Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GRUPO:
TECNOLOGIA E INGENIERIA
AUDITORIA DE SISTEMAS
2018
INTRODUCCIÓN.
Objetivo general
Aplicar los conocimientos adquiridos de la unidad dos, realizando los procedimientos para
ejecución de la metodología de la auditoria con el manual de buenas prácticas cobit.
Objetivos específicos
FORMATO DE ENTREVISTA
NOMBRE NOMBRE
EMPRESA: EMPRESA:
NOMBRE
ENTREVISTADO: AUDITOR :
Tipo
CARGO : entrevista: Abierta
AREA: FECHA
Email Empresa: HORA
Existen procedimientos establecidos por la empresa para el manejo de correo
institucional.
Existen protocolos de manejo para la navegación en internet?
Existen protocolos en el manejo de la información empresarial por labor
desempeñada.
Hay control para el manejo de dispositivos externos de la empresa.
¿Cuenta la empresa con capacitaciones para los empleados en informática?
¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra,
supresor de pico instalado, sistema regulado de energía?
¿Existen plan de contingencia para recuperación de los datos ante un incidente
imprevisto?
¿Existen protocolos de actualización del sistema periódicamente del sistema?
¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa
al dar mal uso de dispositivos o navegadores de internet?
CHECK LIST
REPORTE DEEQUIPOS
CANTIDAD EQUIPO Existencia
SI NO Observación
1
Observaciones:
OPTISALUD
Cuestionario: 1 Revisión n°: 1.0
Fecha: 14/11/2018 Dominio: (DS)
Ciudad: Bogotá Procesos: DS4,DS5,DS12
Realizado Por: SI NO
¿Se cuenta con un plan de mantenimiento para el CCTV?
¿Las cámaras de seguridad cuben todo el área del cuarto incluyendo
todas las entradas de acceso al mismo?
¿Se realizan revisiones periódicas de los sistemas eléctricos como
cableados, UPS y demás?
¿Se realiza inspección periódica de los sistemas anti-incendios?
¿Los servidores cuentan con un contrato actual de soporte y
mantenimiento?
¿Se cuenta con servidores de respaldo? ¿En caso de presentarse falla en
alguno se pueden restablecer los servicios en el menor tiempo posible?
¿Se realizan backup de los sistemas y de las DBs periódicamente?
¿Los backups son almacenados en un lugar seguro?
¿Se tiene un plan de contingencia en caso de una falla masiva de los
sistemas?
¿El acceso lógico a los sistemas está controlado por usuario y
contraseña?
Empresa Optisalud
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso Planeación Y Organización (Po).
Pregunta Si No OBSERVACION
ES
¿Se cuenta con protección contra Uso de software
no Licenciado?
¿Se realiza chequeos a la red local?
¿Protección contra la pérdida del hardware?
¿Se posee un registro de fallas detectadas en los
equipos?
¿Protección contra la Fuga de la información?
¿Fallas en la configuración de los equipos?
¿Se cuenta con servicio de mantenimiento para
todos los equipos?
¿Se controla el Acceso no autorizado a áreas
privadas?
¿Protección contra la Perdida completa de la
información?
¿Control en los Errores en la desactivación de
cuentas de usuario?
¿El personal que se encarga del mantenimiento es
personal capacitado?
¿Se lleva un procedimiento para la adquisición de
nuevos equipos?
¿Son compatibles software y hardware?
TOTALES
Empresa Optisalud
F-CHK 01
Fecha: 20 14/11/2018
Realizado por: Danilo López
Chec
k
Existe sistema de ventilación
El cableado eléctrico está protegido
Los conectores de alimentación de energía están en
buen estado
Los equipos de cómputo tienen todas sus partes
Hay equipos con tecnología obsoleta
Los equipos que se encuentren en mal estado
Hay un horario en cada sección
El cableado estructurado se encuentra en buen
estado
Existe un sistema de seguridad en cada sector
El cableado que corresponde al equipo está
protegido
FORMATOS APLICADOS
FORMATO DE ENTREVISTA
NOMBRE NOMBRE
EMPRESA: EMPRESA: UNAD
NOMBRE
ENTREVISTADO: AUDITOR : CINDY DURAN
Tipo
CARGO : AUXILIAR entrevista: Abierta
AREA: ADMINISTRATIVO FECHA NOV 13 DE 2018
Email Empresa: HORA 8PM
Existen procedimientos establecidos por la empresa para el manejo de correo
institucional.
Si, la empresa cuenta con dominio para el manejo de correo interno y el sistema
está configurado para el acceso a estos correos a través de la plataforma Outlook.
Existen protocolos de manejo para la navegación en internet?
Cada colaborador de la empresa tiene conocimiento de sus funciones y el
adecuando manejo de las herramientas informáticas, adicional, los equipos
cuentan con ciertas restricciones para garantizar el adecuado uso
Existen protocolos en el manejo de la información empresarial por labor
desempeñada.
Si se cuenta con los protocolos de manejo de información y clausulados de
confidencialidad, cada colaborador a través del reglamento interno de trabajo
tiene conocimiento del adecuado uso de la información que se maneja
internamente en la compañía.
Hay control para el manejo de dispositivos externos de la empresa.
Por protocolo no se permite acceso a dispositivos externos ya que la información
se maneja a través de correo institucional y los dispositivos están bloqueados para
el manejo de usb/cd/y medios de almacenamiento externo. A demás para conectar
los equipos que no están configurados con la red interna de la empresa se debe
ser con previa autorización y en casos especiales u ocasionales
¿Cuenta la empresa con capacitaciones para los empleados en informática?
.
La organización capacita el personal en cuanto a los programas internos que se
utiliza, sin embargo el colaborador debe contar con conocimientos mínimos de
manejo de software
¿La empresa cuenta con respaldo de seguridad eléctrica como sistema a tierra,
supresor de pico instalado, sistema regulado de energía?
Si, las instalaciones cuentan con adecuada red eléctrica, a adicional de los
reguladores que cada equipo cuenta y las ups para equipos de constante
funcionamiento.
¿Existen plan de contingencia para recuperación de los datos ante un incidente
imprevisto?
Si, los sistemas generan respaldo de información en la nube, lo cual permite
garantizar la confiabilidad de los datos, adicional a este respaldo, se genera un
respaldo físico cada trimestre
¿Existen protocolos de actualización del sistema periódicamente del sistema?
Se tiene establecidas fechas para realizar revisión de los equipo para actualizar
sistemas como antivirus y actualizaciones s de seguridad, sin embargo no se
actualiza el sistema interno ya que no existe actualizaciones para estos
¿Los empleados conocen los riesgos al cual se exponen los datos de la empresa
al dar mal uso de dispositivos o navegadores de internet?
Si, como mencionaba anteriormente, cada colaborador conoce el reglamento
interno de trabajo, y en especial el adecuado uso de la información, adicional los
bloqueos que se generan a los equipos permiten mitigar el riesgo a la fuga de
información.
CHECK LIST
REPORTE DEEQUIPOS
CANTIDAD EQUIPO Existencia
SI NO Observación
Debe cumplir con la capacidad
1 EL CPU adecuada mínimo 500 GB
2 DISCO DURO x El requerimiento del disco debe tener
espacio suficiente para guardar la
información total de las actividades de la
empresa
La unidad de memoria debe tener la
máxima soportada por el slot para
3 MEMORIA RAM x obtener el mejor desempeño
Debe soportar los gráficos y mejorar el
4 TARJETA GRAFICA x desempeño de construcciones digitales
5 TARJETA DE SONIDO x Sin observaciones.
Debe funcionar slot de conexión tarjeta
6 TARJETA DE RED x de red.
Realiza detección de cd y abre archivos
7 CD\DVD ROM x de diferentes extensiones
8 GABINETE x Sistema indoor.
Funcionamiento con información
9 SISTEMA BIOMETRICO x actualizada
Adecuada capacidad para soportar la
10 UPS x red por más de 30 min 3KVA o mas
Posicionamiento y correcto
11 CAMARAS INTERNAS x funcionamiento.
Posicionamiento y correcto
12 CAMARAS EXTERNAS x funcionamiento.
Observaciones:
OPTISALUD
Fecha:
Ciudad:
YOPAL Procesos: ME1,ME3
Realizado Por:
Cindy Duran
Pregunta Si No OBSERVACION
ES
¿Se cuenta con protección contra Uso de software 3
no Licenciado?
¿Se realiza chequeos a la red local? 4
¿Protección contra la pérdida del hardware? 3
¿Se posee un registro de fallas detectadas en los 3
equipos?
¿Protección contra la Fuga de la información?
¿Fallas en la configuración de los equipos? 4
¿Se cuenta con servicio de mantenimiento para 3 Semestral
todos los equipos?
¿Se controla el Acceso no autorizado a áreas 3 Correctivo
privadas?
¿Protección contra la Perdida completa de la 5
información?
¿Control en los Errores en la desactivación de 3
cuentas de usuario?
¿El personal que se encarga del mantenimiento es 4
personal capacitado?
¿Se lleva un procedimiento para la adquisición de 3
nuevos equipos?
¿Son compatibles software y hardware? 5
TOTALES 30 13
Empresa Optisalud
F-CHK 01
Fecha: 20 14/11/2018
Realizado por: Danilo López
Chec
k
Existe sistema de ventilación
ANÁLISIS
ANÁLISIS DE RIESGOS
VULNERABILIDADES:
1. Sistema Operativo obsoleto, Windows XP
2. Los equipos no cuentan con antivirus para su protección
3. Programas de diseño gráfico sin licencia
4. Suite de ofimática sin licencia
5. Java no actualizado
6. Falta de actualización y configuración adecuada del equipo, lo que no
podría realizarse con efectividad sino se cuenta con un sistema original
7. Actualización de los navegadores.
8. Los servidores y equipos del área de sistemas no se encuentran bajo algún
armario cerrado o en alguna oficina con acceso restringido.
9. Falta de conocimiento de los usuarios en el manejo de herramientas
computacionales y en el manejo de los sistemas informáticos existentes, no se
han realizado capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
10. Falta de control ingreso de personal.
11. Se encuentran activas cuentas de usuario de personal que ya no labora en
la empresa.
12. Uso indebido del correo de Electrónico
13. Falta de seguridad para ingresar a la información privada del sistema.
14. No hay seguimiento a los controles de seguridad del sistema informático
15. Los equipos no cuentan con reguladores de voltaje
16. Sistema Biométrico desactualizado
17. Cámaras de vigilancia desactivadas
18. No se realizan copias de seguridad de manera periódica de los recursos
críticos.
19. No existen políticas para la utilización de firewall en los equipos o en la red
20. Inseguridad en la red local
21. El cableado estructurado de la red no se encuentra protegido
22. El uso no aceptable de hardware, tales como módems, USB, etc.
23. Requisitos de Hardware obsoletos
24. Los teclados y mouse presentan desgaste.
25. No cuenta con UPS en lo equipos de cómputo.
AMENAZA:
26. Sistema Operativo obsoleto, Windows XP
27. Los equipos no cuentan con antivirus para su protección
28. Programas de diseño gráfico sin licencia
29. Suite de ofimática sin licencia
30. Java no actualizado
31. Falta de actualización y configuración adecuada del equipo, lo que no
podría realizarse con efectividad sino se cuenta con un sistema original
32. Actualización de los navegadores.
33. Los servidores y equipos del área de sistemas no se encuentran bajo algún
armario cerrado o en alguna oficina con acceso restringido.
34. Falta de conocimiento de los usuarios en el manejo de herramientas
computacionales y en el manejo de los sistemas informáticos existentes, no se
han realizado capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
35. Falta de control ingreso de personal.
36. Se encuentran activas cuentas de usuario de personal que ya no labora en
la empresa.
37. Uso indebido del correo de Electrónico
38. Falta de seguridad para ingresar a la información privada del sistema.
39. No hay seguimiento a los controles de seguridad del sistema informático
40. Los equipos no cuentan con reguladores de voltaje
41. Sistema Biométrico desactualizado
42. Cámaras de vigilancia desactivadas
43. No se realizan copias de seguridad de manera periódica de los recursos
críticos.
44. No existen políticas para la utilización de firewall en los equipos o en la red
45. Inseguridad en la red local
46. El cableado estructurado de la red no se encuentra protegido
47. El uso no aceptable de hardware, tales como módems, USB, etc.
48. Requisitos de Hardware obsoletos
49. Los teclados y mouse presentan desgaste.
50. No cuenta con UPS en lo equipos de cómputo.
RIESGOS:
1. Uso de software no Licenciado
2. Daño del sistema Operativo
3. Sanciones
4. Software no licenciado
5. No visualización de contenido multimedia
6. Fallas en la configuración de los equipos
7. Adquisición de software que no tiene soporte del fabricante
8. Acceso no autorizado al área de sistemas
9. El personal no cuenta con las actitudes y aptitudes requeridas para hacer
uso de la información por medio de los sistemas de información.
10. Acceso no autorizado a las áreas restringidas
11. Errores en la desactivación de cuentas de usuario
12. Fuga de Información
13. Daños en la Información privada. No existe
14. Detección de intrusiones, contención y/o eliminación.
15. Pérdida de Hardware
16. Acceso no autorizado a áreas privadas
17. Inseguridad en las salas de informática
18. Perdida completa de la información
19. Red local insegura
20. Red insegura
21. Daños de las comunicaciones.
22. Uso indebido de Dispositivos personales externos para lucro propio
23. Perdida de información
24. Fallo por parte de los teclados y los mouses.
25. Daño en los equipos de cómputo.
IMPACTO
ANALISIS DE RIESGOS
R1,R4,R7
Alto
61-
100
%
Med R11,R22
io
31-
60%
IMPACTO
CONCLUSIONES