Professional Documents
Culture Documents
90168A_362
UNIDAD 3
FASE DE EJECUCIN DE LA AUDITORA
GRUPO: 90168_28
TUTOR
JOSE ALFAIR MORALES
OBJETIVOS
- Utilizando el aprendizaje basado en proyectos en la empresa Asmet Salus EPS
seleccionada previamente con el fin de desarrollar y aplicar los conocimientos adquiridos
en la unidad uno material de apoyo conceptos generales de auditora de sistemas Magerit
relacionado con la valuacin de activos.
- Emplear la gua de mejores prcticas para identificar los activos que corresponden al
Dominio PO3 Determinar la orientacin Tecnolgica dentro de una organizacin,
entendiendo la importancia de cada uno de ellos mencionando las vulnerabilidades,
amenazas y riesgos en una empresa tomada como caso de uso.
DESARROLLO DE LA ACTIVIDAD
Carlos Eduardo Moreno Mancera
Matriz de Riesgos
Ataques y accesos
Sistema de No se realizan Desconocimiento
al sistema y a la
informacin de auditoras al sistema del estado del R2 X X
informacin de la
la empresa. de informacin sistema
empresa
MODERADO
MEDIA
ALTO
ALTA
BAJA
LEVE
ACTIVO - TIPO VULNERABILIDAD AMENAZA RIESGO
MODERADO
MEDIA
ALTO
ALTA
BAJA
LEVE
ACTIVO - TIPO VULNERABILIDAD AMENAZA RIESGO
Recomendacin
En el momento de adquirir un producto software se debe realizar una evaluacin del producto
empleando normas como ISO/IEC 2196 en donde se evalu la funcionalidad, confiabilidad,
usabilidad, eficiencia, mantenimiento, portabilidad y calidad del software.
Causa
Si no se realiza una evaluacin del los productos software y hardware esto quiere decir que el
plan de arquitectura tecnolgica est mal aplicado.
Causa
Si la organizacin no cuenta con procesos de maduracin en adquisicin de nuevas tecnologas
se expone a sanciones de ley y a quedar rezagada en el tiempo tecnolgicamente.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 4
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.4 Estndares tecnolgicos
Riesgos Asociados R7,R8,R9,R10,R11,R12
Descripcin
La organizacin cumple con los estndares de tecnologa a nivel de aplicaciones e
infraestructura como lo son ISO 2000 o ISO 27001 entre otros estndares.
Recomendacin
La organizacin debe continuar aceptando el sistema y fomentando la aplicacin de estndares
como ISO 20000 e ISO 27001 e impulsar el teletrabajo.
Causa
Si la organizacin no est certificada con estndares internacionales no estara cumpliendo en su
totalidad con el objetivo de la seguridad informtica, pues la organizacin debe tener un aval y
un resultado de este proceso.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 4
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.5 Consejo de arquitectura de TI
Riesgos Asociados R1,R2,R3,R4,R7,R8,R9,R10,R11,R12.
Descripcin
El rea de tecnologa siempre ha tenido el respaldo de la gerencia general.
Recomendacin
La gerencia debe asumir la responsabilidad con respecto a la seguridad de la informacin
Causa
Si la gerencia general est comprometida con la seguridad de la informacin, se estar evitando
sanciones de ley en caso de que la seguridad se vea afectada.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Controles:
APLICACIONES
ACTIVOS DE INFORMACIN TRATAMIENTO
RIESGO
CONTROLA
TRASFERIR
TIPO AD
RLO
LO
O
Bases de datos El motor de Base Se presenta R1: El riesgo CONTROL
Oracle 11G de Datos no est una amenaza es de nivel DE
actualizado, no de tipo Alto, pues se RIESGO:
tienen las humano pues ve afectada la Actualizar
auditorias activas. durante el disponibilidad los motores
desarrollo de de la de Bases de
software se aplicacin Datos y
puede crear core del Activar las
bugs en la negocio, ya auditorias en
BD, o puede que pueden la bases de
ser vctima atacar el datos.
de un ataque servidor o
de DOS, y al bloquearse.
no tener
configuradas
correctament
e las
auditorias
sera
indetectable
ubicarlo.
Archivos No existe un Se presenta R2: El riesgo CONTROL
Digitales control una amenaza es de nivel DE
centralizado sobre de tipo Alto, pues se RIESGO:
el acceso a los humano ve afectada la Centralizar
diferentes archivos. puesto que integridad y la los Archivos
puede ocurrir confidencialid en una sola
que ad de la ubicacin,
diferentes informacin para poder
usuarios guardada en ser accedidos
presenten los archivos. solo por el
informacin personal
inconsistente, autorizado.
sea tomada
de diferentes
fuentes, por
otro lado se
puede
modificar la
informacin
sin saber
quien lo hizo.
Correo Algunas cuentas de la amenaza R3: El nivel CONTROL
Institucional E- E-mail no estn de tipo de riesgo es DE
mail asignadas a humano Alto ya que se RIESGO:
empleados ocurre al ve afectado la Cuando un
especficos esto utilizar confidencialid empleado
quiere decir que cuentas de e- ad y no haya salido
son compartidas mail Repudio de de la
por varios usuarios. compartidas los correos organizacin
es mas difcil electrnicos, se deben
detectar que seria inmediatame
empleado o indetectable nte bloquear
funcionario saber quien el usuario y
en particular envi, recibe o cambiar las
enva y elimina claves de
recepcin de correos. acceso.
correos
electrnicos.
Desarrollos El software Al no estar R4: El riesgo CONTROL
Software desarrollado versionado el asociado a DE
Propios internamente en la software esta RIESGO:
empresa, no est surge la vulnerabilidad Versionar los
versionado. amenaza de es Alto ya que desarrollos
tipo humana, se ve afectada internos para
pues es muy la integridad, que sea mas
difcil disponibilidad facir el
realizar un y no repudio mantenimient
control de de la o de las
cambios que informacin aplicaciones
los ayuden a de la y poder
detectar organizacin. llevar un
errores en la control
programaci estructurado
n a nivel de dentro del
cdigo y equipo de
funcionalidad desarrollo.
.
Software El software La amenaza R5: El nivel CONTROL
Adquirido comprado a de tipo de riesgo DE
empresas externas humana se asociado a RIESGO: Al
no se adapta a las hace evidente esta Comprar
necesidades de la cuando se vulnerabilidad software a
organizacin. requiere un es Alto, pues terceros se
cambio en si no debe evaluar
estas contamos con el software
aplicaciones el respaldo de utilizando
y no se los estndares
obtiene desarrolladore como
respuesta por s del software ISO/IEC
parte del no podemos 9126, para
proveedor. adaptar el realizar una
software a las acertada
necesidades adquisicin.
de la
compaa
afectando la
disponibilidad
de la
informacin.
Licencias Las Licencias de La amenaza R6: El nivel CONTROL
OEM los productos humana del riesgo es DE
software no estn surge cuando Alto, pues se RIESGO:
guardadas personal no ve afectada la Ubicar en un
adecuadamente. autorizado confidencialid lugar seguro
puede ad de los el
acceder a activos de TI, licenciamient
estas es as como o de los
licencias y estas licencias productos
obtener pueden ser adquiridos
informacin hurtadas. con el fin de
o sustraerlas. que no sean
urtados.
INFRAESTRUCTURA TRATAMIENTO
RIESGO
CONTROLA
TRASFERIR
TIPO AD
RLO
LO
O
Servidores Carecen de fuentes Esta amenaza R7: Este CONTROL
redundantes no est asociada riesgo tiene un DE
tienen Fuentes al entorno, si nivel Alto ya RIESGO:
alternas. hay un fallo que si las UPS Adquirir
elctrico no no funcionan servidores
hay los servidores con fuentes
redundancia se apagan redundantes
y se apagar afectando la que
el servidor. disponibilidad garanticen la
. continuidad
en caso de un
fallo
elctrico.
Switches No tiene una buena La amenaza R8: Este CONTROL
configuracin. de tipo riesgo tiene un DE
entorno nivel Alto, ya RIESGO:
genera que si no esta Corregir y
broadcast en bien Reconfigurar
la red LAN, configurado el los switches
generando switch se de nivel tres
lentitud en la genera para evitar
red. broadcast en broadcast.
la red lan
afectando la
disponibilidad
.
Enrutadores No tiene una La amenaza R9: El nivel CONTROL
configuracin de humana, de riesgo DE
Firewall segura o se genera a asociado es RIESGO:
zonas DMZ. nivel Alto, teniendo Corregir y
perimetral, en cuenta que Reconfigurar
puesto que si los los
un atacante servidores son Enrutadores
remoto puede accedidos o con buenas
acceder a las atacados por prcticas de
direcciones atacantes seguridad,
ip de los informticos implementan
servidores y crakers, do vlans para
lanzar estaremos segmentar la
ataques de afectando la red.
DOS. disponibilidad
y
Confidencialid
ad de la
Informacin.
Cableado No se maneja una La amenaza R10: Este CONTROL
Estructurado norma estndar de tipo riesgo tiene un DE
para todo el humano nivel Medio, RIESGO:
cableado. surge al puesto que no Certificar el
intentar es posible cableado
realizar detectar el estructurado
mantenimient origen del con un
os o punto de red estndar
identificar esto ocasiona internacional.
nuevos que
puntos de posiblemente
conexin se deje por
dentro de fuera un
Rack para las usuario o
conexiones servidor
nuevas. afectando la
disponibilidad
de la
informacin.
Estaciones de No tienen activo el La amenaza R11: El nivel CONTROL
trabajo 20 Antivirus de tipo de riesgo DE
humano asociado es RIESGO:
surge cuando Alto, pues un Realizar la
se puede virus actualizacin
infectar la informtico inmediata del
estacin de pueden afectar software
cmputo con el equipo antivirus de
algn tipo de personal y a la empresa
virus su vez todos para evitar
informtico. los equipos de posibles
la red. ataques y
Afectando la virus en el
disponibilidad sistema de
y informacin.
confidencialid
ad de la
informacin.
Porttiles, No tienen clave de La amenaza R12: El riesgo CONTROL
Tablest y Cifrado en sus humana asociado es DE
Celulares discos duros. surge cuando Alto, pues RIESGO:
este tipo de personal no Realizar un
dispositivos autorizado cifrado de los
son hurtados, puede acceder potatiles,
y la a informacin tablest y
informacin de un equipo celulares,
que poseen personal para evitar un
es accedida hurtado de la posible robo
por personas organizacin de
ajenas a la con fines de informacin.
organizacin. extorsin,
afectando la
confidencialid
ad de la
informacin.
Jeimer Alexander Matorel Barajas
Matriz de Riesgos
Empresa Evaluada: MABR Sistemas & Tecnologa S A S
Evaluador/Auditor: Jeimer Alexander Matorel Barajas
Riesgos Iniciales - Etapa 2 (Planeacin de Auditora)
Amenazas o Activos Probabilidad Impacto
No. Vulnerabilidad Riesgos
factores Afectados Bajo Medio Alto Leve Moderado Catastrfico
Uso de software Ataque de Estaciones
Problemas
R1 sin Hackers con de trabajo y X X
legales.
licenciamiento. Troyanos. Servidores.
Falta de
Falta de
control en los Problemas
Polticas de Estaciones
inventarios financieros y
R2 estandarizacin de trabajo y X X
del hardware gastos
en las estaciones Servidores.
de la innecesarios.
de trabajo.
compaa.
Falta de
Actualizaciones Ataque de Estaciones
Perdidas
R3 de seguridad de Hackers con de trabajo y X X
econmicas.
los sistemas Troyanos. Servidores.
operativos.
Falta de un Ataque de
dispositivo de Hackers, e Prdida de
R4 Firewall. X X
seguridad infeccin de informacin.
perimetral. virus.
Falta de una
Poltica
empresarial
Prdida de
donde estn Estaciones
Perdidas informacin y
R5 plasmados los de trabajo y X X
econmicas. prdidas
requerimientos Servidores.
econmicas.
mnimos a
cumplir por los
Sistemas.
Falta de
documentacin Prdida de
Estaciones
de la Perdidas informacin y
R6 de trabajo y X X
Arquitectura econmicas. prdidas
Servidores.
Lgica de la econmicas.
compaa.
Falta de
documentacin
de polticas
Prdida de
locales en las
Perdidas informacin y Estaciones
R7 estaciones de X X
econmicas. prdidas de trabajo.
trabajo para
econmicas.
trabajar fuera de
la red interna de
la empresa.
Falta de
Estaciones
controles para Acceso no Prdida de
R8 de trabajo y X X
contraseas autorizado. informacin.
Servidores.
fuertes.
Desastres y
Falta de fallas fsicas Estaciones
Prdida de
R9 polticas de en las de trabajo y X X
informacin.
Backup. estaciones de Servidores.
trabajo.
Falta de
autenticacin en No hay Indisponibilidad Servidores
R10 el acceso a las controles de de la de X X
aplicaciones acceso. informacin. aplicaciones.
Web.
Falta de una
Desastres y
Red Elctrica UPS,
fallas fsicas Indisponibilidad
Regulada para Estaciones
R11 en las de la X X
la proteccin de de trabajo y
estaciones de informacin.
los equipos de Servidores.
trabajo.
cmputo.
Falta de Desastres y
Switch,
seguridad fsica fallas fsicas Indisponibilidad
Estaciones
R12 de los elementos en las de la X X
de trabajo y
de estaciones de informacin.
Servidores.
comunicaciones. trabajo.
Falta de Incorrecta
Prdida y
capacitacin en manipulacin
manipulacin Personal de
R13 la manipulacin de los X X
de la Servicios.
de los sistemas sistemas y
informacin.
de cmputo. herramientas.
Falta de
Indisponibilidad Estaciones
Antivirus en las
R14 Virus. de la de trabajo y X X
estaciones de
informacin. Servidores.
trabajo.
Acceso no
Falta de autorizado de Indisponibilidad
Routers y
R15 aseguramiento a personal de la X X
Switch.
la red LAN. ajeno al rea informacin.
de sistemas.
Empresa Evaluada: MABR Sistemas & Tecnologa S A S
Evaluador/Auditor: Jeimer Alexander Matorel Barajas
Riesgos derivados de la aplicacin de los Instrumentos - Etapa 3 (Planeacin y ejecucin de auditora)
Probabilidad Impacto
No. Riesgo
Bajo Medio Alto Leve Moderado Catastrfico
Falta de mtodos
R2 X X
para medir los cumplimientos.
Falta de metas
R3 X X
y sabe cmo alcanzarlas.
Falta de un plan
R4 X X
de mejora continua.
Falta de un
R5 X X
mapa de Gobierno TI.
Falta de un
R9 X X
comit directivo.
Falta de establecer
R11 X X
prioridades en sus inversiones.
Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin de
tecnologas de la informacin. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780