Você está na página 1de 18

AUDITORIA DE SISTEMAS 1

Trabajo Colaborativo 1
Vulnerabilidades, amenazas y riesgos. Plan y Programa auditoria

Presentado Por:

Carmen Alicia Obando Paz – Código: 1085283902


Diego Fernando Estacio Martínez – Código:
Alexy Amanda Paz Meneses – Código: 1085254537
Edwin Giovany Patiño Castrillón – Código: 1085259588

No. de Grupo 90168_28

Presentado a

Francisco Nicolás Solarte

Universidad Nacional Abierta y a Distancia UNAD CEAD Pasto

Escuela de Ciencias Básicas y Tecnología ECBTI

Octubre de 2016
AUDITORIA DE SISTEMAS 2

INTRODUCCIÓN

El avance tecnológico tanto de la computación como de los sistemas de


información si bien facilita y agilizan los procesos, a su vez también se ven
vulnerables ante diversos factores que pueden poner en riesgo su correcto
funcionamiento. Por tanto para que no suceda eso es necesario revisar e
inspeccionar los proyectos tecnológicos y de información que es propiamente la
función de la auditoria para poder brindar un mejor trabajo de control a la
sociedad. La auditoría en informática es la revisión y evaluación de procesos
implementados en la empresa con respecto a sus equipos de cómputo y sistemas
de información, da respuestas entre muchas a cómo está funcionando, cómo se
están utilizando, cuáles son sus costos - beneficios, cuáles son sus riesgos, etc.
Estas auditorías son necesarias también para lograr una utilización más eficiente y
segura de la información. Todo esto hace que la auditoria de sistemas sea de gran
importancia para el buen uso, desempeño y optimización de los sistemas de
información en el contexto administrativo, institucional, social, económico etc.
AUDITORIA DE SISTEMAS 3

OBJETIVO GENERAL

 Aplicar a través de un ejercicio práctico los procesos que se llevan a cabo


en una auditoria de sistemas para logra una utilización más eficiente de
todos los recursos de la empresa.

Objetivos específicos

 Reconocer las vulnerabilidades, amenazas y riesgos en la empresa


seleccionada.

 Elaborar un plan de auditoria.

 Determinar los dominios, procesos y sus respectivos objetivos de control


dentro como parte de una auditoria al supermercado Amorel haciendo uso
de la metodología COBIT.
AUDITORIA DE SISTEMAS 4

INFORME DE CONSTRUCCIÓN GRUPAL

1. VULNERABILIDADES, AMENAZAS Y RIESGOS INFORMÁTICOS


DETECTADOS EN LA EMPRESA PROPUESTA

N° Vulnerabilidad Amenazas Riesgo Categoría


Falta de inducción, Mal manejo de sistemas y Perdida de datos por error del Personal
1 capacitación y herramientas informáticas usuario
sensibilización sobre
riesgos
Falta de control en el Infección de sistemas a Perdida de información y daño Hardware
2 análisis de las unidades de través de unidades en el sistema operativo
almacenamiento portables sin escaneo
Falta de actualización del Manipulación de la Adquisición de software que Software
sistema operativo de configuración no tiene soporte del fabricante
3 algunos equipos de Difusión de software
cómputo los cuales tienen dañino
Windows XP Fallos en el sistema
operativo
Falta de mantenimiento Falta de mantenimiento Fallas en el arranque Hardware
4 físico(repuestos, insumos) correctivo y preventivo Daño de equipos
periódico.
No eliminación de archivos Falta de mantenimiento Funcionamiento poco optimo Software
5 temporales de los discos del equipo
duros locales
Inadecuado empalme y Desinformación y falta de Ineficiencia y pérdida de Personal
6 entrega de cargos por parte conocimiento tiempo
de los empleados
Algunos equipos no Control de acceso Ataques de intromisión e Seguridad
7 cuentan con contraseñas de ingeniería social lógica
acceso
Uso inadecuado del correo La mala utilización del Fuga de información Seguridad
8 institucional correo, ya que no se lógica
utiliza solo para
comunicación laboral.
Falta de controles para el Falta control en el acceso Robo de información Seguridad
9 acceso a internet en y navegación de sitios lógica
algunas unidades de web
negocio
La prestación de servicio de El trabajador externo Atentados a las instalaciones Manejo y control
un agente de una empresa puede ser una víctima de la empresa de personal
10 externa. incógnita, indirecta y
presencial a una agresión
externa en contra de la
Empresa.
11 Fallas en la red Perdida de conexión Interrupción y perdida del Redes
acceso a internet
Falta de utilización de Errores de configuración Red local insegura Redes
12 firewall en los equipos o en
la red en algunas unidades
de negocio
13 Renuncias constantes a La falta de compromiso y Retraso en las tareas y Personal
cargos pertenencia a la empresa actividades designadas al
cargo
14 Daño accidental Derrame de un líquido Daño del equipo o partes Personal
AUDITORIA DE SISTEMAS 5

