AUDITORIA DE SISTEMAS

SHIRLEY YESENIOA AMAYA

IVAN DARIO MATIZ BERNAL

1032364396

UNIVERSIDAD UNAD
FACULTAD DE INGENIERIA DE SISTEMAS

AUDITORIA DE SISTEMAS
BOGOTA D.C

05 DE MARZO DE 2014
CONTENIDO

OBJETIVOS
Objetivo General
Objetivo Especficos
ANALISIS VULNERABILIDADES, RIEGOS, AMENAZA
Acceso a Internet
Almacenamiento De Datos:
Modificacion al Hardware y Software:
Medidas de Control:
Directrices de Correo Electronico:
Directrices de Correo Electronico:
Directrices de Contraseas Seguras:
CUADRO VULNERABILIDADES, RIESGOS, AMENAZAS
PLAN AUDITORIA DE SISTEMAS
Objetivos
Objetivos Especificos
Etapas de Trabajo

Recursos Fisicos:
Recursos Tecnologicos
Recursos Economicos:

Cronogram De Actividades

COBIT
Dominios:
Requerimiento De Negocio:
Recursos IT:

CONCLUSIONES
REFERENCIAS BIBLIOGRAFICAS INTRODUCCION

El presente trabajo comprende sobre la revisin y evaluacin de procesos, enfocados a la

eficiencia de auditoras que permiten identificar puntos favorables para un mantener un apropiado
aseguramiento de la informacin, debido a esto las auditorias son de gran importancia puesto que
no solo se basa en el hecho de encontrar puntos favorables sino tambin de encontrar puntos de

riesgos los cuales sean mitigados de manera pronta que finalmente son aplicados en el buen uso,
desempeo y optimizacin de las empresas las cuales lo aplican de manera regular.

OBJETIVOS

Objetivo General

El presente trabajo tiene como objetivo analizar los procesos propuestos para la auditoria y las
principales nociones presentadas en el primer espacio del curso.

Objetivo Especfico

Realizar un cuadro que permita comprender los principales vulnerabilidades, riegos, y

amenzas existentes sobre la realizacion de la auditoria.

Analizar y comprender la importancia de los controles que nos proporciona las auditorias
asi mismo minimizando el riegso de evitar las malas desiciones administrativas en
beneficio que estas sean acertivas dentro de las operaciones internas.

Comprender de manera clara las normas COBIT en los procesos de auditoria en los niveles
organizacionales en los cuales se enfoca estos contrales.

INTRODUCCION

Actualmente la auditora de sistemas se encuentra catalagoda en un concepto mal infundado en

el cual se cree que solo se aplica para deterctar errores y fallamas, sin embargo este concepto esta
muy lejano de lo que realmente se quiere y trata en una auditoria de sistemas, ya que tiene como
proposito integral generar aporte consecuentes en la construccion de un mejro servicio y la practica
adecuada de la integridad de la informacion. En cualquier organizacin seria actual las areas de
TI estan sometidas a controles de calidad para que lso datos de ingreso no sean erroneos,
preservando de esta manera asi que un sistemas sin control pueda generar mayores daos o costos
dentros de la gestin o la organizacin.

Para mantener un control adecuado de los procesos y las gestiones es necesario llevar una
auditoria anual, de esta manera los controles

permiten el desarrollo y generando multiples

condiciones de cambio y perfecccionamiento odenado para las empresas que la involucren dentro
de sus gestiones, y que traves de tecnicas y procedimientos aplicados internamente es posible
evaluar en pro de un desarrollo oportuno en la busquedad de objetivos, de esta manera la toma de
desiciones no generar un grado alto de dependencia asi mismo como una elevada inversion de las
mismas.

ANALISIS VULNERABILIDADES, RIEGOS, AMENAZAS

La empresa seleccionada para esta revisin es Sonda De Colombia es una empresa latino
Americana de Servicios De Tecnologia (TI), que provee soluciones intengrales,. capaz de hacerse
cargo de los problemas mas simples y especificos, unificando la vision de los clientes y estrategias
con una solida posicion financiera ante el mercado.

Mision: Agregar valor a sus clientes mediante el mejor uso de las tecnologas de
informacin, a travs de la provisin de servicios y soluciones de calidad que apoyen su
gestin productiva y empresarial

Visin: Ser la empresa integradora de soluciones informticas, con capacidad tcnica y

financiera para atender proyectos de gran envergadura, combinando tecnologas con los
ms confiables servicios en todo el pas.

Sonda De Colombia cuenta con una sede principal en bogota Av Carrera 45 (Autopista Norte)
No 118-68, en las cuales existe un un centro de computo con condiciones fisicas y ambientales
requeridas en donde se tienen, plantas telefonicas para manejo de mesas de ayuda, servidores de
datos, ups, y equipos de comunicaciones.

Acceso a Internet: La informacion contenida en cada uno de los equipos de sonda es propiedad
de Sonda De Colombia S.A y debe tratarse con integridad y responsabilidad, cada usuario puede
ser monitoreado a traves de herramientas de control como LS (Lansweeper) y pueden ser rastreado
en busca de vulnerabilidades del sistema, debido a esto el acceso esta sujeto a condiciones estrictas
y reglas que velen por el buen uso de estas, tales como;

No descargar software sin autorizacion

Herramientas que no posean licenciamiento

Enviar o almacenar informacion en herramientas no autorizadas como cloud, correos

externos, ftp.

Almacenamiento De Datos: Cada usuario tiene la responsabilidad de clasificar su informacin,

aunque la informacion de los equipos no es tan relevante como la alojada en los servidores,
anualmente y el uso de la intranet permiten determinar el almacenamiento de la informacion critica
como es la administracion de proyectos.La informacion almacenada en los equipos puede ser
salvaguardada ante el retiro de un empleado de ser ncesario.

Modificacion al Hardware y Software: Los usuario estan sujetos a velar y mantener los recurso
en buen estado entre los cuales estan sujetos a los siguiente;

No hacer modificaciones en los equipos para realizar pruebas.

Instalar software sin licenciamiento

Descargar software no autorizado

Almacenar informacion personal tal como. Musica, videos, juegos que impliquen alguna
violacion hacia las normas de derecho de uso copyright o legalidad

Instalar unidades externas o usb de procedencia dudosa.

Medidas de Control: El departamento de TI con el fin de asegurar la diponibilidad, integridad,

confidencialidad de la informacion establece lo siguiente:

Monitorear cualquier recurso conectado a la red con el fin de mantener un control sobre
la informacion.

Eliminar software que genere vulnerabilidades sobra la seguridad informatica.

Habilitar o inhabilitar privilegios de usuarios si se ve en riesgo o amenaza la seguridad.

Bloquear dispositivos externos.

Directrices de Correo Electronico: Cada solicitud se realiza a traves del dilingenciamento de

formularios previamente establecidos en donde se indentifican si son usuarios directos o
contratistas (Practicas, usuario temporales, etc)

El formato permite la identificacion de la labor a realizar

Se toma el 1 nombre y apellido para la creacion de las cuentas.

Las cuentas de usuarios temporales son desactivados en cuanto se expira el tiempo de

haber cumplido la actividad contratada.

Las cuentas deben ser creados en AD.

Directrices de Contraseas Seguras: Los usuario deben mantener contraseas que cumplan con
los siguientes criterios y ser responsables por las actividades relacionadas a traves de sus cuentas,
incluso si su contrasea fue compartida.

Las contraseas deben tener al menos 6 caracteres

Letras mayusculas

Numeros

Simbolos

CUADRO VULNERABILIDADES, RIESGOS, AMENAZAS

Vulnerabilidades
Factores Humanos: falta de
capacitacin, negligencia,
mal uso.

