Trabajo Colaborativo 1

Vulnerabilidades, Amenazas y Riesgos

Plan y Programa Auditoria

Grupo 90168_37

Por:
Jesús Alberto Cabana Cód. 1067711657
Jorge Luis Bolaño Cód. 1062807227
Jhsn Carlos Torres Cód.
Brayan Javier Hernández Cód. 1067726980
Elías Rivero Muñoz Cód. 1065814171

Presentado A:
Marco Antonio López Ospina

Auditoria De Sistemas

Universidad Nacional Abierta y A Distancia UNAD

Escuela De Ciencias Básicas, Tecnología E Ingeniería
Ingeniería de Sistemas
CEAD Valledupar
2016
 Introducción
La auditoría de los sistemas de información se define como cualquier auditoría que
abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de
ellos) de los sistemas automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes; también se puede decir que es el examen y evaluación de los
procesos del área de Procesamiento Electrónico de Datos y de la utilización de los
recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes
y mejorarlas.
Para llevar acabo esta auditoria inicialmente se debe conocer cuales son las
vulnerabilidades, las amenazas y los riesgos que se evidencian en la empresa a la
cual será aplicada la auditoria, en este caso se presenta la empresa OfiSystemas.
Luego de conocer estos aspectos se procede a crear un plan de auditoria donde se
identifique el objetivo de la auditoria y los alcances de esta.
En este caso de estudio se realiza un análisis de cuales son las
vulnerabilidades, las amenazas y los riesgos de la empresa OfiSystemas, luego así
procediendo a crear un plan de auditoria para aplicarlo a la empresa en estudio
guiándonos por la norma CobIT 4.1 que fue la norma de estudio en este trabajo,
conociendo así los 4 dominios que maneja esta norma, sus procesos y objetivos
para así aplicarlos a el plan de auditoria presentado a continuación.
 Objetivos
Conocer e identificar cada una de las vulnerabilidades, amenazas y riesgos que se
pueden presentar en una empresa para así crear un plan de auditoria que pueda
cumplir con el objetivo de dar una mayor integridad, confidencialidad y confiabilidad
de la información mediante la corrección de las deficiencias existentes y al mismo
tiempo mejorarlas.
 Vulnerabilidades, Amenazas y Riesgos
Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la
empresa OfiSystemas agrupados por categorías (hardware, software, redes,
comunicaciones, seguridad física, seguridad lógica, personal del área, bases de
datos, sistemas operativos, entre otros).
Nº Vulnerabilidad Amenazas Riesgo Categoría
1 Falta de actualización Difusión de software Utilización de Software
del sistema operativo dañino, fallos en el software que no
de los equipos de sistema operativo a tiene soporte del
cómputo que tienen causa de la falta de fabricante
Windows 7 y las actualizaciones.
Windows 8.
2 No hay Accesos no No se han definido Seguridad
implementación de autorizados a los políticas en la Lógica
contraseñas para las Datos y demás revisión de
cuentas de usuarios. recursos. contraseñas.
3 No existen planes de Desastres Ausencia de Seguridad
contingencia en caso Naturales, Borrados políticas para Lógica
de pérdidas de accidental o implementar copias
información. intencionalmente de respaldo.
sobre los datos.
4 No utilización de Interceptación, Acceso no Seguridad
cifrados de discos en modificación de los autorizado a la Lógica
el servidor o en los datos. Información
demás equipos
5 Falta de control y Utilización de Red Insegura Redes
monitoreo al acceder recursos del sistema
a Internet. con fines delictivos.
6 Los servidores y Acceso Físico a los Acceso no Manejo y
equipos del área de recursos del autorizado al área control de
sistemas no se sistema. de sistemas. personal.
encuentran bajo
algún armario
cerrado o en alguna
oficina con acceso
restringido.
7 Falta de control de Introducción de Alteración o pérdida Hardware
dispositivos de Información falsa. de la información
almacenamiento. registrada en base
