Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la
empresa propuesta agrupados por categorías.
No. Vulnerabilidad Amenaza Riesgo Categoría
1 Uso de software Acceso de virus a Robo de información Software pirata en la la compañía a sensible para la compañía través de cracks compañía al instalar software que no tiene licencia con el uso de activadores 2. Cuentas de Instalación de Propagación de virus Software usuario en software sin por instalación de sistema control por parte software malicioso operativo no del área de TI limitadas 3. Ausencia de Daño por Perdida de información Seguridad control en deterioro, desastre vital para la continuidad Lógica proceso de natural o robo de del proceso de la copias de información por compañía seguridad virus 4. Ausencia de Mal uso de Perdida de información Seguridad claves por información de usuarios por accesos Lógica usuario en de personas ajenas a copias de quienes corresponde la seguridad información 5. No existe Uso de recursos Acceso a virus, perdida Redes control control tecnológicos de la de tiempo deliberada del total de acceso compañía para uso persona a contenido personal web 6. Acceso no Acceso a Los recursos de red de Talento autorizado a los dispositivos la compañía no se Humano diferentes sensibles para el encuentran asegurados Racks uso de datos mediante llave o candado que limite el acceso al personal del área de TI 7. Cableado Daño físico La distribución de cable Redes estructurado no no cumple con los cumple con los estándares y se estándares encuentra expuesta a deterioro y manipulación
En el cuadro anterior se puede evidenciar que los activos informáticos más
impactados por los problemas detectados inicialmente son: la seguridad lógica, el software dispuesto para seguridad del área y las redes en su orden. En este caso el Objetivo de la auditoria sería: Evaluar la seguridad lógica, el software instalado y el funcionamiento de la red y los servicios de red en la empresa Avidesa de Occidente S.A de la ciudad de Buga.
Objetivo 1: Conocer la seguridad lógica, el software dispuesto para seguridad del
área, y el funcionamiento de la red de datos para conocer los problemas existentes, analizando las vulnerabilidades y amenazas que originan los riesgos con el propósito de obtener soluciones viables. Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se desarrollan en la auditoria y la asignación de los recursos para cada actividad en el tiempo establecido, elaborar los instrumentos de recolección de información que permitan conocer otros riesgos que no han sido detectados inicialmente, diseñar las pruebas que permitan evidenciar los riesgos, y determinar del estándar CobIT cuales de los procesos tienen relación directa con el objetivo general y que serán evaluados. Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de información que se han diseñado para encontrar los riesgos existentes para los procesos de CobIT relacionados directamente con los activos a evaluar, y aplicar las listas de chequeo para verificar los controles existentes (seguridad lógica, el talento humano (empleados, seguridad, usuarios, empleados área informática), el software instalado y el funcionamiento de la red y los servicios de red), posteriormente hacer el análisis y evaluación de riesgos para determinar las posibles causas que originan los riesgos y valorar los riesgos por probabilidad e impacto para buscar las mejores soluciones que permitan mitigarlos. Objetivo 4: Determinar los hallazgos encontrados cada uno con sus pruebas, elaborar el dictamen de la auditoría para cada proceso de CobIT evaluado que permita medir el nivel de madurez de la empresa, y así elaborar el informe final de los hallazgos encontrados además de las recomendaciones de solución de esos problemas en la empresa. Para este caso, los alcances de la auditoria serán: De la seguridad lógica: - La asignación de login y password para acceso a las áreas. - El control de acceso a la información confidencial de la empresa - El cambio periódico de claves y las claves usadas por los usuarios De la red de datos se evaluará los siguientes aspectos: - El inventario hardware de redes - La obsolescencia del hardware y cableado estructurado - El cumplimiento de normas de cableado estructurado - La seguridad de acceso a los elementos de la red - Configuración de los servicios de red disponibles - La administración de los usuarios en la red - Administración de seguridad en la red Del talento humano - Cumplimiento de funciones por los empleados del área informática - Contratación de personal de seguridad para la empresa - Controles de las visitas y acompañamiento de visitantes al interior de la empresa - Responsables de la seguridad física y lógica - Responsables de información sensible de la empresa - Formación en seguridad de los empleados la seguridad física se evaluará: - Los sistemas de seguridad existentes en la empresa - El personal de seguridad en la entrada, salida y al interior de la empresa - La demarcación de oficinas y zonas restringidas y el mapa de ubicación de las oficinas