiones).
Servidores y estaciones de trabajo sin
actualizaciones de seguridad en los sistemas
operativos

X
X

X
X

X
X

R1
R3
R4
R2

R7
R8

No existe directivas de contraseas para las


cuentas de usuario
Falta de controles en la seguridad del sistema
X
informtico (sobre usuarios, perfiles, permisos)
No existen contraseas de acceso a los equipos
Documentacin
- La visin de la empresa no tiene una fecha lmite
para su cumplimiento, y est ya se alcanz.
Personal del rea
Acceso no controlado al centro de computo
Falta de conocimiento de los usuarios en el
manejo de herramientas computacionales y en el
manejo de los sistemas informticos existentes, no
se han realizado capacitaciones a los usuarios
para concientizarlos sobre la seguridad de los
datos.

PROBABILIDAD
A: Alta
M: Media
B: Baja

X
X

X
X

X
X

X
X

X
X

IMPACTO
L: Leve
M: Moderado
C: Catastrfico

Tabla No.4 Matriz de Clasificacin de riesgo


LEVE

MODERADO

ALTO

MEDIO
BAJO

CATASTROFICO
R3,R11,R12

R2

R1,R4,R5,R7,R9,R10
R14,R15

R6,R8,R13

Tabla No.5 Tratamiento de los riesgos


ID. Riesgo
R1
R2
R3
R4
R5
R6

Descripcin Riesgo
No existe directivas de contraseas para las cuentas de
usuario
No existen en algunos equipos el sistema operativo
licenciado.
Falta de controles en la seguridad del sistema informtico
(sobre usuarios, perfiles, permisos)
No existen contraseas de acceso a los equipos
Servidores y estaciones de trabajo sin actualizaciones de
seguridad en los sistemas operativos
No se cuenta con control fsico de verificacin de

Tratamiento Riesgo
Transferirlo
Aceptarlo
Controlarlo
Transferirlo
Transferirlo
Controlarlo

R7
R8

R9
R10
R11

R12
R13

R14

R15

documentos (cheques, formularios de pensiones).


Acceso no controlado al centro de computo
Falta de conocimiento de los usuarios en el manejo de
herramientas computacionales y en el manejo de los
sistemas informticos existentes, no se han realizado
capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a Internet, no se tienen grupos de
acceso ni restricciones a sitios potencialmente peligrosos.
No hay segmentacin adecuada de la red
No hay firewall para manejo de acceso de envi de
informacin de interfaces desde fuera de la Red de la
compaa, desde Internet.
No se cuenta con equipos de Contingencias de para sus
sistemas de informacin principales (DRP)
Disponibilidad y continuidad inmediata de sus sistemas en
lo que se refiere a fallas de hardware, al no contar con
redundancia en sus equipos.
Control inadecuado de cintas de Backus, no se sacan
externamente las cintas, solo se almacenan internamente
y solo en una copia sin duplicidad.
No existe directriz para el adecuado manejo de
dispositivos de almacenamiento

Transferirlo
Controlarlo

Transferirlo
Transferirlo
Controlarlo

Controlarlo
Controlarlo

Aceptarlo

Aceptarlo

Tabla No.6 Tipo de control y soluciones


RIESGOS O HALLAZGOS
ENCONTRADOS
Falta de controles en la
seguridad
del
sistema
informtico (sobre usuarios,
perfiles, permisos)

TIPO DE
CONTROL
PREVENTIVO/
CORRECTIVO

No se cuenta con control


fsico de verificacin de
documentos
(cheques,
formularios de pensiones).
Falta de conocimiento de los
usuarios en el manejo de
herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no se
han realizado capacitaciones
a
los
usuarios
para
concientizarlos
sobre
la
seguridad de los datos.
No hay firewall para manejo
de acceso de envi de

CORRECTIVO

SOLUCIONES O CONTROLES
Elaborar polticas de administracin y
organizacin de la informacin, lo cual se
podra realizar a travs de la contratacin de un
ingeniero de sistemas con experiencia en
manejo de servidores y seguridad para la
realizacin de esta labor.
Control en el manejo de la informacin
analizando el alcance que debe tener cada
empleado para poder cumplir con el desarrollo
de sus labores.

