COLABORATIVO AUDITORIA DE SISTEMAS

April 11, 2020 | Author: Anonymous | Category: Software antivirus, Planificación, Software, Seguridad de información, Red de computadoras
Share Embed Donate


Short Description

Download COLABORATIVO AUDITORIA DE SISTEMAS...

Description

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos, Controles

Víctor Julio Martínez Barrios William Mario Villa Castro Enrique David Pinto Peralta

Grupo colaborativo: 90168_6

Tutor Yolima Esther Mercado Palencia

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas 2017

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Contenido Introducción...............................................................................................................3 Objetivos....................................................................................................................4 Objetivo general.....................................................................................................4 Objetivos específicos.............................................................................................4 1

Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los

Usuarios.....................................................................................................................5 2

Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7

3

Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los

Usuarios...................................................................................................................10 4. Tabla

de

hallazgos proceso:

DS5

Garantizar

la

Seguridad

de

los

Sistemas…...18 5. Tabla de Tratamiento de Riesgos…………………………………………………… 27 6. Tabla de Controles de Riesgos ...…………………………………………………… 28 Conclusiones...........................................................................................................30 Referencias bibliográficas........................................................................................31 Anexo1 Cuestionario de Control: C1.......................................................................32 Anexo 2 Cuestionario de Control C2 ...………………………………………………… 34 Anexo 3 Entrevista ………………………………………………………………………36

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Introducción El presente informe se entrega como evidencia del desarrollo del tercer trabajo colaborativo del curso de auditoría de sistemas en la universidad nacional abierta y a distancia UNAD. En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo durante el desarrollo de los trabajos colaborativos previos. Para cada uno de los procesos del estándar COBIT que se han venido trabajando, se presenta el cuadro de tratamiento de los riesgos encontrados, así como los hallazgos y los controles propuestos para dichos riesgos.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Objetivos Objetivo general

Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la empresa Softcaribbean S.A.

Objetivos específicos

 Analizar la matriz de riesgos de cada proceso del estándar COBIT abordado, para generar su cuadro de tratamiento de riesgos.  Diseñar el cuadro de hallazgos para cada uno de los procesos del estándar COBIT abordados.  Determinar los controles propuestos para cada uno de los riesgos encontrados en los procesos del estándar COBIT abordados.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios Antes que nada, debemos recordar la matriz de riesgos detectados para el proceso DS7 Educar y Entrenar a los Usuarios: N° R1 R2

Probabilidad B M A

Descripción No se capacita al personal en temas relacionados con la seguridad informática Falta de capacitación y sensibilización del personal del área de sistemas No existe un control sobre los insumos y recursos

Impacto L M C

X

X

X

X

informáticos que la empresa compra, lo cual permite que R3

estos sean utilizados para tareas diferentes a las

X

X

previstas, haciendo que éstos se acaben de una manera

R4

R5

más rápida Los empleados no usan VPN para conectarse a la red de

información a personal externo o para el registro en foros y redes sociales. Algunos de los

R6

X

la empresa Uso indebido del correo electrónico para el envío de

empleados

conectan

X

X

X

dispositivos

personales no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la

X

X

entrada de piratas cibernéticos

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Alto

PROBABILIDAD

61100% Medio 31-60% Bajo

R1, R5

R4

R3

R2

R6

Leve

Moderado

Catastrófico

0-30%

IMPACTO

N° R1 R2

R3

R4

R5

Descripción Riesgo No se capacita al personal en temas relacionados con la seguridad informática Falta de capacitación y sensibilización del personal del área de sistemas No existe un control sobre los insumos y recursos informáticos que la empresa compra, lo cual permite que estos sean utilizados para tareas diferentes a las previstas, haciendo que éstos se acaben de una manera más rápida Los empleados no usan VPN para conectarse a la red de la empresa Uso indebido del correo electrónico para el envío de información a personal externo o para el registro en foros y

Tratamiento Riesgo Transferir Controlarlo

Aceptarlo

Controlarlo

Controlarlo

redes sociales. Algunos de los empleados conectan dispositivos personales R6

no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la entrada de piratas

Controlarlo

cibernéticos

2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

REF HALLAZGO 1

HHDN_0 1

PROCESO

Capacitación a empleados acerca del PÁGINA

AUDITADO

uso seguro de las herramientas TIC.

