Академический Документы
Профессиональный Документы
Культура Документы
FACULTAD DE INGENIERÍA
FACULTAD DE INGENIERÍA
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Quiero dedicar este proyecto a Dios quien me ha dado salud y vida para realizar este
proyecto educativo y permitirme culminarlo satisfactoriamente. Dedicárselo a mi esposa que es un
pilar de fortaleza, consejo y acompañamiento constante. A mi familia que han sido un apoyo muy
grande durante todo el proceso y una dedicación muy especial a la familia Rodríguez Rodríguez,
familia que han sido los artífices principales de mi ingreso y culminación de esta Especialización,
el apoyo y continua preocupación por mi proceso me permitió sentirme acompañado en todo
momento.
Agradezco primeramente a Dios quien abrió las puertas para iniciar y ahora culminar un
reto más en mi vida, por permitirme conocer nuevas personas, superar cada paso de esta etapa y
ahora cerrar un ciclo lleno de éxitos profesional y personalmente. A mi esposo por apoyar mis
decisiones y acompañarme en este camino. A los directivos de la empresa SMSAmericas Ltda.,
quienes depositaron su confianza en nosotros y nos apoyaron para trabajar en el desarrollo de este
proyecto y a mis compañeros de grupo quienes fueron un soporte durante la realización de la
especialización.
Este proyecto se lo dedico a mi familia que gracias a ellos soy lo que soy. A mis padres por
su apoyo, consejos, comprensión, amor, ayuda en los momentos difíciles, quienes forjaron mis
valores, mis principios, mi empeño, mi perseverancia para conseguir mis objetivos. A mis
hermanos por estar siempre presentes, acompañándome para poderme realizar como profesional.
A mi hija Gabriela quien ha sido y es una motivación, inspiración y felicidad.
Así mismo le agradezco a Dios por concederme grandes logros personales y profesionales
en mi vida, por guiarme por el buen camino y darme la oportunidad de poder culminar
satisfactoriamente un logra más en mi vida.
“La dicha de la vida consiste en tener siempre algo que hacer, alguien a quien amar y alguna cosa que esperar”. Thomas
Chalmers
Los autores de este proyecto agradecen primero que todo a Dios por la vida y la salud para
estar siempre presentes en el desarrollo de este trabajo. A sus padres y familiares que siempre han
sido un pilar importante en sus vidas, siempre han estado dispuestos a apoyarlos
incondicionalmente.
Agradecen de manera especial a los tutores que tuvieron mientras se desarrollaba esta
actividad y a los profesores que dieron todo para transmitir los conocimientos que ahora plasman
en este trabajo.
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................................ 16
2 MARCOS DE REFERENCIA..................................................................................................... 23
3 METODOLOGÍA........................................................................................................................ 29
4 DESARROLLO ........................................................................................................................... 30
TABLA 27 PRUEBA P011 VALIDAR EL ACCESO A LAS PERSONAS QUE INGRESAN A LAS INSTALACIONES Y QUE
TRABAJOS SE DISPONEN A REALIZAR. ........................................................................................................... 66
TABLA 28 PRUEBA P012 COMPROBAR LA INTEGRIDAD DEL CABLEADO ESTRUCTURADO. ........................................ 67
TABLA 29 PRUEBA P013 VERIFICAR LAS POLÍTICAS DE ACCESO A INTERNET CONFIGURADAS EN EL FIREWALL........ 68
TABLA 30 PRUEBA P014 VERIFICAR LA CONEXIÓN DE RED A INSTALADA EN LAS OFICINAS Y LA PRESTACIÓN DEL
SERVICIO POR PARTE DEL PROVEEDOR. ........................................................................................................ 69
TABLA 31 PRUEBA P015 COMPROBAR LAS CONFIGURACIONES DEL FIREWALL POR PARTE DEL PROVEEDOR. ........... 70
TABLA 32 PRUEBA P016 VERIFICAR LEL FUNCIONAMIENTO DE LA UPS. ................................................................. 71
TABLA 33 PRUEBA P017 VERIFICAR LOS LOGS DE LSO BACKUPS REALIZADOS. ....................................................... 72
TABLA 34 PRUEBA P018 VERIFICAR EL PROCEDIMIENTO PARA LAS PRUEBAS DE CAMBIOS EN EL CÓDIGO FUENTE. .. 73
TABLA 35 PRUEBA P019 VERIFICAR EL SOFTWRAE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ............................... 74
TABLA 36 PRUEBA P020 REVISAR LAS LICENCIAS DEL SOFTWARE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ........ 75
TABLA 37 PRUEBA P021 COMPROBAR LA ELIMINACIÓN DE ARCHIVOS TEMPORALES Y OBSOLETOS. ........................ 76
TABLA 38 PRUEBA P022 REVISIÓN DEL CUBRIMIENTO DE LA GARANTÍA DE LOS EQUIPOS DE CÓMPUTO. ................. 77
TABLA 39 PRUEBA P023 CONFIRMAR LA CAPACITACIÓN DEL PERSONAL DE SOPORTE TÉCNICO DE EQUIPOS DE
CÓMPUTO. ................................................................................................................................................... 78
TABLA 40 PRUEBA P024 REVISAR LAS ESPECIFICACIONES TÉCNICAS DE LOS EQUIPOS DE CÓMPUTO NECESARIOS PARA
LA LABOR EN LA COMPAÑIA. ........................................................................................................................ 79
ABSTRACT
15
INTRODUCCIÓN
Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna para el sistema
de información VASP, que sea fácil de aplicar en la empresa y sin que ello implique un alto costo.
16
Controlar el acceso a la base de datos de tal manera que se disminuya la posibilidad
de pérdida o daños de la información.
Por lo cual, al desarrollar el plan de auditoría interna para el sistema de información Core
de la empresa, les dará herramientas que permitirán mejorar sus procesos y sacar mayor provecho
a los recursos físicos, tecnológicos y humanos con los que cual cuentan actualmente.
Se utilizará como referencia el modelo COBIT para auditar la gestión y el control de los
sistemas de información internos de la organización. Y con el acompañamiento y dirección del
director IT y del equipo de tecnología, se recopilará la información y el estado de cada proceso, a
través de entrevistas, encuestas y visitas, para identificar los puntos más críticos y enfocar en ellos
el plan de auditoría.
17
1 GENERALIDADES DEL TRABAJO DE GRADO
Para poderse mantener en el mercado y no terminar siendo “absorbidas” por las grandes
empresas, estas PYME deben prestar más atención a todo lo relacionado con la tecnología, y
manejo de la información. Esto lleva a que deban certificar todos los procesos internos de la
compañía y para esto se requiere auditoria para evaluar todo el sistema, verificar como están los
controles y emitir un diagnostico que permita mantener de forma adecuada la infraestructura
tecnológica y la integridad de la información. (Revista Dinero, 2015)
La PYME de mensajería móvil que se está tomando como base para realizar el plan de
auditoria a tratado de implementar mecanismos de control, documentación y centralización de la
información utilizando herramientas como Wikis y Google Sites, los cuales se han quedado cortos
18
al momento de atender las necesidades de la empresa. Esto ha hecho que la información se
encuentre dispersa y no centralizada, dificultando el acceso rápido a la misma.
19
sufriendo una caída en sus ingresos, lo cual ha llevado a que deban buscar nuevas estrategias de
recuperación.