CORRECTIVO

Capacitar al personal de la organizacin sobre


la forma de utilizar y optimizar los recursos. Si
no existe la persona indicada en la empresa
para dar la asesora, se podra contratar con
una entidad externa.

DETECTIVO

Almacenar la informacin de la empresa de


manera automtica a travs de la programacin

informacin de interfaces
desde fuera de la Red de la
compaa, desde Internet.
No se cuenta con equipos de
Contingencias de para sus
sistemas
de
informacin
principales (DRP)
Disponibilidad y continuidad
inmediata de sus sistemas en
lo que se refiere a fallas de
hardware, al no contar con
redundancia en sus equipos.

de copias en un servidor de respaldo.

PREVENTIVO

Elaborar y capacitar al personal sobre planes


de contingencia con el fin de estar preparados
en el momento de un eventual siniestro.

CORRECTIVO

Actualizacin del manual de funciones por parte


de los empleados de la organizacin.

Tabla No.7 Hallazgos


REF
HALLAZGO 1

HHDN_O1

PROCESO AUDITADO

Funcionamiento del acceso y seguridad a la red


de datos

RESPONSABLE

Fabio Andrs Len

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear
(PO)

Organizar

PROCESO

PGINA
1

DE

Definir
un
plan
estratgico de TI
(PO1)

DESCRIPCIN:

No existe un grupo encargado de evaluar y estudiar el desempeo de la red de datos en su


acceso y seguridad
No existen polticas ni procedimientos relacionados con la conformacin adecuada de la
arquitectura y del aspecto fsico de la red de datos.

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red
de datos ni los procedimientos que se realizaran por parte de los funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01
CONSECUENCIAS:

Al no existir un grupo encargado de evaluar y estudiar los aspectos de seguridad y acceso


de la red de datos se pierde informacin relacionado con la empresa, libertad para filtrarse
material reservado
Al no existir polticas ni procedimientos relacionados con la conformacin de la arquitectura y
del aspecto fsico de la red de datos se pierde la opcin de ajustar a las condiciones
adecuadas que necesita la entidad los servicios de red de datos.

RIESGO:

100

Probabilidad de ocurrencia:

Impacto segn relevancia del proceso: Alto

RECOMENDACIONES:

Conformar un grupo determinado de funcionarios que evalen y estudien los niveles de


seguridad y acceso de la red de datos, para con ello tomen decisiones oportunas y
adecuadas en la eventualidad presentarse fallas
Elaborar e implementar polticas y procedimientos relacionados con la conformacin de la
arquitectura y del acceso a la red de datos para ajustar los servicios de red a las
necesidades propias que necesite la entidad.

CONCLUSIONES

COBIT es un modelo o herramienta de buenas prcticas para ser utilizado en los


procesos de auditora de cualquier organizacin, por medio de l se pueden gestionar
las tecnologas de la informacin de una compaa, basados en sus objetivos y
procesos podemos aplicar las diferentes herramientas que sirven de base, para levantar
la informacin de los procesos a auditar, en el desarrollo de esta actividad se definieron
Matrices con los hallazgos para cada proceso Cobit, matriz de riesgos y planes de
accin para el proceso de Auditoria en la compaa Procesos & Canje.

