COLABORATIVO AUDITORIA DE SISTEMAS
Short Description
Download COLABORATIVO AUDITORIA DE SISTEMAS...
Description
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos, Controles
Víctor Julio Martínez Barrios William Mario Villa Castro Enrique David Pinto Peralta
Grupo colaborativo: 90168_6
Tutor Yolima Esther Mercado Palencia
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas 2017
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Contenido Introducción...............................................................................................................3 Objetivos....................................................................................................................4 Objetivo general.....................................................................................................4 Objetivos específicos.............................................................................................4 1
Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los
Usuarios.....................................................................................................................5 2
Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7
3
Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los
Usuarios...................................................................................................................10 4. Tabla
de
hallazgos proceso:
DS5
Garantizar
la
Seguridad
de
los
Sistemas…...18 5. Tabla de Tratamiento de Riesgos…………………………………………………… 27 6. Tabla de Controles de Riesgos ...…………………………………………………… 28 Conclusiones...........................................................................................................30 Referencias bibliográficas........................................................................................31 Anexo1 Cuestionario de Control: C1.......................................................................32 Anexo 2 Cuestionario de Control C2 ...………………………………………………… 34 Anexo 3 Entrevista ………………………………………………………………………36
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Introducción El presente informe se entrega como evidencia del desarrollo del tercer trabajo colaborativo del curso de auditoría de sistemas en la universidad nacional abierta y a distancia UNAD. En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo durante el desarrollo de los trabajos colaborativos previos. Para cada uno de los procesos del estándar COBIT que se han venido trabajando, se presenta el cuadro de tratamiento de los riesgos encontrados, así como los hallazgos y los controles propuestos para dichos riesgos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Objetivos Objetivo general
Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la empresa Softcaribbean S.A.
Objetivos específicos
Analizar la matriz de riesgos de cada proceso del estándar COBIT abordado, para generar su cuadro de tratamiento de riesgos. Diseñar el cuadro de hallazgos para cada uno de los procesos del estándar COBIT abordados. Determinar los controles propuestos para cada uno de los riesgos encontrados en los procesos del estándar COBIT abordados.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios Antes que nada, debemos recordar la matriz de riesgos detectados para el proceso DS7 Educar y Entrenar a los Usuarios: N° R1 R2
Probabilidad B M A
Descripción No se capacita al personal en temas relacionados con la seguridad informática Falta de capacitación y sensibilización del personal del área de sistemas No existe un control sobre los insumos y recursos
Impacto L M C
X
X
X
X
informáticos que la empresa compra, lo cual permite que R3
estos sean utilizados para tareas diferentes a las
X
X
previstas, haciendo que éstos se acaben de una manera
R4
R5
más rápida Los empleados no usan VPN para conectarse a la red de
información a personal externo o para el registro en foros y redes sociales. Algunos de los
R6
X
la empresa Uso indebido del correo electrónico para el envío de
empleados
conectan
X
X
X
dispositivos
personales no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la
X
X
entrada de piratas cibernéticos
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Alto
PROBABILIDAD
61100% Medio 31-60% Bajo
R1, R5
R4
R3
R2
R6
Leve
Moderado
Catastrófico
0-30%
IMPACTO
N° R1 R2
R3
R4
R5
Descripción Riesgo No se capacita al personal en temas relacionados con la seguridad informática Falta de capacitación y sensibilización del personal del área de sistemas No existe un control sobre los insumos y recursos informáticos que la empresa compra, lo cual permite que estos sean utilizados para tareas diferentes a las previstas, haciendo que éstos se acaben de una manera más rápida Los empleados no usan VPN para conectarse a la red de la empresa Uso indebido del correo electrónico para el envío de información a personal externo o para el registro en foros y
Tratamiento Riesgo Transferir Controlarlo
Aceptarlo
Controlarlo
Controlarlo
redes sociales. Algunos de los empleados conectan dispositivos personales R6
no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la entrada de piratas
Controlarlo
cibernéticos
2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
REF HALLAZGO 1
HHDN_0 1
PROCESO
Capacitación a empleados acerca del PÁGINA
AUDITADO
uso seguro de las herramientas TIC.
