Auditoría de sistemas
Metodología práctica para auditoría de sistemas aplicando el estándar de mejores prácticas CobIT 4.1 Fran Franci cisc sco o Ni Nico colá láss Ja Javi vier er Sola Solart rte e Sola Solart rte e
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Vulnerabilidad, Amenaza y Riesgo
Amenaza
Vulnerabilidad
Riesgo FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Una vulnerabilidad es una debilidad en un sistema infor nformá máti ticco que que pued puede e ser ser apr aprovecha echado do por por un atacan acantte par para violar la seguridad y cometer un delito causando daños. La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo, que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Las vulnerabilidades son consideradas como un elemento interno del sistema por lo tanto es deber de los administradores y usuarios detectarlos, valorarlos y reducirlos. Las vulnerabilidades están directamente relacionadas con las amenazas, por lo tanto si no existen vulnerabilidad tampoco habrá amenazas.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vulnerabilidad Vulnerabilidad Física: Relacionada con el acceso físico al sistema o al acceso a las instalaciones del área informática o a los equipos de cómputo que contienen la información o forman partes de los procesos esenciales del sistema.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vulnerabilidad
Natural:
Sensibilidad de los activos informáticos a factores naturales en el entorno, pueden ser desastres ocasionados por fuerzas naturales que causan daño al sistema. Este tipo de vulnerabilidades están asociadas a deficiencias en las medidas tomadas para afro afront ntar ar los los desa desast stre res. s.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vulnerabilidad del Hardware: Las vulnerabilidades de hardware representan la probabilidad de que las piezas físicas del sistema fallen dejando al sistema desprotegido o inoperable. También hacen relación a las formas en que el hardware puede ser usado para atacar la seguridad del sistema.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vulner ulnerabi abilid lidad ad Softw Software are:: Un producto software puede ser vulnerable ante ataques de otro software, debido a errores de programación, o errores en el diseño para el control de acce acceso so,, segu seguri rida dad, d, impl implan anta taci ción ón,, entr entre e otro otros. s.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vulnerabilidad de la Red: Las redes son los sistemas más vulnerables ya que se trata de una serie de equipos conectados entre tre si comparti rtiendo recursos lo que posibilita los ataques a toda la red penetrando uno de los equipos y post poster erio iorme rment nte e expa expand ndir irse se al rest resto. o.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de vulnerabilidad informática Vul ulne nerrab abiilid lidad del del fact actor hu huma man no: El elemento humano es el más difícil de controlar y el más vulnerable del sistema. Algunas de las vulnerabilidades de origen humano son la falta de capacitación y concientización dando lugar al cumplimiento de políticas de seguridad o el mal manejo del equi equipo po de cómpu ómputto y/o y/o el sis sistema ema inf informá ormáti ticco.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de amenaza informática Las amenazas son factores externos al sistema por lo cuál es posible establecer medidas para protegerse pero es prácticamente imposible controlarlas o eliminarlas. Las amenazas son eventos que pueden causar alteraciones en los activos informáticos o la información ocasionando pérdidas materiales, económicas, de información que afec afecta tan n el pres presti tigi gio o de la org organiz anizac ació ión. n.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de amenaza informática Amenaza de factor humano: Las personas son la principal fuente de amenaza en los sistemas informáticos y es el tipo de amenaza donde se invierte más recursos para controlarlos. Entre las amenazas más comunes están: Curiosos, Intrusos, Personal interno, Terroristas, Robo, Sabo Sabota taje je,, Frau Fraude de,, Inge Ingeni nier ería ía soci social al..
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de amenaza informática Amenaza de Hardware: Ocasionada por fallas físicas que presenten los elementos de hardware que soportan al sistema informático. Estas fallas pueden ser defectos de fabricación, diseño del har hardware, mal uso, descuido, falta de mant manten enim imie ient nto o, Sumi Sumini nist stro ro de ener energí gía, a, Desg Desgas aste te..
