Auditorias-90168 TC3 68

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera - Auditoria de sistemas
TRABAJO COLABORATIVO 3
Auditoria de sistemas Universidad Nacional
Curso: AUDITORIA DE SISTEMAS_90168
Escuela de Ciencias Bsicas, Tecnolgicas e Ingenieras
Por:
HEYLER RIVAS MALDONADO
Cdigo: 71334655
Grupo: 90168_68
Presentado a:
FRANCISCO NICOLAS SOLARTE, Director Tutor
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA _UNAD

Ingeniera de Sistemas, Noviembre de 2015

INTRODUCCIN
El presente documento contiene el desarrollo del colaborativo 3 del curso Auditoria de Sistemas
de acuerdo a la lectura de la unidad correspondiente y conceptualizacin de los temas
propuestos. La seleccin de riesgos o fallas de acuerdo a los proceso de COBIT del colaborativo
1, permite en el presente trabajo, la identificacin de causas que originan los riesgos, su
evaluacin y la tipificacin de controles para cada uno de ellos en el sistema de informacin
Helpdesk de la Universidad Nacional - Sede Medelln
La eleccin del Software de auditoria es importante y se determina despus de analizar y probar
varias herramientas, teniendo en cuenta que hay para todo tipo de gestin administrativa que
permite elegir la que ms se ajuste a la necesidad de la empresa a auditar.
OBJETIVOS
Retomar el listado de riesgos presentados en el Helpdesk de la Universidad de Medelln
Evaluar cada uno de los riesgos de acuerdo a los procesos del COBIT, identificados en el
Helpdesk de la Universidad de Medelln
Identificar los controles efectivos a aplicar en cada una de las causas que los originen
Definir y tipificar los controles a aplicar el proceso de auditoria
Seleccionar la herramienta de software a utilizar en el proceso de auditoria segn la
necesidad
Consolidar los aportes en un documento grupal como evidencia del trabajo en grupo

1.
Lista de riesgos detectados:

.
PROCESOS
SELECCIONADOS EN EL
PROGRAMA DE
AUDITORIA
RIESGOS ASOCIADOS A CADA UNO DE

LOS PROCESOS
Cada del sistema de red repetidamente
Adquirir e implementar:
BAI4
Administrar
disponibilidad y capacidad
la
Evaluar el desempeo y
capacidad de la aplicacin
HelpDesk, confirmar la gestin
de las solicitudes por parte de
las analistas y los tcnicos del Interferencia en la comunicacin
rea de soporte
BAI1 Gestin Programas y
Proyectos
CAUSAS QUE ORIGINAN ESOS RIESGOS

El firmware del Router est desactualizado
El Router puede estar infectado con software
malicioso
Desajustes en el canal inalmbrico del Reuter
Ruido por remodelacin en la infraestructura que
interfiere en el sistema inalmbrico
Transmisin cercana de sistemas no inalmbricos
Ubicacin inapropiada de computadoras o
dispositivos digitales
Eventos elctricos de gran energa que requieren
de reguladores de sobretensin de calidad
Ruido de las maquinas utilizadas en la
remodelacin de la infraestructura
No actualizacin de herramientas de navegacin

No instalacin de Internet Explorer en ltima
Implementar la modernizacin
de la aplicacin que permita una Incompatibilidad con algunos navegadores
versin que provee soporte de VBScript utilizado
mayor gestin de registro
en el Web HelpDesk.
Ausencia de polticas se seguridad con Los usuarios no exigen la capacitacin continua
respecto ataques o amenazas de intrusos
que permita prevenir errores de operacin con
BAI6 Gestionar los cambios
resultados de ataques o amenazas
No hay planes de implementacin de tcnicas en
Desarrollar el cronograma de las
el diseo, configuracin y operacin de los

diferentes actividades que se

realizaran
acabo
por
el
ingeniero encargado de la
aplicacin, para disminuir el
impacto en la operacin de los
tcnicos
encargados
de
gestionar los informes de los
servicios realizados, al final se
evaluara el proceso realizado la
implementacin de la nueva
versin de la aplicacin
sistemas
No hay contrato para personal especializado en
temas de seguridad de los sistemas de
informacin
No hay asignacin de recursos para auditorias en
temas especficos de seguridad y sistemas de
deteccin
La creencia de que los tcnicos y el personal de
HelpDesk pueden tener total control sobre el
tema
El personal de mesa de ayuda no dispone de
tiempo suficiente para el desarrollo de esta tarea
de manera apropiada, debido a que solo alcanza
para cubrir las actividades habituales
La no capacitacin a los clientes finales para
Perdida de informacin importante por
hacer copias de archivos importantes en el
ausencia de backup
servidor de backup
No hay control de acceso apropiado a las puertas
del cuarto de comunicaciones
Hay exceso de permisos en la autorizacin de
accesos
No hay plan de contingencia en caso de que se
presente un accidente que atente contra los
sistemas de informacin durante los procesos de
remodelacin a infraestructura
Los cables estn en lugares inapropiados por el
proceso de remodelacin y pueden producir corto
circuito
Daos por amenazas del entorno porque no No hay alarma de deteccin de humo
hay las suficientes precauciones para evitarlo
Insuficiencia en el servicio de soporte tcnico No hay personal suficiente para dar asistencia
tcnica a los servicios solicitados

Los tcnicos o personal no tiene actualizaciones

en sus habilidades de acuerdo al perfil requerido
No hay la comunicacin apropiada entre los
integrantes del grupo Helpdesk que permita
apoyo mutuo
Los recursos de Hardware, Software y equipos no
tienen la capacidad ni rendimiento para prestar un
servicio con excelente calidad
No se ha prestado la suficiente atencin a este
proceso de organizacin como recurso importante
en el buen funcionamiento del sistema
Aunque se ha programado el tiempo y espacio
para desarrollar la propuesta, se aplaza por
eventos ms urgentes, sin que se haya
Necesidad de manual actualizado para la
programado un diagrama de actividades para la
administracin del aplicativo
actualizacin del manual
No se ha coordinado la creacin de las hojas de
vida de equipo Software y Hardware existente
con el personal de Almacn e inventario
Inexistencia de hoja de vida actualizada de los
equipos y software que hace parte del Es necesario actualizar el inventario antes de
inventario
realizar esta actividad
Entrega y soporte:
Dss3 Gestionar configuracin
Solicitar e implementar la
infraestructura
tecnolgica
necesaria para realizar la
adecuacin del servidor donde Fallos en el servidor
se realizara la configuracin e
instalacin
No se ha realizado mantenimiento
No tiene la capacidad que requiere el servicio en
relacin al Hardware, Software y equipos
Aplazamiento de actualizaciones que mejoren la
capacidad, tales como: disco, memoria, cables y
conectores, placa, fuente


2.
Valoracin de riesgos encontrados en el sistema Helpdesk que se implementa

actualmente en la Universidad Nacional con sede en Medelln, con el propsito de dar solucin a
los requerimientos tcnicos que presenta la comunidad educativa.
Riesgos / Valoracin
Cada del sistema de red
R1 No est actualizado el firmware del Router
R2 El Router est infectado con software malicioso
R3 El canal inalmbrico del Router se encuentra desajustado
Riesgos / Valoracin
Interferencia en la comunicacin
Hay ruido en la infraestructura general que interfiere en el
R4
sistema inalmbrico
R5 Hay transmisin cercana de sistemas no inalmbricos
La ubicacin de computadoras o dispositivos digitales es
R6
inapropiada
Hay eventos elctricos de gran energa que requieren de
R7
reguladores de sobretensin
Hay ruido de las maquinas usadas en proyectos de
R8
infraestructura
Riesgos / Valoracin
Incompatibilidad con navegadores
R9 Hay desactualizacin en las herramientas de navegacin
R10 No hay soporte de VBScript utilizado en el Web HelpDesk
Probabilidad Impacto
A M B L M C
X
X
X
A M B L M C
X
X
X
X
A M B L M C
X
X
X
Probabilidad
A M B
Polticas se seguridad : ataques o amenazas de intrusos
No hay capacitacin continua a los usuarios para prevenir
R11
errores de operacin con resultados de ataques o amenazas
X
No hay planes de implementacin de tcnicas en el diseo,
R12
configuracin y operacin de los sistemas
X
No hay contrato para personal especializado en temas de
R13
seguridad de los sistemas de informacin
X
Riesgos / Valoracin
Impacto
L M C
X
X
X

