1

Momento 1 – Intermedio del Trabajo Colaborativo 1: Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria

Mario Alexander Poveda Suta - Código: 80.217.189

Héctor Fabio Arce Castañeda - Código: 1.115.063.533 Yhuleyver Mosquera Bonilla - Código: 11.706.818

William Ortiz Romero - Código: 16.546.868

FRANCISCO NICOLAS SOLARTE Tutor Curso: 90168_72

Universidad Nacional Abierta y a Distancia – UNAD Escuela de ciencias básicas tecnologías e ingeniería

Ingeniería de Sistemas Auditoria de Sistemas

2016

2

Introducción

El uso de la tecnología informática en un ambiente corporativo supone la convergencia de cuatro (4) recursos interactuantes e interdependientes entre si; las personas, la información, las comunicaciones y la infraestructura, cada una con limitaciones y fortalezas propias, pero que deben optimizarse para poder cumplir con los requisitos o el objeto social de la empresa. Cada empresa sea del sector público o privada debe satisfacer la calidad, los requisitos misionales de orden superior, en otras palabras lo que se la ha encomendado que haga según el presupuesto que recibe, además de garantizar la seguridad de la información que maneja, para ello es necesario apoyarse en procesos de arquitectura empresarial con el objeto de establecer una administración de TI basada en estándares. En el presente trabajo encontrara una aproximación a un proceso de auditoría informática para una entidad estatal del orden territorial, el documento no es exhaustivo al abordar todos los aspectos de la auditora, sin embargo presenta en un contexto una línea de observación que deriva en un plan de auditoría y la selección de los controles COBIT que se evaluaran para la implementación de una administración de TI en el sector público.

3

OBJETIVOS

Objetivo General Elaborar un plan de auditoría para una entidad gubernamental del orden territorial especificando los dominios, procesos y objetivos de control, además de los controles aplicables según el marco COBIT 4.1. Objetivos específicos.

Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la organización o la empresa auditable.

Elaborar el plan de auditoría con objetivos, alcances y metodología de acuerdo a los riesgos detectados en la empresa.

Seleccionar los dominios, procesos y objetivos de control del Framework COBIT

4.1, aplicables a la empresa auditable.

Realizar el dictamen de la auditoría para los procesos evaluados en el estándar,

y presentar el informe de resultados de la auditoría.

4

CONTEXTO DE LA EMPRESA

La gobernación del Guainía es una entidad del orden territorial cuyo objeto social es

desarrollar los planes estatales orientados a garantizar los derechos de sus ciudadanos

y velar por el cumplimiento de sus deberes. Para lograrlo se ha estructurado en un

conjunto de secretarias que permiten organizar sus funciones según las áreas de

atención; de esta manera cuenta con las divisiones operativas de hacienda, educación,

planeación, salud, gobierno y asesoría jurídica.

Cada secretaria presenta un grado de complejidad asociado a los proceso que adelanta,

en algunos casos las actividades son desarrolladas como tareas u otras responde a un

modelo por procesos, como es el caso de la secretaria de educación, es decir; tienen

claramente definidas cuales son las entradas y las salidas de información, cada unidad

de procesamiento tiene total claridad sobre las tareas que se aplican a los subproductos

de información para convertirlos en la unidad cohesionada de salida.

Para soportar los requerimientos de información de cada una de las secretarias y sus

áreas de procesamiento, se han provisto de un conjunto de aplicaciones que facilitan la

automatización de los procesos o actividades asociadas al quehacer individual.

Para garantizar la disponibilidad de las herramientas de software, la entidad ha instalado

una infraestructura tecnológica que consta de:

Una red LAN con direccionamiento estático, y la ampliación mediante infraestructura

(instalación de Access Point que amplia una red LAN a dispositivos inalámbricos), para

estos dispositivos la seguridad se provee de dos maneras, por direccionamiento estático

y por restricciones de direcciones MAC, para el acceso a los recursos compartidos.

La configuración de los equipos de red están conformada por Switch, Router, modem

satelital, Access Point, los cuales estas distribuidos por la planta física de la secretaria,

solo la secretaria de hacienda y planeación tienen centralizado en un punto los equipos

de red, las otras secretarias poseen su propio sistema de servicio de conectividad, sin

embargo comparten los recursos de intranet.

5

Las aplicaciones son tipo cliente servidor, las bases de datos se encuentran distribuidas

por secretarias.

