FASE 2 PLANEACIÓN DE LA AUDITORIA

GONZALO JAVIER MANCILLA 14798681

BERNABE SANCHEZ LENIS 16460502
JHON FREDDY MARTINEZ
CARLOS ANDRES ARENAS MEJIA 1.116.251.138

AUDITOTIA DE SISTEMAS

TUTOR: FRANCISCO NICOLAS SOLARTE

CALI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
OCTUBRE 2018
 INTRODUCCIÓN

Este trabajo hace parte de la fase 2 de la materia auditoria de sistemas; en

este se encuentra registrada la tabla grupal de vulnerabilidades, amenazas y
riesgos de la empresa seleccionada para la auditoria la cual fue el Ingenio
San Carlos. A partir de los datos allí registrado se prosigue con el plan de
auditoría y el programa de auditoria, que servirá para la fase 3.
 Vulnerabilidades, amenazas y riesgos del Ingenio San Carlos:

N° Vulnerabilidades Factores de amenaza Riesgos categoría

derivados
1 Cables eléctricos en Posibles corto circuitos Riesgo de perder hardware
mal estado que puedan llevar a todos o muchos
quema de equipos equipos
2 Conectar más Posible corto circuito Riesgo de que se hardware
equipos de la que pueda llevar a quemen los
capacidad que tiene explosión equipos y las
la empresa. instalaciones
3 No tener las Ataque terrorista Riesgo de perder hardware
suficientes cámaras todos los activos
de seguridad o parte de ellos
4 No tener las Terremotos Riesgo de hardware
suficientes vías de pérdida de
evacuación en caso equipos, perdida
de terremoto de conectividad a
internet
5 Dos UPS en estado Apagón eléctrico Riesgo de que se hardware
critico caiga el sistema
y no pueda ser
enviad
información vital.
6 El sistema de Vendavales, fuertes Riesgo de quema hardware
pararrayos necesita aguaceros de equipos
mantenimiento
7 Los servidores Accidente de alguna Riesgo de Hardware
expuestos a fallas maquinaria que afecte pérdida de
eléctricas los sistemas activos
8 Los cuartos de Incendio forestal que Riesgo de que hardware
computo hechos con se extienda a las quema de activos
materiales instalaciones
vulnerables a
incendio
9 Los equipos de los Algún empleado o Riego de pérdida Seguridad
empleados no visitante que pueda o robo de lógica
necesitan acceder al sistema y información
contraseña para borrar información o
ingresar cometer acto delictivo
10 El Sistema de Ataque cibernético con Riesgo de Seguridad
antivirus no se virus pérdida masiva lógica
actualiza de información
 inmediatamente de
vencer
11 El sistema de Espionaje cibernético Riesgo de Seguridad
spyware no se pérdida de lógica
actualiza información
inmediatamente de secreta de la
vencer empresa
12 No hay realización Formateo involuntario Riesgo de Seguridad
de back up diaria pérdida de lógica
información
13 El aire Recalentamiento de Riesgo de caída hardware
acondicionado del equipos del sistema
cuarto del cuarto de
computo es
intermitente
14 Pat testing (prueba Equipos que ya no Riesgo de Hardware
de dispositivos) no trabajan con las pérdida de
realizado condiciones eléctricas activos
anualmente a los adecuadas
dispositivos
eléctricos.
15 No hay protección Obtención de virus Riesgo de Seguridad
de firewall para que pérdida de lógica
los empleados no información
descarguen software
malicioso
16 Falta de Errores de usuario El personal no Manejo y
