TRABAJO COLABORATIVO 3: HALLAZGOS DE LA AUDITORIA

Curso auditoria de sistemas

Grupo:

Presentado a

Tutora

Universidad Nacional Abierta y a Distancia- UNAD

Escuela de ciencias bsicas, tecnologa e ingeniera

Programa Ingeniera de sistemas

No0viembre de 2016

OBJETIVO GENERAL
Realizar la evaluacin general de la efectividad de los controles de seguridad lgica
implementados y administrados a travs del rea de Seguridad de la Informacin, de tal
forma que se garantice la confidencialidad, disponibilidad e Integridad de la informacin de
la compaa.

OBJETIVOS ESPECFICOS
1. Revisar la efectividad de los controles implementados, para minimizar los riesgos de
accesos no autorizados a los sistemas de informacin, redes y posibles vulnerabilidades
que comprometan la seguridad de la informacin.

2. Verificar la existencia y aplicacin de polticas para la seguridad de la informacin,

comprobar su actualizacin y revisin por parte del Especialista de Seguridad de la
Informacin, Jefe de Gestin de Infraestructura TI y Gerente de Tecnologa.

3. Verificar si los principales Servidores y computadores cuenten con los controles para
mitigar riesgos de fuga de informacin confidencial por medio de los Puertos USB,
unidades de CD y discos externos.

4. Revisar si los principales Servidores y computadores cuentan con navegacin ilimitada

a internet y si permiten que los usuarios tengan acceso a sus cuentas de correo
personales.

5. Verificar el cumplimiento de las polticas de Seguridad de la Informacin y controles

necesarios para el uso y acceso por parte de los usuarios internos y externos de la
Organizacin a los sistemas de informacin y redes.

Alcance
Comprende la evaluacin al sistema de control, verificando la documentacin existente de
normas, polticas y procedimientos. Adicionalmente, se realizaron pruebas de validacin de
los mecanismos de autenticacin, autorizacin y seguridad de la informacin con el fin de
verificar los controles que se encuentran implementados.

Conclusin

Esta auditoria pudo evidenciar debilidades en cuanto a falta de controles que se deben
adoptar para que la informacin no sea vulnerable y de fcil acceso por cualquier usuario
de la organizacin, enmarcando en aspectos de Hardware y Software.

A continuacin detallamos las recomendaciones de la auditoria.

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS
Manejo de informacin clasificada
por cualquier trabajador: Riesgo
Perdida de informacin debido a
operaciones no identificada por la
manipulacin de la informacin por
parte de los Administradores de las
Aplicaciones de la compaa
CONTROL
CORRECTIVO
Es necesario que el Proceso de Tecnologa
determine si los perfiles de los Administradores de
las Aplicaciones deberan tener la totalidad de
acceso a las bases de datos e informacin
calificada, y adems establecer controles como log
de auditoria donde se pueda verificar los cambios
presentados en las bases de datos e informacin de
cada una de las aplicaciones de la empresa.

No existe cuenta propia de usuario
para ingreso a los ordenadores y
control de las mismas.
Creacin, Modificacin y usuarios que ya no prestan sus servicios.
Eliminacin de usuarios
Falta de Control: Segn lo indagado
con el Especialista de Seguridad de
la Informacin, no se ejecuta
CORRECTIVO Tecnologa debe estudiar y definir un tiempo en el
cual automticamente se desactive un usuario por
inactividad, y establecerla como poltica en el
Servidor de Dominio lo cual permita bloquear los
Seguridad de la Informacin debe disear un
manual en el cual se describa el procedimiento a
seguir para la creacin, modificacin y eliminacin
de los usuarios en los diferentes aplicativos, se
seguimiento ni monitoreo completo
al trabajo ejecutado por el
funcionario, toda vez que, se pueda
controlar y verificar que los
permisos que fueron asignados a los
usuarios solicitados, sean los
permisos que se requieren para el
desempeo de sus funciones y
adems que sean debidamente
solicitados y aprobados por el jefe
del proceso.
Grado de operacin manual del
100%: Se observ que la creacin,
modificacin, eliminacin y
asignacin de permisos y accesos a
los diferentes aplicativos de la
empresa es realizado de forma
manual.
debe capacitar a un funcionario interno, el cual
tenga la disposicin y el conocimiento para ejecutar
la tarea de creacin modificacin y eliminacin de
usuarios en los aplicativos al momento de
presentarse alguna novedad con el usuario que
ejecuta actual y diariamente esta labor.
Tecnologa en compaa de Seguridad de la
Informacin debe evaluar la implementacin de
una herramienta la cual permita la generacin de
informes para seguimiento y monitoreo de los
accesos asignados a cada funcionario, identificando
que cumplan con el perfil segn su cargo.

Manual de Usuario: No se cuenta

con un manual donde se d a
conocer como es el procedimiento
para la administracin del usuario en
los diferentes aplicativos y sistemas
de la compaa.

Sin restricciones en descarga de PREVENTIVO Tecnologa en acompaamiento de Seguridad de la

programas y software.
Informacin deber efectuar revisiones peridicas a
1. Instalacin de Programas no
las estaciones de trabajo de los usuarios, con el fin
Autorizados
de tener un mayor control en la administracin de
No existen controles preventivos
los programas con que cuenta la empresa.
implementados en las estaciones de
trabajo de los usuarios para que no
Tecnologa debe implementar una herramienta que
realicen instalaciones de programas
permita ejecutar actividades de monitoreo regulares
que no se encuentren autorizados y
sobre inventario de software instalado en cada
licenciados por la empresa.
estacin de trabajo.

Adicionalmente no se ejecutan
revisiones peridicamente a las
estaciones de trabajo como porttiles
y computadores, para detectar
software instalado no autorizado,
exponindose a multas o sanciones
por parte de los entes de vigilancia y
control como la DIAN.
Riesgo:Sanciones legales debido a la
utilizacin de software que no se
encuentre licenciado.