Víctor Julio Martínez Barrios William Mario Villa Castro Enrique David Pinto Peralta
Grupo colaborativo: 90168_6
Tutor
Yolima Esther Mercado Palencia
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Contenido
Introducción...3 Objetivos...4 Objetivo general...4 Objetivos específicos...41 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios...5
2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios...7
3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios...10
4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los Sistemas…...18
5. Tabla de Tratamiento de Riesgos……… 27 6. Tabla de Controles de Riesgos ...……… 28 Conclusiones...30
Referencias bibliográficas...31
Anexo1 Cuestionario de Control: C1...32
Anexo 2 Cuestionario de Control C2 ...……… 34 Anexo 3 Entrevista ………36
Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo colaborativo del curso de auditoría de sistemas en la universidad nacional abierta y a distancia UNAD.
En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo durante el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estándar COBIT que se han venido trabajando, se presenta el cuadro de tratamiento de los riesgos encontrados, así como los hallazgos y los controles propuestos para dichos riesgos.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Objetivos
Objetivo general
Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de sistemas, en el proceso de auditoría que se ha venido llevando a cabo en la empresa Softcaribbean S.A.
Objetivos específicos
Analizar la matriz de riesgos de cada proceso del estándar COBIT abordado, para generar su cuadro de tratamiento de riesgos.
Diseñar el cuadro de hallazgos para cada uno de los procesos del estándar COBIT abordados.
Determinar los controles propuestos para cada uno de los riesgos encontrados en los procesos del estándar COBIT abordados.
Educar y Entrenar a los Usuarios
Antes que nada, debemos recordar la matriz de riesgos detectados para el proceso DS7 Educar y Entrenar a los Usuarios:
N° Descripción Probabilidad Impacto
B M A L M C
R1 No se capacita al personal en temas relacionados con la
seguridad informática X X
R2 Falta de capacitación y sensibilización del personal del
área de sistemas X X
R3
No existe un control sobre los insumos y recursos informáticos que la empresa compra, lo cual permite que estos sean utilizados para tareas diferentes a las previstas, haciendo que éstos se acaben de una manera más rápida
X X
R4 Los empleados no usan VPN para conectarse a la red de
la empresa X X
R5
Uso indebido del correo electrónico para el envío de información a personal externo o para el registro en foros y redes sociales.
X X
R6
Algunos de los empleados conectan dispositivos personales no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168 P R O B A B IL ID A D Alto 61-100% R1, R5 R4 Medio 31-60% R3 R2 R6 Bajo 0-30%
Leve Moderado Catastrófico
IMPACTO
N° Descripción Riesgo Tratamiento Riesgo
R1 No se capacita al personal en temas relacionados con la
seguridad informática Transferir
R2 Falta de capacitación y sensibilización del personal del área
de sistemas Controlarlo
R3
No existe un control sobre los insumos y recursos informáticos que la empresa compra, lo cual permite que estos sean utilizados para tareas diferentes a las previstas, haciendo que éstos se acaben de una manera más rápida
Aceptarlo
R4 Los empleados no usan VPN para conectarse a la red de la
empresa Controlarlo
R5
Uso indebido del correo electrónico para el envío de información a personal externo o para el registro en foros y redes sociales.
Controlarlo
R6
Algunos de los empleados conectan dispositivos personales no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos
Controlarlo
2 Hallazgos del proceso: DS7 Educar y Entrenar a los
Usuarios
1
PROCESO AUDITADO
Capacitación a empleados acerca del uso seguro de las herramientas TIC.
PÁGINA
1 DE 1
RESPONSABLE Víctor Julio Martínez Barrios
MATERIAL DE SOPORTE COBIT DOMINI O ENTREGAR Y DAR SOPORTE PROCES O DS7: Educar y Entrenar a los Usuarios DESCRIPCIÓN:
Se encuentra que la empresa no cuenta con un plan de capacitaciones enfocadas en ayudarle a sus empleados a reconocer los comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la empresa como externas.
Se detecta que los empleados no usan VPN para acceder desde redes diferentes a la interna, a repositorios que contienen información privada de la empresa y sus clientes.
