Professional Documents
Culture Documents
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Vulnerabilidad, Amenaza y Riesgo
Vulnerabilidad Amenaza
Riesgo
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Una vulnerabilidad es una debilidad en un sistema
informático que puede ser aprovechado por un atacante para
violar la seguridad y cometer un delito causando daños. La
Vulnerabilidad es la capacidad, las condiciones y
características del sistema mismo, que lo hace susceptible a
amenazas, con el resultado de sufrir algún daño.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Física: Relacionada con el acceso físico al
sistema o al acceso a las instalaciones del área informática o
a los equipos de cómputo que contienen la información o
forman partes de los procesos esenciales del sistema.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Natural: Sensibilidad de los activos
informáticos a factores naturales en el entorno, pueden ser
desastres ocasionados por fuerzas naturales que causan
daño al sistema. Este tipo de vulnerabilidades están
asociadas a deficiencias en las medidas tomadas para
afrontar los desastres.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del Hardware: Las vulnerabilidades de
hardware representan la probabilidad de que las piezas
físicas del sistema fallen dejando al sistema desprotegido o
inoperable. También hacen relación a las formas en que el
hardware puede ser usado para atacar la seguridad del
sistema.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Software: Un producto software puede ser
vulnerable ante ataques de otro software, debido a errores
de programación, o errores en el diseño para el control de
acceso, seguridad, implantación, entre otros.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad de la Red: Las redes son los sistemas más
vulnerables ya que se trata de una serie de equipos
conectados entre si compartiendo recursos lo que posibilita
los ataques a toda la red penetrando uno de los equipos y
posteriormente expandirse al resto.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del factor humano: El elemento humano es
el más difícil de controlar y el más vulnerable del sistema.
Algunas de las vulnerabilidades de origen humano son la
falta de capacitación y concientización dando lugar al
cumplimiento de políticas de seguridad o el mal manejo del
equipo de cómputo y/o el sistema informático.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Las amenazas son factores externos al sistema por lo cuál es
posible establecer medidas para protegerse pero es
prácticamente imposible controlarlas o eliminarlas. Las
amenazas son eventos que pueden causar alteraciones en
los activos informáticos o la información ocasionando
pérdidas materiales, económicas, de información que
afectan el prestigio de la organización.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de factor humano: Las personas son la principal
fuente de amenaza en los sistemas informáticos y es el tipo
de amenaza donde se invierte más recursos para
controlarlos. Entre las amenazas más comunes están:
Curiosos, Intrusos, Personal interno, Terroristas, Robo,
Sabotaje, Fraude, Ingeniería social.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de Hardware: Ocasionada por fallas físicas que
presenten los elementos de hardware que soportan al
sistema informático. Estas fallas pueden ser defectos de
fabricación, diseño del hardware, mal uso, descuido, falta de
mantenimiento, Suministro de energía, Desgaste.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en la Red de datos: Las dos principales amenazas
en una red de datos son la no disponibilidad de la red y la
extracción lógica de información por ataques deliberados.
Entre las amenazas en la red están: Incumplimiento de
normas cableado estructurado, la configuración de servicios,
seguridad de usuarios de la red, la topología elegida.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en el Software: Las amenazas de software incluyen
posibles fallas de un sistema operativo, software mal
desarrollado, mal diseñado o mal implantado, software
malicioso amenaza directa contra el sistema. Dentro de los
tipos de amenaza en el software tenemos: Software de
desarrollo, Software de aplicación, Código malicioso, Virus,
Troyanos, Gusanos, Errores de programación y diseño.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de riesgo informático
Según la ISO riesgo es: “La probabilidad de que una amenaza
se materialice, utilizando la vulnerabilidad existentes de un
activo o grupos de activos, generándoles pérdidas o daños”.
El riesgo es una condición del mundo real, en el cual hay una
exposición a la adversidad conformada por una combinación
de circunstancias del entorno con posibilidad de pérdidas.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos de Integridad: Interface del usuario, Procesamiento,
Procesamiento de errores, Interface, Administración de
cambios, Información.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipo de riesgo informático
Riesgos de Acceso: Procesos de negocio, Aplicación,
Administración de la información, Entorno de
procesamiento, Redes, Nivel físico
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos en la Infraestructura: Planeación organizacional,
Definición de las aplicaciones, Administración de seguridad,
Operaciones de red y computacionales, Administración de
sistemas de bases de datos, Información / Negocio.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Concentración de procesamiento de aplicaciones de mayor
complejidad
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Metodología de la Auditoría
FASE ACTIVIDADES
Conocimiento del 1. Identificar el origen de la auditoria.
sistema o área 2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
auditada 3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas
encontradas.
1. Elaborar el plan de auditoría: objetivos, alcances, metodología, recursos y cronograma de actividades
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27005, CMMI, MAGERIT, OCTAVE, COSO, otro)
3. De acuerdo al estándar elegido, seleccionar los ítems (dominios, objetivos de control) que serán evaluados
que estén en relación directa con el objetivo y alcances definidos en el plan de auditoría.
Planeación de la
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria
5. Determinar las actividades que se llevarán a cabo y los tiempos destinados en cada ítem evaluado.
(Programa de auditoría)
6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de
chequeo, formatos de cuestionarios)
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT, OCTAVE,
Ejecución de la
ISO/IEC 27005, COSO)
Auditoria
4. Realizar la valoración de las amenazas y vulnerabilidades encontradas
5. Realizar el proceso de evaluación de riesgos
6. Determinar el tratamiento de los riesgos
1. Determinar las soluciones para los hallazgos encontrados (controles de acuerdo a la norma aplicada)
Resultados de la 2. Elaborar el Dictamen de auditoría para los ítems evaluados (Nivel de madurez).
Auditoria 3. Elaborar el informe final de auditoría para su presentación y sustentación
4. Integrar y organizar FI-GQ-GCMU-004-015 V. 001-17-04-2013
los papeles de trabajo de la auditoria
Auditoría de sistemas
Plan de Auditoría
ÍTEMS DESCRIPCIÓN
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
CobIT (Objetivos de Control para la Información y Tecnologías relacionadas)
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Estructura del CobIT
Objetivos de control:
actividades requeridas para
lograr un resultado medible.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI3.1 Plan de Adquisición de Infraestructura
Tecnológica
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5 Garantizar la
DS5.8 Administración de Llaves Criptográficas
Seguridad de los
DS5.9 Prevención, Detección y Corrección de
Sistemas
Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
PORCENTAJE DE RIESGO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: entrevistas, cuestionarios
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: seguridad en la red
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Inyecciones SQL
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Fotográficas
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
Medio R2, R5 R6
PROBABILIDAD
31-60%
Bajo R3, R8 R9
0-30%
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P1
Hallazgos de la Auditoría H1
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
En el área informática no se lleva un registro de mantenimiento y de cambios de hardware, además
no existe personal de mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las
directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se actualiza
periódicamente cuando se han realizado cambios o adquisición de nuevo hardware
Recomendación
El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de
hardware
Causa
Falta de recursos económicos y la falta de planeación por parte del encargado de la administración
del área informática en la organización.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es
moderado
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P2
Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
La Institución tiene programadas jornadas de mantenimiento y el coordinador del área las programa al
inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .
Recomendación
El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año,
las actualizaciones de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El coordinador del área informática deben realizar planes de actualización de equipos y de mantenimiento
preventivo, asignando los recursos económicos necesarios para vigencias futuras.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Tratamiento de riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
DICTAMEN DE LA AUDITORÍA
Objetivo de la Auditoria:
Dictamen: Se califica un nivel de madurez: 3 DEFINIDO
Hallazgos que soportan el Dictamen:
Recomendaciones:
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica
Hallazgo
No esta detallada los procedimientos a seguir o un plan de contingencia en
caso de que el hardware no funciones. No se lleva un registro del
mantenimiento del hardware
Recomendaciones
Se debe crear un plan y procesos de mantenimiento que permitan documentar
las actividades de mantenimiento, para que se realicen de manera oportuna.
En la dependencia debe existir un plan de contingencia que permita dar
solución inmediata en caso de presentarse algún fallo en el hardware. En
cuanto a los diferentes niveles de daños, se hace necesario presuponer el daño
total para tener un plan de contingencia lo más completo posible.
Evidencias
Evidencias/Entrevista Audio/Entrevista Funcionarios OCARA.wma
FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Francisco Nicolás Solarte
solartefrancisco@gmail.com
francisco.solarte@unad.edu.co
Blog
http://auditordesistemas.blogspot.com.co/
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias
FI-GQ-GCMU-004-015 V. 001-17-04-2013