DS4 Garantizar la Continuidad del Servicio (DS4.2 Planes de continuidad


de TI:, DS4.5 Pruebas del plan de continuidad de TI y DS4.9 )

VULNERABILIDADES ENCONTRADAS
RICARDO RODRIGUEZ SUAREZ
N

Vulnerabilidad

Amenazas

No existe directivas de
contraseas para las
cuentas de usuario

Accesos no autorizados

Riesgo

No existe proceso de
revisin de
contraseas
Modificacin no
autorizada de
informacin, o
Separacin de ambientes
Perdida de informacin,
retrasos en la
de las aplicaciones, test,
segregacin de
operacin, por
desarrollo y produccin
funciones indebida
actualizaciones no
probadas y/o
desarrolladas
debidamente.
Ataques de
intromisin e
Capacidad para
Falta de controles en la
ingeniera social y
modificar, cambiar o
seguridad del sistema
robo o eliminacin
eliminar la
informtico (sobre usuarios,
de informacin Falta
configuracin del S.O y
perfiles, permisos)
de Sistema
Aplicaciones
Deteccin de
Intrusiones
Control de acceso.
Cambio, modificacin o
Corromper datos,
No existen contraseas de
robo de informacin de
archivos y hasta el
acceso a los equipos
los archivos en la
S.O.
computadora
Servidores y estaciones de
Mal funcionamiento de
Perdida,
trabajo sin actualizaciones
los equipos y errores de modificacin y robo
de seguridad en los
procesamiento.
de informacin
sistemas operativos
No se cuenta con control
Manipulacin fsica
fsico de verificacin de
cambio de los
por parte de todos
documentos (cheques,
documentos fsicos
los funcionarios.
formularios de pensiones).
Ingreso no autorizado Dao en los equipos,
de personal al centro
indisponibilidad de
Acceso no controlado al
de cmputo. Acceso
algn sistema,
centro de computo
fsico a los recursos del
perdida de
sistema
informacin

Categora
Seguridad
lgica

Seguridad
lgica

Seguridad
lgica

Seguridad
lgica

Software

Seguridad
fsica
Manejo y
control de
personal

1
0

1
1

1
2

1
3

1
4

1
5

El personal no
cuenta con las
actitudes y aptitudes
Errores de usuario,
requeridas para
dao accidental de
hacer uso de la
equipos y aplicaciones,
informacin por
uso indebido de los
medio de los
sistemas de
sistemas de
informacin de la
informacin, perdida
compaa
de informacin,
retraso en los
procesos.
Dao en los equipos,
Acceso no contralado a
Ingeniera social y uso
indisponibilidad de
Internet, no se tienen
indebido de los
algn sistema,
grupos de acceso ni
sistemas de
perdida de
restricciones a sitios
informacin.
informacin por
potencialmente peligrosos.
causa de virus
Los usuarios finales
Acceso indebido a la
pueden ver en su red
informacin, prdida
No hay segmentacin
los servidores de
y robo de
adecuada de la red
aplicaciones y Bases de
informacin
Datos
confidencial.
Acceso indebido a la
Red de la compaa
No hay firewall para manejo
Acceso indebido a la
desde fuera de la red
de acceso de envi de
informacin, prdida
corporativa. Pertas
informacin de interfaces
y robo de
traseras asequibles,
desde fuera de la Red de la
informacin
fallas en la instalacin
compaa, desde Internet.
confidencial.
de accesorios de
comunicacin
No tener continuidad
No contar con equipos de
de la operacin, ante
Perdida de
Contingencias de para sus
desastres naturales o
informacin y
sistemas de informacin
eventualidades locales
clientes
principales (DRP)
de orden pblico.
Disponibilidad y continuidad
Cadas de servidores,
Perdida de
inmediata de sus sistemas
donde la recuperacin informacin y Dinero
en lo que se refiere a fallas
lleve ms de 4 horas o
por el retraso en el
de hardware, al no contar
pasen das antes de
procesamiento de
con redundancia en sus
recuperarse.
informacin
equipos.
Control inadecuado de
cintas de backups, no se
Perdida de
sacan externamente las
No poder restaurar
informacin, debida
cintas, solo se almacenan
informacin
a dao de las cintas
internamente y solo en una
de backups.
copia sin duplicidad.
No existe directriz para el
Introduccin de
Alteracin o prdida
adecuado manejo de
informacin falsa, virus,
de la informacin
dispositivos de
troyanos, informacin
registrada en base
almacenamiento
corrupta
de datos o equipos
Falta de conocimiento de
los usuarios en el manejo
de herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
seguridad de los datos.