Las aplicaciones y sus bases de datos son accedidas mediante terminales de usuarios,

las claves de acceso tanto a las bases de datos como de la aplicación son manejadas

por cada usuario en particular, no se cuenta con sistema de Backup en línea.

El edificio donde funciona la entidad están conformadas por dos plantas físicas dividida

en 22 oficinas, se cuenta con un cuarto de cableado y de servidores, debido a situaciones

presupuestales y ciertos manejos algunas áreas de cableado están desorganizadas.

6

El cuarto de cableado tiene una pequeña dificultad en al puerta de acceso y presenta

una goteras o filtraciones en el techo.

La entidad cuenta con un servidor de aplicación para cada secretaria, los cuales están

ubicados en oficinas diferentes, solo el servidor de páginas web corre el servidor de

bases de datos para la aplicación de recaudo de impuestos departamentales.

La secretaria de salud maneja la información relacionada con el personal para el SISBEN

y el régimen subsidiado, el procedimiento para ingresar un nuevo beneficiario del

SISBEN está divido en dos momentos, en el primer momento el personal de campo

7

recolecta la información en un formulario físico, el cual al final de la semana es entregado

a la persona que procesa la información y la ingresa al sistema, en el segundo momento,

que ocurre una vez se han recibido los formularios del personal de campo, un operario

la debe ingresar en las mismas condiciones en las cuales recibió la información los datos

al sistema.

La entidad cuenta con una planta de equipos conformada por 250 computadoras, las

cuales tiene instalados Windows 7, XP, win 98, win vista y Windows 8, cuentan con

paquetes ofimáticos office 2007 y 2013, tienen instalado diferentes sistemas de antivirus,

cada usuario puede instalar o desinstalar aplicaciones ya que la entidad no regula este

tipo de actividades.

La compra de computadoras se realiza de acuerdo a la necesidad, de igual manera, la

adquisición de las aplicaciones es realizada por los secretarios de despacho que

ponderan de manera autónoma los beneficios potenciales y adquieren las aplicaciones.

ASPECTOS A EVALUAR

1. Del hardware se evaluara los siguientes aspectos:

Elementos en condiciones perfectas

Funcionamiento de cada uno de ellos

Tecnología adecuada

2. Del software se evaluara los siguientes aspectos:

Software actualizado

Protección de los diferentes dispositivos

Antivirus actualizado

Software adecuado para las diferentes funciones

Manejo de los datos.

3. De los usuarios se evaluara los siguientes aspectos

Uso personalizado de los dispositivos

Contraseñas en cada uno de los dispositivos

Manejo que le da el usuario a la información

8

Políticas de seguridad

Capacitación del usuario en el manejo de los dispositivos y los diferentes software.

Idoneidad para el cargo de cada usuario

Limites en el manejo de la información de cada usuario.

Cuadro consolidado de vulnerabilidades, amenazas y riesgos detectados en

cada elemento auditable.

VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA

N° Vulnerabilidad Amenaza Riesgo Categoría

1 Deficiente área de

ventilación de los

dispositivos

Funcionamiento

defectuoso por altas

temperaturas

Daños dispositivos Hardware

2 Deficiente uso de las UPS Daños por fluctuaciones

de voltaje en los

dispositivos

Pérdida total de los

dispositivos

Hardware

3 Claves de los equipos de

computo poco complejas

Manejo de información

sin restricción

Extracción de

información

Seguridad lógica

4 Puntos de red sin usar Manipulación de

dispositivos sin

autorización

Extracción de

información

Seguridad lógica

5 Falta de capacitación en

políticas de seguridad al

personal

Operación incorrecta Procedimientos

incorrectos por el talento

humano

Manejo y control del

personal

6 Uso no personalizados de

los dispositivos

Uso de dispositivos sin

control

Extracción de

información

Seguridad lógica

7 Contraseñas de

dispositivos deficientes

Ingreso de intrusos al

sistema

Robo de información o

destrucción de la misma

Seguridad lógica

8 Servidores, switch, huds,

en zonas expuestas.

