Professional Documents
Culture Documents
AUDITORIA DE SISTEMAS
PRESENTADO POR:
MIGUEL ESPITIA SALGADO_ C.C: 7335594
YANETH PATRICIA PEDREROS
HERMES ADRIAN BAREO C.C: 91530600
CESAR ENRIQUE ARGUMEDO_ C.C: 1.116.855.300
GRUPO: 90168_78
TUTOR:
FRANCISCO NICOLAS SOLARTE
INTRODUCCION
Atreves de este trabajo lograremos obtener conocimiento de cada una de las instalaciones que
posee la empresa CVALENTY DE COLOMBIA nuestro trabajo consiste en hacer auditoria de
sistemas detalladamente con el fin de encontrar las falencias y fortalezas que posee la empresa
tanto fsica como lgica.
OBJETIVOS
OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los equipos de
cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, para de esta manera se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS
Valorar el control que se tiene sobre el sostenimiento y las fallas de las PC.
En medio del caos y las guerras de comienzos del siglo veinte, surge en Colombia en cabeza de
un grupo de aficionados por surcar el cielo, la necesidad de despegar hacia la aviacin autnoma;
este sueo que para muchos podra ser catalogado como una utopa, deja de serlo el 7 de
septiembre de 1916 cuando el presidente Jos Vicente Concha sanciona la Ley 15 del mismo ao,
la cual tiene como objeto, enviar al exterior a un grupo de Oficiales de las cuatro Armas
existentes del Ejrcito, para ser capacitados en el rea de aviacin, intencin que no se concreta
por razones econmicas. Sin embargo, tres aos ms tarde, este sueo es ratificado mediante la
Ley 126 del 31 de diciembre de 1919, por el entonces presidente Marco Fidel Surez, que
establece a la Aviacin como la Quinta Arma del Ejrcito.
En 1944, durante el gobierno del presidente Alfonso Lpez Pumarejo, se sanciona la Ley 102, la
cual establece que los efectivos y los medios areos pasan del Ejrcito a conformar la nueva
Fuerza Area Nacional, dejando as de ser un Arma Tctica a una Fuerza Autnoma.
Es justamente, un 25 de agosto de 1995, que el Gobierno de turno, bajo el Decreto 1422 del
mismo ao, ordena la reactivacin definitiva del Arma de Aviacin, permitiendo la compra de
equipos, entrenamiento de nuevas tripulaciones y acumulacin de experiencia para afrontar los
diversos retos que propone el conflicto interno.
Descripcin del rea informtica con cargos y funciones: La Aviacin del ejrcito cuenta con
tres sub-dependencias en rea informtica.
1. Parte de comunicaciones que comprende VHF, HF, UH, sistemas satelitales, vdeo
conferencias.
En esta rea hay un experto militar en comunicaciones operacionales con cursos en Israel
encargado del soporte, y de las comunicaciones.
2. Parte de seguridad dentro de la LAN, usuarios finales, y el Bunker de Cyberdefensa.
En esta rea se encuentra un ingeniero con nfasis en seguridad, encargado de las polticas y
aplicaciones de la ISO27001-002, del mismo modo hay un CEH encargado de la cyberdefensa y
del pentesting y dems auditorias. Un ingeniero de redes encargado que toda la red integrada del
ministerio.
3. Soporte informtico a usuarios finales y a redes dentro de la administracin del TIC
Se encuentra un tcnico en mantenimiento de computadores, encargado en el soporte tcnico a
usuarios finales y a su vez es el encargado de ejecutar mantenimiento preventivo y correctivo a
los activos fijos.
El plan de auditora con objetivo y alcances:
Plan de auditora
Cantidad
1
1
1
50 hojas
Total
Cronograma De Actividades:
subtotal
1.500.000
1.300.000
2000
5000
2807000
Actividad
-Visita de Instalaciones
Fase
Conocimient
o
-Entrevistas
-Solicitud de
documentacin
-Anlisis de la
informacin obtenida
-Definir formatos,
Fase
lineamientos para
Planeacin de auditar
la auditora
-Generar cronogramas
de trabajo.
-Realizar pentesting
LAN
-Verificaciones de la
informacin solicitada
-Entrevistas
-Verificacin de
vulnerabilidades de
Fase
Ejecucin
auditoria
servicios.
-verificacin de
autonomas de UPS.
-Verificacin de
BACKUPS.
-Verificacin de cuartos
de redes, SVR.
-verificacin de
contingencias.
-anlisis de resultados
de encuestas.
Semana 1
2 3 4
Semana 2
2 3 4
Semana 3
2 3 4
Programa De Auditoria
Dominio
Proceso
Si
No
OBSERVACIONE
S
Importante
saber
que se tiene y as
proyectos?
llegar
implementar
actualizar.
Aqu nacen
estrategias
de
las
la
organizacin el cual
busca
siempre
alinear
con
objetivos
de
los
la
organizacin.
El avala de nuevas
tecnologas
parte
en
tcnica
la
es
importante, aqu se
define
compactibilidad,
funcionamientos,
garantas,
fichas
tcnicas, y evitar la
redundancia
de
adquirir
algn
sistemas
que
llegado
el
caso
en la organizacin.
Es importante tener
una infraestructura
estndar
compactible,
Se cuenta con reportes y estadsticas reincidentes de
fallas?
Se cuenta con planes de necesidades?
con
poder
hacer
planeamientos
Se cuenta con inventario de Hardware?
recursos.
Tener una
de
mejor
visin a la hora de
distribuir
Se cuenta con las polticas de seguridad informtica?
sistemas.
Importante
los
en
la
parte de seguridad
Se cuenta con plan de mantenimiento correctico y
preventivo?
de una organizacin
Fundamental para
conservar la vida
til de los sistemas
al
igual
que
mantenerlos
Se cuenta con una lista de aseguramiento de equipos?
actualizados
Estas listas
son
fundamentales para
hacer
revista
espordica
los
quipos de activos
fijos haciendo cruce
con las polticas de
Se tiene en cuenta con el ciclo de vida de las
aplicaciones?
seguridad.
Importante para el
desarrollo
nuevos
mdulos
implementacin de
tecnologa,
de
la
temas de garantas y
mantenimientos.
Punto fundamental
donde se alinean las
polticas
de
seguridad haciendo
pruebas
de
penetraciones a los
sistemas y de la
misma
manera
capacitar
usuarios en
de
los
temas
seguridad,
mantenimiento
de
primer escaln, y
verificacin
de
privilegios,
software,
funcionamientos
etc.
TOTALES
45
RIESGO:
Porcentaje de riesgo parcial: 16,6666
Porcentaje de riesgo = 83,33333%
Impacto segn relevancia del proceso: Riesgo Alto
Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55
Porcentaje de riesgo = 100 30.55 = 69.44
Tabla Hallazgo
REF
HALLAZGO 1
H_O1
PGINA
1
DE
1
RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DONIMIO
DE
ADQUISICIN
DOMINIO
AI1 Identificar
PROCESO
IMPLEMENTACI
Soluciones
N (AI)
DESCRIPCIN:
correspondientes mitigaciones
No existen polticas de seguridad
No existe personal idneo para la realizacin y estudio de los nuevos proyectos de
Esto es debido a que no hay funciones definidas en los encargados de las redes, de igual
forma no existe planeamiento, procedimientos y polticas de seguridad enmarcadas en la
ISO27001.
REF_PT:
Cuestionario de Control: C1 (ANEXO 1)
CONSECUENCIAS:
RIESGO:
Probabilidad de ocurrencia: 71
RECOMENDACIONES:
optimizacin de recursos.
Implementacin de polticas de seguridad, planes estratgicos, planes de
mantenimiento, planes de seguridad, boletines de seguridad, capacitaciones, planes de
contingencias y planes de necesidades.
DICTAMEN DE LA AUDITORA
PROCESO COBIT
AI1: IDENTIFICAR SOLUCIONES AUTOMATIZADAS.
AI1 Identificar Soluciones
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
a. Objetivo de la Auditoria: Verificar las polticas de seguridad, al igual que los planes,
contingencias, y la aplicacin de ISO27001
b. Dictamen:
Su nivel de madurez DEFINIDO es 2 no hay polticas definidas, tampoco se cuenta con
una madurez en automatizacin de recursos y no hay planeamientos ni control de
administracin de los activos fijos y recursos informticos, con poca capacidad de
proteger la disponibilidad, integridad, confidencialidad de la informacin.
Los recursos de empresa son malgastados en adquisicin de tecnologa innecesaria,
obsoleta, incompatible.
COBIT:
PO4:
DEFINIR
LOS
PROCESOS,
ORGANIZACIN
Se califica un nivel de madurez 4.2 Fase 0. Preparacin Inicial. Por cuanto el proceso de
definir un plan Estratgico. Del rea de cmputo, Esto es debido a que no hay funciones
definidas en los encargados de las redes Tambin este centro no cuenta con el manual y
capacitaciones necesarias al personal encargado del centro. Como tambin las
capacitaciones necesarias a los usuarios de este centro.
f. Recomendaciones:
Conformar un grupo determinado de funcionarios que evalen y estudien el
desempeo del centro de cmputo para con ello tomen decisiones oportunas y
adecuadas para el buen funcionamiento y as poder cumplir con las meta
propuesta.
automatizados.
d. Recomendaciones:
Seor:
CValenti de Colombia S.A.
Cordial Saludo.
Como es de su conocimiento sobre las polticas de seguridad, enmarcadas a las ISO 27001-002 y
fortaleciendo los pilares de la seguridad informtica, fue sometido a una auditoria de sistemas
para evaluar los problemas que hacen parte de estas polticas, de igual manera en lo referente a
seguridad de la informacin procesada en la empresa.
Esta evaluacin se realiz en un lapso de tiempo comprendido entre febrero de 2016 y Mayo de
2016.
Despus de realizar las pruebas y la verificacin de procedimientos realizados sobre las polticas
de seguridad que conforman la empresa se relacionan algunos aspectos favorables generales
extrados del informe de la presente auditora.
La auditora se realiz con buena disposicin por parte del personal encargado del manejo de las
polticas de seguridad.
El manejo de las polticas de seguridad permite un buen manejo de las instalaciones ya que estas
tienen por objeto establecer las medidas de fondo, tcnica y de organizacin, necesarias para
garantizar la seguridad de las tecnologas de informacin de diferentes equipos de cmputo,
sistemas de informacin, redes y personas que interactan haciendo uso de los servicios
asociados a ellos y se aplican a todos los usuarios de cmputo de las empresas.
Cada proceso para adquirir estas polticas de seguridad tiene incluido Filtros lo que facilita la
recoleccin de datos y su correcto procesamiento para la creacin de estas polticas de seguridad
para la empresa.
Hallazgos
Denegaciones de servicio.
Hidden malware
Recomendaciones
Solucionar el dao en la UPS para evitar que las cadas de energa y los picos altos
puedan daar los activos fijos.
Limpieza interna y fsica de los equipos de redes tales como switch, patch panel, peinado
de racks, limpieza externa e interna de servidores.
Atentamente;
___________________
_____________________________
CSAR ARGUMEDO
Auditor
Auditor
_________________________
_______________________
Auditor
Auditor
CONCLUSIONES
En el anterior trabajo detecto a travs de una auditoria detecto que la empresa NO realiza las
tareas de actualizacin y mantenimiento necesarias, las cuales son esenciales para el normal
funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas
reas de la empresa.
BIBLIOGRAFIA
Muoz Razo Carlos; (2000). Auditoria en Sistemas computacionales. Mxico. Editorial Pearson
Educacin. Fuente: http://books.google.es/books?
id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage&q&f=false
http://campus06.unad.edu.co/ecbti05/mod/lesson/view.php?id=689
Auditora Informtica (Un Enfoque Prctico).Autor: Piattini, Mario G. Peso Navarro, Emilio del.
Editorial: RA-MA.