sobre los equipos físicas


15 Falta de actualización de Suplantación de identidad Errores en la prestación del Personal
datos por parte de los servicio y atención del usuario
usuarios
Fallas físicas o lógicas en No se cuenta con una Pérdida de información Software
dispositivos de copia de seguridad en un importante para la empresa
16 almacenamiento como disco u espacio de que se encuentra almacenada
discos duros de los equipos. almacenamiento diferente en los equipos de cómputo.
a los equipos del
personal.
Manejo inadecuado del Errores en la base de Falta de fiabilidad en la Software
17 software como bases de datos información suministrada en el
datos con los que cuenta la análisis de datos.
entidad
Falta de restricciones para Fácil acceso a Sustracción de inflación de la Software
18 dispositivos como USB, CD- dispositivos para guardar entidad.
ROM- DVD entre otros. información confidencial
de la empresa.
Sustracción de equipos de Personal interno y externo Perdida de la información Hardware
19 cómputo y periféricos de las de la empresa puede contenida en los equipos,
oficinas. robar fácilmente equipos perdida del patrimonio de la
de cómputo u periféricos. entidad.
Falta de personal que Deterioro por no revisión Fallas en los equipos de Personal
20 realice mantenimiento de los equipos. cómputo por falta de soporte.
correctivo y preventivo a los
equipos.
Controles de restricción de Instalación de software Sustracción o perdida de Software
21 privilegios de uso en los espía, dañino para el información
equipos de cómputo. sistema de la entidad.
Fallas en conexiones de red No acceso a la red de la Baja productividad debido a Redes
22 de la entidad entidad. que los equipos no se
conectaran al software de red
necesario para trabajar.
Falencias en el servidor de Imposibilidad de cargue Falta de información y análisis Seguridad
la entidad que recibe y en la base de datos y para la generación de lógica
23 almacena la información posterior análisis de la resultados de cada una de las
obtenida en campo por información recolectada diferentes encuestas.
parte de cada una de las por el personal de campo
regiones. de las diferentes
regiones.
Problemas en la Red que Contar con los archivos y Falta de archivos y Redes
24 impiden compartir carpetas, documentos necesarios documentos que deben ser
archivos necesarios para para poder realizar los conocidos por todo el grupo
todo el grupo de trabajo diferentes informes trabajo para generar los
diferentes informes
El Cableado eléctrico y de Desconexión a la red de Falta de comunicación interna Redes
redes con los que cuenta el la entidad por error o en el grupo de trabajo por
25 área de trabajo se desconocimiento y dallo desconexión de la red y
encuentra expuesto sin en los equipos por corto o perdida de información por
ninguna señalización. problemas eléctricos daños en los equipos
atribuidos a problemas
eléctricos.
El área de trabajo cuenta Los equipos presenten Perdida de información y Software
con equipo de cómputo de problemas de lentitud y retraso en la realización de las
baja gama. pérdida de información diferentes actividades debido a
AUDITORIA DE SISTEMAS 6

