activdad inicial grupo 90168 288
DESCRIPTION
sistemasTRANSCRIPT
1
Momento 1 – Intermedio del Trabajo Colaborativo 1: Vulnerabilidades, Amenazas y Riesgos. Plan y Programa Auditoria
Mario Alexander Poveda Suta - Código: 80.217.189
Héctor Fabio Arce Castañeda - Código: 1.115.063.533 Yhuleyver Mosquera Bonilla - Código: 11.706.818
William Ortiz Romero - Código: 16.546.868
FRANCISCO NICOLAS SOLARTE Tutor Curso: 90168_72
Universidad Nacional Abierta y a Distancia – UNAD Escuela de ciencias básicas tecnologías e ingeniería
Ingeniería de Sistemas Auditoria de Sistemas
2016
2
Introducción
El uso de la tecnología informática en un ambiente corporativo supone la convergencia de cuatro (4) recursos interactuantes e interdependientes entre si; las personas, la información, las comunicaciones y la infraestructura, cada una con limitaciones y fortalezas propias, pero que deben optimizarse para poder cumplir con los requisitos o el objeto social de la empresa. Cada empresa sea del sector público o privada debe satisfacer la calidad, los requisitos misionales de orden superior, en otras palabras lo que se la ha encomendado que haga según el presupuesto que recibe, además de garantizar la seguridad de la información que maneja, para ello es necesario apoyarse en procesos de arquitectura empresarial con el objeto de establecer una administración de TI basada en estándares. En el presente trabajo encontrara una aproximación a un proceso de auditoría informática para una entidad estatal del orden territorial, el documento no es exhaustivo al abordar todos los aspectos de la auditora, sin embargo presenta en un contexto una línea de observación que deriva en un plan de auditoría y la selección de los controles COBIT que se evaluaran para la implementación de una administración de TI en el sector público.
3
OBJETIVOS
Objetivo General Elaborar un plan de auditoría para una entidad gubernamental del orden territorial especificando los dominios, procesos y objetivos de control, además de los controles aplicables según el marco COBIT 4.1. Objetivos específicos.
Identificar las vulnerabilidades, amenazas y/o riesgos existentes en la organización o la empresa auditable.
Elaborar el plan de auditoría con objetivos, alcances y metodología de acuerdo a los riesgos detectados en la empresa.
Seleccionar los dominios, procesos y objetivos de control del Framework COBIT
4.1, aplicables a la empresa auditable.
Realizar el dictamen de la auditoría para los procesos evaluados en el estándar,
y presentar el informe de resultados de la auditoría.
4
CONTEXTO DE LA EMPRESA
La gobernación del Guainía es una entidad del orden territorial cuyo objeto social es
desarrollar los planes estatales orientados a garantizar los derechos de sus ciudadanos
y velar por el cumplimiento de sus deberes. Para lograrlo se ha estructurado en un
conjunto de secretarias que permiten organizar sus funciones según las áreas de
atención; de esta manera cuenta con las divisiones operativas de hacienda, educación,
planeación, salud, gobierno y asesoría jurídica.
Cada secretaria presenta un grado de complejidad asociado a los proceso que adelanta,
en algunos casos las actividades son desarrolladas como tareas u otras responde a un
modelo por procesos, como es el caso de la secretaria de educación, es decir; tienen
claramente definidas cuales son las entradas y las salidas de información, cada unidad
de procesamiento tiene total claridad sobre las tareas que se aplican a los subproductos
de información para convertirlos en la unidad cohesionada de salida.
Para soportar los requerimientos de información de cada una de las secretarias y sus
áreas de procesamiento, se han provisto de un conjunto de aplicaciones que facilitan la
automatización de los procesos o actividades asociadas al quehacer individual.
Para garantizar la disponibilidad de las herramientas de software, la entidad ha instalado
una infraestructura tecnológica que consta de:
Una red LAN con direccionamiento estático, y la ampliación mediante infraestructura
(instalación de Access Point que amplia una red LAN a dispositivos inalámbricos), para
estos dispositivos la seguridad se provee de dos maneras, por direccionamiento estático
y por restricciones de direcciones MAC, para el acceso a los recursos compartidos.
La configuración de los equipos de red están conformada por Switch, Router, modem
satelital, Access Point, los cuales estas distribuidos por la planta física de la secretaria,
solo la secretaria de hacienda y planeación tienen centralizado en un punto los equipos
de red, las otras secretarias poseen su propio sistema de servicio de conectividad, sin
embargo comparten los recursos de intranet.