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de amenaza informática Amenaza en la Red de datos: Las dos principales amenazas en una red de datos son la no disponibilidad de la red y la extracción lógica de información por ataques deliberados. Entre las amenazas en la red están: Incumplimiento de norm normas as cabl ableado ado estr estruc uctu turrado ado, la confi onfigu gurració ación n de serv serviicios cios,, segurid ridad de usuarios de la red, la topología elegida.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de amenaza informática Amen Amenaz azaa en el Soft Softw ware: are: Las Las amen amenaz azas as de soft softw ware are inc incluy luyen posibles fallas de un sistema operativo, software mal desarrollado, mal diseñado o mal implantado, software malicioso amenaza directa contra el sistema. Dentro de los tipos de amenaza en el software tenemos: Software de desarro rrollo, Softw oftwa are de apl aplicación, Códi ódigo malicioso, Virus rus, Troyan oyanos os,, Gusa Gusano nos, s, Err Errores ores de prog progrramac amació ión n y dise diseño ño..
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Definición de riesgo informático Según la ISO riesgo es: “La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conforma rmada por una comb ombinación de circ circun unssta tanc ncia iass del del ento entorn rno o con posi posibi bili lida dad d de pérd pérdid idas as..
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Tipos de riesgo informático Riesgos de Integridad : Interface del usuario, Procesamiento, Procesamiento de errores, Interface, Administración de cambios, Información.
Riesgos de Relación: Estos riesgos se refieren al uso oportuno de la información creada por una aplicación para la toma de decisiones.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Tipo de riesgo informático Riesgos de Acceso: Procesos de negocio, Aplicación, Administración de la información, Entorno de procesamiento, Redes, Nivel físico
Riesgos de utilidad: Técnicas de recuperación/restauración usadas en caso de caída de los sistemas, sistemas, los Backups Backups y planes de contingencia.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Tipos de riesgo informático Riesgos en la Infraestructura: Infraestructura: Planeación organizacional, organizacional, Definición de las aplicaciones, Administración de seguridad, Operaciones de red y computacionales, Administración de sistemas de bases de datos, Información / Negocio.
Riesgos de seguridad general: Riesgos de choque de eléctrico, Riesgos de incendio, Riesgos de niveles inadecuados de energía eléctrica, Riesgos de radiaciones, Riesgos mecánicos
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Tipos de riesgo informático Concentración Concentración de procesamiento de aplicaciones de mayor complejidad Dependencia en el personal clave Desaparición de los controles tradicionales Huelgas, terrorismo e inestabilidad social
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Metodología de la Auditoría FASE Conocimiento Conocimient o del sistema o área auditada
ACTIVIDADES 1. 2. 3. 4. 1. 2. 3.
Planeación de la Auditoria
4. 5. 6.
Ejecución de la Auditoria
Resultados de la Auditoria
7. 1. 2. 3. 4. 5. 6. 1. 2. 3.
Identi Iden tifi fica carr el el orig origen en de de la la audi audito tori ria. a. Realizar Rea lizar visita visitass para conocer conocer proceso procesos, s, activos activos informá informáticos, ticos, proc procesos esos y organiza organización ción del del área auditada. auditada. Determi Det erminar nar las vulne vulnerabi rabilidad lidades, es, y amenaza amenazass informát informáticas icas a que que está está expuest expuestaa la organiz organización ación.. Determin Det erminar ar el objetiv objetivo o de la audito auditoría ría de acuerd acuerdo o a las vulner vulnerabili abilidade dades, s, y amenazas amenazas info informát rmáticas icas encontradas. Elaborar Elab orar el plan plan de auditorí auditoría: a: objetivo objetivos, s, alcances, alcances, metod metodologí ología, a, recursos recursos y cronog cronogram ramaa de actividade actividadess Seleccio Sele ccionar nar los los estándar estándares es a utilizar utilizar de acuerdo acuerdo al objeti objetivo vo (CobIT (CobIT,, ISO/IEC ISO/IEC 27001, 27001, ISO/IEC ISO/IEC 27002, 27002, ISO/IEC ISO/IEC 27005, CMMI, MAGERIT, OCTAVE, COSO, otro) De acuerdo acuerdo al estándar estándar elegi elegido, do, seleccion seleccionar ar los ítems ítems (domini (dominios, os, objetivo objetivoss de control) control) que que serán evalu evaluados ados que estén en relación directa con el objetivo y alcances definidos en el plan de auditoría. Sele Se lecc ccio iona narr el eq equi uipo po de tr trab abaj ajo o y as asig igna narr ta tare reas as es espe pecí cífi ficcas Determinar las actividades que se llevarán a cabo y los tiempos destinados en cada ítem evaluado. (Program (Pro gramaa de audi auditoría toría)) Dis ise eña ñarr in insstr tru umen ento toss par araa re reco collec ecci ció ón de inform rmac ació ión n (for orm matos de en entr trev evis ista tas, s, fo form rmaato toss de lis ista tass de chequeo, cheq ueo, form formatos atos de cues cuestiona tionarios) rios) Dis ise eña ñarr el pl plan an de pr pru ueb ebas as (f (fo orm rmaato pr pru ueb ebas as)) Aplic Apl icar ar los instr instrum ument entos os de recole recolecci cción ón de info informa rmació ción n diseñad diseñados os Ejec Ej ecut utar ar la lass pru prueb ebas as de dell plan plan de de prue prueba bass Determin Det erminar ar las vulnerabili vulnerabilidade dadess y amen amenazas azas informá informáticas ticas aplica aplicando ndo una metodolo metodología gía (MAGERIT (MAGERIT,, OCTAV OCTAVE, E, ISO/IEC 27005, COSO) Realizar Rea lizar la valor valoración ación de las las amena amenazas zas y vulner vulnerabili abilidades dades enco encontra ntradas das Reali Re alizar zar el pro proces ceso o de de eva evalua luació ción n de de ries riesgo goss Dete De term rmin inar ar el el trat tratam amie ient nto o de lo loss ries riesgo goss Determin Det erminar ar las soluci soluciones ones para para los los hallazgo hallazgoss encontrado encontradoss (control (controles es de acuerd acuerdo o a la norma norma aplicad aplicada) a) Elaborar Elab orar el Dictam Dictamen en de audit auditoría oría para los ítems ítems eval evaluado uadoss (Nivel (Nivel de madur madurez). ez). Elaborar Elab orar el inform informe e final final de audi auditoría toría para su presen presentació tación n y suste sustentac ntación ión FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Plan de Auditoría ÍTEMS
DESCRIPCIÓN
Antecedentes
Resul Resulta tados dos de audit auditori orias as ante anteri rior ores es
Objetivos
Evaluar Evaluar,, Revisar Revisar,, Verificar erificar,, Confirm Confirmar ar Para ara cada cada fase un obje objeti tivo vo espe especí cífi fico co Comp Compon onen ente tess del del sist sistem ema a a audi audita tarr
Alcances
Aspectos a evaluar compone componente nte auditabl auditable e
Metodología
Acti Activi vida dade des, s, tare tareas as,, paso pasoss par para llev llevar ar a cabo cabo cada cada obje objeti tivo vo espe especí cífi fico co
Recursos
Recursos físicos, materiales, tecn tecnol ológ ógic icos os y tale talent nto o huma humano no FI-GQ-GCMU-004-015 V 001-17-04-2013
de
cada
Auditoría de sistemas Programa de auditoria estándar CobIT CobIT (Objetivos de Control para para la Información y Tecnologías relacionadas) Criterios de información CobIT - Efect Efectivi ividad: dad: Información relevante relevante pertinente para procesos del negocio. Su entrega entrega sea oportuna, correcta, y consistente. consistente. Provisión de información a través de la utilización óptima - Efici Eficienci encia: a: Provisión (productiva y económica) de recursos. - Confid Confidenci enciali alidad: dad: Protección de información sensible contra divulgación no autorizada. - Integr Integrida idad: d: Precisión y suficiencia de la información, validez de acuerdo con los valores y expectativas del negocio. - Disponibi Disponibilida lidad: d: Disponibilidad de la información cuando es requerida Cumplimiento de leyes, regulaciones y acuerdos contratos - Cumplim Cumplimien iento: to: Cumplimiento - Confiabilida Confiabilidad d de la informaci información: ón: Se refiere a la provisión de información apropiada para la administración FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Recursos auditables en COBIT (externos e - Dato Datos: s: Los elementos de datos en su más amplio sentido, (externos internos), estructurados y no estructurados, gráficos, sonido, etc. - Aplica Aplicacio ciones nes: Se entiende como sistemas de aplicación la suma de procedimientos procedimientos manuales y programados. - Tecnolog ecnología: ía: hardware, software, sistemas operativos, sistemas de administración administración de bases de datos, redes, comunicaciones, multimedia, etc. - Instala Instalacione ciones: s: Recursos para alojar y dar soporte a los sistemas de información. conocimiento, conciencia y - Person ersonal al:: Habilidades del personal, conocimiento, productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información. FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Estructura
del
CobIT
Son agru agrupa paci cion ones es de Dominios: Son procesos que corresponden a una responsabilidad personal
Procesos: Son una serie de actividades unidas con deli delimi mittació ación n o cort cortes es de contr ontrol ol
Objetivos
de
control:
actividades requeridas para logr lograr ar un resu result ltad ado o medi medibl ble. e.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesos PO1 Definir un Plan Estra E stratégico tégico de TI. PO2 Definir la Arquitectura de Información. PO3 Determinar la dirección tecnológica. PO4 Definir la Organización y Relaciones de TI. PO5 Manejar la Inversión en TI. PO6 Comunicar las directrices gerenciales. PO7 Administrar Recursos Humanos. PO8 Asegurar el cumplir Requerimientos Externos. PO9 Evaluar Riesgos. PO10 Administrar proyectos. PO11 Administrar Calidad. FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Dominio ADQUIRIR E IMPLEMENTAR (AI): Contiene a los procesos AI1 Identificar Soluciones. AI2 Adquisición y Mantener Software de Aplicación. AI3 Adquirir y Mantener Arquitectura de TI. AI4 Desarrollar y Mantener Procedimientos relacionados con TI. AI5 Instalar y Acreditar Sistemas. AI6 Administrar Cambios
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesos DS1 Definir niveles de servicio. DS2 Administrar Servicios de Terceros. DS3 Administrar Desempeño y Calidad. DS4 Asegurar Servicio Continuo. DS5 Garantizar la Seguridad de Sistemas. DS6 Identificar y Asignar Costos. DS7 Capacitar Usuarios. DS8 Asistir a los Clientes de TI. DS9 Administrar la Configuración. DS10 Administrar Problemas e Incidentes. DS11 Administrar Datos. DS12 Administrar Instalaciones. DS13 Administrar Operaciones FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT Dominio MONITOREAR Y EVALUAR (ME): contiene a los procesos
ME1 Monitorear los procesos. ME2 Evaluar lo adecuado del control Interno. ME3 Obtener aseguramiento independiente. ME4 Proveer auditoría independiente.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones AI2.4 Seguridad y Disponibilidad de las Aplicaciones
AI2 Adquirir y Mantener Software Aplicativo
AI2.5 Configuración e Implementación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT AI3.1 Plan de Adquisición de Infraestructura Tecnológica
AI3 Adquirir y AI3.2 Protección y Disponibilidad del Recurso de Infraestructura Mantener Infraestructur a Tecnológica AI3.3 Mantenimiento de la infraestructura AI3.4 Ambiente de Prueba de Factibilidad
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Programa de auditoria estándar CobIT DS5.1 Administración Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración Administración de Identidad DS5.4 Administración Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5 Garantizar la Seguridad de los Sistemas
DS5.8 Administración de Llaves Criptográficas Criptográficas DS5.9 Prevención, Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Instrumentos de Recolección Información PORCENTAJE DE RIESGO Porcentaje de riesgo parcial = (Total (Total SI * 100) / Total Total Porcentaje de riesgo = 100 - Porcentaje Porcentaje de de riesgo parcial parcial Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55 Porcentaje de riesgo = 100 – 30.55 = 69.45 Para determinar el nivel de riesgo total, se tiene en cuenta la escala : 1% - 30% 30% = Rie Riesg sgo o Bajo Bajo 31% - 70% 70% = Riesg Riesgo o Medio Medio 71% - 100% 100% = Riesgo Riesgo Alto
RIESGO: Porcentaje de riesgo parcial: Porcentaje de riesgo = 69.45 Impacto según relevancia del proceso: Riesgo Medio FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Análisis y evaluación evaluación riesgos riesgos
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Análisis y evaluación evaluación riesgos riesgos
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Análisis y evaluación evaluación riesgos riesgos
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Pruebas de auditoria: entrevistas, cuestionarios
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Pruebas de auditoria: seguridad en la red
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Pruebas de auditoria: Inyecciones SQL
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Pruebas de auditoria: Fotográficas
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Análisis y evaluación evaluación riesgos riesgos MATRIZ DE PROBABILIDAD DE IMPACTO Zona de Riesgo Moderado
Zona de riesgo Importante
Zona de riesgo Inaceptable
Medio 31-60%
Zona de riesgo Tolerable
Zona de riesgo Moderado
Zona de riesgo Importante
Bajo 0-30%
Zona de riesgo Aceptable
Zona de riesgo Tolerable
Zona de riesgo Moderado
Leve
Moderado
Catastrófico
Alto 61-100%
D A D I L I B A B O R P
IMPACTO
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Análisis y evaluación evaluación riesgos riesgos MATRIZ DE PROBABILIDAD DE IMPACTO R4, R7
R1
R2, R5
R6
Alto 61-100%
D A D I L I B A B O R P
Medio 31-60% Bajo 0-30%
R3, R8
Leve
R9
Moderado IMPACTO
FI-GQ-GCMU-004-015 V 001-17-04-2013
Catastrófico
Auditoría de sistemas Resultados de la auditoría: Hallazgos Área informática Hallazgos de la Auditoría Dominio Proceso Objetivo de Control Riesgos Asociados
R/PT: P1 H1
Adquisición e Implementación Implementación AI3 Adquirir y mantener mantener la arquitectura arquitectura tecnológica tecnológica Evaluación de Hardware R15, R16, R18, R19
Descripción En el área informática no se lleva un registro r egistro de mantenimiento mantenimiento y de cambios de hardware, además no existe personal de mantenimiento mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se actualiza periódicamente cuando se han realizado cambios o adquisición de nuevo hardware
Recomendación El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de hardware
Causa Falta de recursos económicos y la falta de planeación por parte del encargado de la administración del área informática en la organización.
Nivel del Riesgo En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Resultados de la auditoría: Hallazgos Área informática Hallazgos de la Auditoría Dominio Proceso Objetivo de Control Riesgos Asociados
R/PT: P2 H2
Adquisición e Implementación Implementación AI3: Adquirir y mantener mantener la arquitectura arquitectura tecnológica tecnológica Mantenimiento Preventivo Preventivo para Hardware R15, R16, R18, R19
Descripción La Institución tiene programadas jornadas jornadas de mantenimiento y el coordinador del área las programa al inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .
Recomendación El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año, las actualizaciones de cambio o repotenciación de equipos se deben pr esupuestar para las vigencias futuras.
Causa El coordinador del área informática deben realizar planes de de actualización de equipos y de mantenimiento preventivo, asignando los recursos económicos necesarios para vigencias futuras.
Nivel del Riesgo En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Resultados de la auditoría: Tratamiento de riesgos NIVEL DE RIESGO Aceptable
TRATAMIENTO DEL RIESGO Finaliza el proceso. Una de las tres opciones:
Tolerable
a. Se transfiere el riesgo por ejemplo tomando un seguro.
Intolerable
Extremo
b. Se evita el riesgo retirando el activo de información. c. Se reduce o mitiga el riesgo por medio de controles.
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Resultados de la auditoría: nivel de madurez
FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Resultados de la auditoría: nivel de madurez DICTAMEN DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.
Objetivo de la Auditoria: Dictamen: Se califica un nivel de madurez: 3 DEFINIDO Hallazgos que soportan el Dictamen: Recomendaciones: FI-GQ-GCMU-004-015 V 001-17-04-2013
Auditoría de sistemas Resultados de la auditoría: nivel de madurez Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica Hallazgo No esta detallada detallada los procedimientos procedimientos a seguir o un plan de contingencia contingencia en caso de que el hardware hardware no funciones. No se lleva un registro del mantenimiento del hardware
Recomendaciones Se debe crear un plan y procesos de mantenimiento mantenimiento que permitan documentar las actividades de mantenimiento, mantenimiento, para que se realicen de manera oportuna. En la dependencia debe existir un plan de contingencia que permita dar solución inmediata en caso de presentarse algún fallo en el hardware. hardware. En cuanto a los diferentes niveles de daños, se hace necesario presuponer el daño total para tener un plan de contingencia lo más completo posible.
Evidencias Evidencias/Entrevis Evidencias/Entrevista ta Audio/Entrevista Audio/Entrevista Funcionarios OCARA.wma FI-GQ-GCMU-004-015 V 001-17-04-2013
PREGUNTAS?
FI-GQ-GCMU-004-015 V 001-17-04-2013
Francisco Nicolás Solarte Docente de carrera Universidad Nacional Abierta Abier ta y a Distancia - UNAD Docente hora cátedra Universidad de Nariño
[email protected] [email protected] Blog http://auditordesistemas.blogspot.com.co/ FI-GQ-GCMU-004-015 V 001-17-04-2013
Gracias
FI-GQ-GCMU-004-015 V 001-17-04-2013