No hay asignacin de recursos para auditorias en temas

especficos de seguridad y sistemas de deteccin
Los tcnicos y el personal de HelpDesk no pueden tener total
R15
control sobre la seguridad de los sistemas
R14
Probabilidad
A M B
Conservacin de la informacin: Ausencia de backups
El personal de mesa de ayuda no dispone de tiempo suficiente
R16
para hacer bakcup de manera apropiada
X
No hay capacitacin a los usuarios finales para hacer copias de
R17
archivos importantes en el servidor de bakcup
X
Impacto
L M C
Probabilidad
A M B
Amenazas del entorno : Daos al cuarto de comunicaciones
R18 No hay control de acceso apropiado a las puertas
X
R19 Hay exceso de permisos en la autorizacin de accesos
X
No hay plan de contingencia en caso de que se presente un
R20
accidente
X
No hay ubicacin adecuada de los cables que pueden producir
R21
corto circuito
X
R22 No hay alarma de deteccin de humo
X
Impacto
L M C
Probabilidad
A M B
Soporte tcnico : Insuficiencia en el servicio
R23 No hay personal suficiente para dar asistencia tcnica
x
No hay comunicacin apropiada en el grupo de trabajo que
R24
permita apoyo mutuo
x
No hay capacidad ni rendimiento en los recursos de Hardware
R25
y Software
X
Impacto
L M C
Probabilidad
A M B
Manual actualizado para la administracin del aplicativo
No hay manual de usuario ni atencin por parte de la empresa
R26
a este proceso
X
No hay disponibilidad de tiempo para la actualizacin del
R27
manual de usuario
X
Impacto
L M C
Riesgos / Valoracin
Riesgos / Valoracin
Riesgos / Valoracin
Riesgos / Valoracin
X
X
X
x
x
x
x
x
x
x

Probabilidad
Impacto
A M B
L M C
Hoja de vida actualizada de los equipos y software que hace parte del inventario
Riesgos / Valoracin
No estn creadas las hojas de vida de equipo Software y

Hardware existente
R29 No hay actualizacin reciente del inventario
R28
Riesgos / Valoracin
x
x
Probabilidad
A M
B
Impacto
L M C
Fallos en el servidor
R30 No se ha realizado mantenimiento
x
No tiene capacidad suficiente en relacin a hardware, software
R31
y equipos
x
No hay actualizaciones en: disco, memoria, cables y
R32
conectores, placa, fuente
x
Probabilidad
Impacto
Alta: A
Catastrfico: C
Media: M
Moderado: M
Baja: B
Leve: L
X
X
Clasificacin de riesgos: Los riesgos encontrados en el Helpdesk de la universidad Nacional se

pueden clasificar as:
LEVE
ALTO R17
MEDIO R18, R26
BAJO R5, R10, R24
MODERADO
CATASTRFICO
R3, R8, R11, R15,R20, R32

R16, R23, R30, R31
R1, R9, R12, R13,
R14, R19, R25, R27,
R28, R29
R7, R21, R22
R4, R6
R2

4. Matriz de riesgos, causas y controles Help desk, Universidad Nacional, sede Medelln
Riesgos
Causas
Controles
Cada del sistema de red

La actualizacin se hace pero no cada vez queVerificar en la pgina principal del
R1 No est actualizado el firmware del router
hay una nueva versin en la pgina principalproveedor una vez durante la semana de
del router
manera cumplida
El computador desde donde se conecta elMantener actualizado el antivirus y
R2 El Router est infectado con software malicioso router para ser configurado, ha sido atacadocorrerlo 3 vece durante la semana
por virus
El router ha sido configurado de maneraRevisar la configuracin cada vez que el
El canal inalmbrico del Reuter se encuentra
inadecuada
router sea cambiado de lugar o de
R3
desajustado
ubicacin
Interferencia en la comunicacin
El tipo de clave utilizado para la conexinRevisar y reestructurar el cableado
Hay ruido en la infraestructura general que
entre router y el cuarto de telecomunicaciones,
R4
interfiere en el sistema inalmbrico
no proporciona la capacidad necesaria
No se han identificado las causas de la Realizar seguimiento a los canales de
interferencia en la comunicacin que puedensistemas inalmbricos cuando estn en
Hay transmisin cercana de sistemas no
ser internas o externas al edificio
funcionamiento y cuando no estn en uso
R5
inalmbricos
para confirmar su configuracin o
reubicacin
La distribucin y la conectividad fsica de la Readecuar
las
instalaciones
y
red, no se realiz de acuerdo a la disposicin distribucin de la conectividad en cada
La ubicacin de computadoras o dispositivos
de espacios e infraestructura
uno de los espacios donde se encuentran
R6
digitales es inapropiada
los diferentes equipos, para facilitar su
expansin
R7 Hay eventos elctricos de gran energa queDentro del ncleo de la universidad funcionaInstalacin permanente de reguladores de
requieren de reguladores de sobretensin
la facultad de minas y la escuela desobretensin para proteccin de los
mecatrnica donde hay operacin yequipos de sistemas
funcionamiento de mquinas con altos voltajes

Operacin de maquinaria de construccin en laPlanificar e informar a los usuarios de

los horarios de operacin de las
remodelacin del DateCenter
mquinas, dando a conocer el motivo por
Hay ruido de las maquinas usadas en proyectos
el cual se presenta interferencia en la
R8
comunicacin e informando que es un
de infraestructura
inconveniente temporal y que se deben
aprovechar los tiempos en que se dispone
de seal ptima.
Incompatibilidad con navegadores
Al realizar el mantenimiento de los equiposPlanificar
las
actividades
de
Hay desactualizacin en las herramientas deque requieren formateo, no se actualizan lasmantenimiento, contando con el tiempo y
R9
herramientas de Windows
las herramientas suficientes para realizar
navegacin
la actualizacin oportuna
No se ha instalado la herramienta Internet Revisar e instalar Internet Explorer
No hay soporte de VBScript utilizado en el Web
Explorer en algunos equipos
ltima versin, en cada uno de los
R10
HelpDesk
equipos que no lo tienen
Polticas se seguridad : ataques o amenazas de intrusos
No hay capacitacin continua a los usuarios Los usuarios no exigen la capacitacin enProgramar espacios y disponer de
R11 para prevenir errores de operacin conseguridad informtica o prevencin de riesgosrecurso humano para la capacitacin de
y amenazas de intrusos
los usuarios
resultados de ataques o amenazas
La empresa tiene pendiente la implementacinRealizar plan de implementacin de
No hay planes de implementacin de tcnicas ende polticas necesarias para el correctotcnicas en el diseo, configuracin y
R12 el diseo, configuracin y operacin de losfuncionamiento de los sistemas de informacinoperacin de los sistemas de informacin
sistemas
y entre estas las relacionadas con el servicio de
mesa de ayuda.
No hay un cargo asignado dentro del rubroReorganizacin de las actividades
presupuestal para temas de seguridadrealizadas por el personal que trabaja en
No hay contrato para personal especializado en
informtica
el Helpdesk para que los temas de
R13 temas de seguridad de los sistemas de
seguridad informtica sean asignados a
informacin
una persona, mientras es posible que se
considere dentro del presupuesto
R14 No hay asignacin de recursos para auditoriasNo hay un cargo asignado dentro del rubroSolicitar a la empresa, la asignacin de

presupuestal
en temas especficos de seguridad y sistemas de
informtica
deteccin
para
temas
de
seguridadrecursos para auditorias en temas

relacionados con la seguridad de los
sistemas de informacin
Porque las actividades que requiere la mesa deAsignar a una persona dentro del equipo
ayuda son mltiples y en algunos casosHelpdesk, para que se encargue de la
Los tcnicos y el personal de HelpDesk no
requieren de coordinacin por parte de unacoordinacin de actividades relacionadas
R15 pueden tener total control sobre la seguridad de
persona a cargo
con la seguridad informtica con el
los sistemas
personal interno o con especialistas
externos
Conservacin de la informacin: Ausencia de backups
El personal de mesa de ayuda solo dispone deAsignar a alguien del equipo Help desk,
tiempo suficiente para cubrir las actividadesa quien se de espacios para la
El personal de mesa de ayuda no dispone de
habituales
conservacin de la informacin mediante
R16 tiempo suficiente para hacer bakcup de manera
copias de seguridad. Esta actividad
apropiada
puede ser rotada entre los integrantes del
equipo
Los tcnicos o personal encargado de la mesaExigir a los tcnicos, capacitar a los
de ayuda, no prestan atencin especfica a lausuarios finales en la necesidad e
No hay capacitacin a los usuarios finales para
necesidad de capacitar a los usuarios en estosimportancia de realizar copias de
R17 hacer copias de archivos importantes en el
temas
seguridad, implementando una fase
servidor de bakcup
relacionada con el tema, dentro del
proceso de atencin al usuario
Amenazas del entorno : Daos al cuarto de comunicaciones
Por la remodelacin del DataCenter y otrosAumentar las restricciones de acceso,
No hay control de acceso apropiado a las espacios que hacen parte de la infraestructura, durante el tiempo de remodelacin del
R18
puertas
la persona encargada de este espacio, noDataCenter en la zona
alcanza a verificar la entrada a la zona
No hay control adecuado de personal noImplementar un espacio de atencin a
Hay exceso de permisos en la autorizacin deautorizado a la zona de mesa de ayuda
usuarios, donde se pueda rotar al
R19
accesos
personal del HelpDesk para recepcionar
las solicitudes o dar informacin
R20 No hay plan de contingencia en caso de que seNo se ha realizado anlisis de riesgos que Crear un plan de contingencia
presente un accidente
requieran la implementacin de un plan
informtica que contenga medidas

tcnicas, humanas y organizativas para

que en la empresa garantice la
continuidad de la operacin habitual de
la plataforma y el e HelpDesk
La remodelacin del DataCenter y algunosCoordinar con los encargados de la obra
No hay ubicacin adecuada de los cables que
otros espacios que afectan su funcionamientopara el cumplimiento de las respectivas
R21
pueden producir corto circuito
normal
normas de seguridad
No se ha realizado auditoria fsica, donde se Solicitar la implementacin de una
No
hay
alarma
de
deteccin
de
humo
identifique la necesidad de implementar laalarma de deteccin de humo en el
R22
alarma
cuarto de telecomunicaciones
Soporte tcnico : Insuficiencia en el servicio
Hay demasiadas solicitudes por parte de losHacer informe de la prestacin del
usuarios finales
servicio en HelpDesk y solicitar a
No hay personal suficiente para dar asistencia
recursos
humanos
considerar
la
R23
tcnica
posibilidad de contratar personal de
asistencia tcnica
Por las mltiples actividades que absorben alManejo de la situacin por salud
personal encargado del HelpDesk y sobrecargaocupacional y programar reuniones
No hay comunicacin apropiada en el grupo de
de responsabilidades que genera tensin yconstantes para evaluar el trabajo y los
R24
trabajo que permita apoyo mutuo
estrs
resultados obtenidos en la prestacin del
servicio de mesa de ayuda
Los recursos de Hardware, Software y equiposRealizar inventario y evaluacin de los
No hay capacidad ni rendimiento en los recursosno tienen la capacidad ni rendimiento pararecursos de Hardware, Software y
R25
prestar un servicio de calidad
equipos para considerar la posibilidad de
de Hardware y Software
reparacin, actualizacin o reemplazo
Manual actualizado para la administracin del aplicativo
No hay manual de usuario ni atencin por parteNo hay polticas de implementacin delCrear y disear el manual de usuario
R26
de la empresa a este proceso
manual de usuario
No hay polticas de implementacin delRetomar la versin que exista aunque sea
No hay disponibilidad de tiempo para la
manual de usuario
antigua y aplicar las respectivas
R27
actualizacin del manual de usuario
actualizaciones
Hoja de vida actualizada de los equipos y software que hace parte del inventario
No
estn
creadas
las
hojas
de vida de equipoNo hay polticas de implementacin de hojasCrear y disear las hojas de vida de
R28

Software y Hardware existente
de vida
equipo Software y Hardware existente
El rea de sistemas, no ha solicitado Realizar informe de administracin de
recientemente informe de administracin deinventario de los recursos existentes en el
R29 No hay actualizacin reciente del inventario
inventario
HelpDesk
Fallos en el servidor
Teniendo en cuenta que existe la posibilidad deAplicar el mantenimiento habitual,
que sea reemplazado, los tcnicos no hanmientras es posible el reemplazo y que
dispuesto
tiempo
para
realizar
elfuncione de manera adecuada para
R30 No se ha realizado mantenimiento
mantenimiento habitual
realizar el informe de servicios prestados
que requieren corregir otros riesgos
como el R23
Los recursos de Hardware, Software y equiposReemplazar el servidor y hacer
No tiene capacidad suficiente en relacin a
no tienen la capacidad ni rendimiento paramantenimiento al existente para tenerlo a
R31
hardware, software y equipos
prestar un servicio de calidad
disposicin en caso de que sea necesario
No hay actualizaciones en: disco, memoria,Porque se estuvo buscando la posibilidad deReemplazar el servidor y comprar lo
R32
cables y conectores, placa, fuente
reemplazar el servidor completo
necesario
Cada uno de los riesgos est identificado en la matriz de riesgos, causas y control con un color que se relaciona con la matriz de
evaluacin de riesgos:
LEVE
ALTO R17
MEDIO R18, R26

BAJO R5, R10, R24
MODERADO
CATASTRFICO
R3, R8, R11, R15, R16,

R20, R32
R23, R30, R31
R1, R9, R12, R13, R14,
R19, R25, R27, R28,
R29
R7, R21, R22
R4, R6
R2

3.
Hay controles efectivos de tipo:

Preventivo: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones, Sistemas de claves de
acceso
R1: Actualizar el firmware del router en la pgina principal del proveedor una vez durante la
semana de manera cumplida
R2: Para evitar software malicioso en el router se debe, mantener actualizado el antivirus y
correrlo 3 vece durante la semana
R6: si la ubicacin de computadoras o dispositivos digitales es inapropiada, se debe readecuar
las instalaciones y distribucin de la conectividad en cada uno de los espacios donde se
encuentran los diferentes equipos, para facilitar su expansin
R7: Si hay eventos elctricos de gran energa que requieren reguladores de sobretensin se deben
instalar permanentes para proteccin de los equipos de sistemas
R10: Si no hay soporte de VBScript utilizado en el Web HelpDesk, se debe revisar e instalar
Internet Explorer ltima versin, en cada uno de los equipos que no lo tienen
R13: Si no hay contrato para personal especializado en temas de seguridad de los sistemas de
informacin se deben reorganizar las actividades realizadas por el personal que trabaja en el
HelpDesk para que los temas de seguridad informtica sean asignados a una persona, mientras es
posible que se considere dentro del presupuesto.
R14: Si no hay asignacin de recursos para auditorias en temas especficos de seguridad y
sistemas de deteccin se debe solicitar a la empresa, la asignacin de recursos para auditorias en
temas relacionados con la seguridad de los sistemas de informacin

R16: Si el personal de mesa de ayuda no dispone de tiempo suficiente para hacer backup de
manera apropiada se debe asignar a alguien del equipo HelpDesk, a quien se de espacios para la
conservacin de la informacin mediante copias de seguridad. Esta actividad puede ser rotada
entre los integrantes del equipo
R19: Si hay exceso de permisos en la autorizacin de accesos se debe implementar un espacio de
atencin a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar informacin
R21: Si no hay ubicacin adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R22: Si no hay alarma de deteccin de humo se debe solicitar la implementacin de una en el
cuarto de telecomunicaciones
R29: Si no hay actualizacin reciente del inventario se debe realizar informe de administracin
de inventario de los recursos existentes en el Helpdesk
Detectivo: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.
Ejemplos: Archivos y procesos que sirvan como pistas de auditora, Procedimientos de
validacin
R3: Si el canal del router se encuentra desajustado, se debe Revisar la configuracin cada vez
que el router sea cambiado de lugar o de ubicacin

R4: Para corregir la interferencia que hay en el sistema inalmbrico se debe revisar y
reestructurar el cableado
R8: Si hay ruido de las maquinas usadas en proyectos de infraestructura se debe planificar e
informar a los usuarios de los horarios de operacin de las mquinas, dando a conocer el motivo
por el cual se presenta interferencia en la comunicacin e informando que es un inconveniente
temporal y que se deben aprovechar los tiempos en que se dispone de seal ptima
R18: Si no hay control de acceso apropiado a las puertas se deben aumentar las restricciones de
durante el tiempo de remodelacin del DataCenter en la zona
R19: Si hay exceso de permisos en la autorizacin de accesos se debe implementar un espacio de
atencin a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar informacin
R26: Si no hay manual de usuario ni atencin por parte de la empresa a este proceso se debe
crear y disear evaluando el impacto de la no existencia
R27: Si no hay disponibilidad de tiempo para la actualizacin del manual de usuario se debe
retomar la versin que exista aunque sea antigua y aplicar las respectivas actualizaciones
R28: Si no estn creadas las hojas de vida de equipo Software y Hardware existente se deben
crear y disear
R29: Si no hay actualizacin reciente del inventario se debe realizar informe de administracin
de inventario de los recursos existentes en el Helpdesk
R30: Si no se ha realizado mantenimiento del servidor se debe aplicar el mantenimiento habitual,
mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de
servicios prestados que requieren corregir otros riesgos como el R23

R31: Si el servidor no tiene capacidad suficiente en relacin a hardware, software y equipos se

debe reemplazar y hacer mantenimiento al existente para tenerlo a disposicin en caso de que sea
necesario
R32: Si no hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente se debe
reemplazar el servidor y comprar lo necesario
Recuperacin: Ayudan a la investigacin y correccin de las causas del riesgo. La correccin
adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles
detectivos sobre los controles correctivos, debido a que la correccin de errores es en s una
actividad
altamente
propensa
errores.
R5: Si hay transmisin cercana de sistemas inalmbricos, se debe realizar seguimiento a los
canales cuando estn en funcionamiento y cuando no estn en uso para confirmar su
configuracin o reubicacin
R9: Si hay desactualizacin en las herramientas de navegacin se deben planificar las
actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para
realizar la actualizacin oportuna
R11: Si no hay capacitacin contina a los usuarios para prevenir errores de operacin con
resultados de ataques o amenazas se deben programar espacios y disponer de recurso humano
para la capacitacin
R12: Si no hay planes de implementacin de tcnicas en el diseo, configuracin y operacin de
los sistemas se debe realizar
R15: Si los tcnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad
de los sistemas se debe asignar a una persona dentro del equipo para que se encargue de la
coordinacin de actividades relacionadas con la seguridad informtica con el personal interno o
con especialistas externos

R17: Si no hay capacitacin a los usuarios finales para hacer copias de archivos importantes en
el servidor de backup se debe exigir a los tcnicos, capacitar a los usuarios finales en la
necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada
con el tema, dentro del proceso de atencin al usuario
R20: si no hay plan de contingencia informtica en caso de que se presente un accidente se debe
crear que contenga medidas tcnicas, humanas y organizativas para que la empresa garantice la
continuidad de la operacin habitual de la plataforma y el e HelpDesk
R21: Si no hay ubicacin adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R23: si no hay personal suficiente para dar asistencia tcnica se debe hacer un informe de la
prestacin del servicio en HelpDesk y solicitar a recursos humanos, considerar la posibilidad de
contratar personal de asistencia tcnica
R24: Si no hay comunicacin apropiada en el grupo de trabajo que permita apoyo mutuo se debe
dar manejo de la situacin por salud ocupacional y programar reuniones constantes para evaluar
el trabajo y los resultados obtenidos en la prestacin del servicio de mesa de ayuda
R25: si no hay capacidad ni rendimiento en los recursos de Hardware, Software y equipos se
debe realizar inventario y evaluacin de estos para considerar la posibilidad de reparacin,
actualizacin o reemplazo

4. Helpdesk
Evidencias de la aplicacin que se utiliza para asignar los servicio en la universidad nacional
sede Medelln, tambin se muestra donde se realizan los informes.




CONCLUSIONES
Se retomaron los productos y temas trabajados en los colaborativos anteriores
Se evalu cada uno de los riesgos identificados en el colaborativo 1
Se identific cada una de las cusas que originan los riesgos
Se definieron y tipificaron los controles a aplicar
Se Seleccion la herramienta de software a utilizar en el proceso de auditoria
Se consolido la presentacin final tomando los aportes de cada uno de los integrantes del
grupo

BIBLIOGRAFA
AGUIRRE Cabrera Adriana, Modulo Auditoria de Sistemas - 90168, Escuela de Ciencias
Bsicas, Tecnologa e Ingeniera UNAD
Cibergrafia
-
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
http://es.wikipedia.org/wiki/Auditor
%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n
http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoriainformatica/
http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar

Auditorias-90168 TC3 68

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditorias-90168 TC3 68

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera - Auditoria de sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA _UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Lista de riesgos detectados:

RIESGOS ASOCIADOS A CADA UNO DE

CAUSAS QUE ORIGINAN ESOS RIESGOS

No actualizacin de herramientas de navegacin

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

diferentes actividades que se

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Los tcnicos o personal no tiene actualizaciones

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Valoracin de riesgos encontrados en el sistema Helpdesk que se implementa

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

No hay asignacin de recursos para auditorias en temas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

No estn creadas las hojas de vida de equipo Software y

Clasificacin de riesgos: Los riesgos encontrados en el Helpdesk de la universidad Nacional se

R3, R8, R11, R15,R20, R32

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Cada del sistema de red

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Operacin de maquinaria de construccin en laPlanificar e informar a los usuarios de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

seguridadrecursos para auditorias en temas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

tcnicas, humanas y organizativas para

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Software y Hardware existente

MEDIO R18, R26

R3, R8, R11, R15, R16,

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Hay controles efectivos de tipo:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

R31: Si el servidor no tiene capacidad suficiente en relacin a hardware, software y equipos se

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

You might also like