27 porque cuentan con las la baja capacidad o gama de


capacidades necesarias los equipos de cómputo con
para desarrollar las los que cuenta el área.
actividades inherentes al
área de trabajo.
Sustracción o pérdida de Perdida de la Falta de documentación Manejo y control
28 archivos físicos debido a la documentación archiva soporte de las encuesta de personal
falta de llaves en los referente a las encuestas agropecuarias por pérdida o
archivadores agropecuarias. Sustracción

No existe hoja de vida de No se sabe las Fallas de red al no tener Seguridad


29 los equipos de la entidad. características físicas y registradas las direcciones IP lógica
de software que cuenta la para no repetirlas. Perdida de
entidad. periféricos, cambio de sistema.
No existe control contra En caso de un incendio Perdida de información y de Seguridad física
30 incendios no existe una planeación patrimonio de la empresa.
para afrontar dicho
suceso.
Falta de actualización de los Difusión de software Uso de software no licenciado Software
31 antivirus, ya que son copias dañino
ilegales que no permiten su
actualización.
Los servidores y equipos Acceso físico a los Acceso no autorizado al área Manejo y control
del área de sistemas no se recursos del sistema de sistemas de personal
32 encuentran bajo algún
armario cerrado o en
alguna oficina con acceso
restringido.
Falta de actualización y Falta de concientización y Fallas en la configuración de Software
configuración adecuada del de programación de las los equipos
33 equipo, lo que no podría mismas por parte de
realizarse con efectividad personal de sistemas.
sino se cuenta con un
sistema original
El cableado estructurado de La manipulación de esta Daños de las comunicaciones. Redes
la red se encuentra a la red presenta daños,
34 intemperie rupturas y su transmisión
de datos suelen presentar
varias caídas de paquetes
de información.
35 Falta definición y Al no tener las directivas Accesos Físicos ilimitados a Seguridad física
delimitación de las áreas de de usuarios en el las áreas restringidas de la
cada integrante. servidor. empresa
Fallas en los sistemas Ausencia de parches de Caídas de los sistemas Software
operativos instalados seguridad y operativos
36 actualizaciones, pérdida
de información.
No utilización de software
licenciado.
Tener un punto de acceso War driving: software que Tener puntos de acceso a la Software
con un puerto de datos para permite hacer un mapa red sin protocolos de
que todas las exacto de la ubicación de seguridad (WEP-WAP).
37 comunicaciones en la red puntos de acceso
sean "públicas" dentro del inalámbricos abiertos con
rango de transmisión del la ayuda de un sistema de
AUDITORIA DE SISTEMAS 7