Debido a que el VASP fue un desarrollo a la medida para la empresa SMSAmericas, con
el pasar de los años, este se ha expuesto a cambios que no han sido desarrollados bajo una
metodología concreta, ni con el análisis y pruebas debidas. Por lo cual, al tratar de implementar
dichos cambios, se ha expuesto el negocio a varios problemas (Saturación de los servidores o Base
de datos, Errores en la lógica de negocio, Indisponibilidad de la plataforma, entre otros) que han
generado quejas por parte de los usuarios, multas por parte de los operadores y pérdida de ingresos
durante horas o incluso días. Lo cual hace necesario que se ejecuten procesos de auditoria sobre
cada uno de los ambientes que comprenden dicho sistema (Base de Datos, Software, Redes y
Continuidad del negocio), con el fin de mitigar y reducir las falencias que actualmente se tienen y
poder brindar al nuevo desarrollo del VASP 3, los mecanismos de control y calidad necesarios
para dar una respuesta rápida y eficaz.
¿De qué manera se realiza un plan de auditoria para el sistema de información VASP de la
empresa de mensajería móvil SMSAmericas Ltda.?
20
1.3 JUSTIFICACIÓN
Por lo cual se busca diseñar un modelo de auditoria para el sistema de información VASP,
sin que esto implique un alto costo para la empresa, permitiendo a su vez obtener un diagnostico
muy exacto y real del estado de sus procesos, dándole las herramientas necesarias, para la toma de
decisiones y creación de medidas de control que permitirá la mejora en la calidad del sistema y
tiempo de respuesta a las solicitudes que se le realizan.
Actualmente se cuenta con el conocimiento del VASP, sus procedimientos y manejo, por
lo cual es viable poder identificar las necesidades de la empresa y así poder proponer un modelo
que pueda cumplir con sus expectativas y necesidades.
1.4 OBJETIVOS
21
• Diseñar y evaluar el plan de auditoria para el sistema de información VASP, de
acuerdo a la información recolectada.
22
2 MARCOS DE REFERENCIA
2.1.1 Wiki.
Los wikis obtuvieron su nombre del término hawaiano "wiki wiki," que significa "muy
rápido". Un wiki es, de hecho, un método rápido para crear contenido como grupo. Es un formato
tremendamente popular en la web para crear documentos como un grupo. Usualmente no existe
un editor central del wiki, no hay una sola persona que tenga el control editorial final. En su lugar,
la comunidad edita y desarrolla su propio contenido.
Es una aplicación online gratuita ofrecida por la empresa estadounidense Google. Esta
aplicación permite crear un sitio web o una intranet de una forma tan sencilla como editar un
documento. Con Google Sites los usuarios pueden reunir en un único lugar y de una forma rápida
información variada, incluidos vídeos, calendarios, presentaciones, archivos adjuntos y texto.
Además, permite compartir información con facilidad para verla y compartirla con un grupo
reducido de colaboradores o con toda su organización, o con todo el mundo. (Wikipedia, 2016)
23
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas)
24
Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200
capítulos en todo el mundo. (ISACA, 2016)
2.1.6 Riesgo
2.1.7 Amenaza
25
En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo,
de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de
exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y
durante un tiempo de exposición determinado.
Una amenaza informática es un posible peligro del sistema. Puede ser una persona
(cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (UNAD, 2016)
2.1.8 Vulnerabilidad
2.1.9 Probabilidad
26
2.1.10 Impacto
Son las consecuencias de la ocurrencia de las distintas amenazas y los daños por pérdidas
que éstas puedan causar. Las pérdidas generadas pueden ser financiaras, económicas, tecnológicas,
físicas, entre otras. (UNAD, 2016)
SMSAmericas fue creada a mediado del 2004, iniciando su mercado en los países de
Colombia, Nicaragua, El Salvador y Ecuador. Y actualmente se encuentra en 9 países de
Latinoamérica. Por lo cual la primera versión que se desarrolló del VASP, era sencilla y su
esquema no era de fácil manejo, por lo cual con el pasar de los años se desarrolló el VASP 2, el
cual tiene un esquema mucho más estructurado, pero al que se le han tenido que implementar
desarrollos que no van acorde a su modelo, ni su estructura inicial.
27
manera más óptima la implementación de nuevas mecánicas que puedan salir con
el tiempo y el manejo óptimo de las peticiones realizadas a la plataforma.
28
3 METODOLOGÍA
PRUEBAS DE CUMPLIMIENTO
Realización de Pruebas
Politicas y Normativas de procedimientos de la Organización
REALIZACIÓN DE PRUEBAS
Procedimientos Analiticos
Diseño de Pruebas detalladas por entorno
29
4 DESARROLLO
Con el siguiente capítulo se busca desarrollar uno a uno los objetivos presentados al inicio
de este documento.
Cada uno de los objetivos hacen parte de una fase del programa de auditoria de sistemas
diseñado para la empresa SMSAmericas y dirigidos al sistema de información VASP.
4.1 FAMILIARIZACION
La familiarización es la relación que deben tener los auditores inicialmente con la empresa
y más detalladamente con los empleados que están involucrados constantemente con los procesos
de esta.
Inicialmente se realizará una ficha técnica de los servidores que contienen el SI y la base
de datos y equipos que son usados en la empresa para acceder a estos. Tabla 2 Ficha
OBJETIVO DE LA APLICACIÓN
Gestionar la recepción y envíos de mensajería móvil en tiempo real y con disponibilidad 7/24, manejando
diferentes mecánicas, adicional de gestionar el proceso de cobro de diferentes operadores de acuerdo a las
políticas de cada uno.
ESTADO
En producción.
DEPENDENCIAS
Área Comercial, Operativa y Clientes Externos.
30
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
S.O. Red Hat Ram: 32 Gigas Cualquier Navegador (Explorer, FireFox, Ram: 1GB
Opera, Chrome, etc)
Disco Duro:
BD: Superior a 80
Postgres/pgs Disco Duro: - Microsoft Office desde versión 2003 en Gigas
ql-9.0 1 Raid Cero y 1 Raid 5 con 3 adelante.
discos de 1.2 Teras. - S.O Linux cualquier versión.
- Mac OS X
Procesador:
Procesador: Desde Dual
Intel Xeon Processor E5-4669 Windows 7 en adelante. Core.
v3 (45M Cache, 2.10 GHZ) 18
Núcleos.
REDES
Servidor PCs
Canal dedicado de 20 Megas, se tiene un Una buena conexión a internet
Juniper, un Switch
MÓDULOS
1) Alta a suscripción diaria: MO 2) Generación de Batchs
* Combo text avance y wap * Un solo opt-in para 3) Generación de Mts
club contenido definido 4) Mecanicas Ondemand
* Combo Texto Programado y * Un solo opt-in para * Trivias
Wap Push contenido programado * Clasificaciones
* Combo Texto y Wap Push * Wap push del club * Tarjetas
* Combo text y wap club * Welcome + Url Portal with 5) Generación de cobros.
* Contenido ordenado por bill * Tornado
fecha * Welcome + URL y adiciona * SMT
* Contenido ordenado por registro en mongo Miknal * CDC
secuencia infinita * Welcome y guarde en * Por MT
* Doble opt-in mongo para completar mecanica 6) Recobros
* Double Send Free Welcome adicional 7) Validación de palabras (Baja,
and Content * Welcome y Wap Push with Info, Ayuda).
bill 8) Reminder Messages
* Welcome y Wap Push 9) Envio de Noticias.
without bill
* Welcome y Wap Push
without bill Type Club
* Welcome y Wap Push
without bill Type Club y Miknal
OTRA DOCUMENTACIÓN
No hay.
31
Para continuar con este acercamiento se diseñó un Cuestionario con preguntas sobre los
entornos involucrados en el sistema de información VASP de la empresa SMSAmericas. Dichas
preguntas fueron formuladas a la persona responsable del personal que realiza las operaciones
cotidianas sobre este SI.
Los entornos que fueron consultados son: Base de datos, Redes y comunicaciones, Control
de Seguridad Lógica e Informática, Control de Compras y Garantía de Hardware, Control y
Seguridad de Instalaciones, Control de Impacto Ambiental, Control Seguridad Física, Control de
Riesgos, Control de Entrenamiento y Control de Mesa de Ayuda.
32
4.1.2 Familiarización por Entornos
En los siguientes numerales se podrá observar la familiarización por cada uno de los
entornos seleccionados. Esta familiarización salió a partir del cuestionario anterior.
Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.
33
actual en el servidor principal. Y cada mes se hace el backup del mes anterior y se restaura en otro
servidor, para tener disponible la información de envíos de los últimos 6 meses.
A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el VASP, cada empleado cuenta con su usuario
y contraseña, permitiendo identificar quien realizo cada cambio. Este acceso es entregado a cada
desarrollador y es desactivado cuando alguno ya no se encuentra en la empresa, por parte de un
proveedor que se encuentra en planta.
34
Si se presenta un problema con la base de datos en el servidor principal, se tiene un respaldo
de esta en otro servidor y viceversa, al igual que se cuentan con los backups de las tablas
principales.
Si se evidencia algún ataque a la red, se procede a hacer las validaciones y a hacer pruebas
sobre esta cuando se considera necesario. La longitud del cableado de la red no excede los 90
metros y hace falta tener un estándar de colores con el cableado. El mapa de la estructura de los
nodos de la red se tiene de manera informal, aunque es fácil de identificar debido a que la oficina
actual es más pequeña.
Para poder conectarse a los servidores el router principal cuenta con una IP fija la cual tiene
la autorización de acceso a estos y los equipos de cómputo tienen configuradas las direcciones IP
por medio de DHCP.
No se hace uso de conmutadores, ya que no se trabaja con una red LAN. Se cuenta con
UPS, para regular el voltaje, al igual que el sistema eléctrico cuenta con polo a tierra, con el fin de
disminuir la posibilidad de daños en los equipos.
35
En caso de presentarse fallas con el proveedor principal de internet, se cuenta con un
proveedor de backup que está disponible en todo momento, el cual permite conectarse y trabajar a
todos los empleados de la empresa para continuar con las actividades diarias.
Actualmente la empresa cuenta con procesos automáticos que generan backups diarios de
la información principal de cada servidor y base de datos, que es almacenada afuera del servidor
y cuando se exceden los 60 días, algunos backups se descargan a equipos y en el servidor de la
oficina.
Para desarrollar cualquier tipo de cambio sobre el VASP, se debe tener su propio usuario
y contraseña, la cual es intransferible, proporcionada por el proveedor que se encuentra en planta.
Actualmente no se pide cambio de contraseña, pero esta cumple con la política de números
y letras.
Si se presenta algún problema con el VASP, se entra a analizarlo y a corregir los problemas
en el menor tiempo posible, y por lo general no maneja mantenimiento correctivo.
La mayoría de equipos tienen como sistema operativo Linux o Mac y los que son Windows
cuentan con el antivirus propio del sistema.
La mayoría de software que se tiene en la empresa es libre, pero se cuenta con la licencia
del paquete Office, que está distribuida de acuerdo a la cantidad de equipos que permite.
36
Si un empleado instala software no permitido, este tiene una sanción.
Los equipos que se encuentran en uso, cuentan con las capacidades tanto en disco, RAM,
procesador, etc. que se requieren para las actividades diarias.
Desde el área administrativa no existe un inventario formal actualizado de los equipos que
se tienen actualmente. Los equipos ya tienen la garantía expirada y no hay un plan de
mantenimiento preventivo de los computadores.
Si algún equipo necesita mantenimiento, este es realizado por el mismo equipo del área de
TI. Solo en caso de que se presente un daño grave, es llevado a una empresa de mantenimiento
especializada.
37
Para poder trabajar desde afuera de la oficina, se debe tener registrada la IP, o se debe
acceder a los computadores de la oficina.
Los procesos que midan y controlen el impacto ambiental que pueda generar la actividad
diaria de la empresa son nulos.
38
4.1.2.7 Control Seguridad Física
Son escasas las áreas restringidas dentro de la empresa y no se lleva registro o control de
las personas que ingresan a la empresa.
En el caso de presentarse algún desastre o problema mayor que impida trabajar desde las
instalaciones de la oficina, no se cuenta con un centro de cómputo alterno, el único medio para
continuar las actividades diarias, es que algunos de los empleados trabajen desde sus casas, dando
autorización de dichas IPs por parte del CEO.
No existe un proceso se mida y administre los posibles riesgos a los que está expuesta la
empresa.
Se tiene identificados cuales son los procesos críticos y a que se le debe dar prioridad ante
una falla del sistema, debido al impacto negativo que puede traer para la empresa de manera
informal.
Cada vez que ingresa una nueva persona a formar parte del equipo se le explica el
funcionamiento principal del negocio y la plataforma y se le asigna una persona la cual está
pendiente de las inquietudes y trabajo de la persona.
39
No hay cursos de formación adicional en la empresa.
Se tiene una herramienta hecha a la medida que permite registrar las actividades, los
avances y el tiempo invertido en las solicitudes de los usuarios.
Cuando se está en una llamada, conferencia o charla por Skype u otro medio de
comunicación con los country manager, clientes o el CEO, el porcentaje de interrupción de estas,
es muy bajo.
40
Tabla 4 Clasificación, Calificaciones y Criterios Usados
41
Tabla 6 Identificación de Riesgos
CODIGO RIESGO
R-01 Perdida de información de la base de datos, causada por robo desde la parte externa de la empresa.
R-02 Perdida de información de la base de datos, causada por robo desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por personal con mala intención.
R-04 Perdida de información de la base de datos, causada por desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información, causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del proveedor.
R-07 Eliminación de información, causada por el personal sin intención o por accidente.
R-08 Eliminación o daño de la información, causada por la ejecución de un proceso inadecuado.
R-09 Daño en la estructura de la base de datos, causada por administración inadecuada de la base de datos.
R-10 Daño de la estructura de la base de base de datos, causada por falta de documentación de su estructura.
R-11 Retrasos en la implementación de cambios en la base de datos, causada por administración inadecuada.
Daño en la base de datos, causada por falta de conocimiento del personal en la estructura de la base de
R-12
datos.
R-13 Robo de información a causa de intrusión a la red por personas ajenas a la empresa.
R-14 Daños en la estructura de la red, causados por ingreso a las oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la detección del cableado interno oportuno.
Infección de la red por causa de la permisividad al acceso a cualquier página de internet por parte de
R-16
los empleados.
R-17 Fallos en la conexión de red, causado por perdida del servicio del proveedor de Internet.
R-18 Ataques a la red a causa de malas configuraciones en el firewall por parte del proveedor.
R-19 Interrupción del servicio, causado por perdida del fluido eléctrico.
R-20 Perdida de información, causada por la no ejecución del proceso de Backup diario.
Daño del código del VASP, causado por hacer cambios directamente en producción y no en el sistema
R-21
de versiones.
R-22 Pérdida de ingresos para la empresa, causado por cambios inadecuados sobre el sistema VASP.
Generación de Multas por parte de los operadores de telefonía móvil, causadas por cambios inadecuados
R-23
sobre el sistema VASP.
R-24 Daño de equipos de cómputo, causado por instalación de software con virus.
R-25 Generación de Multas por parte de la Dian, a causa de instalación de software sin licencia de uso.
R-26 Perdida de información, causada por falta de espacio en los servidores.
R-27 Robo de equipos de cómputo, causado por personal con mala intención.
R-28 Daño de equipos de cómputo, a causa de fallas de fábrica.
R-29 Daño de equipos de cómputo, causado por arreglos hechos por personal no capacitado.
Perdida de dinero, causado por compra de equipos de cómputo no adecuados para llevar a cabo las
R-30
funciones diarias.
42
R-31 Daño en los servidores, causado por instalación de software malicioso.
R-32 Perdida de información, causado por instalación de software malicioso.
R-33 Perdida de dinero, causado por compra de equipos que no cumplen con el objetivo de la compra.
R-34 Problemas de salud de los empleados, causado por implementos de oficina inadecuados.
R-35 Problemas de salud de los empleados, causado por ventilación inadecuada.
Demandas por parte de los empleados, a causa de caídas dentro de las instalaciones por cables eléctricos
R-36
o de red atravesados en los pasillos.
R-37 Fatiga visual de los empleados, causado por falta de iluminación adecuada dentro de las instalaciones.
R-38 Perdida de la vida de los empleados, causa por falta de salidas alternas ante una catástrofe natural.
R-39 Perdida de equipos de cómputo y objetos de la empresa, causadas por personal mal intencionado.
R-40 Perdida de información, causada por personal mal intencionado.
R-41 Perdida de información, causada por ingreso de personas externas a la empresa.
Perdida de equipos de cómputo y objetos de la empresa, causada por ingreso de personas externas a la
R-42
empresa.
Perdida de la infraestructura, recursos y de información, causada por incendio ocasionado por fumar
R-43
dentro de las instalaciones.
R-44 Pérdida de ingresos, causada por daño en las instalaciones.
R-45 Pérdida de ingresos, causada por no ejecutar todos los procesos que deben correr diariamente.
Generación de multas por parte de los operadores, causada por no ejecutar todos los procesos que deben
R-46
correr diariamente.
Cierre del contrato con el operador, causada por no ejecutar o la mala ejecución de los procesos que
R-47
deben correr diariamente.
R-48 Daño de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
R-49 Perdida de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
Generación de multas por parte de los operadores, causado por desconocimiento del personal sobre los
R-50
procesos de la empresa.
R-51 Rotación constante del personal, causado por no escalamiento dentro de la empresa.
R-52 Daño de la información, causado rotación constante del personal.
43
4.2.2.1 Entorno de Base de Datos
44
4.2.2.2 Redes y Comunicaciones
A nivel de la red de la empresa se encontró que está expuesta a daños de la misma, por falta
de controles para el acceso a las instalaciones de personal ajeno, lo cual hace potencial el ataque.
Sobre el sistema de información VASP se encontró que cada empleado del área de sistemas
cuenta con un usuario y contraseña para la revisión y cambios sobre este a nivel del sistema de
versiones, pero se encuentra vulnerable a cambios directamente en el ambiente de producción, ya
que se ingresa con el mismo usuario al servidor y su nivel de gestión para mitigar los riesgos
evidenciados actualmente es muy débil.
45
Tabla 9 Matriz de Riesgos de Control de Seguridad Lógica
46
4.2.2.5 Seguridad de Instalaciones
También se encontró que hay deficiencia en los niveles de control para mitigar algunas
lesiones para los empleados.
El mayor riesgo encontrado en este entorno es perder ingresos y el cierre del contrato con
cualquiera de los operadores causado por la ejecución inadecuada de los procesos que se deben
ejecutar a diario por parte del personal y por falta de documentación completa y actualizada de
cada proceso. Ver Tabla 12
47
Tabla 12 Matriz de Riesgos de Continuidad del Negocio
Por lo cual el personal se considera como uno de los mayores riesgos y retos para la
organización, como se muestra a continuación. Ver Tabla 13
48
4.2.3 Mapa De Riesgos
49
Tabla 15 Normatividad: Circular 038 de Sptiembre de 2009 - Cobit 5
PROCE NORMATIVIDAD: CIRCULAR 038 DE SEPTIEMBRE DE 2009 - COBIT
RISGO INDICADOR DE GESTIÓN
SO SUPERFINANCIERA 5
7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.
PO5 / Cantidad de procesos evaluados /
I
Evaluación de la tecnología actual. R-26 AI3 Cantidad de procesos
DS4 / Cantidad de alternativas presentadas /
III Estudios de mercado y factibilidad de alternativas tecnológicas que R-29 / R-30 / R-33
DS6 Cantidad de necesidades de la entidad
respondan a las necesidades de la entidad.
7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.
Cantidad de cambios solicitados /
I Identificación clara del cambio a realizar en la infraestructura. R-22 AI6 Cantidad de cambios de infraestructura
realizados
AI6 / Cantidad de cambios evaluados /
III Evaluación del impacto que ocasiona el cambio en la infraestructura. R-23
PO5 Cantidad de realizados
Cantidad de cambios solicitados / la
III Procedimiento de autorización de los cambios. R-11 AI6
cantidad de cambios autorizados
Cantidad de incidentes solucionados en
PO9 /
IV Procedimiento de administración de versiones. R-21 cada versión / Cantidad de versiones
AI6
implementadas en un año.
Cantidad de solicitudes de cambio /
AI2 /
V Políticas de distribución del software. R-24 / R-25 Cantidad de Software con políticas de
AI3
distribución.
7.6.2.4 SEGURIDAD DE LOS SISTEMAS.
Cantidad de solicitudes de autorizadas /
I Autorización, autenticación y control de acceso. R-01 / R-02 / R-39 / R-40 DS5
Cantidad de solicitudes Autorizadas
DS4/ Cantidad de casos reportados / Cantidad
II
Prevención y detección de código malicioso, virus, entre otros. R-03 / R-13 / R-31 / R-32 / R-18 DS9 de detectados
Empleados capacitados / Total de
III
Entrenamiento de usuarios. R-04 / R-07 / R-12 / R-48 / R-49 DS7 empleados
7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.
DS4 /
I Establecer controles de entrada, procesamiento y salida para garantizar la R-05 / R-09 -
DS11
autenticidad e integridad de los datos.
50
Preservar la segregación de funciones en el procesamiento de datos y la Cantidad de Procesos no ejecutados por
DS7 /
II verificación rutinaria del trabajo realizado. Los procedimientos deberán R-08 / R-10 / R-45 / R-46 / R-47 semana / Cantidad de procesos
AI6
incluir controles de actualización adecuados, como totales de control Ejecutados por semana
"corrida a corrida" y controles de actualización de archivos maestros.
III Establecer los mecanismos necesarios para garantizar la integridad R-20 DS4 -
continua de los datos almacenados.
Cantidad de controles en las plataformas /
IV Establecer controles para garantizar la integración y consistencia entre
Total de plataformas
plataformas. R-06 DS2
7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.
Cantidad de incidentes de seguridad /
I Acceso a las instalaciones. R-14 / R-27 / R-28 / R-41 / R-42 DS5
Cantidad de registro en las instalaciones
51
4.3 DISEÑO Y EVALUACION
P001 Verificar si existe fuga de información, por falta de políticas de R-01 Tabla 17
control de acceso.
P002 Verificar si existe fuga de información, por falta de políticas de R-02 Tabla 18
creación de usuarios y contraseñas.
P003 Validar el proceso de selección de personal y ver si cumple con R-03, R-05 Tabla 19
los objetivos del negocio.
P005 Revisar el contrato con el proveedor que presta el servicio de R-06 Tabla 21
alojamiento de servidores Tenzing y confirmar si se tienen
cláusulas que permitan asegurar el buen estado de los
servidores, recuperación de la información ante un daño en las
instalaciones del proveedor.
P007 Validar el proceso de control de cambios establecidos para la R-09, R-11, Tabla 23
base de datos. R-12
52
PROCESO: REDES Y COMUNICACIONES
P009 Garantizar que cada usuario se autentique al ingresar a la red R-13 Tabla 25
empresarial.
P011 Validar el acceso de las personas que ingresan a las R-14, R-27, Tabla 27
instalaciones y que trabajos se disponen a realizar. R-39, R-40,
R-41
P015 Comprobar las configuraciones del firewall por parte del R-18 Tabla 31
proveedor.
P018 Verificar el procedimiento para las pruebas de cambios en el R-21, R-22, Tabla 34
código fuente. R-23
P019 Verificar el software instalado en los equipos de cómputo. R-24, R-31, Tabla 35
R-32
P020 Revisar las licencias del software instalado en los equipos de R-25 Tabla 36
cómputo.
53
P022 Revisión del cubrimiento de la garantía de los equipos de R-28 Tabla 38
cómputo.
P029 Validar los cargos y los procesos establecidos para la R-45 / R- Tabla 45
continuidad del Negocio. 46 / R-47
P031 Verificar las estrategias para la mejora del plan de continuidad R-43 Tabla 47
del negocio.
P033 Validar si se sabe qué tan rápido debe reanudar operaciones tras R-50 Tabla 49
una interrupción para evadir impactos severos que amenacen
su supervivencia.
54
P035 Validar si ante una eventual catástrofe o incidencia, se conocen R-43 Tabla 51
y se tienen claras las rutas de escalamiento, para poder dar
continuidad al negocio
P036 Validar si se tiene controles de acceso a las diferentes áreas R-41 / R- Tabla 52
dentro de la empresa. 42
P038 Validar cual es el tiempo medio para cubrir un puesto de trabajo R-51 Tabla 54
de acuerdo a las diferentes categorías de empleados al
momento de reclutar.
P039 Validar las políticas que se tiene en marcha respecto del R-51 Tabla 55
reclutamiento interno y externo.
P041 Validar los planes tiene para cubrir las necesidades futuras de R-51 Tabla 57
recursos humanos en las diferentes áreas.
55
4.3.2 Diseño Pruebas de Auditoria
Las siguientes son pruebas que evaluaran el entorno de base de datos. La prueba P001 está
relacionada con las políticas de control de acceso a las bases de datos y verificara si existe fuga de
información por este motivo. Ver Tabla 17
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
56
Ingresar con el usuario entregado por el área IT y confirmar si se tienen validaciones de
ingreso erróneo.
Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo desde
la web.
Digitar erróneamente la contraseña 5 veces.
Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.
Se trabaja con el programa Asterisk key 10.0
Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base
de datos del VASP.
Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk
Key.
Capturar el resultado de la prueba.
La prueba P002 está relacionada con las políticas de creación de usuarios y contraseñas y
verificara si existe fuga de información por este motivo. Ver Tabla 18
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
57
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)
PROCEDIMIENTO A EMPLEAR
La prueba P003 está relacionada con las políticas de selección del personal y validar el
proceso el proceso para esto. Ver Tabla 19
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
DOCUMENTACIÓN: Contratos de 4 empleados.
58
Pruebas técnicas y psicotécnicas realizadas a los empleados.
PROCEDIMIENTO A EMPLEAR
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
59
DOCUMENTACIÓN: Instructivos, Procedimientos y Manuales entregados al personal para
capacitación.
PROCEDIMIENTO A EMPLEAR
La prueba P005 está relacionada con el contrato con el proveedor del servicio de
alojamiento y arrendamiento de los servidores. Ver Tabla 21
SMSAMERICAS
TIPO: Mixta
60
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
61
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB).
PROCEDIMIENTO A EMPLEAR
La prueba P007 está relacionada con el control de cambios y la validación de los procesos
establecidos para estos. Ver Tabla 23
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
62
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
La prueba P008 está relacionada con la documentación sobre la base de datos del Sistema
de Información VASP y validar que este actualizada. Ver Tabla 24
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
63
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PROCEDIMIENTO A EMPLEAR
Las siguientes son pruebas que evaluaran el entorno de redes y comunicaciones. La prueba
P009 está relacionada con garantizar que cada usuario se autentique al ingresar a la red empresarial
validando que cada uno tenga su propio identificador. Ver Tabla 25
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
64
PROCEDIMIENTO A EMPLEAR
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
65
PROCEDIMIENTO A EMPLEAR
La prueba P011 está relacionada con validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar comprobando la seguridad que se otorga. Ver
Tabla 27
Tabla 27 Prueba P011 Validar el Acceso a las Personas que Ingresan a las
Instalaciones y que Trabajos se Disponen a Realizar.
SMSAMERICAS
TIPO: Mixta
66
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
SMSAMERICAS
TIPO: Mixta
67
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
La prueba P013 está relacionada con la verificación de las políticas de acceso a internet
configuradas en el firewall comprobando los permisos otorgados. Ver Tabla 29
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
68
PROCEDIMIENTO A EMPLEAR
La prueba P014 está relacionada con los fallos en la conexión de red a causa de pérdida del
servicio por parte del proveedor verificando el servicio por parte del proveedor secundario. Ver
Tabla 30
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
69
PROCEDIMIENTO A EMPLEAR
La prueba P015 está relacionada con comprobar las configuraciones del firewall por parte
del proveedor confirmando su correcta configuración partiendo desde las necesidades dadas por
SMSAmericas. Ver Tabla 31
Tabla 31 Prueba P015 Comprobar las Configuraciones del Firewall por Parte del
Proveedor.
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
70
La prueba P016 está relacionada con la verificación del funcionamiento de la UPS siendo
esta un respaldo eléctrico instalado en la compañía. Ver Tabla 32
SMSAMERICAS
TIPO: Mixta
CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos equipos
mientras la luz se restaura.
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
71
Las siguientes son pruebas que evaluaran el entorno de seguridad lógica. La prueba P017
está relacionada con la verificación de los logs de los backups realizados para comprobar que se
estén realizando en los tiempos estipulado. Ver Tabla 33
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
72
La prueba P018 está relacionada con la verificación del procedimiento para las pruebas de
cambios en el código fuente. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
73
La prueba P019 está relacionada con la verificación del software instalado en los quipos de
computo sea el autorizado para el uso corporativo. Ver Tabla 35
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
Seleccionar algunos equipos de muestra y realizar la revisión en el panel de control,
programas y verificar el listado del software instalado.
Realiza una comparación entre el software encontrado y el aprobado por la compañía.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
74
La prueba P020 está relacionada con la revisión de las licencias del software instalado en
los equipos de cómputo. Ver Tabla 36
Tabla 36 Prueba P020 Revisar las Licencias del Software Instalado en los Equipos
de Cómputo.
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
Solicitar las licencias de cada software instalado en los equipos.
Compara la cantidad de licencias adquiridas con respecto a la cantidad de equipos o
usuarios que hacen uso de este software.
Realiza una verificación del tiempo de vigencia de las licencias.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
75
La prueba P021 está relacionada con la comprobación de la eliminación de archivos
temporales y obsoletos para la liberación del espacio en los servidores. Ver Tabla 37
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
76
Las siguientes son pruebas que evaluaran el entorno de compras y garantía de Hardware.
La prueba P022 está relacionada con la revisión del cubrimiento de la garantía de los equipos de
cómputo y su vigencia. Ver Tabla 38
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
77
La prueba P023 está relacionada con la confirmación de capacitación del personal de
soporte técnico de equipos de cómputo. Ver Tabla 39
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
78
La prueba P024 está relacionada con la revisión de las especificaciones técnicas de los
equipos de cómputo aprobados por la gerencia, necesarios para la labor en la compañía. Ver Tabla
40
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
Solicitar al jefe de operaciones las políticas para compra de equipos de cómputo y las
especificaciones que deben tener.
Solicitar al operador de sistemas una impresión de las especificaciones técnicas de un
computador. Información que se obtendrá desde la herramienta de información del
sistema.
Comparar las políticas con los reportes de información del sistema impresos.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
79
Las siguientes son pruebas que evaluaran el entorno de seguridad de instalaciones. La
prueba P025 está relacionada con la supervisión de los elementos de oficina, entregados a los
empleados. Ver Tabla 41
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
Solicitar al jefe de recurso humano el listado de los elementos de trabajo autorizados por
la gerencia para entregar a los empleados.
Solicitar al jefe de recurso humano los lineamientos de ergonomía y seguridad aprobados
para los elementos y equipos de trabajo entregados a los empleados.
Verificar que los equipos de oficina y computo cumplan con los estándares de
ergonomía y seguridad aprobados.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
80
La prueba P026 está relacionada con la confirmación del funcionamiento de la ventilación
de la oficina. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
81
La prueba P027 está relacionada con la verificación de la luminosidad de los diferentes
espacios de la compañía y las óptimas condiciones de funcionamiento. Ver Tabla 43
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
82
La prueba P028 está relacionada con la comprobación de las señalizaciones de emergencia
instalados en la compañía. Ver Tabla 44
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PROCEDIMIENTO A EMPLEAR
83
Las siguientes son pruebas que evaluaran el entorno de continuidad del negocio. La prueba
P029 está relacionada con la validación de los cargos y los procesos establecidos para la
continuidad del negocio. Ver Tabla 45
Tabla 45 Prueba P029 Validar los Cargos y los Procesos Establecidos para la
Continuidad del Negocio.
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar la cantidad de procesos de la empresa.
Validar los procesos que se tiene en cuenta para la continuidad del negocio.
84
La prueba P030 está relacionada con la validar que los proveedores y los distribuidores
principales aseguren la continuidad del negocio ante una catástrofe. Ver
Tabla 46 Prueba P030 Continuidad del Negocio por Parte de los Proveedores y
Distribuidores.
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar la cantidad de proveedores y distribuidores que tienen contrato con la empresa.
Revisar las condiciones de los contratos firmados de los principales proveedores y las
cláusulas que aseguran la continuidad del negocio.
Revisar las condiciones de los contratos firmados de los distribuidores y las cláusulas
que aseguran la continuidad del negocio.
Validar los costos de las cláusulas de incumplimiento de las dos partes.
Validar el tiempo de respuesta estipulado en el contrato para asegurar la continuidad del
negocio.
Validar si se tienen identificados los principales procesos que tiene para iniciar
operación.
85
La prueba P031 está relacionada con la validación de las estrategias para la mejora del
plan de continuidad del negocio. Ver Tabla 47
Tabla 47 Prueba P031 Verificar las Estrategias para la Mejora del Plan de
Continuidad del Negocio.
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar como se genera la aprobación de las estrategias de mejora del proceso del plan
de continuidad del negocio.
86
La prueba P032 está relacionada con la validación de la realización de los respaldos
periódicos de la información. Ver Tabla 48
SMSAMERICAS
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
87
La prueba P033 está relacionada con la validación del tiempo establecido para reanudar
las operaciones tras una interrupción. Ver Tabla 49
SMSAMERICAS
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
88
La prueba P034 está relacionada con la validación de la realización de los backups de la
información. Ver Tabla 50
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar si se tiene identificado los procesos a los que se les debe de realizar los Backups.
Validar las personas que están autorizadas para realizar los Backups.
89
La prueba P035 está relacionada con validar las rutas de escalamiento que se tienen en
caso de un eventual catástrofe o incidencia para dar con la continuidad del negocio. Ver Tabla 51
SMSAMERICAS
CONTROLES A PROBAR:
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar las rutas de escalamiento que encuentran en el plan de continuidad del negocio
ante una eventual catástrofe o incidencia.
Validar las personas que están autorizadas para poder realizar el proceso de
escalamiento.
90
La prueba P036 está relacionada con la validación de controles de acceso para cada una
de las diferentes áreas de la empresa. Ver
SMSAMERICAS
OBJETIVO DE LA PRUEBA: Validar los controles de acceso para cada de las diferentes áreas
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar las personas que están autorizadas para poder realizar el proceso de autorización
de cada área.
91
Las siguientes son pruebas que evaluaran el entorno de entrenamiento del personal. La
prueba P037 está relacionada con la validación de las actualizaciones de las descripciones y los
requisitos de los puestos de trabajo. Ver Tabla 53
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar las diferentes actualizaciones realizadas de las descripciones de los puestos de
trabajo.
92
La prueba P038 está relacionada con la validación del tiempo que toma cubrir los
diferentes cargos de un empleado en una vacante. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
93
La prueba P039 está relacionada con la validación de las políticas para el reclutamiento
de personal interno y/o externo. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Validar las políticas que se tienen establecidas para el reclutamiento interno y externo.
94
La prueba P040 está relacionada con la validación de los formularios de evaluación del
desempeño de los empleados de la empresa SMSAmericas. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Revisar los diferentes formularios que se tiene implementados para medir el desempeño
de las diferentes categorías de empleados.
Validar cual es el procedimiento que debe tener en cuenta la aprobación de los diferentes
formularios.
95
La prueba P041 está relacionada con la validación de los planes de acción que se tienen
para cubrir las necesidades de RH en las diferentes áreas. Ver
SMSAMERICAS
OBJETIVO DE LA PRUEBA: Validar los planes de acción que tienen para cubrir las
necesidades de RH en las diferentes áreas.
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Revisar los diferentes planes de acción que tienen hacia un futuro para contratar recurso
humano para los diferentes cargos.
96
La prueba P042 está relacionada con la validación de los procesos de capacitación de los
diferentes cargos. Ver
SMSAMERICAS
TIPO: Mixta
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
PROCEDIMIENTO A EMPLEAR
Revisar los procesos y la metodología del proceso de capacitación para cada cargo en las
diferentes áreas.
97
Luego de realizar estas pruebas se sigue con la ejecución de las mismas para evaluar cada
uno de los entornos. Para el caso de este plan, solo se realizará la evaluación de las pruebas y
ejecución del informe para el entorno de Bases de datos y servirá como muestra para la realización
en los demás entornos. Por lo cual desde el director IT o Jefe de Operaciones ya cuentan con las
herramientas para ejecutarlas y diagnosticar el estado actual de los procesos asociados al área de
Tecnología y al SI VASP. Por lo cual se recomienda iniciar por los entornos con mayor grado de
severidad de riesgo (Capacitación del Personal y Control de Seguridad Lógica).
98
Al abrir al programa Asterisk Key, se muestra la siguiente ventana. Ver Ilustración 2
99
4.3.3.2 BASE DE DATOS: P002
100
De igual manera de acuerdo a lo indicado por los empleados del área de sistemas, todos
ingresan con el usuario mansms.
101
4.3.3.3 BASE DE DATOS: P003
Se toma como ejemplo para la comparación del proceso de contratación a otra empresa del
sector de logística para el cargo de programador y se valida que en SMSAmericas el proceso es
más sencillo a pesar de no existir tantos controles a nivel de acceso a la información y a las
instalaciones. Ver Ilustración 7
PROCESO DE CONTRATACIÓN
102
4.3.3.4 BASE DE DATOS: P004
103
Ilustración 9 Documentación en Linea 2
104
Se toma como base el proceso de creación de servicios y debido a que no hay una interfaz
gráfica, se comprueba que se deben insertar los campos directamente en la base de datos, lo cual
ha ocasión problemas con varios servicios y operadores, ocasionando multas y pérdidas de
ingresos.
Se observa que hay procesos en cada servidor que se ejecutan automáticamente en las
noches (Horario de menor carga para los servidores), donde saca el backup diario y algunas tablas
son subidas a otro servidor inmediatamente y otra queda disponible para ser usada cuando se
requiera.
105
Se hacen backups a la tabla de Subscribers (Tabla de clientes), Message (Contiene el tráfico
de todos los mensajes que recibimos y que se envían por operador), Tornado (Tabla que almacena
los cobros diarios), algunas carpetas principales de los servidores. Ver Ilustración 11
106
y al ver la información de nuevo en base de datos, se ve de la siguiente manera. Ver
Ilustración 13
El primero consistió en modificar parte del proceso de envíos para uno de los operadores,
proceso que no altero directamente a la base de datos. Ver Ilustración 14
Y el segundo consistió en modificar algunos parámetros que se pasan a vistas para obtener
información desde la base de datos. Ver Ilustración 15
107
4.3.3.8 BASE DE DATOS: P008
No se tiene información formal del Modelo E/R, ni Diccionario de datos. Cualquier cambio
o implementación se debe hacer manualmente y en compañía del Jefe de Operaciones.
4.3.4 INFORME
Es por ello que SMSAmericas. debe de analizar, diseñar y restructurar sus procesos en base
a los hallazgos generados durante la auditoria principalmente realizada a la base de datos, ya que
al implementar dichas mejoras se garantiza la integridad, estabilidad de los procesos y continuidad
del negocio ante cualquier riesgo.
Dado esto, se evidencia que dentro del ambiente empresarial es de vital importancia contar
con información veraz, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se
constituya en una herramienta confiable para la toma de decisiones en SMSAmericas. Por ello se
identificaron los siguientes hallazgos y recomendaciones.
Se verifico que el acceso web a la base de datos desde una red externa esta validada
y permite limitar el acceso a personal no autorizado. Pero de igual manera al
108
permitir el acceso desde cualquier red se evidencia que la exposición de pérdida o
daño de la información es latente, por lo cual se recomienda.
o Restringir la base de datos a una red local.
o Agregar un proceso de identificación de intrusos que permita validar
ingresos no permitidos.
o Agregar un proceso de bloqueo de acceso después de 3 intentos erróneos.
o Establecer una política de cambio de la contraseña que no supere los 3
meses.
109
Se recomienda coordinar pruebas con el proveedor del servicio de alojamiento y
arrendamiento Tenzing en un ambiente controlado, con el fin de evaluar si lo
estipulado en las clausulas se cumplen a cabalidad o si por el contrario existe el
riesgo de pérdida de información y de continuidad del negocio.
110
5 CONCLUSIONES Y RECOMENDACIONES
Se realizó un diagnostico a gran parte del Sistema de Información VASP gracias a las
encuestas que se aplicaron a personas que tiene uso continuo de este SI. La información obtenida
no es muy extensa ya que como se ha mencionado constantemente en este documento, los procesos
y procedimientos no están documentados; pero fue de mucha ayuda para levantar información
base, para poder iniciar a la empresa SMSAmericas en el mundo de los estándares internacionales
y las buenas prácticas como COBIT 5.
Se diseñó un plan de auditoria que ataca a todos los riesgos encontrados en el análisis de la
información, pero solo se hace una evaluación de este plan al entorno de base de datos, ya que este
es el proceso más importante, uno de los entornos con calificación de riesgo más alto y donde se
encuentra la mayoría de información vital de la empresa (Uno de sus principales activos). Al
finalizar la evaluación se hace entrega del informe de auditoría arrojado por dicha evaluación y se
hacen unas recomendaciones a la alta gerencia para mitigar todos los hallazgos encontrados. Así
111
mismo se recomienda a SMSAmericas hacer uso de las buenas prácticas de COBIT 5 para
implementarlas en todos los procesos y procedimientos de la compañía para hacer que sea más
competente en el mercado actual.
112
BIBLIOGRAFÍA
Instituto de Auditores Internos. (13 de 10 de 2012). Gestión Integral de Riesgo / Sistema de Control
Interno . Obtenido de
http://www.unjbg.edu.pe/transparenciainst/pdf/131012sistemacontrol.pdf
113
Wikipedia. (18 de 09 de 2016). Google Sites. Obtenido de
https://es.wikipedia.org/wiki/Google_Sites
114
ANEXOS
Anexo 1 Cuestionarios
115
¿En caso de que el equipo principal sufra una avería, existen equipos X
auxiliares?
¿Cuándo se necesita restablecer la base de datos, se le comunica al X
administrador?
¿Se lleva a cabo una comprobación, para verificar que los cambios
X
efectuados son los solicitados por el interesado?
¿Se documentan los cambios efectuados? X
¿Hay algún procedimiento para dar de alta a un usuario? X
¿Hay algún procedimiento para dar de baja a un usuario? X
¿Es eliminada la cuenta del usuario en dicho procedimiento? X
¿El motor de Base de Datos soporta herramientas de auditoría? X
¿Existe algún plan de contingencia ante alguna situación no deseada en
X
la Base de Datos?
¿Existen logs que permitan tener pistas sobre las acciones realizadas
X
sobre los objetos del base de datos?
116
¿El cable cuenta con los recorridos horizontales correctos para el
X
backbone y sus subsistemas?
¿El cableado estructurado del interior del edificio viaja dentro de X
canaleta ocon
¿Cuenta ducto?
dispositivo firewall físico para protección y X
aseguramiento
¿Las direcciones deIP´S
la red?
de los equipos de cómputo son implementadas X
de forma fija?
¿Cuentan con conmutadores en red, para la expansión de redes X
locales?
¿Se tiene conexión a tierra física para protección de equipos ante
X
posibles descargas eléctricas que puedan afectar?
¿Cuenta con dispositivos para la regulación del voltaje? X
Se tiene implementado un sistema de control de acceso a los centros
X
de cableado y dispositivos
¿Los equipos se encuentran instalados en áreas con temperaturas
X
adecuadas para su funcionamiento?
¿Esta implementado un modelo de QoS en la red? X
¿La red cuenta con los equipos y aplicaciones (protección) necesarias
X
para tener un mayor resguardo de intrusos activos (hackers)?
¿Existen planes de contingencia y continuidad que garanticen el buen
X
funcionamiento de la red?
¿Las terminaciones del cable de red están correctamente configuradas X
en
¿Sebase al código
tienen de colores
suficientes nodos de
en los pares
la red paratrenzados?
conectar todos los equipos
X
que lo requieren?
¿Cuenta con un análisis de vulnerabilidades en la implementación y
X
configuración de los dispositivos de red?
¿Los datos que viajan por internet se encuentran cifrados? X
En cuanto a las pruebas del cableado, ¿el departamento de TI, genera
sus propios ataques para probar la solidez de la red y encontrar X
posibles fallas?
Cuentan con administración interna de la red, es decir, ¿cuentan con
VLAN’s creadas en el servidor para tener una mayor administración X
en cada una de las oficinas que se dedican a diferentes actividades?
Para evitar vulnerabilidades en las WLAN ¿Usan protocolos de
X
autenticación, como está establecido en el estándar IEEE 802?11?
¿La cantidad de dispositivos Access Point es la adecuada en función
del número de usuarios que se conectan, como lo establece el estándar X
802?11?
¿La red inalámbrica proporciona velocidades de transmisión de
X
54Mbps en distancias cortas?
117
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Seguridad Lógica e Informática 003
Manejo de Información y
Dominio
elementos
Proceso Seguridad de la Información
Objetivo de Control Seguridad de la Información
Cuestionario
Pregunta SI NO N/E
¿Existen metodologías de respaldo de información? X
¿Se realizan respaldos de información periódicamente? X
¿Existe un administrador de sistemas que controle las cuentas de
X
los usuarios?
¿Existe algún estándar para la creación de contraseñas? X
¿Las contraseñas cuentan con letras, números y símbolos? X
¿Se obliga, cada cierto tiempo a cambiar la contraseña? X
¿La organización cuenta con un proceso para dar mantenimiento
X
preventivo al software?
¿La organización cuenta con un proceso para dar mantenimiento
X
correctivo al software?
¿Se tienen software antivirus instalados en los equipos de cómputo? X
¿Cuentan con antivirus actualizado? X
¿Se tienen instalados anti malware en los equipos de cómputo? X
¿Cuenta con licencias de software? X
¿Existe un proceso para mantener las licencias actualizadas? X
¿Existe un proceso para adquirir nuevas licencias? X
¿Se sanciona al integrante del departamento si instala software no X
permitido?
¿Los usuarios de bajo nivel tienen restringido el acceso a las partes
X
más delicadas de las aplicaciones?
¿Realizan mantenimiento preventivo al equipo de cómputo? X
¿Realizan mantenimiento correctivo al equipo de cómputo? X
¿El equipo de cómputo cuenta con suficiente espacio en HD en
X
función de los servicios que otorga?
¿El equipo de cómputo cuenta con suficiente memoria RAM en
X
función de los servicios que otorga?
118
¿La velocidad del procesador es el adecuado para los programas
X
que son utilizados en los equipos?
119
Empresa: SMSAMERICAS R/PT
Cuestionario de Control y seguridad Instalaciones y 005
Cubículos
Dominio Entrega de Servicios y Soportes
Proceso Administración de Instalaciones.
Instalaciones, adecuaciones y
Objetivo de Control
seguridad
Cuestionario
Pregunta SI NO N/E
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas
o adaptadas específicamente para funcionar como un centro de X
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal
X
que facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma
X
que permita una circulación fluida?
¿Existen lugares de acceso restringido? X
¿Se cuenta con sistemas de seguridad para impedir el paso a
X
lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de
X
humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia
X
y se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el X
centro de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de
X
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga
X
equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de X
trabajo?
¿Son funcionales los muebles instalados dentro del centro de
cómputo: ¿cinto teco, Discoteca, archiveros, mesas de trabajo, X
etc.?
¿Existen prohibiciones para fumar, consumir alimentos y X
bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que
X
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones? 2 VECES POR SEMANA
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara
X
de aire que existe debajo del piso falso (si existe)?
120
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Impacto Ambiental 006
Dominio Entrega de Servicios y Soportes
Protección contra Factores
Proceso
Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/E
¿El centro de cómputo tiene alguna sección con sistema de X
refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles X
ambientales?
¿Se tiene contrato de mantenimiento para los equipos que
X
proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de X
aire?
¿Con cuanta frecuencia se limpian los filtros de aire? X
¿Se tiene plan de contingencia en caso de que fallen los X
controles
¿Se cuentaambientales?
con políticas claras y definidas al finalizar la vida útil
X
de los elementos informáticos que se dan de baja?
121
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 008
Dominio Planear y Organizar
Proceso
Evaluar y Administrar Los Riesgos de
Objetivo de Control
TI
Cuestionario
Pregunta SI NO N/E
¿Cuenta el Departamento de Sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso de X
emergencias?
¿Cuenta con un marco de trabajo de administración de Riesgos? X
¿Saben cómo medir el impacto el impacto potencial negativo
X
sobre las metas o las operaciones de la Empresa?
¿Cuentan con un proceso de respuesta ante la materialización de
X
un riesgo, que aseguren un bajo costo apara la empresa?
¿Tienen bien definidas las prioridades y las planeaciones de las
actividades de control a todos los niveles para implementar una X
respuesta a los riesgos?
122
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 010
Dominio Entregar y dar soporte
Proceso
Administrar la Mesa de Servicios y
Objetivo de Control
los Incidentes
Cuestionario
Pregunta SI NO N/E
¿En qué lapso de tiempo resuelve un incidente reportado por un X
usuario?
Observación: Se trabaja para solucionarlo en el menor tiempo posible.
¿Con cuanta frecuencia le reportan fallas en los servicios? Media
¿Con cuanta frecuencia le reportan fallas en las aplicaciones? Media
¿Con cuanta frecuencia le reportan fallas en la infraestructura? Baja
¿Cuenta con un mecanismo para medir la velocidad promedio
X
para responder a las peticiones de los usuarios?
Observación: Se cuenta con una herramienta la cual permite registrar las actividades diarias por persona
y cuánto tiempo toma resolverla.
¿Con que frecuencia abandona las llamadas por incidencia de Baja
los usuarios?
¿Cuenta con alguna herramienta para responder a consultas de X
los usuarios?
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 011
Dominio Entregar y dar soporte
Proceso
Objetivo de Control Administración de Operaciones
Cuestionario
Pregunta SI NO N/E
¿Qué tipos de procedimientos estandarizados, actualizaciones de
programas manejan?
¿Cómo hacen la programación de las tareas de procesos y las
X
secuencias de los procedimientos que deben implementarse?
Observación: Se revisan las solicitudes, sus prioridades y se
asignan a alguna de las personas del equipo.
¿Tipos de procedimientos para monitorear la infraestructura de X
TI?
¿Qué tipo de inventarios realizan para la administración de
X
adecuada sobre los activos de TI?
¿Cada cuánto dan mantenimiento oportuno a la infraestructura
X
para reducir las fallas en el desempeño?
123
124