Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Auditoria en sistemas
Grupo: 90168_19
Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1114451738
DIEGO VARELA
Código:1113639731
PAOLA ANDREA RODRIGUEZ
Código: 52667062
JEISSON LENIS
Código: 1.113.654.486
LUIS CARLOS CABAL
Código: 1.113.676.091
Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE
INTRODUCCIÓN
Así mismo, vamos a compartir mediante los procesos CobIT del programa de auditoria,
diseñando instrumentos de recolección de información para proceder con el proceso de
auditoría.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
OBJETIVOS
Objetivo General
Objetivos Específicos
Cuadro de Consolidado
DS11.4 Eliminación
Proceso N° 1
Objetivos de control
ENTREVISTA
Mi función es prestar los libros y recursos bibliográficos con que cuenta la biblioteca
de la universidad
Creo que es básico porque las tecnologías son algo complejas y dentro de mi trabajo
solo utilizo una parte que he aprendido mediante capacitaciones que se requieren
para laborar en mi puesto.
Manejo Excel, Word ya que el resto de cosas que se realizan son en línea
10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en
su día a día?
Ninguna
______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
LISTA DE CHEQUEO
LISTA CHEQUEO
Educación y
DOMINIO DS6 PROCESO entrenamiento de
usuarios
DS6.1 Identificación de Necesidades de
OBJETIVO DE CONTROL
Entrenamiento y Educación
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Se realizan capacitaciones para
Aunque muy pocas
1 el manejo del aplicativos? X
veces
CUESTIONARIO
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
Proceso N° 2
Objetivos de control
ENTREVISTA
Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que
se realizan en las diferentes oficinas.
Si la universidad nos ha hablado mucho de este tema por cuanto se tiene contacto
con muchas personas externas
En lo personal no.
8. ¿La empresa maneja base de datos para los diferentes aplicativos?
Si cuenta con aplicativos, pero son controlados por la sede principal que está en
Bogotá
9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?
FIRMA FIRMA
LISTA DE CHEQUEO
LISTA CHEQUEO
DS11 Administración de
DOMINIO PROCESO
Datos
DS11.1 Requerimientos del Negocio para
OBJETIVO DE CONTROL
Administración de Datos
CONFOR
N.º ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿El manejo de la información la La información es
1 realiza un tercero u proveedor? X manejada por la
universidad
OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación
¿Cuentan con control del
En algunos casos se
2 almacenamiento de la X
utiliza un ftp
información?
DS11.3 Sistema de Administración de Librerías de
OBJETIVO DE CONTROL
medios
¿Dentro de las copias de No conozco, pero me
3 seguridad se estructura algún tipo X supongo que debe
de control o seguimiento? tenerlo
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe
estar disponible en
¿Cuentan con versionamiento en
4 X cualquier momento y
las copias de seguridad?
para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
En la sede solo
¿Cuentan con un plan en caso de
contamos con lo que se
5 tener alguna pérdida o daño sobre X
guarda en el backup de
la información?
quipos
DS11.6 Requerimientos de Seguridad para la
OBJETIVO DE CONTROL
Administración de Datos
¿Cuentan con políticas para la Si la universidad es muy
6 X
protección de datos? clara en ese sentido
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
CUESTIONARIO
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)
Vulnerabilidades
Amenaza
Riesgos
Evaluación de Riesgos
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
de los
procesos.
R9 Falta de
personal
debidamente
autorizado para
X X
la realización
de las
actividades del
proceso.
R6 R1, R5, R8
Alto
61-100%
PROBABILIDAD
Bajo R2
0-30%
Leve Moderado Catastrófico
IMPACTO
Proceso N° 3
Objetivos de control
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
LISTAS DE CHEQUEO
UNIVERSIDAD ANTONIO NARIÑO R/PT
Lista de chequeo LC1
Dominio Entrega de Servicios y Soportes
Proceso Administración del Ambiente Físico
Objetivo de Universidad
Protección ContraNacional
FactoresAbierta y a Distancia – UNAD
Ambientales
Control Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de X
refrigeración?
VULNERABILIDAD
AMENAZA
1. Suplantación de identidad
2. El personal de TI de la organización no recibe capacitación y actualización sobre
las nuevas tecnologías salientes.
3. Capacidad desborda del personal docente y administrativo para satisfacer a
todos
4. Continuas amenazas de paros por parte de los estudiantes por inconformidades
en muchas de las dependencias
5. Falta de un cronograma de mantenimientos preventivos para todos los equipos
tecnológicos de la organización.
6. No hay soporte oportuno para el arreglo de las cámaras de seguridad.
7. Hay un rack que tiene muchos años y no ha sido cambiado ni actualizado.
RIESGO
Evaluación de Riesgos
R2 Falta de
X X
conocimientos
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
para atender
los
mantenimientos
de los equipos
nuevos
R3 Colapso en la
utilización de
X X
las salas de
cómputo
R4 Pérdida o robo
X X
de hardware
R5 Se expone el
riesgo de
mantener la
vigilancia por
cámaras en los
sitios
estratégicos de
la empresa, X X
despachos,
portería,
lockers,
bicicleteros,
oficinas etc.
R2-R3 –R5
Alto
61-100%
PROBABILIDAD
Medio R4
31-60%
Bajo R1
0-30%
Leve Moderado Catastrófico
IMPACTO
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
Proceso N° 4
Objetivos de control
ENTREVISTA
3. ¿Desearía tener más conocimiento sobre páginas que puedan ser peligrosas para
usted y su información?
_____________________________________________________
4. ¿Su información personal se encuentra alojada en su computadora?
__________________________________________________________________
5. ¿Su email presenta correos con contenido spam?
__________________________________
6. ¿El uso de su correo es usado solo para contenido laboral?
__________________________________________________________________
7. ¿Conoce un estándar de crear una contraseña segura?
____________________________________
CUESTIONARIO
UNIVERSIDAD ANTONIO NARIÑO
Cuestionario de Control: C1
Dominio Planificar y Organizar
Proceso Comunicar las Aspiraciones y la Dirección de la Gerencia
Pregunta Si No OBSERVACION
ES
¿Los equipos tienen un usuario asignado el cual es 4
el encargado del manejo y responsabilidad del
mismo?
¿El usuario cuenta con una clave privada la cual le 5
da acceso a su propio equipo?
¿Los usuarios cuentan con el acceso a correo 4
corporativo de manera individual y contralada por
ellos?
¿Los usuarios conocen riesgos de la navegación no 5
permitida en su equipo asignado?
¿El protocolo para reportar un error es conocido y 3 Actualmente no
aplicado por los usuarios? Describa el proceso siguen los pasos
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
indicados, se
debe realizar una
petición vía
correo
electrónico para
que sea
controlado el
soporte y de tal
manera llevar a
cabo el
mantenimiento o
resolver la duda.
¿Hacen uso de jornadas de capacitación para el 4 Cada 6 meses
manejo de los equipos? Con qué regularidad lo
hacen
¿El usuario promedio entiende el uso correcto al no 4
compartir sus contraseñas ni su equipo?
¿Se han presentado inconvenientes por equipos 5
sin bloquear o correos con sesión iniciada?
TOTALES 18 16
Porcentaje de riesgo parcial = (18 * 100) / 39 = 52.94
Porcentaje de riesgo = 100 – 52.94 = 47.06 (Riesgo Medio)
Proceso N° 5
Objetivos de control
Proceso N° 6
Objetivos de control
ENTIDAD AUDITADA 1 D 1
E
OBJETIVO AUDITORÍA Prevención, Detección y Corrección de Software
Malicioso
PROCESO AUDITADO Sofware
RESPONSABLE Jeisson Lenis Marulanda
MATERIAL DE SOPORTE COBIT
DOMI ENTREGAR Y DAR PROCESO Garantizar la Seguridad de los
NIO SOPORTE Sistemas
ENTREVISTADO Alejandra Colorado
CARGO Auxiliar administrativa
Evaluación de Riesgos
Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
Desconocimiento del
protocolo de reportes
R1 X X
a encargados del
soporte
Pérdida o filtración de
R2 X X
correos elcectrónicos
Equipos sin
mantenimiento del
R3 X X
sistema operativo y
software
Daño de equipos al no
R4 recuperarse de X X
software peligroso
Equipos sin medidas
de prevención
(Antivirus, firewall) con
R5 X X
respecto a ataques
por plugins o software
mailicioso
software
R6 X X
desactualizado
Acceso a páginas que
R7 representan riesgo X X
inminente
Desconocimiento de
los peligros por
R8 X X
navegación no
autorizada
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
Alto
61- R1 R5,R7,R8
100%
Medio
31-
R3 R4
60%
PROBABILIDAD Bajo
R2 R9,R6
0-30%
IMPACTO
Proceso N° 7
Objetivos de control
ENTREVISTA
LISTA DE CHEQUEO
LISTA CHEQUEO
Administración de la
DOMINIO DS9 PROCESO
configuración
OBJETIVO DE CONTROL DS9.1 Repositorio y Línea Base de Configuración
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cuenta un sistema de inventarios Se registra de manera
1 organizado y actualizado de los X manual en una base de
componentes de TI? datos en excel
DS9.2 Identificación y Mantenimiento de Elementos de
OBJETIVO DE CONTROL
Configuración
¿Los componentes de TI, cuentan
con una hoja de vida actualizada
2 donde se registren las X Cumple a cabalidad
actualizaciones, cambios y
mantenimientos realizados?
CUESTIONARIO
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
Proceso N° 8
Objetivos de Control
Proceso N° 9
Objetivos de Control
CONCLUSIÓN
La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo
más importante de una compañía, el cual es la información, como profesionales de
sistemas, debemos tener los conceptos claros de la unidad formativa, esto con el propósito
de salva guardar toda la infraestructura dentro de una compañía.
La auditoría de sistemas nos permitirá generar correctivos, por medio plan de trabajo,
planes de acción proyectos, o demás implementaciones que enriquecerán la seguridad del
ecosistema en el cual se mueve la información.
Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas
BIBLIOGRAFÍA
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html