Anda di halaman 1dari 11

I

Auditoria de sistemas

Fase 3 – Ejecución de la auditoría

CRISTHIAN FRANCISCO PÉREZ PONCE


ABRIL 2019

Universidad Nacional Abierta y a Distancia


Escuela de Ciencias Básicas, Tecnología e Ingeniería – ECBTI
Programa de Ingeniería de Sistemas
Auditoría de Sistemas Grupo 21
II

Tabla de Contenidos

CUESTIONARIO: ADMINISTRACIÓN DE LAS INSTALACIONES....................................... 5


CUADRO DE RIESGOS ................................................................................................................ 6
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS ..................... 7
RESULTADO MATRIZ DE RIESGOS ...................................................................................... 10
ACCIONES................................................................................................................................... 10
Bibliografía ................................................................................................................................... 10
3

ENTIDAD PAGINA
Universidad Antonio Nariño
AUDITADA 1 DE 1
PROCESO
Aspectos sobre la seguridad de los sistemas
AUDITADO
RESPONSABLE Cristhian Francisco Pérez
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Servicios y soporte
PROCESO DS12 Administración de las instalaciones

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO DE ANALISIS DE EJECUCION

Existencia de normativa para Auditoria de los ingresos y


Guía de Aseguramiento ingreso de usuarios a egresos de usuarios a las
COBIT instalaciones instalaciones.
Manual procedimiento de la Estrategias alternativas ante Probar las estrategias ante
Identidad fallas de seguridad. fallas de seguridad.
Administración de ingresos
por parte de externos Detectar ingresos no
autorizados.

Medir capacidad de respuesta


de operarios ante la violación
de ingreso de personal no
autorizado

ENTREVISTA
Entregar y Dar Soporte (DS) PROCESO DS12 Administración de las instalaciones
OBJETIVO DE CONTROL
CUESTIONARIO RESPUESTA
¿La institución cuenta con un plan para la La institución cuenta actualmente con una
administración de la seguridad en TI? normativa sobre la seguridad en TI
Nº CUESTIONARIO RESPUESTA
Se implemento hace poco el ingreso a
¿Se ha establecido controles de seguridad la institución automática pasando el
1
para el ingreso de personal? carnet de la institución queda
registrado la hora de entrada
Se cuenta con un manual de
¿Tiene plan de reacción ante una
2 procedimientos cuando ingresa un
vulneración del sistema de seguridad?
intruso a la institución
¿Se registran las personas que ingresan a Si por medio del dispositivo de registro
3
las instalaciones de la Institución? a la entrada de la institución]
4

Desde la empresa de vigilancia se


¿Existe Política de control de Acceso a las cuenta con un manual de
5
Instalaciones? procedimientos y también con unas
directivas desde la rectoría
Si contamos con botón de pánico a la
¿Hay mecanismos de protección frente a policía y también cámaras ubicadas
6
amenazas externas? estratégicamente para vigilar los
puntos mas sensibles de la institución
Si se cuenta con un si para dar de baja
¿Se controla el retiro de activos en la
7 activos de la institución y salida de la
institución?
misma

LISTA CHEQUEO
Entregar y Dar Soporte DS12 Administración de
DOMINIO PROCESO
(DS) las instalaciones
OBJETIVO DE CONTROL DS12.2 Medidas de seguridad física
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
Existe un plan de políticas y
procedimientos de seguridad con
1 X
las inversiones en servicios,
personal, software y hardware.
La institución cuenta con esquema
2 x
de perímetro de seguridad
Hay una oficina u operario de
Es un responsable del área
responsabilidades sobre el
de seguridad de la empresa
3 monitoreo y los procedimientos X
que presta el servicio de
de reporte y de resolución de
seguridad en la institución
incidentes de seguridad física
OBJETIVO DE
DS12.3 Acceso Físico
CONTROL
Se tiene implementado un
procedimiento para otorgar, Pero simplemente a la
4 X
limitar y revocar el ingreso de la entrada principal
institución
Existe un manual de ingreso de
5 personal, estudiantes o visitantes a x
la institución
Existe un procedimiento para el
6 manejo ingresos en caso de X
emergencias
OBJETIVO DE
DS12.4 Protección Contra Factores Ambientales
CONTROL
5

Existe un protocolo para mitigar o


Solo manuales estándares
7 prevenir eventos ambientales X
en caso de emergencia
Se cuenta con dispositivos y
8 equipo especializado para medir y X
contralar los factores ambientales
OBJETIVO DE
DS12.5 Administración de Instalaciones Físicas
CONTROL
Se cuenta con departamento para
vigilar y administrar los espacios
9 x
físicos de la institución

Existen manual para el manejo de


11 personal en seguridad social y x
riesgos profesionales

CUESTIONARIO: ADMINISTRACIÓN DE LAS INSTALACIONES

cuestionario cuantitativo Ref

Entidad auditada Universidad Antonio Nariño pagina


1 DE 1
proceso auditado Seguridad de la plataforma de TI
ResponsableS Cristhian Pérez
Material de soporte COBIT 4.1
dominio Entregar y Dar proceso DS12 Administración
Soporte (DS) de las instalaciones

OBJETIVO DE CONTROL
N pregunta SI NO NA REF
Se toma en cuenta el riesgo asociado a 3
desastres naturales o causados por el hombre
Se considera las leyes y normas de seguridad 4
social y riesgos profesionales
Existen medidas de seguridad física al 3
modelo de negocio TI
Se establecen responsabilidades sobre los 5
procedimientos de reporte
Se establecen responsabilidades sobre la 2
resolución de incidentes en la seguridad
física
6

