ACA 2 Auditoria de sistemas

Duban Alexander Reina Marroquin

Noviembre 2023.

Corporación Unificada Nacional de Educación Superior

Escuela de Ingeniería
AUDITORIA DE SISTEMAS

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Introducción
La realización de una auditoría de sistemas informáticos en computadoras personales

conectadas a la red interna de una empresa es una tarea crucial para garantizar la

seguridad y el buen funcionamiento de la infraestructura tecnológica. Aquí tienes una

guía general para llevar a cabo esta auditoría.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Objetivos

➢ Identificar posibles vulnerabilidades en los sistemas informáticos.

➢ Evaluar la efectividad de las medidas de seguridad implementadas.
➢ Verificar el cumplimiento de las políticas de seguridad de la empresa.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Alcance de la auditoria

➢ Definir qué sistemas y componentes se incluirán en la auditoría.

➢ Especificar si la auditoría cubrirá hardware, software, configuraciones de red,
etc.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Recopilación de la Informacion
Nombre del Equipo:
Identificación única para cada equipo, como el nombre del host o el nombre de la
computadora.
Dirección IP:
La dirección IP asignada al equipo. Esto es crucial para identificar la ubicación de los
dispositivos en la red.
Tipo de Dispositivo
Puede incluir detalles como "PC de escritorio", "Laptop", "Servidor", etc.
Sistema Operativo:
El sistema operativo instalado en el equipo (por ejemplo, Windows, macOS, Linux).
Usuario Asignado:
El nombre del usuario al que está asignado el equipo.
Fecha de Última Conexión:
La última vez que el equipo se conectó a la red.
Estado de Seguridad:
Indicadores sobre la seguridad del equipo, como si tiene un software antivirus
actualizado, si está al día con parches de seguridad, etc.
Configuración de Red:
Detalles sobre la configuración de red del equipo, como la dirección IP, la puerta de
enlace, el servidor DNS, etc.
Software Instalado:
Lista de software instalado en el equipo, especialmente aquel relacionado con la
seguridad.
Versión del Software:
Las versiones de los programas instalados, especialmente los sistemas operativos y
software de seguridad.

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Hardware:
Especificaciones del hardware, como el modelo de la computadora, la cantidad de
RAM, el tipo y capacidad del disco duro, etc.
Estado de Copias de Seguridad:
Si se ha realizado una copia de seguridad recientemente y si es posible restaurarla.
Proceso:
En que se utiliza el Dispositivo.
Nombre del Dirección Ip Tipo de Sistema Usuario Fecha Estado de Configuración SW Version HW Estado Proceso
equipo Dispositivo Operativo Asignado ultima seguridad de red instalado Seguridad
Conexión

Entrevista con el área de seguridad:

Fecha de la entrevista
30 de octubre 2023
Entrevistados
Pablo Martin Parra Lopera director de Informática
Jaime Valderrama Gerente de Ciberseguridad
Alejandro Rodriguez Analista de Soporte

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Se realiza la entrevista con las siguientes preguntas

Políticas y Procedimientos de Seguridad

Política de contraseñas:
➢ ¿Se establece requisitos para contraseñas fuertes y seguras?
Si
➢ ¿Se establece la frecuencia de cambio de las contraseñas?
Si
➢ ¿Se prohíbe el uso compartido de contraseñas?
Si
Políticas de control de acceso:
➢ ¿Se define perfiles que tienen acceso a los recursos y datos?
Si
➢ ¿Se tiene Protocolos para gestión de las cuentas y privilegios?
SI
Política de Seguridad Física
➢ ¿Se cuenta con la Política para protección de los activos informáticos?
En proceso
➢ ¿Se tiene Restricción de accesos a equipos sensibles?
No
Política de copias de seguridad y recuperación:
➢ ¿Se tiene definido como realizar las copias de seguridad?
Si
➢ ¿Se tiene el proceso de recuperación en caso de pérdida?
En proceso

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Política de actualización de parches
➢ ¿Se establece procedimientos para aplicar parches?
Si
➢ Indicar la frecuencia de actualización del software
Mensual
Política de Prevención de Malware:
➢ ¿Establece requisitos para software antivirus y antimalware?
Si
➢ ¿Indique prácticas seguras para prevenir la infección por malware?
Mantener el antivirus actualizado
Capacitaciones periódicas al personal para evitar descargar archivos o correos
sospechosos
Evitar que se instale software no autorizado en el equipo

Objetivo N 1: Existencia de normativa de hardware

➢ El hardware debe estar correctamente identificado y documentado.

• Se tiene identificado cada uno de los equipos que posee la empresa y se

encuentra en proceso de documentación en una hoja de vida cada uno.

➢ Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el
respaldo de las garantías ofrecidas por los fabricantes.

• Las ordenes de compra se entregan al área financiera quien las custodia

y en caso de alguna solicitud de cantidad el fabricante con el numero de
orden de compra genera el servicio
➢ El acceso a los componentes del hardware esté restringido a la directo a las personas
que lo utilizan.

• Se cuenta con un directorio activo en la nube de azure para garantizar

que cada equipo se pueda ingresar con el usuario y contraseña asignado

➢ Se debe contar con un plan de mantenimiento y registro de fechas, problemas,

soluciones y próximo mantenimiento propuesto.

• Se tiene un procedimiento para generar mantenimiento a los equipos

cada 3 meses y actualizar la HV que se esta creado a cada uno

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

Objetivo N 2: Política de acceso a equipos

➢ Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los
equipos
• Cada usuario se le asigna un usuario y contraseña para que sea utilizado
en el equipo que le fue asignado

➢ Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando

mayúsculas y minúsculas)

• Se tiene como política el cambio de contraseña cada 30 dias y deberá

cumplir con los siguientes requisitos: Mínimo 12 Caracteres, no repetir
contraseña en los últimos 12 meses y debe contener una letra
mayúscula y minúscula

➢ Los usuarios se bloquearán después de 5 minutos sin actividad.

• Se tiene un bloqueo de pantalla por medio del Directorio activo con

protector de pantalla

➢ Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y

deben mantenerse luego de finalizada la relación laboral.

• Se encuentra en proceso de implementación el acuerdo de

confidencialidad

➢ Uso restringido de medios removibles (USB, CD-ROM, discos externos etc)

• No se tiene política para bloqueo de puertos USB

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación

 Bibliografía

Bibliografía

https://www.mintic.gov.co/gestionti/615/articles-5482_G15_Auditoria.pdf

Corporación Unificada Nacional de Educación Superior CUN Código SNIES 4813 Colombia. Todos los
derechos reservados. / Carácter
Institucional Institución técnica profesional «Vigilada Mineducación» / Personería Jurídica:
Resolución 1379 del 3 de febrero de 1983.
Ministerio de Educación Nacional / Copyright © 2022 Para notificaciones
judiciales: notificaciones@cun.edu.co

Institución de educación superior sujeta a la inspección y vigilancia del Mineducación