Manejo y
control de
personal

Seguridad
Red

Seguridad
Red

Seguridad
Red

Hardware

Hardware

Hardware

Hardware

Dentro de las vulnerabilidades y riesgos encontrados, para aplicar el anlisis y


estudio de los controles COBIT seleccionados se trabajara sobre las siguientes
vulnerabilidades:

ANALISIS Y EVALUACIN DE RIESGOS

R1
R2

R3
R4
R5

R6
R7

Descripcin

No contar con planes de


continuidad del negocio.
No
contar
con
documentacin de planes
de
continuidad
del
negocio.
No tener implementado
un
DRP
(Disaster
Recovery Plan)
No contar con inventario
de hardware y software
de equipos crticos
No Contar con contratos
de Soporte de hardware y
Soporte de aplicaciones
crticas del negocio.
No
capacitar
a
los
usuarios en los planes de
continuidad del negocio.
No contar con sistemas
de
redundancia
de
hardware de equipos
crticos.

Probabilidad
Baja Media Alta

Lev
e

X
X

Impacto
Moderad
Crtico
o
X
X

X
X

X
X

X
X

RESULTADO MATRIZ DE RIESGOS PARA CONTINUIDAD DE LA OPERACIN

Menor impacto o probabilidad de ocurrencia


Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

ANALISIS Y EVALUACIN DE RIESGOS

Descripcin

Probabilidad
Baja Media Alta

Lev
e

Impacto
Moderad
Crtico
o

R1

R2

R3

R4
R5

R6

R7

R8

No
contar
con
redundancia de hardware
en los equipos que alojan
las aplicaciones crticas
del negocio.
No contar con contratos
de soporte de hardware y
software de los equipos
que
alojan
las
aplicaciones crticas.
No contar con planes de
refresh tecnolgico de los
equipos que alojan las
aplicaciones.
No contar con inventario
de hardware y software
de equipos crticos
No contar son sistemas
de monitoreo de los
equipos que alojan las
aplicaciones crticas.
No tener procedimientos
debidamente
documentados de que
hacer en caso de fallas de
hardware y software de
los equipos que alojan las
aplicaciones crticas.
No contar con SLA
adecuados de soporte de
hardware y software de
los equipos que alojan las
aplicaciones crticas.
No contar con planes de
mantenimiento correctivo
y preventivo de los
equipos que alojan las
aplicaciones crticas

X
X

RESULTADO MATRIZ DE RIESGOS PARA DISPONIBILIDAD DE CONTINUIDAD INMEDIATA

Menor impacto o probabilidad de ocurrencia


Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

ANALISIS Y EVALUACIN DE RIESGOS

R1
R2

R3
R4

R5

Descripcin

No contar con proveedor


de almacenamiento de
cintas de backps externo
No contar con contratos
de
transporte
y
almacenamiento de cintas
de backups externas.
No contar con inventario
adecuado de medios de
backup.
No contar con control de
planillas de envo y
recepcin de cintas desde
y hacia el proveedor
externo.
No
contar
con
los
sistemas de monitoreo de
log de envo de cintas

Probabilidad
Baja Media Alta

Lev
e

X
X

X
X

Impacto
Moderad
Crtico
o
X
X

X
X

haca
el
proveedor
externo
de
almacenamiento.
No tener procedimientos
debidamente
documentados de envo y
recepcin de cintas hacia
y desde el proveedor de
almacenamiento externo.
No contar con SLA
adecuados de envo y
recepcin de cintas con el
proveedor
de
almacenamiento externo.
No tener la capacitacin
adecuada para el manejo
y control de envo de
cintas haca el proveedor
de
almacenamiento
externo.

