AUDITORIA DE SISTEMAS

FASE 5

DICTAMEN NIVEL DE MADUREZ

Presentado por:

LUIS EDUARDO QUIGUANAS CARMONA C.C. 1.114.884.585

Grupo: 56

Curso: 0168A_363

Presentado a:

FRANCISCO NICOLAS SOLARTE

UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA

PROGRAMA DE INGENIERIA DE SISTEMAS

AUDITORIA DE SISTEMAS

DICIEMBRE 05 DEL 2017

 PROCESO PO9:

EVALUAR Y ADMINISTRAR LOS RIEGOS DE TI.

OBJECTIVOS DE LA AUDITORIA:

Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos de las TI,

Implementando estrategias de mitigacin de riesgos residuales, a cualquier impacto

potencial que ponga en riesgo las metas de la organizacin, y que afecte sustancial o

levemente el proceso de las TIC de la organizacin, causado por algn evento natural o no

natural, o no planeado esto se debe identificar, analizar, evaluar y contrarrestar.

DICTAMEN:

Inicial / Ad Hoc cuando

Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan evaluaciones

informales de riesgos segn lo determine cada proyecto. En algunas ocasiones se

identifican evaluaciones de riesgos en un plan de proyectos pero se asignan rara vez a

gerentes especficos. Los riesgos especficos relacionados con TI tales como seguridad,

disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los

riesgos relativos a TI que afectan las operaciones del da a da, son rara vez discutidas en
Reuniones gerenciales. Cuando se toman en cuenta los riesgos, la mitigacin es

inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes

y necesitan ser considerados.

HALLAZGOS:

No se llevan registros de lista de chequeo de estado instalaciones elctricas,

cableado.

No se cuenta con software licenciado

No se cuenta con un antivirus para la LAN

No se cuenta con un sistema de respaldo de archivos Backup

No se verifican las copias de los archivos y con qu frecuencia se hacen

No se cuenta con un Proxy de control de navegacin a Internet y conque frecuencia

se verifica su funcionamiento.

No se cuenta con redes elctricas reguladas y con respaldo

No Existen Polticas de control de acceso a la red por parte de los servidores

Al no contar con licenciamiento de software se est incurriendo en un delito de piratera de

software. No se cuenta con un antivirus por lo cual se est expuesto a ataques a la red por

parte de virus y de individuos externos, No hay implementado un sistema de respaldo de

archivos por el cual se corre el riesgo de prdida total de archivos importantes de la

empresa como archivos de contabilidad etc., Tampoco se verifican las copias de los

archivos y con qu frecuencia se hacen.

En la red interna de la compaa no se cuenta con un Proxy de control de navegacin se

corre el riesgo de ser atacados por hacker, el ancho de banda ser reducido y el personal

tendr ingreso a pginas sin restriccin como Facebook, entre otras en horario laboral, No

hay implementadas polticas de acceso a los servicios del servidor, cualquier persona que

tenga acceso a la red interna podr ingresar a nuestro servidor y ocasionar daos como

perdida de informacin o des configuracin.

RECOMENDACIONES:

Implementar formatos de lista de chequeo, y revistas peridicas al estado de las

redes elctricas y de datos por parte del personal tcnico de la empresa.

Se realizara la compra de licencias de software para los equipos de cmputo de la

compaa.

Se realizara la compra de un antivirus para la instalacin y control de los equipos de

la red local.

Se implementara un formato de chequeo y revistas peridicas para verificar el

respaldo de los archivos de la compaa por parte del personal de sistemas

Se realizara implementacin de polos a tierras para las redes elctricas, y se

instalaran UPS a los equipos de cmputo