RESPONSABLE

Víctor Julio Martínez Barrios

MATERIAL

DE

SOPORTE

1

DE

1

COBIT

DOMINI

ENTREGAR

O

SOPORTE

Y

DAR PROCES O

DS7: Educar y Entrenar a los Usuarios

DESCRIPCIÓN:  Se encuentra que la empresa no cuenta con un plan de capacitaciones enfocadas

en

ayudarle

a

sus

empleados

a

reconocer

los

comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la empresa como externas.  Se detecta que los empleados no usan VPN para acceder desde redes diferentes a la interna, a repositorios que contienen información privada de la empresa y sus clientes.

REF_PT: Cuestionario de control: C1 (Anexo 1)

CONSECUENCIAS:

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

 La falta de capacitación de los empleados en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC, puede ocasionar serios problemas de seguridad para la empresa, ya que se corre el riesgo de que los empleados sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos, que buscan la obtención ilegal de información confidencial, tanto de las personas como de las empresas para las que laboran.  Al no garantizarse la seguridad en las conexiones de los empleados a través

del

uso

de

VPN,

se

abre

una

puerta

a

personas

malintencionadas para que tengan acceso a información de la empresa y sus clientes, poniendo en alto riesgo el desarrollo de las actividades de la compañía.

RIESGO: Probabilidad de ocurrencia: 100% Impacto según relevancia del proceso: Alto.

RECOMENDACIONES:  Implementar un programa de capacitación para los empleados de la empresa, en el que se busque mantenerlos conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional, aminorando así el riesgo de pérdida o divulgación de información de ellos y de la empresa.  Implementar el uso de VPN para asegurar las conexiones de los empleados a los repositorios de información de la empresa, cuando no estén conectados a la red interna.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios Riesgos o hallazgos encontrados Falta de capacitación y sensibilización

del

personal del área de

Tipo de control PREVENTIVO

Soluciones o controles Construir un plan de capacitaciones periódicas para el personal de sistemas en las que se actualicen los conocimientos de los mismos.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se CORRECTIVO

sistemas

usan en la empresa. Si no se cuenta en la empresa con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga.

Los

empleados

usan

VPN

no para

conectarse a la red de

Implementar el uso de una VPN en todas las CORRECTIVO

conexiones de los empleados de la empresa a los repositorios de información de la misma.

la empresa

Exponer a los empleados los riesgos a los que PREVENTIVO

para

el

envío de información a

la cuenta de correo electrónico empresarial para tratar asuntos diferentes a los laborales. Instalación de herramienta de software de

Uso indebido del correo electrónico

se exponen y exponen a la empresa, al utilizar

análisis de contenido de correo electrónico que DETECTIVO

permita el monitoreo en tiempo real del uso dado a el correo electrónico empresarial por

personal externo o para el registro en foros y

parte de los empleados. Tomar acciones disciplinarias

redes sociales

empleados que usen la cuenta de correo CORRECTIVO

sobre

los

empresarial para tratar temas diferentes a los laborales. En caso de detectarse que se ha comprometido

la

cuenta

de

correo

del

empleado deshabilitar la misma. Algunos empleados

de

los

conectan

dispositivos personales no seguros a la red de la

empresa

lo

que

puede generar huecos de

seguridad

Ejercer PREVENTIVO

controles

de

seguridad

para

la

conexión de dispositivos no permitidos a la red de la empresa.

dando

cabida a la entrada de piratas cibernéticos

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Aporte: William Mario Villa Castro Análisis y evaluación de riesgos:

Fase 3 | Trabajo colaborativo III



Probabilidad Baja Media Alta

Descripción

Leve

Impacto Moderado Catastrófico

Falta de un plan Universidad Nacional Abierta y a Distancia

R1 x Escuelaestratégico de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

x

Falta de conocimiento

R2

de la importancia de

x

un plan estratégico

x

de TI Falta de un plan de R3

desarrollos aplicaciones

de

X

para

X

toma de decisiones Falta de un manual de R4

aplicaciones

donde se registre el

x

uso y la confiabilidad

X

de los datos de la empresa. Falta de un plan para R5

la

adquisición

de

X

x

recurso tecnológicos falta de personal especializado R6

para

dar asesorías sobre

x

x

las tecnologías Falta de un modelo R7

R8

R9

de

información

empresarial. Falta de un plan de infraestructura de TI. Falta de unos estándares

X

x

x

x

X

X

x

X

x

X

Tecnológicos. Falta de un monitoreo R10

de

las

evoluciones

Tecnológicas. Falta de herramientas R11

para la clasificación TI. Falta de definición de

R12

responsabilidades

y

Fase 3 | Trabajo colaborativo III X

X

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

PROBABILID

Alto 61-100% Medio 31-60% Bajo 0-30%

R3

R5

R1, R12

R2,R4,R6,R9,r10,R11

R13

Moderado

Catastrófico

R7,R8

AD

Leve

IMPACTO Tabla Hallazgos

REF HALLAZGO 1 HHDN_0 1

PROCESO

P01 Definir un Plan Estratégico de TI.

AUDITADO RESPONSABLE MATERIAL SOPORTE DOMINIO

PÁGINA 1

DE

1

William Mario Villa Castro DE

COBIT

Planear Organizar

y

P01 Definir un PROCESO

Plan Estratégico de TI.

DESCRIPCIÓN:

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

 Falta de un plan estratégico: La empresa no cuenta con un diseño de una planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio.  Falta de definición de responsabilidades y roles del personal: La empresa no cuenta con las jerarquías definidas, sin asignación de responsabilidades del personal.

REF_PT: Cuestionario de control: C1 (Anexo 1)

CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de TI, existiendo una falta de negligencia por parte de la gerencia y del personal encargado de TI, carencia de control sobre la efectividad y eficiencia de los componentes TI, no cuenta con planes definidos ni planes de contingencia para cualquier eventualidad. No se establece con claridad los roles y responsabilidades del personal para el buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.

RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un 100%, mostrando un impacto catastrófico para la empresa.

RECOMENDACIONES: Debemos hacer una relación de las metas y los objetivos con la TI, diseñar y construir un plan estratégico de TI, construir un planes tácticos de TI, contratación de personas idóneas en el tema de las TI.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

La planeación estratégica de TI es un proceso documentado, el cual se debe tener en cuenta para el cumplimiento de los objetivos y las metas definidas por la empresa.

CUESTIONARIO DE CONTROL DOMINIO

Planear y Organizar

OBJETIVO DE CONTROL Nº

PROCESO

P01 Definir un Plan

Estratégico de TI. PO1.1 Administración del Valor de TI

ASPECTO EVALUADO

CONFORME

SI

NO

OBSERVACIÓN

¿Cuentan con un plan 1

estratégico

de

TI

la

X

empresa? ¿Conoce la necesidad 2

la empresa de contar

X

con un plan estratégico de TI?

P02. DOMINIO

Planear y Organizar

OBJETIVO

DE PO2.1

CONTROL ¿Se

Modelo

Arquitectura

de

la la

Información. de Arquitectura de Información

Empresarial mantiene un

desarrollo 3

PROCESO

Definir

aplicaciones

de para

la

x

toma de decisiones de la empresa?

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

¿Existe algún manual de 4

aplicaciones

actividades

donde

6

se

x

registre el uso y la confiabilidad

5

o

de

los

datos de la empresa? ¿Cuentan con una base de datos la empresa? ¿Cuentan con un inventario de todos los componentes

de

la

x

x

infraestructura de TI? ¿Existe un plan para la 7

adquisición de recurso

x

tecnológico? DOMINIO

Planear y Organizar

OBJETIVO

DE

CONTROL ¿Cuenta con 8

con

P03.

Determinar

la

Dirección Tecnológica.

PO3.1 Planeación de la Dirección Tecnológica

la

empresa

asesorías

personal

PROCESO

de

especializado

respecto

a

x

las

tecnologías?

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS TABLA HALLAZGO 1 REF HALLAZGO 1 HHDN_O1

PROCESO AUDITADO

Planes para información.

RESPONSABLE

Enrique David Pinto Peralta

MATERIAL

DE

SOPORTE DOMINIO

la

recuperación

PÁGINA

de 1

DE

1

COBIT

Entregar y Dar Soporte

PROCESO

DS5 Garantizar la Seguridad de los Sistemas

DESCRIPCIÓN:  No se cuenta con un plan de recuperación de información, en caso que se produzca pérdida parcial o total de la misma.  No se realiza de manera organizada ni periódica las copias de seguridad o backup de la información de la empresa.  No existe una persona encargada de realizar y custodiar las copias de seguridad o backup de la información de la empresa.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2)

CONSECUENCIAS:  Al no existir un plan de recuperación de información, en el momento que se produzca una pérdida parcial o total de la misma, esa información no podrá recuperarse, lo cual puede incluso llevar a la desaparición de la empresa.  Al no realizar de manera periódica ni organizada las copias de seguridad de la empresa, cualquier información que pueda llegar a borrarse está en riesgo de no volver a ser recuperada.  Al no existir una persona encargada de realizar y custodiar las copias de seguridad en la empresa, existe un alto porcentaje que estas nunca se realicen o se hagan de manera muy esporádica, lo cual hace vulnerable de una perdida en cualquier momento a la información de la empresa.

RIESGO: ¿ 100



Probabilidad de ocurrencia:



Impacto según relevancia del proceso: Alto

RECOMENDACIONES:  Elaborar un plan de acciones a realizar en caso que se produzca una pérdida parcial o total de la información de la empresa.  Elaborar un cronograma para la realización de las copias de seguridad o backup de la información de la empresa, de manera que permita tener siempre presente la importancia de su realización diaria.  Asignarle a una persona la responsabilidad de la realización y custodia de las copias de seguridad de la información de la empresa, de manera

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

que no existan pretextos para la no realización de las mismas.

TABLA HALLAZGO 2 REF HALLAZGO 2 HHDN_O2

Nivel de Capacitación del personal encargado de Mantenimiento del cableado estructurado y de la Red en General.

PROCESO AUDITADO RESPONSABLE MATERIAL

DOMINIO

1

DE

1

Enrique David Pinto Peralta DE

SOPORTE

PÁGINA

COBIT

Entregar y Dar Soporte

PROCESO

DS5 Garantizar la Seguridad de los Sistemas

DESCRIPCIÓN:  No existe personal capacitado para la realización de los mantenimientos del cableado estructurado de la red y de los equipos que la componen.  No existe un plan de capacitación para el personal técnico encargado del mantenimiento de los equipos y cableado estructurado que integran la red de la empresa, de manera que se garantice su adecuado funcionamiento.

REF_PT:

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

CUESTIONARIO DE CONTROL C2 (ANEXO 2)

CONSECUENCIAS:  Al no contar con personal adecuadamente capacitado para la realización de los mantenimientos de los equipos y del cableado estructurado de la red se puede producir una reducción en los niveles de seguridad de la red de la empresa, exponiendo de esta manera toda la información confidencial de la misma a personas inescrupulosas que pretendan acceder a dicha información, así como a softwares maliciosos que puedan llegar a ocasionar pérdida parcial o total de dicha información. Además, si los mantenimientos no se realizan de manera correcta, se puede producir una disminución en los niveles de productividad de los empleados, motivado por errores de conexión que no permiten ingresar o vuelven más lentos los sistemas manejados en la empresa.  Al no existir un plan de capacitación para el personal encargado del mantenimiento de los equipos y cableado estructurado de la red de la empresa, siempre va a existir un desconocimiento en dicho personal que puede llevarlo en cualquier momento a cometer errores durante la realización de dichos mantenimientos que pueden poner en riesgo la información y actividades de la empresa.

RIESGO: ¿ 100



Probabilidad de ocurrencia:



Impacto según relevancia del proceso: Alto

RECOMENDACIONES:  Contratar personal capacitado que se encargue de la realización de los mantenimientos de los equipos y el cableado que conforman la red de la empresa, de manera que se garantice la seguridad de la misma.  Elaborar un plan de capacitaciones periódicas al personal encargado

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

del mantenimiento del cableado y los equipos que integran la red de la empresa, de manera que siempre se garantice la realización de estos mantenimientos de manera adecuada.

TABLA HALLAZGO 3 REF HALLAZGO 3 HHDN_O3

PROCESO AUDITADO

Control en la Compra de los Softwares Antivirus.

RESPONSABLE

Enrique David Pinto Peralta

MATERIAL

DE

SOPORTE DOMINIO

PÁGINA 1

DE

1

COBIT

Entregar y Dar Soporte

PROCESO

DS5 Garantizar la Seguridad de los Sistemas

DESCRIPCIÓN:  No existen informes previos que recomienden y avalen la compra de los antivirus que se han adquirido hasta el momento en la empresa.  No se tienen identificadas las necesidades de seguridad de la información de la empresa, de manera que con base en estas necesidades se pueda determinar cuál es el antivirus indicado para comprar.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2) ENTREVISTA (ANEXO 3) CONSECUENCIAS:  Al no existir informes previos que recomienden y avalen la compra de un determinado Antivirus, se terminaran utilizando otros criterios, para comprar los antivirus, tales como precio, facilidad de descarga, facilidad de instalación, entre otros, lo cual hace que la información de la empresa este permanentemente en riesgo, dado que lo más probable es que los antivirus adquiridos no cumplan con los requisitos mínimos de seguridad de la información.  Al no tener identificadas las necesidades de seguridad de la información de la empresa, los antivirus que se compren no van a brindar los niveles de seguridad requeridos por la empresa, razón por la cual la información de la misma va a estar todo el tiempo vulnerable a la acción de personas y softwares maliciosos.

RIESGO: ¿ 100



Probabilidad de ocurrencia:



Impacto según relevancia del proceso: Alto

RECOMENDACIONES:  Elaborar un informe cada vez que se requiera adquirir un software Antivirus, con el fin de determinar, de acuerdo a sus características y a las necesidades de seguridad de la información de la empresa, cual es el más indicado para comprar.  Elaborar un estudio que permita identificar claramente cuáles son las necesidades de seguridad de la información de la empresa, de manera que establezca que información requiere mayor grado de seguridad y cual menor seguridad. Además, el estudio debe permitir identificar cuales equipos de cómputo manejan la información que requiere mayor seguridad y cuál es la manera de transportar dicha información, ya sea

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

a través de la red, de una intranet o de dispositivos tales memorias usb o cds; todo lo anterior, con el objetivo de determinar cuál es el antivirus más idóneo para salvaguardar la información de la empresa. ANÁLISIS Y EVALUACIÓN DE RIESGOS TABLA DE VALORACIÓN DE LOS RIESGOS N°

Descripción

R1

Falta de control de cuentas de usuario

R2

Falta de control en los permisos y privilegios de cada una de las cuentas de usuario de la empresa. Falta de revisión de la gestión de las cuentas de usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso Falta de control en la compra de los Antivirus instalados No existe registro de los softwares maliciosos encontrados No existe control de

Probabilidad Baja

R3

R4

R5

R6

R7

Media

Alta

Impacto Leve

X

Moderado

Catastrófico

X

X

X

X

X

X

X

X

X

X

X

X

X

los dispositivos de almacenamiento R8

R9

(usb, cd, discos). Falta de controles de acceso a la información No existe un firewall activo

X

X

X

X

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

R1

No existe un Control y monitoreo en el 0 acceso a Internet R11 Mantenimiento del cableado estructurado por parte de personal poco capacitado R1 Ausencia de planes para recuperación 2 de información R1 No se garantiza la seguridad en las 3 conexiones R1 Desconocimiento en seguridad 4 informática de los empleados

X

X

X

X

X

X

X

X

X

X

MATRIZ DE RIESGOS

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

R6

R5, R11, R14

R8, R12

R3

R1, R9

R13

R2

R4, R7, R10

PROBABILIDAD

Alto 61-100% Medio 31-60% Bajo 0-30% Leve

Moderado

Catastrófico

IMPACTO Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media Alta probabilidad de ocurrencia