5
Las aplicaciones son tipo cliente servidor, las bases de datos se encuentran distribuidas
por secretarias.
Las aplicaciones y sus bases de datos son accedidas mediante terminales de usuarios,
las claves de acceso tanto a las bases de datos como de la aplicación son manejadas
por cada usuario en particular, no se cuenta con sistema de Backup en línea.
El edificio donde funciona la entidad están conformadas por dos plantas físicas dividida
en 22 oficinas, se cuenta con un cuarto de cableado y de servidores, debido a situaciones
presupuestales y ciertos manejos algunas áreas de cableado están desorganizadas.
6
El cuarto de cableado tiene una pequeña dificultad en al puerta de acceso y presenta
una goteras o filtraciones en el techo.
La entidad cuenta con un servidor de aplicación para cada secretaria, los cuales están
ubicados en oficinas diferentes, solo el servidor de páginas web corre el servidor de
bases de datos para la aplicación de recaudo de impuestos departamentales.
La secretaria de salud maneja la información relacionada con el personal para el SISBEN
y el régimen subsidiado, el procedimiento para ingresar un nuevo beneficiario del
SISBEN está divido en dos momentos, en el primer momento el personal de campo
7
recolecta la información en un formulario físico, el cual al final de la semana es entregado
a la persona que procesa la información y la ingresa al sistema, en el segundo momento,
que ocurre una vez se han recibido los formularios del personal de campo, un operario
la debe ingresar en las mismas condiciones en las cuales recibió la información los datos
al sistema.
La entidad cuenta con una planta de equipos conformada por 250 computadoras, las
cuales tiene instalados Windows 7, XP, win 98, win vista y Windows 8, cuentan con
paquetes ofimáticos office 2007 y 2013, tienen instalado diferentes sistemas de antivirus,
cada usuario puede instalar o desinstalar aplicaciones ya que la entidad no regula este
tipo de actividades.
La compra de computadoras se realiza de acuerdo a la necesidad, de igual manera, la
adquisición de las aplicaciones es realizada por los secretarios de despacho que
ponderan de manera autónoma los beneficios potenciales y adquieren las aplicaciones.
ASPECTOS A EVALUAR
1. Del hardware se evaluara los siguientes aspectos:
Elementos en condiciones perfectas
Funcionamiento de cada uno de ellos
Tecnología adecuada
2. Del software se evaluara los siguientes aspectos:
Software actualizado
Protección de los diferentes dispositivos
Antivirus actualizado
Software adecuado para las diferentes funciones
Manejo de los datos.
3. De los usuarios se evaluara los siguientes aspectos
Uso personalizado de los dispositivos
Contraseñas en cada uno de los dispositivos
Manejo que le da el usuario a la información
8
Políticas de seguridad
Capacitación del usuario en el manejo de los dispositivos y los diferentes software.
Idoneidad para el cargo de cada usuario
Limites en el manejo de la información de cada usuario.
Cuadro consolidado de vulnerabilidades, amenazas y riesgos detectados en
cada elemento auditable.
VULNERABILIDADES, AMENAZAS Y RIESGOS DE LA EMPRESA
N° Vulnerabilidad Amenaza Riesgo Categoría
1 Deficiente área de
ventilación de los
dispositivos
Funcionamiento
defectuoso por altas
temperaturas
Daños dispositivos Hardware
2 Deficiente uso de las UPS Daños por fluctuaciones
de voltaje en los
dispositivos
Pérdida total de los
dispositivos
Hardware
3 Claves de los equipos de
computo poco complejas
Manejo de información
sin restricción
Extracción de
información
Seguridad lógica
4 Puntos de red sin usar Manipulación de
dispositivos sin
autorización
Extracción de
información
Seguridad lógica
5 Falta de capacitación en
políticas de seguridad al
personal
Operación incorrecta Procedimientos
incorrectos por el talento
humano
Manejo y control del
personal
6 Uso no personalizados de
los dispositivos
Uso de dispositivos sin
control
Extracción de
información
Seguridad lógica
7 Contraseñas de
dispositivos deficientes
Ingreso de intrusos al
sistema
Robo de información o
destrucción de la misma
Seguridad lógica
8 Servidores, switch, huds,
en zonas expuestas.