Se establece responsabilidades sobre el 3


monitoreo
Existen procedimientos para revocar accesos 4
a espacios físicos de la institución
Existen procedimientos para otorgar accesos 5
a espacios físicos de la institución
El equipo de comunicaciones funciona de 5
acuerdo a las leyes y normativas de los entes
de control
El suministro de energía esta administrado de 2
acuerdo a un manual de funcionamiento y
cumple con los requerimientos técnicos
establecidos por el modelo de negocio
37
Porcentaje de riesgo parcial = (27 * 100) / 37 = 72
Porcentaje de riesgo total = 100 – 72 = 28
PORCENTAJE RIESGO 28% (Riesgo Bajo)

CUADRO DE RIESGOS
N° Vulnerabilidad Amenazas Riesgo Categoría
1 No existe un control Personal no autorizado Perdida de activos Manejo y
informático para acceda a los equipos y informáticos control de
proteger los activos de activos informáticos personal
TI
2 Baja inversión en Dispositivos insuficientes Perdida de equipos y riesgo Hardware
dispositivos de o de baja tecnología al personal
automatizados para el
control de eventos
catastróficos (incendio,
inundación)
3 La gerencia no Evento catastrófico La gerencia no tiene control
monitorea los controles inesperado de prevenir un suceso
del ambiente catastrófico
4 Seguridad física no La compra de un equipo Invertir recursos de la
cuenta con presupuesto de seguridad obsoleto o institución en equipos
autorizado y rastreado sin uso para la TI innecesarios
por la gerencia.
5 Se no se hacen Que activos de la TI se No tener un inventario
inventarios de todas las puedan perder o no tener actualizado
instalaciones como un certeza de su existencia
proceso continuo en la institución
7

6 El ambiente se Un descuido por error Falla humana en el control


monitorea y controla humano provoca una
por operadores catástrofe
humanos.
7 No se aplican pruebas Perdida de un equipo Equipos especiales operan
regulares a los equipos sensible con fallas por falta de
sensibles pruebas
8 No se aplican Ingreso de intrusos Ingreso de personal no
suficientes autorizado
restricciones de acceso

RIESGOS INICIALES:

Falta de pruebas en equipos sensibles

No existe documentación de procesos de mantenimiento

Riegos con aplicación de instrumentos

La vigilancia es realizada mayoritariamente por personal y no por equipos automatizados

No hay monitoreo del ambiente por parte de la gerencia

No hay suficientes controles en el acceso a personal

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS


IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría
1 Insignificante consecuencias o efectos mínimos sobre la
entidad
Si el hecho llegara a presentarse, tendría bajo
2 Menor
impacto o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría
3 Moderado medianas consecuencias o efectos sobre la
entidad
8

Si el hecho llegara a presentarse, tendría altas


4 Mayor
consecuencias o efectos sobre la entidad

Si el hecho llegara a presentarse, tendría


5 Catastrófico desastrosas consecuencias o efectos sobre la
entidad

PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir sólo en circunstancias No se ha presentado en
1 Raro
excepcionales los últimos 5 años
Se ha presentado al
2 Improbable El evento puede ocurrir en algún momento menos 1 vez en los
últimos 5 años
Se ha presentado al
3 Posible El evento puede ocurrir en algún momento menos de 1 vez en los
últimos 2 años
Se ha presentado al
El evento probablemente ocurrirá en la
4 Probable menos 1 vez en el último
mayoría de las circunstancias
año
Se espera que el evento ocurra en la mayoría Se ha presentado más de 1
5 Casi Seguro
de las circunstancias vez al año

Con las escalas de medición se construye la matriz de riesgos general que se aplica para cualquiera
de los procesos, teniendo en cuenta los riesgos encontrados.

EVALUACIÓN Y MEDIDAS DE RESPUESTA


PROBABILIDAD IMPACTO
9

Insignificante Moderado Catastrófico


Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E

IMPACTO
PROBABILIDAD
Insignificante = 1
Raro = 1 Menor = 2
Improbable = 2 Moderado = 3
Posible = 3 Mayor = 4
Probable = 4 Catastrófico = 5
Casi Seguro = 5

N° Descripción Impacto Probabilidad


R1 Falta de pruebas en equipos sensibles 4 3
R2 No existe documentación de procesos de mantenimiento 5 `4
R3 La vigilancia es realizada mayoritariamente por personal y no por 3 2
equipos automatizados
R4 No hay monitoreo del ambiente por parte de la gerencia 2 2
R5 No hay suficientes controles en el acceso a personal 2 3
10

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA


IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2) R4

Posible (3) R3 R5 R1

Probable (4)

Casi Seguro (5) R2

ACCIONES

B Zona de riesgo Baja: Asumir el riesgo


M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

Bibliografía

Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de:


http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
11

Piattini, M., & Del Peso, E. (2001). Auditoria informática. Un enfoque práctico, 6. Recuperado
de: http://www.itla.edu.do/pensum/docSOFT/SOF-009.doc

Mantilla, M. B. (2016). Auditoría del control interno. Ecoe Ediciones. Recuperado de:
https://books.google.com/books?hl=es&lr=lang_es&id=rMS4DQAAQBAJ&oi=fnd&pg=P
T2&dq=cobit+auditoria&ots=PhO9N8sojB&sig=ImlmFXiatSWYDCBYJ6S44EAnku0