RESPONSABLE
Víctor Julio Martínez Barrios
MATERIAL
DE
SOPORTE
1
DE
1
COBIT
DOMINI
ENTREGAR
O
SOPORTE
Y
DAR PROCES O
DS7: Educar y Entrenar a los Usuarios
DESCRIPCIÓN: Se encuentra que la empresa no cuenta con un plan de capacitaciones enfocadas
en
ayudarle
a
sus
empleados
a
reconocer
los
comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la empresa como externas. Se detecta que los empleados no usan VPN para acceder desde redes diferentes a la interna, a repositorios que contienen información privada de la empresa y sus clientes.
REF_PT: Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
La falta de capacitación de los empleados en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC, puede ocasionar serios problemas de seguridad para la empresa, ya que se corre el riesgo de que los empleados sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos, que buscan la obtención ilegal de información confidencial, tanto de las personas como de las empresas para las que laboran. Al no garantizarse la seguridad en las conexiones de los empleados a través
del
uso
de
VPN,
se
abre
una
puerta
a
personas
malintencionadas para que tengan acceso a información de la empresa y sus clientes, poniendo en alto riesgo el desarrollo de las actividades de la compañía.
RIESGO: Probabilidad de ocurrencia: 100% Impacto según relevancia del proceso: Alto.
RECOMENDACIONES: Implementar un programa de capacitación para los empleados de la empresa, en el que se busque mantenerlos conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional, aminorando así el riesgo de pérdida o divulgación de información de ellos y de la empresa. Implementar el uso de VPN para asegurar las conexiones de los empleados a los repositorios de información de la empresa, cuando no estén conectados a la red interna.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios Riesgos o hallazgos encontrados Falta de capacitación y sensibilización
del
personal del área de
Tipo de control PREVENTIVO
Soluciones o controles Construir un plan de capacitaciones periódicas para el personal de sistemas en las que se actualicen los conocimientos de los mismos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se CORRECTIVO
sistemas
usan en la empresa. Si no se cuenta en la empresa con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga.
Los
empleados
usan
VPN
no para
conectarse a la red de
Implementar el uso de una VPN en todas las CORRECTIVO
conexiones de los empleados de la empresa a los repositorios de información de la misma.
la empresa
Exponer a los empleados los riesgos a los que PREVENTIVO
para
el
envío de información a
la cuenta de correo electrónico empresarial para tratar asuntos diferentes a los laborales. Instalación de herramienta de software de
Uso indebido del correo electrónico
se exponen y exponen a la empresa, al utilizar
análisis de contenido de correo electrónico que DETECTIVO
permita el monitoreo en tiempo real del uso dado a el correo electrónico empresarial por
personal externo o para el registro en foros y
parte de los empleados. Tomar acciones disciplinarias
redes sociales
empleados que usen la cuenta de correo CORRECTIVO
sobre
los
empresarial para tratar temas diferentes a los laborales. En caso de detectarse que se ha comprometido
la
cuenta
de
correo
del
empleado deshabilitar la misma. Algunos empleados
de
los
conectan
dispositivos personales no seguros a la red de la
empresa
lo
que
puede generar huecos de
seguridad
Ejercer PREVENTIVO
controles
de
seguridad
para
la
conexión de dispositivos no permitidos a la red de la empresa.
