Introducción

En este proyecto se describe y analiza una auditoría realizada a la empresa Hosting ABC,
empresa dedicada al servicio de almacenamiento de sitios web empresariales y servicio de
adquisición y registro de nombres de dominio. Con el propósito de afianzar nuestro
aprendizaje en el área de seguridad y gestión de riesgos, previo conocimiento en las
Normas con que se rigen los Sistemas de Seguridad de la Información, canalizamos dicho
conocimiento y así lograr recaudar la información necesaria para elaborar una matriz de
análisis de riesgo, que nos arroje las falencias, debilidades y malos procedimientos
mediante la cual se determinaran las políticas de seguridad de la información de la empresa
enfocadas primordialmente en el departamento de comunicaciones.

Dado lo anteriormente expuesto, es necesario revisar, monitorear y controlar el uso

aplicado a las tecnologías de la información, de tal forma que la auditoría nos permita
recoger, agrupar y evaluar evidencias para determinar si los sistemas de información y la
tecnología utilizada, mantienen la integridad de los datos y promueven el cumplimiento
eficaz de los fines de la organización, la cual conllevara los controles de seguridad
requeridos para su buen manejo informáticamente.

Empresa auditora

Empresa de Auditoria Tecnologic Americana

Es una empresa el cual se creó con el fin de prestar servicios informáticos PYMES y
corporativos para garantizar un correcto funcionamiento de sus métodos o funcionamientos
pero primordialmente la seguridad, el cual permita a sus dirigentes y empresarios centrarse
en sus negocios de manera correcta.

Es miembro de la Asociación ISACA (Information Systems Audit and Control Association),

Por cual nos agrupan a las más prestigiosas empresas de Auditoria Informática.

Razón Social
“EAT Americana” es la razón social que identifica a la empresa en el mercado, teniendo
en cuenta que es una empresa dedicada exclusivamente a auditoria informática y prestar
 servicio informático en atención a un correcto funcionamiento de los sistemas en la
empresa, de tal manera que esta se constituya y permanezca competitiva en el mercado.

Objeto social
Prestar servicios de consultoría, asesoría y apoyo especializado en el ámbito de la
Intervención Informática y se encargara de verificar que sus sistemas y procesos informáticos
funcionen adecuadamente para las funciones que han sido programados y sus activos
digitales se encuentren propiamente protegidos, agregando la contabilidad y los registros de
las mismas al igual que los recursos humanos.

Los servicios de la empresa incluyen entre otros los siguientes,

 relevamiento del personal interviniente en todos los procesos informáticos en determinados
casos, a efectos de recomendar las mejoras necesarias para una utilización más eficiente y
segura de los sistemas informáticos.
 revisión y evaluación de los sistemas, procedimientos y controles informáticos;
 revisión del equipamiento, utilización, eficiencia y seguridad.
Lo anterior se aplicará a los siguientes departamentos entre otros:
 Departamento de Comunicaciones
 Departamento de Planeación y Gestión de Proyectos
 Departamento de Soporte Técnico y de Infraestructura
 Departamento de Gestión de Servidores
 Departamento de Desarrollo de Software
 Departamento Legal
 Departamento de recursos humanos
Las áreas sujetas a nuestros servicios de auditoria Informática son, entre otras:
Recursos humanos intervinientes en los procesos informáticos y sus responsabilidades.
Normas, Procedimientos y Documentación
Soporte y Mantenimiento
 Seguridad Lógica y Física
 Redes y Comunicaciones
 Infraestructura eléctrica
 Desarrollo de sistemas
 Procesamiento de datos
 Software
 Hardware
 Costos
Reseña Histórica
EAT Americana fue fundada por el ingeniero Edwin Barrios Ávila en apoyo con los
ingenieros Edwin Roloj y Jeison Mejía en el año 2016 en Barranquilla Colombia y la
asesoría del Especialista en seguridad Informática José Gregorio Palacio, Docente de la
Corporación Universitaria Americana el cual las ideas surgieron en un aula de clases por los
mencionados anteriormente, para esto fue necesario el alquiles de una oficina de 4 x 5 Mt
con cuatro empleados especializados en auditorias informática con certificación
COBIT Foundation Certificate - ISACA. Para el año 2017 la empresa contaba con más de
100 empleados entre ellos 40 especialistas en el tema de la auditorias informática entre otros
de igual manera contaba con varias oficinas a nivel nacional el cual sus dimensiones eran
de más de 90 𝐌𝐭 𝟐 donde se atienden con más comodidad a los clientes, lo anterior debido al
éxito, compromiso, entrega y profesionalismo de los integrantes y grupos de apoyo. Hoy día
es una de la empresa más competente en el sector.

Misión

Prevenir y solucionar los problemas informáticos y brindar soporte administrativo en los

campos de Gestión de Riesgos Empresariales, realizar Auditorías Basadas en Riesgos de
Tecnología de Información, procesos de negocio, servicios automatizados y Auditoría a
Sistemas de Gestión (calidad, ambiental, seguridad de la información), con el personal
capacitado y altos estándares de calidad.
a través de nuestros servicios profesionales especializados y herramientas sofisticadas para
ayudar a empresas ser competentes en el entorno a través de un marco ético y legal

Visión
Proporcionar a nuestros clientes servicios de la más alta calidad orientados a asegurar la
prolongación de sus negocios, permitiéndoles aumentar su rentabilidad a través de la
utilización de nuevas tecnologías, ser considerado una empresa confiable y sostenible a
largo plazo, con el uso de nuevas técnicas e instrumentos especializados con el propósito de
responder a los intereses del sector y su demanda en el mercado natural y mundial.