punto de acceso en la red. posicionamiento global


(GPS).
Cableado estructurado Fuerte impacto No tener un plan de Hardware
desgastado y sin económico por perdida de contingencia para identificar
38 certificación. información, daños de las áreas vulnerables y definir
equipos, cableado a la la distribución del sistema de
intemperie y de fácil cableado estructurado.
acceso.
Tener Bug´s en el sistema. Bug: comúnmente No tener programas que Hardware/Softw
conocido como («bicho»), ayudan a la detección de are
39 es un error o fallo en un bug´s y eliminación de errores
programa o hardware de de programación de software
computador que son denominados depuradores
desencadena un (debuggers).
resultado indeseado.
40 Tener un agujero de Exploit: es un software al No mantener todas nuestras Seguridad
seguridad (vulnerabilidad), que se le puede aplicaciones y sistemas lógica
un atacante podría usarla proporcionar actualizados: sabiendo que los
en su beneficio. involuntariamente los exploits se aprovechan de los
permisos necesarios agujeros de seguridad, resulta
para poder ejecutarse en vital cerrarlos cuanto antes.
un sistema e infectarlo Por eso es necesario
(virus) aprovechándose mantener una política de
de una vulnerabilidad. actualizaciones eficaz para
evitar dejar una ventana de
tiempo que pueda ser
aprovechada por los
atacantes.
Software no autorizado. Tener paquetes Pude existir fuga de Software
41 informáticos sin licencia, información, saturación de la
sin autorización se red, consumo excesivo de los
considera delito. discos duros.
Poco control y fácil acceso Personal no calificado o No limitar al personal sobre Hardware
a las instalaciones. externo con acceso sus funciones y el nivel de
ilimitado a los recursos de acceso a los recursos de la
42 la red. LAN permite perdidas
económicas. Posibilidad de ser
robados o dañados los discos,
cintas, listados de impresora,
etc.
Seguridad limitada en la WLAN Escáners o Pasar por alto la ubicación y Hardware/Softw
infraestructura de las "Ataque de Vigilancia", puntos estratégico vulnerables are
instalaciones de la consiste en recorrer un nos puede generar grandes
empresa. lugar que se desea pérdidas económicas.
43 invadir para descubrir
redes WLAN activas en
dicho lugar, así como
equipamientos físicos,
para un posterior ataque
o robo.
Temperatura Condiciones Los elementos de una red Hardware
medioambientales. sufren recalentamiento de sus
dispositivos por su utilidad o
por el ambiente, no tener
44 cuartos apropiados para
AUDITORIA DE SISTEMAS 8

nivelar la temperatura por


ejemplo servidores, rack
pueden sufrir de
recalentamiento y eventual
daño.
Condiciones geográficas Existen varios factores del Daño eventual por oxidación, Hardware
ambiente dependiendo de impacto económico en gran
45 la región como por escala. Se debe hacer
ejemplo en la costa la manteamiento preventivo y
salinidad del mar afecta el correctivo para minimizar el
hardware de una red. impacto.
Personas mal intencionadas Ejecución de código Modificación desautorizada de Seguridad
dispuestas añadir malicioso y o modificación los datos, o de software lógica,
información a programas no de archivos instalado en el sistema, Manejo y control
autorizados en el sistema. incluyendo borrado de de personal
46 Por ejemplo, el añadir archivos.
campos y registros en una
base de datos, o adicionar
código en un programa
(virus), o la introducción de
mensajes no autorizados en
una línea de datos.
Seguridad lógica limitada. Ejecución de código y Robo de información, Seguridad
47 software malicioso para intercepción de mensajes lógica
vulnerar la seguridad de
una red inalámbrica.
Access Point Spoofing o
"Asociación Maliciosa": en
este caso el atacante se
hace pasar por un access
point y el cliente piensa
estar conectándose a
una red WLAN
verdadera. Ataque
común en redes ad-hoc.
No tener control sobre los MAC Spoofing o No administrar una base de Seguridad
dispositivos conectados en "enmascarar el MAC", datos pertinente a la IP o lógica
la red ocurre cuando alguien dirección MAC de los
roba una dirección MAC dispositivos conectados a la
de una red haciéndose red nos hace susceptibles a
48 pasar por un cliente pasar desapercibidos equipos
autorizado. En general, externos.
las placas de redes
permiten el cambio de lo
numero MAC por otro, lo
que posibilita este tipo de
ataque.
AUDITORIA DE SISTEMAS 9

2. PLAN DE AUDITORIA

Objetivo General. Evaluar a través del diagnóstico pertinente el funcionamiento,


la eficiencia, la eficacia y seguridad de las instalaciones, los componentes de la
red, el software y el personal que administra los procesos tecnológicos de la
empresa.
Alcance. La auditoría se realizará en las siguientes plataformas del supermercado
Amorel:

Evaluaremos el software Multi usuario llamado SYSCAFE el cual es utilizado por


los cajeros (6), administradores (1), contador (1) liquidador (1) para manejar la
información disponible. Este Software es multiproceso.
Las instalaciones del Supermercado Amorel y todos los dispositivos físicos
conectados a la red: El servidor, el rack, el hardware que utilizan los cajeros, el
administrador, el contador y el liquidador, además distribución y estado del
cableado, normas y protocolos.
Capacidad del recurso humano para administrar los recursos de la red.
En el módulo de administración financiero se evaluará. La integridad y
seguridad de los datos financieros como el patrimonio, ingresos, egresos (el pago
a bancos, proveedores, impuestos, salarios a empleados, etc.), transacciones
registradas, el activo (bienes y derechos financieros de la empresa, que tiene la
persona o empresa), el pasivo (las obligaciones: es el financiamiento provisto por
un acreedor y representa lo que la persona o empresa debe a terceros), así como
la participación de los accionistas que se refleja en los estados financieros.
En cuanto al hardware: Los procesos de actualización, mantenimiento y
adquisición de servidores, terminales, dispositivos de red, hubs, switch, routers,
Rack, Host, Estaciones de trabajo, cable UTP, coaxial, cobre, Tarjeta de conexión
a la red, Brouters, Firewall, Software, Sistema operativo de red, datafonos.

En cuanto al sistema de información: Se evaluará la funcionalidad,


procesamiento, seguridad de la base de datos, seguridad del sistema operativo y
seguridad de la red, las entradas y salidas generadas por el sistema, la calidad de
los datos de entrada, la configuración del sistema, la administración del sistema, y
planes de contingencias.
En cuanto a la operatividad del sistema: Se evaluara los usuarios que manejan
la información, la administración del sistema y el monitoreo del sistema.
AUDITORIA DE SISTEMAS 10

3. LOS DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

Para realizar el proceso de auditoría al manejo del software SYCAFE, se utilizará


la metodología COBIT, donde se seleccionan los dominios, procesos y algunos
objetivos de control que están en relación directa con el objetivo y los alcances
que han sido definidos en el plan de auditoría.

A continuación, se presentan los dominios, procesos y objetivos de control


relacionados directamente con el objetivo y los alcances determinados en el plan
de auditoría.

PLANEACIÓN Y ORGANIZACIÓN (PO).

Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la
manera en que las tecnologías de información pueden contribuir de la mejor
manera al logro de los objetivos de una entidad. Para ello los procesos que se
realizaran y los objetivos de control que se van a evaluar son los siguientes:

PO1 Definir un Plan Estratégico de TI


La definición de un plan estratégico de tecnología de información, permite la
gestión y dirección de los recursos de TI de acuerdo a las estrategias y
requerimientos del área contable, los objetivos de control a evaluar son:

 PO1.3 Evaluación del Desempeño y la Capacidad Actual: Evaluar el


desempeño de los planes existentes y de los sistemas de información en
términos de su contribución a los objetivos de la empresa, su funcionalidad,
su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.

PO4 Definir los Procesos, Organización y Relaciones de TI


Dentro del área de contabilidad debe estar claro y definido el personal de la
tecnología de la información, los roles, las funciones y responsabilidades,
permitiendo el buen funcionamiento de servicios que satisfagan los objetivos de la
empresa.

 PO4.6 Establecimiento de roles y responsabilidades: Evaluar el


cumplimiento de los roles y las responsabilidades definidas para el personal
de TI, en el área contable.
 PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión
dentro de la función de TI para garantizar que los roles y las
responsabilidades se ejerzan de forma apropiada, para evaluar si todo el
personal cuenta con la suficiente autoridad y recursos para ejecutar sus
AUDITORIA DE SISTEMAS 11

roles y responsabilidades y para revisar en general los indicadores clave de


desempeño.

P07. Administrar los Recursos Humanos de TI.


Mantener y motivar una fuerza de trabajo para la administración eficiente de los
recursos TI.

