Anda di halaman 1dari 12

Unidad 2: Fase 3: Fase de Planeación y Ejecución: Instrumentos de recolección de

información. Análisis y evaluación de riesgos

No. de Grupo 90168_2

Universidad Nacional Abierta y a Distancia UNAD- CEAD Pasto


Escuela de Ciencias Básicas y Tecnología ECBTI
Noviembre de 2017
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS Y EJECUCCIÓN DE AUDITORIA

CUADRO DE DEFINICION DE FUENTES DE REF


CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
DETODO.COM
AUDITADA 1 DE 1
PROCESO
Administrar los Recursos Humanos de TI
AUDITADO
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO PO. PLANEAR Y ORGANIZAR
PROCESO PO7. Administrar los Recursos Humanos de TI
OBJETIVOS DE
PO7.4 Entrenamiento del Personal de TI
CONTROL

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION
 Políticas
Revisión Documental  Normas
 Procedimientos Cuestionario
Personal Administrativo

AUDITOR RESPONSABLE:
ALEXY AMANDA PAZ MENESES
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS Y EJECUCCIÓN DE AUDITORIA

CUADRO DE DEFINICION DE FUENTES DE REF


CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
Garantizar la Seguridad de los Sistemas
AUDITADO
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS5. Garantizar la Seguridad de los Sistemas
DS5.4. Administración de cuentas de usuario
OBJETIVOS DE DS5.9. Prevención, detección y corrección de software
CONTROL malioso
DS5.10. Seguridad de la Red

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION
Personal  Políticas
Administrativo  Normas Cuestionario
Personal Técnico  Procedimientos

AUDITOR RESPONSABLE:
ALEXY AMANDA PAZ MENESES
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS Y EJECUCCIÓN DE AUDITORIA

CUADRO DE DEFINICION DE FUENTES DE REF


CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
Administración de Datos
AUDITADO
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS11. Administración de Datos
OBJETIVOS DE
DS11.6. Respaldo y Restauración
CONTROL

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION
Personal  Políticas
Administrativo  Normas Cuestionario
Personal Técnico  Procedimientos

AUDITOR RESPONSABLE:
ALEXY AMANDA PAZ MENESES
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS Y EJECUCCIÓN DE AUDITORIA

CUADRO DE DEFINICION DE FUENTES DE REF


CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
DS12. Administración del Ambiente Físico
AUDITADO
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS12. Administración del Ambiente Físico
OBJETIVOS DE
DS12.5 Administración de Instalaciones Físicas.
CONTROL

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION
Personal  Políticas
Administrativo  Normas Cuestionario
Personal Técnico  Procedimientos

AUDITOR RESPONSABLE:
ALEXY AMANDA PAZ MENESES
Cuestionario de Control: C1
Dominio PLANEAR Y ORGANIZAR (PO)
Proceso PO7. Administrar los Recursos Humanos de TI
Objetivo de Control PO7.4 Entrenamiento del Personal de TI
Pregunta Si No OBSERVACIONES
¿Tienen definido por escrito un procedimiento para la 4 Si bien el administrador
contratación de personal en el negocio? puede describir el
procedimiento para la
contratación, este no está
definido en forma escrita.
¿Se han evaluado las habilidades y conocimientos que 5
deben tener los empleados para trabajar en el negocio?
¿Se encuentran establecidas y delimitadas por escrito, 5 Estas no están definidas en
las Responsabilidades del personal técnico y forma escrita.
administrativo?
¿Existen planes de capacitación al personal contratado? 5 No existen
¿El desempeño del trabajo realizado por el personal es 5 Mensualmente
evaluado y revisado periódicamente?
¿Se han realizado estudios al personal para determinar 5 No se han realizado
necesidades de capacitación?
TOTALES 10 19

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha
importancia.
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%


Porcentaje de riesgo = 100 – 35.7= 65.6%

1% - 30% = Riesgo Bajo


31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
Cuestionario de Control: C2
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS5. Garantizar la Seguridad de los Sistemas
DS5.4. Administración de cuentas de usuario
OBJETIVOS DE
DS5.9. Prevención, detección y corrección de software malioso
CONTROL
DS5.10. Seguridad de la Red
Pregunta Si No OBSERVACIONES
¿La empresa cuenta con un administrador de sistemas
que lleve un control de usuarios que hacen uso de los
diferentes dispositivos de cómputo?
¿Se cuentan con procedimientos para la creación,
modificación y eliminación de perfiles de usuario en
los equipos de la empresa?
¿Se identifica usuarios y sus privilegios de acceso,
sistema operativo, sistema de gestión de bases de datos
y aplicaciones?
¿Se restringe y controla la asignación y el uso de
privilegios a los usuarios de los equipos de cómputo?
¿Se ha determinado algún mecanismo de seguridad para
que el usuario no acceda al sistema operativo de los
equipos?
¿Existen políticas de restricción para el acceso a los
programas y archivos por parte de usuarios clientes?
¿Los usuarios clientes tienen restringido el acceso a
las partes más delicadas de las aplicaciones instaladas
en el equipo?
¿Existen normas o procesos que no permitan hacer
Modificaciones en la configuración de los equipos o
intentarlo?
¿Los equipos que contienen la información prioritaria
del negocio, tienen acceso restringido?
¿Se han implantado claves o password para garantizar el
acceso al servidor a personal autorizado?
¿Se tiene control y registro de cada una de las personas
que hacen uso del servidor?
¿Cuenta con licencias de software?
¿Existen políticas para el cumplimiento con licencias de
software y prohibición del uso de software No
autorizado?
¿Se hacen revisiones periódicas y sorpresivas del
contenido del disco para verificar la instalación de
aplicaciones no relacionadas con el objeto económico de
la empresa?
¿Se tienen instalados y actualizados Antivirus?
¿Existen Firewalls dentro de la empresa?
¿Existen Planes de Contingencia para recuperarse ante
ataques de virus?
¿Se tienen instalados antimalware en los equipos?
¿Cuenta con dispositivo firewall físico para protección
y aseguramiento de la red?
¿Las direcciones IP ́S de los equipos de cómputo son
implementadas de forma fija?
¿La red cuenta con los equipos y aplicaciones
(protección) necesarias para tener una mayor
resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que
garanticen el buen funcionamiento de la red?
¿La cantidad de dispositivos Access Point es la
adecuada en función del número de usuarios que se
conectan?
¿Los enlaces de la red se testean frecuentemente?
TOTALES

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha
importancia.
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%


Porcentaje de riesgo = 100 – 35.7= 65.6%

1% - 30% = Riesgo Bajo


31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
Cuestionario de Control: C3
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS11. Administración de Datos
OBJETIVOS DE
DS11.6. Respaldo y Restauración
CONTROL
Pregunta Si No OBSERVACIONES
¿Existen políticas implementadas en la empresa para el
respaldo de información?
¿Se realizan periódicamente backups de la información
del servidor y de los demás equipos de cómputo?
¿Se guardan copias periódicas de los archivos que
permita reanudar un proceso a partir de una fecha
determinada?
¿Se cuenta con copias de los archivos en lugar distinto
al de la computadora?
¿El personal técnico está entrenado para recuperar o
restaurar información en caso de destrucción de
archivos?
¿Se tienen implementados controles de detección,
prevención y recuperación contra el software malicioso?
¿Se realizan auditorias periódicas a los medios de
almacenamiento?
TOTALES

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha
importancia.
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%


Porcentaje de riesgo = 100 – 35.7= 65.6%

1% - 30% = Riesgo Bajo


31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
Cuestionario de Control: C4
DOMINIO ENTREGAR Y DAR SOPORTE (DS).
PROCESO DS12. Administración del Ambiente Físico
OBJETIVOS DE
DS12.5 Administración de Instalaciones Físicas.
CONTROL
Pregunta Si No OBSERVACIONES
¿Se tiene una distribución del espacio adecuada, de
forma tal que facilite el trabajo y no existan
distracciones?
¿Existe suficiente espacio dentro de las instalaciones de
forma que permita una circulación fluida de personal y
clientes?
¿Existen señalizaciones adecuadas en las salidas de
emergencia y se tienen establecidas rutas de
evacuación?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el
paso a lugares de acceso restringido?
¿Se tienen sistemas de seguridad para evitar que se
sustraiga equipo de las instalaciones?
¿Se tiene un registro de las personas que ingresan a las
instalaciones?
¿Se registra el acceso al servidor de personas ajenas a la
dirección administrativa y técnica?
¿Existe un control que prohíba Mover, desconectar y/o
conectar equipo de cómputo sin autorización?
¿Se cuenta con suficientes carteles en lugares visibles
que recuerdan estas prohibiciones?
¿Existen inventarios de hardware, equipos y periféricos
asociados y del software instalado?
¿Los equipos se encuentran instalados en áreas con
temperaturas adecuadas para su funcionamiento?
¿Se cuenta con sistemas de emergencia como son
detectores de humo, alarmas, u otro tipo de censores?
¿Se tienen medios adecuados para extinción de fuego?
¿Se tienen protecciones contra corto circuito?
¿Los interruptores de energía y cables de red están
debidamente protegidos, etiquetados y sin obstáculos
para alcanzarlos?
¿Se han instalado equipos que protejan la información y
los dispositivos en caso de variación de voltaje como:
reguladores de voltaje, supresores pico, UPS,
generadores de energía?
¿Se cuenta con servicio de mantenimiento para todos
los equipos?
¿El cableado estructurado del interior del edificio viaja
dentro de canaleta o ducto?
¿Las terminaciones del cable de red están correctamente
configuradas en base al código de colores de los pares
trenzados?
¿Con cuanta frecuencia se limpian las instalaciones?
¿Se cuenta con instalación con tierra física para todos
los equipos?
¿Se tiene un cronograma de mantenimiento preventivo y
correctivos para los equipos?
TOTALES
BIBLIOGRAFIA

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de


http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn
=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=
&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1ti
ca&atitle=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica
&aulast=Derrien%2C%20Yann&id=DOI:

Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial


McGraw-Hill.

Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de


http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg
=4

Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de


http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

Huesca, G. (2012). Auditoria informática. Recuperado de


https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de


https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%
ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De


http://hdl.handle.net/10596/10236

Norma de mejores prácticas de TI CobIT 4.1, disponible en:


http://campus06.unad.edu.co/ecbti08/pluginfile.php/5935/mod_resource/content/3/cobiT4
.1spanish.pdf