Valores

Como auditores y consultores estamos todo el tiempo comprometidos con la

confidencialidad, respeto, integridad, objetividad, compromiso, diligencia y los diferentes
valores éticos en el marco de los derechos humanos

Descripción de la Empresa Hosting ABC

La empresa Hosting ABC es una empresa dedicada al servicio de almacenamiento de sitios

web empresariales y servicio de adquisición y registro de nombres de dominio. Hosting
ABC es una empresa privada, constituida legalmente, según el marco legal colombiano.
Razón Social
Hosting ABC

Objeto Social
Servicio de almacenamiento de sitios web empresariales y servicio de adquisición y registro
de nombres de dominio.

Análisis de riesgo

Parámetros utilizados para el análisis.

Para realizar el análisis de riesgo se utilizó el método cuantitativo lo cual consiste en
Priorizar los riesgos identificados evaluando la probabilidad de ocurrencia y su impacto en
los objetivos principales del análisis. Se realiza de forma independiente para cada riesgo
identificado de tal forma que se centren los riesgos de mayor prioridad. La evaluación del
impacto la realizaremos estableciendo el efecto que tienen sobre los objetivos básicos del
proyecto (escala numérica), lo anterior se determinó de la siguiente manera;
Se utilizaron alguno de los elementos esenciales que hacen parte de la administración de
riesgo
Amenaza + Vulnerabilidad = Riesgo Niveles de Riesgo:
Evaluación que se clasifica en una escala basada en la experiencia del negocio, es decir, se
basa en el conocimiento de la probabilidad de una incidencia u ocurrencia de un evento,
para lo cual se identificó 4 niveles. Insignificante, Bajo, Mediano y Alto, en donde

Probabilidad de Amenaza

1 = Insignificante

2 = Baja

3= Mediana

4= Alta

Análisis de riesgo a Seguridad en Telecomunicaciones de la empresa

Teniendo en cuenta los parámetros enunciados anteriormente durante el proceso de
auditoría enfocado a nivel de seguridad en telecomunicaciones llevadas a cabo por su
empresa, se obtuvieron los siguientes resultados en el análisis de riesgo descritos en la
siguiente tabla;

Tabla del Análisis de riesgo

Base de datos
En donde se halló mayor falencia fue en la base de datos el cual se detalla a continuación los puntos más
relevantes;

 Se evidencia que existen falencias en la base de datos y eso repercute entre otras a la información de
contactos y backups de estos mismos al igual que grabación llamadas de clientes que realizan contratos
verbales guardados en el servidor.
 Por lo relacionado anteriormente se observa que existe una pérdida de información.
 No existe un protocolo para tener un rango de seguridad vía telefónica eso implica que los empleados
suministren contraseñas vía telefónica.
 No existe reglas o normas que comprometan a los trabajadores para mantener la confidencialidad de
los permisos o contraseñas a terceros.
 En algunos casos se evidencia falta de permisos de los usuarios.
 Los equipos físicos requieren mantenimiento de igual forma algunos necesitan renovación a tecnología
actual.

Directorio de Clientes

Al que el anterior punto se ve repercutido o afectado el directorio telefónico por medio del cual este se
encuentra almacenado en la base de datos.

Servidores
Los servidores presentan falta se actualización de software para que de tal forma sea competente y
disminúyanlos riesgos que existen.

Celulares y llamadas telefónicas

Se evidencia buena utilización de esta misma ya que esta se mantiene apoyo con el proveedor de telefonía
celular
Políticas de seguridad
Intercambio de  Toda persona que haga pare de la empresa
información con parte como apoyo o colaboración ya sea
externa contratista, empleado, practicante debe
Acuerdos de someterse a los protocolos y firmar acuerdo
Seguridad en Confidencialidad de confidencialidad
Telecomunicaciones
Mantenimientos  Se realizara mantenimiento tanto preventivo
como predictivo con el fin de mantener los
equipos servidores en óptimas condiciones.
Servidor  Se realizaran registros de los
mantenimientos y anomalías que estos
presenten en su respectiva hoja de vida de
los equipos
Capacitaciones Se mantendrá tanto al personal técnico como a la
persona que opera el servidor en constantes
capacitaciones con el fin de mantener la empresa
competente y optimo estado en cuanto a seguridad
Gestión de la Seguridad Mecanismos de  Los servicios de red deben ser configurados
en Redes Seguridad asociados a teniendo en cuenta los requerimientos
servicios de red específicos de cada uno de ellos. No se debe
instalar lo que no se necesite.

 La red de la empresa debe estar dividida en

Seguridad en VLANS teniendo en cuenta la organización
Telecomunicaciones geográfica.

Segregación de Redes La comunicación entre VLANs debe ser

configurada según los lineamientos del
departamento de TI.