REF_PT:
Cuestionario de control: C1 (Anexo 1)
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
La falta de capacitación de los empleados en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC, puede ocasionar serios problemas de seguridad para la empresa, ya que se corre el riesgo de que los empleados sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos, que buscan la obtención ilegal de información confidencial, tanto de las personas como de las empresas para las que laboran.
Al no garantizarse la seguridad en las conexiones de los empleados a través del uso de VPN, se abre una puerta a personas malintencionadas para que tengan acceso a información de la empresa y sus clientes, poniendo en alto riesgo el desarrollo de las actividades de la compañía.
RIESGO:
Probabilidad de ocurrencia: 100%
Impacto según relevancia del proceso: Alto.
RECOMENDACIONES:
Implementar un programa de capacitación para los empleados de la empresa, en el que se busque mantenerlos conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional, aminorando así el riesgo de pérdida o divulgación de información de ellos y de la empresa.
Implementar el uso de VPN para asegurar las conexiones de los empleados a los repositorios de información de la empresa, cuando no estén conectados a la red interna.
3 Cuadro de controles propuestos del proceso: DS7
Educar y Entrenar a los Usuarios
Riesgos o hallazgos
encontrados Tipo de control Soluciones o controles Falta de capacitación y
sensibilización del personal del área de
PREVENTIVO Construir un plan de capacitaciones periódicas para el personal de sistemas en las que se actualicen los conocimientos de los mismos.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
sistemas CORRECTIVO
Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se usan en la empresa. Si no se cuenta en la empresa con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga. Los empleados no usan VPN para conectarse a la red de la empresa CORRECTIVO
Implementar el uso de una VPN en todas las conexiones de los empleados de la empresa a los repositorios de información de la misma.
Uso indebido del correo electrónico para el envío de información a personal externo o para el registro en foros y redes sociales
PREVENTIVO
Exponer a los empleados los riesgos a los que se exponen y exponen a la empresa, al utilizar la cuenta de correo electrónico empresarial para tratar asuntos diferentes a los laborales.
DETECTIVO
Instalación de herramienta de software de análisis de contenido de correo electrónico que permita el monitoreo en tiempo real del uso dado a el correo electrónico empresarial por parte de los empleados.
CORRECTIVO
Tomar acciones disciplinarias sobre los empleados que usen la cuenta de correo empresarial para tratar temas diferentes a los laborales. En caso de detectarse que se ha comprometido la cuenta de correo del empleado deshabilitar la misma.
Algunos de los empleados conectan dispositivos personales no seguros a la red de la empresa lo que puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos
PREVENTIVO
Ejercer controles de seguridad para la conexión de dispositivos no permitidos a la red de la empresa.
Aporte: William Mario Villa Castro Análisis y evaluación de riesgos:
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico R1 Falta de un plan estratégico x x R2 Falta de conocimiento de la importancia de un plan estratégico de TI x x R3 Falta de un plan de desarrollos de aplicaciones para toma de decisiones X X R4 Falta de un manual de aplicaciones donde se registre el uso y la confiabilidad de los datos de la empresa. x X R5
Falta de un plan para la adquisición de recurso tecnológicos X x R6 falta de personal especializado para dar asesorías sobre las tecnologías x x R7 Falta de un modelo de información empresarial. X x R8 Falta de un plan de infraestructura de TI. x x R9 Falta de unos estándares Tecnológicos. X X R10 Falta de un monitoreo de las evoluciones Tecnológicas. x X R11 Falta de herramientas para la clasificación TI. x X R12 Falta de definición de responsabilidades y roles del personal.
P R O B A B IL ID A D Alto 61-100% R5 R1, R12 Medio 31-60% R3 R2,R4,R6,R9,r10,R11 R13 Bajo 0-30% R7,R8
Leve Moderado Catastrófico
IMPACTO Tabla Hallazgos HALLAZGO 1 REF HHDN_0 1 PROCESO
AUDITADO P01 Definir un Plan Estratégico de TI.
PÁGINA
1 DE 1
RESPONSABLE William Mario Villa Castro MATERIAL DE SOPORTE COBIT DOMINIO Planear y Organizar PROCESO P01 Definir un Plan Estratégico de TI. DESCRIPCIÓN:
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Falta de un plan estratégico: La empresa no cuenta con un diseño de una planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio.
Falta de definición de responsabilidades y roles del personal: La empresa no cuenta con las jerarquías definidas, sin asignación de responsabilidades del personal.
REF_PT: Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de TI, existiendo una falta de negligencia por parte de la gerencia y del personal encargado de TI, carencia de control sobre la efectividad y eficiencia de los componentes TI, no cuenta con planes definidos ni planes de contingencia para cualquier eventualidad.
No se establece con claridad los roles y responsabilidades del personal para el buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.
RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un 100%, mostrando un impacto catastrófico para la empresa.
RECOMENDACIONES: Debemos hacer una relación de las metas y los objetivos con la TI, diseñar y construir un plan estratégico de TI, construir un planes tácticos de TI, contratación de personas idóneas en el tema de las TI.
la empresa.
CUESTIONARIO DE CONTROL
DOMINIO Planear y Organizar PROCESO P01 Definir un Plan Estratégico de TI.
OBJETIVO DE CONTROL PO1.1 Administración del Valor de TI Nº ASPECTO EVALUADO CONFORMESI NO OBSERVACIÓN
1
¿Cuentan con un plan estratégico de TI la empresa? X 2 ¿Conoce la necesidad la empresa de contar con un plan estratégico de TI?
X
DOMINIO Planear y Organizar PROCESO
P02. Definir la
Arquitectura de la Información.
OBJETIVO DE
CONTROL
PO2.1 Modelo de Arquitectura de Información Empresarial 3 ¿Se mantiene un desarrollo de aplicaciones para la toma de decisiones de la empresa? x
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
4
¿Existe algún manual de aplicaciones o actividades donde se registre el uso y la confiabilidad de los datos de la empresa? x
5 ¿Cuentan con una base de datos la empresa? x
6
¿Cuentan con un inventario de todos los componentes de la infraestructura de TI?
x
7
¿Existe un plan para la adquisición de recurso tecnológico?
x
DOMINIO Planear y Organizar PROCESO P03. Determinar la Dirección Tecnológica.
OBJETIVO DE
CONTROL PO3.1 Planeación de la Dirección Tecnológica
8
¿Cuenta la empresa con asesorías de personal especializado con respecto a las tecnologías?
4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS TABLA HALLAZGO 1 HALLAZGO 1 REF HHDN_O1 PROCESO AUDITADO
Planes para la recuperación de información.
PÁGINA
1 DE 1
RESPONSABLE Enrique David Pinto Peralta MATERIAL DE
SOPORTE COBIT
DOMINIO Entregar y Dar Soporte PROCESO
DS5 Garantizar la Seguridad de los Sistemas
DESCRIPCIÓN:
No se cuenta con un plan de recuperación de información, en caso que se produzca pérdida parcial o total de la misma.
No se realiza de manera organizada ni periódica las copias de seguridad o backup de la información de la empresa.
No existe una persona encargada de realizar y custodiar las copias de seguridad o backup de la información de la empresa.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
Al no existir un plan de recuperación de información, en el momento que se produzca una pérdida parcial o total de la misma, esa información no podrá recuperarse, lo cual puede incluso llevar a la desaparición de la empresa.
Al no realizar de manera periódica ni organizada las copias de seguridad de la empresa, cualquier información que pueda llegar a borrarse está en riesgo de no volver a ser recuperada.
Al no existir una persona encargada de realizar y custodiar las copias de seguridad en la empresa, existe un alto porcentaje que estas nunca se realicen o se hagan de manera muy esporádica, lo cual hace vulnerable de una perdida en cualquier momento a la información de la empresa.
RIESGO:
Probabilidad de ocurrencia: ¿100
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Elaborar un plan de acciones a realizar en caso que se produzca una pérdida parcial o total de la información de la empresa.
Elaborar un cronograma para la realización de las copias de seguridad o backup de la información de la empresa, de manera que permita tener siempre presente la importancia de su realización diaria.
Asignarle a una persona la responsabilidad de la realización y custodia de las copias de seguridad de la información de la empresa, de manera
TABLA HALLAZGO 2 HALLAZGO 2 REF HHDN_O2 PROCESO AUDITADO
Nivel de Capacitación del personal encargado de Mantenimiento del cableado estructurado y de la Red en General.
PÁGINA
1 DE 1
RESPONSABLE Enrique David Pinto Peralta MATERIAL DE
SOPORTE COBIT
DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar laSeguridad de los Sistemas
DESCRIPCIÓN:
No existe personal capacitado para la realización de los mantenimientos del cableado estructurado de la red y de los equipos que la componen. No existe un plan de capacitación para el personal técnico encargado
del mantenimiento de los equipos y cableado estructurado que integran la red de la empresa, de manera que se garantice su adecuado funcionamiento.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
Al no contar con personal adecuadamente capacitado para la realización de los mantenimientos de los equipos y del cableado estructurado de la red se puede producir una reducción en los niveles de seguridad de la red de la empresa, exponiendo de esta manera toda la información confidencial de la misma a personas inescrupulosas que pretendan acceder a dicha información, así como a softwares maliciosos que puedan llegar a ocasionar pérdida parcial o total de dicha información. Además, si los mantenimientos no se realizan de manera correcta, se puede producir una disminución en los niveles de productividad de los empleados, motivado por errores de conexión que no permiten ingresar o vuelven más lentos los sistemas manejados en la empresa.
Al no existir un plan de capacitación para el personal encargado del mantenimiento de los equipos y cableado estructurado de la red de la empresa, siempre va a existir un desconocimiento en dicho personal que puede llevarlo en cualquier momento a cometer errores durante la realización de dichos mantenimientos que pueden poner en riesgo la información y actividades de la empresa.
RIESGO:
Probabilidad de ocurrencia: ¿100
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Contratar personal capacitado que se encargue de la realización de los mantenimientos de los equipos y el cableado que conforman la red de la empresa, de manera que se garantice la seguridad de la misma.
TABLA HALLAZGO 3 HALLAZGO 3 REF HHDN_O3 PROCESO AUDITADO
Control en la Compra de los Softwares Antivirus.
PÁGINA
1 DE 1
RESPONSABLE Enrique David Pinto Peralta MATERIAL DE
SOPORTE COBIT
DOMINIO Entregar y Dar Soporte PROCESO
DS5 Garantizar la Seguridad de los Sistemas
DESCRIPCIÓN:
No existen informes previos que recomienden y avalen la compra de los antivirus que se han adquirido hasta el momento en la empresa.
No se tienen identificadas las necesidades de seguridad de la información de la empresa, de manera que con base en estas necesidades se pueda determinar cuál es el antivirus indicado para comprar.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2) ENTREVISTA (ANEXO 3)
CONSECUENCIAS:
Al no existir informes previos que recomienden y avalen la compra de un determinado Antivirus, se terminaran utilizando otros criterios, para comprar los antivirus, tales como precio, facilidad de descarga, facilidad de instalación, entre otros, lo cual hace que la información de la empresa este permanentemente en riesgo, dado que lo más probable es que los antivirus adquiridos no cumplan con los requisitos mínimos de seguridad de la información.
Al no tener identificadas las necesidades de seguridad de la información de la empresa, los antivirus que se compren no van a brindar los niveles de seguridad requeridos por la empresa, razón por la cual la información de la misma va a estar todo el tiempo vulnerable a la acción de personas y softwares maliciosos.
RIESGO:
Probabilidad de ocurrencia: ¿100
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Elaborar un informe cada vez que se requiera adquirir un software Antivirus, con el fin de determinar, de acuerdo a sus características y a las necesidades de seguridad de la información de la empresa, cual es el más indicado para comprar.
Elaborar un estudio que permita identificar claramente cuáles son las necesidades de seguridad de la información de la empresa, de manera que establezca que información requiere mayor grado de seguridad y cual menor seguridad. Además, el estudio debe permitir identificar cuales equipos de cómputo manejan la información que requiere mayor seguridad y cuál es la manera de transportar dicha información, ya sea
ANÁLISIS Y EVALUACIÓN DE RIESGOS TABLA DE VALORACIÓN DE LOS RIESGOS N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
R1 Falta de control de cuentas de usuario X X R2 Falta de control en los permisos y privilegios de cada una de las cuentas de usuario de la empresa. X X R3 Falta de revisión de la gestión de las cuentas de usuario existentes X X R4 Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso X X R5 Falta de control en la compra de los Antivirus instalados X X R6 No existe registro de los softwares maliciosos encontrados X X R7 No existe control de los dispositivos de almacenamiento (usb, cd, discos). X X R8 Falta de controles de acceso a la información X X R9 No existe un firewall activo X X
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168 R1 0 No existe un Control y monitoreo en el acceso a Internet X X R11 Mantenimiento del cableado estructurado por parte de personal poco capacitado X X R1 2 Ausencia de planes para recuperación de información X X R1 3 No se garantiza la seguridad en las conexiones X X R1 4 Desconocimiento en seguridad informática de los empleados X X MATRIZ DE RIESGOS
P R O B A B IL ID A D 61-100% Medio 31-60% R3 R1, R9 R13 Bajo 0-30% R2 R4, R7, R10
Leve Moderado Catastrófico
IMPACTO
Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
5. TABLA DE TRATAMIENTO DE RIESGOS ID.
Riesgo
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
R1 Falta de control de cuentas de usuario Controlarlo R2 Falta de control en los permisos y
privilegios de cada una de las cuentas de usuario de la empresa.
Controlarlo
R3 Falta de revisión de la gestión de las cuentas de usuario existentes
Aceptarlo R4 Falta de revisión periódica de los equipos
de cómputo para detectar algún software malicioso
Controlarlo
R5 Falta de control en la compra de los Antivirus instalados
Controlarlo R6 No existe registro de los softwares
maliciosos encontrados
Controlarlo R7 No existe control de los dispositivos de
almacenamiento (usb, cd, discos).
Controlarlo R8 Falta de controles de acceso a la
información
Controlarlo
R9 No existe un firewall activo Eliminarlo
R10 No existe un Control y monitoreo en el acceso a Internet
Controlarlo R11 Mantenimiento del cableado estructurado
por parte de personal poco capacitado
Transferirlo R12 Ausencia de planes para recuperación
de información
Eliminarlo R13 No se garantiza la seguridad en las
conexiones
Controlarlo
R14 Desconocimiento en seguridad
informática de los empleados
Controlarlo
6. TABLA DE CONTROLES DE LOS RIESGOS RIESGOS o HALLAZGOS ENCONTRADOS TIPO DE CONTROL SOLUCIONES O CONTROLES Falta de control de cuentas de usuario
CORRECTIVO Control sobre la creación, modificación o eliminación de alguna cuenta de usuario, dejando como constancia un acta cada vez que se realice uno de estos procesos.
de usuario de la empresa.
funciones que desarrolla el dueño de la cuenta.
Falta de revisión de la gestión de las cuentas de usuario existentes
PREVENTIVO Hacer revisiones periódicas de la gestión desarrollada por cada una de las cuentas de usuario, dejando como constancia un informe de dichas revisiones.
Falta de revisión periódica de los equipos de cómputo para detectar algún software malicioso
PREVENTIVO Revisar periódicamente los equipos de cómputo, para establecer si tienen instalado algún tipo de software malicioso que ponga en riesgo la seguridad de la información de la empresa.
Falta de control en la compra de los Antivirus instalados
CORRECTIVO Comprar los Antivirus con base en un informe que avale dicha compra, de acuerdo a las necesidades de seguridad de la información de la empresa.
No existe registro de los softwares maliciosos encontrados
CORRECTIVO Llevar un registro de los softwares maliciosos encontrados en los equipos de cómputo, indicando el procedimiento realizado para eliminarlo.
No existe control de los
dispositivos de
almacenamiento (usb, cd, discos).
PREVENTIVO Deshabilitar los puertos usb y unidades ópticas en los equipos que no son necesarios, para evitar transferir softwares maliciosos o robo de información a través de memoria usb o cds.
Falta de controles de acceso a la información
PREVENTIVO Control en el acceso a la información, de manera que cada empleado pueda acceder solo a la información que necesita para el adecuado desarrollo de sus funciones.
No existe un firewall activo
PREVENTIVO Contar con un Firewall que brinde mayor seguridad a la red, de manera que bloquee el contenido que considera que pone en riesgo dicha seguridad. No existe un Control y
monitoreo en el acceso a Internet
CORRECTIVO Controlar el acceso a las páginas web, bloqueando el acceso a aquellas páginas que no brindan ningún tipo de beneficio para el desarrollo de las actividades laborales.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Mantenimiento del
cableado estructurado por parte de personal poco capacitado
CORRECTIVO Contratar personal capacitado para la realización de los mantenimientos del cableado estructurado y de los demás equipos que conforman la red.
Ausencia de planes para
recuperación de
información
PREVENTIVO Elaborar un plan determine los pasos a seguir para recuperar información, en caso que se produzca pérdida de la misma. Dicho plan debe contemplar distintas causas posibles que produzcan perdida de información. Además, en este plan se debe incluir el cronograma de las copias de seguridad a realizar, estableciendo la cantidad de backup por días y las horas de realización de los mismos.
No se garantiza la seguridad en las conexiones
CORRECTIVO Garantizar la seguridad de los sistemas mediante la realización de mantenimientos de la red por personal capacitado, la compra de antivirus licenciados, la compra de equipos de red y de computo de última tecnología que brinden una mayor seguridad, entre otros.
Desconocimiento en seguridad informática de los empleados
CORRECTIVO Capacitar a los empleados en seguridad informática, de manera que tomen las precauciones necesarias para evitar cualquier tipo de perdida de información por algún descuido o error humano.
Conclusiones
Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos detectados en cada proceso de la empresa y ayudar en la toma de decisiones respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,
Referencias bibliográficas
Astello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación de tecnologías de la información. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11013780
Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet.
Recuperado de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO %3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005 0101&spage=171&pages=171-186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T %c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L %c3%a1zaro+J.&id=DOI%3a&site=ftf-live
Anexos, cuestionario de control: C1
Oficina principal Softcaribbean S.A. Cuestionario de Control: C1
OBJETIVO DE CONTROL
Educación
¿Se cuenta con un programa de capacitación en el uso seguro de las herramientas informáticas para los empleados?
5
¿Los nuevos empleados son capacitados antes del
inicio de sus actividades laborales? 3
OBJETIVO DE CONTROL DS7.2 Impartición de Entrenamiento y Educación ¿Se capacita al personal en cuanto a las nuevas
amenazas que surgen? 5
Semestral
¿Se cuenta con un repositorio de información acerca de la seguridad en el uso de las herramienta TIC en la empresa?
4
Accesible para todos los empleados (Digital o físico)
¿Se realizan campañas de prevención de conductas
inseguras para los empleados? 3
OBJETIVO DE CONTROL DS7.3 Evaluación del Entrenamiento Recibido ¿Se posee un registro de problemas de seguridad
presentados a los empleados? 3
¿En el registro de problemas se tiene en cuenta con los siguientes datos?
Fecha
Número de registro
Identificación del empleado Detalle del problema Detalle de las causas
Detalle de la solución aplicada
3
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
ANEXO 2.
CUESTIONARIO DE CONTROL C2 EMPRESA SOFTCARIBBEAN S.A.
Cuestionario de Control: C2 Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas OBJETIVO DE CONTROL DS5.4 Administración de Cuentas del Usuario
Pregunta Si No OBSERVACIONES
¿Se cuenta con un listado detallado de las cuentas de usuario de la empresa?
4 Si existe el listado, ¿Contiene los siguientes ítems?
Cargo del empleado propietario de la cuenta Fecha de creación de la cuenta
Perfiles activos y privilegios de la cuenta
¿Se lleva un procedimiento para la creación, modificación o eliminación de las cuentas de usuarios?
4
OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software Malicioso
¿De los antivirus instalados se cuenta con los siguientes datos?
Nombre del antivirus Licencia del antivirus Fecha de Compra Fecha de Instalación Fecha de Caducidad
4
¿Se lleva un procedimiento para la adquisición de nuevos antivirus?
4 ¿Se posee un registro de los softwares maliciosos
encontrados en los equipos de cómputo?
3 ¿En el registro de los softwares maliciosos se
tiene en cuenta con los siguientes datos? Nombre del Software malicioso
Características
Fecha en la que se encontró Número del Computador
Proceso utilizado para eliminar el software malicioso
¿Al momento de encontrar un software malicioso en un equipo, la atención que se presta es?
Inmediata De una a 24 horas De un día a 5 días Más de 5 días De una a 24 Horas
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red ¿Se cuenta con un plan de control y acceso a la
internet, con el fin de preservar la seguridad de la información de la empresa?
3
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
información en caso que se produzca pérdida de la misma?
¿Cada cuánto se realiza mantenimiento al cableado estructurado de la red, con el objetivo de conservar sus condiciones mínimas de seguridad?
4 Cada 4 Meses
¿Qué tipo de mantenimiento se lleva a cabo? Mantenimiento preventivo
Mantenimiento correctivo
Correctivo
¿El personal que se encarga del mantenimiento es personal capacitado? 4 TOTALES 19 14 ANEXO 3. ENTREVISTA ENTIDAD AUDITADA
SOFTCARIBBEAN S.A. PAGINA
1 D
E 1 OBJETIVO
AUDITORÍA
Garantizar la protección de la información e infraestructura de los Sistemas de Información de la empresa, con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de los mismos.
PROCESO AUDITADO
Contratación TI
RESPONSABLE ENRIQUE DAVID PINTO PERALTA MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y Dar Soporte PROCE SO
DS5 Garantizar la Seguridad de los Sistemas
1
¿Cuál es el procedimiento que se sigue para poder Crear, Modificar o Eliminar alguna cuenta de usuario?
Se realiza una solicitud ante la oficina de recursos humanos, exponiendo los motivos por los cuales se solicita la creación, modificación o eliminación de la cuenta. En dicha oficia, en conjunto con la gerencia, se decide si aceptar o no la solicitud enviada.
2
¿Cuál es el criterio que utilizan para otorgar los perfiles y privilegios de las cuentas de usuarios de la empresa?
Los perfiles y privilegios se otorgan dependiendo de las funciones desarrolladas por los empleados propietarios de cada una de las cuentas.
3
¿Realizan revisión de la gestión de cada una de las cuentas de usuarios creadas?, En caso de ser afirmativa la respuesta, ¿Cada cuánto realizan la revisión de la gestión de las cuentas de usuario?
Si se realiza una revisión de la gestión de las cuentas de usuario. Dicha revisión se realiza una vez al año. Sin embargo, de estas revisiones no se deja constancia alguna.
OBJETIVO DE CONTROL DS5.9 Prevención, Detección y Corrección de Software Malicioso
N
º CUESTIONARIO RESPUESTA
1
¿Cuentan todos los equipos de cómputo con antivirus debidamente instalados y con su respectiva licencia?
Si todos los equipos de cómputo cuentan con antivirus instalado, con su licencia.
2
¿Cuál es el criterio que utilizan para escoger los antivirus instalados en los equipos de cómputo?
En realidad, no existe ningún criterio para la adquisición de los antivirus.
Fase 3 | Trabajo colaborativo III Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Auditoria de sistemas - 90168
equipos de cómputo, a fin de determinar si cuentan con algún archivo o software malicioso instalado?
cómputo se realiza de manera mensual.
4
¿Cuál es el protocolo que siguen una vez se encuentra algún software malicioso en un equipo?
Una vez se encuentra algún software malicioso en un computador, se procede a eliminarlo del equipo en el cual se encontraba. Además, se verifica que tanto daño logro causar dicho virus y, por último, se examinan los demás equipos para verificar que tanto logro expandirse el software malicioso encontrado. OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
N
º CUESTIONARIO RESPUESTA
1 ¿Cuentan con algún plan de control y acceso a la internet?
Si actualmente se cuenta con un plan de control y acceso al internet, que permite el bloquea el acceso a ciertas páginas web que poseen contenido potencialmente peligroso e inadecuado.
2
¿Cada cuánto se revisa el cableado estructurado, con el fin de establecer en qué condiciones se encuentra?
El cableado estructurado se revisa cada 6 meses.
3
¿Con que frecuencia se acercan a los empleados de la empresa, con el fin de conocer cuáles son las mayores dificultades que estos afrontan en la red?
La verdad únicamente se tiene conocimiento de los problemas que los empleados presentan en la red, cuando éstos se acercan a comunicarnos que no pueden trabajar debido a algún inconveniente de red presentado.