R6

R7

R8

PROBABILIDAD

RESULTADO MATRIZ DE RIESGOS PARA ENVO EXTERNO DE CINTAS DE BACKUP

Alto
61-100%
Medio
31-60%
Bajo
0-30%

R1

R3

R2,R5,R7,R8

R6

R4

Leve
IMPACTO

Moderado

Crtico

VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Continuidad de La operacin, en la parte de DRP El Jefe de Sistemas:

PROBABILIDAD
RIESGOS/VALORACION

IMPACTO
L

Documentacin
R1
R2
R3
R4

No contar con planes de continuidad del


negocio
No contar con documentacin de planes de
continuidad del negocio.
No tener implementado un DRP (Disaster
Recovery Plan)
No Contar con contratos de Soporte de
hardware y Soporte de aplicaciones crticas
del negocio.

X
X

Capacitacin del personal


R5

No capacitar a los usuarios en los planes de

continuidad del negocio.

Hardware
R6
R7

No contar con sistemas de redundancia de


hardware de equipos crticos.
No contar con inventario de hardware y
software de equipos crticos

PROBABILIDAD
A: Alta
M: Media
B: Baja

X
X

IMPACTO
L: Leve
M: Moderado
C: Catastrfico

Tabla 2 Matriz de Clasificacin de riesgo


LEVE
ALTO

MEDIO
BAJO

MODERADO

CATASTROFICO

R1

R3-R4

R2-R6
R7

R5

TRATAMIENTO DEL RIESGO


ID.
Riesgo
R1
R2
R3
R4

Descripcin Riesgo

Tratamiento Riesgo

No contar con planes de continuidad del


negocio
No contar con documentacin de planes de
continuidad del negocio.
No tener implementado un DRP (Disaster
Recovery Plan)
No Contar con contratos de Soporte de
hardware y Soporte de aplicaciones crticas

CONTROLARLO
CONTROLARLO
TRASFERIRLO
CONTROLARLO

R5
R6
R7

del negocio.
No capacitar a los usuarios en los planes de
continuidad del negocio.
No contar con sistemas de redundancia de
hardware de equipos crticos.
No contar con inventario de hardware y
software de equipos crticos

ACEPTARLO
CONTROLARLO
ACEPTARLO

CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
ENCONTRADOS
No contar con planes de
continuidad del negocio

TIPO DE
CONTROL

SOLUCIONES O CONTROLES

CORRECTIVO

Elaborar con
el negocio y las
diferentes reas involucradas, una
poltica para la implementacin de los
planes de continuidad del negocio,
donde se evidencia los pasos y
personas responsables de activar
esos planes.
Elaborar la documentacin necesaria,
mediante
el
levantamiento
de
informacin
con
las
reas
involucradas, donde se evidencia
claramente, los planes del DRP y su
puesta en marcha, estos documentos
deben estar en formato electrnico y
debidamente
autorizado
por
la
gerencia de tecnologa.
Elaborar una poltica de SLA con
contratos
de
Soporte
con
los
proveedores de hardware de las
aplicaciones del negocio, apoyas con
el rea legal de la compaa, estos
contratos deben estar avalados por la
direccin de tecnologa y financiera,
se deben guardar los contratos en
formato electrnico y tener control de
su vencimiento para la renovacin.
Adquirir
en
corto
tiempo
la
infraestructura necesaria, para la
implementacin de la redundancia de
los equipos de cmputo, de las
aplicaciones crticas del negocio y su
correspondiente puesta a punto, se
debe validar peridicamente su
correcto funcionamiento.

No
contar
con
documentacin de planes
de
continuidad
del
negocio.

PREVENTIVO

No Contar con contratos


de Soporte de hardware y
Soporte de aplicaciones
crticas del negocio.

CORRECTIVO

No contar con sistemas de


redundancia de hardware
de equipos crticos.

CORRECTIVO

VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Disponibilidad de continuidad inmediata, redundancia de Equipos Principales,
Coordinador de Sistemas:
PROBABILIDAD
RIESGOS/VALORACION

IMPACTO
L

Documentacin
R1
R2
R3
R4

No contar con planes de refresh tecnolgico


de los equipos que alojan las aplicaciones.
No contar con inventario de hardware y
software de equipos crticos
No contar son sistemas de monitoreo de los
equipos que alojan las aplicaciones crticas.
No tener procedimientos debidamente
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones crticas.