5. TABLA DE TRATAMIENTO DE RIESGOS ID.

Descripción Riesgo

Tratamiento Riesgo

Riesgo

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

R1 R2

R3 R4

R5 R6 R7 R8 R9 R10 R11 R12 R13 R14

Falta de control de cuentas de usuario Falta de control en los permisos y privilegios de cada una de las cuentas de usuario de la empresa. Falta de revisión de la gestión de las cuentas de usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso Falta de control en la compra de los Antivirus instalados No existe registro de los softwares maliciosos encontrados No existe control de los dispositivos de almacenamiento (usb, cd, discos). Falta de controles de acceso a la información No existe un firewall activo No existe un Control y monitoreo en el acceso a Internet Mantenimiento del cableado estructurado por parte de personal poco capacitado Ausencia de planes para recuperación de información No se garantiza la seguridad en las conexiones Desconocimiento en seguridad informática de los empleados

Controlarlo Controlarlo

Aceptarlo Controlarlo

Controlarlo Controlarlo Controlarlo Controlarlo Eliminarlo Controlarlo Transferirlo Eliminarlo Controlarlo Controlarlo

6. TABLA DE CONTROLES DE LOS RIESGOS RIESGOS o HALLAZGOS ENCONTRADOS

Falta de control cuentas de usuario

de

TIPO DE CONTROL CORRECTIVO

SOLUCIONES O CONTROLES Control sobre la creación, modificación o eliminación de alguna cuenta de usuario, dejando como constancia un acta cada vez que se realice uno de estos procesos.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Falta de control en los CORRECTIVO Controlar que los permisos y privilegios otorgados a cada una de las cuentas de permisos y privilegios de usuario, sean de acuerdo a las cada una de las cuentas funciones que desarrolla el dueño de la de usuario de la cuenta. empresa. Falta de revisión de la PREVENTIVO Hacer revisiones periódicas de la gestión desarrollada por cada una de gestión de las cuentas de las cuentas de usuario, dejando como usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso

PREVENTIVO

Falta de control en la CORRECTIVO compra de los Antivirus instalados No existe registro de los CORRECTIVO softwares maliciosos encontrados No existe control de los dispositivos de almacenamiento (usb, cd, discos).

PREVENTIVO

Falta de controles de acceso a la información

PREVENTIVO

No existe activo

PREVENTIVO

un

firewall

No existe un Control y CORRECTIVO monitoreo en el acceso a Internet

constancia un informe de dichas revisiones. Revisar periódicamente los equipos de cómputo, para establecer si tienen instalado algún tipo de software malicioso que ponga en riesgo la seguridad de la información de la empresa. Comprar los Antivirus con base en un informe que avale dicha compra, de acuerdo a las necesidades de seguridad de la información de la empresa. Llevar un registro de los softwares maliciosos encontrados en los equipos de cómputo, indicando el procedimiento realizado para eliminarlo. Deshabilitar los puertos usb y unidades ópticas en los equipos que no son necesarios, para evitar transferir softwares maliciosos o robo de información a través de memoria usb o cds. Control en el acceso a la información, de manera que cada empleado pueda acceder solo a la información que necesita para el adecuado desarrollo de sus funciones. Contar con un Firewall que brinde mayor seguridad a la red, de manera que bloquee el contenido que considera que pone en riesgo dicha seguridad. Controlar el acceso a las páginas web, bloqueando el acceso a aquellas páginas que no brindan ningún tipo de beneficio para el desarrollo de las actividades laborales.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Mantenimiento del CORRECTIVO Contratar personal capacitado para la realización de los mantenimientos del cableado estructurado cableado estructurado y de los demás por parte de personal equipos que conforman la red. poco capacitado Ausencia de planes para PREVENTIVO Elaborar un plan determine los pasos a seguir para recuperar información, en recuperación de caso que se produzca pérdida de la información

No se garantiza la CORRECTIVO seguridad en las conexiones

Desconocimiento en CORRECTIVO seguridad informática de los empleados

misma. Dicho plan debe contemplar distintas causas posibles que produzcan perdida de información. Además, en este plan se debe incluir el cronograma de las copias de seguridad a realizar, estableciendo la cantidad de backup por días y las horas de realización de los mismos. Garantizar la seguridad de los sistemas mediante la realización de mantenimientos de la red por personal capacitado, la compra de antivirus licenciados, la compra de equipos de red y de computo de última tecnología que brinden una mayor seguridad, entre otros. Capacitar a los empleados en seguridad informática, de manera que tomen las precauciones necesarias para evitar cualquier tipo de perdida de información por algún descuido o error humano.

Conclusiones Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos detectados en cada proceso de la empresa y ayudar en la toma de decisiones respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el desarrollo de las actividades de la empresa.

Referencias bibliográficas Astello,

R.

J.

(2015). Auditoria

en

entornos

informáticos.

Recuperado

de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación

de

tecnologías

de

la

información.

Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action? docID=11013780 Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet. Recuperado

de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO

%3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005 0101&spage=171&pages=171186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T %c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L %c3%a1zaro+J.&id=DOI%3a&site=ftf-live

Anexos, cuestionario de control: C1

Dominio

Oficina principal Softcaribbean S.A. Cuestionario de Control: C1 ENTREGAR Y DAR SOPORTE

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Proceso

DS7: Educar y Entrenar a los Usuarios Pregunta

OBJETIVO DE CONTROL

Si No OBSERVACIONES DS7.1 Identificación de Necesidades de Entrenamiento y

Educación ¿Se cuenta con un programa de capacitación en el uso seguro de las herramientas informáticas para los

5

empleados? ¿Los nuevos empleados son capacitados antes del

3

inicio de sus actividades laborales? OBJETIVO DE CONTROL

DS7.2 Impartición de Entrenamiento y Educación

¿Se capacita al personal en cuanto a las nuevas

5

amenazas que surgen? ¿Se cuenta con un repositorio de información acerca de la seguridad en el uso de las herramienta TIC en la empresa? ¿Se realizan campañas de prevención de conductas inseguras para los empleados? OBJETIVO DE CONTROL

Semestral Accesible para todos los

4

empleados

(Digital

o

físico) 3

DS7.3 Evaluación del Entrenamiento Recibido

¿Se posee un registro de problemas de seguridad

3

presentados a los empleados? ¿En el registro de problemas se tiene en cuenta con los siguientes datos? Fecha Número de registro

3

Identificación del empleado Detalle del problema Detalle de las causas Detalle de la solución aplicada TOTALES

7

19

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

ANEXO 2. CUESTIONARIO DE CONTROL C2

Dominio Proceso

EMPRESA SOFTCARIBBEAN S.A. Cuestionario de Control: C2 Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas

OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario Pregunta Si No OBSERVACIONES ¿Se cuenta con un listado detallado de las 4 cuentas de usuario de la empresa? Si existe el listado, ¿Contiene los siguientes ítems? Cuenta de Usuario Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

Nombre del empleado propietario de la cuenta Identificación del empleado propietario de la cuenta Cargo del empleado propietario de la cuenta Fecha de creación de la cuenta Perfiles activos y privilegios de la cuenta ¿Se lleva un procedimiento para la creación, 4 modificación o eliminación de las cuentas de usuarios? OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software Malicioso

¿De los antivirus instalados se cuenta con los 4 siguientes datos? Nombre del antivirus Licencia del antivirus Fecha de Compra Fecha de Instalación Fecha de Caducidad ¿Se lleva un procedimiento para la adquisición de 4 nuevos antivirus? ¿Se posee un registro de los softwares maliciosos 3 encontrados en los equipos de cómputo? ¿En el registro de los softwares maliciosos se tiene en cuenta con los siguientes datos? Nombre del Software malicioso Características Fecha en la que se encontró Número del Computador Proceso utilizado para eliminar el software malicioso ¿Al momento de encontrar un software malicioso De una en un equipo, la atención que se presta es? Horas Inmediata De una a 24 horas De un día a 5 días Más de 5 días OBJETIVO DE CONTROL DS5.10 Seguridad de la Red ¿Se cuenta con un plan de control y acceso a la 3 internet, con el fin de preservar la seguridad de la información de la empresa? ¿Cuentan con algún plan de recuperación de 3

a

24

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

información en caso que se produzca pérdida de la misma? ¿Cada cuánto se realiza mantenimiento al 4 cableado estructurado de la red, con el objetivo de conservar sus condiciones mínimas de seguridad? ¿Qué tipo de mantenimiento se lleva a cabo? Mantenimiento preventivo Mantenimiento correctivo ¿El personal que se encarga del mantenimiento es personal capacitado? TOTALES 19

Cada 4 Meses

Correctivo

4 14

ANEXO 3. ENTREVISTA REF ENTIDAD AUDITADA

SOFTCARIBBEAN S.A.