Amenazas
Humana: Tales como robo,
sabotaje, fraude

Riegos
Perdida de datos

Fsicas: Malas prcticas de

las polticas de personal a los
sistemas y uso de medios
fsicos para envi de
informacin no autorizada

Mal Diseo: Componentes o

dimensionamiento de
hardware no apropiado.

Informacin Errnea

Naturales No disponer de
elementos para casos de
emergencia.

Suministro de Energa:

Daos en Hardware

Hardware: Situaciones por

mal uso. Descuido, mal
diseo, sabotaje. Etc.

Desgaste: Validacin por

obsolescencia.

Variaciones De Voltaje

Fallas de Software: Virus

Red, errores susceptibles en
el diseo para la integridad de
Cdigo Malicioso, Troyanos,
los datos, transmisin de la
informacin
Errores de programacin,

Perdida Econmicas,
indisponibilidad

Perdidas de credibilidad,
fueras de servicio, masivos,
fuga de informacin

Errores De Diseo
Software: Errores de diseo y
planeacin de licenciamiento

Desastres Naturales: Fuerza

de la naturaleza

Perdidas de credibilidad,
fueras de servicio, masivos,
perdida de integridad de datos

PLAN AUDITORIA

La auditora se realizar en Sonda De Colombia en la ciudad de Bogot para lo cual se han

generado los siguientes objetivos en donde se examin lo siguiente

Planes y procedimientos

Inventarios Ofimaticos

Objetivos : Revisar y evaluar los controles de calidad sobre los procedimientos efectuados en
lso equipos de escritorio y portatiles, su utilizacion, eficiencia y seguridad en el procesmiento de
datos con el fin de mantener la integridad de esta y aportar a una mejora continua.

Objetivos Especificos

Evaluar los procedimietnos de control sobre la operacin estandarizacion y

cumplimientos de estos.

Evaluar como se administran los medios de instalacin y licenciamiento de los equipos

Verficar la reglas de instalacion sobre el software permitivo en los equipos

administrados por el departamento de IT

Etapas de Trabajo: Para la recoleccion correct auna semana antes se debera efectuar el siguiente
cuestionario a los responsables del area Gerentes De Unidad, Gestores de servicio, lideres de
servicio con el fin de tener y comprender una vision mas clara del sistema,

CARGO

NOMBRE Y APELLIDO

TELEFONO

Gerente De
Unidad

Angelica Vega

xxxx-xxxxxxx

Gestor De
Servicio

Juan Octavio Pearanda

xxxx-xxxxxxx

Lider De Servicio

Daniel Zarate

xxxx-xxxxxxx

tems

Alternativa
SI

1.- Existe un comit de cambios?

2.- Existen estndares de funcionamiento y procedimientos?
3.- Se le entrega una poltica a los usuarios?
4.- El departamento se rige por un programa anual de trabajo?

NO

5.- Posee programas antivirus actualizado?

6.- El mantenimiento preventivo y correctivo se realiza en las fechas
programadas?
7.- Existen proyectos a futuros para adquisicin de equipos?
8.- Existen privilegios por tipos de usuarios?

Recursos: El numero de personas que integrar el equipo auditor sera de 1 con un tiempo maximo
de ejecucion de 4 semanas+
Nombre Apellidos

Cargo

Ivan Matiz Bernal

Auditor

Recursos Fisicos: La auditoria se llevara en la empresa Sonda de la ciudad de Bogota a los

equipos de computo asignado a los usuarios.
Recursos Tecnologicos: Portatil para registro de eventos, camara fotografica, software para
pruebas de auditoria tales como MAP de microsoft LS (LanSweeper)
Recursos Economicos: Los recursos economicos estan calculados de la siguiente manera.