Manipulación de

dispositivos sin

autorización

Daño de la red Redes

9 Antivirus no actualizados Ataques de virus Destrucción de la

información por virus

Seguridad lógica

10 Claves expuestas en los

puestos de trabajo

Ingreso de intrusos a la

red

Acceso no autorizados a

la red

Seguridad lógica

11 Ausencia de sistema

adicionales de seguridad,

Daños por desastres

naturales

Costo más elevado Hardware

9

de entrada en los sistemas

de computo

12 Navegación de internet sin

restricción

Desvió de información Poco control en el

manejo de información

Seguridad lógica

13 Ausencia de un correo

interno

Poca eficiencia en la

comunicación

Desinformación del

personal

Talento humano

14 Deterioro de la red Presencia de

interferencias

electromagnéticas

Retraso en las

actividades de la

empresa

Redes

15 Tiempo de uso de los

dispositivos

Poco mantenimiento a los

dispositivos

Hardware obsoleto Hardware

PLAN DE AUDITORIA

Alcance

La auditoría se realizará sobre la infraestructura tecnológica y de comunicaciones de la

entidad seleccionada.

Objetivo

Verificar la implementación de controles para garantizar los sistemas de información en

cuanto a la seguridad física, las políticas de utilización, transferencia de datos y

seguridad de los activos.

Recursos

El número de personas que integraran el equipo de auditoria será de tres, con un

tiempo máximo de ejecución de 3 a 4 semanas.

10

Metodología

1. Recopilación de información básica

Se debe obtener una perspectiva clara de la entidad que se auditara, por ello se enviara

un requerimiento de información a la entidad en la cual deben reportar la siguiente el

direccionamiento estratégico, marco y naturaleza jurídica vigente; el bien y/o servicio a

prestar, la naturaleza, características, actividades y/o procesos; los riesgos de pérdida o

de inadecuada utilización de recursos, que se pueden presentar en desarrollo del objeto

principal y la existencia o no de controles establecidos; informes de auditorías anteriores

, planes de mejoramiento anterior e informes de evaluación de las oficinas de control

interno.

Es importante también reconocer y entrevistarse con los responsables del área de

sistemas de la empresa para conocer con mayor profundidad el hardware y el software

utilizado.

En las entrevistas incluirán:

Director / Gerente de Informática

Subgerentes de informática

Asistentes de informática

Técnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluara el inventario de equipos tecnológicos para determinar las configuraciones

aplicadas y las acciones de seguridad adelantadas y establecer la pertenencia y

eficiencia de los controles aplicados el momento de la auditoria.

Se evaluara la forma de adquisición de nuevos equipos o aplicativos s de software. Los

procedimientos para adquirirlos deben estar regulados y aprobados en base a los

estándares de la empresa y los requerimientos mínimos para ejecutar los programas

base y alineados con los controles cobit 4.1 para la adquisición de software.

DOMINIOS A EVALUAR

Dentro del proceso solo se evaluaran dos dominios.

11

Planear y Organizar (PO): Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada.

Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones

de TI necesitan ser identificadas, desarrolladas o adquiridas así como

implementadas e integradas en los procesos del negocio. Además, el cambio y el

mantenimiento de los sistemas existentes está cubierto por este dominio para

garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

Entregar y Dar Soporte (DS): Este dominio cubre la entrega en sí de los servicios

requeridos, lo que incluye la prestación del servicio, la administración de la

seguridad y de la continuidad, el soporte del servicio a los usuarios, la

administración de los datos y de las instalaciones operativos.

CONTROLES

Se evaluaran los siguientes controles para los sistemas de información:

AC1 Preparación y Autorización de Información Fuente. Asegurar que los

documentos fuente están preparados por personal autorizado y calificado siguiendo los

procedimientos establecidos, teniendo en cuenta una adecuada segregación de

funciones respecto al origen y aprobación de estos documentos. Los errores y omisiones

pueden ser minimizados a través de buenos diseños de formularios de entrada. Detectar

errores e irregularidades para que sean informados y corregidos.

AC2 Recolección y Entrada de Información Fuente: Establecer que la entrada de

datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones

y reenvíos de los datos que fueron erróneamente ingresados se deben realizar sin

comprometer los niveles de autorización de las transacciones originales. En donde sea

apropiado para reconstrucción, retener los documentos fuente original durante el tiempo

necesario.

AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las

transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o

devolver para corregir, tan cerca del punto de origen como sea posible.

12

AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validación de

los datos a través del ciclo de procesamiento. Detección de transacciones erróneas no

interrumpe el procesamiento de transacciones válidas.

AC5 Revisión de Salidas, Reconciliación y Manejo de Errores: Establecer

procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de

una forma autorizada, entregada al destinatario apropiado, y protegida durante la

transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la

información proporcionada en la salida.

