ACTIVIDAD: Trabajo colaborativo momento 2

ESTUDIANTE: Gustavo Mercado Gonzlez

DOCENTE: Alexandra Carolina Guerrero

AUDITORIA DE SISTEMAS 90168_3

Programa:

Ingeniera de sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

DEPARTAMENTO DE BOLIVAR
CARTAGENA
16-05-2015
 INSTRODUCCION:

Auditora de Sistemas: Se encarga de llevar a cabo la evaluacin de normas,

controles, tcnicas y procedimientos que se tienen establecidos en una empresa
para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
informacin que se procesa a travs de los sistemas de informacin. La auditora
de sistemas es una rama especializada de la auditora que promueve y aplica
conceptos de auditora en el rea de sistemas de informacin.
La auditora de los sistemas de informacin se define como cualquier auditora que
abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de
ellos) de los sistemas automticos de procesamiento de la informacin, incluidos
los procedimientos no automticos relacionados con ellos y las interfaces
correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta
gerencia para mejorar o lograr un adecuado control interno en ambientes de
tecnologa informtica con el fin de lograr mayor eficiencia operacional y
administrativa
AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica:

El objetivo es proporcionar las plataformas apropiadas para soportar aplicaciones

de negocios mediante la realizacin de una evaluacin del desempeo del
hardware y software, la provisin de mantenimiento preventivo de hardware y la
instalacin, seguridad y control del software del sistema.

LISTA DE RIESGOS ENCONTRADOS.

Mala ubicacin de centro de cmputo o de datos, a 2 metros de un poso

que contiene unos 5000 litros de agua
Software desactualizados, sistemas operativos, antivirus
Software y hardware mal configurado (firewall desactivado puertos USB
habilitados, etc.)
Ausencia de copias de seguridad o copias de seguridad incompletas
Ausencia de seguridad en archivos digitales o archivos fsicos
confidenciales
Cuentas de usuario mal configuradas, con privilegios no necesarios
Desconocimiento y\o falta de socializacin de normas y polticas a los
usuarios con respecto a la proteccin de informacin
Dependencia exclusiva de un proveedor de servicio tcnico externo ya sea
en hardware o software
Ausencia de conocimiento o documentacin instructiva acerca de la
manipulacin u operacin de las aplicaciones
Temperatura inadecuada en el centro de computo
Los usuarios no son capacitados en el uso adecuado de extintores.
No existen sensores de Temperatura.
No existen controles sobre el acceso de personas a la oficina de cmputo
No hay un control de asistencia sobre los responsables del aula.
No hay sistemas de vigilancia para detectar posibles movimientos
fraudulentos a los equipos de cmputo.
Faltan definir polticas para la asignacin de contraseas de los equipos de
cmputo.
No se lleva un registro detallado de los usuarios que hacen uso de los
equipos.
No se ha asignado un espacio locativo para el ejercicio del mantenimiento
preventivo y correctivo.
 No se ha definido un protocolo para la organizacin de los equipos
dependiendo que clase de mantenimiento se proceder a efectuar.
No se hace monitoreo sobre la prestacin de servicios de mantenimiento
de hardware contratados por el Hotel
No se realiza un escaneo para evitar intrusiones en la red.
El rack no posee las medidas de seguridad necesarias.

.
VALORACIN DE RIESGOS

De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo

en cuenta la probabilidad de ocurrencia y el impacto del riesgo dentro de la red de
datos de las aulas de informtica de la institucin educativa, para ello se realiza
la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificacin.

Tabla 1. Valoracin de riesgos

Probabilidad Impacto
Riesgos / Valoracin
A M B L M C

Elctricos

R1 No existe conexin de polo a tierra x x

R2 No existe instalacin de sistema elctrico regulado x x

R3 No existe sistema de proteccin en cadas de energa x x

R4 No hay medidores de voltaje elctrico en sus tres fases x x

R5 La fase neutra no se encuentra bien identificada x x

R6 No existe caja de breakers de los circuitos del aula x x

Siniestros y Catstrofes

Mala ubicacin de centro de cmputo o de datos, a 2

R7 metros de un poso que contiene unos 5000 litros de
agua x x

Los usuarios no son capacitados en el uso adecuado de

R8
extintores x X

R9 Temperatura inadecuada en el centro de computo x x

R10 No existen sensores de Temperatura x x

 Manejo y Control de Personal

Cuentas de usuario mal configuradas, con privilegios no

R11 necesarios
x X

Desconocimiento y\o falta de socializacin de normas y

R12 polticas a los usuarios con respecto a la proteccin de
informacin x x

No se lleva un registro detallado de los usuarios que

R13
hacen uso de los equipos x x

Ausencia de conocimiento o documentacin instructiva

R14 acerca de la manipulacin u operacin de las
aplicaciones x x

No existen controles sobre el acceso de personas a la

R15
oficina de cmputo x x

No hay sistemas de vigilancia para detectar posibles

R16
movimientos fraudulentos a los equipos de cmputo. x x

Faltan definir polticas para la asignacin de contraseas

R17
de los equipos de cmputo x x

Manejo y Control de Hardware y Software

Ausencia de copias de seguridad o copias de seguridad

R18
incompletas x x

R19 Software desactualizados, sistemas operativos, antivirus x x

Ausencia de copias de seguridad o copias de seguridad

R20
incompletas x x

Ausencia de seguridad en archivos digitales o archivos

R21
fsicos confidenciales x x

no se hace monitoreo sobre la prestacin de servicios de

R22
mantenimiento de hardware contratados por el Hotel x x
 no se hace inventario de existencias de equipos de
R23
computo x X

no se lleva monitoreo de la capacidad del hardware con

R24 el fin de asegurar que siempre exista una capacidad
justificable para procesar las cargas de trabajo x x

No se ha asignado un espacio locativo para el ejercicio

R25
del mantenimiento preventivo y correctivo. x x

No se ha definido un protocolo para la organizacin de

R26 los equipos dependiendo que clase de mantenimiento se
proceder a efectuar x x

No se hace monitoreo sobre la prestacin de servicios de

R27
mantenimiento de hardware contratados por el Hotel x x

Manejo y Control de Redes

R28 No se realiza un escaneo para evitar intrusiones en la red x x

R29 El rack no posee las medidas de seguridad necesarias x x

Dependencia exclusiva de un proveedor de servicio

R30
tcnico externo ya sea en hardware o software x

Probabilidad Impacto

Alta: A Catastrfico: C

Media: M Moderado: M

Baja: B Leve: L
MATRIZ DE RIESGOS

De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiza a
la institucin educativa y a las instalaciones de las aulas de informticas, se puede clasificar
los riesgos como se muestra en la tabla 2.

Tabla 2. Clasificacin de Riesgos

LEVE MODERADO CATASTROFICO

R7,R9.R10,R15,R16,R20.R23
ALTO ,R28,R30

R8,R11,R12,R13,
R14,
R18,R19,R21,R24,
MEDIO R27 R29

R1,R2,R3,R4,R5,R6,R17,R22
BAJO ,R25,R26
 ANLISIS Y EVALUACIN DE RIESGOS:

Para el listado de riesgos enumerados a continuacin se realizaron visitas a las

instalaciones Y oficinas del HOTEL SOFITEL LEGEND SANTA CLARA
CARTAGENA y especficamente a las instalaciones de las oficinas del rea de
cmputo, adems de la aplicacin de instrumentos como listas de chequeo o
checklist de verificacin y cuestionarios al personal de la administracin de los
recursos tecnolgicos.

CUESTIONARIO DE CONTROL C1

rea Informtica del Hotel santa clara Cartagena R/PT

Cuestionario de Control C1
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Evaluacin de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
Se cuenta con un inventario de todos los equipos que integran el X
centro de cmputo?
Con cuanta frecuencia se revisa el inventario? x
Se posee de bitcoras de fallas detectadas en los equipos? x
Caractersticas de la bitcora (seale las opciones). x
La bitcora es llenada por personal especializado? X
Seala fecha de deteccin de la falla? X
Seala fecha de correccin de la falla y revisin de que el equipo x
funcione correctamente?
Se poseen registros individuales de los equipos? x
La bitcora hace referencia a hojas de servicio, en donde se x
detalla la falla, y las causas que la originaron, as como las
refacciones utilizadas?
Se lleva un control de los equipos en garanta, para que a la x
finalizacin de sta, se integren a algn programa de
mantenimiento?
Se cuenta con servicio de mantenimiento para todos los equipos? x
Con cuanta frecuencia se realiza mantenimiento a los equipos? x
Se cuenta con procedimientos definidos para la adquisicin de x
nuevos equipos?
Se tienen criterios de evaluacin para determinar el rendimiento de x
los equipos a adquirir y as elegir el mejor?
Documentos probatorios presentados: x
CUADRO DE HALLAZGOS :

