AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 1

TUTOR: FRANCISCO NICOLAS SOLARTE

GRUPO No. 90168_36

OSCAR JAVIER DELGADO VILLAMIL –COD.80217860

JOSE ROBERTO QUECAN SANCHEZ -COD.1072638132

RAFAEL ALEJANDRO ROZO -COD.1073534051

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

MARZO DE 2016
 CONTENIDO

INTRODUCCION ................................................................................................... 3
OBJETIVOS ............................................................................................................ 4
1. LISTA DE VULNERABILIDADES, AMENAZAS Y RIESGOS AGRUPADOS
POR CATEGORIAS ................................................................................................ 5
PLAN DE AUDITORIA ......................................................................................... 11
CRONOGRAMA DE AUDITORIA ....................................................................... 15
ESTÁNDAR COBIT 4.1 ......................................................................................... 16
CONCLUSIONES.................................................................................................. 21
BIBLIOGRAFIA ................................................................................................... 22
 INTRODUCCION

Con el presente trabajo se identificarán y se aplicarán todos los elementos necesarios para

elaborar una auditoria de sistemas, elaboraremos el plan de auditoria y su respectivo

cronograma para la empresa seleccionada Yazaki ciemel S.A.

3
 OBJETIVOS

Identificar los conceptos principales una auditoria de sistemas e identificar las técnicas

que se utilizan en un proceso de auditoría.

Comprender los conceptos de vulnerabilidad, amenazas y riesgos, aplicándolos en el

proceso de auditoría.

Establecer las técnicas que se pueden aplicar en un proceso al momento de auditar.

Elaboración del plan y el cronograma de auditoría

4
 DESARROLLO DE LA ACTIVIDAD

1. LISTA DE VULNERABILIDADES, AMENAZAS Y RIESGOS AGRUPADOS POR

CATEGORIAS

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Falta de actualización Programas no Daño en programas Software

de los programas en corren y genera

versiones compatibles errores

con sistemas más

avanzados.

2 Sistema operativo no No se puede Computador Software

compatible con actualizar sistema desactualizado

programas de área de operativo.

tableros

3 No existen Backup de Usuarios pueden Perdida de seguridad

programas en área borrar archivos información en

electrónica importantes caso de daño.

4 No hay un control para Cualquier usuario No saber que Seguridad en sistema

los accesos de usuarios puede ingresar a usuario hizo que

realizar cambios

5
5 No existen planes de Daño de equipos o No contar con Seguridad lógica

contingencia en caso de mala manipulación procedimientos

pérdidas de de los mismos . para la

información. administración de

la información

6 No se realizan copias Daño de equipos o Ausencia de planes Seguridad lógica

de seguridad de manera mala manipulación para recuperación

periódica de los de los mismos. de información

recursos críticos.

7 Falencia en cuanto a las No establecer Ausencia de un Manejo y control de

políticas de la políticas de Sistema de Gestión personal

implementación del seguridad de la de Seguridad de la

Sistema de Seguridad. información. Información

8 Uso indebido del correo La mala utilización Fuga de Seguridad lógica

de electrónico del correo, ya que no información

se utiliza solo para

comunicación

laboral.

9 Falta de controles para Falta de precaución y Robo de Seguridad lógica

el acceso a internet. control de acceso información

6
10 No hay ups en los Cortes de luz Apagado Seguridad

equipos de planta inesperados inesperado de los

equipos lo que

genera perdida de

información

11 Falta de capacitación de Personal no Perdida de Personal y seguridad

manejo de equipos para calificado para información

personal nuevo operar equipos

12 Falta de capacitación Personal no Perdida de Personal y seguridad

para manejo de calificado para información

programas operar equipos

empresariales

13 No existe inventario de Perdidas de equipos Pérdida de Seguridad

equipos. información o

equipos necesarios

14 Ruteo de cables para Posibilidad de corto Pérdida de equipo Personal técnico

accesorios n es la circuito por cables y de información

adecuada mal instalados además de demora

en el proceso

7
15 Cables de red en mal No acceso al Se desconecta Hardware

estado intranet seguido y esto

demora los

procesos

16 Falta de actualización Contactar a personal Varios usuarios no Personal

de datos. que no se encuentre saben cómo

allí trabajando por contactarse ni

error. conocer el personal

que trabaja en la

alcaldía.