Manipulación de
dispositivos sin
autorización
Daño de la red Redes
9 Antivirus no actualizados Ataques de virus Destrucción de la
información por virus
Seguridad lógica
10 Claves expuestas en los
puestos de trabajo
Ingreso de intrusos a la
red
Acceso no autorizados a
la red
Seguridad lógica
11 Ausencia de sistema
adicionales de seguridad,
Daños por desastres
naturales
Costo más elevado Hardware
9
de entrada en los sistemas
de computo
12 Navegación de internet sin
restricción
Desvió de información Poco control en el
manejo de información
Seguridad lógica
13 Ausencia de un correo
interno
Poca eficiencia en la
comunicación
Desinformación del
personal
Talento humano
14 Deterioro de la red Presencia de
interferencias
electromagnéticas
Retraso en las
actividades de la
empresa
Redes
15 Tiempo de uso de los
dispositivos
Poco mantenimiento a los
dispositivos
Hardware obsoleto Hardware
PLAN DE AUDITORIA
Alcance
La auditoría se realizará sobre la infraestructura tecnológica y de comunicaciones de la
entidad seleccionada.
Objetivo
Verificar la implementación de controles para garantizar los sistemas de información en
cuanto a la seguridad física, las políticas de utilización, transferencia de datos y
seguridad de los activos.
Recursos
El número de personas que integraran el equipo de auditoria será de tres, con un
tiempo máximo de ejecución de 3 a 4 semanas.
10
Metodología
1. Recopilación de información básica
Se debe obtener una perspectiva clara de la entidad que se auditara, por ello se enviara
un requerimiento de información a la entidad en la cual deben reportar la siguiente el
direccionamiento estratégico, marco y naturaleza jurídica vigente; el bien y/o servicio a
prestar, la naturaleza, características, actividades y/o procesos; los riesgos de pérdida o
de inadecuada utilización de recursos, que se pueden presentar en desarrollo del objeto
principal y la existencia o no de controles establecidos; informes de auditorías anteriores
, planes de mejoramiento anterior e informes de evaluación de las oficinas de control
interno.
Es importante también reconocer y entrevistarse con los responsables del área de
sistemas de la empresa para conocer con mayor profundidad el hardware y el software
utilizado.
En las entrevistas incluirán:
Director / Gerente de Informática
Subgerentes de informática
Asistentes de informática
Técnicos de soporte externo
2. Identificación de riesgos potenciales
Se evaluara el inventario de equipos tecnológicos para determinar las configuraciones
aplicadas y las acciones de seguridad adelantadas y establecer la pertenencia y
eficiencia de los controles aplicados el momento de la auditoria.
Se evaluara la forma de adquisición de nuevos equipos o aplicativos s de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los
estándares de la empresa y los requerimientos mínimos para ejecutar los programas
base y alineados con los controles cobit 4.1 para la adquisición de software.
DOMINIOS A EVALUAR
Dentro del proceso solo se evaluaran dos dominios.
11
Planear y Organizar (PO): Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada.
Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas así como
implementadas e integradas en los procesos del negocio. Además, el cambio y el
mantenimiento de los sistemas existentes está cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
Entregar y Dar Soporte (DS): Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la administración de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administración de los datos y de las instalaciones operativos.
CONTROLES
Se evaluaran los siguientes controles para los sistemas de información:
AC1 Preparación y Autorización de Información Fuente. Asegurar que los
documentos fuente están preparados por personal autorizado y calificado siguiendo los
procedimientos establecidos, teniendo en cuenta una adecuada segregación de
funciones respecto al origen y aprobación de estos documentos. Los errores y omisiones
pueden ser minimizados a través de buenos diseños de formularios de entrada. Detectar
errores e irregularidades para que sean informados y corregidos.
AC2 Recolección y Entrada de Información Fuente: Establecer que la entrada de
datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones
y reenvíos de los datos que fueron erróneamente ingresados se deben realizar sin
comprometer los niveles de autorización de las transacciones originales. En donde sea
apropiado para reconstrucción, retener los documentos fuente original durante el tiempo
necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las
transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o
devolver para corregir, tan cerca del punto de origen como sea posible.
12
AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validación de
los datos a través del ciclo de procesamiento. Detección de transacciones erróneas no
interrumpe el procesamiento de transacciones válidas.
