Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TUTOR
FRANCISCO NICOLAS SOLARTE
ALUMNOS
FABIAN LEONARDO GOMEZ
CODIGO: 1.115.792.758
LUIS EDUARDO GALINDEZ
JOHN JAIRO BARRERO MARTINEZ
CODIGO: 1.105.672.950
HEMIR FIGUEROA COETATA
CODIGO: 1.117.509.566
INTRODUCCIN
Las organizaciones a travs de la historia han tenido entre sus prioridades las proteccin de sus
bienes documentales, con el avance de la tecnologa la informacin revoluciono la forma de pensar
y tomar el control del mundo de una manera intangible que se procesa se guarda y viaja a todas
partes utilizando medios fabricados para servir a la informacin, el recurso ms valioso para
muchas personas y todas las organizaciones con la cual el mundo se integra a partir de sus
servicios, aprovechando las bondades de la tecnologa y las comunicaciones. Al ser tan valioso e
importante recurso surgieron poco a poco tantas formas, tcnicas y herramientas para vulnerarla,
robarla y destruirla, se convirti desde entonces en un objetivo para quienes comprendieron su
verdadero valor en la dinmica del mundo, abarcando tanto aspectos, econmicos, sociales y
gubernamentales, con fines comerciales, destructivos; en la medida que la informacin se expandi
gracias a internet tambin se expandieron las oportunidades y los beneficios para el desarrollo de la
humanidad, pero con ellos tambin se inici una lucha ciberntica entre quienes atacan la
informacin de otros que la han conseguido con autora propia, la compraron, la administran o
simplemente la gestionan, en esta lucha se crearon muy rpido armas para atacar y otras defenderse
lo que ha sido una evolucin constante que ha generado que se perfeccionen de forma exponencial.
A continuacin, con la informacin generada en los trabajos individuales, se consolido en un solo
trabajo conformado por un escrito sobre los resmenes enviados por los integrantes del grupo,
donde se muestre la metodologa a seguir para realizar una auditora con fases y actividades luego
como siguiente paso se hace evidencia el mapa mental que se escogi, por ultimo la propuesta de la
empresa para realizar la Auditoria.
OBJETIVOS ESPECFICOS:
.
DESCRIPCIN DEL LAS ESTACIONES DE TRABAJO
Caractersticas
Equipo Todo en 1 Marca Hp con procesador de Sexta Generacin Intel Core i 7, Memoria
Ram de 8 Gb, Disco Duro de 1 TB, con conectividad Limitada por Proxy a la Internet para
navegacin y Acceso.
La sede cuenta con 200 Computadores
Sofa Plus
Servicio Pblico de Empleo (SPE)
Sistema Integrado de Videoconferencia Educativa (SIVE)
PASOS A REALIZAR
Dictamen de la
Auditoria de
Sistemas
SOFIA PLUS
N
Vulnerabilidad
Falta de actualizacin del
sistema operativo de los
equipos de cmputo, No tiene
licencia original.
Falta de actualizacin y
configuracin adecuada del
equipo, lo que no podra
realizarse con efectividad
sino se cuenta con un sistema
original
Los usuarios permiten que
otras personas ingresen con
sus cuentas a realizar
consultas en la base de Datos.
Amenazas
Fallos en
operativo
Falta de
por parte
superiores
plan de
software.
el
Riesgo
sistema Adquisicin
software que
tiene soporte
fabricante
concientizacin Fallas
en
de los mandos configuracin
para ejecutar un los equipos
legalizacin de
Falsificacin
en
los
documentos que se pueden
tramitar por medio de la
plataforma.
Categora
de Software
no
del
la Software
de
Fuga
de
Informacin
y
fraude al momento
de
consultar
informacin
Uso indebido del correo de La mala utilizacin del Fuga
de
correo, ya que no se utiliza informacin
electrnico
solo para comunicacin
laboral.
Los equipos de cmputo con Posible
prdida
de Dao inminente de
los activos.
los que cuenta la unidad ya informacin.
han cumplido su tiempo de
vida til.
Seguridad
Lgica
Seguridad
lgica
Hardware
el Hardware
de
Errores de usuario
El personal no Manejo y
cuenta con las control de
actitudes
y personal
aptitudes
requeridas
para
hacer uso de la
informacin
por
medio
de
los
sistemas
de
informacin.
Vulnerabilidad
Falta de actualizacin del
sistema operativo de los
equipos de cmputo, No tiene
licencia original.
Falta de actualizacin y
configuracin adecuada del
equipo, lo que no podra
realizarse con efectividad
sino se cuenta con un sistema
original
La plataforma solo es
manejada por una persona en
cada ciudad principal.
Amenazas
Fallos en
operativo
Falta de
por parte
superiores
plan de
software.
el
Riesgo
sistema Adquisicin
software que
tiene soporte
fabricante
concientizacin Fallas
en
de los mandos configuracin
para ejecutar un los equipos
legalizacin de
Se
evidencia
muchos
ataques a los activos
informticos
de
las
Unidades.
Categora
de Software
no
del
la Software
de
Perdida
de Seguridad
Informacin,
Lgica
Infiltracin
por
parte de algn
virus.
Los equipos de cmputo con El antivirus no corre con la Retraso
en la Hardware
el Hardware
de
Errores de usuario
El personal no Manejo y
cuenta con las control de
actitudes
y personal
aptitudes
requeridas
para
hacer uso de la
informacin
por
medio
de
los
sistemas
de
informacin.
Vulnerabilidades
El software utilizado
masivamente como
las aplicaciones web,
los sistemas
operativos y la
ofimtica.
Deficiente uso de
las UPS
Amenazas
Riesgos
Inmadurez de las Operacionales
nuevas tecnologas
que se lanzan al
mercado sin haber
sido probadas en el
mercado en forma
exhaustiva.
Daos por
fluctuaciones
de voltaje en los
dispositivos
Deficiente rea de
Funcionamiento
ventilacin de los defectuoso por altas
dispositivos
temperaturas
Prdida total de
los
dispositivos
Daos
dispositivos
Categora
software
Hardware
Hardware
Claves de los
equipos de
computo poco
complejas
Uso no
personalizados de
los dispositivos
Puntos de red sin
usar
Manejo de
informacin
sin restriccin
Extraccin de
informacin
Seguridad lgica
Uso de dispositivos
sin
control
Manipulacin de
dispositivos sin
autorizacin
Ingreso de intrusos
al
sistema
Extraccin de
informacin
Seguridad lgica
Extraccin de
informacin
Seguridad lgica
Robo de
informacin o
destruccin de la
misma
Dao de la red
Seguridad lgica
Destruccin de
la
informacin por
virus
Procedimientos
incorrectos por
el talento
humano
Acceso no
autorizados a
la red
Retraso en las
actividades de la
empresa
Seguridad lgica
Poco control en
el manejo de
informacin
Hardware
obsoleto
Seguridad lgica
Contraseas de
dispositivos
deficientes
Servidores, switch,
huds,
en zonas expuestas.
Antivirus no
actualizados
Manipulacin de
dispositivos sin
autorizacin
Ataques de virus
Falta de capacitacin
en
polticas de
seguridad al personal
Claves expuestas en
los
puestos de trabajo
Deterioro de la red
Operacin
incorrecta
Navegacin de
internet sin
restriccin
Tiempo de uso de los
dispositivos
Desvi de
informacin
10
11
12
13
14
15
Ausencia de sistema
adicionales de
seguridad, de
entrada en los
sistemas de computo
ingreso de intrusos
a la
red
Presencia de
interferencias
electromagnticas
Poco
mantenimiento a
los dispositivos
Daos por desastres
naturales
Redes
Manejo y
control del
personal
Seguridad lgica
Redes
Hardware
Costo ms
elevado
Hardware
N.
1
Vulnerabilidades
Deficiente rea de
ventilacin de los
dispositivos
Ausencia de sistema
adicionales de
seguridad, de entrada
en los sistemas de
computo
Amenazas
Funcionamiento
defectuoso
por
altas temperaturas
Daos por
desastres
naturales
Deficiente uso de
las UPS
Prdida total de
los
dispositivos
Hardware
Claves de los
equipos de
computo poco
complejas
Uso no
personalizados de
los dispositivos
Puntos de red sin
usar
Daos por
fluctuaciones
de voltaje en los
dispositivos
Manejo de
informacin
sin restriccin
Extraccin de
informacin
Seguridad lgica
Uso de
dispositivos sin
control
Manipulacin de
dispositivos sin
autorizacin
Ingreso de
intrusos al
sistema
Extraccin de
informacin
Seguridad lgica
Extraccin de
informacin
Seguridad lgica
5
6
Contraseas de
dispositivos
deficientes
Servidores, Switch,
hubs,
en zonas expuestas.
Antivirus no
actualizados
Manipulacin de
dispositivos sin
autorizacin
Ataques de virus
Falta de capacitacin
en
polticas de
seguridad al personal
Claves expuestas en
los
puestos de trabajo
Tiempo de uso de los
dispositivos
Operacin
incorrecta
10
11
12
13
Deterioro de la red
Categora
Hardware
Costo ms
elevado
Hardware
Riesgos
Daos
dispositivos
ingreso de
intrusos a la
red
Poco
mantenimiento a
los dispositivos
Presencia de
interferencias
electromagnticas
Robo de
Seguridad lgica
informacin o
destruccin de la
misma
Dao de la red
Redes
Destruccin de
la
informacin por
virus
Procedimientos
incorrectos por
el talento
humano
Acceso no
autorizados a
la red
Hardware
obsoleto
Seguridad lgica
Retraso en las
actividades de la
empresa
Redes
Manejo y
control del
personal
Seguridad lgica
Hardware
14
Navegacin de
internet sin
restriccin
Centro de Datos sin
Aire acondicionado
15
Desvi de
informacin
Recalentamiento
de Datacenter y
dems servidores
de Datos
Poco control en
el manejo de
informacin
Perdida de
Equipos de
Redes y
Servidores
Seguridad lgica
Redes
OBJETIVO DE LA AUDITORIA
GENERAL:
Realizar evaluacin de licenciamiento de software en estaciones de trabajo y buen
uso de correos Administrativos del Centro de Formacin Sena (Mocoa)
ESPECIFICOS:
Inspeccionar y Revisar como usan los usuarios administrativos el correo Sena de manera
individual
Recolectar los datos finales generados por las pruebas y hacer informe final
TENEMOS 2 ASPECTOS:
1. Licenciamiento de software: se involucran las 20 estaciones de trabajo de la parte
administrativa.
Aplicar revisin manual de cada usuario en una planilla de inspeccin para verificar
si los programas que estn instalados en la computadora concuerdan con los
licenciados
Toma de muestra manual de uso de correos en todos y cada uno de los funcionarios
PLAN DE AUDITORIA
ALCANCE
La auditora se realizar sobre la infraestructura tecnolgica y de comunicaciones de la entidad
seleccionada.
OBJETIVO
Verificar la implementacin de controles para garantizar los sistemas de informacin en cuanto a
la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad de los activos.
RECURSOS
El nmero de personas que integraran el equipo de auditoria ser de cuatro, con un tiempo
mximo de ejecucin de 3 a 4 semanas.
Metodologa
DOMINIOS A EVALUAR
Dentro del proceso solo se evaluaran dos dominios.
Planear y Organizar (PO): Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro
de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnolgica apropiada.
Adquirir e Implementar (AI): Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e
integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.
Entregar y Dar Soporte (DS): Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de
los datos y de las instalaciones operativos.
CONTROLES
Se evaluaran los siguientes controles para los sistemas de informacin:
AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos
fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos
establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y
aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de
buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean
informados y corregidos.
AC4 Integridad y Validez del Procesamiento: Mantener la integridad y validacin de los datos
a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el
procesamiento de transacciones vlidas.
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores: Establecer procedimientos y
responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada,
entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y
corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.
AC6 Autenticacin e Integridad de Transacciones: Antes de pasar datos de la
transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la
empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del
contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.
PROCESOS EVALUADOS
La auditora evaluara los siguientes procesos:
Objetivos de control
Durante la auditoria se evaluaran los siguientes objetivos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos
en el paso anterior.
Obtencin de los resultados.
En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de
control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de
control antes definidos.
Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva
de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se
expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de
informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las
normativas de seguridad como por ejemplo normativas de uso de password, formularios de
adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que
los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son
partes responsables de seguridad, mantenimiento y supervisin de las otras reas.
Entrega del informe a los directivos de la empresa.
Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe final
con los resultados obtenidos en la auditoria.
Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los puntos en
los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los
objetivos de control se sigan.
CRONOGRAMA
CONCLUSIONES
Hoy da podemos observar que es de gran importancia la Auditora de Sistemas de la
Informacin para las empresas, debido al cambio tecnolgico continuo y avanzado generando
modernizacin con visin amplia de futuro, ya que si no se obtienen los elementos necesarios de
control, seguridad y respaldo de la informacin dentro de una empresa se ver envuelta a riesgos
lgicos, fsicos y humanos, que conlleven a fraudes econmicos, informativos y generando as
perdidas a las empresas. Para ello la auditoria de sistemas debe comprender no slo la
evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que
tambin se tendr que evaluar los sistemas de informacin en general desde sus entradas,
procedimientos y controles; para lo cual se ve la necesidad de minimizar los riesgos y generar en
el talento humando sentido de pertenencia bajo lo que est a cargo de forma responsable.
BIBLIOGRAFIA
BIBLIOGRAFIA