Auditoria-unad Trabajo Para Copiar.docx

AUDITORIA DE SISTEMAS TRABAJO COLABORATIVO 1

PRESENTADO POR JORGE BARRETO – COD 3839019

GRUPO: 90168_30

TUTOR: FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD INGENIERIA DE SISTEMAS 7 FEBRERO 2019

Desarrollo de la Actividad – Parte individual Cuadro consolidado las de las vulnerabilidades, amenazas y riesgos

N°

Vulnerabilidad

Amenazas

Riesgo

1

La empresa no cuenta con plan de contingencia en caso de pérdida de la información Sistema operativo desactualizado Windows xp

Desastre natural

No se cuenta con Seguridad lógica procedimientos para la administración de los datos

Manipulación Fallas del sistema Software malicioso

Actualmente el sistema operativo no tiene soporte, se encuentra desactualizado y algunas aplicaciones no son compatibles ya con este sistema Suplantación de identidad, acceso a datos sensibles dentro de la red Los usuarios no cuentan con las competencias básicas para el manejo de los formatos que presenta la institución Inseguridad en la red

2

3

Los equipos no cuentan Suplantación de con cuentas con sus identidad y acceso de respectivas contraseñas terceros

4

Los usuarios del Errores de usuario sistema no están capacitados en las herramientas tecnológicas básicas (Dropbox y uso de Excel)

5

No existe control en el Uso de los recursos acceso a internet de la empresa para otros fines No existe control en el Los usuarios con acceso a los acceso al equipo documentos principales principal el cual se de la institución encuentra sin (carpeta de google contraseña, pueden drive y Dropbox) acceder a los documentos importantes para la institución La empresa no utiliza Errores de firewall en lo equipos o configuración

6

7

Categoría

Software

Seguridad lógica

Seguridad lógica, acceso a los datos, integridad de los datos

redes

Red insegura, Redes, seguridad alteración de la lógica información, accesos no autorizados a la información

Red lógica insegura

redes

8 9

10

11

12

13

14

15

en la red La configuración del router es la por defecto El sistema operativo con cuenta con parches y actualizaciones

Errores de configuración El sistema no cuenta con parches de seguridad y actualizaciones, software no es licenciado Fallos en la red Mala configuración que compromete la seguridad de las empresas al instalar routers, switches y otros equipos de red sin las ramificaciones de seguridad de cada dispositivo. La canaleta se El cableado de datos encuentra en malas se encuentra expuesto condiciones y en algunos casos no hay El cableado La manipulación de estructurado de la red esta red presenta se encuentra a la daños, rupturas y su intemperie transmisión de datos suelen presentar varias caídas de paquetes de información. No hay seguimiento en La empresa no cuenta la seguridad de la con controles de información seguridad informática No se analiza el tráfico al no analizar el en busca de virus tráfico en busca de software malintencionado, correo no deseado, contenido inapropiado e intrusiones La prestación del El trabajador externo servicio técnico es puede ser una víctima realizado por los incógnita, indirecta y estudiantes presencial a una agresión externa en

Red lógica insegura

redes

Falla y caídas en el software sistema operativo

Fallas en las redes comunicaciones

Fallas en las redes comunicaciones

Daños de las Redes comunicaciones.

No hay detección de Seguridad lógica intrusos, contención y/o eliminación Accesos no Seguridad lógica autorizados del sistema

Atentados a las Manejo y control instalaciones de la de personal empresa (vandalismo)

16

17

contra de la Empresa. No existe control de los Introducción de Alteración o pérdida dispositivos de información falsa de la información almacenamiento (USB, registrada en base cd, discos) de datos o equipos La red es de acceso No hay una Acceso no publico segmentación de la autorizado a la red red ya que los usuarios de la área administrativa y los usuarios normales (estudiantes) están conectados en la misma red y no existe un dispositivo de control

Hardware

Manejo y control de personal redes

Empresa Avidesa de Occidente Autor: carolina arroyave No.

1

2

3

4

5

Vulnerabilidades

Amenazas

Riesgos

En el área de logística se encuentran regletas, switches extensiones eléctricas sin protección ni organización, cableado Cableado desorganizado, lo que Expuesto

Se puede presentar Seguridad Física algún corto eléctrico

no cumple con la normas establecidas para la organización del cableado Algunos equipos del área Inicio de Sesión de producción no cuentan de personal no con contraseñas de inicio autorizado de sesión En el área de Silos encuentra un equipo cómputo con hardware mal estado por falta mantenimiento

se Daño de de Hardware, Perdida en de información de

El departamento de Perdida logística presenta caída de información red constante

Categoria

de

Algunos equipos de Problema con cómputo no cuentan con actualizaciones una IP fija según el host automáticas de la empresa