rea Informtica del Hotel santa clara Cartagena R/PT: P1

Hallazgos de la Auditora H1
Dominio Adquisicin e Implementacin
Proceso AI3 Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Evaluacin de Hardware y software
Riesgos Asociados R1,R2,R3,R4,R5,R6,R17,R22,R25,R26
Descripcin
No existe conexin de polo a tierra
No existe instalacin de sistema elctrico regulado
No existe sistema de proteccin en cadas de energa
No hay medidores de voltaje elctrico en sus tres fases
La fase neutra no se encuentra bien identificada
No existe caja de breakers de los circuitos del aula
Faltan definir polticas para la asignacin de contraseas de los equipos de
cmputo
no se hace monitoreo sobre la prestacin de servicios de mantenimiento de
hardware contratados por el Hotel
No se ha asignado un espacio locativo para el ejercicio del mantenimiento
preventivo y correctivo
No se ha definido un protocolo para la organizacin de los equipos dependiendo
que clase de mantenimiento se proceder a efectuar
Recomendacin:
El jefe de sistemas del departamento de TI o informtica debe realizar una
inspeccin completa y detallada de todos los recintos informticos acompaado de
un contratista elctrico y otro especialista en hardware y redes, quien le pueda
brindar asesora con respecto a normas elctricas, posicin, regulacin y
temperatura, iluminacin entre otros por otro lado se debe verificar, espacio en
hardware para equipos y un protocolo de seguridad y polticas de manejo de
informacin. Por lo menos dos veces al ao con la intencin de prevenir futuras
fallas
Causas
La falta de inspeccin detallada de jefe de TI , y falta de asesora especializada en
el tema, adems una actualizacin del protocolo de seguridad y polticas de manejo
de informacin
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en bajo, en cuanto al
impacto es leve.
GUA DE HALLAZGOS H2.

Aulas de informtica Institucin Educativa R/PT: P2

Hallazgos de la Auditora H2
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R8,R11,R12,R13,R14, R18,R19,R21,R24,R27
Descripcin
El hotel santa clara tiene programadas jornadas de mantenimiento, estas estn sujetas a
las programaciones que realiza el Jefe de sistemas, La Administracin solo da de baja
equipos no funcionales, pero no hace solicitudes de cambios ni de actualizacin de nuevos
equipos ya que el nuevo hardware est ligado a los recursos de inversin y proyectos
dentro de un presupuesto anual muy poco.
Recomendacin
El jefe de sistemas del departamento de TI o informtica debe programar los
mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio o
repotenciacin de equipos se deben presupuestar para las vigencias futuras.
Causa
El jefe de sistemas del Hotel santa clara Cartagena deben realizar planes de actualizacin
de equipos y de mantenimiento preventivo, asignando los recursos econmicos necesarios
para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado
GUA DE HALLAZGOS H3.

rea Informtica del Hotel santa clara Cartagena R/PT: P3

Hallazgos de la Auditora H3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones
Objetivo de Control Escolta de Visitantes
Riesgos Asociados R7,R9.R10,R15,R16,R20.R23,R28,R30
Descripcin
Las instalaciones del centro de cmputo, servidores y otros no son las adecuadas en
cuanto a espacio, seguridad ambiental, ya que est a unos 3 metros de un pozo de 5000
litros de agua el cual representa un peligro inminente, no hay una buena visibilidad de la
identificacin de las oficinas, ni un control de acceso restringido solo para personal
autorizado No existen identificacin de reas restringidas en la oficina del administrador, No
existen ningn tipo de detectores de humo, temperatura dentro de las aulas de informtica,
Las sealizacin para salidas de emergencia no son muy claras o no existen, la iluminacin
solo cuenta con 3 lmparas de poca iluminacin artificial insuficiente, Los interruptores de
emergencia no estn debidamente identificados
Recomendacin
El jefe de sistemas del hotel santa clara Cartagena debe realizar identificacin adecuada
de todas las oficinas y el centro de cmputo,, debe solicitar los recursos econmicos para la
adecuacin y el mejoramiento de estas y de su propia oficina
Causa
La Gerencia y el departamento financiero no ha asignado recursos propios para la
operacin y buen funcionamiento de la tecnologa de las oficinas y salas de computo del
hotel.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico
BIBLIOGRAFIA:

http://152.186.37.87/inter0802_20151/mod/lesson/view.php?id=5419
http://152.186.37.87/inter0802_20151/file.php/238/auditoria_2015_I/GUIA_I
NTEGRADA_DE_ACTIVIDADES_2015_Auditoria_2015_Intersemestral_I_v
f.pdf
http://auditordesistemas.blogspot.com/2011/11/conceptos.html
http://procesosdeauditoria.blogspot.com/2010/02/introduccion-la-auditoria-
de-sistemas.html