dando
cabida a la entrada de piratas cibernéticos
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Aporte: William Mario Villa Castro Análisis y evaluación de riesgos:
Fase 3 | Trabajo colaborativo III
N°
Probabilidad Baja Media Alta
Descripción
Leve
Impacto Moderado Catastrófico
Falta de un plan Universidad Nacional Abierta y a Distancia
R1 x Escuelaestratégico de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
x
Falta de conocimiento
R2
de la importancia de
x
un plan estratégico
x
de TI Falta de un plan de R3
desarrollos aplicaciones
de
X
para
X
toma de decisiones Falta de un manual de R4
aplicaciones
donde se registre el
x
uso y la confiabilidad
X
de los datos de la empresa. Falta de un plan para R5
la
adquisición
de
X
x
recurso tecnológicos falta de personal especializado R6
para
dar asesorías sobre
x
x
las tecnologías Falta de un modelo R7
R8
R9
de
información
empresarial. Falta de un plan de infraestructura de TI. Falta de unos estándares
X
x
x
x
X
X
x
X
x
X
Tecnológicos. Falta de un monitoreo R10
de
las
evoluciones
Tecnológicas. Falta de herramientas R11
para la clasificación TI. Falta de definición de
R12
responsabilidades
y
Fase 3 | Trabajo colaborativo III X
X
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
PROBABILID
Alto 61-100% Medio 31-60% Bajo 0-30%
R3
R5
R1, R12
R2,R4,R6,R9,r10,R11
R13
Moderado
Catastrófico
R7,R8
AD
Leve
IMPACTO Tabla Hallazgos
REF HALLAZGO 1 HHDN_0 1
PROCESO
P01 Definir un Plan Estratégico de TI.
AUDITADO RESPONSABLE MATERIAL SOPORTE DOMINIO
PÁGINA 1
DE
1
William Mario Villa Castro DE
COBIT
Planear Organizar
y
P01 Definir un PROCESO
Plan Estratégico de TI.
DESCRIPCIÓN:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Falta de un plan estratégico: La empresa no cuenta con un diseño de una planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. Falta de definición de responsabilidades y roles del personal: La empresa no cuenta con las jerarquías definidas, sin asignación de responsabilidades del personal.
REF_PT: Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de TI, existiendo una falta de negligencia por parte de la gerencia y del personal encargado de TI, carencia de control sobre la efectividad y eficiencia de los componentes TI, no cuenta con planes definidos ni planes de contingencia para cualquier eventualidad. No se establece con claridad los roles y responsabilidades del personal para el buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.
RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un 100%, mostrando un impacto catastrófico para la empresa.
RECOMENDACIONES: Debemos hacer una relación de las metas y los objetivos con la TI, diseñar y construir un plan estratégico de TI, construir un planes tácticos de TI, contratación de personas idóneas en el tema de las TI.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
La planeación estratégica de TI es un proceso documentado, el cual se debe tener en cuenta para el cumplimiento de los objetivos y las metas definidas por la empresa.
CUESTIONARIO DE CONTROL DOMINIO
Planear y Organizar
OBJETIVO DE CONTROL Nº
PROCESO
P01 Definir un Plan
Estratégico de TI. PO1.1 Administración del Valor de TI
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
¿Cuentan con un plan 1
estratégico
de
TI
la
X
empresa? ¿Conoce la necesidad 2
la empresa de contar
X
con un plan estratégico de TI?
P02. DOMINIO
Planear y Organizar
OBJETIVO
DE PO2.1
CONTROL ¿Se
Modelo
Arquitectura
de
la la
Información. de Arquitectura de Información
Empresarial mantiene un
desarrollo 3
PROCESO
Definir
aplicaciones
de para
la
x
toma de decisiones de la empresa?
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
¿Existe algún manual de 4
aplicaciones
actividades
donde
6
se
x
registre el uso y la confiabilidad
5
o
de
los
datos de la empresa? ¿Cuentan con una base de datos la empresa? ¿Cuentan con un inventario de todos los componentes
de
la
x
x
infraestructura de TI? ¿Existe un plan para la 7
adquisición de recurso
x
tecnológico? DOMINIO
Planear y Organizar
OBJETIVO
DE
CONTROL ¿Cuenta con 8
con
P03.
Determinar
la
Dirección Tecnológica.
PO3.1 Planeación de la Dirección Tecnológica
la
empresa
asesorías
personal
PROCESO
de
especializado
respecto
a
x
las
tecnologías?
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS TABLA HALLAZGO 1 REF HALLAZGO 1 HHDN_O1
PROCESO AUDITADO
Planes para información.
RESPONSABLE
Enrique David Pinto Peralta
MATERIAL
DE
SOPORTE DOMINIO
la
recuperación
PÁGINA
de 1
DE
1
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la Seguridad de los Sistemas
DESCRIPCIÓN: No se cuenta con un plan de recuperación de información, en caso que se produzca pérdida parcial o total de la misma. No se realiza de manera organizada ni periódica las copias de seguridad o backup de la información de la empresa. No existe una persona encargada de realizar y custodiar las copias de seguridad o backup de la información de la empresa.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS: Al no existir un plan de recuperación de información, en el momento que se produzca una pérdida parcial o total de la misma, esa información no podrá recuperarse, lo cual puede incluso llevar a la desaparición de la empresa. Al no realizar de manera periódica ni organizada las copias de seguridad de la empresa, cualquier información que pueda llegar a borrarse está en riesgo de no volver a ser recuperada. Al no existir una persona encargada de realizar y custodiar las copias de seguridad en la empresa, existe un alto porcentaje que estas nunca se realicen o se hagan de manera muy esporádica, lo cual hace vulnerable de una perdida en cualquier momento a la información de la empresa.
RIESGO: ¿ 100
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES: Elaborar un plan de acciones a realizar en caso que se produzca una pérdida parcial o total de la información de la empresa. Elaborar un cronograma para la realización de las copias de seguridad o backup de la información de la empresa, de manera que permita tener siempre presente la importancia de su realización diaria. Asignarle a una persona la responsabilidad de la realización y custodia de las copias de seguridad de la información de la empresa, de manera
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
que no existan pretextos para la no realización de las mismas.
TABLA HALLAZGO 2 REF HALLAZGO 2 HHDN_O2
Nivel de Capacitación del personal encargado de Mantenimiento del cableado estructurado y de la Red en General.
PROCESO AUDITADO RESPONSABLE MATERIAL
DOMINIO
1
DE
1
Enrique David Pinto Peralta DE
SOPORTE
PÁGINA
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la Seguridad de los Sistemas
DESCRIPCIÓN: No existe personal capacitado para la realización de los mantenimientos del cableado estructurado de la red y de los equipos que la componen. No existe un plan de capacitación para el personal técnico encargado del mantenimiento de los equipos y cableado estructurado que integran la red de la empresa, de manera que se garantice su adecuado funcionamiento.
REF_PT:
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS: Al no contar con personal adecuadamente capacitado para la realización de los mantenimientos de los equipos y del cableado estructurado de la red se puede producir una reducción en los niveles de seguridad de la red de la empresa, exponiendo de esta manera toda la información confidencial de la misma a personas inescrupulosas que pretendan acceder a dicha información, así como a softwares maliciosos que puedan llegar a ocasionar pérdida parcial o total de dicha información. Además, si los mantenimientos no se realizan de manera correcta, se puede producir una disminución en los niveles de productividad de los empleados, motivado por errores de conexión que no permiten ingresar o vuelven más lentos los sistemas manejados en la empresa. Al no existir un plan de capacitación para el personal encargado del mantenimiento de los equipos y cableado estructurado de la red de la empresa, siempre va a existir un desconocimiento en dicho personal que puede llevarlo en cualquier momento a cometer errores durante la realización de dichos mantenimientos que pueden poner en riesgo la información y actividades de la empresa.
RIESGO: ¿ 100
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES: Contratar personal capacitado que se encargue de la realización de los mantenimientos de los equipos y el cableado que conforman la red de la empresa, de manera que se garantice la seguridad de la misma. Elaborar un plan de capacitaciones periódicas al personal encargado
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
del mantenimiento del cableado y los equipos que integran la red de la empresa, de manera que siempre se garantice la realización de estos mantenimientos de manera adecuada.
TABLA HALLAZGO 3 REF HALLAZGO 3 HHDN_O3
PROCESO AUDITADO
Control en la Compra de los Softwares Antivirus.
RESPONSABLE
Enrique David Pinto Peralta
MATERIAL
DE
SOPORTE DOMINIO
PÁGINA 1
DE
1
COBIT
Entregar y Dar Soporte
PROCESO
DS5 Garantizar la Seguridad de los Sistemas
DESCRIPCIÓN: No existen informes previos que recomienden y avalen la compra de los antivirus que se han adquirido hasta el momento en la empresa. No se tienen identificadas las necesidades de seguridad de la información de la empresa, de manera que con base en estas necesidades se pueda determinar cuál es el antivirus indicado para comprar.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2) ENTREVISTA (ANEXO 3) CONSECUENCIAS: Al no existir informes previos que recomienden y avalen la compra de un determinado Antivirus, se terminaran utilizando otros criterios, para comprar los antivirus, tales como precio, facilidad de descarga, facilidad de instalación, entre otros, lo cual hace que la información de la empresa este permanentemente en riesgo, dado que lo más probable es que los antivirus adquiridos no cumplan con los requisitos mínimos de seguridad de la información. Al no tener identificadas las necesidades de seguridad de la información de la empresa, los antivirus que se compren no van a brindar los niveles de seguridad requeridos por la empresa, razón por la cual la información de la misma va a estar todo el tiempo vulnerable a la acción de personas y softwares maliciosos.
RIESGO: ¿ 100
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES: Elaborar un informe cada vez que se requiera adquirir un software Antivirus, con el fin de determinar, de acuerdo a sus características y a las necesidades de seguridad de la información de la empresa, cual es el más indicado para comprar. Elaborar un estudio que permita identificar claramente cuáles son las necesidades de seguridad de la información de la empresa, de manera que establezca que información requiere mayor grado de seguridad y cual menor seguridad. Además, el estudio debe permitir identificar cuales equipos de cómputo manejan la información que requiere mayor seguridad y cuál es la manera de transportar dicha información, ya sea
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
a través de la red, de una intranet o de dispositivos tales memorias usb o cds; todo lo anterior, con el objetivo de determinar cuál es el antivirus más idóneo para salvaguardar la información de la empresa. ANÁLISIS Y EVALUACIÓN DE RIESGOS TABLA DE VALORACIÓN DE LOS RIESGOS N°
Descripción
R1
Falta de control de cuentas de usuario
R2
Falta de control en los permisos y privilegios de cada una de las cuentas de usuario de la empresa. Falta de revisión de la gestión de las cuentas de usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso Falta de control en la compra de los Antivirus instalados No existe registro de los softwares maliciosos encontrados No existe control de
Probabilidad Baja
R3
R4
R5
R6
R7
Media
Alta
Impacto Leve
X
Moderado
Catastrófico
X
X
X
X
X
X
X
X
X
X
X
X
X
los dispositivos de almacenamiento R8
R9
(usb, cd, discos). Falta de controles de acceso a la información No existe un firewall activo
X
X
X
X
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
R1
No existe un Control y monitoreo en el 0 acceso a Internet R11 Mantenimiento del cableado estructurado por parte de personal poco capacitado R1 Ausencia de planes para recuperación 2 de información R1 No se garantiza la seguridad en las 3 conexiones R1 Desconocimiento en seguridad 4 informática de los empleados
X
X
X
X
X
X
X
X
X
X
MATRIZ DE RIESGOS
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
R6
R5, R11, R14
R8, R12
R3
R1, R9
R13
R2
R4, R7, R10
PROBABILIDAD
Alto 61-100% Medio 31-60% Bajo 0-30% Leve
Moderado
Catastrófico
IMPACTO Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media Alta probabilidad de ocurrencia
5. TABLA DE TRATAMIENTO DE RIESGOS ID.
Descripción Riesgo
Tratamiento Riesgo
Riesgo
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
R1 R2
R3 R4
R5 R6 R7 R8 R9 R10 R11 R12 R13 R14
Falta de control de cuentas de usuario Falta de control en los permisos y privilegios de cada una de las cuentas de usuario de la empresa. Falta de revisión de la gestión de las cuentas de usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso Falta de control en la compra de los Antivirus instalados No existe registro de los softwares maliciosos encontrados No existe control de los dispositivos de almacenamiento (usb, cd, discos). Falta de controles de acceso a la información No existe un firewall activo No existe un Control y monitoreo en el acceso a Internet Mantenimiento del cableado estructurado por parte de personal poco capacitado Ausencia de planes para recuperación de información No se garantiza la seguridad en las conexiones Desconocimiento en seguridad informática de los empleados
Controlarlo Controlarlo
Aceptarlo Controlarlo
Controlarlo Controlarlo Controlarlo Controlarlo Eliminarlo Controlarlo Transferirlo Eliminarlo Controlarlo Controlarlo
6. TABLA DE CONTROLES DE LOS RIESGOS RIESGOS o HALLAZGOS ENCONTRADOS
Falta de control cuentas de usuario
de
TIPO DE CONTROL CORRECTIVO
SOLUCIONES O CONTROLES Control sobre la creación, modificación o eliminación de alguna cuenta de usuario, dejando como constancia un acta cada vez que se realice uno de estos procesos.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Falta de control en los CORRECTIVO Controlar que los permisos y privilegios otorgados a cada una de las cuentas de permisos y privilegios de usuario, sean de acuerdo a las cada una de las cuentas funciones que desarrolla el dueño de la de usuario de la cuenta. empresa. Falta de revisión de la PREVENTIVO Hacer revisiones periódicas de la gestión desarrollada por cada una de gestión de las cuentas de las cuentas de usuario, dejando como usuario existentes Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso
PREVENTIVO
Falta de control en la CORRECTIVO compra de los Antivirus instalados No existe registro de los CORRECTIVO softwares maliciosos encontrados No existe control de los dispositivos de almacenamiento (usb, cd, discos).
PREVENTIVO
Falta de controles de acceso a la información
PREVENTIVO
No existe activo
PREVENTIVO
un
firewall
No existe un Control y CORRECTIVO monitoreo en el acceso a Internet
constancia un informe de dichas revisiones. Revisar periódicamente los equipos de cómputo, para establecer si tienen instalado algún tipo de software malicioso que ponga en riesgo la seguridad de la información de la empresa. Comprar los Antivirus con base en un informe que avale dicha compra, de acuerdo a las necesidades de seguridad de la información de la empresa. Llevar un registro de los softwares maliciosos encontrados en los equipos de cómputo, indicando el procedimiento realizado para eliminarlo. Deshabilitar los puertos usb y unidades ópticas en los equipos que no son necesarios, para evitar transferir softwares maliciosos o robo de información a través de memoria usb o cds. Control en el acceso a la información, de manera que cada empleado pueda acceder solo a la información que necesita para el adecuado desarrollo de sus funciones. Contar con un Firewall que brinde mayor seguridad a la red, de manera que bloquee el contenido que considera que pone en riesgo dicha seguridad. Controlar el acceso a las páginas web, bloqueando el acceso a aquellas páginas que no brindan ningún tipo de beneficio para el desarrollo de las actividades laborales.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Mantenimiento del CORRECTIVO Contratar personal capacitado para la realización de los mantenimientos del cableado estructurado cableado estructurado y de los demás por parte de personal equipos que conforman la red. poco capacitado Ausencia de planes para PREVENTIVO Elaborar un plan determine los pasos a seguir para recuperar información, en recuperación de caso que se produzca pérdida de la información
No se garantiza la CORRECTIVO seguridad en las conexiones
Desconocimiento en CORRECTIVO seguridad informática de los empleados
misma. Dicho plan debe contemplar distintas causas posibles que produzcan perdida de información. Además, en este plan se debe incluir el cronograma de las copias de seguridad a realizar, estableciendo la cantidad de backup por días y las horas de realización de los mismos. Garantizar la seguridad de los sistemas mediante la realización de mantenimientos de la red por personal capacitado, la compra de antivirus licenciados, la compra de equipos de red y de computo de última tecnología que brinden una mayor seguridad, entre otros. Capacitar a los empleados en seguridad informática, de manera que tomen las precauciones necesarias para evitar cualquier tipo de perdida de información por algún descuido o error humano.
Conclusiones Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos detectados en cada proceso de la empresa y ayudar en la toma de decisiones respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el desarrollo de las actividades de la empresa.
Referencias bibliográficas Astello,
R.
J.
(2015). Auditoria
en
entornos
informáticos.
Recuperado
de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación
de
tecnologías
de
la
información.
Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action? docID=11013780 Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet. Recuperado
de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO
%3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005 0101&spage=171&pages=171186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T %c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L %c3%a1zaro+J.&id=DOI%3a&site=ftf-live
Anexos, cuestionario de control: C1
Dominio
Oficina principal Softcaribbean S.A. Cuestionario de Control: C1 ENTREGAR Y DAR SOPORTE
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Proceso
DS7: Educar y Entrenar a los Usuarios Pregunta
OBJETIVO DE CONTROL
Si No OBSERVACIONES DS7.1 Identificación de Necesidades de Entrenamiento y
Educación ¿Se cuenta con un programa de capacitación en el uso seguro de las herramientas informáticas para los
5
empleados? ¿Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales? OBJETIVO DE CONTROL
DS7.2 Impartición de Entrenamiento y Educación
¿Se capacita al personal en cuanto a las nuevas
5
amenazas que surgen? ¿Se cuenta con un repositorio de información acerca de la seguridad en el uso de las herramienta TIC en la empresa? ¿Se realizan campañas de prevención de conductas inseguras para los empleados? OBJETIVO DE CONTROL
Semestral Accesible para todos los
4
empleados
(Digital
o
físico) 3
DS7.3 Evaluación del Entrenamiento Recibido
¿Se posee un registro de problemas de seguridad
3
presentados a los empleados? ¿En el registro de problemas se tiene en cuenta con los siguientes datos? Fecha Número de registro
3
Identificación del empleado Detalle del problema Detalle de las causas Detalle de la solución aplicada TOTALES
7
19
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
ANEXO 2. CUESTIONARIO DE CONTROL C2
Dominio Proceso
EMPRESA SOFTCARIBBEAN S.A. Cuestionario de Control: C2 Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario Pregunta Si No OBSERVACIONES ¿Se cuenta con un listado detallado de las 4 cuentas de usuario de la empresa? Si existe el listado, ¿Contiene los siguientes ítems? Cuenta de Usuario Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Nombre del empleado propietario de la cuenta Identificación del empleado propietario de la cuenta Cargo del empleado propietario de la cuenta Fecha de creación de la cuenta Perfiles activos y privilegios de la cuenta ¿Se lleva un procedimiento para la creación, 4 modificación o eliminación de las cuentas de usuarios? OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software Malicioso
¿De los antivirus instalados se cuenta con los 4 siguientes datos? Nombre del antivirus Licencia del antivirus Fecha de Compra Fecha de Instalación Fecha de Caducidad ¿Se lleva un procedimiento para la adquisición de 4 nuevos antivirus? ¿Se posee un registro de los softwares maliciosos 3 encontrados en los equipos de cómputo? ¿En el registro de los softwares maliciosos se tiene en cuenta con los siguientes datos? Nombre del Software malicioso Características Fecha en la que se encontró Número del Computador Proceso utilizado para eliminar el software malicioso ¿Al momento de encontrar un software malicioso De una en un equipo, la atención que se presta es? Horas Inmediata De una a 24 horas De un día a 5 días Más de 5 días OBJETIVO DE CONTROL DS5.10 Seguridad de la Red ¿Se cuenta con un plan de control y acceso a la 3 internet, con el fin de preservar la seguridad de la información de la empresa? ¿Cuentan con algún plan de recuperación de 3
a
24
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
información en caso que se produzca pérdida de la misma? ¿Cada cuánto se realiza mantenimiento al 4 cableado estructurado de la red, con el objetivo de conservar sus condiciones mínimas de seguridad? ¿Qué tipo de mantenimiento se lleva a cabo? Mantenimiento preventivo Mantenimiento correctivo ¿El personal que se encarga del mantenimiento es personal capacitado? TOTALES 19
Cada 4 Meses
Correctivo
4 14
ANEXO 3. ENTREVISTA REF ENTIDAD AUDITADA
SOFTCARIBBEAN S.A.
