Post on 03-Feb-2016
description
AUDITORIA DE SISTEMAS 90168A_224
ESTUDIANTES:
LUKDARY ABRIL RUEDA Código. 1091653.080
ZULLY KATERIN MALAGON Código. 1069748343
GUSTAVO ALEXANDER DUARTE Código: 1069740689
BRAYAN MAURICIO GONZALEZ Código: 1069741819
SONIA LUZ GOMEZ Código: 1098640210
ING-CARMEN EMILIA RUBIO-TUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
COLOMBIA
SEPTIEMBRE DE 2015
TABLA DE CONTENIDO
INTRODUCCION...........................................................................................................................................3
OBJETIVOS...................................................................................................................................................4
General:..................................................................................................................................................4
Específicos:..............................................................................................................................................4
CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS..................................................................................5
IMPORTANCIA DE LA AUDITORIA INFORMATICA......................................................................................10
Conclusiones.........................................................................................................................................11
PLAN DE AUDITORIA.................................................................................................................................13
ESTÁNDAR COBIT 4.1................................................................................................................................19
PROGRAMA DE AUDITORIA.......................................................................................................................20
CONCLUSIONES.........................................................................................................................................24
REFERENCIAS BIBLIOGRÁFICAS.................................................................................................................25
INTRODUCCION
Con el presente trabajo identificaremos los elementos más relevantes de la auditoria de sistemas
y analizaremos el plan de auditoria de una de las empresas más importantes a nivel nacional
como lo es Servientrega que de aquí se desglosan diferentes interrogantes para analizar un buen
plan de auditoria.
OBJETIVOS
General:
Identificar los conceptos principales de la auditoria de sistemas e identificar las técnicas que se
utilizan en un proceso de auditoría.
Específicos:
Comprende los conceptos de vulnerabilidad, amenaza y riesgo y los aplica en las
empresas en el proceso de auditoría.
Establece las técnicas que se pueden aplicar en un proceso de auditaje.
Elabora el plan de auditoría
Elabora el programa de auditoría
DESARROLLO DEL TRABAJO
CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOSA
CT
IVO
D
E
VULNERABILIDAD AMENAZAS RIESGOS
HA
RD
WA
RE
-Falta de configuración de respaldos o equipos de contingencia.
-Sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.
- Falta de equipos de contingencia.
- Falta de planta eléctrica en caso ausencia de luz.
- Falta de mantenimiento preventivo.
- Los componentes de hardware del sistema no son apropiados y no cumplen los requerimientos necesarios.
- Existen componentes de hardware que necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo contrario se acortara su vida útil.
-Descuido y mal uso de los componentes.
- Daños y pérdidas de los equipos.
- Sobre carga eléctrica de equipos.
- Daño de hardware o interrupción de los sistemas informáticos.
- Retraso en los procesos debido a la lentitud de los equipos.
- Suspensión del servicio.
- Perdida de trabajo e información.
SO
FT
WA
RE
-Configuración e instalación indebida de los programas.
-ausencia de actualización.
-Sistemas operativos mal configurados y mal organizados
-Ejecución de macro virus
- Programas sin licencia.
- Ausencia de antivirus.
-Software malicioso, también conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spyware, usan con fines fraudulentos.
-Código malicioso, esto incluye virus, gusanos informáticos, bombas lógicas y otras amenazas programadas.
- El Software no cumple con los estándares de seguridad requeridos pues nunca fue diseñado para dar soporte a una organización.
-Salida de información por accesos no autorizados.
-Manejo indebido de los datos por accesos no autorizados
-Interrupción de procesos por caídas en el sistema
-Daños al software y sistema operativo de los equipos de la empresa
- Daños a los programas.
- Violación a la confidencialidad de la información por parte de terceros.
- Sanciones por utilización de software pirata.
RE
DE
S
-Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas.
-Fallas en la inscripción de la información.
-Infraestructuras obsoletas
-Puertos abiertos sin uso
-Contraseñas poco seguras, propenso a robo de información.
- Errores en los canales de comunicación.
- Restricciones de accesos a la web.
-la red de comunicación no está disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso.
-Incumplimiento de las normas de instalación de la red.
-Intercepción y extracción de datos o señales
-Ataques de Contraseña
- Intercepción y extracción de datos o señales
- Virus por acceso a páginas perjudiciales.
-Fuga de información por posible implantación de Malware
-Caída de servicios por obsolescencia de los equipos
-Pérdida de Integridad de la información por acceso no autorizado
- Daños en el sistema
CO
MU
NIC
AC
ION
ES
-Exceso de líneas telefónicas y de datos que no están en uso.
-Información no disponible para los usuarios.
-Datos personales de los empleados expuestos al público
-Pocas restricciones en el contenido del servicio de internet
-Intercepción de señales
- Ataques de interrupción (corte de líneas telefónicas y de datos)
-Fallas en el fluido eléctrico.
-Incomunicación total
- Retraso en los procesos debido a la lentitud de los equipos
SE
GU
RID
AD
FÍS
ICA
-instalaciones inadecuadas del espacio de trabajo
-ausencia de recursos para el combate a incendios
-disposición desorganizada de cables de energía y de red
-malas prácticas de las políticas de acceso de personal a los sistemas.
-uso de medios físicos de almacenamiento de información que permitan extraer datos del sistema de manera no autorizada
-ausencia de identificación de personas y de locales
- Malas condiciones de la planta física.
-Ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones
-Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracane.
-Robos
-Sabotajes y destrucción de sistemas
-Perdida de objetos hardware y de información debido al fácil acceso a los mismos.
-Daño de elementos físicos (PC’s, cámaras, etc.)
- Lesiones a las personas y a las instalaciones.
- Perdida de dinero
SE
GU
RID
AD
LÓ
GIC
A
-Errores de diseño y programación de redes y sistemas de información
-Configuraciones por defecto en los S.O
-Fallo en actualizaciones del S.O
-Falla en las restricciones del servicio de internet
-No tiene software antispyware
-Contraseñas y usuarios poco seguros en dispositivos de comunicación
- Falta de software y hardware para la realización de backups.
-Malware (virus, troyanos, gusanos informáticos, bombas lógicas, etc.)
-Escaneo de puertos, protocolos y servicios-Spam-Spyware-Software incorrecto-Canales cubiertos
- Fallas en los discos duros y servidores.
-Fuga de información
-Modificación de datos
-Perdida de información
-Manipulación no autorizada de datos
-Imagen negativa de la organización
PE
RS
ON
AL
DE
L Á
RE
A
-falta de capacitación y concienciación.
-negligencia en el seguimiento de las políticas de seguridad.
-mal uso del equipo de cómputo.-Desconocimiento de medidas básicas de seguridad del área de T.I
-Fallas de seguimiento en el monitoreo
-Ataques de suplantación (Spoofing)
-Robo
-Perdida de información confidencial por acceso no autorizado
-Retraso en la prestación de servicios de T.I
IMPORTANCIA DE LA AUDITORIA INFORMATICA
La auditoría de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias
para determinar si un sistema de información protegiendo el activo Servientrega S.A,
manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la
empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones
establecidas.
La Auditoria informática nos Permite detectar de forma sistemática el uso de los recursos y los
flujos de información dentro de la empresa, determinando qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan los flujos de información eficientes.
La auditoría de sistemas tiene 2 tipos, son:
Auditoria Interna: es la que está dentro de la empresa; sin contratar a personas de afuera. Puede
ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestión.
Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de
afuera para que haga la auditoria en su empresa.
Auditar consiste especialmente en estudiar los componentes de control que están implantados en
una empresa, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución
de los mismos. Los componentes de control pueden ser directivos, preventivos, de detección.
Entre sus beneficios también se encuentra: Mejorar la credibilidad de la empresa, generar
confianza a los clientes sobre la seguridad y control de las operaciones, disminución de costos al
prevenir pérdidas y realizar un control sobre las inversiones que se realizan en el área
informática.
Siendo así, se puede afirmar que el buen funcionamiento de una empresa depende del control
que se tiene sobre la evaluación de sus sistemas e infraestructura tecnológica, puesto que en la
actualidad las organizaciones estructuran su información en sistemas de tecnología informática y
debido a esto es fundamental que funciones de manera óptima y sin interrupciones para una
mejor productividad en la empresa.
Conclusiones
La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y software).
Analizando acerca de todos los elementos que componen “La empresa servientrega S.A”,
tanto materiales como humanos, me doy cuenta que auditar una Empresa u organización,
no es nada fácil, ya que si falla un elemento del que se compone, trae consigo un efecto
domino, que hace que los demás elementos bajen su rendimiento, o en el peor de los
casos sean causantes del fracaso en la empresa.
Pensaba que lo más importante para una empresa era el equipo informático con el que se
trabaja, pero, lo más importante es el factor humano, ya que si se cuenta con tecnología
de calidad, pero con personal no calificado, las cosas no serán iguales
Es importante realizar auditorías, ya que en una empresa los activos que son blanco de
espionaje son los activos informáticos, y de no ser evaluados se podría perder la
seguridad en los sistemas, generando robo de información o información errónea, lo que
a su vez puede generar más problemas a las demás aplicaciones. Así mismo un sistema
de información mal diseñado representa una herramienta peligrosa para la gestión y
coordinación de los procesos de la empresa
La auditoría de sistemas toma importancia en el desarrollo de las empresas puesto que
contribuye a evaluar y garantizar el buen funcionamiento de los activos tecnológicos
involucrados en el desarrollo de los procesos, no solo detectando sus errores, sino
evaluando y mejorando su eficiencia y eficacia
PLAN DE AUDITORIA
Antecedentes:
La empresa de Servientrega S.A, se realiza periódicamente un plan de seguimiento a todos los
procesos técnicos que se desarrollan dentro de sus dependencias, esto debido a que las se
requiere la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario
realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.
Objetivos
Objetivo general:
Analizar y Evaluar los controles, sistemas de los equipos de cómputo, su utilización, eficiencia,
utilidad, confianza, privacidad y disponibilidad en el ambiente informático y seguridad de
personal, datos, hardware, software e instalaciones, de la organización que participan en el
procesamiento de la información. A fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá para
una adecuada toma de decisiones. Presentes en la empresa Servientrega S.A
Objetivos específicos:
- Objetivos de la auditoria de sistemas
- Asegurar una mayor integridad, confidencialidad de la información mediante la
recomendación de seguridades y controles.
- Seguridad de personal, datos, hardware, software e instalaciones.
- Apoyo de función informática a las metas y objetivos de la organización.
- Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informático.
- Minimizar existencias de riesgos en el uso de Tecnología de información.
- Decisiones de inversión y gastos innecesarios
- Capacitación y educación sobre controles en los sistemas de información Comprobar la
existencia de controles internos en la empresa Servientrega S.A.
- Presentar a la empresa la información sobre los hallazgos y observaciones como
resultado del plan de auditoria.
Alcance y delimitación
La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los
sistemas de información y tecnologías de comunicación y el talento humano, con el fin de
observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y así optimizar
el uso de los recursos para brindar un buen servicio a los clientes.
Mediante la ejecución de la auditoria se sistemas se pretende evaluar:
Las normas de control, técnicas y procedimientos que se tiene establecidos en la empresa para
lograr confiabilidad, seguridad y confidencialidad de la información que se procesa a través del
sistema de aplicación que se esté utilizando.
Además esta Auditoria de sistemas mostrará las novedades analizadas en el área informática, en
la empresa de Servientrega S.A, para que sus administradores sean quiénes tomen los
correctivos y políticas aplicables que con lleven al logro de objetivos propuestos en caso de que
así se lo requiera dicho dictamen. Dentro de la Auditoria se realizará un análisis sobre los
sistemas y redes de conexión.
Es importante destacar que con la ejecución de esta auditoría, Servientrega S.A. no solo podrá
tener identificados los riesgos a los procesos del área de sistemas, sino que también podrá
comprobar la calidad y capacidad de su infraestructura tecnológica y sus sistemas de
información.
Justificación
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e
información.
Descubrimiento de fraudes efectuados con el computador y Falla de una planificación
informática.
Falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada
administración del Recurso Humano y Descontento general de los usuarios por incumplimiento
de plazos y mala calidad de los resultados.
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en producción.
Herramientas propuestas para la evaluación
Cuestionarios
Entrevistas
Formularios Checklist
Inventarios del área informática
Reporte de bases de datos y archivos
Software de interrogación (“Paquetes de auditoria”)
Fotografías
Diseños de flujos y de la red de información
Planos de distribución e instalación del centro de cómputo y los equipos
Certificados, garantías y licencias del software
Historial de cambios y mejoras de los recursos informáticos
Determinación de recursos de la Auditoría Informática
Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoría.
Recursos humanos
Recursos materiales
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software:
Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se
añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de
Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los
procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresoras
ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del
personal seleccionado dependen de la materia auditable.
Actividades Septiembre Octubre Noviembre13-19 20-26 27-3 4 - 10 11-17 18-24 25 - 1 1 - 7 8 - 14 15-21 22-28
Elaboración del plan de auditoria, concertación de objetivos y definición de recursos a utilizarElaboración de cuestionarios e instrumentos de evaluaciónEvaluación de situaciones deficientes y observación de los procedimientosRevisión de funcionalidad de sistemas de información, redes e infraestructura tecnológicaAnálisis de los resultados obtenidosDefinición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejoraEvaluación del cumplimiento de los objetivos de la auditoriaRedacción del informe finalPresentación del informe de auditoria
Cronograma de actividades
ESTÁNDAR COBIT 4.1
El cubo COBIT representa los diferentes componentes necesarios para el exitoso desempeño del
área de TI de una organización y en especial muestra los diferentes componentes que
corresponden a cada una de las caras fundamentales, donde se tienen los requerimientos de
negocio que es el grupo de necesidades que se deben solventar, los recursos de TI que son las
herramientas con las que se cuenta y los procesos de TI que es la organización y los
procedimientos que se realizan para solucionar los requisitos con los recursos.
COBIT 4.1 es una actualización significativa del marco mundial aprobado que asegura que las
TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y
sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible del
COBIT 4.0 y puede usarse para perfeccionar el trabajo basado en versiones anteriores de
COBIT. COBIT ayuda a las organizaciones a reducir riesgos en el manejo de las TI e
incrementar el valor derivado de su uso. Las actualizaciones en COBIT 4.1 incluyen: avances en
la medición del desempeño; mejores objetivos de control; y una excelente alineación entre
objetivos de negocio y de TI.
PROGRAMA DE AUDITORIA
De los 34 objetivos de control generales descritos en el estándar COBIT versión 4.1, se
seleccionan los siguientes dominios y procesos, tomando como base los objetivos y el alcance
definidos anteriormente en el plan de auditoria:
Dominio: Planear y organizar:
Proporciona dirección para la entrega de soluciones y la entrega de servicio
Procesos:
PO2 Definir la arquitectura de la Información:
Objetivo: El objetivo es satisfacer los requerimientos de la organización, en cuanto al
manejo y gestión de los sistemas de información, a través de la creación y
mantenimiento de un modelo de información de la organización.
PO3 Determinar la dirección tecnológica:
Objetivo: El objetivo es aprovechar al máximo de la tecnología disponible o tecnología
emergente, satisfaciendo los requerimientos de la organización, a través de la creación y
mantenimiento de un plan de infraestructura tecnológica.
PO9 Evaluar y administrar los riesgos de TI:
Objetivo: El objetivo es asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI, mediante la participación de la propia
organización en la identificación de riesgos de TI y en el análisis de impacto, tomando
medidas económicas para mitigar los riesgos.
Dominio: Adquirir e implementar
Proporciona las soluciones y las pasa para convertirlas en servicios
Procesos:
AI4 Desarrollo y mantenimiento de procedimientos:
Objetivo: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones
tecnológicas establecidas, mediante la realización de un enfoque estructurado del
desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos
de servicio y material de entrenamiento.
AI6 Administración de los cambios:
Objetivo: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores, mediante un sistema de administración que permita el análisis,
implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.
Dominio: Entregar y dar soporte:
Recibe las soluciones y las hace utilizables por los usuarios finales.
Procesos:
DS5 Garantizar la seguridad de sistemas:
Objetivo: El objetivo es salvaguardar la información contra uso no autorizados,
divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que
aseguren que el acceso a sistemas, datos y programas está restringido a usuarios
autorizados.
DS6 Educar y entrenar a los usuarios:
Objetivo: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la
tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando
un plan completo de entrenamiento y desarrollo.
DS11 Administrar los problemas:
Objetivo: El objetivo es asegurar que los datos permanezcan completos, precisos y
válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
DS12 Administrar el ambiente físico:
Objetivo: El objetivo es proporcionar un ambiente físico conveniente que proteja al
equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la instalación de controles físicos y
ambientales adecuados que sean revisados regularmente para su funcionamiento
apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.
Dominio: Monitorear y evaluar
Monitorear todos los procesos para asegurar que se sigue la dirección provista
Procesos:
M1 Monitorear y evaluar el proceso de TI:
Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos
de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte así como la atención
regular a los reportes emitidos.
CONCLUSIONES
Todos nos enfocamos hacia el mismo punto de vista para la realización del cuadro, ya
que con distintas palabras pero el mismo enfoque evaluamos las vulnerabilidades,
amenazas y riesgos que se pueden presentar en la empresa Servientrega.
La importancia de un buen plan de auditoria de sistemas ayuda a prevenir cualquier tipo
de inconveniente que se presente en el sistema y que pueda atentar contra la integridad
de los datos.
El plan de auditoria debe realizarse bajo muchos parámetros y condiciones para que
funcione adecuadamente y se cumplan sus objetivos
REFERENCIAS BIBLIOGRÁFICAS
Adolfo J. Araujo J. (2011). Vulnerabilidad y amenazas. 2015, de blogspot Sitio web: http://inf-tek.blogspot.com/2011/11/82-amenazas-informaticas.html
Muñoz, Razo Carlo. (2002). Aspectos generales de auditoria. 2009, de Pearson educación Sitio web: http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_GGGG.pdf
Nubia Fernández Grajales. (2005). Importancia de la auditoría informática en las organizaciones. Cómputo Académico UNAM, 43, 2. 2008, De Entérate Base de datos.
Cristian Avilés. (2013). Auditoria informática. 2014, de blogspot Sitio web: http://icci-auditoria-informatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.html
Falconí, O. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas. (Spanish). Contabilidad Y Negocios, 1(2), 16-20 Sitio web: http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
IT Governance Institute. COBIT 4.1. 2007, Recuperado de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Francisco N. Solarte S. COBIT (Objetivos de Control para la información y Tecnologías relacionadas). 2011, sitio web: http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html
Blaikie, Piers et al. (1996) Vulnerabilidad: El Entorno Social, Político y Económico de los Desastres. La Red. IT Perú. Tercer Mundo Editores, Colombia.
Cuny, Fred. (1983) Disasters and Development. Oxford University Press