AC5 Revisión de Salidas, Reconciliación y Manejo de Errores: Establecer
procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de
una forma autorizada, entregada al destinatario apropiado, y protegida durante la
transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la
información proporcionada en la salida.
AC6 Autenticación e Integridad de Transacciones: Antes de pasar datos de la
transacción entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera
de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e
integridad del contenido. Mantener la autenticidad y la integridad durante la transmisión
o el transporte.
PROCESOS EVALUADOS
La auditoría evaluara los siguientes procesos:
PO1 Definir un Plan Estratégico de TI
PO3 Determinar la Dirección Tecnológica
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Objetivos de control
Durante la auditoria se evaluaran los siguientes objetivos de control
PO1.1 Administración del Valor de TI.
PO1.3 Evaluación del Desempeño y la Capacidad Actual.
PO1.4 Plan Estratégico de TI.
PO3.2 Plan de Infraestructura Tecnológica.
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.
Determinación de los procedimientos de control
13
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.
Obtención de los resultados.
En esta etapa se obtendrán los resultados que surjan de la aplicación de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple
o no con los objetivos de control antes definidos.
Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la información obtenida, asi como lo que
se deriva de esa información, sean fallas de seguridad, organización o estructura
empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas
de resguardo de información (Casos de incendio, robo), manejo y obtención de copias
de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de
passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones
para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas
de organización empresarial, como son partes responsables de seguridad,
mantenimiento y supervisión de las otras áreas.
Entrega del informe a los directivos de la empresa.
Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe
final con los resultados obtenidos en la auditoria.
También se fijan los parámetros si así se requieren para realizar el seguimientos de los
puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar
que los que los objetivos de control se sigan.
PRESUPUESTO
ITEM CANTIDAD DESCRIPCION VALOR
UNITARIO VALOR TOTAL
1 2 HONORARIOS AUDITORES $ 2.800.000 $ 5.600.000
2 2 GASTOS DE VIAJE $ 500.000 $ 1.000.000
3 2 EQUIPOS DE COMPUTO $ 1.800.000 $ 3.600.000
4 1 CAMARA FOTOGRAFICA $ 650.000 $ 650.000
5 1 PAPELERIA GENERAL $ 100.000 $ 100.000
6 2 MODEM INTERNET $ 100.000 $ 200.000
7 1 IMPREVISTOS $ 100.000 $ 100.000
TOTAL $ 11.250.000
14
CRONOGRAMA
Actividad Mes 1 Mes 2 Mes 3 1 2 3 4 1 2 3 4 1 2 3 4
Fase conocimiento
-Estudio de la información enviada por la empresa
-Informes de auditorías anteriores y planes de mejoramiento.
-Entrevistas personal de telemática -Identificación de riesgos potenciales
Fase Planeación de la auditoría
-Preparación y autorización de información fuente
-Recolección y entrada de información fuente
-Chequeos de exactitud, integridad y autenticidad. -Integridad y validez del procesamiento -Revisión de salida, reconciliación y manejo de errores -Autenticación e integridad de transacciones
Fase Ejecución auditoria
-Evaluacion de administración del valor de TI -Evaluacion del desempeño y capacidad actual -Plan estratégico TI -Plan de infraestructura tecnológica
-Monitoreo de tendencias y regulaciones futuras
Fase de resultados
-Resumen de información obtenida -Entrega de informes
15
CONCLUSIONES
Hoy día podemos observar que es de gran importancia la Auditoría de Sistemas de la
Información para las empresas, debido al cambio tecnológico continuo y avanzado
generando modernización con visión amplia de futuro, ya que si no se obtienen los
elementos necesarios de control, seguridad y respaldo de la información dentro de una
empresa se verá envuelta a riesgos lógicos, físicos y humanos, que conlleven a fraudes
económicos, informativos y generando así perdidas a las empresas. Para ello la auditoria
de sistemas debe comprender no sólo la evaluación de los equipos de cómputo de
un sistema o procedimiento específico, sino que también se tendrá que evaluar los
sistemas de información en general desde sus entradas, procedimientos y controles;
para lo cual se ve la necesidad de minimizar los riesgos y generar en el talento humando
sentido de pertenencia bajo lo que está a cargo de forma responsable.
16
Referencias bibliográficas
Metodología de Auditoría Informática. Recuperado de:
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm