Professional Documents
Culture Documents
Actividad Colaborativa
Auditoría de sistemas
Grupo: 90168A
Tutor
Francisco Nicolás Solarte
Introducción ........................................................................................................................ 4
Alcance................................................................................................................................ 6
Metodologías ....................................................................................................................... 8
Conclusiones ..................................................................................................................... 24
Bibliografía ....................................................................................................................... 25
Introducción
Revisar y evaluar las barreras que restringen el acceso a los datos de la compañía para que
solo permita acceder a ellos al personal autorizado para tal fin. Listo,
Objetivos específicos
En Advancing SYSTEM PLUS SAS en cuanto al área de sistemas En las 2 salas de computo
con topología estrella y entre ellas están conectada con tipología UPS por medio de dos Switch
uno de 16 puertos para la asignación de la sala hay conexión cableada wifi inalámbrica para el cual
se utiliza el Router en cada sala tiene una seguridad independiente, los equipos están conectados
vía adaptadores USB y conexión cableada.
Por la enseñanza en los cursos que son técnicos en redes, por los programas que se deben
instalar se manejan dos usuarios monitor el cual tiene habilitados los permisos de configuración e
instalación el cual es sólo para los estudiantes redes y el otro para los estudiantes en general.
Las contraseñas que se utilizan una es de fácil acceso y la otra de alta complejidad
Al final de la institución hay un Access Point doble antena, rompe muros para mejorar la
conectividad de los estudiantes, pero no tiene contraseña y es una falla de seguridad.
Criterios (Normas, Manuales)
Se aplican los siguientes estándares legales:
• ISO/IEC 12207
• IEEE 1074
• IEEE 1219
• ISO/IEC 14764
Recursos humanos
La auditoría tiene los siguientes auditores:
Recursos físicos
La auditoría se llevará a cabo en la empresa Advancing SYSTEM PLUS SAS de la ciudad
de Popayán a las redes y los usuarios de los sistemas.
Recursos tecnológicos
Encuesta, videocámara, grabador de voz, papel, lápiz y computador.
Metodologías
Metodología Objetivo 1
Conocer las instalaciones y la red de datos que soporta la plataforma tecnológica de la
compañía System Plus con el fin de identificar los principales riesgos a los que se encuentra
expuesta mediante visitas a las instalaciones y entrevista con sus empleados quienes identifican
estos riesgos de primera mano.
Metodología Objetivo 2
Elaborar el plan de auditoría creando el diseño de los formularios que se empleara para la
recolección de la información los cuales serán enfocados según los riesgos identificados.
Metología Objetivo 4
Crear el informe final de la auditoria con los resultados más importantes encontrados y el
veredicto sobre seguridad lógica de la compañía System Plus.
Tabla 1
Cronograma de actividades del plan de auditoría
Educar a los ejecutivos sobre las capacidades tecnológicas actuales y sobre el rumbo
futuro, sobre las oportunidades que ofrece TI, y sobre qué debe hacer el negocio para
capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual está alineado
TI está bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando
de manera clara las metas de la empresa y las metas de TI y reconociendo las oportunidades
así como las limitaciones en la capacidad actual, y se deben comunicar de manera amplia.
Identificar las áreas en que el negocio (estrategia) depende de forma crítica de TI, y mediar
entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer
prioridades concertadas.
PO2 Definir la Arquitectura de la Información
La función de sistemas de información debe crear y actualizar de forma regular un modelo
de información del negocio y definir los sistemas apropiados para optimizar el uso de esta
información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las
reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles
de seguridad, los objetivos de control a evaluar son:
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades
del negocio. Además implementar un proceso para revisar la estructura organizacional de TI
de forma periódica para ajustar los requerimientos de personal y las estrategias internas para
satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.
Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios
que delimiten la autoridad entre el personal de TI y los usuarios finales y definiá n las
responsabilidades y rendición de cuentas para alcanzar las necesidades del negocio.
PO4.10 Supervisión
Asegurar que los consultores y el personal contratado que soporta la función de TI cumplan
con las polit́ icas organizacionales de protección de los activos de información de la empresa
de tal manera que se logren los requerimientos contractuales acordados.
Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles
con base en su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales
de habilidades para TI y verificar que se les dé mantenimiento, usando programas de
calificación y certificación según sea el caso.
Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y
compensación del personal, incluyendo el requerimiento de adherirse a las polit́ icas y
procedimientos administrativos, así como al código de ética y prácticas profesionales. El nivel
de supervisión debe estar de acuerdo con la sensibilidad del puesto y el grado de
responsabilidades asignadas.
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas
de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique
a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en liń ea con las necesidades del negocio definidas y documentadas y
que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que
los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos
de acceso.
empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.
Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de
seguridad y control de virus actualizados) en toda la organización para proteger los sistemas
de la información y a la tecnología contra malware (virus, gusanos, spyware, correo basura).
Transacciones de datos sensibles se intercambian solo a través de una ruta o medio con
controles para proporcionar autenticidad de contenido, prueba de envió , prueba de recepción y
no repudio del origen.
DS7 Educar y Entrenar a los Usuarios
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos
dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Además de identificar las necesidades, este proceso incluye la definición y ejecución de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa
efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales como las medidas
de seguridad de los usuarios, los objetivos de control a evaluar son:
Verificar que todos los datos que se espera procesar se reciben y procesan completamente,
de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los
requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.
DS11.4 Eliminación
Definir e implementar las polit́ icas y procedimientos para identificar y aplicar los
requerimientos de seguridad aplicables al recibo, procesamiento, almacén y salida de los datos
para conseguir los objetivos de negocio, las polit́ icas de seguridad de la organización y
requerimientos regulatorios.
Dominio: Monitorear y Evaluar (ME)
Todos los procesos del módulo de matrícula necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad.
Garantizar que el proceso de monitoreo implante un método (Ej. Balanced Scorecard), que
brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al
sistema de monitoreo de la empresa.
Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa
raiź e iniciar medidas correctivas para resolver las causas subyacentes.
ME1.6 Acciones Correctivas
Tabla 2
Pruebas a realizar