de datos o equipos.
8 Falta de Entrada o Accesos Acceso no Manejo y
implementación de no autorizados. autorizado a las control de
un sistema de áreas restringidas. personal.
identificación de
empleados,
 visitantes,
acompañantes y
registro de visitantes.
9 Falencias en cuanto Ausencia de Ausencia de un Manejo y
a las políticas de la políticas de sistema de gestión control del
implementación del seguridad de la de seguridad la personal.
Sistema de información. Información.
Seguridad.
10 Uso indebido del Mala utilización del Fuga de Seguridad
Email. Email, ya que no Información Lógica.
solo se usa para
comunicación
laboral.
11 Ausencia de VPN Al no contar con Accesos no Seguridad
VPN, no analiza el autorizados. Lógica
tráfico por VPN en
busca de software
malintencionado,
correo no deseado,
contenidos
inapropiados o
intrusiones.
12 Ausencia de Se debe realizar No hay instalado un Seguridad
seguimiento a los estos controles y al detector de Lógica
controles de no contar con estos intrusiones,
seguridad del controles de contención y/o
sistema informático. seguridad se eliminación.
pueden presentar
diversos ataques.
13 Falta de seguridad de Pérdida de paquetes Interrupción y Redes
los servicios de red. de información. pérdida de
comunicaciones.
14 Fallas en el sistema Amenazan la Eliminación de Software.
de Información disponibilidad e archivos,
prorips integridad. modificación de
datos.
15 Se encuentran Suplantación de Errores en la Seguridad
activas cuentas de Identidad. desactivación de Lógica.
usuarios de personal cuentas de usuario.
que ya no labora en
la empresa.
16 Los usuarios del Errores de usuario Los usuarios no Seguridad
sistema no están cuentan con las lógica,
capacitados en las competencias acceso a los
herramientas básicas para el datos,
tecnológicas básicas. manejo de los
 formatos que integridad de
presenta la los datos
institución.
17 La empresa no utiliza Errores de Red lógica insegura Redes
firewall en lo equipos configuración.
o en la red.
18 El sistema operativo El sistema no cuenta Falla y caídas en el Software
no con cuenta con con parches de sistema operativo.
parches y seguridad y
actualizaciones. actualizaciones,
software no es
licenciado.
19 El cableado La manipulación de Daños de las Redes
estructurado de la esta red presenta comunicaciones.
red se encuentra a la daños, rupturas y su
intemperie. transmisión de datos
suelen presentar
varias caídas de
paquetes de
información.
20 No se analiza el Al no analizar el Accesos no Seguridad
tráfico en busca de tráfico en busca de autorizados del lógica
virus. software sistema.
malintencionado,
correo no deseado,
contenido
inapropiado e
intrusiones.
21 La red es de acceso No hay una Acceso no Manejo y
publico. segmentación de la autorizado a la red. control de
red ya que los personal
usuarios de la área Redes.
administrativa y los
usuarios normales
están conectados en
la misma red y no
existe un dispositivo
de control.
22 No posee una ups la Ineficiencia en el Fallas en el Hardware
cual ayuda, en caso servicio eléctrico. suministro de
de un bajón de energía.
energía para proteger
la integridad física de
los equipos.
23 Equipos sin Desastres Ausencia de Seguridad
protección o Naturales, Borrados políticas para Lógica
 actualización en accidental o virus implementar copias
antivirus. malicioso borre de respaldo.
datos.
24 Control de acceso Intruso Perdida de Daño físico Manejo y
interno. objetos físicos y control de
lógicos como de la personal
empresa tanto como
personales.
25 Empresa sin control Que se pierdan las Perdidas físicas Manejo y
parental de cámaras. cosas y que hay control de
control de lo que personal.
suceda en las
empresas.
 Plan de Auditoría
Objetivos

Objetivo General:

 Realizar auditoría a la red de datos, así mismo como a la seguridad lógica y

al manejo del hardware y software por parte de empleados de la empresa.