X
X

Capacitacin del personal


R5

No capacitar a los usuarios en los planes de


continuidad del negocio.

Hardware
R6

No contar con planes de mantenimiento


correctivo y preventivo de los equipos que
alojan las aplicaciones crticas

Tabla 2 Matriz de Clasificacin de riesgo


LEVE

MODERADO

ALTO

CATASTROFICO
R3

MEDIO
BAJO

R2 R4 R5

R1 R6

TRATAMIENTO DEL RIESGO


ID.

Descripcin Riesgo

Tratamiento Riesgo

Riesgo
R1
R2
R3
R4

R5
R6

No contar con planes de refresh tecnolgico


de los equipos que alojan las aplicaciones.
No contar con inventario de hardware y
software de equipos crticos
No contar son sistemas de monitoreo de los
equipos que alojan las aplicaciones crticas.
No
tener
procedimientos
debidamente
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones crticas.
No capacitar a los usuarios en los planes de
continuidad del negocio
No contar con planes de mantenimiento
correctivo y preventivo de los equipos que
alojan las aplicaciones crticas

CONTROLARLO
ACEPTARLO
CONTROLADO
ACEPTARLO

ACEPTARLO
TRASFERIRLO

CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
ENCONTRADOS
No contar son sistemas de
monitoreo de los equipos
que alojan las aplicaciones
crticas.

TIPO DE
CONTROL

SOLUCIONES O CONTROLES

CORRECTIVO

Implementar,
los
sistemas
de
hardware y software necesarios, para
el monitoreo de los equipos que
alojen las aplicaciones crticas del
negocio, implementando las alarmas
necesarias, que permitan prevenir
posibles fallas o reaccionar a tiempo
para que la operacin no se detenga
o se detenga lo menos posible
mientras se soluciona los problemas
reportados por las alarmas.
Elaborar desde la gerencias de
tecnologa una poltica de renovacin
tecnolgica de los equipos de
cmputo, que estn involucrados con
las aplicaciones crticas del negocio y
su posterior implementacin en el
corto tiempo, se debe evidenciar con
los contratos o facturas de los
proveedores, adicional se debe tener
un
inventario
de
obsolescencia
tecnolgica de esos equipos.
Elaborar
una
poltica
de
mantenimiento
preventivo
y
correctivo de los equipos que alojan

No contar con planes de


refresh tecnolgico de los
equipos que alojan las
aplicaciones.

PREVENTIVO

No contar con planes de


mantenimiento correctivo y
preventivo de los equipos

PREVENTIVO

las aplicaciones crticas del negocio,


llevando un cronograma que se
acuerda con los dueos de las
aplicaciones
y
el
negocio,
se
evidencia con los contractos que se
realicen con terceros y las planillas de
ejecucin del mantenimiento.

que alojan las aplicaciones


crticas

VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Envo externo de cintas de backup, Coordiandor de Sistemas.
PROBABILIDAD
RIESGOS/VALORACION

IMPACTO
L

Documentacin
R1
R2
R3
R4
R5

No contar con proveedor de almacenamiento


de cintas de backps externo
No contar con contratos de transporte y
almacenamiento de cintas de backups
externas.
No contar con inventario adecuado de medios
de backup.
No contar con control de planillas de envo y
recepcin de cintas desde y hacia el
proveedor externo.
No tener procedimientos debidamente
documentados de envo y recepcin de cintas
hacia
y
desde
el
proveedor
de
almacenamiento externo.

X
X
X

X
X
X

Capacitacin del personal


R6

R7

No contar con los sistemas de monitoreo de


log de envo de cintas haca el proveedor
externo de almacenamiento..
No tener la capacitacin adecuada para el
manejo y control de envo de cintas haca el
proveedor de almacenamiento externo

Niveles de Servicio
R8

No contar con SLA adecuados de envo y


recepcin de cintas con el proveedor de
almacenamiento externo.
.