17 Falta de mantenimiento Humedad y polvo Perdida de Hardware

periódico Recalentamiento información por

daño en los

equipos.

Retraso en los

procesos debido a

la lentitud de los

equipos.

18 Puntos de acceso libres Escaneo de puertos, Fuga de REDES

Salto de directorio protocolos y información por

8
 Fallas en la encriptación servicios posible

de la información. Malware (virus, implantación de

Infraestructuras troyanos, gusanos Malware

obsoletas informáticos, Caída de servicios

Contraseñas de usuarios bombas lógicas, etc.) por obsolescencia

poco seguros. Ataques de de los equipos

Contraseña. Pérdida de

Integridad de la

información por

acceso no

autorizado.

19 Exceso de líneas Intercepción de Incomunicación COMUNICACIONES

telefónicas y de datos señales total

que no están en uso. Ataques de Retraso en los

Envío masivo de interrupción (corte procesos debido a

correos electrónicos de líneas telefónicas la lentitud de los

Datos personales de las y de datos) equipos.

personas que pertenecen Desvío de llamadas Sanciones

a la institución Fallas en el fluido económicas.

expuestos al público eléctrico.

Pocas restricciones en el

9
 contenido del servicio

de internet

20 Falta de capacitación en Personal ajeno. Perdida de PERSONAL DEL

temas relacionados con Robo. información ÁREA

seguridad informática y confidencial por

otros acceso no

Desconocimiento de autorizado

medidas básicas de Retraso en la

seguridad del área de prestación de

T.I servicios de T.I

10
 PLAN DE AUDITORIA

Antecedentes:

La empresa de Yazaki ciemel S.A., requiere realizar periódicamente un plan de seguimiento a

todos los procesos técnicos que desarrollan dentro de todas sus áreas, debido a que quieren llevar

un control estricto en todos sus procesos y para esto es necesario realizar auditorías internas

permanentes y de tipo externo periódicamente para lograrlo.

Objetivos

 Objetivo general:

Analizar y Evaluar los controles, los sistemas de cómputo, su utilización, eficiencia, utilidad,

confianza, privacidad y disponibilidad en el ambiente informático como son los datos, hardware,

software y sus instalaciones, de la organización que participan en el procesamiento de la

información.

 Objetivos específicos:

- Objetivos de la auditoria de sistemas

- Asegurar una mayor integridad, confidencialidad de la información mediante la

recomendación de seguridades y controles.

- Confidencialidad de la información, datos, hardware, software e instalaciones.

- Apoyo de función informática a las metas y objetivos de la organización.

11
 - Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informático.

- Minimizar existencias de riesgos en el uso de Tecnología de información.

- Decisiones de inversión y gastos innecesarios

- Presentar el informe de los hallazgos y observaciones como resultado de la auditoria.

Alcance y delimitación

La presente auditoria pretende identificar las condiciones actuales de los sistemas de

información y tecnologías de comunicación y el talento humano, con el fin de observar las

posibles fallas, verificar el cumplimiento de normas y optimizar el uso de los recursos.

Mediante la ejecución de la auditoria se sistemas se evaluarán:

Las normas de control, técnicas y procedimientos que se tienen establecidos en la organización

para lograr confiabilidad, seguridad y confidencialidad de la información.

Presentar los hallazgos analizados en el área informática, para que los administradores de

informática sean quiénes tomen los correctivos y políticas aplicables que con lleven al logro de

objetivos propuestos en caso de que así se lo requiera dicho dictamen. Dentro de la Auditoria se

realizará un análisis sobre los sistemas y redes de conexión.

Es importante destacar que con la ejecución de esta auditoría, no solo se tendrán identificados

los riesgos a los procesos del área de sistemas, sino que también podrá comprobar la calidad y

capacidad de su infraestructura tecnológica y sus sistemas de información.

12
Justificación

Desconocimiento por parte de la gerencia de la situación actual del área de sistemas.

Descubrimiento de fraudes efectuados desde cualquier equipo de cómputo y fallas de una

planificación informática.

Falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada

administración del recurso humano y descontento general de los usuarios por incumplimiento de

plazos y mala calidad de los resultados.

Herramientas propuestas para la evaluación

Cuestionarios

Entrevistas

Formularios Checklist

Inventarios del área informática

Reporte de bases de datos y archivos

Software de interrogación (“Paquetes de auditoria”)

Fotografías

Diseños de flujos y de la red de información

Planos de distribución e instalación del centro de cómputo y los equipos

Certificados, garantías y licencias del software

Historial de cambios y mejoras de los recursos informáticos

13
Determinación de recursos de la Auditoría Informática

De acuerdo al estudio realizado se procede a determinar los recursos humanos y materiales que

han de emplearse para la ejecución de la auditoría.

Recursos Humanos

Se contará con el personal necesario e idóneo para realizar el proceso de auditoria.

Recursos materiales

Es muy importante su determinación, ya que la mayoría son proporcionados por el cliente. Las

herramientas de hardware y de software propias del equipo van a utilizarse igualmente en el

sistema auditado,

Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software:

Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a

las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica

de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

14
Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de

control deben efectuarse necesariamente en los equipos de cómputo del auditado.

CRONOGRAMA DE AUDITORIA
MES Marzo Abril Mayo
ACTIVIDAD SEMANA
1 2 3 4 1 2 3 4 1 2 3 4

Vulnerabilidades ,
amenazas y riesgos
Planeación
Plan de auditoria

Elaboración de formatos
de encuestas , entrevistas
, pruebas y cuestionarios
Aplicar el
Aplicación de entrevistas ,
modelo de
encuestas , pruebas y
auditoria
cuestionarios

Ejecución de Pruebas y
Obtención de Evidencias

Construir los Elaboración de Informe

planes de
mejoramiento Sustentación de Informe

15
 ESTÁNDAR COBIT 4.1

El cubo COBIT representa los diferentes componentes necesarios para el exitoso desempeño del

área de TI de una organización y en especial muestra los diferentes componentes que

corresponden a cada una de las caras fundamentales, donde se tienen los requerimientos de

negocio que es el grupo de necesidades que se deben solventar, los recursos de TI que son las

herramientas con las que se cuenta y los procesos de TI que es la organización y los

procedimientos que se realizan para solucionar los requisitos con los recursos.

COBIT 4.1 es una actualización significativa del marco mundial aprobado que asegura que las

TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y

sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible del

COBIT 4.0 y puede usarse para perfeccionar el trabajo basado en versiones anteriores de

COBIT. COBIT ayuda a las organizaciones a reducir riesgos en el manejo de las TI e

incrementar el valor derivado de su uso. Las actualizaciones en COBIT 4.1 incluyen: avances en

16
la medición del desempeño; mejores objetivos de control; y una excelente alineación entre

objetivos de negocio y de TI.

PROGRAMA DE AUDITORIA

De los 34 objetivos de control generales descritos en el estándar COBIT versión 4.1, se

seleccionan los siguientes dominios y procesos, tomando como base los objetivos y el alcance

definidos anteriormente en el plan de auditoria:

Dominio: Planear y organizar:

Proporciona dirección para la entrega de soluciones y la entrega de servicio

Procesos:

 PO2 Definir la arquitectura de la Información:

Objetivo: El objetivo es satisfacer los requerimientos de la organización, en cuanto al

manejo y gestión de los sistemas de información, a través de la creación y mantenimiento

de un modelo de información de la organización.

 PO3 Determinar la dirección tecnológica:

Objetivo: El objetivo es aprovechar al máximo de la tecnología disponible o tecnología

emergente, satisfaciendo los requerimientos de la organización, a través de la creación y

mantenimiento de un plan de infraestructura tecnológica.

17
  PO9 Evaluar y administrar los riesgos de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos de TI y responder a las

amenazas hacia la provisión de servicios de TI, mediante la participación de la propia

organización en la identificación de riesgos de TI y en el análisis de impacto, tomando

medidas económicas para mitigar los riesgos.

Dominio: Adquirir e implementar

Proporciona las soluciones y las pasa para convertirlas en servicios

Procesos:

 AI4 Desarrollo y mantenimiento de procedimientos:

Objetivo: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones

tecnológicas establecidas, mediante la realización de un enfoque estructurado del

desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos

de servicio y material de entrenamiento.

 AI6 Administración de los cambios:

Objetivo: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores, mediante un sistema de administración que permita el análisis,

implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la

infraestructura de TI actual.

18
Dominio: Entregar y dar soporte:

Recibe las soluciones y las hace utilizables por los usuarios finales.

Procesos:

 DS5 Garantizar la seguridad de sistemas:

Objetivo: El objetivo es salvaguardar la información contra uso no autorizados,

divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que

aseguren que el acceso a sistemas, datos y programas está restringido a usuarios

autorizados.

 DS6 Educar y entrenar a los usuarios:

Objetivo: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la

tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando

un plan completo de entrenamiento y desarrollo.

 DS11 Administrar los problemas:

Objetivo: El objetivo es asegurar que los datos permanezcan completos, precisos y

válidos durante su entrada, actualización, salida y almacenamiento, a través de una

combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

19
  DS12 Administrar el ambiente físico:

Objetivo: El objetivo es proporcionar un ambiente físico conveniente que proteja al

equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o

fallas humanas lo cual se hace posible con la instalación de controles físicos y

ambientales adecuados que sean revisados regularmente para su funcionamiento

apropiado definiendo procedimientos que provean control de acceso del personal a las

instalaciones y contemplen su seguridad física.

Dominio: Monitorear y evaluar

Monitorear todos los procesos para asegurar que se sigue la dirección provista

Procesos:

 M1 Monitorear y evaluar el proceso de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos

de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de

desempeño gerenciales y la implementación de sistemas de soporte así como la atención

regular a los reportes emitidos.

20
 CONCLUSIONES

Con la auditoria de sistemas podemos hallar y solucionar los problemas de una empresa

en el área de sistemas.

El estándar COBIT, beneficia a los auditores y usuarios, ya que logran entender los

sistemas de la empresa y también sirve para proteger los activos de la empresa mediante

la administración de las tecnologías de la información.

21
 BIBLIOGRAFIA

 WIKIPEDIA, Objetivos de control para la información y tecnologías relacionadas.

Tomada de:

https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecn

olog%C3%ADas_relacionadas

 SIS-303, COBIT 4.1 dominios y procesos. tomado de:

http://auditoriasistemasucb.pbworks.com/f/sis303_pt4_Cobit41.pptx

 ISACA 2007, COBIT 4.1 en español. Tomado de:

http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain

_COBIT/cobiT4.1spanish.pdf

 ITSOR, Curso COBIT4.1. tomado de:

http://www.itsor.net/pdf/ITSOR_COBIT_Brochure_VE.pdf

 ROJAS CORSICO, Trabajo de auditoria. Tomado de:

http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml

 AUDITORIA EN INFORMATICA CUN, Distribucion de los dominios y proceso

COBIT. Tomada de:

https://sites.google.com/site/auditoriaeninformaticacun/cobit/dominios-y-procesos

22