AUDITORIA DE SISTEMAS 90168A_224

ESTUDIANTES:

LUKDARY ABRIL RUEDA Código. 1091653.080

ZULLY KATERIN MALAGON Código. 1069748343

GUSTAVO ALEXANDER DUARTE Código: 1069740689

BRAYAN MAURICIO GONZALEZ Código: 1069741819

SONIA LUZ GOMEZ Código: 1098640210

ING-CARMEN EMILIA RUBIO-TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

COLOMBIA

SEPTIEMBRE DE 2015

TABLA DE CONTENIDO

INTRODUCCION...........................................................................................................................................3

OBJETIVOS...................................................................................................................................................4

General:..................................................................................................................................................4

Específicos:..............................................................................................................................................4

CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS..................................................................................5

IMPORTANCIA DE LA AUDITORIA INFORMATICA......................................................................................10

Conclusiones.........................................................................................................................................11

PLAN DE AUDITORIA.................................................................................................................................13

ESTÁNDAR COBIT 4.1................................................................................................................................19

PROGRAMA DE AUDITORIA.......................................................................................................................20

CONCLUSIONES.........................................................................................................................................24

REFERENCIAS BIBLIOGRÁFICAS.................................................................................................................25

INTRODUCCION

Con el presente trabajo identificaremos los elementos más relevantes de la auditoria de sistemas

y analizaremos el plan de auditoria de una de las empresas más importantes a nivel nacional

como lo es Servientrega que de aquí se desglosan diferentes interrogantes para analizar un buen

plan de auditoria.

OBJETIVOS

General:

Identificar los conceptos principales de la auditoria de sistemas e identificar las técnicas que se

utilizan en un proceso de auditoría.

Específicos:

Comprende los conceptos de vulnerabilidad, amenaza y riesgo y los aplica en las

empresas en el proceso de auditoría.

Establece las técnicas que se pueden aplicar en un proceso de auditaje.

Elabora el plan de auditoría

Elabora el programa de auditoría

DESARROLLO DEL TRABAJO

CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOSA

CT

IVO

D

E

VULNERABILIDAD AMENAZAS RIESGOS

HA

RD

WA

RE

-Falta de configuración de respaldos o equipos de contingencia.

-Sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.

- Falta de equipos de contingencia.

- Falta de planta eléctrica en caso ausencia de luz.

- Falta de mantenimiento preventivo.

- Los componentes de hardware del sistema no son apropiados y no cumplen los requerimientos necesarios.

- Existen componentes de hardware que necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo contrario se acortara su vida útil.

-Descuido y mal uso de los componentes.

- Daños y pérdidas de los equipos.

- Sobre carga eléctrica de equipos.

- Daño de hardware o interrupción de los sistemas informáticos.

- Retraso en los procesos debido a la lentitud de los equipos.

- Suspensión del servicio.

- Perdida de trabajo e información.

SO

FT

WA

RE

-Configuración e instalación indebida de los programas.

-ausencia de actualización.

-Sistemas operativos mal configurados y mal organizados

-Ejecución de macro virus

- Programas sin licencia.

- Ausencia de antivirus.

-Software malicioso, también conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spyware, usan con fines fraudulentos.

-Código malicioso, esto incluye virus, gusanos informáticos, bombas lógicas y otras amenazas programadas.

- El Software no cumple con los estándares de seguridad requeridos pues nunca fue diseñado para dar soporte a una organización.

-Salida de información por accesos no autorizados.

-Manejo indebido de los datos por accesos no autorizados

-Interrupción de procesos por caídas en el sistema

-Daños al software y sistema operativo de los equipos de la empresa

- Daños a los programas.

- Violación a la confidencialidad de la información por parte de terceros.

- Sanciones por utilización de software pirata.

RE

DE

S

-Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas.

-Fallas en la inscripción de la información.

-Infraestructuras obsoletas

-Puertos abiertos sin uso

-Contraseñas poco seguras, propenso a robo de información.

- Errores en los canales de comunicación.

- Restricciones de accesos a la web.

-la red de comunicación no está disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso.

-Incumplimiento de las normas de instalación de la red.

-Intercepción y extracción de datos o señales

-Ataques de Contraseña

- Intercepción y extracción de datos o señales

- Virus por acceso a páginas perjudiciales.

-Fuga de información por posible implantación de Malware

-Caída de servicios por obsolescencia de los equipos

 -Pérdida de Integridad de la información por acceso no autorizado

- Daños en el sistema

CO

MU

NIC

AC

ION

ES

-Exceso de líneas telefónicas y de datos que no están en uso.

-Información no disponible para los usuarios.

-Datos personales de los empleados expuestos al público

-Pocas restricciones en el contenido del servicio de internet

-Intercepción de señales

- Ataques de interrupción (corte de líneas telefónicas y de datos)

-Fallas en el fluido eléctrico.

-Incomunicación total

- Retraso en los procesos debido a la lentitud de los equipos

SE

GU

RID

AD

FÍS

ICA

-instalaciones inadecuadas del espacio de trabajo

-ausencia de recursos para el combate a incendios

-disposición desorganizada de cables de energía y de red

-malas prácticas de las políticas de acceso de personal a los sistemas.

-uso de medios físicos de almacenamiento de información que permitan extraer datos del sistema de manera no autorizada

-ausencia de identificación de personas y de locales

- Malas condiciones de la planta física.

-Ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones

-Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracane.

-Robos

-Sabotajes y destrucción de sistemas

-Perdida de objetos hardware y de información debido al fácil acceso a los mismos.

-Daño de elementos físicos (PC’s, cámaras, etc.)

- Lesiones a las personas y a las instalaciones.

- Perdida de dinero

SE

GU

RID

AD

LÓ

GIC

A

-Errores de diseño y programación de redes y sistemas de información

-Configuraciones por defecto en los S.O

-Fallo en actualizaciones del S.O

-Falla en las restricciones del servicio de internet

-No tiene software antispyware

-Contraseñas y usuarios poco seguros en dispositivos de comunicación

- Falta de software y hardware para la realización de backups.

-Malware (virus, troyanos, gusanos informáticos, bombas lógicas, etc.)

-Escaneo de puertos, protocolos y servicios-Spam-Spyware-Software incorrecto-Canales cubiertos

- Fallas en los discos duros y servidores.

-Fuga de información

-Modificación de datos

-Perdida de información

-Manipulación no autorizada de datos

-Imagen negativa de la organización

PE

RS

ON

AL

DE

L Á

RE

A

-falta de capacitación y concienciación.

-negligencia en el seguimiento de las políticas de seguridad.

-mal uso del equipo de cómputo.-Desconocimiento de medidas básicas de seguridad del área de T.I

-Fallas de seguimiento en el monitoreo

-Ataques de suplantación (Spoofing)

-Robo

-Perdida de información confidencial por acceso no autorizado

-Retraso en la prestación de servicios de T.I

IMPORTANCIA DE LA AUDITORIA INFORMATICA

La auditoría de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias

para determinar si un sistema de información protegiendo el activo Servientrega S.A,

manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la

empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones

establecidas.

La Auditoria informática nos Permite detectar de forma sistemática el uso de los recursos y los

flujos de información dentro de la empresa, determinando qué información es crítica para el

cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y

barreras, que obstaculizan los flujos de información eficientes.

La auditoría de sistemas tiene 2 tipos, son:

Auditoria Interna: es la que está dentro de la empresa; sin contratar a personas de afuera. Puede

ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestión.

Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de

afuera para que haga la auditoria en su empresa.

Auditar consiste especialmente en estudiar los componentes de control que están implantados en

una empresa, determinando si los mismos son adecuados y cumplen unos determinados

objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución

de los mismos. Los componentes de control pueden ser directivos, preventivos, de detección.

Entre sus beneficios también se encuentra: Mejorar la credibilidad de la empresa, generar

confianza a los clientes sobre la seguridad y control de las operaciones, disminución de costos al

prevenir pérdidas y realizar un control sobre las inversiones que se realizan en el área

informática.

Siendo así, se puede afirmar que el buen funcionamiento de una empresa depende del control

que se tiene sobre la evaluación de sus sistemas e infraestructura tecnológica, puesto que en la

actualidad las organizaciones estructuran su información en sistemas de tecnología informática y

debido a esto es fundamental que funciones de manera óptima y sin interrupciones para una

mejor productividad en la empresa.

Conclusiones

La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas

de información, ya que proporciona los controles necesarios para que los sistemas sean

confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,

organización de centros de información, hardware y software).

Analizando acerca de todos los elementos que componen “La empresa servientrega S.A”,

tanto materiales como humanos, me doy cuenta que auditar una Empresa u organización,

no es nada fácil, ya que si falla un elemento del que se compone, trae consigo un efecto

domino, que hace que los demás elementos bajen su rendimiento, o en el peor de los

casos sean causantes del fracaso en la empresa.

Pensaba que lo más importante para una empresa era el equipo informático con el que se

trabaja, pero, lo más importante es el factor humano, ya que si se cuenta con tecnología

de calidad, pero con personal no calificado, las cosas no serán iguales

Es importante realizar auditorías, ya que en una empresa los activos que son blanco de

espionaje son los activos informáticos, y de no ser evaluados se podría perder la

seguridad en los sistemas, generando robo de información o información errónea, lo que

a su vez puede generar más problemas a las demás aplicaciones. Así mismo un sistema

de información mal diseñado representa una herramienta peligrosa para la gestión y

coordinación de los procesos de la empresa

La auditoría de sistemas toma importancia en el desarrollo de las empresas puesto que

contribuye a evaluar y garantizar el buen funcionamiento de los activos tecnológicos

involucrados en el desarrollo de los procesos, no solo detectando sus errores, sino

evaluando y mejorando su eficiencia y eficacia

PLAN DE AUDITORIA

Antecedentes: 

La empresa de Servientrega S.A, se realiza periódicamente un plan de seguimiento a todos los

procesos técnicos que se desarrollan dentro de sus dependencias, esto debido a que las se

requiere la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario

realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.

Objetivos

Objetivo general:

Analizar y Evaluar los controles, sistemas de los equipos de cómputo, su utilización, eficiencia,

utilidad, confianza, privacidad y disponibilidad en el ambiente informático y seguridad de

personal, datos, hardware, software e instalaciones, de la organización que participan en el

procesamiento de la información. A fin de que por medio del señalamiento de cursos

alternativos se logre una utilización más eficiente y segura de la información que servirá para

una adecuada toma de decisiones. Presentes en la empresa Servientrega S.A 

Objetivos específicos:

- Objetivos de la auditoria de sistemas

- Asegurar una mayor integridad, confidencialidad de la información mediante la

recomendación de seguridades y controles.

- Seguridad de personal, datos, hardware, software e instalaciones.

- Apoyo de función informática a las metas y objetivos de la organización.

- Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informático.

- Minimizar existencias de riesgos en el uso de Tecnología de información.

- Decisiones de inversión y gastos innecesarios

- Capacitación y educación sobre controles en los sistemas de información Comprobar la

existencia de controles internos en la empresa Servientrega S.A.

- Presentar a la empresa la información sobre los hallazgos y observaciones como

resultado del plan de auditoria.

Alcance y delimitación

La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los

sistemas de información y tecnologías de comunicación y el talento humano, con el fin de

observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y así optimizar

el uso de los recursos para brindar un buen servicio a los clientes.

Mediante la ejecución de la auditoria se sistemas se pretende evaluar:

Las normas de control, técnicas y procedimientos que se tiene establecidos en la empresa para

lograr confiabilidad, seguridad y confidencialidad de la información que se procesa a través del

sistema de aplicación que se esté utilizando.

Además esta Auditoria de sistemas mostrará las novedades analizadas en el área informática, en

la empresa de Servientrega S.A, para que sus administradores sean quiénes tomen los

correctivos y políticas aplicables que con lleven al logro de objetivos propuestos en caso de que

así se lo requiera dicho dictamen. Dentro de la Auditoria se realizará un análisis sobre los

sistemas y redes de conexión.

Es importante destacar que con la ejecución de esta auditoría, Servientrega S.A. no solo podrá

tener identificados los riesgos a los procesos del área de sistemas, sino que también podrá

comprobar la calidad y capacidad de su infraestructura tecnológica y sus sistemas de

información.

Justificación

Desconocimiento en el nivel directivo de la situación informática de la empresa

Falta total de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e

información.

Descubrimiento de fraudes efectuados con el computador y Falla de una planificación

informática.

Falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada

administración del Recurso Humano y Descontento general de los usuarios por incumplimiento

de plazos y mala calidad de los resultados.

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de

efectuar el mantenimiento de los sistemas en producción.

Herramientas propuestas para la evaluación

Cuestionarios

Entrevistas

Formularios Checklist

Inventarios del área informática

Reporte de bases de datos y archivos

Software de interrogación (“Paquetes de auditoria”)

Fotografías

Diseños de flujos y de la red de información

Planos de distribución e instalación del centro de cómputo y los equipos

Certificados, garantías y licencias del software

Historial de cambios y mejoras de los recursos informáticos

Determinación de recursos de la Auditoría Informática

Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos

humanos y materiales que han de emplearse en la auditoría.

Recursos humanos

Recursos materiales

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el

cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el

sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el

auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software:

Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se

añaden a las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de

Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los

procesos de control deben efectuarse necesariamente en las Computadoras del auditado.

Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresoras

ocupadas, etc.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del

personal seleccionado dependen de la materia auditable.

Actividades Septiembre Octubre Noviembre13-19 20-26 27-3 4 - 10 11-17 18-24 25 - 1 1 - 7 8 - 14 15-21 22-28

Elaboración del plan de auditoria, concertación de objetivos y definición de recursos a utilizarElaboración de cuestionarios e instrumentos de evaluaciónEvaluación de situaciones deficientes y observación de los procedimientosRevisión de funcionalidad de sistemas de información, redes e infraestructura tecnológicaAnálisis de los resultados obtenidosDefinición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejoraEvaluación del cumplimiento de los objetivos de la auditoriaRedacción del informe finalPresentación del informe de auditoria

Cronograma de actividades

ESTÁNDAR COBIT 4.1

El cubo COBIT representa los diferentes componentes necesarios para el exitoso desempeño del

área de TI de una organización y en especial muestra los diferentes componentes que

corresponden a cada una de las caras fundamentales, donde se tienen los requerimientos de

negocio que es el grupo de necesidades que se deben solventar, los recursos de TI que son las

herramientas con las que se cuenta y los procesos de TI que es la organización y los

procedimientos que se realizan para solucionar los requisitos con los recursos.

COBIT 4.1 es una actualización significativa del marco mundial aprobado que asegura que las

TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y

sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible del

COBIT 4.0 y puede usarse para perfeccionar el trabajo basado en versiones anteriores de

COBIT. COBIT ayuda a las organizaciones a reducir riesgos en el manejo de las TI e

incrementar el valor derivado de su uso. Las actualizaciones en COBIT 4.1 incluyen: avances en

la medición del desempeño; mejores objetivos de control; y una excelente alineación entre

objetivos de negocio y de TI.

PROGRAMA DE AUDITORIA

De los 34 objetivos de control generales descritos en el estándar COBIT versión 4.1, se

seleccionan los siguientes dominios y procesos, tomando como base los objetivos y el alcance

definidos anteriormente en el plan de auditoria:

Dominio: Planear y organizar:

Proporciona dirección para la entrega de soluciones y la entrega de servicio

Procesos:

PO2 Definir la arquitectura de la Información:

Objetivo: El objetivo es satisfacer los requerimientos de la organización, en cuanto al

manejo y gestión de los sistemas de información, a través de la creación y

mantenimiento de un modelo de información de la organización.

PO3 Determinar la dirección tecnológica:

Objetivo: El objetivo es aprovechar al máximo de la tecnología disponible o tecnología

emergente, satisfaciendo los requerimientos de la organización, a través de la creación y

mantenimiento de un plan de infraestructura tecnológica.

PO9 Evaluar y administrar los riesgos de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos de TI y responder a las

amenazas hacia la provisión de servicios de TI, mediante la participación de la propia

organización en la identificación de riesgos de TI y en el análisis de impacto, tomando

medidas económicas para mitigar los riesgos.

Dominio: Adquirir e implementar

Proporciona las soluciones y las pasa para convertirlas en servicios

Procesos:

AI4 Desarrollo y mantenimiento de procedimientos:

Objetivo: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones

tecnológicas establecidas, mediante la realización de un enfoque estructurado del

desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos

de servicio y material de entrenamiento.

AI6 Administración de los cambios:

Objetivo: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores, mediante un sistema de administración que permita el análisis,

implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la

infraestructura de TI actual.

Dominio: Entregar y dar soporte:

Recibe las soluciones y las hace utilizables por los usuarios finales.

Procesos:

DS5 Garantizar la seguridad de sistemas:

Objetivo: El objetivo es salvaguardar la información contra uso no autorizados,

divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que

aseguren que el acceso a sistemas, datos y programas está restringido a usuarios

autorizados.

DS6 Educar y entrenar a los usuarios:

Objetivo: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la

tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando

un plan completo de entrenamiento y desarrollo.

DS11 Administrar los problemas:

Objetivo: El objetivo es asegurar que los datos permanezcan completos, precisos y

válidos durante su entrada, actualización, salida y almacenamiento, a través de una

combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

DS12 Administrar el ambiente físico:

Objetivo: El objetivo es proporcionar un ambiente físico conveniente que proteja al

equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o

fallas humanas lo cual se hace posible con la instalación de controles físicos y

ambientales adecuados que sean revisados regularmente para su funcionamiento

apropiado definiendo procedimientos que provean control de acceso del personal a las

instalaciones y contemplen su seguridad física.

Dominio: Monitorear y evaluar

Monitorear todos los procesos para asegurar que se sigue la dirección provista

Procesos:

M1 Monitorear y evaluar el proceso de TI:

Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos

de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de

desempeño gerenciales y la implementación de sistemas de soporte así como la atención

regular a los reportes emitidos.

CONCLUSIONES

Todos nos enfocamos hacia el mismo punto de vista para la realización del cuadro, ya

que con distintas palabras pero el mismo enfoque evaluamos las vulnerabilidades,

amenazas y riesgos que se pueden presentar en la empresa Servientrega.

La importancia de un buen plan de auditoria de sistemas ayuda a prevenir cualquier tipo

de inconveniente que se presente en el sistema y que pueda atentar contra la integridad

de los datos.

El plan de auditoria debe realizarse bajo muchos parámetros y condiciones para que

funcione adecuadamente y se cumplan sus objetivos

REFERENCIAS BIBLIOGRÁFICAS

Adolfo J. Araujo J. (2011). Vulnerabilidad y amenazas. 2015, de blogspot Sitio web: http://inf-tek.blogspot.com/2011/11/82-amenazas-informaticas.html

Muñoz, Razo Carlo. (2002). Aspectos generales de auditoria. 2009, de Pearson educación Sitio web: http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_GGGG.pdf

Nubia Fernández Grajales. (2005). Importancia de la auditoría informática en las organizaciones. Cómputo Académico UNAM, 43, 2. 2008, De Entérate Base de datos.

Cristian Avilés. (2013). Auditoria informática. 2014, de blogspot Sitio web: http://icci-auditoria-informatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.html

Falconí, O. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas. (Spanish). Contabilidad Y Negocios, 1(2), 16-20 Sitio web: http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf

IT Governance Institute. COBIT 4.1. 2007, Recuperado de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

Francisco N. Solarte S. COBIT (Objetivos de Control para la información y Tecnologías relacionadas). 2011, sitio web: http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html

Blaikie, Piers et al. (1996) Vulnerabilidad: El Entorno Social, Político y Económico de los Desastres. La Red. IT Perú. Tercer Mundo Editores, Colombia.

Cuny, Fred. (1983) Disasters and Development. Oxford University Press