Objetivos Específicos:

1. Conocer la red de datos que soporta la infraestructura tecnológica, así mismo

como de identificar los principales problemas en la seguridad lógica, y a los
usuarios que manipulan el sistema con el fin de identificar riesgos que
puedan presentarse realizando visitas a la empresa y entrevistas con los
usuarios.
2. Realizar el plan de auditoría diseñando los formatos de recolección de
información, escogiendo el estándar aplicar, así mismo como de los procesos
relacionados con los objetivos de esta auditoria expuestos anteriormente,
con el fin de obtener así una información confiable.
3. Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos que
se han diseñado para determinar los riesgos alcanzados en la red, como
también los riesgos identificados en la seguridad lógica, finalmente los
riesgos existentes que enfrentan los usuarios en la manipulación del sistema.
4. Realización del dictamen de la auditoría para procesos evaluados en el
estándar, y presentar el informe de resultados.
Alcances de la Auditoría

Aspectos a evaluar en la red:

 La Seguridad en la red.
 Cumplimiento de la norma en el cableado.
 Hardware de red y obsolescencia del mismo.

Aspectos a evaluar en la Seguridad Lógica:

  Implementar algoritmos de cifrado.
 Deshabilitar cuentas de usuarios que dejaron de trabajar en la empresa.
 Utilizar VPN para que las comunicaciones sean más seguras.
 Implementar planes de contingencia, en caso de pérdidas de información.
 Mantener seguimiento a los controles de seguridad del sistema informático.

Aspectos a evaluar en los usuarios:

 Evaluar la competencia de los usuarios en el uso de la tecnología.

 Evaluar la formación de cada uno de los usuarios respecto al cargo
desempeñado.
 Los programas de capacitación de los usuarios de la tecnología.

Metodología

Objetivo 1: Conocer la red de datos que soporta la infraestructura

tecnológica, así mismo como de identificar los principales problemas en la
seguridad lógica, y a los usuarios que manipulan el sistema con el fin de
identificar riesgos que puedan presentarse realizando visitas a la empresa y
entrevistas con los usuarios.

 Realizar una entrevista con el encargado de administrar la red.

 Solicitar la documentación de la red.
 Implementar controles que minimicen los riesgos ocasionados en la
parte seguridad lógica mencionadas anteriormente.
 Conocer los problemas y riesgos más frecuentes que se presenten o
puedan presentarse en la red por parte de los usuarios.
 Aplicar una encuesta inicial para medir el grado de dominio de los
usuarios de los recursos informáticos,
 Solicitar un informe de las capacitaciones realizadas por los usuarios
en relación al uso de tecnologías.

Objetivo 2: Realizar el plan de auditoría diseñando los formatos de recolección de

información, escogiendo el estándar aplicar, así mismo como de los procesos
relacionados con los objetivos de esta auditoria expuestos anteriormente, con el fin
de obtener así una información confiable.
  Realizar el diseño de los diferentes momentos a utilizar para recolectar
información mediante la observación, las entrevistas, los cuestionarios, las
encuestas, y los inventarios.

Objetivo 3: Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos
que se han diseñado para determinar los riesgos alcanzados en la red, como
también los riesgos identificados en la seguridad lógica, finalmente los riesgos
existentes que enfrentan los usuarios en la manipulación del sistema.
 Ejecución de las pruebas diseñadas las cuales son la observación, los
cuestionarios, las encuestas, y los inventarios, los cuales, lo cual brindará
información necesaria al auditor para la identificación de riesgos en el
momento como en un futuro.
 Instrumentos y técnicas a usar como la evaluación, inspección, confirmación,
comparación, revisión documental, matriz de evaluación, y matriz dofa los
cuales brindar suficiente información al auditor para realizar una auditoría
eficientemente.

Objetivo 4: Realización del dictamen de la auditoría para procesos evaluados en el

estándar, y presentar el informe de resultados.
 Presentación del informe con los resultados de los procesos que fueron
evaluados.

Recursos Necesarios

Recursos Humanos
Nombres y Apellidos Rol en la Auditoría Componente a Auditar
Brayan Hernández Auditor Auditoría al Hardware de red
Brayan Hernández Auditor Auditoría a la Seguridad
Lógica
Brayan Hernández Auditor Auditoría a los usuarios de
red.

Recursos Físicos:
La auditoría se llevará a cabo a las redes, a la seguridad lógica y a los usuarios de
la empresa OFISYSTEMAS ubicada en el municipio de Agustín Codazzi – César.
Recursos Tecnológicos:
Portátil, software para pruebas de auditoría sobre escaneo y tráfico en la red,
grabadora digital para entrevistas, cámara fotográfica para pruebas que servirán de
evidencia.

Recursos Económicos:
Item Cantidad Subtotal
Computador 1 1.000.000
Cámara Digital 1 400.000
Grabadora Digital 1 120.000
Otros Gastos 500.000
Total 2.020.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de Auditoria
Aplicar el Evaluación de
modelo de Riesgos
auditoria Ejecución de Pruebas
y Obtención de
Evidencias
Elaboración de
Construir los
Informe
planes de
Sustentación de
mejoramiento
Informe
Dominios

 Planear y Organizar: Planeación de la auditoría donde se fijarán las metas a

largo o corto plazo, así mismo como la identificación de procesos que se están
realizando en la empresa OFISYSTEMAS los cuales son la accesibilidad y
usabilidad de la información, así mismo como los objetivos, con ayuda de las
vulnerabilidades encontradas en dicha empresa.

Procesos dentro del Dominio:

 Definir la arquitectura de Información: Especificación del modelo de

arquitectura a usarse, los cuales son las Bases de Datos a implementar que
permitirá analizar y almacenar la información, estando acorde al plan de
auditoría a realizarse en la empresa OFISYSTEMAS.

 Definir procesos, organización, y relaciones de TI: Diferentes procesos a

implementarse en las TI como por ejemplo la accesibilidad y usabilidad de
la información, que permiten acceder a la información en cualquier
momento, otro proceso importante son los objetivos que estén acordes con
el plan de auditoría, los cuales ofrezcan integridad y confidencialidad de la
información.

 Monitorear y Evaluar: Se supervisarán los diferentes procesos mencionados

anteriormente para tener un control y evaluar posibles riesgos en el momento o
a futuro, para así poder minimizarlos,

Procesos dentro del Dominio:

 Monitorear y evaluar el desempeño de TI: Se monitoreara el desempeño de

las TI para detectar fallos a corto o largo plazo.

 Monitorear y evaluar el control interno: Se evaluará el control interno para

así verificar que los procesos se estén realizando correctamente.
 Conclusión
A lo largo de la unidad se elaboró la auditoría realizada en la empresa de
OFISYSTEMAS, donde se encontraron diferentes vulnerabilidades físicas, lógicas,
y de los usuarios que manipulan el sistema, así mismo se implementó el plan de
auditoría como también el uso del estándar cobit para proponer dominios y procesos
que tengan estrecha relación con el plan de auditoría de la empresa.
 Referencias Bibliográficas
Solarte, F. N. (30 de Noviembre de 2011). Auditoría Informática y De Sistemas.
Recuperado el Octubre de 2016, de Conceptos de Auditoría:
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Objetivos Generales de una Auditoría de Sistemas. (s.f.). Recuperado el Octubre

de 2016, de Galeon.com: http://anaranjo.galeon.com/objetiv_audi.htm

Córsico, I. S. (s.f.). Trabajo de Auditoria: Normas COBIT. Recuperado el Octubre

de 2016, de Monografias.com:
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistem
as.shtml