Scribd Logo
Upload

Welcome to Scribd!

  • Unidad 2 - Fase 3

    Uploaded by

    alexy23010210
    15 views10 pages
    analisis, sistemas, ingenieria

    Original Title

    Unidad 2_Fase 3_

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    analisis, sistemas, ingenieria

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    15 views10 pages

    Unidad 2 - Fase 3

    Uploaded by

    alexy23010210
    analisis, sistemas, ingenieria

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 10

    Unidad 2: Fase 3: Fase de Planeación y Ejecución: Instrumentos de recolección de

    información. Análisis y evaluación de riesgos

    Alexy Amanda Paz – 1085254537

    No. de Grupo 90168_2

    Presentado a:
    DILSA ENITH TRIANA

    Universidad Nacional Abierta y a Distancia UNAD- CEAD Pasto


    Escuela de Ciencias Básicas y Tecnología ECBTI
    Noviembre de 2017
    INTRODUCCION
    Objetivos
    Objetivo General
    Objetivos específicos:
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS Y EJECUCCIÓN DE AUDITORIA

    REF
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS DE AUDITORIA

    PAGINA
    ENTIDAD AUDITADA DETODO.COM
    1 DE 1
    PROCESO AUDITADO Administrar los Recursos Humanos de TI
    RESPONSABLE ALEXY AMANDA PAZ MENESES
    MATERIAL DE SOPORTE COBIT
    DOMINIO PLANEAR Y ORGANIZAR (PO)
    PROCESO PO7. Administrar los Recursos Humanos de TI
    OBJETIVOS DE
    PO7.4 Entrenamiento del Personal de TI
    CONTROL

    REPOSITORIO DE PRUEBAS APLICABLES


    FUENTES DE CONOCIMIENTO
    DE ANALISIS DE EJECUCION
     Políticas
    Documentos  Normas
     Procedimientos Cuestionario
    Personal Administrativo

    AUDITOR RESPONSABLE:
    ALEXY AMANDA PAZ MENESES
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS Y EJECUCCIÓN DE AUDITORIA

    REF
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS DE AUDITORIA

    PAGINA
    ENTIDAD AUDITADA
    1 DE 1
    PROCESO AUDITADO Garantizar la Seguridad de los Sistemas
    RESPONSABLE ALEXY AMANDA PAZ MENESES
    MATERIAL DE SOPORTE COBIT
    DOMINIO ENTREGAR Y DAR SOPORTE (DS).
    PROCESO DS5. Garantizar la Seguridad de los Sistemas
    DS5.4. Administración de cuentas de usuario
    OBJETIVOS DE
    DS5.9. Prevención, detección y corrección de software malioso
    CONTROL
    DS5.10. Seguridad de la Red

    REPOSITORIO DE PRUEBAS APLICABLES


    FUENTES DE CONOCIMIENTO
    DE ANALISIS DE EJECUCION
    Personal
    Administrativo Cuestionario
    Personal Técnico

    AUDITOR RESPONSABLE:
    ALEXY AMANDA PAZ MENESES
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS Y EJECUCCIÓN DE AUDITORIA

    REF
    CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
    ANALISIS DE AUDITORIA

    PAGINA
    ENTIDAD AUDITADA
    1 DE 1
    PROCESO AUDITADO Administración de Datos
    RESPONSABLE ALEXY AMANDA PAZ MENESES
    MATERIAL DE SOPORTE COBIT
    DOMINIO ENTREGAR Y DAR SOPORTE (DS).
    PROCESO DS11. Administración de Datos
    OBJETIVOS DE
    DS11.6. Respaldo y Restauración
    CONTROL

    REPOSITORIO DE PRUEBAS APLICABLES


    FUENTES DE CONOCIMIENTO
    DE ANALISIS DE EJECUCION
    Personal
    Administrativo Cuestionario
    Personal Técnico

    AUDITOR RESPONSABLE:
    ALEXY AMANDA PAZ MENESES
    Cuestionario de Control: C1
    Dominio PLANEAR Y ORGANIZAR (PO)
    Proceso PO7. Administrar los Recursos Humanos de TI
    Objetivo de Control PO7.4 Entrenamiento del Personal de TI
    Pregunta Si No OBSERVACIONES
    ¿Tienen definido por escrito un procedimiento para 4 Si bien el administrador
    la contratación de personal en el negocio? puede describir el
    procedimiento para la
    contratación, este no
    está definido en forma
    escrita.
    ¿Se han evaluado las habilidades y conocimientos 5
    que deben los empleados tener para trabajar en el
    negocio?
    ¿Se encuentran establecidas y delimitadas por 5 Estas no están definidas
    escrito, las Responsabilidades del personal en forma escrita.
    técnico y administrativo?
    ¿Existen planes de capacitación al personal 5 No existen
    contratado?
    ¿El desempeño del trabajo realizado por el 5 Mensualmente
    personal es evaluado y revisado periódicamente?
    ¿Se han realizado estudios al personal para 5 No se han realizado
    determinar necesidades de capacitación?
    TOTALES 10 19

    Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno
    el valor mínimo considerado de poca importancia y cinco el máximo considerado
    de mucha importancia.
    Porcentaje de riesgo parcial = (Total SI * 100) / Total
    Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

    Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%


    Porcentaje de riesgo = 100 – 35.7= 65.6%

    1% - 30% = Riesgo Bajo


    31% - 70% = Riesgo Medio
    71% - 100% = Riesgo Alto
    Cuestionario de Control: C2
    DOMINIO ENTREGAR Y DAR SOPORTE (DS).
    PROCESO DS5. Garantizar la Seguridad de los Sistemas
    DS5.4. Administración de cuentas de usuario
    OBJETIVOS DE DS5.9. Prevención, detección y corrección de software
    CONTROL malioso
    DS5.10. Seguridad de la Red
    Pregunta Si No OBSERVACIONES
    ¿Se cuentan con procedimientos para la creación, 5
    modificación y eliminación de cuentas de usuarios en los
    equipos del negocio?
    ¿Se han implantado claves o password para garantizar
    operación de consola y equipo central (mainframe), a
    personal autorizado?
    ¿Se cuenta con políticas de control de acceso al sistema 5
    basadas en los requerimientos de seguridad de la empresa?
    ¿Se cuenta con un administrador de sistemas en la empresa 5
    que lleve un control de los usuarios?
    ¿Son gestionados los perfiles de estos usuarios por el 5
    administrador?
    ¿Los equipos que contienen la información prioritaria del 5
    negocio, tienen acceso restringido?
    ¿Se identifica usuarios y sus privilegios de acceso, sistema 5
    operativo, sistema de gestión de bases de datos y
    aplicaciones?
    ¿Se restringe y controla la asignación y el uso de privilegios a 5
    los usuarios?
    ¿Se tiene control y registro de cada una de las personas que 5
    hicieron uso del servidor?
    ¿Se ha determinado algún mecanismo de seguridad para
    acceder al sistema operativo?
    ¿se tienen establecidas medidas preventivas y
    correctivas contra el ataque de virus informáticos?
    ¿Se guardan copias periódicas de los archivos que
    permita reanuadar un proceso a partir de una fecha
    determinada?
    Existen políticas para el cumplimiento con licencias de
    software y prohibición del uso de software No
    autorizado.
    Se tiene instalado y actualizados Antivirus como una
    medida preventiva
    Existen Planes de Continuidad del Negocio para
    recuperarse ante ataques de virus
    Existen Firewalls dentro del negocio?
    ¿Se cuenta con copias de los archivos en lugar distinto al de
    la computadora?
    .¿Se mantiene programas y procedimientos de detección e
    inmunización de virus en copias no autorizadas o datos
    procesados en otros equipos?
    ¿Los operadores del equipo central están entrenados para
    recuperar o restaurar información en caso de destrucción de
    archivos?
    ¿Se hacen revisiones periódicas y sorpresivas del contenido
    del disco para verificar la instalación de aplicaciones no
    relacionadas a la gestión de la empresa?
    ¿Se mantiene programas y procedimientos de detección e
    inmunización de virus en copias no autorizadas o datos
    procesados en otros equipos?
    TOTALES

    Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno
    el valor mínimo considerado de poca importancia y cinco el máximo considerado
    de mucha importancia.
    Porcentaje de riesgo parcial = (Total SI * 100) / Total
    Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

    Porcentaje de riesgo parcial = (10 * 100) / 29 = 34.4%


    Porcentaje de riesgo = 100 – 35.7= 65.6%

    1% - 30% = Riesgo Bajo


    31% - 70% = Riesgo Medio
    71% - 100% = Riesgo Alto

    BIBLIOGRAFIA

    Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de


    http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn
    =edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=
    &pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c3%ada%20inform%c3%a1ti
    ca&atitle=T%C3%A9cnicas%20de%20la%20auditor%C3%ADa%20inform%C3%A1tica
    &aulast=Derrien%2C%20Yann&id=DOI:
    Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México: Editorial
    McGraw-Hill.

    Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de


    http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=11038908&ppg
    =4

    Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de


    http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

    Huesca, G. (2012). Auditoria informática. Recuperado de


    https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

    Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de


    https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%
    ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

    Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De


    http://hdl.handle.net/10596/10236

    Norma de mejores prácticas de TI CobIT 4.1, disponible en:


    http://campus06.unad.edu.co/ecbti08/pluginfile.php/5935/mod_resource/content/3/cobiT4
    .1spanish.pdf

    You might also like