Tabla 2 Matriz de Clasificacin de riesgo


LEVE

MODERADO

ALTO

R4

R1

MEDIO

R3-R5

R2-R6-R7-R8

CATASTROFICO

BAJO
TRATAMIENTO DEL RIESGO
ID.
Riesgo
R1
R2
R3
R4
R5

R6

R7

R8

Descripcin Riesgo

Tratamiento Riesgo

No contar con proveedor de almacenamiento


de cintas de backps externo
No contar con contratos de transporte y
almacenamiento de cintas de backups
externas.
No contar con inventario adecuado de medios
de backup.
No contar con control de planillas de envo y
recepcin de cintas desde y hacia el proveedor
externo.
No
tener
procedimientos
debidamente
documentados de envo y recepcin de cintas
hacia
y
desde
el
proveedor
de
almacenamiento externo.
No contar con los sistemas de monitoreo de
log de envo de cintas haca el proveedor
externo de almacenamiento.
No tener la capacitacin adecuada para el
manejo y control de envo de cintas haca el
proveedor de almacenamiento externo
No contar con SLA adecuados de envo y
recepcin de cintas con el proveedor de
almacenamiento externo.

TRASFERIRLO
CONTROLARLO
ACEPTARLO
CONTROLARLO
ACEPTARLO

CONTROLARLO

CONTROLARLO

CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS

TIPO DE
CONTROL

SOLUCIONES O CONTROLES

ENCONTRADOS
No contar con proveedor
de almacenamiento de
cintas de backps externo

PREVENTIVO

No contar con contratos de


transporte
y
almacenamiento de cintas
de backups externas

CORRECTIVO

No contar con control de


planillas de envo y
recepcin de cintas desde
y hacia el proveedor
externo.

PREVENTIVO

No contar con los sistemas


de monitoreo de log de
envo de cintas haca el
proveedor
externo
de
almacenamiento.

CORRECTIVO

No tener la capacitacin
adecuada para el manejo y
control de envo de cintas
haca el proveedor de
almacenamiento externo

PREVENTIVO

No
contar
con
SLA CORRECTIVO
adecuados de envo y
recepcin de cintas con el
proveedor
de
almacenamiento externo.

Elaborar
una
poltica
de
almacenamiento externo de cintras
de
backups,
documentando
los
procedimientos de manera clara y los
responsable, se debe evidenciar con
la
aprobacin
del
director
de
tecnologa y su almacenamiento en
medio electrnico.
Tener un contrato de transporte y
almacenamiento de medios con un
proveedor externos apoyados con la
direccin
de
tecnologa
y
el
departamento
legal,
se
debe
evidenciar con la copia en electrnico
del contrato y el control de su
vencimiento.
Elaborar procedimiento de control de
envo de planillas haca el proveedor
externo, se debe evidenciar con un
kardex y almacenamiento de las
planillas el cual se deber cruzar vs el
inventario
del
proveedor
de
almacenamiento ecterno.
Implementar en el software de
backup, el log que permita llevar un
control electrnico adecuado del
envo y recepcin de las cintas, se
debe
evidenciar
con
el
almacenamiento de los log por Mes.
Elaborar
los
procedimientos
adecuados para el manejo y control
de envo de las cintas al proveedor
externo, esto se debe evidenciar con
una certificacin que deber ser
expedida para los usuarios que
tengan a su cargo este proceso.
Definir en conjunto entre la gerencia
de tecnologa, los adecuados niveles
de servicio para el trasnporte y envo
de medios, esto debe ser evidente en
otro s al contrato principal con el
proveedor externo.

REFERENCIAS

Falcon, . (2006). Auditora y las Normas de Auditora Generalmente Aceptadas.


(Spanish).

Contabilidad

Negocios,

1(2),

16-20.

Extrado

de

http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf

Modulo

Auditoria

de

sistemashttp://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_
AUDITORIA_GGGG.pdf

lvarez, M., & Rivera, Z. (2006). La auditora como proceso de control: concepto y
tipologa.

(Spanish).

Ciencias

De

La

Informacin,

37(2/3),

59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf

53-