Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tutor
Auditoria de sistemas
2017
Contenido
INTRODUCCIN.......................................................................................................4
2 Objetivos de la auditora....................................................................................11
3 Alcances de la Auditoria....................................................................................12
5 Procesos a implementar...................................................................................14
6 Metodologa.......................................................................................................21
7 Recursos...........................................................................................................23
8 Cronograma......................................................................................................25
CONCLUSIONES....................................................................................................26
Referencias Bibliogrficas.......................................................................................27
INTRODUCCIN
Para llevar a cabo esta auditora, utilizaremos el estndar COBIT 4.1, la cual es
una herramienta para tecnologas de informacin utilizada en la ejecucin de
auditoras; La estructura del estndar COBIT se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con delimitacin o cortes de
control y objetivos de control o actividades requeridas para lograr un resultado
medible.
administracin de
copias de seguridad.
la informacin
La informacin Los sistemas de
transmitida no Intercepcin informacin disponibles no
Seguridad
7 est cifrada o hay Modificacin cifran los datos cuando se
lgica
prdida de Ataque estn almacenando o
informacin transmitiendo
Mal uso del correo Uso indebido del correo
institucional, ya que electrnico para el envo de
Fuga de Seguridad
8 no se utiliza solo informacin a personal
informacin lgica
para comunicacin externo o para el registro en
laboral foros y redes sociales.
Algunos de los empleados
Exposicin de conectan dispositivos
Uso de informacin personales no seguros a la
dispositivos no sensible red de la empresa lo que Seguridad
9
seguros en la red puede generar huecos de lgica
empresarial Accesos no seguridad dando cabida a
autorizados la entrada de piratas
cibernticos.
La no aplicabilidad en
Firewall saber qu
puertos se deben bloquear
No existe un Accesos No o permitir, la forma de Seguridad
10
firewall activo autorizados interactuar con ella o es lgica
propietario de ella, quien
tiene acceso a la consola
de control.
Falta de controles y
Robo de Falta de control de restricciones para el acceso Seguridad
11
informacin acceso en internet a internet por parte de los lgica
empleados.
12 Ausencia de Desastres El personal encargado no Seguridad
planes para naturales realiza copias de seguridad lgica
recuperacin de de los datos en el servidor
informacin
Los estudiantes y personal
No existe proceso no autorizado pueden crear
Creacin indebida Seguridad
13 de revisin de contraseas en porttiles y
de contraseas lgica
contraseas Tablet sin ningn control
administrativo.
Se encuentran activas
cuentas de usuarios en
Falta de control de
Suplantacin de todos los equipos de Seguridad
14 cuentas de
identidad. cmputo sin ninguna lgica
usuario
restriccin ni tampoco
orden.
Adquisicin, en No existen revisiones
Falta de revisin cualquier momento, preventivas a los
peridica de los de algn software computadores, sino que
equipos de malicioso que solo son intervenidos Seguridad
15
cmputo para ponga en riesgo la cuando presentan algn Lgica
detectar algn seguridad de la tipo de falla, atribuida a la
software malicioso informacin de la adquisicin de algn
empresa software malicioso
Falta de control en
Ausencia de Modificacin o borrado de
los permisos y
perfiles y informacin o de algn
privilegios de cada Seguridad
16 restricciones para software instalado por parte
uno de los Lgica
los usuarios de la de cualquier usuario de la
usuarios de la
red empresa
empresa
Desconocimiento
No se capacita al personal Manejo y
en seguridad
17 Errores de usuario en temas relacionados con control de
informtica de los
la seguridad informtica personal
empleados
No se tiene implementado
Acceso no un sistema de identificacin Manejo y
Entrada o Accesos
18 autorizado a las de empleados, visitantes, control de
no autorizados
reas restringidas acompaantes y registro de personal
visitantes.
19 Acceso no Acceso fsico a los Los servidores y equipos de Manejo y
red se encuentran en un
autorizado al rea recursos del armario pero el mismo est control de
de sistemas sistema expuesto en uno de los personal
pasillos de la oficina
Malos hbitos de Reducimiento de la Falta de capacitacin y Manejo y
20 uso de los equipos vida til de los sensibilizacin del personal control de
de computo Computadores del rea de sistemas personal
Funcionamiento Manejo y
Errores de Falta de capacitacin en el
21 inadecuado de los Control de
Programacin personal de Sistemas
software instalados Personal
No existe un control sobre
los insumos y recursos
informticos que la
Falta de control en Uso de los insumos
empresa compra, lo cual
el uso de los y recursos Manejo y
permite que estos sean
22 insumos y informticos para Control de
utilizados para tareas
recursos oficios ajenos a los Personal
diferentes a las previstas,
informticos de la empresa
haciendo que stos se
acaben de una manera ms
rpida
No se garantiza la Exposicin de Los empleados no usan
23 seguridad en las informacin VPN para conectarse a la Redes
conexiones sensible red de la empresa
Interrupciones en
las Algunos de los segmentos
El cableado comunicaciones, de la red se encuentran a la
estructurado no Perdida de intemperie lo que puede
24 Redes
cumple con las informacin, generar daos en los
normas Retraso en los cables afectando el servicio
procesos de la red.
productivos
25 Fallos en la red Mala configuracin La mala configuracin de Redes
LAN de los equipos de estos dispositivos permite
cmputo routers, que tengamos demoras en
switch y Tablet la utilizacin y bien uso de
los equipos.
No existe un Utilizacin de Ingreso a pginas no
Control y internet para educativas por parte de los
26 Redes
monitoreo en el ingresar a pginas estudiantes lo que aumenta
acceso a Internet no educativas. la falta de estudio.
Bajas de voltaje y
La empresa no cuenta con
Fallas en el poca
una Ups robusta para
27 suministro de concientizacin por Hardware
mitigar el constante fallo de
energa parte del personal
luz en la zona.
administrativo.
No existe control Exposicin de introducir
de algn virus no identificado y
Introduccin de
28 los dispositivos de puede ocasionar bloque de Hardware
informacin falsa.
almacenamiento archivos, perdida de
(usb, cd, discos). informacin.
Falta de planes de
Perdida de la
mantenimiento y No hay planes de
informacin por
29 limpieza de los Mantenimiento preventivo a Hardware
dao en los
equipos de los Equipos de Cmputo.
equipos
computo
La falta de presupuesto
hace que en varias
Compra de Mal funcionamiento
ocasiones, al momento de
repuestos, de baja y acortamiento de
comprar un repuesto, se
30 calidad, para los la vida til de los Hardware
piense ms en economa
equipos de equipos de
que en calidad, comprando
computo computo
as repuestos de baja
calidad.
2 Objetivos de la auditora
3 Alcances de la Auditoria
El cubo COBIT
5 Procesos a implementar
Estndares Tecnolgicos.
6 Metodologa
Evaluacin de Riesgos
Ejecucin de Pruebas y Obtencin de Evidencias
Elaboracin de la matriz de riesgos
7 Recursos
estratgico de las
Villa tecnologas de la
informacin.
Ing. Eider Jos
Auditor 3
Negrete
8 Cronograma
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168
CONCLUSIONES
Con la elaboracin de este trabajo, pudimos concluir que los principales objetivos
de la auditora Informtica son el anlisis de la eficiencia de los Sistemas
Informticos, la verificacin del cumplimiento de la Normativa en este mbito y la
revisin de la eficaz gestin de los recursos informticos.
Referencias Bibliogrficas