PAGINA 1 D 1 E
OBJETIVO AUDITORÍA
Garantizar la protección de la información e infraestructura de los Sistemas de Información de la empresa, con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de los mismos.
PROCESO AUDITADO
Contratación TI
ENRIQUE DAVID PINTO PERALTA MATERIAL DE SOPORTE COBIT DOMINIO PROCE DS5 Garantizar la Seguridad de los Entregar y Dar Soporte SO Sistemas RESPONSABLE
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario N CUESTIONARIO RESPUESTA º Se realiza una solicitud ante la oficina
de
recursos
humanos,
exponiendo los motivos por los ¿Cuál es el procedimiento que se sigue cuales se solicita la creación, 1
para poder Crear, Modificar o Eliminar modificación o eliminación de la alguna cuenta de usuario?
cuenta. conjunto
En con
dicha la
oficia,
en
gerencia,
se
decide si aceptar o no la solicitud enviada. Los perfiles ¿Cuál es el criterio que utilizan para otorgar otorgan 2
una de las cuentas de usuarios creadas?, En caso de ser afirmativa la respuesta, ¿Cada cuánto realizan la revisión de la gestión de las cuentas de usuario? OBJETIVO DE CONTROL
º
dependiendo
de
se las
empleados propietarios de cada
¿Realizan revisión de la gestión de cada
N
privilegios
los perfiles y privilegios de las cuentas de funciones desarrolladas por los usuarios de la empresa?
3
y
una de las cuentas. Si se realiza una revisión de la gestión de las cuentas de usuario. Dicha revisión se realiza una vez al año. Sin embargo, de estas revisiones no se deja constancia alguna.
DS5.9 Prevención, Detección y Corrección de Software Malicioso
CUESTIONARIO
RESPUESTA
¿Cuentan todos los equipos de cómputo Si todos los equipos de cómputo 1
con antivirus debidamente instalados y con cuentan con antivirus instalado, su respectiva licencia? con su licencia. ¿Cuál es el criterio que utilizan para En realidad, no existe ningún
2
escoger los antivirus instalados en los criterio para la adquisición de los
3
equipos de cómputo? antivirus. ¿Cada cuánto realizan un escaneo en los El escaneo de los equipos de Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
equipos de cómputo, a fin de determinar si cuentan con algún archivo o software malicioso instalado?
cómputo se realiza de manera mensual. Una
vez
se
software
malicioso
computador, ¿Cuál es el protocolo que siguen una vez 4
se encuentra algún software malicioso en un equipo?
encuentra se
algún
en
un
procede
a
eliminarlo del equipo en el cual se encontraba. Además, se verifica que tanto daño logro causar dicho virus y, por último, se examinan los demás equipos para verificar que tanto logro expandirse el
software malicioso encontrado. DS5.10 Seguridad de la Red
OBJETIVO DE CONTROL N CUESTIONARIO º
RESPUESTA Si actualmente se cuenta con un plan
1
de
control
y
acceso
al
¿Cuentan con algún plan de control y internet, que permite el bloquea el acceso a la internet?
acceso a ciertas páginas web que poseen contenido potencialmente peligroso e inadecuado.
¿Cada 2
cuánto
se
revisa
el
cableado
estructurado, con el fin de establecer en qué condiciones se encuentra?
El cableado estructurado se revisa cada 6 meses. La verdad únicamente se tiene
¿Con que frecuencia se acercan a los 3
empleados de la empresa, con el fin de conocer cuáles son las mayores dificultades que estos afrontan en la red?
conocimiento de los problemas que los empleados presentan en la red, cuando éstos se acercan a comunicarnos trabajar
que
debido
no
pueden
a
algún
inconveniente de red presentado.
Fase 3 | Trabajo colaborativo III
Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
ENTREVISTADO CARGO
CARLOS PÉREZ CARRANZA JEFE DE SISTEMAS
Fase 3 | Trabajo colaborativo III
View more...
Comments
