Professional Documents
Culture Documents
TRABAJO COLABORATIVO 3
Auditoria de sistemas Universidad Nacional
Curso: AUDITORIA DE SISTEMAS_90168
Escuela de Ciencias Bsicas, Tecnolgicas e Ingenieras
Por:
HEYLER RIVAS MALDONADO
Cdigo: 71334655
Grupo: 90168_68
Presentado a:
FRANCISCO NICOLAS SOLARTE, Director Tutor
INTRODUCCIN
El presente documento contiene el desarrollo del colaborativo 3 del curso Auditoria de Sistemas
de acuerdo a la lectura de la unidad correspondiente y conceptualizacin de los temas
propuestos. La seleccin de riesgos o fallas de acuerdo a los proceso de COBIT del colaborativo
1, permite en el presente trabajo, la identificacin de causas que originan los riesgos, su
evaluacin y la tipificacin de controles para cada uno de ellos en el sistema de informacin
Helpdesk de la Universidad Nacional - Sede Medelln
La eleccin del Software de auditoria es importante y se determina despus de analizar y probar
varias herramientas, teniendo en cuenta que hay para todo tipo de gestin administrativa que
permite elegir la que ms se ajuste a la necesidad de la empresa a auditar.
OBJETIVOS
Retomar el listado de riesgos presentados en el Helpdesk de la Universidad de Medelln
Evaluar cada uno de los riesgos de acuerdo a los procesos del COBIT, identificados en el
Helpdesk de la Universidad de Medelln
Identificar los controles efectivos a aplicar en cada una de las causas que los originen
Definir y tipificar los controles a aplicar el proceso de auditoria
Seleccionar la herramienta de software a utilizar en el proceso de auditoria segn la
necesidad
Consolidar los aportes en un documento grupal como evidencia del trabajo en grupo
1.
Adquirir e implementar:
BAI4
Administrar
disponibilidad y capacidad
la
Evaluar el desempeo y
capacidad de la aplicacin
HelpDesk, confirmar la gestin
de las solicitudes por parte de
las analistas y los tcnicos del Interferencia en la comunicacin
rea de soporte
Adquirir e implementar:
BAI1 Gestin Programas y
Proyectos
sistemas
No hay contrato para personal especializado en
temas de seguridad de los sistemas de
informacin
No hay asignacin de recursos para auditorias en
temas especficos de seguridad y sistemas de
deteccin
La creencia de que los tcnicos y el personal de
HelpDesk pueden tener total control sobre el
tema
El personal de mesa de ayuda no dispone de
tiempo suficiente para el desarrollo de esta tarea
de manera apropiada, debido a que solo alcanza
para cubrir las actividades habituales
La no capacitacin a los clientes finales para
Perdida de informacin importante por
hacer copias de archivos importantes en el
ausencia de backup
servidor de backup
No hay control de acceso apropiado a las puertas
del cuarto de comunicaciones
Hay exceso de permisos en la autorizacin de
accesos
No hay plan de contingencia en caso de que se
presente un accidente que atente contra los
sistemas de informacin durante los procesos de
remodelacin a infraestructura
Los cables estn en lugares inapropiados por el
proceso de remodelacin y pueden producir corto
circuito
Daos por amenazas del entorno porque no No hay alarma de deteccin de humo
hay las suficientes precauciones para evitarlo
Insuficiencia en el servicio de soporte tcnico No hay personal suficiente para dar asistencia
tcnica a los servicios solicitados
No se ha realizado mantenimiento
No tiene la capacidad que requiere el servicio en
relacin al Hardware, Software y equipos
Aplazamiento de actualizaciones que mejoren la
capacidad, tales como: disco, memoria, cables y
conectores, placa, fuente
2.