 PO7.4 Entrenamiento del Personal de TI: Proporcionar a los empleados de


TI la orientación necesaria al momento de la contratación y entrenamiento
para el uso eficiente de TI.

PO9 Evaluar y administrar los riesgos de TI


Encargado de identificar, analizar y comunicar los riesgos de TI y su impacto
potencial sobre los procesos y metas de la dependencia, con el objetivo de
asegurar el logro de los objetivos de TI.

 PO9.1 Marco de trabajo de administración de riesgos: El área contable


deberá establecer un marco de referencia de evaluación sistemática de
riesgos. Deberá contener una evaluación regular de los riesgos de la parte
física de las comunicaciones y servidores e indicadores de cumplimiento.
 PO9.3 Identificación de eventos: Identificar riesgos (una amenaza
importante y realista que explota una vulnerabilidad aplicable y
significativa), clasificar si son relevantes y en qué medida afectan los
objetivos en este caso al área contable.
 PO9.4 Evaluación de riesgos de TI: Medir los riesgos, a través de la
evaluación recurrente de la probabilidad e impacto de los riesgos
identificados, usando métodos cuantitativos y cualitativos, que permitan
obtener la magnitud del riesgo encontrado.
 PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el
proceso de respuesta a riesgos debe identificar estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar responsabilidades y
considerar los niveles de tolerancia a riesgos y así lograr mitigarlos.
 PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:
Priorizar y planear las actividades de control y respuesta a la solución de
riesgos encontrados, teniendo en cuenta también la parte económica de la
solución de esta prioridad. Monitorear la ejecución de los planes y reportar
cualquier desviación a la alta dirección.

ADQUIRIR E IMPLEMENTAR (AI)

Dominio: Para llevar a cabo la estrategia TI, se debe identificar las soluciones,
desarrollarlas y adquirirlas, así como implementarlas e integrarlas en la empresa,
AUDITORIA DE SISTEMAS 12

esto para garantizar que las soluciones satisfaga los objetivos de la empresa. De
este dominio se aplicaran las siguientes actividades:

AI2 Adquirir y Mantener Software Aplicativo


Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
área contable. Este proceso cubre el diseño de las aplicaciones, la inclusión
apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y
la configuración en sí de acuerdo a los estándares. Esto permite a la Universidad
apoyar la operatividad de la dependencia de forma apropiada con las aplicaciones
automatizadas correctas

 AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad


de las aplicaciones y los requerimientos de disponibilidad en respuesta a
los riesgos identificados y en línea con la clasificación de datos, la
arquitectura de la información, la arquitectura de seguridad de la
información y la tolerancia a riesgos de la organización.
 AI2.5 Configuración e Implantación de Software Aplicativo Adquirido:
Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.
 AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de
cambios importantes a los sistemas existentes que resulten en cambios
significativos al diseño actual y/o funcionalidad, seguir un proceso de
desarrollo similar al empleado para el desarrollo de sistemas nuevos.
 AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y
un plan para el mantenimiento de aplicaciones de software.

AI3 Adquirir y Mantener Infraestructura Tecnológica


Las Dependencias deben contar con procesos para adquirir, Implementar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias
tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.

 AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un


plan de mantenimiento de la infraestructura y garantizar que se controlan
los cambios, de acuerdo con el procedimiento de administración de
cambios de la dependencia. Incluir una revisión periódica contra las
necesidades, administración de parches y estrategias de actualización,
riesgos, evaluación de vulnerabilidades y requerimientos de seguridad.
AUDITORIA DE SISTEMAS 13

ENTREGAR Y DAR SOPORTE (DS).

Encargado de garantizar la entrega de los servicios requeridos por la empresa y


se evalúan los siguientes:

DS4 Garantizar la Continuidad del Servicio


Es importante que dentro de la empresa se garantice la continuidad de los
servicios de TI, para ello es importante desarrollar, mantener y probar planes de
continuidad y así asegurar el mínimo impacto en caso de una interrupción de
servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los
planes de contingencia de TI, con entrenamiento y pruebas de los planes de
contingencia de TI y guardando copias de los planes de contingencia.

 DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones:


Almacenar fuera de las instalaciones todos los medios de respaldo,
documentación y otros recursos de TI críticos, necesarios para la
recuperación de TI y para los planes de continuidad del área contable. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entre los responsables de los procesos de la dependencia y el personal de
TI. La administración del sitio de almacenamiento externo a las
instalaciones, debe apegarse a la política de clasificación de datos y a las
prácticas de almacenamiento de datos de la Universidad. Las directivas de
TI debe asegurar que los acuerdos con sitios externos sean evaluados
periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware y del software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.

DS5 Garantizar la seguridad de los sistemas


Garantizar la protección de la información e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de seguridad de la TI.
Los objetivos de control que se evaluarán son los siguientes:

 DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la


dependencia, riesgos y cumplimiento dentro de un plan de seguridad de TI
completo, teniendo en consideración la infraestructura de TI y la cultura de
seguridad. Asegurar que el plan esta implementado en las políticas y
procedimientos de seguridad junto con las inversiones apropiadas en los
servicios, personal, software y hardware. Comunicar las políticas y
procedimientos de seguridad a los interesados y a los usuarios.
AUDITORIA DE SISTEMAS 14

 DS5.3 Administración de Identidad: Asegurar que todos los usuarios


(internos, externos y temporales) y su actividad en sistemas de TI (Entorno
de TI, operación de sistemas, desarrollo y mantenimiento) deben ser
identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de
acceso del usuario al sistema y los datos están en línea con las
necesidades del módulo definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad.
 DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de
usuario y de los privilegios relacionados, sean tomados en cuenta por un
conjunto de procedimientos. Debe incluirse un procedimiento de aprobación
que describa al responsable de los datos o del sistema otorgando los
privilegios de acceso. Estos procedimientos deben aplicarse a todos los
usuarios, incluyendo administradores (usuarios privilegiados), usuarios
externos e internos, para casos normales y de emergencia. Los derechos y
obligaciones relativos al acceso a los sistemas e información del módulo
deben acordarse contractualmente para todos los tipos de usuarios.
Realizar revisiones regulares de la gestión de todas las cuentas y los
privilegios asociados.
 DS5.9 Prevención, Detección y Corrección de Software Malicioso
Garantizar procedimientos para el manejo y corrección de problemas
ocasionados por software malicioso generalmente en el caso de virus
 DS5.10 Seguridad de la Red: En la Universidad al existir conexión a la red
de internet se debe implementar el uso de técnicas de seguridad y
procedimientos de administración asociados como firewalls, para proteger
los recursos informáticos y dispositivos de seguridad.

DS9 Administración de la Configuración


Mantener un depósito centralizado donde se almacene la información de
configuración de software y hardware, ofreciendo así mayor disponibilidad a los
usuarios y administradores del sistema, además de mantener un inventario
actualizado de la existencia física de TI. El objetivo de control que se evaluara es
el siguiente:
AUDITORIA DE SISTEMAS 15

 DS9.3 Revisión de Integridad de la Configuración: El Centro de Informática


debe revisar periódicamente los datos de configuración para verificar y
confirmar la integridad de la configuración actual y ejecuta rutinas de
revisión de software instalado para establecer inconsistencias o
desviaciones que perjudiquen los intereses de la Universidad o que violen
políticas de uso.

DS12 Administración del Ambiente Físico


La protección del equipo de cómputo y del personal, requiere de instalaciones bien
diseñadas y bien administradas. El proceso de administrar el ambiente físico
incluye la definición de los requerimientos físicos del centro de datos, la selección
de instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del módulo ocasionadas por daños al
equipo de cómputo y al personal.

 DS12.1 Selección y Diseño del Centro de Datos: el área contable de la


empresa debe definir y seleccionar los centros de datos físicos para el
equipo de TI para soportar la estrategia de tecnología ligada a la estrategia
del negocio. Esta selección y diseño del esquema de un centro de datos
debe tomar en cuenta el riesgo asociado con desastres naturales y
causados por el hombre. También debe considerar las leyes y regulaciones
correspondientes, tales como regulaciones de seguridad y de salud en el
trabajo.
 DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad
físicas alineadas con los requerimientos de la empresa. Las medidas deben
incluir, zonas de seguridad, la ubicación de equipo crítico y de las áreas de
envío y recepción. En particular mantenga un perfil bajo respecto a la
presencia de operaciones críticas de TI. Deben establecerse las
responsabilidades sobre el monitoreo y los procedimientos de reporte y de
resolución de incidentes de seguridad física.
 DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar,
limitar y revocar el acceso a locales, edificios y áreas de emergencias. El
acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse
y monitorearse.
 DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar
medidas de protección contra factores ambientales. Deben instalarse
dispositivos y equipo especializado para monitorear y controlar el ambiente.
 DS12.5 Administración de Instalaciones Físicas: Se debe administrar las
instalaciones, incluyendo el equipo de comunicaciones y de suministro de
AUDITORIA DE SISTEMAS 16

energía, de acuerdo con las leyes y los reglamentos, los requerimientos


técnicos y de la institución, las especificaciones del proveedor y los
lineamientos de seguridad y salud.

DS13 Administración de Operaciones

Se requiere de una efectiva administración protección de datos de salida


sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
en la empresa. Para ello se aplicara el siguiente objetivo de control:

 DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los


procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o de la
disminución del desempeño.

DOMINIO MONITOREAR Y EVALUAR (ME).

Dominio. Todos los procesos que se llevan a cabo a través del software SYCAFE
necesitan ser evaluados periódicamente, esto con el fin de verificar su eficiencia,
calidad y funcionamiento adecuado en cuanto a los requerimientos y necesidades
del Supermercado, por lo tanto, se evaluara lo siguiente:

ME1. Monitorear y Evaluar el desempeño del Software: Se monitorea el


funcionamiento y desempeño del software para ofrecer un buen servicio a los
clientes que acuden al supermercado y asegurar la efectividad en la generación de
los reportes contables y administrativos.

ME2. Monitorear y Evaluar el Control Interno: Se debe generar nuevas


alternativas para incrementar la afluencia de clientes que visitan el supermercado.
AUDITORIA DE SISTEMAS 17

CONCLUSIONES

 Las auditorias son de gran importancia en las empresas ya que garantizan


y fiscalizan el buen uso de los sistemas de información, dando mayor
certeza de la confiabilidad de estos y propiciando más y mejores resultados,
reducción de costos a futuro y de inconvenientes.

 La auditoría en informática es de vital importancia para el buen desempeño


de los sistemas de información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad.

 La metodología COBIT facilita el desarrollo de una auditoria, puesto que


consta de un índice de referencia de procesos, indicadores de objetivos
clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para
controlar los procesos y ofrece además un conjunto de “mejores prácticas”
para la gestión de los Sistemas de Información de las organizaciones.

 COBIT se aplica a los sistemas de información que utiliza todo tipo de


empresa, convirtiéndose en un herramienta útil para llevar a cabo auditorias
completas puesto que incluye hardware, software, el componente humano y
el contexto físico.
AUDITORIA DE SISTEMAS 18

REFERENCIAS BIBLIOGRÁFICAS

 Modulo Auditoria de sistemas, disponible en:


http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_
DE_AUDITORIA_GGGG.pdf

 Norma de mejores prácticas de TI CobIT 4.1, disponible en:


http://campus06.unad.edu.co/ecbti08/pluginfile.ph
p/5935/mod_resource/content/3/cobiT4.1spanish.pdf