Práctica 1 Auditoría 1 Zuly Cortez

 

Universidad Mariano Gálvez de Guatemala Facultad de Ingeniería de Sistemas de Información Maestría en Seguridad de Sistemas de Información  Auditoría Informática Ing. Rubén Vela

Práctica 1 ESTUDIO DE CASO AUDITORÍA DE SEGURIDAD LÓGICA ERP 

Zuly Beatriz Cortez Marcos Carné: 2093-06-6570 Plan Sábado Sección “A” 

25 de enero de 2020

 

ESTUDIO DE CASO AUDITORÍA DE SEGURIDAD LÓGICA ERP  1. Desarrollar el flujo de proceso sobre las actividades a realizar .

Fase de planificación  

Establecer el enfoque, objetivo objetivo y alcance de la

auditoría -  Identificar el área a ser auditada -  Identificar el propósito -  Identificar los sistemas específicos a auditar   Realizar una planificación previa a la autoría sobre: Realizar una evaluación de riesgos Entrevistar al personal para inquirir sobre actividades y áreas de interés.   Determinar los procedimientos Identificar y obtener políticas de seguridad Identificar y seleccionar métodos para realizar la evaluación Seleccionar herramientas de auditoría para realizar evaluaciones.

Fase de trabajo de campo  

Recopilar información,   Hacer pruebas a los controles actuales a través de las herramientas seleccionadas.   Identificar de riesgos y amenazas de los usuarios y aplicaciones a de acuerdo al alcance.   Documentar resultados.

Fase de informes

Elaboración de informe,   Emisión informe    Mostrar resultados y recomendaciones    Dar seguimiento   

 

2. Establecer el contexto para el análisis de riesgo correspondiente. Se ha solicitado por parte del Gerente de Informática un análisis sobre segregación de funciones (SoD), del ERP principal. La auditoría busca establecer el nivel de Riesgo por usuario y aplicación que existe en la organización, con el fin de definir controles sobre accesos y permisos de acuerdo al tipo de usuario y así evitar robo de información, fraude o algún otro error que ponga en riesgo a la organización.

3. Realizar el análisis de riesgo sobre los puestos y aplicaciones proporcionadas (incluya mapa de calor). 3.1.

3.2.

Identificación de activos -

Usuarios 

-

Aplicaciones 

Identificación de los riesgos - Fuga de información  -

Intrusos informáticos 

-

Còdigo malicioso 

-

Robo de información y contraseñas  

-

Acceso no autorizado a las bases de datos 

Matriz de Riesgo  Descripciòn del Riesgo

Exposición  Probabilidad  Impacto 

Riesgo 

Fuga de información

Baja

Media

Mayor

Alto

Intrusos informáticos

Media

Media

Mayor

Medio

Còdigo malicioso

Media

Alta

Importante

Alto

Baja

Menor

Bajo

Media

Significativo Medio

Robo de información contraseñas  Acceso no autorizado

y Baja Media

 

4. Determinar el Top 10 de Puestos Crí Críticos ticos (Por su nivel de riesgo y aplicaciones críticas). -  Director ejecutivo de la organización -  Director financiero de la organización -  Gerente de IT -  Administrador de Sistemas -  Administrador de bases de datos

5. Establecer los hallazgos y recomendaciones que deberían ser de utilidad a la Empresa y Gerencia de IT. Considere también una propuesta de procedimiento (únicamente a nivel flujo para la gestión de acceso a aplicaciones). 5.1.

Hallazgos sistema no tienen un -  Las contraseñas que manejan los usuarios del sistema nivel de seguridad aceptable.

-  No hay configuración de usuarios y niveles de acceso. instalación de aplicaciones por lo que que -  No existe restricción en la instalación cualquiera podría dejar instalar un virus.

5.2.

Recomendaciones validaciones de entradas en el desarrollo para evitar el -  Realizar validaciones ingreso de cualquier contraseña.

-  Establecer una política de seguridad que sirva de guía al usuario para introducir una contraseña. niveles de acceso a la información a los los -  Debe configurarse los niveles usuarios de acuerdo a sus funciones para evitar que haya intrusiones en las aplicaciones.

-  Establecer una política de seguridad que restrinja la instalación de aplicaciones no autorizadas.