Cualquier persona puede tener acceso a la información almacenada en los equipos. Se puede presentar un grave daño en el hardware del equipo debido al polvo que almacena internamente Debido a la caída de la red constante se puede presentar perdida de la información en los módulos de producción Debido a la configuración de red de cada equipo al no tener un IP fija no se podrán actualizar las bases de datos enviadas directamente desde el servidor. No se pueden realizar las copias de seguridad automáticas desde

Seguridad Lógica

Hardware

Seguridad Logica Red

Seguridad Logica Red

6

7

8

9

10

11

Copias de Seguridad mal configuradas en 5 equipos del área de contabilidad

Módulos de producción y despachos desactualizados en 3 equipos del área de despachos

Cableado de voz y datos por fuera de las canaletas en oficina de cartera

Falta de activación de Office en 3 equipos del área de procesos

Fallos en disco duro de servidor de producción

Falta de control de navegación en 3 equipos del área de procesos

los PCS hasta el Perdida de servidor de copias Seguridad Lógica causando perdida de Información información No se puede actualizar la Falla en apertura información de la base de datos de de módulos producción por problemas de apertura de módulos Seguridad Lógica por problema de actualización del ejecutable Falla en Seguridad comunicaciones y Lógica transmisión de datos Cableado Expuesto Red La suite de office al no estar activada en estos equipos limita Perdida de las funciones como información tal del software Seguridad Lógica causando así el no poder actualizar datos. Perdida de Se puede dañar el Información disco duro totalmente causando gran pérdida de información para la Hardware empresa No poseen control de navegación por lo tanto existe riesgo de infección Acceso a internet por virus causando Seguridad Lógica perdida de abierto información u otros daños

Empresa playtech Autor:Edward Alberto rubio

N° 1

2

3

4

5

6

7

Vulnerabilidades No hay un procedimiento el cual controle los periféricos de entrada y salida No hay redundancia en las conexiones de red

Amenazas Humano hurto de información

Riesgos Categoría Perdida de Hardware confidencialidad de la información

Tecnológica

Hardware

No se cuenta con un ambiente apropiado del servidor físico que hay en la compañía , se encuentra a la vista de todos Falta de controles en los equipos que pueden tener acceso a la red, no se cuenta con filtrado Mac, ni con filtrado de ip. No tiene un procedimiento de contraseñas ni en los equipos informáticos, ni en el ingreso de base de datos No se tiene un procedimiento definido para el manejo remoto de los servidores No se cuenta con seguridad de

Humano y ambiental

Perdida de disponibilidad de la información en caso tal que se tenga un corte por el proveedor de claro En caso de lluvias puede dañarse por humedad. Al estar al alcance de todo el personal puede haber daño por estática. Perdida de confidencialidad e integridad de la información, puede ser causa también de amenazas externas Acceso no autorizados a la información core de la compañía

Entrada o Accesos no autorizados

Accesos no autorizados a la base de datos

Seguridad lógica

Entrada o Accesos no

Accesos no autorizados

Seguridad física

Humano

Humano

Seguridad física

Seguridad lógica

Seguridad lógica

8

10

11

12

13

cámaras No se cuenta con un sistema de humo

autorizados Ambiental

El servidor no se encuentra en un rack, esta puesto en la parte superior de la oficina con otros equipos informáticos No hay un procedimiento el cual identifique los puertos activos en el servidor Falta un procedimiento de manejo de licencias

Daños físicos ambientales

Falta de controles en los privilegios de los computadores de la compañía

Humano manipulación incorrecta

Daños físicos en la compañía y posibles pérdidas de información Daños por corto circuito y estática, posible pérdida de la información

Seguridad física

Entrada o Accesos no autorizados

Accesos no autorizados de información

Seguridad lógica

legales

Problemas legales por uso de licencias e instalaciones no permitidas Problemas legales por instalación de software no autorizado

Seguridad lógica

Seguridad física

Seguridad lógica

OBJETIVOS

OBJETIVO GENERAL Realizar auditoria a las redes de datos y al manejo de la información por parte de los usuarios (directivos, docentes y estudiantes) dentro de la empresa discenter’s de la ciudad de Tuluá. OBJETIVOS ESPECÍFICOS 

Conocer los usuarios del sistema con el fin de analizar los posibles riesgos que se puedan presentar, mediante visita a la empresa y entrevista con los usuarios



Conocer la infraestructura de red de la empresa con el fin de analizar los riesgos que se pueden presentar en la seguridad de la información, mediante visita a la empresa y entrevista con los encargados de soporte técnico.



Elaborar plan de auditoria mediante la creación de formatos para la recolección de información, planes estratégicos, estándar a seleccionar y los procesos relacionados en el objetivo de la auditoria, con el fin de obtener información confiable.



Elaborar las pruebas necesarias para la determinación de los riesgos existentes en la red de datos y los controles y acceso de los usuarios, para la elaboración de la matriz de riesgos midiendo su ocurrencia e impacto.



Generar dictamen sobre la auditoria para los procesos evaluados, presentando el informe de resultados