conocimiento de los cuenta con control de
usuarios en el tema programas de personal
de seguridad capacitación y
informática y de la formación en
información seguridad
informática y de
la información.
17 No existe un Control Utilización de los No existe control Redes
y monitoreo en el recursos del sistema de acceso a
acceso a Internet para fines no previstos direcciones de
internet por parte
del
administrador, lo
que hace
insegura a la red
de datos
18 Acceso no Acceso físico a los Los servidores y Manejo y
autorizado al área de recursos del sistema equipos del área control de
sistemas de Data-Center personal
no se encuentran
bajo alguna
oficina con
acceso
restringido.
19 No existe control de Introducción de Alteración o Hardware
los dispositivos de información falsa pérdida de la
almacenamiento información
(USB, cd, discos registrada en
externos) equipos de
computo
20 Acceso no Entrada o Accesos no No se tiene Manejo y
autorizado a las autorizados implementado un control de
áreas restringidas sistema de personal
identificación de
empleados,
visitantes,
acompañantes y
registro de
visitantes.
21 Ausencia de un No establecer políticas No existe un Manejo y
Sistema de Gestión y procedimientos de proceso de control de
de Seguridad de la seguridad de la auditoría a la personal
Información información. seguridad
informática y de
la información
que garantice el
sistema de
control adecuado
para la
implementación
de políticas y
procedimientos
en el Sistema de
Seguridad.
22 Hacking Falta de control de Falta de Seguridad
acceso en internet controles y lógica
restricciones
para el acceso a
internet.
23 Fallas en el Bajas de voltaje Solo existe una Hardware
suministro de UPS para el
energía Data-Center y un
área de la
entidad, en caso
de un bajón de
energía, no está
soportado el
resto de las
áreas
24 No existe sistema de Atentados a las El empleado o Manejo y
vigilancia y personal instalaciones de la trabajador puede control de
suficiente para empresa (vandalismo) ser una víctima personal
vigilancia interna. directa o
indirecta de una
agresión externa
en contra de la
Empresa.
25 No existe un firewall Accesos No La no Seguridad
activo. autorizados aplicabilidad en lógica
Firewall – saber
qué puertos se
deben bloquear o
permitir, la forma
de interactuar
con ella o es
propietario de
ella, quien tiene
acceso a la
consola de
control.
26 El cableado Daños de las La red de datos Redes
estructurado no comunicaciones. esta
cumple con las implementada
normas con cableado
estructurado
categoría 5E por
lo que presentan
caídas de
paquetes de
información.
27 No se controla el No existe Navegación libre Seguridad
ancho de banda en categorización de y sin control en lógica
internet usuario en la red internet
ocupando ancho
de banda
inadecuado
ralentizando la
navegación en
internet
28 El aire Recalentamiento de Riesgo de Hardware
acondicionado del equipos bloqueo y caída
data-Center es del sistema
deficiente
29 Falta de extintores Incendio Daños en el Hardware
adecuados para el Hardware
área de Data-Center
30 No cuenta con un Atentado contra los El empleado y/o Hardware
sistema de cámaras activos de la entidad la entidad
de vigilancia pueden ser
víctimas directas
de un hurto