AC6 Autenticación e Integridad de Transacciones: Antes de pasar datos de la

transacción entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera

de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e

integridad del contenido. Mantener la autenticidad y la integridad durante la transmisión

o el transporte.

PROCESOS EVALUADOS

La auditoría evaluara los siguientes procesos:

PO1 Definir un Plan Estratégico de TI

PO3 Determinar la Dirección Tecnológica

PO5 Administrar la Inversión en TI

PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

PO9 Evaluar y Administrar los Riesgos de TI

PO10 Administrar Proyectos

Objetivos de control

Durante la auditoria se evaluaran los siguientes objetivos de control

PO1.1 Administración del Valor de TI.

PO1.3 Evaluación del Desempeño y la Capacidad Actual.

PO1.4 Plan Estratégico de TI.

PO3.2 Plan de Infraestructura Tecnológica.

PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.

Determinación de los procedimientos de control

13

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos

definidos en el paso anterior.

Obtención de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los

procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple

o no con los objetivos de control antes definidos.

Conclusiones y Comentarios:

En este paso se detallara el resumen de toda la información obtenida, asi como lo que

se deriva de esa información, sean fallas de seguridad, organización o estructura

empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas

de resguardo de información (Casos de incendio, robo), manejo y obtención de copias

de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de

passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones

para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas

de organización empresarial, como son partes responsables de seguridad,

mantenimiento y supervisión de las otras áreas.

Entrega del informe a los directivos de la empresa.

Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe

final con los resultados obtenidos en la auditoria.

También se fijan los parámetros si así se requieren para realizar el seguimientos de los

puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar

que los que los objetivos de control se sigan.

PRESUPUESTO

ITEM CANTIDAD DESCRIPCION VALOR

UNITARIO VALOR TOTAL

1 2 HONORARIOS AUDITORES $ 2.800.000 $ 5.600.000

2 2 GASTOS DE VIAJE $ 500.000 $ 1.000.000

3 2 EQUIPOS DE COMPUTO $ 1.800.000 $ 3.600.000

4 1 CAMARA FOTOGRAFICA $ 650.000 $ 650.000

5 1 PAPELERIA GENERAL $ 100.000 $ 100.000

6 2 MODEM INTERNET $ 100.000 $ 200.000

7 1 IMPREVISTOS $ 100.000 $ 100.000

TOTAL $ 11.250.000

14

CRONOGRAMA

Actividad Mes 1 Mes 2 Mes 3 1 2 3 4 1 2 3 4 1 2 3 4

Fase conocimiento

-Estudio de la información enviada por la empresa

-Informes de auditorías anteriores y planes de mejoramiento.

-Entrevistas personal de telemática -Identificación de riesgos potenciales

Fase Planeación de la auditoría

-Preparación y autorización de información fuente

-Recolección y entrada de información fuente

-Chequeos de exactitud, integridad y autenticidad. -Integridad y validez del procesamiento -Revisión de salida, reconciliación y manejo de errores -Autenticación e integridad de transacciones

Fase Ejecución auditoria

-Evaluacion de administración del valor de TI -Evaluacion del desempeño y capacidad actual -Plan estratégico TI -Plan de infraestructura tecnológica

-Monitoreo de tendencias y regulaciones futuras

Fase de resultados

-Resumen de información obtenida -Entrega de informes

15

CONCLUSIONES

Hoy día podemos observar que es de gran importancia la Auditoría de Sistemas de la

Información para las empresas, debido al cambio tecnológico continuo y avanzado

generando modernización con visión amplia de futuro, ya que si no se obtienen los

elementos necesarios de control, seguridad y respaldo de la información dentro de una

empresa se verá envuelta a riesgos lógicos, físicos y humanos, que conlleven a fraudes

económicos, informativos y generando así perdidas a las empresas. Para ello la auditoria

de sistemas debe comprender no sólo la evaluación de los equipos de cómputo de

un sistema o procedimiento específico, sino que también se tendrá que evaluar los

sistemas de información en general desde sus entradas, procedimientos y controles;

para lo cual se ve la necesidad de minimizar los riesgos y generar en el talento humando

sentido de pertenencia bajo lo que está a cargo de forma responsable.

16

Referencias bibliográficas

Metodología de Auditoría Informática. Recuperado de:

http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm