Fase 4_90168_41.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Fase 4_90168_41.docx as PDF for free.
More details
- Words: 11,526
- Pages: 61
AUDITORIA DE SISTEMAS FASE 4 EJECUCIÓN AUDITORIA
PRESENTADO POR: KATHERINE ZAPATA MOSQUERA COD: 1113523654 JOHN JAIRO MARTINEZ TORRES COD: 94504963 WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557 JHONNY CAICEDO VELARDE COD: 94329937 JAIRO ANGULO COD: 94229202 GRUPO: 90168_41 CEAD: PALMIRA
TUTOR: FRANCISCO NICOLAS SOLARTE SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA PROGRAMA DE INGENIERIA DE SISTEMAS 26 DE NOVIEMBRE DE 2018
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 CONTENIDO
INTRODUCCIÓN ......................................................................................................................... 3 OBJETIVO GENERAL ................................................................................................................ 4 OBJETIVOS ESPECÍFICOS...................................................................................................... 4 1. PROCESOS EVALUADOS ................................................................................................. 5 2. EQUIPO AUDITOR............................................................................................................... 6 3. INSTRUMENTOS DE RECOLECCION ............................................................................ 6 4. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI ........... 6 4.1.
ANALISIS Y EVALUACION DE RIESGOS .................................................................. 6
4.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ................................................................. 7
4.1.2.
RESULTADO MATRIZ DE RIESGOS ........................................................................ 8
4.1.3.
TRATAMIENTO DE RIESGOS ................................................................................... 8
4.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ..................................................... 9
4.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 18
5. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ................. 20 5.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 20
5.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 20
5.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 21
5.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 21
5.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 22
5.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 28
6. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ....................................... 30 6.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 30
6.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 30
6.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 31
6.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 31
6.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 32
6.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 38
7. DS12 ADMINISTRAR EL AMBIENTE FÍSICO. ............................................................. 40 7.1. 7.1.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 40 ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 40
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 41
7.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 41
7.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 42
7.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 48
8. DS13 ADMINISTRACIÓN DE OPERACIONES ............................................................ 49 8.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 49
8.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 49
8.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 50
8.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 50
8.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 51
8.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 57
9. CONCLUSIONES ............................................................................................................... 59 10.
REFERENCIAS BIBLIOGRAFICAS ........................................................................... 60
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
INTRODUCCIÓN En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos claves que ayudaran a sacar una auditoria adelante, tales conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener controladas las amenazas. Un plan de auditoria a los sistemas informáticos de una empresa es imprescindible para lograr la utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones; con los planes programados de auditoria se le permite a la compañía evaluar todo, desde la informática, la organización de los centros de información, hasta el hardware y software, brindando así sistemas confiables y con buenos niveles de seguridad. En el presente trabajo se pretende ejecutar un plan de auditoria para la empresa Cajascol en su parte final centrándose en aspectos como: Tratamiento de riesgos, reporte de hallazgos y propuesta de soluciones o controles para mitigar los riesgos en los procesos que serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de Operaciones y ME1 Monitorear y Evaluar el Desempeño de TI En la parte final del documento se presentan las referencias bibliográficas exploratorias del tema, que puede servir de insumo académico para los interesados en la temática. Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de agrado para los lectores que tengan la oportunidad de leer este documento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
3/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
OBJETIVO GENERAL Elaborar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol OBJETIVOS ESPECÍFICOS Determinar tratamiento de riesgos para cada proceso, de acuerdo con la matriz de riesgos generada en el ejercicio de auditoria. Elaborar un formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos encontrados en el proceso teniendo como base los resultados de la matriz de riesgos. Para cada proceso elaborar un cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperación).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
4/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
1. PROCESOS EVALUADOS A continuación, se listan los procesos y objetivos de control que serán evaluados en la auditoria a realizar en la empresa Cajascol S.A.S Proceso
OBJETIVOS DE CONTROL PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y responsabilidades
PO4 Definir los Procesos, Organización y Relaciones de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO4.9 Propiedad de datos y de sistemas PO4.10 Supervisión PO4.11 Segregación de funciones PO4.13 Personal Clave de TI
AI3 Adquirir y Mantener Infraestructura Tecnológica
AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad DS5 Garantizar la Seguridad de los Sistemas
DS5 Garantizar la Seguridad de los Sistemas
DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario. DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad. DS5.10 Seguridad de la Red DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física. DS12 Administrar el DS12.3 Acceso Físico. ambiente físico. DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones DS13 Administración de Operaciones
DS13.1 Procedimientos e instrucciones de operación. DS13.2 Programación de Tareas DS13.5 Mantenimiento Preventivo del Hardware.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
5/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
2. EQUIPO AUDITOR A continuación, se relaciona el equipo auditor y los procesos que administrara en el ejercicio de auditoria.
Auditor
Proceso
John Jairo Martinez
PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flórez
AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata
DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo
DS12 Administrar el ambiente físico.
Johnny Caicedo
DS13 Administración de Operaciones
3. INSTRUMENTOS DE RECOLECCION Para el desarrollo de la auditoria y recolección de información se utilizaron instrumentos como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas, después del análisis de cada uno de los instrumentos se hace una evaluación de riesgos y posteriormente de acuerdo con su incidencia e impacto se consignaron en una matriz de riesgos. 4. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI En este proceso se analizarán los riesgos relacionados con la infraestructura organizacional del área de tecnologías de información, los roles de las personas que hacen parte de dicha área, involucramiento de la gerencia en funciones de TI, inducciones de programas o aplicativos, alcance de los usuarios en sus funciones y responsabilidad en procesos de TI. 4.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
6/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
3
4
5
2
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
4
4
R4
Perder trazabilidad e historia en los registros de la empresa
3
3
2
5
2
4
R7 Acceso a información confidencial.
4
3
R8 No existen manuales de función del personal de Sistemas
3
4
El área de TI no está relacionada con las necesidades de los usuarios
3
4
R10 No existen planes de contingencia ante eventos o fallas
4
5
R11 No hay procedimientos ante la ocurrencia de eventos
4
4
No se hace monitoreo a los usuarios y al modo de uso de los equipos
4
5
R13 No existen manuales de desarrollo hechos en la empresa.
4
5
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
5
3
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
5
5
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
2
2
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
2
1
R5 Retraso en las actividades a desarrollar R6
R9
R12
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
7/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Moderado (3)
Menor (2)
Raro (1)
R17
Improbable (2)
R16
R6
Casi Seguro (5)
R5
Catastrófico (5)
R2
Posible (3) Probable (4)
Mayor (4)
R4
R7
R1, R8, R9
R3, R11
R14
R10, R12, R13
R15
4.1.3. TRATAMIENTO DE RIESGOS N°
Descripción
Tratamiento Riesgo
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
Controlarlo
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
Controlarlo Controlarlo
R4 Perder trazabilidad e historia en los registros de la empresa
Controlarlo
R5 Retraso en las actividades a desarrollar
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Transferirlo
R7 Acceso a información confidencial.
Controlarlo
R8 No existen manuales de función del personal de Sistemas
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
8/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R9
El área de TI no está relacionada con las necesidades de los usuarios
Controlarlo
R10 No existen planes de contingencia ante eventos o fallas
Controlarlo
R11 No hay procedimientos ante la ocurrencia de eventos
Controlarlo
R12
No se hace monitoreo a los usuarios y al modo de uso de los equipos
R13 No existen manuales de desarrollo hechos en la empresa.
Controlarlo Controlarlo
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
Controlarlo
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Controlarlo
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
Aceptarlo
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Aceptarlo
4.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
9/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-01
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: No contar con información en tiempo real lo que afecta de manera negativa la toma de decisiones RIESGO: Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna No existen planes de contingencia ante eventos o fallas RECOMENDACIONES: Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
10/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-02
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay supervisión de los procesos que realizan los usuarios en los equipos de computo REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría corromperse el sistema por descarga de virus o aplicaciones maliciosas. Podría haber perdida de información confidencial RIESGO: No se hace monitoreo a los usuarios y al modo de uso de los equipos No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI RECOMENDACIONES: Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
11/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-03
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse un incendio que afectaría al recurso humano o a los activos de la empresa RIESGO: Destrucción de las edificaciones y sus activos RECOMENDACIONES: Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
12/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-04
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informatica REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, adulteración de la misma y se corre el riesgo de recibir multas de entes estatales, por errores en la declaración contable. RIESGO: Descarga apertura o instalación de programas o documentos infectados. Perder trazabilidad e historia en los registros de la empresa Acceso a información confidencial. RECOMENDACIONES: Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
13/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-05
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, robo o secuestro de los datos por delincuentes informáticos RIESGO: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. RECOMENDACIONES: Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
14/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-06
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Estos aplicativos podrían quedar obsoletos o poco utiles al no estar las personas que los conocen, por lo que habría perdida de información y control en los procesos. RIESGO: No existen manuales de desarrollo hechos en la empresa. RECOMENDACIONES: Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
15/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-07
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Demoras en los procesos, atrasos en el ingreso de información, posibles daños mayores al no atenderse el evento de manera inmediata. RIESGO: Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas. RECOMENDACIONES: Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
16/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-08
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narvaez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Procesos desatendidos podrían causar pérdidas de información, fallas inesperadas del sistema, daños en la infraestructura física, entre otros. RIESGO: No existen manuales de función del personal de Sistemas RECOMENDACIONES: Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
17/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.3. CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Correctivo
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen.
destrucción de las edificaciones y sus activos
Detectivo
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
Descarga apertura o instalación de programas o documentos infectados.
Detectivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Perder trazabilidad e historia en los registros de la empresa
Correctivo
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Correctivo
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Acceso a información confidencial.
Correctivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial.
No existen manuales de función del personal de Sistemas
Correctivo
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas.
El área de TI no está relacionada con las necesidades de los usuarios
Correctivo
Se debe reorientar los objetivos del área de TI, además de soporte que apunte a los usuarios.
Riesgos o hallazgos encontrados Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
18/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
No existen planes de contingencia ante eventos o fallas
Detectivo
Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
No se hace monitoreo a los usuarios y al modo de uso de los equipos
Correctivo
Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
No existen manuales de desarrollo hechos en la empresa.
Correctivo
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Correctivo
Se deben replantear funciones del personal actual, contratar personal adicional o instalar un software tipo consola de monitoreo de procesos.
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Correctivo
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
Existen procesos de negocio que no reciben soporte por parte del área de TI
Correctivo
Depende de la necesidad de los procesos se deben incluir en el alcance del área de sistemas.
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Correctivo
Conjuntamente con el área de sistemas se deben hacer reuniones de TI, para hacer planes de trabajo y fijar objetivos del área de sistemas.
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
19/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA En este proceso se analizarán los riesgos relacionados con la infraestructura tecnológica, verificando que exista un soporte tecnológico en cuanto a planes de mantenimiento, políticas para adquisición de nuevos equipos, monitoreo a recursos de informática y obsolescencia de equipos frente a nuevas tecnologías. 5.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 5.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
R1
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
5
R2
Perdida de la trazabilidad e historia en los registros de la empresa
3
3
R3
Equipos tecnológicos determinado tiempo
3
3
R4
Descarga apertura o instalación de programas o documentos infectados.
5
4
R5
No se considera al área de TI en los planes de capacitación
4
5
R6
Inexistencia del plan anual de mantenimiento
5
5
R7
Falta de mantenimiento preventivo al hardware
5
4
R8
Desconocimiento del plan para adquirir la infraestructura tecnológica
4
4
R9
Recursos de monitoreados.
4
4
R10
Infraestructura tecnológica obsoleta.
4
4
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
3
4
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
3
3
la
sin
Impacto Probabilidad
funcionamiento
infraestructura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
por
tecnológica
un
no
20/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R8,R9,R10
R4,R7
R1
R5
R6
Raro (1) Improbable (2)
R2,R3,R12
Posible (3) Probable (4) Casi Seguro (5)
5.1.3. TRATAMIENTO DE RIESGOS N°
Descripción
Tratamiento Riesgo
El personal no cuenta con programas de R1 capacitación y formación en seguridad informática y de la información.
Controlar
R2
Perdida de la trazabilidad e historia en los registros de la empresa
Controlar
R3
Equipos tecnológicos sin funcionamiento por un determinado tiempo
Controlar
R4
Descarga apertura o instalación de programas o documentos infectados.
Controlar
R5
No se considera al área de TI en los planes de capacitación
Controlar
R6 Inexistencia del plan anual de mantenimiento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Controlar
21/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R7 Falta de mantenimiento preventivo al hardware
para
adquirir
Controlar
R8
Desconocimiento del plan infraestructura tecnológica
la
R9
Recursos de la infraestructura tecnológica no monitoreados.
R10 Infraestructura tecnológica obsoleta.
Controlar Controlar Controlar
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
Controlar
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
Controlar
5.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
22/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-09
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
REF_PT: Formato de entrevista FE-01 CONSECUENCIAS: Debido al poco conocimiento en seguridad informática los colaboradores, pueden realizar actividades que expongan al peligro la protección web de la empresa. RIESGO: Hacer mal uso del internet, no cambiar sus contraseñas, visitar sitios web no habilitados o no autorizados. RECOMENDACIONES: Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
23/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-10
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar
PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Perdida de la trazabilidad e historia en los registros de la empresa REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: No se puede realizar un control sobre la data histórica de la empresa. RIESGO: Baja integralidad de la información, datos erróneos. RECOMENDACIONES: Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
24/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-11
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Descarga apertura o instalación de programas o documentos infectados. REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: Se puede infectar con virus el software y hardware RIESGO: Al Instalar programas no permitidos que ocasionarían perdida de información, daños en el sistema. Que facilitaría una violación a la red. RECOMENDACIONES: Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
25/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-12
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: No se considera al área de TI en los planes de capacitación REF_PT: Formato de entrevista FE-02 CONSECUENCIAS: Recurso humano del área de TI, con un nivel técnico de seguridad y buenas prácticas muy bajo. RIESGO: Una preparación no constante permite que no se pueda brindar respuesta inmediata o apropiada a las fallas presentadas. RECOMENDACIONES: Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
26/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DOMINIO
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-13
AI3 adquirir y mantener infraestructura tecnológica PÁGINA Adquisición y mantenimiento de la infraestructura 1 DE 1
Adquirir e Implementar PROCESO
PROCESO AUDITADO RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Desconocimiento del plan para adquirir la infraestructura tecnológica REF_PT: Formato cuestionario FCT-02 CONSECUENCIAS: Al desconocer este plan en la organización no existe un control sobre los requerimientos técnicos tecnológicos. No es fácil visualizar la viabilidad económica y los riesgos tecnológicos a asumir, según los recursos tecnológicos a adquirir. RIESGO: Perdidas económicas, negociar con proveedores no viables, adquirir infraestructura tecnológica poco útil. RECOMENDACIONES: Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
27/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Preventivo
Organizar y ejecutar programas de capacitación a los distintos colaboradores.
Perdida de la trazabilidad e historia en los registros Automatización de transacciones de los Preventivo/Correctivo de la empresa registros Equipos tecnológicos sin funcionamiento por un determinado tiempo
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Preventivo
Monitorear el firewall de los equipos de cómputo y realizar una respectiva actualización y administración del directorio de la empresa
Preventivo
Incluir al área de TI, en los planes de capacitación teniendo en cuenta las brechas existentes entre las competencias de los profesionales y los objetivos estratégicos de la empresa.
Inexistencia del plan anual de mantenimiento
Preventivo
Establecer un plan, con sus respectivos objetivos y acciones a ejecutar de manera clara y eficiente
Falta de mantenimiento preventivo al hardware
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
28/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Tipo de Control
Soluciones o Controles
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Recursos de la infraestructura tecnológica no monitoreados.
Detectivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Infraestructura tecnológica obsoleta.
Correctivo
Crear e invertir en la infraestructura tecnológica, acorde a las necesidades de la empresa.
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Detectivo
Crear y hacer uso de las fichas técnicas, para las actividades planeadas y ejecutadas a la infraestructura tecnológica.
Riesgos o hallazgos encontrados Desconocimiento del plan infraestructura tecnológica
para
adquirir
la
Controles mínimos para la adquisición de nueva infraestructura tecnológica No se cuenta con el correspondiente registro de los mantenimientos ejecutados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
29/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS En este proceso se analizarán los riesgos relacionados con la seguridad lógica, como temas de acceso y credenciales de usuarios, procedimientos para creación de cuentas y privilegios de acceso de cada una, también se abordan los riesgos relacionados con el monitoreo de cuentas y la seguridad con la información que se envía y recibe vía internet 6.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 6.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
3
5
R2
Perdida de integralidad, Alteración de la información
4
3
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
4
4
R4
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
3
4
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
4
5
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
4
R7
Eliminar información importante y perdida de la confidencialidad.
4
3
R8
Acceso a la red de la organización.
4
3
R9
Perdida de confidencialidad e integralidad de la información.
4
4
R10
Facilidad en hurto de información confidencial.
5
4
R11
Las PQRS no se han gestionadas debidamente.
3
3
R12
Realización de actividades no conformes con lo indicado por la empresa.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
30/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R2, R7, R8, R12
R4, R6
R3, R9
R1
R5
Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5)
R10
6.1.3. TRATAMIENTO DE RIESGOS ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Controlarlo
R2
Perdida de integralidad, Alteración de la información
Controlarlo
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
Controlarlo
R4
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
Transferirlo
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
31/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
ID. Riesgo
Tratamiento Riesgo
Descripción del Riesgo
R7
Eliminar información confidencialidad.
importante
y
perdida
de
la
R8
Acceso a la red de la organización.
R9
Perdida de confidencialidad e integralidad de la información.
R10
Facilidad en hurto de información confidencial.
Controlarlo.
R11
Las PQRS no se han gestionadas debidamente.
Transferirlo
R12
Realización de actividades no conformes con lo indicado por la empresa.
Controlarlo
Controlarlo Controlarlo Aceptarlo
6.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
32/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-14
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no existir controles, se puede adquirir virus que afectan el hardware y la información de la compañía, ocasionando pérdidas económicas.
RIESGO: Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático, Spam, phishing, botnets) RECOMENDACIONES:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
33/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-15
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no realizar las pruebas de monitoreo, se puede presentar hurto de información confidencial.
RIESGO: Pérdida de integralidad, Alteración de la información. RECOMENDACIONES:
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
34/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-16
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO: Pérdida de información, modificación o eliminación de cuentas de usuarios. RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
35/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-17
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se evidencia que varios usuarios están creados en el directorio activo como administradores. REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO: Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. RECOMENDACIONES:
Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
36/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-18
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se identificó que no existe control sobre las máquinas virtuales (remoto). REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al no existir un control sobre las máquinas virtuales, se puede presentar hurto de información, perdida sin intención de la misma.
RIESGO: Eliminar información importante y pérdida de la confidencialidad. RECOMENDACIONES:
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
37/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Perdida de integralidad, Alteración de la información
Perdida de información, modificación o eliminación de cuentas de usuario.
Tipo de Control
Soluciones o Controles
Correctivo
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Preventivo
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
Recuperación
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Para la eliminación de registros se debe registrar en un log la eliminación de los mismos.
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Detectivo
Preventivo
Para la mitigar el mal ingreso de datos, se debe crear un proceso donde se encargue de validar que la información registrada es veraz. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
38/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Detectivo
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Eliminar información importante y perdida de la confidencialidad.
Detectivo
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Acceso a la red de la organización.
Preventivo
Adicionar protocolos de seguridad y restricciones en la red, verificar que las contraseñas y usuarios no sean obvios.
Perdida de confidencialidad e integralidad de la información.
Preventivo
Revisar URL Embebidos.
Facilidad en hurto de información confidencial.
Preventivo
Establecer políticas de seguridad.
Las PQRS no se han gestionadas debidamente.
Preventivo
Implementar el sistema de semáforo para categorizar las PQRS y de esa manera determinar la prioridad de atención.
Realización de actividades no conformes con lo indicado por la empresa.
Correctiva
Implementación de herramientas de monitoreo de red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
39/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7. DS12 ADMINISTRAR EL AMBIENTE FÍSICO. En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se proteja tanto al personal como a los equipos de peligros naturales o siniestros también se tratara de analizar si los puestos de trabajo cumplen con las normas de seguridad obligatorias y si en los colaboradores existe una cultura de que promueva e incentive la seguridad propia y de la empresa. 7.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 7.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Material propenso a incendios
5
3
R2
Acceso no autorizado a las diferentes áreas
4
3
R3
Personas poco cuidadosas
2
3
R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
3
4
R5
Robo del servidor o manipulación de este
5
3
R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
3
3
R7
Instalaciones propensas a inundación o derrumbe
3
3
R8
Desorientación ante daños de la infraestructura en suceso ambiental
4
1
R9
falta de controles en la seguridad de la empresa
4
5
R10
carencia plan de acción para el mantenimiento de la infraestructura física
4
4
R11
Carencia promoción e incentivos para la seguridad en la institución
3
5
R12
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
40/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1)
Moderado (3)
Mayor (4)
Raro (1)
Catastrófico (5)
R8
Improbable (2)
R3
Posible (3)
R6 R7
R2 R12
Probable (4)
R4
R10
Casi Seguro (5)
R11
R9
R5 R1
7.1.3. TRATAMIENTO DE RIESGOS
N°
Descripción
Tratamiento Riesgo
R1 Material propenso a incendios
Controlarlo
R2 Acceso no autorizado a las diferentes áreas
Controlarlo
R3 Personas poco cuidadosas R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
R5 Robo del servidor o manipulación del mismo R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe R8
Desorientación ante daños de la infraestructura en suceso ambiental
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Aceptar transferirlo Controlarlo transferirlo Controlarlo Controlarlo
41/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
R9 falta de controles en la seguridad de la empresa
Tratamiento Riesgo Controlarlo
R10
carencia plan de acción para el mantenimiento de la infraestructura física
Controlarlo
R11
Carencia promoción e incentivos para la seguridad en la institución
Controlarlo
No hay como detectar de forma temprana humo, incendio, R12 inundaciones mediante equipos tecnológicos para la prevención y evacuación.
transferirlo
7.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
42/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-19
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Se cuenta con bodega abierta de materiales reciclables donde se almacena cartón reciclado, no hay circulación adecuada de aire y el cuarto donde está el servidor está lleno de archivo de contabilidad y archivo muerto. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Material propenso a incendios daño de equipos de cómputo e infraestructura física RIESGO: No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
RECOMENDACIONES: Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
43/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-20
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución, el acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. al igual que hurto de información RIESGO: La organización no cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma.
RECOMENDACIONES: Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Ubicar el servidor en un área de acceso restringido o retirar el mismo y contratar los servicios de almacenamiento con una empresa privada.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
44/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-21
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa RIESGO: Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
RECOMENDACIONES: Realizar mantenimiento y reparación de los equipos de monitoreo Adquirir equipos de seguridad (cámaras, sensores de movimiento, entre otros) Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
45/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-22
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento de inundación RIESGO: Instalaciones propensas a inundación o derrumbe
RECOMENDACIONES: Elaborar plan de acción ante aumento del caudal del rio Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
46/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-23
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental, carencia plan de acción para el mantenimiento de la infraestructura física, no hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento, también desorientación de los pasos a seguir ante daños de la infraestructura en suceso ambiental falta de detección y prevención temprana de los mismos RIESGO: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental
RECOMENDACIONES: Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental. Adquisición de equipos tecnológicos para la prevención y detectar de forma temprana humo, incendio, inundaciones, entre otros.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
47/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.3. CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Material propenso a incendios
Correctivo
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones, Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
Acceso no autorizado a las diferentes áreas
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones
Robo del servidor o manipulación del mismo
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones, instalación cámara de seguridad.
Instalaciones propensas a inundación o derrumbe
Preventivo
Elaborar plan de acción ante aumento del caudal del rio cauca, monitorear constantemente la ladera del rio que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Desorientación ante daños de infraestructura en suceso ambiental
Correctivo
Elaborar plan de contingencia a fin de estar preparado para mitigar los riesgos y daño de la infraestructura ante algún suceso ambiental.
falta de controles en la seguridad de la empresa
Correctivo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
carencia plan de acción para el mantenimiento de la infraestructura física
Correctivo
Implementar políticas y elaborar plan mantenimiento de la infraestructura física.
Correctivo
Capacitar y Concientizar al personal de la empresa sobre la importancia de la seguridad. Si no existe la persona indicada en la empresa para dar la asesoría, se podría contratar con una entidad externa.
Riesgos o hallazgos encontrados
la
Carencia promoción e incentivos para la seguridad en la institución
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
48/60.
de
acción
para
el
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8. DS13 ADMINISTRACIÓN DE OPERACIONES En este proceso se analizarán los riesgos relacionados con la administración de operaciones, que se cumplan con las actividades de soporte y que se lleven de manera ordenada y documentada, que exista un cronograma de actividades, que existan procedimientos documentados y evaluar si el personal es idóneo para las funciones de soporte de TI 8.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 8.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Demora en solucionar fallas de equipos por falta de identificación de cableado.
2
5
R2
Fallas en el suministro de energía.
4
4
R3
Daño de equipos por ausencia de ventilación.
3
3
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
5
4
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
3
3
R6
Desactualización de Software.
2
2
R7
Fallas de equipos por falta de mantenimientos preventivos.
4
5
R8
No se lleva control de los mantenimientos realizados.
3
3
R9
No se controla el mantenimiento preventivo a los equipos de respaldo.
4
4
No existe la documentación completa de todos los equipos R10 existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos.
3
2
R11
No existen planes de contingencia al momento de falla de un equipo.
4
5
R12
No se tiene control de los mantenimientos correctivos de los equipos.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
49/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Moderado Menor (2) Mayor (4) (1) (3)
Catastrófico (5)
Raro (1) Improbable (2)
R6
Posible (3)
R10 R3, R3, R8 R12
Probable (4) Casi Seguro (5)
R2, R9 R1
R4
R7, R11
8.1.3. TRATAMIENTO DE RIESGOS
N° R1
Descripción Demora en solucionar fallas de equipos por falta de identificación de cableado.
Tratamiento Riesgo Controlarlo
R2 Fallas en el suministro de energía.
Controlarlo
R3 Daño de equipos por ausencia de ventilación.
Transferirlo
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
Transferirlo
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
Controlarlo
R6 Desactualización de Software. R7
Fallas de equipos por falta de mantenimientos preventivos.
Aceptarlo Controlarlo
R8 No se lleva control de los mantenimientos realizados.
Controlarlo
No se controla el mantenimiento preventivo a los equipos de respaldo.
Controlarlo
R9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
50/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás R10 documentos que puedan dar información sobre los equipos.
Tratamiento Riesgo Controlarlo
R11
No existen planes de contingencia al momento de falla de un equipo.
Controlarlo
R12
No se tiene control de los mantenimientos correctivos de los equipos.
Controlarlo
8.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
51/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-24
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Al momento en que presente fallas el fluido eléctrico comercial, los equipos se apagaran abruptamente, lo que puede ocasionar daños en sus partes internas como fuente de poder o componentes electrónicos de la tarjeta madre. RIESGO: Daño de elementos importantes en los equipos por ausencia de energía asistida. RECOMENDACIONES: Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
52/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-25
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Posibles daños severos por revisión y/o cambio de cableado o elementos que se encuentren funcionando mal. RIESGO: Fallas de equipos por falta de mantenimientos preventivos. RECOMENDACIONES: Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
53/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-26
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Pérdida de tiempo del personal. Perdida de elementos de Hardware y/o información.
RIESGO: No existen planes de contingencia al momento de falla de un equipo. RECOMENDACIONES:
Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
54/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-27
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Recalentamiento de las partes internas de los equipos, ocasionando daño de los mismos. Incomodidad al personal por las altas temperaturas.
RIESGO: Daño de equipos por ausencia de ventilación. RECOMENDACIONES:
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
55/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-28
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE 1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Consumo extra de corriente de la UPS. Posible daño de equipos por una mala conexión o alimentación de un equipo no permitido, como por ejemplo taladros o pulidoras.
RIESGO: Posible de daño de equipos por mala señalización de las fuentes de energía. RECOMENDACIONES:
Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
56/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El respectivo cable de los equipos de cómputo no se encuentra debidamente marcado.
Preventivo
Se debe de marcar el cableado de los equipos, tanto de señal como de corriente.
No es confiable el sistema de respaldo cuando hay fallas del suministro de energía.
Correctivo
Se debe tener buenos equipos de soporte de energía como lo son UPS y Planta eléctrica.
Hay sitios donde se encuentran los equipos de cómputo que no tienen la temperatura adecuada para los mismos.
Preventivo
Se debe de controlar la temperatura de los equipos por medio de aires acondicionados.
Hay equipos que no se encuentran alimentados por la corriente asistida que proviene de la UPS.
Preventivo
Se debe realizar una revisión de cómo se encuentran conectados los equipos y al encontrar estos por fuera de la asistida, realizar las respectivas correcciones.
Se observan equipos diferentes a los de cómputo conectados a la corriente asistida, como por ejemplo ventiladores.
Preventivo
Crear políticas y controles que no permiten el mal uso de las tomas asistidas.
Se observa que el antivirus se encuentra desactualizado, al igual que el office.
Correctivo
Actualizar antivirus y demás programas que se encuentren obsoletos.
Hay equipos que no se les hace mantenimientos preventivos.
Preventivo
Implementar políticas de controles preventivos a todos los equipos de la organización.
No existe una bitácora o control de los mantenimientos que se les realiza a los equipos.
Preventivo
Elaborar y llevar control sobre los mantenimientos realizados a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
57/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
A los equipos de soporte no se les realiza mantenimiento preventivo hace más de un año.
Correctivo
Realizar mantenimiento a los equipos de acuerdo a la necesidad de los mismos, teniendo en cuenta la operatividad.
No se observan manuales de los equipos.
Preventivo
Al momento de adquirir equipos nuevos solicitar la documentación necesaria para cada uno de ellos.
No se tiene claro que se debe de realizar al momento de una falla en un equipo.
Correctivo
Establecer una ruta para el caso de que se debe de hacer en el momento de falla de un equipo, como para reponer al usuario afectado, como para la reparación del equipo.
No se tiene un registro o control de los mantenimientos correctivos de los equipos.
Correctivo
Crear formatos y/o registros que permitan llevar el control de los mantenimientos correctivos a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
58/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
9. CONCLUSIONES Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron unos hallazgos que se presentaron a la gerencia de Cajascol y se propusieron algunos controles para mitigar o controlar los riesgos existentes. Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
59/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10. REFERENCIAS BIBLIOGRAFICAS INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
de
CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoriacobit.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN. Recuperado el 25 de Octubre de 2018, de http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS. Recuperado el 23 de octubre de 2018, de http:// http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
60/60.
PRESENTADO POR: KATHERINE ZAPATA MOSQUERA COD: 1113523654 JOHN JAIRO MARTINEZ TORRES COD: 94504963 WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557 JHONNY CAICEDO VELARDE COD: 94329937 JAIRO ANGULO COD: 94229202 GRUPO: 90168_41 CEAD: PALMIRA
TUTOR: FRANCISCO NICOLAS SOLARTE SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA PROGRAMA DE INGENIERIA DE SISTEMAS 26 DE NOVIEMBRE DE 2018
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 CONTENIDO
INTRODUCCIÓN ......................................................................................................................... 3 OBJETIVO GENERAL ................................................................................................................ 4 OBJETIVOS ESPECÍFICOS...................................................................................................... 4 1. PROCESOS EVALUADOS ................................................................................................. 5 2. EQUIPO AUDITOR............................................................................................................... 6 3. INSTRUMENTOS DE RECOLECCION ............................................................................ 6 4. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI ........... 6 4.1.
ANALISIS Y EVALUACION DE RIESGOS .................................................................. 6
4.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ................................................................. 7
4.1.2.
RESULTADO MATRIZ DE RIESGOS ........................................................................ 8
4.1.3.
TRATAMIENTO DE RIESGOS ................................................................................... 8
4.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ..................................................... 9
4.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 18
5. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ................. 20 5.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 20
5.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 20
5.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 21
5.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 21
5.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 22
5.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 28
6. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ....................................... 30 6.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 30
6.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 30
6.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 31
6.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 31
6.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 32
6.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 38
7. DS12 ADMINISTRAR EL AMBIENTE FÍSICO. ............................................................. 40 7.1. 7.1.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 40 ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 40
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 41
7.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 41
7.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 42
7.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 48
8. DS13 ADMINISTRACIÓN DE OPERACIONES ............................................................ 49 8.1.
ANALISIS Y EVALUACION DE RIESGOS ................................................................ 49
8.1.1.
ANALISIS Y EVALUACIÓN DE RIESGO ............................................................... 49
8.1.2.
RESULTADO MATRIZ DE RIESGOS ...................................................................... 50
8.1.3.
TRATAMIENTO DE RIESGOS ................................................................................. 50
8.2.
REPORTE DE HALLAZGOS DE LA AUDITORIA ................................................... 51
8.3.
CONTROLES O SOLUCIONES PROPUESTAS ...................................................... 57
9. CONCLUSIONES ............................................................................................................... 59 10.
REFERENCIAS BIBLIOGRAFICAS ........................................................................... 60
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
INTRODUCCIÓN En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos claves que ayudaran a sacar una auditoria adelante, tales conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener controladas las amenazas. Un plan de auditoria a los sistemas informáticos de una empresa es imprescindible para lograr la utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones; con los planes programados de auditoria se le permite a la compañía evaluar todo, desde la informática, la organización de los centros de información, hasta el hardware y software, brindando así sistemas confiables y con buenos niveles de seguridad. En el presente trabajo se pretende ejecutar un plan de auditoria para la empresa Cajascol en su parte final centrándose en aspectos como: Tratamiento de riesgos, reporte de hallazgos y propuesta de soluciones o controles para mitigar los riesgos en los procesos que serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de Operaciones y ME1 Monitorear y Evaluar el Desempeño de TI En la parte final del documento se presentan las referencias bibliográficas exploratorias del tema, que puede servir de insumo académico para los interesados en la temática. Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de agrado para los lectores que tengan la oportunidad de leer este documento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
3/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
OBJETIVO GENERAL Elaborar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol OBJETIVOS ESPECÍFICOS Determinar tratamiento de riesgos para cada proceso, de acuerdo con la matriz de riesgos generada en el ejercicio de auditoria. Elaborar un formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos encontrados en el proceso teniendo como base los resultados de la matriz de riesgos. Para cada proceso elaborar un cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperación).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
4/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
1. PROCESOS EVALUADOS A continuación, se listan los procesos y objetivos de control que serán evaluados en la auditoria a realizar en la empresa Cajascol S.A.S Proceso
OBJETIVOS DE CONTROL PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y responsabilidades
PO4 Definir los Procesos, Organización y Relaciones de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO4.9 Propiedad de datos y de sistemas PO4.10 Supervisión PO4.11 Segregación de funciones PO4.13 Personal Clave de TI
AI3 Adquirir y Mantener Infraestructura Tecnológica
AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad DS5 Garantizar la Seguridad de los Sistemas
DS5 Garantizar la Seguridad de los Sistemas
DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario. DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad. DS5.10 Seguridad de la Red DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física. DS12 Administrar el DS12.3 Acceso Físico. ambiente físico. DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones DS13 Administración de Operaciones
DS13.1 Procedimientos e instrucciones de operación. DS13.2 Programación de Tareas DS13.5 Mantenimiento Preventivo del Hardware.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
5/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
2. EQUIPO AUDITOR A continuación, se relaciona el equipo auditor y los procesos que administrara en el ejercicio de auditoria.
Auditor
Proceso
John Jairo Martinez
PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flórez
AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata
DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo
DS12 Administrar el ambiente físico.
Johnny Caicedo
DS13 Administración de Operaciones
3. INSTRUMENTOS DE RECOLECCION Para el desarrollo de la auditoria y recolección de información se utilizaron instrumentos como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas, después del análisis de cada uno de los instrumentos se hace una evaluación de riesgos y posteriormente de acuerdo con su incidencia e impacto se consignaron en una matriz de riesgos. 4. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI En este proceso se analizarán los riesgos relacionados con la infraestructura organizacional del área de tecnologías de información, los roles de las personas que hacen parte de dicha área, involucramiento de la gerencia en funciones de TI, inducciones de programas o aplicativos, alcance de los usuarios en sus funciones y responsabilidad en procesos de TI. 4.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
6/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
3
4
5
2
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
4
4
R4
Perder trazabilidad e historia en los registros de la empresa
3
3
2
5
2
4
R7 Acceso a información confidencial.
4
3
R8 No existen manuales de función del personal de Sistemas
3
4
El área de TI no está relacionada con las necesidades de los usuarios
3
4
R10 No existen planes de contingencia ante eventos o fallas
4
5
R11 No hay procedimientos ante la ocurrencia de eventos
4
4
No se hace monitoreo a los usuarios y al modo de uso de los equipos
4
5
R13 No existen manuales de desarrollo hechos en la empresa.
4
5
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
5
3
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
5
5
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
2
2
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
2
1
R5 Retraso en las actividades a desarrollar R6
R9
R12
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
7/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Moderado (3)
Menor (2)
Raro (1)
R17
Improbable (2)
R16
R6
Casi Seguro (5)
R5
Catastrófico (5)
R2
Posible (3) Probable (4)
Mayor (4)
R4
R7
R1, R8, R9
R3, R11
R14
R10, R12, R13
R15
4.1.3. TRATAMIENTO DE RIESGOS N°
Descripción
Tratamiento Riesgo
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
Controlarlo
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
Controlarlo Controlarlo
R4 Perder trazabilidad e historia en los registros de la empresa
Controlarlo
R5 Retraso en las actividades a desarrollar
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Transferirlo
R7 Acceso a información confidencial.
Controlarlo
R8 No existen manuales de función del personal de Sistemas
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
8/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R9
El área de TI no está relacionada con las necesidades de los usuarios
Controlarlo
R10 No existen planes de contingencia ante eventos o fallas
Controlarlo
R11 No hay procedimientos ante la ocurrencia de eventos
Controlarlo
R12
No se hace monitoreo a los usuarios y al modo de uso de los equipos
R13 No existen manuales de desarrollo hechos en la empresa.
Controlarlo Controlarlo
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
Controlarlo
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Controlarlo
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
Aceptarlo
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Aceptarlo
4.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
9/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-01
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: No contar con información en tiempo real lo que afecta de manera negativa la toma de decisiones RIESGO: Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna No existen planes de contingencia ante eventos o fallas RECOMENDACIONES: Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
10/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-02
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay supervisión de los procesos que realizan los usuarios en los equipos de computo REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría corromperse el sistema por descarga de virus o aplicaciones maliciosas. Podría haber perdida de información confidencial RIESGO: No se hace monitoreo a los usuarios y al modo de uso de los equipos No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI RECOMENDACIONES: Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
11/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-03
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse un incendio que afectaría al recurso humano o a los activos de la empresa RIESGO: Destrucción de las edificaciones y sus activos RECOMENDACIONES: Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
12/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-04
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informatica REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, adulteración de la misma y se corre el riesgo de recibir multas de entes estatales, por errores en la declaración contable. RIESGO: Descarga apertura o instalación de programas o documentos infectados. Perder trazabilidad e historia en los registros de la empresa Acceso a información confidencial. RECOMENDACIONES: Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
13/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-05
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, robo o secuestro de los datos por delincuentes informáticos RIESGO: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. RECOMENDACIONES: Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
14/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-06
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Estos aplicativos podrían quedar obsoletos o poco utiles al no estar las personas que los conocen, por lo que habría perdida de información y control en los procesos. RIESGO: No existen manuales de desarrollo hechos en la empresa. RECOMENDACIONES: Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
15/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-07
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Demoras en los procesos, atrasos en el ingreso de información, posibles daños mayores al no atenderse el evento de manera inmediata. RIESGO: Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas. RECOMENDACIONES: Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
16/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-08
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narvaez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Procesos desatendidos podrían causar pérdidas de información, fallas inesperadas del sistema, daños en la infraestructura física, entre otros. RIESGO: No existen manuales de función del personal de Sistemas RECOMENDACIONES: Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
17/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4.3. CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Correctivo
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen.
destrucción de las edificaciones y sus activos
Detectivo
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
Descarga apertura o instalación de programas o documentos infectados.
Detectivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Perder trazabilidad e historia en los registros de la empresa
Correctivo
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Correctivo
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Acceso a información confidencial.
Correctivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial.
No existen manuales de función del personal de Sistemas
Correctivo
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas.
El área de TI no está relacionada con las necesidades de los usuarios
Correctivo
Se debe reorientar los objetivos del área de TI, además de soporte que apunte a los usuarios.
Riesgos o hallazgos encontrados Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
18/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
No existen planes de contingencia ante eventos o fallas
Detectivo
Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
No se hace monitoreo a los usuarios y al modo de uso de los equipos
Correctivo
Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
No existen manuales de desarrollo hechos en la empresa.
Correctivo
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Correctivo
Se deben replantear funciones del personal actual, contratar personal adicional o instalar un software tipo consola de monitoreo de procesos.
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Correctivo
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
Existen procesos de negocio que no reciben soporte por parte del área de TI
Correctivo
Depende de la necesidad de los procesos se deben incluir en el alcance del área de sistemas.
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Correctivo
Conjuntamente con el área de sistemas se deben hacer reuniones de TI, para hacer planes de trabajo y fijar objetivos del área de sistemas.
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
19/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA En este proceso se analizarán los riesgos relacionados con la infraestructura tecnológica, verificando que exista un soporte tecnológico en cuanto a planes de mantenimiento, políticas para adquisición de nuevos equipos, monitoreo a recursos de informática y obsolescencia de equipos frente a nuevas tecnologías. 5.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 5.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
R1
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
5
R2
Perdida de la trazabilidad e historia en los registros de la empresa
3
3
R3
Equipos tecnológicos determinado tiempo
3
3
R4
Descarga apertura o instalación de programas o documentos infectados.
5
4
R5
No se considera al área de TI en los planes de capacitación
4
5
R6
Inexistencia del plan anual de mantenimiento
5
5
R7
Falta de mantenimiento preventivo al hardware
5
4
R8
Desconocimiento del plan para adquirir la infraestructura tecnológica
4
4
R9
Recursos de monitoreados.
4
4
R10
Infraestructura tecnológica obsoleta.
4
4
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
3
4
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
3
3
la
sin
Impacto Probabilidad
funcionamiento
infraestructura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
por
tecnológica
un
no
20/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R8,R9,R10
R4,R7
R1
R5
R6
Raro (1) Improbable (2)
R2,R3,R12
Posible (3) Probable (4) Casi Seguro (5)
5.1.3. TRATAMIENTO DE RIESGOS N°
Descripción
Tratamiento Riesgo
El personal no cuenta con programas de R1 capacitación y formación en seguridad informática y de la información.
Controlar
R2
Perdida de la trazabilidad e historia en los registros de la empresa
Controlar
R3
Equipos tecnológicos sin funcionamiento por un determinado tiempo
Controlar
R4
Descarga apertura o instalación de programas o documentos infectados.
Controlar
R5
No se considera al área de TI en los planes de capacitación
Controlar
R6 Inexistencia del plan anual de mantenimiento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Controlar
21/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R7 Falta de mantenimiento preventivo al hardware
para
adquirir
Controlar
R8
Desconocimiento del plan infraestructura tecnológica
la
R9
Recursos de la infraestructura tecnológica no monitoreados.
R10 Infraestructura tecnológica obsoleta.
Controlar Controlar Controlar
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
Controlar
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
Controlar
5.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
22/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-09
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
REF_PT: Formato de entrevista FE-01 CONSECUENCIAS: Debido al poco conocimiento en seguridad informática los colaboradores, pueden realizar actividades que expongan al peligro la protección web de la empresa. RIESGO: Hacer mal uso del internet, no cambiar sus contraseñas, visitar sitios web no habilitados o no autorizados. RECOMENDACIONES: Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
23/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-10
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar
PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Perdida de la trazabilidad e historia en los registros de la empresa REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: No se puede realizar un control sobre la data histórica de la empresa. RIESGO: Baja integralidad de la información, datos erróneos. RECOMENDACIONES: Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
24/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-11
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Descarga apertura o instalación de programas o documentos infectados. REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: Se puede infectar con virus el software y hardware RIESGO: Al Instalar programas no permitidos que ocasionarían perdida de información, daños en el sistema. Que facilitaría una violación a la red. RECOMENDACIONES: Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
25/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-12
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: No se considera al área de TI en los planes de capacitación REF_PT: Formato de entrevista FE-02 CONSECUENCIAS: Recurso humano del área de TI, con un nivel técnico de seguridad y buenas prácticas muy bajo. RIESGO: Una preparación no constante permite que no se pueda brindar respuesta inmediata o apropiada a las fallas presentadas. RECOMENDACIONES: Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
26/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DOMINIO
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-13
AI3 adquirir y mantener infraestructura tecnológica PÁGINA Adquisición y mantenimiento de la infraestructura 1 DE 1
Adquirir e Implementar PROCESO
PROCESO AUDITADO RESPONSABLE
Wilder Alejandro Florez Gonzalez
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Desconocimiento del plan para adquirir la infraestructura tecnológica REF_PT: Formato cuestionario FCT-02 CONSECUENCIAS: Al desconocer este plan en la organización no existe un control sobre los requerimientos técnicos tecnológicos. No es fácil visualizar la viabilidad económica y los riesgos tecnológicos a asumir, según los recursos tecnológicos a adquirir. RIESGO: Perdidas económicas, negociar con proveedores no viables, adquirir infraestructura tecnológica poco útil. RECOMENDACIONES: Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
27/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Preventivo
Organizar y ejecutar programas de capacitación a los distintos colaboradores.
Perdida de la trazabilidad e historia en los registros Automatización de transacciones de los Preventivo/Correctivo de la empresa registros Equipos tecnológicos sin funcionamiento por un determinado tiempo
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Preventivo
Monitorear el firewall de los equipos de cómputo y realizar una respectiva actualización y administración del directorio de la empresa
Preventivo
Incluir al área de TI, en los planes de capacitación teniendo en cuenta las brechas existentes entre las competencias de los profesionales y los objetivos estratégicos de la empresa.
Inexistencia del plan anual de mantenimiento
Preventivo
Establecer un plan, con sus respectivos objetivos y acciones a ejecutar de manera clara y eficiente
Falta de mantenimiento preventivo al hardware
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
28/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Tipo de Control
Soluciones o Controles
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Recursos de la infraestructura tecnológica no monitoreados.
Detectivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Infraestructura tecnológica obsoleta.
Correctivo
Crear e invertir en la infraestructura tecnológica, acorde a las necesidades de la empresa.
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Detectivo
Crear y hacer uso de las fichas técnicas, para las actividades planeadas y ejecutadas a la infraestructura tecnológica.
Riesgos o hallazgos encontrados Desconocimiento del plan infraestructura tecnológica
para
adquirir
la
Controles mínimos para la adquisición de nueva infraestructura tecnológica No se cuenta con el correspondiente registro de los mantenimientos ejecutados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
29/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS En este proceso se analizarán los riesgos relacionados con la seguridad lógica, como temas de acceso y credenciales de usuarios, procedimientos para creación de cuentas y privilegios de acceso de cada una, también se abordan los riesgos relacionados con el monitoreo de cuentas y la seguridad con la información que se envía y recibe vía internet 6.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 6.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
3
5
R2
Perdida de integralidad, Alteración de la información
4
3
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
4
4
R4
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
3
4
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
4
5
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
4
R7
Eliminar información importante y perdida de la confidencialidad.
4
3
R8
Acceso a la red de la organización.
4
3
R9
Perdida de confidencialidad e integralidad de la información.
4
4
R10
Facilidad en hurto de información confidencial.
5
4
R11
Las PQRS no se han gestionadas debidamente.
3
3
R12
Realización de actividades no conformes con lo indicado por la empresa.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
30/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R2, R7, R8, R12
R4, R6
R3, R9
R1
R5
Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5)
R10
6.1.3. TRATAMIENTO DE RIESGOS ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Controlarlo
R2
Perdida de integralidad, Alteración de la información
Controlarlo
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
Controlarlo
R4
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
Transferirlo
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
31/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
ID. Riesgo
Tratamiento Riesgo
Descripción del Riesgo
R7
Eliminar información confidencialidad.
importante
y
perdida
de
la
R8
Acceso a la red de la organización.
R9
Perdida de confidencialidad e integralidad de la información.
R10
Facilidad en hurto de información confidencial.
Controlarlo.
R11
Las PQRS no se han gestionadas debidamente.
Transferirlo
R12
Realización de actividades no conformes con lo indicado por la empresa.
Controlarlo
Controlarlo Controlarlo Aceptarlo
6.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
32/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-14
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no existir controles, se puede adquirir virus que afectan el hardware y la información de la compañía, ocasionando pérdidas económicas.
RIESGO: Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático, Spam, phishing, botnets) RECOMENDACIONES:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
33/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-15
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no realizar las pruebas de monitoreo, se puede presentar hurto de información confidencial.
RIESGO: Pérdida de integralidad, Alteración de la información. RECOMENDACIONES:
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
34/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-16
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO: Pérdida de información, modificación o eliminación de cuentas de usuarios. RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
35/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-17
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se evidencia que varios usuarios están creados en el directorio activo como administradores. REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO: Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. RECOMENDACIONES:
Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
36/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-18
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se identificó que no existe control sobre las máquinas virtuales (remoto). REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al no existir un control sobre las máquinas virtuales, se puede presentar hurto de información, perdida sin intención de la misma.
RIESGO: Eliminar información importante y pérdida de la confidencialidad. RECOMENDACIONES:
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
37/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
6.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Perdida de integralidad, Alteración de la información
Perdida de información, modificación o eliminación de cuentas de usuario.
Tipo de Control
Soluciones o Controles
Correctivo
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Preventivo
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
Recuperación
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Para la eliminación de registros se debe registrar en un log la eliminación de los mismos.
Eliminación de registros o mal ingreso de los mismos, lo que haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Detectivo
Preventivo
Para la mitigar el mal ingreso de datos, se debe crear un proceso donde se encargue de validar que la información registrada es veraz. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
38/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Detectivo
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Eliminar información importante y perdida de la confidencialidad.
Detectivo
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Acceso a la red de la organización.
Preventivo
Adicionar protocolos de seguridad y restricciones en la red, verificar que las contraseñas y usuarios no sean obvios.
Perdida de confidencialidad e integralidad de la información.
Preventivo
Revisar URL Embebidos.
Facilidad en hurto de información confidencial.
Preventivo
Establecer políticas de seguridad.
Las PQRS no se han gestionadas debidamente.
Preventivo
Implementar el sistema de semáforo para categorizar las PQRS y de esa manera determinar la prioridad de atención.
Realización de actividades no conformes con lo indicado por la empresa.
Correctiva
Implementación de herramientas de monitoreo de red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
39/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7. DS12 ADMINISTRAR EL AMBIENTE FÍSICO. En este proceso se analizarán los riesgos relacionados con el ambiente físico, que se proteja tanto al personal como a los equipos de peligros naturales o siniestros también se tratara de analizar si los puestos de trabajo cumplen con las normas de seguridad obligatorias y si en los colaboradores existe una cultura de que promueva e incentive la seguridad propia y de la empresa. 7.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 7.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Material propenso a incendios
5
3
R2
Acceso no autorizado a las diferentes áreas
4
3
R3
Personas poco cuidadosas
2
3
R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
3
4
R5
Robo del servidor o manipulación de este
5
3
R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
3
3
R7
Instalaciones propensas a inundación o derrumbe
3
3
R8
Desorientación ante daños de la infraestructura en suceso ambiental
4
1
R9
falta de controles en la seguridad de la empresa
4
5
R10
carencia plan de acción para el mantenimiento de la infraestructura física
4
4
R11
Carencia promoción e incentivos para la seguridad en la institución
3
5
R12
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
40/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1)
Moderado (3)
Mayor (4)
Raro (1)
Catastrófico (5)
R8
Improbable (2)
R3
Posible (3)
R6 R7
R2 R12
Probable (4)
R4
R10
Casi Seguro (5)
R11
R9
R5 R1
7.1.3. TRATAMIENTO DE RIESGOS
N°
Descripción
Tratamiento Riesgo
R1 Material propenso a incendios
Controlarlo
R2 Acceso no autorizado a las diferentes áreas
Controlarlo
R3 Personas poco cuidadosas R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
R5 Robo del servidor o manipulación del mismo R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe R8
Desorientación ante daños de la infraestructura en suceso ambiental
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Aceptar transferirlo Controlarlo transferirlo Controlarlo Controlarlo
41/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
R9 falta de controles en la seguridad de la empresa
Tratamiento Riesgo Controlarlo
R10
carencia plan de acción para el mantenimiento de la infraestructura física
Controlarlo
R11
Carencia promoción e incentivos para la seguridad en la institución
Controlarlo
No hay como detectar de forma temprana humo, incendio, R12 inundaciones mediante equipos tecnológicos para la prevención y evacuación.
transferirlo
7.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
42/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-19
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Se cuenta con bodega abierta de materiales reciclables donde se almacena cartón reciclado, no hay circulación adecuada de aire y el cuarto donde está el servidor está lleno de archivo de contabilidad y archivo muerto. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Material propenso a incendios daño de equipos de cómputo e infraestructura física RIESGO: No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
RECOMENDACIONES: Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
43/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-20
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución, el acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. al igual que hurto de información RIESGO: La organización no cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma.
RECOMENDACIONES: Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Ubicar el servidor en un área de acceso restringido o retirar el mismo y contratar los servicios de almacenamiento con una empresa privada.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
44/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-21
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa RIESGO: Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
RECOMENDACIONES: Realizar mantenimiento y reparación de los equipos de monitoreo Adquirir equipos de seguridad (cámaras, sensores de movimiento, entre otros) Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
45/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-22
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento de inundación RIESGO: Instalaciones propensas a inundación o derrumbe
RECOMENDACIONES: Elaborar plan de acción ante aumento del caudal del rio Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
46/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-23
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental, carencia plan de acción para el mantenimiento de la infraestructura física, no hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento, también desorientación de los pasos a seguir ante daños de la infraestructura en suceso ambiental falta de detección y prevención temprana de los mismos RIESGO: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental
RECOMENDACIONES: Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental. Adquisición de equipos tecnológicos para la prevención y detectar de forma temprana humo, incendio, inundaciones, entre otros.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
47/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.3. CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Material propenso a incendios
Correctivo
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones, Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
Acceso no autorizado a las diferentes áreas
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones
Robo del servidor o manipulación del mismo
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones, instalación cámara de seguridad.
Instalaciones propensas a inundación o derrumbe
Preventivo
Elaborar plan de acción ante aumento del caudal del rio cauca, monitorear constantemente la ladera del rio que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Desorientación ante daños de infraestructura en suceso ambiental
Correctivo
Elaborar plan de contingencia a fin de estar preparado para mitigar los riesgos y daño de la infraestructura ante algún suceso ambiental.
falta de controles en la seguridad de la empresa
Correctivo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
carencia plan de acción para el mantenimiento de la infraestructura física
Correctivo
Implementar políticas y elaborar plan mantenimiento de la infraestructura física.
Correctivo
Capacitar y Concientizar al personal de la empresa sobre la importancia de la seguridad. Si no existe la persona indicada en la empresa para dar la asesoría, se podría contratar con una entidad externa.
Riesgos o hallazgos encontrados
la
Carencia promoción e incentivos para la seguridad en la institución
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
48/60.
de
acción
para
el
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8. DS13 ADMINISTRACIÓN DE OPERACIONES En este proceso se analizarán los riesgos relacionados con la administración de operaciones, que se cumplan con las actividades de soporte y que se lleven de manera ordenada y documentada, que exista un cronograma de actividades, que existan procedimientos documentados y evaluar si el personal es idóneo para las funciones de soporte de TI 8.1. ANALISIS Y EVALUACION DE RIESGOS Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos del proceso en cuestión 8.1.1. ANALISIS Y EVALUACIÓN DE RIESGO N°
Descripción
Impacto
Probabilidad
R1
Demora en solucionar fallas de equipos por falta de identificación de cableado.
2
5
R2
Fallas en el suministro de energía.
4
4
R3
Daño de equipos por ausencia de ventilación.
3
3
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
5
4
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
3
3
R6
Desactualización de Software.
2
2
R7
Fallas de equipos por falta de mantenimientos preventivos.
4
5
R8
No se lleva control de los mantenimientos realizados.
3
3
R9
No se controla el mantenimiento preventivo a los equipos de respaldo.
4
4
No existe la documentación completa de todos los equipos R10 existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos.
3
2
R11
No existen planes de contingencia al momento de falla de un equipo.
4
5
R12
No se tiene control de los mantenimientos correctivos de los equipos.
4
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
49/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8.1.2. RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Moderado Menor (2) Mayor (4) (1) (3)
Catastrófico (5)
Raro (1) Improbable (2)
R6
Posible (3)
R10 R3, R3, R8 R12
Probable (4) Casi Seguro (5)
R2, R9 R1
R4
R7, R11
8.1.3. TRATAMIENTO DE RIESGOS
N° R1
Descripción Demora en solucionar fallas de equipos por falta de identificación de cableado.
Tratamiento Riesgo Controlarlo
R2 Fallas en el suministro de energía.
Controlarlo
R3 Daño de equipos por ausencia de ventilación.
Transferirlo
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
Transferirlo
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
Controlarlo
R6 Desactualización de Software. R7
Fallas de equipos por falta de mantenimientos preventivos.
Aceptarlo Controlarlo
R8 No se lleva control de los mantenimientos realizados.
Controlarlo
No se controla el mantenimiento preventivo a los equipos de respaldo.
Controlarlo
R9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
50/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás R10 documentos que puedan dar información sobre los equipos.
Tratamiento Riesgo Controlarlo
R11
No existen planes de contingencia al momento de falla de un equipo.
Controlarlo
R12
No se tiene control de los mantenimientos correctivos de los equipos.
Controlarlo
8.2. REPORTE DE HALLAZGOS DE LA AUDITORIA Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
51/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-24
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Al momento en que presente fallas el fluido eléctrico comercial, los equipos se apagaran abruptamente, lo que puede ocasionar daños en sus partes internas como fuente de poder o componentes electrónicos de la tarjeta madre. RIESGO: Daño de elementos importantes en los equipos por ausencia de energía asistida. RECOMENDACIONES: Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
52/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-25
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Posibles daños severos por revisión y/o cambio de cableado o elementos que se encuentren funcionando mal. RIESGO: Fallas de equipos por falta de mantenimientos preventivos. RECOMENDACIONES: Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
53/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-26
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Pérdida de tiempo del personal. Perdida de elementos de Hardware y/o información.
RIESGO: No existen planes de contingencia al momento de falla de un equipo. RECOMENDACIONES:
Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
54/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-27
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Recalentamiento de las partes internas de los equipos, ocasionando daño de los mismos. Incomodidad al personal por las altas temperaturas.
RIESGO: Daño de equipos por ausencia de ventilación. RECOMENDACIONES:
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
55/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-28
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE 1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Consumo extra de corriente de la UPS. Posible daño de equipos por una mala conexión o alimentación de un equipo no permitido, como por ejemplo taladros o pulidoras.
RIESGO: Posible de daño de equipos por mala señalización de las fuentes de energía. RECOMENDACIONES:
Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
56/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
8.3. CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El respectivo cable de los equipos de cómputo no se encuentra debidamente marcado.
Preventivo
Se debe de marcar el cableado de los equipos, tanto de señal como de corriente.
No es confiable el sistema de respaldo cuando hay fallas del suministro de energía.
Correctivo
Se debe tener buenos equipos de soporte de energía como lo son UPS y Planta eléctrica.
Hay sitios donde se encuentran los equipos de cómputo que no tienen la temperatura adecuada para los mismos.
Preventivo
Se debe de controlar la temperatura de los equipos por medio de aires acondicionados.
Hay equipos que no se encuentran alimentados por la corriente asistida que proviene de la UPS.
Preventivo
Se debe realizar una revisión de cómo se encuentran conectados los equipos y al encontrar estos por fuera de la asistida, realizar las respectivas correcciones.
Se observan equipos diferentes a los de cómputo conectados a la corriente asistida, como por ejemplo ventiladores.
Preventivo
Crear políticas y controles que no permiten el mal uso de las tomas asistidas.
Se observa que el antivirus se encuentra desactualizado, al igual que el office.
Correctivo
Actualizar antivirus y demás programas que se encuentren obsoletos.
Hay equipos que no se les hace mantenimientos preventivos.
Preventivo
Implementar políticas de controles preventivos a todos los equipos de la organización.
No existe una bitácora o control de los mantenimientos que se les realiza a los equipos.
Preventivo
Elaborar y llevar control sobre los mantenimientos realizados a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
57/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
A los equipos de soporte no se les realiza mantenimiento preventivo hace más de un año.
Correctivo
Realizar mantenimiento a los equipos de acuerdo a la necesidad de los mismos, teniendo en cuenta la operatividad.
No se observan manuales de los equipos.
Preventivo
Al momento de adquirir equipos nuevos solicitar la documentación necesaria para cada uno de ellos.
No se tiene claro que se debe de realizar al momento de una falla en un equipo.
Correctivo
Establecer una ruta para el caso de que se debe de hacer en el momento de falla de un equipo, como para reponer al usuario afectado, como para la reparación del equipo.
No se tiene un registro o control de los mantenimientos correctivos de los equipos.
Correctivo
Crear formatos y/o registros que permitan llevar el control de los mantenimientos correctivos a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
58/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
9. CONCLUSIONES Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron unos hallazgos que se presentaron a la gerencia de Cajascol y se propusieron algunos controles para mitigar o controlar los riesgos existentes. Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
59/60.
Fase 4 – Ejecución Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10. REFERENCIAS BIBLIOGRAFICAS INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
de
CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoriacobit.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN. Recuperado el 25 de Octubre de 2018, de http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS. Recuperado el 23 de octubre de 2018, de http:// http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
60/60.
Related Documents
Fase 1_fabianmontoya.doc
December 2019 27
Fase Genital.pdf
May 2020 16
Fase Viii
April 2020 14
Fase 2
November 2019 50
Fase Ii
November 2019 29
Fase I.docx
May 2020 20More Documents from "Maikol Castellano"
Fase 4_90168_41.docx
May 2020 0
Ejercicio_10.2.2.8_jhonny_caicedo.docx
May 2020 0
Grupo_301405_31.docx
May 2020 0
Trabajo_colaborativo_final_301307_29.docx
May 2020 0