tem

Cantidad

Subtotal

Porttil

1 $ 2.000.000,00

Cmara Fotogrfica

$ 150.000,00

Otros

$ 300.000,00

Total

4 $ 2.450.000,00

Cronograma De Actividades: La Actividad tendra un desarrollo de 4 Seman

COBIT

El estndar cobit es uno de los ms utilizado al igual que otros como la metodologa Itil, Togaff,
entre otros. Las organizaciones se aseguran de construir proyectos IT cubran las necesidad de los
clientes, generando buenas practicas que permitan una mantenimiento y una construccin adecuada
de los logros y objetivo de cada organizacin, actualmente COBIT se divide en 3 niveles;

Dominios: Esta se denomina a la agrupacin de procesos que corresponden a una organizacin

tales como;

Planificacin y organizacin: En donde se identifican las formas en que TI puede

contribuir al logro de los objetivos constitucionales enmarcado en un la construccin de
una organizacin e infraestructura apropiada.

Adquisicin e implementacin: Llevando a cabo la estrategia en donde se identifican

adecuadas implementaciones dentro del proceso de negocio, cubriendo as mismo los
cambios y mantenimientos realizados.

Distribucin y soporte: La entrega de los servicios de operaciones tales como seguridad

y continuidad con sus soportes necesarios.

Monitoreo: La evaluacin constante de todo proceso permite verificar la calidad y

suficiencia de este.

Cobit, presenta de esta manera un modelo de madurez el cual tiene bases en la evolucin de
capacidades de software (CMM) permitiendo la evaluacin de mtricas o KPIS y calificando los
controles de TI que deben ir de la mano con los proceso de TI.

Requerimiento De Negocio: Los requerimientos del negocio en Cobit estn representados de la

siguiente manera a travs del cubo en el cual encontramos lo siguiente

Efectividad: La cual es informacin que debe ser entregada de manera oportuna,

correcta, consistente.

Eficiencia: Generar niveles ptimos a travs de la previsin de informacin

Confidencialidad: Relacionada con la proteccin de la informacin.

Integridad: Relacionado con la exactitud de la informacin

Disponibilidad: Relacionada con la informacin que puede ser solicitada y que debe
tener acceso en cualquier momento.

Cumplimiento: Todas las relaciones legales, criterios de negocios etc.

Contabilidad De Informacin: Provisin de la informacin apropiada para operar y que

enmarca que la gerencia ejerza sus responsabilidades de informar cumplimiento.
Recursos IT: Los recursos se encuentran dimensionados de la siguiente forma

Aplicaciones: Sistema de usuario automatizados como procedimientos manuales.

Informacin Se refiere a datos en todas sus formas de entrada y generados en sistemas

de informacin que sean utilizados por el negocio.

Infraestructura: Se refiere al sitio y ambiente que lo soporta.

Personas: Personal requerido para planear y organizar, adquirir, implementar, integrar,

soportar y monitorear los sistemas de informacin y servicios.

CONCLUSIONES

La identificacin de los aspectos ms relevante sobre la auditoria de sistemas

permite

comprender conceptos que son ampliamente utilizados por muchas organizacin actuales que
desean tener factores de seguridad y mnimos riegos expuestos en forma de valor.

La identificacin de los conceptos propuestos en la auditoria de sistemas permite comprender

la importancia del estudio de esta materia su amplia capacidad de aplicabilidad y mejora para el
trabajo cooperativo.

La identificacin de cada elemento en la auditoria de sistemas y sus aspectos principales

permiten entender el campo de aplicabilidad en el que puede ser puesto en prctica y expuesto..

REFERENCIA BIBLIOGRAFICAS

(2016, 02). Auditoria De Sistemas Gerencie.com. Recuperado 02. De 2016,

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html

(2016, 02). Objetivo De Control Para La Informacin Y Tecnologas Relacionadas

Wikipedia.com Recuperado 05. De 2016,
https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%
C3%ADas_relacionadas

(2016, 02). Sonda De Colombia S.A. Sonda.com. Recuperado 02. De 2016,

http://www.sonda.com/co/