Riesgos / Valoracin
Cada del sistema de red
R1 No est actualizado el firmware del Router
R2 El Router est infectado con software malicioso
R3 El canal inalmbrico del Router se encuentra desajustado
Riesgos / Valoracin
Interferencia en la comunicacin
Hay ruido en la infraestructura general que interfiere en el
R4
sistema inalmbrico
R5 Hay transmisin cercana de sistemas no inalmbricos
La ubicacin de computadoras o dispositivos digitales es
R6
inapropiada
Hay eventos elctricos de gran energa que requieren de
R7
reguladores de sobretensin
Hay ruido de las maquinas usadas en proyectos de
R8
infraestructura
Riesgos / Valoracin
Incompatibilidad con navegadores
R9 Hay desactualizacin en las herramientas de navegacin
R10 No hay soporte de VBScript utilizado en el Web HelpDesk
Probabilidad Impacto
A M B L M C
X
X
X
Probabilidad Impacto
A M B L M C
X
X
X
X
Probabilidad Impacto
A M B L M C
X
X
X
Probabilidad
A M B
Polticas se seguridad : ataques o amenazas de intrusos
No hay capacitacin continua a los usuarios para prevenir
R11
errores de operacin con resultados de ataques o amenazas
X
No hay planes de implementacin de tcnicas en el diseo,
R12
configuracin y operacin de los sistemas
X
No hay contrato para personal especializado en temas de
R13
seguridad de los sistemas de informacin
X
Riesgos / Valoracin
Impacto
L M C
X
X
X
Probabilidad
A M B
Conservacin de la informacin: Ausencia de backups
El personal de mesa de ayuda no dispone de tiempo suficiente
R16
para hacer bakcup de manera apropiada
X
No hay capacitacin a los usuarios finales para hacer copias de
R17
archivos importantes en el servidor de bakcup
X
Impacto
L M C
Probabilidad
A M B
Amenazas del entorno : Daos al cuarto de comunicaciones
R18 No hay control de acceso apropiado a las puertas
X
R19 Hay exceso de permisos en la autorizacin de accesos
X
No hay plan de contingencia en caso de que se presente un
R20
accidente
X
No hay ubicacin adecuada de los cables que pueden producir
R21
corto circuito
X
R22 No hay alarma de deteccin de humo
X
Impacto
L M C
Probabilidad
A M B
Soporte tcnico : Insuficiencia en el servicio
R23 No hay personal suficiente para dar asistencia tcnica
x
No hay comunicacin apropiada en el grupo de trabajo que
R24
permita apoyo mutuo
x
No hay capacidad ni rendimiento en los recursos de Hardware
R25
y Software
X
Impacto
L M C
Probabilidad
A M B
Manual actualizado para la administracin del aplicativo
No hay manual de usuario ni atencin por parte de la empresa
R26
a este proceso
X
No hay disponibilidad de tiempo para la actualizacin del
R27
manual de usuario
X
Impacto
L M C
Riesgos / Valoracin
Riesgos / Valoracin
Riesgos / Valoracin
Riesgos / Valoracin
X
X
X
x
x
x
x
x
x
x
Probabilidad
Impacto
A M B
L M C
Hoja de vida actualizada de los equipos y software que hace parte del inventario
Riesgos / Valoracin
Riesgos / Valoracin
x
x
Probabilidad
A M
B
Impacto
L M C
Fallos en el servidor
R30 No se ha realizado mantenimiento
x
No tiene capacidad suficiente en relacin a hardware, software
R31
y equipos
x
No hay actualizaciones en: disco, memoria, cables y
R32
conectores, placa, fuente
x
Probabilidad
Impacto
Alta: A
Catastrfico: C
Media: M
Moderado: M
Baja: B
Leve: L
X
X
LEVE
ALTO R17
MEDIO R18, R26
BAJO R5, R10, R24
MODERADO
CATASTRFICO
R2
4. Matriz de riesgos, causas y controles Help desk, Universidad Nacional, sede Medelln
Riesgos
Causas
Controles
presupuestal
en temas especficos de seguridad y sistemas de
informtica
deteccin
para
temas
de
de vida
equipo Software y Hardware existente
El rea de sistemas, no ha solicitado Realizar informe de administracin de
recientemente informe de administracin deinventario de los recursos existentes en el
R29 No hay actualizacin reciente del inventario
inventario
HelpDesk
Fallos en el servidor
Teniendo en cuenta que existe la posibilidad deAplicar el mantenimiento habitual,
que sea reemplazado, los tcnicos no hanmientras es posible el reemplazo y que
dispuesto
tiempo
para
realizar
elfuncione de manera adecuada para
R30 No se ha realizado mantenimiento
mantenimiento habitual
realizar el informe de servicios prestados
que requieren corregir otros riesgos
como el R23
Los recursos de Hardware, Software y equiposReemplazar el servidor y hacer
No tiene capacidad suficiente en relacin a
no tienen la capacidad ni rendimiento paramantenimiento al existente para tenerlo a
R31
hardware, software y equipos
prestar un servicio de calidad
disposicin en caso de que sea necesario
No hay actualizaciones en: disco, memoria,Porque se estuvo buscando la posibilidad deReemplazar el servidor y comprar lo
R32
cables y conectores, placa, fuente
reemplazar el servidor completo
necesario
Cada uno de los riesgos est identificado en la matriz de riesgos, causas y control con un color que se relaciona con la matriz de
evaluacin de riesgos:
LEVE
ALTO R17
MODERADO
CATASTRFICO
R2
3.
R16: Si el personal de mesa de ayuda no dispone de tiempo suficiente para hacer backup de
manera apropiada se debe asignar a alguien del equipo HelpDesk, a quien se de espacios para la
conservacin de la informacin mediante copias de seguridad. Esta actividad puede ser rotada
entre los integrantes del equipo
R19: Si hay exceso de permisos en la autorizacin de accesos se debe implementar un espacio de
atencin a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar informacin
R21: Si no hay ubicacin adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R22: Si no hay alarma de deteccin de humo se debe solicitar la implementacin de una en el
cuarto de telecomunicaciones
R29: Si no hay actualizacin reciente del inventario se debe realizar informe de administracin
de inventario de los recursos existentes en el Helpdesk
Detectivo: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.
Ejemplos: Archivos y procesos que sirvan como pistas de auditora, Procedimientos de
validacin
R3: Si el canal del router se encuentra desajustado, se debe Revisar la configuracin cada vez
que el router sea cambiado de lugar o de ubicacin
R4: Para corregir la interferencia que hay en el sistema inalmbrico se debe revisar y
reestructurar el cableado
R8: Si hay ruido de las maquinas usadas en proyectos de infraestructura se debe planificar e
informar a los usuarios de los horarios de operacin de las mquinas, dando a conocer el motivo
por el cual se presenta interferencia en la comunicacin e informando que es un inconveniente
temporal y que se deben aprovechar los tiempos en que se dispone de seal ptima
R18: Si no hay control de acceso apropiado a las puertas se deben aumentar las restricciones de
durante el tiempo de remodelacin del DataCenter en la zona
R19: Si hay exceso de permisos en la autorizacin de accesos se debe implementar un espacio de
atencin a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar informacin
R26: Si no hay manual de usuario ni atencin por parte de la empresa a este proceso se debe
crear y disear evaluando el impacto de la no existencia
R27: Si no hay disponibilidad de tiempo para la actualizacin del manual de usuario se debe
retomar la versin que exista aunque sea antigua y aplicar las respectivas actualizaciones
R28: Si no estn creadas las hojas de vida de equipo Software y Hardware existente se deben
crear y disear
R29: Si no hay actualizacin reciente del inventario se debe realizar informe de administracin
de inventario de los recursos existentes en el Helpdesk
R30: Si no se ha realizado mantenimiento del servidor se debe aplicar el mantenimiento habitual,
mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de
servicios prestados que requieren corregir otros riesgos como el R23
altamente
propensa
errores.
R5: Si hay transmisin cercana de sistemas inalmbricos, se debe realizar seguimiento a los
canales cuando estn en funcionamiento y cuando no estn en uso para confirmar su
configuracin o reubicacin
R9: Si hay desactualizacin en las herramientas de navegacin se deben planificar las
actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para
realizar la actualizacin oportuna
R11: Si no hay capacitacin contina a los usuarios para prevenir errores de operacin con
resultados de ataques o amenazas se deben programar espacios y disponer de recurso humano
para la capacitacin
R12: Si no hay planes de implementacin de tcnicas en el diseo, configuracin y operacin de
los sistemas se debe realizar
R15: Si los tcnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad
de los sistemas se debe asignar a una persona dentro del equipo para que se encargue de la
coordinacin de actividades relacionadas con la seguridad informtica con el personal interno o
con especialistas externos
R17: Si no hay capacitacin a los usuarios finales para hacer copias de archivos importantes en
el servidor de backup se debe exigir a los tcnicos, capacitar a los usuarios finales en la
necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada
con el tema, dentro del proceso de atencin al usuario
R20: si no hay plan de contingencia informtica en caso de que se presente un accidente se debe
crear que contenga medidas tcnicas, humanas y organizativas para que la empresa garantice la
continuidad de la operacin habitual de la plataforma y el e HelpDesk
R21: Si no hay ubicacin adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R23: si no hay personal suficiente para dar asistencia tcnica se debe hacer un informe de la
prestacin del servicio en HelpDesk y solicitar a recursos humanos, considerar la posibilidad de
contratar personal de asistencia tcnica
R24: Si no hay comunicacin apropiada en el grupo de trabajo que permita apoyo mutuo se debe
dar manejo de la situacin por salud ocupacional y programar reuniones constantes para evaluar
el trabajo y los resultados obtenidos en la prestacin del servicio de mesa de ayuda
R25: si no hay capacidad ni rendimiento en los recursos de Hardware, Software y equipos se
debe realizar inventario y evaluacin de estos para considerar la posibilidad de reparacin,
actualizacin o reemplazo
4. Helpdesk
Evidencias de la aplicacin que se utiliza para asignar los servicio en la universidad nacional
sede Medelln, tambin se muestra donde se realizan los informes.
CONCLUSIONES
Se retomaron los productos y temas trabajados en los colaborativos anteriores
Se evalu cada uno de los riesgos identificados en el colaborativo 1
Se identific cada una de las cusas que originan los riesgos
Se definieron y tipificaron los controles a aplicar
Se Seleccion la herramienta de software a utilizar en el proceso de auditoria
Se consolido la presentacin final tomando los aportes de cada uno de los integrantes del
grupo
BIBLIOGRAFA
AGUIRRE Cabrera Adriana, Modulo Auditoria de Sistemas - 90168, Escuela de Ciencias
Bsicas, Tecnologa e Ingeniera UNAD
Cibergrafia
-
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
http://es.wikipedia.org/wiki/Auditor
%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n
http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoriainformatica/
http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar