Desarrollo de la actividad

Vulnerabilidades, amenazas y riesgos de los sistemas en las empresas.

VULNERABILIDADES AMENAZAS RIESGOS ACTIVOS DE

INFORMACIÓN
*Falta de mantenimiento *Mal uso del usuario. *Pérdida de
periódico. información por
*Robo de información.
*Equipos daños en equipos.
desactualizados. *Deterioro en equipos.
*Infraestructura *Demora en los
*Suciedad en equipos.
inadecuada. trabajos por lo lento
* Kaspersky Lab señala *Fallas físicas que presente de los equipos. Hardware.
los ataques a la memoria cualquiera de los
DDR DRAM debido a elementos de hardware que
un hecho conocido como conforman al sistema de
Rowhammer por el cual cómputo.
sus componentes, que se
juntan cada vez más,
pueden trastabillar el
funcionamiento final.
*Falta de copia de *virus, troyanos, gusanos *Perdida de la
seguridad con informáticos. información
frecuencia. *Ataques, suplantación. confidencial.
*Publicación por la web. *Instalación de software de *Manipulación de
*Contraseñas y Usuarios desarrollo. los datos por
con demasiado tiempo. *Ataques de fuerza bruta. personas no Software.
*Se comparten muchos *Redes sociales. autorizadas.
recursos. *Las caídas de los
*Varios puertos abiertos. sistemas atrasan los
*Existen procesos.
vulnerabilidades teóricas
y vulnerabilidades reales
(conocidas como
exploits)
*Falta de capacitación y *Robo de información. *Perdida de
actualización de información
*Ingeniería social.
informaciones de la TIC. confidencial por Personal
*Desconocimiento de *Factor insiders. acceso no autorizado. encargado del
sistemas de seguridad *Retraso en la
área de
informática. prestación de informática.
servicios de T.I.C.
*Conocimiento de *Robo de información. *Pérdida de la Usuarios.
información información por
*Exponer los datos.
confidencial. errores.
*Exceso de confianza.
*Hacer uso de *Mezclar información *Exhibir lo
herramientas y equipos confidencial.
confidencial con la
en temas distintos a lo
establecido. pública. *Pérdida de tiempo
en los procesos.
*Poco control de *Desastres naturales *Lesiones a la
personas en las (Incendios, tormentas infraestructura.
instalaciones. eléctricas). *Pérdida de
*No existe cámaras de *Causadas por el hombre cualquier cosa por Seguridad física.
vigilancia. fácil acceso al sitio
(Robos, Fraudes)
*No hay personal de de sistemas.
vigilancia. *Daños a los
elementos físicos.
*Los equipos no tienen *Incendio por fallas *Pérdida de la
reguladores de energía. eléctricas. información. Equipos de
*Falta de detectores de *Alteraciones en el *Daño a la protección
humo en la sala. funcionamiento de los infraestructura eléctrica.
*Se encuentran cables equipos. *Personal expuesto a
sueltos en algunos electrocución.
lugares.
*Los equipos tienen *Exposición a WireLurker *Dificultad o
diferentes sistemas la nueva familia de imposibilidad de
operativos. malware. reponer los datos con Sistemas
*Debilidad en el diseño lo que conllevaría de operativos.
de protocolos utilizados pérdida de tiempo y
en las redes. dinero.

*Abuso de permisos *Explotación de las bases * Alteración de la

excesivos y legítimos. de datos por la
*Diferentes personas configuración.
con acceso a la *Copias no autorizadas de
información. los datos confidenciales.
*Exposición de copia de
seguridad de los datos.
* Malware y spear phising
(robo de datos
confidenciales).
*Desactualización en *Lectores de email que
componentes permiten la ejecución de
preservadores de la códigos maliciosos.
información. *Aplicación de programas
*Accesibilidad a los utilizados para editar textos
medios físicos de la e imágenes.
comunicación en la
oficina.
información de la
bases de datos en su
estado original. Bases de datos.
*Pérdida de los datos
almacenados.
*Alteración de la
información en su
estado original. La información.
* Alteración de la
estructura de la
computadora o red.
*Almacenamiento de
alguna información en
memorias USB, CD.
*Distancias en hacer
copias de seguridad
entre fechas.
*Puntos de accesos *Malware (virus) *Fuga de
libres. *Ataques de contraseñas. información por
*Infraestructura sin *Análisis de red. inclusión de
modernizar. *Escaneo de puertos, malware.
*Fallas en la protocolos y servicios. *Obstrucción de
encriptación de la servicios por equipos Redes.
información. obsoletos.
*Pérdida de
integridad de la
información por
exposición a
personal.

Importancia de la auditoria de sistemas a las empresas:

1. Cada dependencia o parte de una empresa es importante para ella, ya que son el activo

primordial de su funcionamiento y existencia, por lo que se hace necesario su

conservación. En muchos casos hay detalles que no se detectan a simple vista dentro

de la empresa y que afectan curiosamente su estabilidad y crecimiento, por lo muchas

veces estos detalles se detectan a través del proceso de auditoria; haciendo de una u

otra forma que la auditoria se vuelva importante dentro del desarrollo empresarial.

2. La auditoría de sistemas, es importante para una empresa ya que por medio de ella se

detectan fallas y se implementan los controles para corregirlas. Además cuando se

realiza una auditoria, se lleva con ella una actualización o modernización dentro del

sistema, para conseguir mejores resultados en los procesos aplicativos de la empresa.

3. Hay empresas que crecen paralelamente con el desarrollo y aplicación de las

auditorias en ella; cuando a una empresa se le realizan auditorias, siempre se

encuentran detalles por mejorar, lo que hace que cada detalle implemente un resultado

positivo en el desarrollo y crecimiento las actividades de la empresa, haciendo que

sea mejor calificada y se encuentra bajo los estándares permitidos y exigidos de una

empresa.

4. En el área de sistemas empresariales se necesitan sistemas seguros y calificativos para

que la empresa crezca en toda sus estructura organizacional, lo que hace que las

empresas cada día se estén preparando y actualizando para afrontar y pasar las

auditorias que se les hacen de forma positiva; convirtiendo a las auditorias como en

ente sistémico importante en el crecimiento de las empresas.

5. Cuando a las empresas se les realizan auditorias en sus sistemas, se consigue estar en

crecimiento, y calificada ante las directrices nacionales de funcionamiento

empresarial. Con la auditoria se consigue: calidad de talento humano, instalaciones

adecuadas para las labores, resultados esperados en los procesos de la empresa,

calidad en las actividades, etc.

Plan y programa de la auditoria

Objetivos de la auditoria
Objetivo general:

 Verificar el funcionamiento, adecuación de las instalaciones del área de sistemas de

la empresa seleccionada, a través de la auditoria de sistemas.

Objetivos específicos:

 Identificar el área auditada aplicando metodologías de recolección de información

con el fin de conocer los recursos disponibles y los problemas que se presentan en el

área de informática de la empresa.

 Elaborar el plan y programa de auditoría, seleccionando los procesos del estándar

COBIT asociados a los activos a evaluar y diseñar las pruebas e instrumentos que

permita identificar las condiciones actuales de los activos informáticos que se incluirá

en la auditoría.

 Identificar las posibles soluciones a los hallazgos encontrados teniendo en cuenta los

objetivos de control de COBIT para proponer un plan de mejoramiento para los

activos evaluados en la auditoría.

LA ESTRUCTURA DEL ESTÁNDAR COBIT EN LA VERSIÓN DISPONIBLE 4.1

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.

Estos procesos están agrupados en cuatro grandes dominios que se describen a continuación

junto con sus procesos y una descripción general de las actividades de cada uno:

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología

información puede contribuir de la mejor manera al logro de los objetivos de la organización.

La consecución de la visión estratégica debe ser planeada, comunicada y administrada desde

diferentes perspectivas y debe establecerse una organización y una infraestructura

tecnológica apropiadas.

Procesos:

PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las

oportunidades de tecnología de información y los requerimientos de TI de negocio, para

asegurar sus logros futuros.

Citas Bibliográficas

http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html