EVALUACION NACIONAL

AUDITORIA DE SISTEMAS

PRESENTADO POR:
MIGUEL ESPITIA SALGADO_ C.C: 7335594
YANETH PATRICIA PEDREROS
HERMES ADRIAN BAREO C.C: 91530600
CESAR ENRIQUE ARGUMEDO_ C.C: 1.116.855.300

GRUPO: 90168_78

TUTOR:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

2016

INTRODUCCION

Atreves de este trabajo lograremos obtener conocimiento de cada una de las instalaciones que
posee la empresa CVALENTY DE COLOMBIA nuestro trabajo consiste en hacer auditoria de
sistemas detalladamente con el fin de encontrar las falencias y fortalezas que posee la empresa
tanto fsica como lgica.

OBJETIVOS

OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los equipos de
cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, para de esta manera se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.

OBJETIVOS ESPECIFICOS

Evaluar el diseo y prueba de los sistemas del rea de sistemas.

Establecer la veracidad de la informacin del rea de sistemas

Apreciar los procedimientos de control de operacin, analizar su estandarizacin y

evaluar el cumplimiento de los mismos.

Valorar el control que se tiene sobre el sostenimiento y las fallas de las PC.

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden

dentro del departamento de cmputo.

Empresa evaluada y descripcin:

Nombre de la empresa: Aviacin Ejrcito de Colombia
Ubicacin: Aeropuerto Internacional el Dorado.
Resea Histrica:

Inicios de la Aviacin Militar 1916 1944

En medio del caos y las guerras de comienzos del siglo veinte, surge en Colombia en cabeza de
un grupo de aficionados por surcar el cielo, la necesidad de despegar hacia la aviacin autnoma;
este sueo que para muchos podra ser catalogado como una utopa, deja de serlo el 7 de
septiembre de 1916 cuando el presidente Jos Vicente Concha sanciona la Ley 15 del mismo ao,
la cual tiene como objeto, enviar al exterior a un grupo de Oficiales de las cuatro Armas
existentes del Ejrcito, para ser capacitados en el rea de aviacin, intencin que no se concreta
por razones econmicas. Sin embargo, tres aos ms tarde, este sueo es ratificado mediante la
Ley 126 del 31 de diciembre de 1919, por el entonces presidente Marco Fidel Surez, que
establece a la Aviacin como la Quinta Arma del Ejrcito.

Periodo de recesin de la Aviacin del Ejrcito 1944 1995

En 1944, durante el gobierno del presidente Alfonso Lpez Pumarejo, se sanciona la Ley 102, la
cual establece que los efectivos y los medios areos pasan del Ejrcito a conformar la nueva
Fuerza Area Nacional, dejando as de ser un Arma Tctica a una Fuerza Autnoma.

Reactivacin del Arma de Aviacin del Ejrcito 1995 2015

Es justamente, un 25 de agosto de 1995, que el Gobierno de turno, bajo el Decreto 1422 del
mismo ao, ordena la reactivacin definitiva del Arma de Aviacin, permitiendo la compra de
equipos, entrenamiento de nuevas tripulaciones y acumulacin de experiencia para afrontar los
diversos retos que propone el conflicto interno.

Descripcin del rea informtica con cargos y funciones: La Aviacin del ejrcito cuenta con
tres sub-dependencias en rea informtica.
1. Parte de comunicaciones que comprende VHF, HF, UH, sistemas satelitales, vdeo
conferencias.
En esta rea hay un experto militar en comunicaciones operacionales con cursos en Israel
encargado del soporte, y de las comunicaciones.
2. Parte de seguridad dentro de la LAN, usuarios finales, y el Bunker de Cyberdefensa.
En esta rea se encuentra un ingeniero con nfasis en seguridad, encargado de las polticas y
aplicaciones de la ISO27001-002, del mismo modo hay un CEH encargado de la cyberdefensa y
del pentesting y dems auditorias. Un ingeniero de redes encargado que toda la red integrada del
ministerio.
3. Soporte informtico a usuarios finales y a redes dentro de la administracin del TIC
Se encuentra un tcnico en mantenimiento de computadores, encargado en el soporte tcnico a
usuarios finales y a su vez es el encargado de ejecutar mantenimiento preventivo y correctivo a
los activos fijos.
El plan de auditora con objetivo y alcances:
Plan de auditora

Objetivo General: Realizar auditoria en la aplicacin de las polticas de seguridad, enmarcadas a

las ISO 27001-002 y fortaleciendo los pilares de la seguridad informtica (disponibilidad,
integridad, confidencialidad).
Objetivo 1: Realizar trabajo de campo en las instalaciones, como visita a los cuartos de redes,
semilleros de servidores, infraestructura de cableado (canaletas, ductera), y visita al usuario
final.

Objetivo 2: Realizar recoleccin de informacin, tipos de pruebas a realizar, herramientas en el

penteting a ejecutar, formatos de entrevistas a los usuarios finales y Tics, definir el objetivo de
inicio para la auditora.
Objetivo 3: Aplicar los instrumentos que se han diseado en el objetivo 2 para identificar los
riesgos en las aplicaciones de las polticas de seguridad y mitigar las vulnerabilidades eminentes,
y as generar un plan de accin, (mapa de riesgos, plan de seguridad, plan de mantenimiento, plan
de contingencia)
Objetivo 4: Generar informe de los proceso ejecutados en la auditoria, con todos resultados
encontrados y en que pilar afecta dicho hallazgo.
Polticas de seguridad:
-

Control de almacenamientos removibles.

Control de cuentas de usuario (privilegios administrativos.)
Controles de acceso a las zonas de redes y servidores.
La administracin de los procesos TICS
La administracin de los usuarios en la red

De los usuarios se evaluar:

-

Conocimiento de las tecnologas.

Clasificacin de la informacin que cada usuario maneja
Tipo de ticket que generar al pedir soporte
Capacitacin en los riegos por parte del usuario

Metodologa para Objetivo 1: Conocer los segmentos de redes, servidores y el tipos de

servicios, categoras de UTP, ubicacin de los cuartos de redes y servidores, UPS, Switch que
soportan la infraestructura tecnolgica y finalmente a los entrevistar los usuarios de los sistemas
con el fin de conocer algunos riesgos, realizando entrevistas.
-

Solicitar la documentacin de los mapas de redes

Solicitar inventario de medios removibles autorizados

Solicitar la minuta de acceso a los cuartos de servidores, y redes

Entrevistar a los Tics
Conocer que problemas concurrentes hay con el usuario final
Solicitar las estadsticas de soporte para el usuario final.
Solicitar las actas de capacitacin a los usuarios.
Solicitar el plan de mantenimiento preventivo.
Solicitar el plan de seguridad.
Solicitar el plan de contingencia.
Solicitar formatos de revista a los activos fijos.
Solicitar el licenciamiento del software instalado.
Planilla de identificacin de equipos con informacin sensible.

Metodologa para el Objetivo 2: analizar la documentacin de la metodologa para el objetivo

nmero 1, recolectado y definir nuevos para metros de para auditar.
Realizar escaneos de puertos, carpetas compartidas en la red, autonomas de UPS, verificacin de
Backups, Realizar formatos de entrevista con el usuario para medir su conociendo en las
tecnologas y el tipo de problemas ms concurrente.
Utilizar suite de pentesting para verificar la administracin de servicios informticos,
complejidad de contraseas, privilegios administrativos, configuracin de LAN entre otras.
Metodologa para el Objetivo 3: Hacer el cruce de la documentacin obtenida en la
metodologa del objetivo 1 y dos y as identificar riesgos, vulnerabilidades, parches, mitigaciones
de riesgos.
Metodologa para el Objetivo 4: En el informe realizado debe contener las vulnerabilidades, el
riesgo, pilar de la seguridad afectada.

ESTAS SON LAS ACTIVIDADES PARA LOGRAR EL PRIMER, SEGUNDO, TERCER

Y CUARTO OBJETIVO COMO RECURSOS ECONMICOS
Recursos humanos: Miguel Espitia Salgado

Nombres y apellidos de los integrantes del grupo.

Fredy Quintana
Yaneth Patricia Pedreros
Cesar Enrique Argumedo

Recursos fsicos: la auditora se llevar a cabo en la empresa CValenti de Colombia S.A.S de la

ciudad de Bogot a las redes y los usuarios de los sistemas.
Recursos tecnolgicos: Celular grabar las entrevistas y fotografas para pruebas que servirn de
evidencia, computador porttil, suite de Kali Linux para pruebas de pentesting, papelera.
Recursos econmicos:
tem
Computador
Celular
Agenda
Papelera he impresiones

Cantidad
1
1
1
50 hojas
Total

Cronograma De Actividades:

subtotal
1.500.000
1.300.000
2000
5000
2807000

Actividad
-Visita de Instalaciones
Fase
Conocimient
o

-Entrevistas
-Solicitud de
documentacin
-Anlisis de la
informacin obtenida
-Definir formatos,

Fase

lineamientos para

Planeacin de auditar
la auditora

-Generar cronogramas
de trabajo.
-Realizar pentesting
LAN
-Verificaciones de la
informacin solicitada
-Entrevistas
-Verificacin de
vulnerabilidades de

Fase
Ejecucin
auditoria

servicios.
-verificacin de
autonomas de UPS.
-Verificacin de
BACKUPS.
-Verificacin de cuartos
de redes, SVR.
-verificacin de
contingencias.

-anlisis de resultados
de encuestas.

Semana 1
2 3 4

Semana 2
2 3 4

Semana 3
2 3 4

Programa De Auditoria

Dominio: Adquisicin e Implementacin (AI)

Proceso: AI1 Identificar Soluciones.
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
Objetivo de control: El Objetico es identificar soluciones sistemticas, e implementar, adquirir
software y velar por el ciclo de vida bajo el planeamiento de sostenibilidad tecnolgica,
facilitando el uso y la operacin propia del sistema; de igual forma administrar cambios que
puedan sugerir para nuevos mdulos aplicables a la actualidad.

CUESTIONARIO PARA INDENTIFICACION DE SOLUCIONES, RIESGOS, E

IMPLEMNETACION

Dominio
Proceso

EMPRESA CVALENTY DE COLOMBIA.

Cuestionario de Control: C1
Adquisicin e Implementacin
AI1 Identificar Soluciones
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados
con TI.

AI5 Instalar y Acreditar Sistemas.

AI6 Administrar Cambios
Pregunta
Se cuenta con inventario de aplicaciones?

Si

No

OBSERVACIONE

S
Importante

saber

que se tiene y as

Se cuenta personal que realice estudios de los nuevos

proyectos?

llegar

implementar

actualizar.
Aqu nacen
estrategias

de

las
la

organizacin el cual
busca

siempre

alinear

con

objetivos

de

los
la

empresa con el fin

de maximizar los
beneficios para la
Se cuenta con personal idneo para aprobar los
proyectos en la parte tcnica?

organizacin.
El avala de nuevas
tecnologas
parte

en

tcnica

la
es

importante, aqu se
define
compactibilidad,

funcionamientos,
garantas,

fichas

tcnicas, y evitar la
redundancia

de

adquirir

algn

sistemas

que

llegado

el

caso

exista algn modulo

Se cuenta con fichas tcnicas estndares en equipos?

en la organizacin.
Es importante tener
una infraestructura
estndar

compactible,
Se cuenta con reportes y estadsticas reincidentes de

fallas?
Se cuenta con planes de necesidades?

con

todos los sistemas.

Importantes a la
hora de establecer el
problema.
Es importante para

poder

hacer

planeamientos
Se cuenta con inventario de Hardware?

recursos.
Tener una

de
mejor

visin a la hora de
distribuir
Se cuenta con las polticas de seguridad informtica?

sistemas.
Importante

los
en

la

parte de seguridad
Se cuenta con plan de mantenimiento correctico y

preventivo?

de una organizacin
Fundamental para
conservar la vida
til de los sistemas
al

igual

que

mantenerlos
Se cuenta con una lista de aseguramiento de equipos?

actualizados
Estas listas

son

fundamentales para
hacer

revista

espordica

los

quipos de activos
fijos haciendo cruce
con las polticas de
Se tiene en cuenta con el ciclo de vida de las
aplicaciones?

seguridad.
Importante para el
desarrollo

nuevos

mdulos

implementacin de
tecnologa,

de

la

misma forma para

tener en cuenta las
actualizaciones

temas de garantas y

Hay planes de seguridad, como Tests de intrusin y

pruebas, capacitaciones a usuarios, listas de chequeo?

mantenimientos.
Punto fundamental
donde se alinean las
polticas

de

seguridad haciendo
pruebas

de

penetraciones a los
sistemas y de la
misma

manera

capacitar

usuarios en
de

los
temas

seguridad,

mantenimiento

de

primer escaln, y
verificacin

de

privilegios,
software,
funcionamientos
etc.
TOTALES

45

La escala de calificacin de cada una de las preguntas va de 1 hasta 5, la calificacin puede ir en

el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5
significa que es importante que se tenga el control, el auditor debe tratar de dar estas

calificaciones lo ms objetivamente posible para aplicar la frmula y calcular el porcentaje de

riesgo.
Las equivalencias utilizadas para la puntuacin sern de uno a cinco, siendo uno el valor mnimo
considerado de poca importancia y cinco el mximo considerado de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea

afectado por las acciones de las cuales se est indagando, entre mas alto el porcentaje mayor
probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripcin de la consulta de la cual se indagara.

SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El clculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (9 * 100) / 54 =16,66666

Porcentaje de riesgo = 100 - 16,66666=83,33333

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorizacin:

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:
Porcentaje de riesgo parcial: 16,6666
Porcentaje de riesgo = 83,33333%
Impacto segn relevancia del proceso: Riesgo Alto
Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55
Porcentaje de riesgo = 100 30.55 = 69.44

Tabla Hallazgo

REF
HALLAZGO 1
H_O1

ENTIDAD AUDITADA CVALENTY DE COLOMBIA

PROCESO
Funcionamiento y seguridad de la parte fsica
AUDITADO

PGINA
1
DE
1

RESPONSABLE

Miguel Espitia Salgado

MATERIAL DE
COBIT
SOPORTE
DONIMIO

DE

ADQUISICIN
DOMINIO

AI1 Identificar
PROCESO

IMPLEMENTACI

Soluciones

N (AI)
DESCRIPCIN:

No existe personal idneo para realizar anlisis continuo de vulnerabilidades y sus

correspondientes mitigaciones
No existen polticas de seguridad
No existe personal idneo para la realizacin y estudio de los nuevos proyectos de

adquisicin, mejoras y actualizacin.

No existe Configuraciones seguras de hardware y software
No hay capacidad de respuesta frente a incidentes.
No hay capacidad de recuperacin de datos
No existe inventarios de ninguna ndole.

Esto es debido a que no hay funciones definidas en los encargados de las redes, de igual
forma no existe planeamiento, procedimientos y polticas de seguridad enmarcadas en la
ISO27001.

REF_PT:
Cuestionario de Control: C1 (ANEXO 1)
CONSECUENCIAS:

Al no realizar dichos proyectos nuevo, ya sean de adquisicin, actualizacin, no se

puede optimizar los recursos de la organizacin.

Al no existir las polticas de seguridad informtica, obviamente se vulneran las

disponibilidad, integridad y confidencialidad de la informacin.

RIESGO:

Probabilidad de ocurrencia: 71

Impacto segn relevancia del proceso: Alto

RECOMENDACIONES:

Conformar un grupo de gestin de proyectos para el estudio de fichas tcnicas y de

optimizacin de recursos.
Implementacin de polticas de seguridad, planes estratgicos, planes de
mantenimiento, planes de seguridad, boletines de seguridad, capacitaciones, planes de
contingencias y planes de necesidades.

DICTAMEN DE LA AUDITORA

A continuacin se presentan los resultados definitivos de la auditoria y las recomendaciones de

mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa El CVALENTY.

PROCESO COBIT
AI1: IDENTIFICAR SOLUCIONES AUTOMATIZADAS.
AI1 Identificar Soluciones
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios

a. Objetivo de la Auditoria: Verificar las polticas de seguridad, al igual que los planes,
contingencias, y la aplicacin de ISO27001
b. Dictamen:
Su nivel de madurez DEFINIDO es 2 no hay polticas definidas, tampoco se cuenta con
una madurez en automatizacin de recursos y no hay planeamientos ni control de
administracin de los activos fijos y recursos informticos, con poca capacidad de
proteger la disponibilidad, integridad, confidencialidad de la informacin.
Los recursos de empresa son malgastados en adquisicin de tecnologa innecesaria,
obsoleta, incompatible.

Hallazgos que soportan el Dictamen:

No hay planes (Plan Mtto, Plan de contingencias, plan de seguridad, plan de
capacitaciones)
No existe polticas de seguridad
Los TICS no tiene la capacitacin necesaria para administrar.
No hay personal idneo para el estudio de proyectos
No hay personal idneo para el estudio de fichas tcnicas
c. Recomendaciones:
Definir polticas de seguridad alineadas con las ISO27001
Creacin de planes y evaluacin de riesgos
Capacitar al personal del area de TICS
Restructuracin del sistema de HELP DESK para sacar estadsticas.
TEAM de personal idneo para estudiar nuevos proyectos y as automatizar los recursos.
Restructuras los enrutamientos (en estrella), y los sistemas de equipos para redes.
Realizar Hojas de vida de cada activo fijo.
TEAM de personal idneo para realizar fichas tcnicas.
PROCESO

COBIT:

PO4:

DEFINIR

LOS

PROCESOS,

ORGANIZACIN

RELACIONES CON LA EMPRESA.

a. Objetivo de la Auditoria: Realizar la auditoria en la aplicacin de las polticas de

seguridad,

Ya que no cuenta con el manual y capacitaciones necesarias al personal encargado del

centro. Como tambin las capacitaciones necesarias a los usuarios de este centro. En la
empresa.
d. Dictamen:

Se califica un nivel de madurez 4.2 Fase 0. Preparacin Inicial. Por cuanto el proceso de
definir un plan Estratgico. Del rea de cmputo, Esto es debido a que no hay funciones
definidas en los encargados de las redes Tambin este centro no cuenta con el manual y
capacitaciones necesarias al personal encargado del centro. Como tambin las
capacitaciones necesarias a los usuarios de este centro.

e. Hallazgos que soportan el Dictamen:

No tienen un plan estratgico para el funcionamiento del centro de cmputo.

Al no tener este plan el centro de cmputo esta presentado una serie de fallas causando el
mal funcionamiento de este.

f. Recomendaciones:
Conformar un grupo determinado de funcionarios que evalen y estudien el
desempeo del centro de cmputo para con ello tomen decisiones oportunas y
adecuadas para el buen funcionamiento y as poder cumplir con las meta
propuesta.

 Capacitando al personal encargado del centro de cmputo y elaborando e

implementando habilidades y procedimientos relacionados con las normas que se
deben tener al trabajar en el centro de cmputo de la empresa.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su posibilidad e impacto sobre el

aplicativo, personal, recursos, procesos, soportes
b. Dictamen:

Se estableci un nivel de madurez

2 ANALISIS por cuanto se hacen necesario la

evaluacin al centro de cmputo; pero no son permanentes, ni se ha documentado

suficientemente. Adems, falta capacitacin del personal encargado. La deteccin de
riesgos y el establecimiento de controles se hacen, en gran parte, por iniciativa propia de
los empleados, y no en un procedimiento regular de auditora.

c. Hallazgos que soportan el Dictamen:

Aunque existe documentacin sobre auditorias anteriores y anlisis y evaluacin de

riesgos sobre el centro de cmputo de la empresa, ya que la empresa no tiene el personal
destinado para crear un plan de controles sobre el mismo, lo que impide prevenir posibles
daos al centro de cmputo, inconsistencias o prdidas de informacin y econmicas. Los
riesgos tampoco se han clasificado por niveles de criticidad.

No se encontr una poltica claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el centro de cmputo, tales como:
infeccin por virus, plan para enfrentar contingencias en el centro de cmputo, plan para
detectar y corregir el rendimientos en las operaciones, y errores de digitacin de datos por
parte de los usuarios, generacin de pistas de administracin y auditoria de datos,
actividades de supervisin para detectar el

nivel de confianza en los controles

automatizados.
d. Recomendaciones:

Realizar un software de administracin de riesgos y establecimiento de controles al centro

de cmputo de la empresa.

Informe ejecutivo de auditoria

Bogot, 29 de Mayo de 2016

Seor:
CValenti de Colombia S.A.

REF: AUDITORIA DE SISTEMAS APLICADA A LAS POLTICAS DE SEGURIDAD,

ENMARCADAS A LAS ISO 27001-002 Y FORTALECIENDO LOS PILARES DE LA
SEGURIDAD INFORMTICA EN LA EMPRESA CValenti de Colombia S.A.

Cordial Saludo.

Como es de su conocimiento sobre las polticas de seguridad, enmarcadas a las ISO 27001-002 y
fortaleciendo los pilares de la seguridad informtica, fue sometido a una auditoria de sistemas
para evaluar los problemas que hacen parte de estas polticas, de igual manera en lo referente a
seguridad de la informacin procesada en la empresa.

Esta evaluacin se realiz en un lapso de tiempo comprendido entre febrero de 2016 y Mayo de
2016.

Los resultados obtenidos fueron los siguientes.

Despus de realizar las pruebas y la verificacin de procedimientos realizados sobre las polticas
de seguridad que conforman la empresa se relacionan algunos aspectos favorables generales
extrados del informe de la presente auditora.

La auditora se realiz con buena disposicin por parte del personal encargado del manejo de las
polticas de seguridad.

El manejo de las polticas de seguridad permite un buen manejo de las instalaciones ya que estas
tienen por objeto establecer las medidas de fondo, tcnica y de organizacin, necesarias para
garantizar la seguridad de las tecnologas de informacin de diferentes equipos de cmputo,
sistemas de informacin, redes y personas que interactan haciendo uso de los servicios
asociados a ellos y se aplican a todos los usuarios de cmputo de las empresas.

Cada proceso para adquirir estas polticas de seguridad tiene incluido Filtros lo que facilita la
recoleccin de datos y su correcto procesamiento para la creacin de estas polticas de seguridad
para la empresa.

Sntesis de la revisin realizada, clasificado en las siguientes secciones:

A. Organizacin y Administracin del rea

B. Seguridad fsica y lgica
C. Desarrollo y mantenimiento de los sistemas de aplicaciones
Segn el anlisis realizado hemos encontrado falencias como

A no existe un Comit y plan informtico

B. Falta de organizacin y administracin del rea
C. Falencias en la seguridad fsica y lgica
D. No existe auditora de sistemas
E. Falta de respaldo a las operaciones
F. Accesos de los usuarios
G. Plan de contingencias
H. Entorno de desarrollo y mantenimiento de las aplicaciones.

El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se

encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas
sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a todos sus clientes.

Respecto a la Arquitectura de la Informacin.

Hallazgos

Daos elctricos en los quipos de activos fijos.

Fcil propagacin de virus y cdigo malicioso

Prdida y robo de informacin.

Deterioro de los centro de datos

Actividades fraudulentas constantes sin ser detectados.

Instalacin de software no licenciado

Usuarios super-administradores en la LAN sin monitoreo.

Denegaciones de servicio.

Vulneracin a la integridad de la informacin.

Hidden malware

Recomendaciones

Solucionar el dao en la UPS para evitar que las cadas de energa y los picos altos
puedan daar los activos fijos.

Crear polticas de seguridad, y control de privilegios administrativos en usuarios; de esta

forma evitar el transporte por medios de almacenamiento mviles se propaguen virus, de
igual forma evitar instalar cdigos malicioso, plataforma de antivirus.

Crear polticas de seguridad, controles de privilegios, controles a las areas militarizadas,

controles en las fronteras, creacin de inventarios de activos fijos y de software,
implementacin de sistemas de backup, sistema de incendios, planes de seguridad,
mantenimiento, capacitaciones, boletines, plan de contingencia.

Limpieza interna y fsica de los equipos de redes tales como switch, patch panel, peinado
de racks, limpieza externa e interna de servidores.

Implementacin de polticas de seguridad, y sistemas de firewall, para realizar monitoreo

de cuentas, redes, equipos etc.

Implementacin de polticas de seguridad, control de privilegios administrativos.

Implementacin de polticas de seguridad, sistemas de monitoreo para cuentas,

inventarios de cuentas de usuario, privilegios administrativos; con el fin de identificar con
los inventarios movimiento de cuentas y los procesos.

Implementacin de polticas de seguridad, configuracin correcta de los equipos que

distribuyen la red, reconfiguracin de enrutamientos en estrella en la LAN,
implementacin de seguridad a zonas cableadas.

Implementacin de polticas de seguridad, sistemas de monitoreo, cuentas con claves

caducan cada mes, control de privilegios, evitar carpetas compartidas, firewall, IP fijas
con un dominio.

Monitoreo constante de activos fijos en la red, plataforma de antivirus, verificacin de

eventos en cada host, instalacin de actualizaciones.

Atentamente;

___________________

_____________________________

CSAR ARGUMEDO

YANETH PATRICIA PEDREROS

Auditor

Auditor

_________________________

_______________________

MIGUEL ANTONIO ESPITIA

HERMES ADRIAN BAREO

Auditor

Auditor

CONCLUSIONES

En el anterior trabajo detecto a travs de una auditoria detecto que la empresa NO realiza las
tareas de actualizacin y mantenimiento necesarias, las cuales son esenciales para el normal
funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas
reas de la empresa.

BIBLIOGRAFIA

Muoz Razo Carlos; (2000). Auditoria en Sistemas computacionales. Mxico. Editorial Pearson
Educacin. Fuente: http://books.google.es/books?
id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage&q&f=false
http://campus06.unad.edu.co/ecbti05/mod/lesson/view.php?id=689
Auditora Informtica (Un Enfoque Prctico).Autor: Piattini, Mario G. Peso Navarro, Emilio del.
Editorial: RA-MA.