31 Falta de Se puede El manejo de una Base de datos

conocimiento eliminar base de datos a
del desarrollo información personal no
de la base de necesaria capacitado
datos
32 Falta de No va hacer un Se puede eliminar Software
conocimiento desarrollo etapas de un
del desarrollo óptimo del proceso ya por
de los software que se terminar
productos y maneja en la
procesos en la empresa
empresa
33 No guardar los Falta de Perdida de Hardware
archivos en la información para información (Plotter)
memoria Ram la empresa significativa en la
del PC empresa
34 En las redes Puede afectar el Puede haber Sistemas
eléctricas de la hardware de los Perdida de computacionales
empresa los sistemas información
voltajes varían computacionales significativa en la
empresa donde la
memoria Ram sufra
35 Mejor Controlar Robo de Servidores
monitoreo de quienes hacen información
en las cámaras uso de los confidencial de la
de vigilancia computadores empresa o clientes
dentro de la
empresa
36 No se tiene un Falta de Seguridad Sistemas de
internet más controles y informática información
veloz o banda restricciones
ancha para el acceso a
internet
37 No se cuenta Usuario no Ocasiona un Sistemas de
con un permitido para bloqueo por mal información
protector de gestionar en los uso o se puede (programa)
claves para sistemas que perder el diseño
acceso a tiene la empresa elaborado
plataformas o para su
archivos desarrollo de la
internos de la fabricación de
empresa los productos
Protected
Folder
38 Usuarios no Perdida de Bloqueo de Personal de la
permitidos información programas o empresa
dentro de la valiosa para la desarrolladores
empresa para empresa para la ejecución de
ingresar a la los procesos
área de
sistemas
39 Conectores Bajones de Perdida de Hardware
averiados por voltaje que información valiosa
muchos años puede ocasionar y computadores
de uso daños para diseño
40 Falta de Perdida de USB, Perdida de Sistemas de
vigilancia CDs o información valiosa información
dentro de la dispositivos de y significativa
empresa almacenamiento
41 Mal uso de la Errores de Seguridad lógica Base de datos
base de datos usuario
42 Internet sin La conexión Así el uso Equipos de
respaldo y de Internet del Internet conlleva sistemas
seguridad requiere riesgos inherentes.
privacidad y
seguridad
43 Mal manejo del Se puede perder Que se pierda la Programa FLEX
programa para el diseño que ya información que (software)
 el diseño de los está realizado pueda haber en una
productos que para cortar carpeta creada
ofrece la
empresa FLEX
44 Mal uso de la No corta el Se puede Plotter
programación diseño y si lo desperdiciar (hardware)
del Plotter para hace lo puede material hasta
el corte de los dañar ocasionar cortos
diseños circuitos
45 Falta de la Políticas de Escenario en el que Sistema
seguridad seguridad una acción o informático
informática deficientes e suceso sea o no
inexistentes deliberado,
compromete la
seguridad de un
elemento del
sistema informático.
46 Redundancia No tener acceso
Lentitud y falla
en la base de inmediato a la Base de datos
del sistema
datos información
47 falla en el las
Incomunicación Perdida de nuevos Redes y
líneas
con clientes clientes comunicación
telefónicas
48 Un solo canal
Sistema fuera de
de acceso a Redes y
servicio
internet Caída del canal comunicación
49 Datos
Información
introducidos en
errónea
la base de
causante de Falla del sistema Base de datos
datos
errores en
incompletos y/o
cascada
erróneos
50 Creación de
Información Base de datos
registros Base de datos
tergiversada sobrecargada
innecesarios
51 Falta de
Perdida o
capacitación de
afectación a Error de datos del
los empleados Base de datos
registros sistema
en el manejo
importantes
del sistema
52 Tiempo perdido
Equipos de
por parte de los
cómputo con
empleados por Falla del sistema software
software
lentitud de los
desactualizados
equipos
53 Perdida de
Perdida de
Errores y daños comunicación Redes y
comunicación en
de la Red LAN entre servidor y comunicación
momentos críticos
estaciones
54 fallas en el Corte total o
Sistema fuera de
suministro parcial de red eléctrica
servicio
electrico Electricidad
55 Sistema de
Daño a servidor Pérdida total o
puesta a tierra
y equipos de parcial de equipos red eléctrica
inadecuado o
computo de computo
inexistente
56 falta de fallas en el
mantenimiento servidor y Daño de hardware hardware,
preventivo y equipos de y software software
correctivo computo
57 Limitaciones o
Sistemas terminación del Perdida de gestión
operativos sin periodo de del equipo de software
licencias prueba del computo
software
58 Perdida o daño de
Antivirus Ataque de
información
inexistente o hackers y virus software
relevante para la
desactualizados informáticos
empresa
59 Violación de las
Fuga de Divulgación de
políticas de
información datos importantes
confidencia por personal
crítica de la de los clientes y de
parte del
empresa la empresa
personal
60 Pérdida total o
Incendios, Daño irreparable
parcial de equipos
inundaciones y de los equipos hardware,
de cómputo y
catástrofes de cómputo y software
demás activos de la
naturales servidor
empresa
 PLAN DE AUDITORÍA

Objetivo General. Evaluar las vulnerabilidades detectadas en área de sistemas de

la empresa Ingenio San Carlos, para realizar un plan de desarrollo que conlleve a
soluciones efectivas a corto y mediano plazo; que garanticen el buen desarrollo de
los procesos informáticos. Los activos que se trabajara la auditoria son: el hardware,
la seguridad lógica y el elemento humano (personal).

Alcance. La auditoría se realizará en el área de sistemas de la Empresa Ingenio

San Carlos y en los procesos que se realizan en dicha área.

En cuanto al Hardware: Se evaluará las instalaciones eléctricas y puesta a tierra,

el estado del hardware de equipos, el estado de servidores, hardware de redes,
revisión de la RED LAN en general, evaluando que sus componentes cumplan con
las normas establecidas. Se evaluará las fechas de actualización de equipos, como
también la regularidad de los mantenimientos correctivos y preventivos, de igual
manera se revisará el sistema monitoreo de vigilancia por video cámaras y los
equipos de aire acondicionado.

En cuanto a la seguridad lógica: se evaluarán los sistemas de antivirus, los

sistemas de spyware, la seguridad de la base de datos, los perfiles de usuarios y
sus contraseñas, verificación de licencias y actualización de sistema operativos y
firewall en cada uno de los computadores.

En cuanto al elemento humano personal: Se evaluarán los usuarios para saber

quiénes no cuentan con los conocimientos necesarios para el uso de los sistemas
de la empresa y no tienen conocimiento de seguridad informática. Se evaluará el
ingreso de personal no autorizado a los cuartos de sistemas y el personal de
vigilancia
 PROGRAMA DE AUDITORÍA

Para realizar el proceso de auditoría al área de sistemas de la Ingenio San Carlos,

se utilizará la metodología COBIT, donde se seleccionan los dominios, procesos y
algunos objetivos de control que están en relación directa con el objetivo y los
alcances que han sido definidos en el plan de auditoría.
A continuación, se presentan los dominios, procesos y objetivos de control
relacionados directamente con el objetivo y los alcances determinados en el plan de
auditoría

Dominio: Planeación Y Organización (PO).

PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI
y responder a las amenazas hacia la provisión de servicios de TI, mediante la
participación de la propia organización en la identificación de riesgos de TI y en el
análisis de impacto, tomando medidas económicas para mitigar los riesgos.

Dominio: Adquirir e implementar (AI)

AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es
proporcionar funciones automatizadas que soporten efectivamente la organización
mediante declaraciones específicas sobre requerimientos funcionales y
operacionales y una implementación estructurada con entregables claros.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo

es proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
mediante la realización de una evaluación del desempeño del hardware y software,
la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y
control del software del sistema.
Dominio Entregar y dar Soporte (DS).

DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible

de acuerdo con los requerimientos y continuar su provisión en caso de
interrupciones, mediante un plan de continuidad probado y funcional, que esté
alineado con el plan de continuidad del negocio y relacionado con los requerimientos
de negocio.

DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la

información contra uso no autorizados, divulgación, modificación, daño o pérdida,
realizando controles de acceso lógico que aseguren que el acceso a sistemas, datos
y programas está restringido a usuarios autorizados.
DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los
usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los
riesgos y responsabilidades involucrados realizando un plan completo de
entrenamiento y desarrollo.
DS11 Administración de Datos: El objetivo es asegurar que los datos
permanezcan completos, precisos y válidos durante su entrada, actualización,
salida y almacenamiento, a través de una combinación efectiva de controles
generales y de aplicación sobre las operaciones de TI.
DS12 Administración de las instalaciones: El objetivo es proporcionar un
ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros
naturales (fuego, polvo, calor excesivo) o fallas humanas lo cual se hace posible
con la instalación de controles físicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su
seguridad física.
Dominio Monitorear y evaluar (ME).

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de

los objetivos de control interno establecidos para los procesos de TI.
M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los
niveles de confianza entre la organización, clientes y proveedores externos. Este
proceso se lleva a cabo a intervalos regulares de tiempo.

Roles y responsabilidades del grupo auditor

Nombre Auditor Proceso auditado
Gonzalo Javier Mancilla paz Hardware
Bernabé Sánchez Lenis Seguridad lógica

Pruebas a realizar
Prueba Descripción Tipo prueba Nombre auditor
prueba
las instalaciones Se evaluarán la Pruebas Gonzalo Mancilla
eléctricas, el infraestructura eléctricas, y
estado del eléctrica, las pruebas con
hardware de puestas a tierra, software.
equipos, el estado tomas regulados,
de servidores, los cables de
hardware de todos los equipos,
redes, revisión de revisión de los
la RED LAN en servidores, y
general pruebas a la red
LAN
Antivirus, se evaluarán los Seguridad lógica Bernabé Sánchez
Spyware, Base de sistemas de
datos, perfiles de antivirus, los
usuario y firewall sistemas de
en cada uno de los spyware, la
computadores. seguridad de la
base de datos, los
perfiles de
usuarios y sus
contraseñas,
verificación de
licencias y
actualización de
sistema operativos
y firewall en cada
uno de los
computadores.
CONCLUSIONES
 BIBLIOGRAFÍA

Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De

http://hdl.handle.net/10596/10236

Cobit4.1