PAGINA 1 D 1 E

OBJETIVO AUDITORÍA

Garantizar la protección de la información e infraestructura de los Sistemas de Información de la empresa, con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de los mismos.

PROCESO AUDITADO

Contratación TI

ENRIQUE DAVID PINTO PERALTA MATERIAL DE SOPORTE COBIT DOMINIO PROCE DS5 Garantizar la Seguridad de los Entregar y Dar Soporte SO Sistemas RESPONSABLE

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario N CUESTIONARIO RESPUESTA º Se realiza una solicitud ante la oficina

de

recursos

humanos,

exponiendo los motivos por los ¿Cuál es el procedimiento que se sigue cuales se solicita la creación, 1

para poder Crear, Modificar o Eliminar modificación o eliminación de la alguna cuenta de usuario?

cuenta. conjunto

En con

dicha la

oficia,

en

gerencia,

se

decide si aceptar o no la solicitud enviada. Los perfiles ¿Cuál es el criterio que utilizan para otorgar otorgan 2

una de las cuentas de usuarios creadas?, En caso de ser afirmativa la respuesta, ¿Cada cuánto realizan la revisión de la gestión de las cuentas de usuario? OBJETIVO DE CONTROL

º

dependiendo

de

se las

empleados propietarios de cada

¿Realizan revisión de la gestión de cada

N

privilegios

los perfiles y privilegios de las cuentas de funciones desarrolladas por los usuarios de la empresa?

3

y

una de las cuentas. Si se realiza una revisión de la gestión de las cuentas de usuario. Dicha revisión se realiza una vez al año. Sin embargo, de estas revisiones no se deja constancia alguna.

DS5.9 Prevención, Detección y Corrección de Software Malicioso

CUESTIONARIO

RESPUESTA

¿Cuentan todos los equipos de cómputo Si todos los equipos de cómputo 1

con antivirus debidamente instalados y con cuentan con antivirus instalado, su respectiva licencia? con su licencia. ¿Cuál es el criterio que utilizan para En realidad, no existe ningún

2

escoger los antivirus instalados en los criterio para la adquisición de los

3

equipos de cómputo? antivirus. ¿Cada cuánto realizan un escaneo en los El escaneo de los equipos de Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

equipos de cómputo, a fin de determinar si cuentan con algún archivo o software malicioso instalado?

cómputo se realiza de manera mensual. Una

vez

se

software

malicioso

computador, ¿Cuál es el protocolo que siguen una vez 4

se encuentra algún software malicioso en un equipo?

encuentra se

algún

en

un

procede

a

eliminarlo del equipo en el cual se encontraba. Además, se verifica que tanto daño logro causar dicho virus y, por último, se examinan los demás equipos para verificar que tanto logro expandirse el

software malicioso encontrado. DS5.10 Seguridad de la Red

OBJETIVO DE CONTROL N CUESTIONARIO º

RESPUESTA Si actualmente se cuenta con un plan

1

de

control

y

acceso

al

¿Cuentan con algún plan de control y internet, que permite el bloquea el acceso a la internet?

acceso a ciertas páginas web que poseen contenido potencialmente peligroso e inadecuado.

¿Cada 2

cuánto

se

revisa

el

cableado

estructurado, con el fin de establecer en qué condiciones se encuentra?

El cableado estructurado se revisa cada 6 meses. La verdad únicamente se tiene

¿Con que frecuencia se acercan a los 3

empleados de la empresa, con el fin de conocer cuáles son las mayores dificultades que estos afrontan en la red?

conocimiento de los problemas que los empleados presentan en la red, cuando éstos se acercan a comunicarnos trabajar

que

debido

no

pueden

a

algún

inconveniente de red presentado.

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168

ENTREVISTADO CARGO

CARLOS PÉREZ CARRANZA JEFE DE SISTEMAS

Fase 3 | Trabajo colaborativo III

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF