Fase 5_90168_41.docx

  • Uploaded by: JhonnyCaicedo
  • 0
  • 0
  • May 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Fase 5_90168_41.docx as PDF for free.

More details

  • Words: 35,361
  • Pages: 151
AUDITORIA DE SISTEMAS FASE 5 RESULTADOS DE LA AUDITORIA

PRESENTADO POR: KATHERINE ZAPATA MOSQUERA COD: 1113523654 JOHN JAIRO MARTINEZ TORRES COD: 94504963 WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557 JHONNY CAICEDO VELARDE COD: 94329937 JAIRO ANGULO COD: 94229202 GRUPO: 90168_41 CEAD: PALMIRA

TUTOR: FRANCISCO NICOLAS SOLARTE SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA PROGRAMA DE INGENIERIA DE SISTEMAS 10 DE DICIEMBRE DE 2018

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 CONTENIDO

INTRODUCCIÓN ......................................................................................................................... 6 OBJETIVO GENERAL ................................................................................................................ 7 OBJETIVOS ESPECÍFICOS...................................................................................................... 7 1. DESCRIPCION EMPRESA A AUDITAR .......................................................................... 8 2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL ............ 13 3. PLAN DE AUDITORIA CAJASCOL................................................................................ 20 3.1.

OBJETIVOS DE LA AUDITORIA................................................................................. 20

3.1.1.

OBJETIVO GENERAL DE LA AUDITORIA ........................................................... 20

3.1.2.

OBJETIVOS ESPECIFICOS ..................................................................................... 20

3.2.

ALCANCE DE LA AUDITORIA .................................................................................... 21

3.3.

METODOLOGIA A APLICAR ....................................................................................... 22

3.4.

RECURSOS NECESARIOS ......................................................................................... 22

3.5.

CRONOGRAMA DE ACTIVIDADES ........................................................................... 24

4. ESTANDAR A APLICAR EN LA AUDITORIA ............................................................... 25 5. PROCESOS PARA EVALUAR ........................................................................................ 25 5.1.

PLANEACION Y ORGANIZACIÓN (PO) ................................................................... 25

5.1.1.

PO4 Definir los Procesos, Organización y Relaciones de TI ........................ 25

5.1.1.1.

PO4.5 Estructura Organizacional ...................................................................... 25

5.1.1.2.

PO4.6 Establecimiento de Roles y responsabilidades ................................ 26

5.1.1.3.

PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento ........... 26

5.1.1.4.

PO4.9 Propiedad de datos y de sistemas ....................................................... 26

5.1.1.5.

PO4.10 Supervisión ............................................................................................... 26

5.1.1.6.

PO4.11 Segregación de funciones .................................................................... 26

5.1.1.7.

PO4.13 Personal Clave de TI .............................................................................. 27

5.2.

ADQUIRIR E IMPLEMENTAR (AI) .............................................................................. 27

5.2.1.

AI3 Adquirir y Mantener Infraestructura Tecnológica ..................................... 27

5.2.1.1.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica ........................ 27

5.2.1.2.

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura .......... 27

5.2.1.3.

AI3.3 Mantenimiento de la Infraestructura ...................................................... 28

5.2.1.4.

AI3.4 Ambiente de Prueba de Factibilidad ...................................................... 28

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

1/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

5.3.

Entregar y Dar Soporte (DS) ...................................................................................... 28

5.3.1.

DS5 Garantizar la Seguridad de los Sistemas ................................................... 28

5.3.1.1.

DS5.3 Administración de Identidad .................................................................. 28

5.3.1.2.

DS5.4 Administración de Cuentas del Usuario. ............................................ 29

5.3.1.3.

DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad. ................................ 29

5.3.1.4.

DS5.10 Seguridad de la Red ............................................................................... 29

5.3.2.

DS12 Administrar el Ambiente Físico .................................................................. 29

5.3.2.1.

DS12.1 Selección y Diseño del Centro de Datos .......................................... 30

5.3.2.2.

DS12.2 Medidas de Seguridad Física. .............................................................. 30

5.3.2.3.

DS12.3 Acceso Físico. .......................................................................................... 30

5.3.2.4.

DS12.4 Protección Contra Factores Ambientales......................................... 30

5.3.2.5.

DS12.5 Administración de Instalaciones......................................................... 30

5.3.3.

DS13 Administración de Operaciones ................................................................. 30

5.3.3.1.

DS13.1 Procedimientos e instrucciones de operación. .............................. 31

5.3.3.2.

DS13.2 Programación de Tareas ....................................................................... 31

5.3.3.3.

DS13.5 Mantenimiento Preventivo del Hardware.......................................... 31

6. ASIGNACION PROCESOS POR AUDITOR ................................................................. 31 7. INSTRUMENTOS DE RECOLECCION .......................................................................... 32 7.1.

FUENTES DE CONOCIMIENTO.................................................................................. 32

7.2.

FORMATO DE LISTAS DE CHEQUEO ...................................................................... 34

7.3.

FORMATO DE ENTREVISTA ....................................................................................... 34

7.4.

FORMATO DE CUESTIONARIO ................................................................................. 35

8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA......................... 36 9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO ..................................... 36 10.

EJECUCION Y RESULTADOS AUDITORIA ............................................................. 38

10.1.

PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 39

10.1.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 39

10.1.1.1.

FUENTES DE CONOCIMIENTO....................................................................... 39

10.1.1.2.

FORMATO DE LISTAS DE CHEQUEO ........................................................... 40

10.1.1.3.

FORMATO DE ENTREVISTA ............................................................................ 41

10.1.1.4.

FORMATO DE CUESTIONARIO ...................................................................... 44

10.1.1.4.1.

PORCENTAJE DE RIESGO .......................................................................... 45

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

2/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.2.

ANALISIS Y VALORACION DE RIESGOS ........................................................ 45

10.1.2.1.

RIESGOS INICIALES ......................................................................................... 45

10.1.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 46

10.1.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 46

10.1.2.4.

RESULTADO MATRIZ DE RIESGOS .............................................................. 47

10.1.3.

TRATAMIENTO DE RIESGOS .............................................................................. 48

10.1.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 49

10.1.5.

CONTROLES O SOLUCIONES PROPUESTAS ............................................... 57

10.1.6.

MODELO DE MADUREZ PO4 .............................................................................. 59

10.1.7.

DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 61

10.1.7.1.

Hallazgos que soportan el Dictamen ............................................................ 61

10.1.7.2.

Recomendaciones: ............................................................................................ 62

10.2.

AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA .......... 63

10.2.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 63

10.2.1.1.

FUENTES DE CONOCIMIENTO....................................................................... 63

10.2.1.2.

FORMATO DE LISTAS DE CHEQUEO ........................................................... 65

10.2.1.3.

FORMATO DE ENTREVISTA ............................................................................ 66

10.2.1.4.

FORMATO DE CUESTIONARIO ...................................................................... 68

10.2.1.4.1. 10.2.2.

PORCENTAJE DE RIESGO .......................................................................... 69

ANALISIS Y VALORACION DE RIESGOS ........................................................ 69

10.2.2.1.

RIESGOS INICIALES ......................................................................................... 69

10.2.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 70

10.2.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 70

10.2.2.4.

RESULTADO MATRIZ DE RIESGOS .............................................................. 71

10.2.3.

TRATAMIENTO DE RIESGOS .............................................................................. 71

10.2.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 73

10.2.5.

CONTROLES O SOLUCIONES PROPUESTAS ............................................... 78

10.2.6.

MODELO DE MADUREZ PO4 .............................................................................. 80

10.2.7.

DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 82

10.2.7.1.

Hallazgos que soportan el Dictamen ............................................................ 82

10.2.7.2.

Recomendaciones: ............................................................................................ 82

10.3.

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS................................ 83

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

3/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 83

10.3.1.1.

FUENTES DE CONOCIMIENTO....................................................................... 83

10.3.1.2.

FORMATO DE LISTAS DE CHEQUEO ........................................................... 85

10.3.1.3.

FORMATO DE ENTREVISTA ............................................................................ 86

10.3.1.4.

FORMATO DE CUESTIONARIO ...................................................................... 88

10.3.1.4.1. 10.3.2.

PORCENTAJE DE RIESGO .......................................................................... 89

ANALISIS Y VALORACION DE RIESGOS ........................................................ 89

10.3.2.1.

RIESGOS INICIALES ......................................................................................... 89

10.3.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 90

10.3.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 90

10.3.2.4.

RESULTADO MATRIZ DE RIESGOS .............................................................. 91

10.3.3.

TRATAMIENTO DE RIESGOS .............................................................................. 91

10.3.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 92

10.3.5.

CONTROLES O SOLUCIONES PROPUESTAS ............................................... 98

10.3.6.

MODELO DE MADUREZ PO4 ............................................................................ 100

10.3.7.

DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 102

10.3.7.1.

Hallazgos que soportan el Dictamen .......................................................... 103

10.3.7.2.

Recomendaciones: .......................................................................................... 103

10.4.

DS12 ADMINISTRAR EL AMBIENTE FÍSICO .................................................... 104

10.4.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 104

10.4.1.1.

FUENTES DE CONOCIMIENTO..................................................................... 104

10.4.1.2.

FORMATO DE LISTAS DE CHEQUEO ......................................................... 105

10.4.1.3.

FORMATO DE ENTREVISTA .......................................................................... 106

10.4.1.4.

FORMATO DE CUESTIONARIO .................................................................... 108

10.4.1.4.1. 10.4.2.

PORCENTAJE DE RIESGO ........................................................................ 109

ANALISIS Y VALORACION DE RIESGOS ...................................................... 109

10.4.2.1.

RIESGOS INICIALES ........................................................................................110

10.4.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ...........................110

10.4.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO.......................................................110

10.4.2.4.

RESULTADO MATRIZ DE RIESGOS ............................................................. 111

10.4.3.

TRATAMIENTO DE RIESGOS .............................................................................112

10.4.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA ...........................................112

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

4/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.5.

CONTROLES O SOLUCIONES PROPUESTAS ..............................................118

10.4.6.

MODELO DE MADUREZ PO4 .............................................................................119

10.4.7.

DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 121

10.4.7.1.

Hallazgos que soportan el Dictamen .......................................................... 122

10.4.7.2.

Recomendaciones: .......................................................................................... 122

10.5.

DS13 ADMINISTRACIÓN DE OPERACIONES .................................................. 123

10.5.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 123

10.5.1.1.

FUENTES DE CONOCIMIENTO..................................................................... 123

10.5.1.2.

FORMATO DE LISTAS DE CHEQUEO ......................................................... 124

10.5.1.3.

FORMATO DE ENTREVISTA .......................................................................... 125

10.5.1.4.

FORMATO DE CUESTIONARIO .................................................................... 127

10.5.1.4.1. 10.5.2.

PORCENTAJE DE RIESGO ........................................................................ 128

ANALISIS Y VALORACION DE RIESGOS ...................................................... 129

10.5.2.1.

RIESGOS INICIALES ....................................................................................... 129

10.5.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS .......................... 129

10.5.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO...................................................... 129

10.5.2.4.

RESULTADO MATRIZ DE RIESGOS ............................................................ 130

10.5.3.

TRATAMIENTO DE RIESGOS ............................................................................ 131

10.5.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA .......................................... 131

10.5.5.

CONTROLES O SOLUCIONES PROPUESTAS ............................................. 137

10.5.6.

MODELO DE MADUREZ PO4 ............................................................................ 139

10.5.7.

DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 141

10.5.7.1.

Hallazgos que soportan el Dictamen .......................................................... 142

10.5.7.2.

Recomendaciones: .......................................................................................... 142

11.

CONCLUSIONES ......................................................................................................... 149

12.

REFERENCIAS BIBLIOGRAFICAS ......................................................................... 150

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

5/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

INTRODUCCIÓN En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos claves que ayudaran a sacar una auditoria adelante, tales conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener controladas las amenazas. Una ejecución de auditoria a los sistemas informáticos de una empresa es imprescindible para lograr la utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones; con los planes programados de auditoria se le permite a la compañía evaluar todo, desde la informática, la organización de los centros de información, hasta el hardware y software, brindando así sistemas confiables y con buenos niveles de seguridad. En el presente trabajo se pretende hacer una ejecución de auditoria a la empresa Cajascol, iniciando desde plan de auditoria, posteriormente la ejecución de esta y por último los resultados e informe final de la auditoria para la empresa Cajascol centrándose en aspectos como: evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema, para ello se evaluaran proceso críticos del sistema y sus objetivos de control, los procesos que se evaluaran serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de Operaciones. En la parte final del documento se presentan las referencias bibliográficas exploratorias del tema, que puede servir de insumo académico para los interesados en la temática. Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de agrado para los lectores que tengan la oportunidad de leer este documento

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

6/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

OBJETIVO GENERAL Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol OBJETIVOS ESPECÍFICOS Describir las vulnerabilidades, amenazas y riesgos informáticos de la empresa Propuesta. Realizar plan de auditoria incluyendo, objetivos, alcance, metodología, recursos y cronograma de actividades de la auditoria. Seleccionar ítems que serán evaluados y sus objetivos de control, verificando que estén relacionados con el objetivo de la auditoria. Realizar instrumentos para el desarrollo de la auditoria y recolección de información como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas. Ejecutar ejercicio de auditoria apoyándose en los instrumentos de recolección de información diseñados Determinar tratamiento de riesgos para cada proceso, de acuerdo con la matriz de riesgos generada en el ejercicio de auditoria. Elaborar un formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos encontrados en el proceso teniendo como base los resultados de la matriz de riesgos. Para cada proceso elaborar un cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperación). Presentar niveles de madurez, la interpretación de la escala de valoración y dictamen de la auditoria para cada proceso, teniendo en cuenta los hallazgos encontrados y el nivel de riesgo. Elaborar el informe final de auditoría donde se muestre los hallazgos y recomendaciones

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

7/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

1. DESCRIPCION EMPRESA A AUDITAR CAJAS COLOMBIANAS S.A.S. Es una empresa de artes gráficas fundada en Cali en 1971, se encuentra ubicada en la recta Cali – Palmira, departamento del Valle del Cauca, Colombia. Inició sus actividades con la producción y comercialización de materiales de empaque como particiones divisiones y cajas plegadizas en bajo volumen, posteriormente en los años 80, incrementa su capacidad de producción modernizando su tecnología y desde aquella época ha seguido su crecimiento ascendente, en los años 90 desarrolló la producción de empaques micro corrugados. Hoy en día cuenta con instalaciones propias, equipos con tecnología avanzada corrugación en flautas E y B, conversión de materiales, tecnología alemana en equipos de impresión, laminación y troquelado, además de contar con personal experimentado. Sus productos están dirigidos principalmente a empresas productoras de Artículos para el Hogar, Calzado, Licores, Electrodomésticos, Alimentos, Jugueterías, Cristalería, Artículos industriales, etc. Está comprometida con la protección y preservación del medio ambiente, contribuyendo activamente dado que sus productos son reciclables y sus procesos tienen en cuenta las buenas prácticas ambientales en el marco de la producción más limpia. Cajascol se dedica a la fabricacion y comercializacion de empaques en microcorrugado y plegadiza, tambien fabrica y comercializa tazones y vasos de carton, a continuacion se presentan sus lineas de producto: LINEA DE PRODUCCION

DETALLE LINEA Línea MICROPACK. Fabricamos empaques en micro corrugado en flautas E y B. Línea RECYPACK. Elaboramos empaques en cartón plegadizo Línea RECYCUPS. Fabricamos envases en cartón impermeable para bebidas frías y calientes.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

8/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

9/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Localización Cajascol se encuentra ubicada en las afueras de Cali, en la vía Palmira, su dirección es Tv. 1 #0 Sur-1 a 0 Sur-181 Palmira, Valle del Cauca

DESCRIPCION AREA INFORMATICA: Para Cajascol es vital que fluya la información para toma de decisiones, para eso cuenta con 30 equipos en las diferentes áreas conectados a una red a través de un servidor HP ubicado en el UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

10/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 área de sistemas,

SISTEMAS DE INFORMACION: En su parte contable Cajascol cuenta con el paquete de Siigo

Para sus procesos productivos se desarrolló una aplicación a la medida de Cajascol, llamada Cajisote .

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

11/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

RECURSOS INFORMATICOS: Cajascol cuenta con un servidor HP Proliant microserver y 30 equipos todos con Windows, distribuidos así, 2 Equipos con Windows 10, 26 equipo con Windows 8.1 y 2 equipos con Windows 7. Para apoyar al área de ventas y visibilidad de marca Cajascol cuenta con un dominio y hosting, proporcionado por doñee e industrial media, su dominio es www.cajascol.com Los equipos tienen el paquete de office en su versión 2013 y en cuanto a cuentas de correo cuentan con el servicio de Outlook 365 comprado y administrado a través de IFX Todos los equipos están conectados a una red de energía regulada por una potente UPS, que permite una autonomía de 30 minutos en caso de corte del fluido eléctrico, el servidor está conectado a su propia UPS y para contar con respaldo de información tiene un arreglo de discos RAID para tener un espejo de la información. Para control de amenazas todos los equipos cuentan con el antivirus Kasperky y se ha modificado su host para control de acceso a ciertas páginas web. Toda la red de la empresa es por cable trenzado UTP cat 6, aunque en dos puntos se cuenta con routers inalámbricos y a su vez dos zonas wifi en auditorio y oficinas. Se cuenta con una impresora central de marca Ricoh mp201, aunque en zonas alejadas se tienen 3 impresoras hp 1101 FUNCIONES PERSONAL AREA INFORMATICA: Cajascol cuenta con una ingeniera de sistemas que tiene como funciones:      

Que todos los equipos mantengan conectividad y permanezcan en el dominio. Interacción con el proveedor de internet para evitar o subsanar perdidas de conexión. Hacer respaldos periódicos de información tanto a Cajasoft como al sistema contable. Hacer mantenimiento físico a la red, así como conectar nuevos puntos. Mantenimiento preventivo de equipos. Control y seguimiento al consumo de ancho de banda, para evitar colapsos en la red.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

12/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL A continuación, se presenta cuadro de vulnerabilidades, amenazas y riesgos que afectan a Cajascol y los activos informáticos involucrados. VULNERABILIDADES

AMENAZAS

RIESGOS

ACTIVOS

Ausencia de política de desarrollo de software

Al momento de instalar nuevos programas no se tiene una política de instalación, ni uso.

Incompatibilidad en programas y/o sistemas operativos.

Desarrollo de software

Equipos obsoletos que no cumplen las características mínimas para ejecutar programas actuales.

Falta de software para la realización de alunas tareas

Incompatibilidad con software actual

Hardware y software

Consumo de bebidas en el lugar de trabajo

Por descuido derramen liquido en los equipos de computo

Daños en los dispositivos tecnológicos.

Hardware

Hay equipos de cómputo expuestos a altas temperaturas

Recalentamiento en piezas sensibles de los equipos como bordo, tarjetas gráficas y discos duros

Daño en las board y discos duros, por ende, perdida de información

Hardware

La ubicación de la empresa se encuentra muy cerca del rio Cauca

Amenaza de inundación por creciente del rio en temporada de lluvias

Daño de equipos de computo

Hardware

Muchos equipos de cómputo no están conectados a la red regulada de energía No hay programa de mantenimiento físico para equipos de cómputos, el ultimo mantenimiento registrado fue hace 2 años

Se pueden presentar cambios repentinos de voltaje por conexión de otros equipos o herramientas

Daño de fuentes de poder, perdidas de información por daños en discos duros

Hardware

Mal funcionamiento por exceso de polvo que aísla contactos

Daño de equipos de cómputos y perdida de información

Hardware

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

13/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

No se encuentra registro de mantenimiento de equipos ni al área de sistemas

Doble costo por servicios ya prestados

Se cuenta con bodega abierta de materiales reciclables

Material propenso a incendios

Solo se hacen mantenimientos correctivos con una persona externa

Operarios inactivos al esperar que el proveedor externo agende cita

Fallas en el suministro de energía.

Caídas de voltaje.

Pocos controles para el acceso al edificio

Acceso no autorizado a las diferentes áreas

El espacio de los cubículos de los pc es muy reducido.

Personas poco cuidadosas

Caída de elementos de hardware como mouse y teclado

El router e encuentra instalado en un lugar que es accesible a personal no autorizado.

Cualquier persona podría desconectar o dañar el Router.

Reuter mal ubicado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

RIESGOS Perdida de capital Daño de equipos de cómputo e infraestructura física Mayor inversión en compra de partes o equipos dañados No se cuenta con un respaldo de energía (Ups), al momento de que esta varíe o se ausente, lo que puede ocasionar daños en hardware de la empresa. Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. Así como hurto de información

14/150.

ACTIVOS Hardware Hardware Hardware

Hardware.

Humano/Seguridad Física

Infraestructura física. Redes.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

Router sin identificadores

Las conexiones de red no están plenamente identificadas.

Falta de conciencia de seguridad

Los colaboradores acceden a múltiples sitios web

Falta de una política de contraseñas seguras

Acceso de usuarios externos no autorizados

Solo funcionan correctamente 5 de 16 cámaras instalas en la empresa

Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Exposición de los equipos ante un posible malware oculto

Uso de software ilegal

El respaldo de información del servidor es un disco espejo en el mismo servidor Ataques Informáticos

Robo del servidor o daño de este por siniestro Inclusión de virus, malware, gusanos, troyanos y otros atacantes.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

RIESGOS

ACTIVOS

Se puede desconectar o trabajar en otro equipo que no es el que presente el problema. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) Perdida de integralidad, Alteración de la información Perdida de capital y activos de la empresa

Redes.

Ataques maliciosos, virus mal intencionados. Así como multas por uso indebido Perdida de todos los registros de la empresa

Seguridad Lógica

Daño en software hardware, perdida de información.

Seguridad lógica.

15/150.

Seguridad Lógica

Seguridad Lógica Seguridad Lógica

Seguridad Lógica

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

Ausencia de sistemas de Backup.

Pérdida de Información.

Falta ancho de Banda

Equipos lentos al ejecutar tareas que necesiten internet.

Ausencia de planes para recuperación de información

Daño o perdida

El acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario Hay una carpeta publica en el servidor donde cualquier usuario tiene acceso

Robo del servidor o manipulación de este

Muchos usuarios están creados en el directorio activo como administradores

Dados sus privilegios podrían instalar ejecutables o usar contraseñas de activación no válidas para software

Amenaza de origen humano sea por impericia o mala intención

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

RIESGOS

ACTIVOS

No se cuenta con sistemas que sirvan como copias de seguridad para restaurar información en el caso de daños graves en los equipos. Falta de capacidad de banda ancha para las videoconferencias y juegos en línea. No se realizan copias de seguridad de manera periódica de la información sensible. Perdida de información, modificación o eliminación de cuentas de usuario

Seguridad Lógica.

Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado

Seguridad Lógica/ Bases de Datos

16/150.

Seguridad Lógica.

Seguridad lógica

Seguridad Lógica/ Bases de Datos

Seguridad Lógica/ Bases de Datos

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

El cuarto donde está el servidor se encuentra lleno de archivo de contabilidad y archivo muerto

No hay circulación adecuada de aire, además se presenta la amenaza de incendio.

No hay suficiente capacitación a usuarios de aplicativos

Se puede presentar una amenaza de tipo humano por impericia.

Sistemas o aplicaciones desactualizadas

interrupción en un recurso de la red o del sistema

Falta de conocimiento de los usuarios en el tema de seguridad informática y de la información

Acceso a sitios web no autorizados

Antivirus desactualizado o carencia de este

Fácil entrada de virus espías o destructivos al sistema

carencia de controles en las máquinas virtuales (remoto)

Perdida de información

Uso de protocolos de redes inseguros (WEP),

La red está expuesta a ataques informáticos

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

RIESGOS

ACTIVOS

Daño del servidor por recalentamiento o incendio y por ende perdida de información. Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Acceso a información confidencial.

Seguridad Lógica/ Bases de Datos /Hardware

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Sustracción de información valiosa que pueda comprometer a la empresa Eliminar información importante y perdida de la confidencialidad Acceso a la red de la organización

Sistema de información

17/150.

Seguridad Lógica/ Bases de Datos /Hardware Sistema de información

Sistema de información Sistema de información/bases de datos Sistema de información/bases de datos, Software

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

Caída constante de la red

Información incompleta, Información desfasada

Falta de registro en el ingreso y egreso de dispositivos o periféricos

Hurto de información

Ausencia de equipos de continencia

perdida o retraso en la información

No hay control en el uso de dispositivos extraíbles como memorias USB o discos duros portátiles No hay restricción de permisos para los usuarios del sistema informático

que se ejecuten de manera automática programas dañinos desde la USB

No hay trazabilidad de registros en el sistema informático

Amenaza de origen humano sea por impericia o mala intención

Solo hay una persona que presta soporte al sistema informático

Que esta persona deje de prestar soporte

Amenaza de origen humano sea por impericia o mala intención

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

RIESGOS Realizar acciones incoherentes, así como información no integra Perdida de confidencialidad e integralidad de la información Retraso en las actividades a desarrollar Sustracción de la información, perdida de confidencialidad y contagio de virus Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Perder trazabilidad e historia en los registros de la empresa

18/150.

ACTIVOS Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

VULNERABILIDADES

AMENAZAS

RIESGOS

ACTIVOS

Registro y seguimiento insuficientes en los servicios Implementados en la nube con poca seguridad (Google drive) Calidad y oportunidad de servicio en proveedores

Facilidad de acceso a la nube (drive)

Descarga apertura o instalación de programas o documentos infectados.

Sistema de información/Software/h ardware

Clientes insatisfechos que buscan otros locales.

Talento humano y hardware

No hay una persona de planta que preste soporte al área de sistemas

Operarios inactivos al esperar que el proveedor externo agende cita

Carencia de sistemas de seguridad de última tecnología

Criminalidad

Edificación antigua que no cumple con los estándares seguridad

Incendio, Inundación, Sismo

Equipo sin funcionamiento por un determinado tiempo. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna Atentado contra la integridad física de las personas e instalaciones destrucción de las edificaciones y sus activos

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

19/150.

Talento humano y hardware

Humano/hardware Humano/hardware

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

3. PLAN DE AUDITORIA CAJASCOL Después de haber hecho el reconocimiento de la empresa y haber establecido sus vulnerabilidades, amenazas y riesgos se identifican puntos críticos como la seguridad de la información, la infraestructura física y aspectos concernientes con el mantenimiento.

3.1.

OBJETIVOS DE LA AUDITORIA

De acuerdo con lo anterior se definen los objetivos de la auditoria. 3.1.1. OBJETIVO GENERAL DE LA AUDITORIA Realizar una auditoria en sistemas que permita evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol. 3.1.2. OBJETIVOS ESPECIFICOS Objetivo 1: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Objetivo 2: Construir el plan de auditorías, para ello se elaborará y hará uso de los diferentes elementos de recolección de información, se establecerán las pruebas y los procesos a los cuales se les aplicara. Objetivo 3: Ejecutar el plan de pruebas y emplear las herramientas de recolección de datos, que lleven a determinar los riesgos que se presentan en la seguridad lógica, bases de datos, y en el soporte de la infraestructura tecnológica de la organización. Consolidándolos en una matriz de riesgos que facilitara medir su nivel y estimar el impacto que causa en las actividades de la organización. Objetivo 4: Teniendo en cuenta los hallazgos del ejercicio de auditoria, presentar el informe de resultados de la auditoria, con los resultados y recomendaciones que sirvan para disminuir la presencia de los riegos en las diferentes áreas involucradas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

20/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

3.2.

ALCANCE DE LA AUDITORIA

A continuación, se presentan los aspectos más relevantes que se evaluaran en la auditoria de sistemas que se realizara a la empresa Cajascol de la ciudad de Cali, los cuales se detallan a continuación: Seguridad lógica:    

La confiabilidad de las contraseñas de acceso al sistema de información. Restricción con la que cuentan los usuarios frente al acceso a la web. Que se disponga de un servidor alternativo para uso de Backus de la información. Que el software empleado en la organización se encuentre bajo las condiciones legales establecidas. Así como el uso de antivirus.

Infraestructura tecnológica de soporte: En la infraestructura tecnológica se ven involucrados distintos componentes: Redes de datos:   

Protección del cableado estructurado. Contraseñas de acceso a la red. Seguridad de los protocolos encargados de la comunicación de datos de la red.

Hardware:   

Registro del hardware, dado de baja, proceso de adquisición, (bitácora). Seguridad de los dispositivos tecnológicos. Distribución del hardware en la organización.

Mantenimiento:   

Revisión hojas de vida de activos informáticos. Revisión registro de bitácoras de mantenimiento. Plan de mantenimiento preventivo en equipos informáticos

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

21/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

3.3.

METODOLOGIA A APLICAR

Para cumplir con los objetivos es necesario seguir los siguientes pasos: Metodología para Objetivo 1  Solicitar la documentación del área de informática de Cajascol  Solicitar topología de red  Conocer las políticas de seguridad establecidas para los sistemas de información.  Solicitar inventario de equipos informáticos y hoja de vida de estos  Requerir la bitácora de Mantenimiento de Cajascol. Metodología para Objetivo 2  Elaboración del plan de auditoria  Diseño de formato de encuestas y entrevistas Metodología para Objetivo 3  Visita para la recolección de información.  Realizar entrevista con el líder del área informática y soporte.  Aplicar una encuesta a los usuarios, para identificar las posibles fallas en la infraestructura tecnológica.  Recopilación de información.  Evaluar la infraestructura tecnológica y soporte.  Evaluar la seguridad física.  Evaluar la seguridad lógica  Evaluar la seguridad e integridad de los sistemas de información Metodología para Objetivo 4  Consolidación del informe de auditoria  Análisis preliminar de la información recolectada  Presentación y entrega del informe de auditoría

3.4.

RECURSOS NECESARIOS

A continuación, se enuncian los recursos necesarios para llevar a cabo la auditoria en la empresa Cajascol, se contemplarán recursos como el aspecto humano, físico, tecnológico y recursos económicos. Recursos humanos: Está compuesto por el grupo auditor que llevara a cabo el ejercicio de auditoria y son integrantes de grupo 41 del curso de auditoria en sistemas de la UNAD, los cuales son:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

22/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

    

Katherine Zapata Jonny Caicedo Jhon Jairo Martínez Jairo Angulo Wilder Alejandro Flórez

Por parte de la empresa Cajascol se cuenta con el apoyo del ingeniero Jorge Barco Gómez quien es director operativo de la compañía. Recursos físicos: La auditoría se llevará a cabo en la empresa Cajascol de la ciudad de Cali, propiamente a la infraestructura tecnológica de soporte y de hardware, la seguridad lógica, y seguridad en bases de datos del sistema de información. Recursos tecnológicos: Cámara digital para la toma de evidencias (fotografías y videos), computador portátil para almacenar y procesar la información obtenida, grabadora de voz digital para las entrevistas presenciales, modem para garantizar la conexión a internet e impresora. Recursos económicos: ÍTEM

CANTIDAD

VALOR UNITARIO

SUBTOTAL

Cámara Digital

1

$230.000

$230.000

Computador

2

$1.600.000

$3.200.000

Impresora

1

$265.000

$265.000

$120.000

$120.000

$105.000

$105.000

Viáticos alimentación

$200.000

$200.000

Transporte

$200.000

$200.000

$1.000.000

$3.000.000

Artículos de Papelería Modem + Conexión a internet

Honorarios equipo auditor

1

3

Total $7.320.000

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

23/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

3.5.

CRONOGRAMA DE ACTIVIDADES

A continuación, se presenta cronograma de actividades para dar cumplimiento al ejercicio de auditoria:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

24/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

4. ESTANDAR A APLICAR EN LA AUDITORIA Se utilizará la metodología COBIT, donde se seleccionan los dominios, procesos y algunos objetivos de control que están en relación directa con el objetivo y los alcances que han sido definidos en el plan de auditoría 5. PROCESOS PARA EVALUAR A continuación, se relacionan los dominios y los objetivos de control que se evaluaran durante el proceso de auditoria

5.1.

PLANEACION Y ORGANIZACIÓN (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. 5.1.1. PO4 Definir los Procesos, Organización y Relaciones de TI Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno o más comités de dirección, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión. 5.1.1.1.

PO4.5 Estructura Organizacional

Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Además, implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

25/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

5.1.1.2.

PO4.6 Establecimiento de Roles y responsabilidades

Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y lo des y rendición de cuentas para alcanzar las necesidades del negocio.

5.1.1.3.

PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento

Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles de responsabilidad de los riesgos críticos para administrar los incluyendo la responsabilidad específica de la seguridad de la información, la seguridad riesgos de TI, incluyendo física y el cumplimiento. Establecer responsabilidad sobre la administración del riesgo y la seguridad a nivel de toda la organización para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. Obtener orientación de la alta dirección con respecto al apetito de TI y la aprobación de cualquier riesgo residual de TI. 5.1.1.4.

PO4.9 Propiedad de datos y de sistemas

Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los dueños toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo con esta clasificación. 5.1.1.5.

PO4.10 Supervisión

Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeño. 5.1.1.6.

PO4.11 Segregación de funciones

Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

26/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

5.1.1.7.

PO4.13 Personal Clave de TI

Definir e identificar al personal clave de TI desempeñando una función de trabajo minimizar la dependencia en un solo individuo de trabajo crítica.

5.2.

y

ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas en los procesos del negocio. Se debe tener presente que dentro de este dominio se cubre el cambio y el mantenimiento de los sistemas existentes. 5.2.1. AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. 5.2.1.1.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica

Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. 5.2.1.2.

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

27/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

5.2.1.3.

AI3.3 Mantenimiento de la Infraestructura

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. 5.2.1.4.

AI3.4 Ambiente de Prueba de Factibilidad

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

5.3.

Entregar y Dar Soporte (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. 5.3.1. DS5 Garantizar la Seguridad de los Sistemas Para proteger los activos de TI en la empresa Cajascol se debe minimizar el impacto causado por las vulnerabilidades identificadas en la seguridad lógica, por lo tanto, se requiere de un proceso de administración de seguridad, el cual, define roles y responsabilidades de seguridad al momento de suministrar los datos de acceso al sistema de información (usuarios y contraseñas), este proceso también incluye la realización de monitoreos de seguridad y pruebas periódicas. 5.3.1.1.

DS5.3 Administración de Identidad

Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema de información y los datos están en línea con las necesidades de la empresa Cajascol, las cuales, están definidas y documentadas, al igual que los requerimientos de trabajo están adjuntos a las identidades del usuario. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

28/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso. 5.3.1.2.

DS5.4 Administración de Cuentas del Usuario.

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa Cajascol deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados. 5.3.1.3.

DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad.

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser desacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. 5.3.1.4.

DS5.10 Seguridad de la Red

Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. 5.3.2. DS12 Administrar el Ambiente Físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calores excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

29/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

seguridad física. 5.3.2.1.

DS12.1 Selección y Diseño del Centro de Datos

Con esto se debe tener en cuenta los riesgos asociado con desastres naturales y causados por el hombre. Al igual que considerar las normas y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo. 5.3.2.2.

DS12.2 Medidas de Seguridad Física.

Estas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío recepción. En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. 5.3.2.3.

DS12.3 Acceso Físico.

Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a cualquiera de estos lugares, se deben justificar de algún modo y llevarse un monitoreo. 5.3.2.4.

DS12.4 Protección Contra Factores Ambientales

Diseñar e implementar medidas de protección contra factores ambientales se deben instalarse dispositivos y equipo especializado para monitorear y control 5.3.2.5.

DS12.5 Administración de Instalaciones

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud 5.3.3. DS13 Administración de Operaciones Asegurar que las actividades de soporte de TI se lleven de una manera ordenada, a través de un cronograma de actividades de soporte que se debe registrar y completar en cuanto al logro de las actividades. Se debe establecer y documentar procedimientos para las diferentes actividades de TI, los cuales se revisarán periódicamente garantizando su cumplimiento.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

30/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

DS13.1 Procedimientos e instrucciones de operación.

5.3.3.1.

Se debe realizar una guía (paso a paso) para los mantenimientos preventivos del Hardware, como también los respectivos formatos para el registro de las actividades realizadas, la guía nos debe indicar como se realizarán estos mantenimientos resaltando los puntos más importantes en el mantenimiento y previniendo daños graves que puedan afectar los equipos en su totalidad. Para los equipos de Hardware que sean más complejos y que la empresa no cuente con el personal para dichos mantenimientos, se contrataran proveedores para la realización de este. DS13.2 Programación de Tareas

5.3.3.2.

La gerencia general estudiara los tiempos para realizar las diferentes actividades de mantenimiento a los equipos, estos mantenimientos se podrán programar diario, semanal o mensualmente dependiendo de los equipos teniendo en cuenta diferentes factores como pueden ser horas de trabajo y/o ambientes. Realizado este estudio se generará un cronograma de mantenimiento para posteriormente ser ejecutado. DS13.5 Mantenimiento Preventivo del Hardware.

5.3.3.3.

Se ejecutará el mantenimiento a los equipos de acuerdo las guías y fechas establecidas y se reportará en formatos, hoja de vida de equipos y bitácora de errores, los hallazgos encontrados que ayuden a mejorar el estado de los equipos y evitar posibles daños. 6. ASIGNACION PROCESOS POR AUDITOR

Auditor

Proceso

John Jairo Martinez

PO4 Definir los Procesos, Organización y Relaciones de TI

Wilder Alejandro Flores

AI3 Adquirir y Mantener Infraestructura Tecnológica

Katherine Zapata

DS5 Garantizar la Seguridad de los Sistemas

Jairo Angulo

DS12 Administrar el ambiente físico.

Johnny Caicedo

DS13 Administración de Operaciones

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

31/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

7. INSTRUMENTOS DE RECOLECCION Para el desarrollo de la auditoria y recolección de información se utilizarán instrumentos como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas, en los subpuntos siguientes se presentarán los formatos de cada instrumento 7.1. FUENTES DE CONOCIMIENTO Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál es la información que se necesita para evaluar un determinado proceso dentro de los dominios del COBIT, también se especifica en el cuales son las pruebas de análisis y de ejecución que se deben realizar. Los ítems relacionados a continuación son los que describirán el elemento de auditoría. REF: Se refiere al ID del elemento, se manejará el consecutivo FC-X ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que está llevando a cabo el proceso de auditoría. DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando. MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando. PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios del COBIT. FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las fuentes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

32/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

de donde se extrajo la información para el proceso de auditoría lo que servirá como respaldo del proceso. REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas: DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de ejecución que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO

1

REF

PAGINA DE 1

COBIT

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Pruebas que se hacen por Pruebas mediante uso de análisis de documentos software, pruebas para (contratos, manuales) o levantar inventarios, comparaciones (compara Documento, o persona que pruebas de seguridad en los contenidos de un tiene la información que redes, pruebas de manual respecto a lo que necesita el auditor seguridad en bases de dice la teoría que debe datos, pruebas de contener) comparar (la intrusión, pruebas de empresa auditada con testeo. una empresa certificada) AUDITOR RESPONSABLE: FUENTES DE CONOCIMIENTO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

33/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

7.2. FORMATO DE LISTAS DE CHEQUEO Las listas de chequeo se usan para la verificación de la existencia de controles en el proceso o procesos auditados, en la lista de chequeo se puede usar escalas diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe control y se deja en blanco los controles que no se cumplen. Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los objetivos de control, que serán los controles que deben existir en el proceso y se elabora preguntas sobre la existencia de dicho control, el auditor encargado de evaluar el proceso será quien aplique la lista de verificación de controles o lista de chequeo y de acuerdo con la respuesta se determina los hallazgos sobre la no existencia de controles en el proceso.

Lista de chequeo Fecha: proceso Realizado por:

Consecutivo

Aspectos por validar o chequear

F-CHK 01

SI

NO

Ítem 1 Ítem 2 Ítem 3 Ítem n

7.3. FORMATO DE ENTREVISTA Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de los procesos que se van a evaluar, generalmente las entrevistas recogen la opinión de algunas de las personas que conozcan el proceso y que me puedan responder con claridad las preguntas que se hayan preparado para la entrevista. Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya que no se pueden aplicar a todos los auditados sino solamente al personal que conozca los aspectos que se vayan a evaluar. Para la entrevista se debe determinar primero los temas sobre los cuales va a girar la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con la UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

34/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

intención de descubrir más riesgos de los que ya se han encontrado en las visitas realizadas a la empresa auditada EMPRESA AUDITADA Fecha

PAGINA 1 DE 1

Consecutivo

Objetivo Auditoría Proceso Auditado Responsable Material de Soporte

COBIT

DOMINIO

PROCESO ENTREVISTADO CARGO PREGUNTAS ENTREVISTA

Firma del entrevistador

Firma del Entrevistado

7.4. FORMATO DE CUESTIONARIO Similar a la lista de chequeo, pero se da una valoración o calificación la escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo. Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

35/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

afectado por las acciones de las cuales se está indagando, entre más alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se indagará. CUESTIONARIO DE CONTROL Fecha

PAGINA 1 DE 1

Consecutivo

Dominio Proceso Auditado Pregunta

Si

No

Observaciones

Pregunta 1 Pregunta 2 Pregunta 3 Pregunta n Totales

8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA Una vez definidos los instrumentos se procede a realizar el ejercicio de la auditoria en las instalaciones de Cajascol S.A.S, por parte del equipo auditor se nombra un auditor líder para hacer la aplicación de los instrumentos. Líder Equipo Auditor

Encargados auditoria Cajascol S.A.S

Ing. John Jairo Martinez Torres

Ing. Elizabeth Narváez Lopera Ing. Jorge Barco Gómez

9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos de cada proceso. Se tomarán las siguientes pautas al momento del análisis, se construye las escalas de medición del impacto y la probabilidad de ocurrencia de los riesgos, hay que tener en cuenta que puede haber una valoración cuantitativa y cualitativa y que deben describirse UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

36/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

los valores correspondientes tal y como aparece en las siguientes matrices: Matriz para medición de probabilidad e impacto de riesgos

IMPACTO NIVEL DESCRIPTOR DESCRIPCIÓN Si el hecho llegara a presentarse, tendría 1 Insignificante consecuencias o efectos mínimos sobre la entidad Si el hecho llegara a presentarse, tendría bajo 2 Menor impacto o efecto sobre la entidad Si el hecho llegara a presentarse, tendría medianas 3 Moderado consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría altas 4 Mayor consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría 5 Catastrófico desastrosas consecuencias o efectos sobre la entidad

PROBABILIDAD NIVEL DESCRIPTOR DESCRIPCIÓN El evento puede ocurrir sólo en 1 Raro circunstancias excepcionales El evento puede ocurrir en algún 2 Improbable momento El evento puede ocurrir en algún 3 Posible momento El evento probablemente 4 Probable ocurrirá en la mayoría de las circunstancias Se espera que el evento ocurra 5 Casi Seguro en la mayoría de las circunstancias

FRECUENCIA No se ha presentado en los últimos 5 años Se ha presentado al menos 1 vez en los últimos 5 años Se ha presentado al menos de 1 vez en los últimos 2 años Se ha presentado al menos 1 vez en el último año Se ha presentado más de 1 vez al año

Con las escalas de medición se construye la matriz de riesgos general que se aplica para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

37/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor Moderado Mayor (1) (2) (3) (4)

Catastrófico (5)

Raro (1)

B

B

M

A

A

Improbable (2)

B

B

M

A

E

Posible (3)

B

M

A

E

E

Probable (4)

M

A

A

E

E

Casi Seguro (5)

A

A

E

E

E

PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5

IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5

Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de evaluación de los riesgos encontrados en cada uno de los procesos evaluados, teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de estos y el impacto que pueden causar en la empresa.

10.

EJECUCION Y RESULTADOS AUDITORIA

Se procede a la aplicación de instrumentos para recolección de información y posteriormente se hará al análisis y valoración de los riegos, así como su propuesta de tratamiento, una vez hecho lo anterior se presentan los formatos de hallazgo y cuadro de controles propuestos, por último, se establecen los modelos de madurez y dictamen de la auditoria por cada proceso.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

38/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI De acuerdo con el proceso liderado por el auditor John Jairo Martinez se procede a la ejecución de la auditoria. 10.1.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION

Se presenta a continuación la aplicación de instrumentos de recolección 10.1.1.1.

FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-01

PROCESO AUDITADO

PAGINA 1 DE 1 Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y organizar

ENTIDAD AUDITADA

PROCESO

CAJASCOL S.A.S

P04. Definir los Procesos, Organización y relaciones de TI

FUENTES DE CONOCIMIENTO

Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS

DE EJECUCION

Normas y políticas establecidas por la compañía con el ánimo de mantener una estructura organizacional en el área de TI y que existan medios para preservar la información y evitar eventos que puedan vulnerar los sistemas y causar afectaciones

Pruebas mediante solicitud de documentación relacionada con la estructura organizacional, actas de comité o reuniones del área de sistemas de la empresa, procedimientos de pasos a seguir antes eventos en el área de sistemas, manuales de funciones o definición de roles y responsabilidades del personal de TI

AUDITOR RESPONSABLE: JOHN JAIRO MARTINEZ TORRES UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

39/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.1.2.

FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo Fecha: proceso Realizado por:

26 de octubre de 2018 Consecutivo Estructura organizacional y procesos de TI John Jairo Martinez Torres

F-CHK 01

Aspectos por validar o chequear

SI

Hay una estructura organizacional interna de TI El área de TI es flexible y adaptable a las necesidades de Cajascol

NO X

X

Hay manuales de función del personal de TI

X

El área de TI está relacionada con los requerimientos de los usuarios

X

Se generan estrategias alineadas con los objetivos de Cajascol

X

Existen planes de contingencia ante eventos o fallas

X

El personal de TI tiene roles definidos

X

Existe algún procedimiento ante la ocurrencia de eventos

X

Se monitorean los riesgos relacionados con el área de TI

X

Hay personal responsable de mantener la seguridad de la información

X

Hay personal responsable de mantener la seguridad física

X

La gerencia se involucra en los procesos de TI

X

Se hace monitoreo a los usuarios y al modo de uso de los equipos

X

Se hace supervisión para el buen funcionamiento de los equipos

X

La empresa destina recursos para planes de monitoreo

X

Existen indicadores claves de desempeño

X

Los usuarios de sistemas tienen claro su alcance en el uso de sistemas

X

Hay planes de respaldo para operaciones realizadas por los usuarios

X

Se tienen identificados los procesos críticos

X

Existen manuales de aplicativos creados

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

X

40/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.1.3.

FORMATO DE ENTREVISTA

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 3 Fecha 26 de octubre de 2018 Consecutivo FE-01 Conocer aspectos claves de la estructura organizacional y funcional de TI de la empresa tales como: establecimiento de Objetivo Auditoría roles y responsabilidades, responsabilidades sobre el riesgo, la seguridad y el cumplimiento, prácticas de supervisión, segregación de funciones y conocer el personal clave en TI Proceso Auditado Estructura organizacional y procesos de TI Responsable

John Jairo Martinez Torres

Material de Soporte

COBIT

PROCESO

DOMINIO

Planear y Organizar

P04. Definir los Procesos, Organización y relaciones de TI

Entrevistado Cargo

Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA

1. ¿La función de TI hace parte de la estructura organizacional? No está considerada 2. ¿Existe una estructura organizacional interna de TI? Si 3. ¿Existe una estructura organizacional externa de TI? Si 4. ¿El personal de TI tiene roles definidos y claros? Si, atender las necesidades de usuarios y mantener en línea el sistema 5. ¿El personal de Cajascol sabe a quién recurrir en caso de eventos relacionados con los sistemas? Si, deben informar a su jefe inmediato o a mi

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

41/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA

6. ¿Hay personal de TI encargados de monitorear y mitigar los riesgos relacionados con el área de TI? No 7. ¿El área de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear procesos de TI? La verdad no 8. ¿hay procedimientos de supervisión para el buen funcionamiento de los equipos e infraestructura del área de sistemas? No se hacen monitoreos 9. ¿La empresa destina recursos para planes de monitoreo y supervisión en el área de sistemas? Muy poco 10. ¿Existen indicadores claves de desempeño que muestre la gestión del personal de TI? No existen 11. ¿Hay una adecuada división de roles y responsabilidades en las operaciones informáticas de la empresa? En algunos puestos, pero no en todos 12. ¿Los usuarios de sistemas tienen claro su alcance y responsabilidades en la administración de aplicativos? Definitivamente no

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

42/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 3 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA

13. ¿En casos de incapacidad o desvinculación de empleados, la gerencia tiene planes de respaldo para operaciones realizadas por los usuarios? En algunos casos 14. ¿Se tienen identificados los procesos críticos realizados por los usuarios de aplicaciones informáticas? Se tienen identificados dichos procesos 15. ¿Existen manuales de aplicativos creados por terceros o desarrollados internamente? No en todos los casos 16. ¿Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas? La verdad si tenemos esa falencia

Firma del entrevistador

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Firma del Entrevistado

43/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.1.4.

FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL

Fecha

26 de octubre de 2018

1

Consecutivo

PAGINA DE 1 FCT-01

Dominio

Planear y Organizar

Proceso Auditado

P04. Definir los Procesos, Organización y relaciones de TI Pregunta

Si

¿La estructura organizacional de TI es flexible y adaptable a las necesidades de la empresa? ¿Se han implementado procesos para revisar la estructura organizacional del área de TI? ¿Existe documentación relacionada con las funciones del personal de TI? ¿El área de TI conoce y ajusta los requerimientos del personal de Cajascol? ¿El área de TI genera estrategias para satisfacer los objetivos del negocio? ¿El área de TI tiene planes de contingencia para la continuidad del negocio? ¿Existe algún procedimiento ante la ocurrencia de eventos relacionados con los sistemas? ¿Hay personal responsable de mantener la seguridad de la información? ¿Hay personal encargado de mantener la seguridad física de los equipos e infraestructura de sistemas? ¿la alta gerencia se involucra en la administración de los sistemas de información? ¿Se hace monitoreo a los usuarios y al modo de uso de los equipos? ¿Existen procesos de negocio que no reciben soporte por parte del área de TI? ¿Existen y se implantan procesos de mejora en el área de TI? ¿Se tiene alguna métrica de los niveles de satisfacción de los usuarios de sistemas? ¿Se hacen reuniones o comités para tratar temas relacionados con el área de TI?

Observaciones

4 5 5 2 1 2 3 2 3 2 5 2 2

Totales 14

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

No

5 5 34

44/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso PO4 Definir los Procesos, Organización y relaciones de TI Porcentaje de riesgo parcial = (14 * 100) / 48 = 29,17% Porcentaje de riesgo = 100% - 29,17% = 70,83% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso PO4 es Alto. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 29,17% Porcentaje de riesgo 70,83% impacto según relevancia del proceso PO4  Riesgo alto

10.1.2.

ANALISIS Y VALORACION DE RIESGOS

En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.1.2.1.

RIESGOS INICIALES

1. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna 2. destrucción de las edificaciones y sus activos 3. Descarga apertura o instalación de programas o documentos infectados. 4. Perder trazabilidad e historia en los registros de la empresa UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

45/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

5. Retraso en las actividades a desarrollar 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Acceso a información confidencial. 10.1.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

8. No existen manuales de función del personal de Sistemas 9. El área de TI no está relacionada con las necesidades de los usuarios 10. No existen planes de contingencia ante eventos o fallas 11. No hay procedimientos ante la ocurrencia de eventos 12. No se hace monitoreo a los usuarios y al modo de uso de los equipos 13. No existen manuales de desarrollo hechos en la empresa. 14. No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI 15. Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas 16. Existen procesos de negocio que no reciben soporte por parte del área de TI 17. No se hacen reuniones o comités para tratar temas relacionados con el área de TI

10.1.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO



Descripción

Impacto

Probabilidad

R1

Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna

3

4

5

2

R2 destrucción de las edificaciones y sus activos R3

Descarga apertura o instalación de programas o documentos infectados.

4

4

R4

Perder trazabilidad e historia en los registros de la empresa

3

3

2

5

2

4

R7 Acceso a información confidencial.

4

3

R8 No existen manuales de función del personal de Sistemas

3

4

El área de TI no está relacionada con las necesidades de los usuarios

3

4

R5 Retraso en las actividades a desarrollar R6

R9

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

46/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168



Impacto

Probabilidad

R10 No existen planes de contingencia ante eventos o fallas

4

5

R11 No hay procedimientos ante la ocurrencia de eventos

4

4

No se hace monitoreo a los usuarios y al modo de uso de los equipos

4

5

R13 No existen manuales de desarrollo hechos en la empresa.

4

5

R14

No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI

5

3

R15

Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas

5

5

R16

Existen procesos de negocio que no reciben soporte por parte del área de TI

2

2

R17

No se hacen reuniones o comités para tratar temas relacionados con el área de TI

2

1

R12

Descripción

10.1.2.4.

RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO

PROBABILIDAD Insignificante (1)

Menor (2)

Raro (1)

R17

Improbable (2)

R16

Posible (3) Probable (4)

R6

Casi Seguro (5)

R5

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Moderado (3)

Mayor (4)

Catastrófico (5)

R2 R4

R7

R1, R8, R9

R3, R11 R10, R12, R13

R14

R15

47/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.3.

TRATAMIENTO DE RIESGOS



Descripción

Tratamiento Riesgo

R1

Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna

Controlarlo

R2 destrucción de las edificaciones y sus activos R3

Descarga apertura o instalación de programas o documentos infectados.

Controlarlo Controlarlo

R4 Perder trazabilidad e historia en los registros de la empresa

Controlarlo

R5 Retraso en las actividades a desarrollar

Controlarlo

R6

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

Transferirlo

R7 Acceso a información confidencial.

Controlarlo

R8 No existen manuales de función del personal de Sistemas

Controlarlo

R9

El área de TI no está relacionada con las necesidades de los usuarios

Controlarlo

R10 No existen planes de contingencia ante eventos o fallas

Controlarlo

R11 No hay procedimientos ante la ocurrencia de eventos

Controlarlo

R12

No se hace monitoreo a los usuarios y al modo de uso de los equipos

R13 No existen manuales de desarrollo hechos en la empresa.

Controlarlo Controlarlo

R14

No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI

Controlarlo

R15

Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas

Controlarlo

R16

Existen procesos de negocio que no reciben soporte por parte del área de TI

Aceptarlo

R17

No se hacen reuniones o comités para tratar temas relacionados con el área de TI

Aceptarlo

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

48/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-01

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: No contar con información en tiempo real lo que afecta de manera negativa la toma de decisiones RIESGO: Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna No existen planes de contingencia ante eventos o fallas RECOMENDACIONES: Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

49/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-02

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: No hay supervisión de los procesos que realizan los usuarios en los equipos de computo REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría corromperse el sistema por descarga de virus o aplicaciones maliciosas. Podría haber perdida de información confidencial RIESGO: No se hace monitoreo a los usuarios y al modo de uso de los equipos No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI RECOMENDACIONES: Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

50/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-03

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse un incendio que afectaría al recurso humano o a los activos de la empresa RIESGO: Destrucción de las edificaciones y sus activos RECOMENDACIONES: Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

51/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-04

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, adulteración de esta y se corre el riesgo de recibir multas de entes estatales, por errores en la declaración contable. RIESGO: Descarga apertura o instalación de programas o documentos infectados. Perder trazabilidad e historia en los registros de la empresa Acceso a información confidencial. RECOMENDACIONES: Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

52/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-05

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, robo o secuestro de los datos por delincuentes informáticos RIESGO: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. RECOMENDACIONES: Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

53/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-06

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Estos aplicativos podrían quedar obsoletos o poco útiles al no estar las personas que los conocen, por lo que habría perdida de información y control en los procesos. RIESGO: No existen manuales de desarrollo hechos en la empresa. RECOMENDACIONES: Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

54/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-07

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Demoras en los procesos, atrasos en el ingreso de información, posibles daños mayores al no atenderse el evento de manera inmediata. RIESGO: Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas. RECOMENDACIONES: Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

55/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-08

PROCESO AUDITADO

Estructura organizacional y procesos de TI

RESPONSABLE

John Jairo Martinez Torres

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y organizar

1

PÁGINA DE

1

PROCESO P04. Definir los Procesos, Organización y relaciones de TI

DESCRIPCIÓN: Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Procesos desatendidos podrían causar pérdidas de información, fallas inesperadas del sistema, daños en la infraestructura física, entre otros. RIESGO: No existen manuales de función del personal de Sistemas RECOMENDACIONES: Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

56/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.5.

CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control

Soluciones o Controles

Correctivo

Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen.

destrucción de las edificaciones y sus activos

Detectivo

Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.

Descarga apertura o instalación de programas o documentos infectados.

Detectivo

Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.

Perder trazabilidad e historia en los registros de la empresa

Correctivo

Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

Correctivo

Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.

Acceso a información confidencial.

Correctivo

Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial.

No existen manuales de función del personal de Sistemas

Correctivo

Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas.

El área de TI no está relacionada con las necesidades de los usuarios

Correctivo

Se debe reorientar los objetivos del área de TI, además de soporte que apunte a los usuarios.

Riesgos o hallazgos encontrados Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

57/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Riesgos o hallazgos encontrados

Tipo de Control

Soluciones o Controles

No existen planes de contingencia ante eventos o fallas

Detectivo

Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.

No se hace monitoreo a los usuarios y al modo de uso de los equipos

Correctivo

Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.

No existen manuales de desarrollo hechos en la empresa.

Correctivo

Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.

Correctivo

Se deben replantear funciones del personal actual, contratar personal adicional o instalar un software tipo consola de monitoreo de procesos.

Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas

Correctivo

Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.

Existen procesos de negocio que no reciben soporte por parte del área de TI

Correctivo

Depende de la necesidad de los procesos se deben incluir en el alcance del área de sistemas.

No se hacen reuniones o comités para tratar temas relacionados con el área de TI

Correctivo

Conjuntamente con el área de sistemas se deben hacer reuniones de TI, para hacer planes de trabajo y fijar objetivos del área de sistemas.

No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

58/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.1.6.

MODELO DE MADUREZ PO4 MODELO DE MADUREZ PROCESO

Fecha

04 de diciembre de 2018

Consecutivo

Proceso Auditado

Estructura organizacional y procesos de TI

Responsable

John Jairo Martinez Torres

Material de Soporte

COBIT

PROCESO

DOMINIO

1

PAGINA DE 3 MM-01

Planear y Organizar

PO4. Definir los Procesos, Organización y relaciones de TI REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ

Niveles de Clasificación

Cumplimiento por Nivel

Las actividades y funciones de TI son reactivas y se implantan de forma inconsistente. IT se involucra en los proyectos solamente en las etapas finales. La función de TI se considera como una función de soporte, sin una perspectiva organizacional general. Existe un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizadas ni reforzadas.

3

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

59/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 3 Consecutivo MM-01

MODELO DE MADUREZ PROCESO Fecha

04 de diciembre de 2018

Proceso Auditado

Estructura organizacional y procesos de TI

Responsable

John Jairo Martinez Torres

Material de Soporte

COBIT

PROCESO

DOMINIO

Planear y Organizar

PO4. Definir los Procesos, Organización y relaciones de TI

La función de TI está organizada para responder de forma táctica, aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones con los proveedores. La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida e implantada. La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. Se han aplicado buenas prácticas internas en la organización de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implantar y monitorear la organización deseada y las relaciones. Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por el usuario siguen un estándar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

1

1

1

60/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 3 DE 3 Consecutivo MM-01

MODELO DE MADUREZ PROCESO Fecha

04 de diciembre de 2018

Proceso Auditado

Estructura organizacional y procesos de TI

Responsable

John Jairo Martinez Torres

Material de Soporte

COBIT

PROCESO

DOMINIO

Planear y Organizar

PO4. Definir los Procesos, Organización y relaciones de TI

La estructura organizacional de TI es flexible y adaptable. Se ponen en funcionamiento las mejores prácticas de la industria. Existe un uso amplio de la tecnología para monitorear el desempeño de la organización y de los procesos de TI. La tecnología se aprovecha para apoyar la complejidad y distribución geográfica de la organización. Un proceso de mejora continua existe y está implantado. Promedio

10.1.7.

0

1,2

DICTAMEN AUDITORIA PROCESO PO4

Objetivo de la Auditoria: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Dictamen: Se califica un nivel de madurez 1 Inicial y desorganizado, por cuanto los procesos, organización y relaciones del área evaluada no están contenidos en un manual de procesos y los recursos de hardware y software, aunque adecuados, no son monitoreados de manera efectiva. En procesos clave de administración del sistema se observa excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del sistema y se depende de un solo proveedor de servicios, al no existir procesos documentados se ha encontrado mucha informalidad en la creación de perfiles de usuario y administración de permisos de estos, adicional a esto, no hay personal especializado en seguridad de la información por lo que la empresa tiene muchos puntos vulnerables. 10.1.7.1.  

Hallazgos que soportan el Dictamen

No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos No hay supervisión de los procesos que realizan los usuarios en los equipos de computo

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

61/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

     

Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.

10.1.7.2.  

 

   

Recomendaciones:

Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos. Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados. Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado. Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas. Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática. Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa. Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas Juntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

62/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA De acuerdo con el proceso liderado por el auditor Wilder Alejandro Flórez González se procede a la ejecución de la auditoria. 10.2.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION

Se presenta a continuación la aplicación de instrumentos de recolección 10.2.1.1.

FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02

PAGINA 1 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA

CAJASCOL S.A.S

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO

DE ANALISIS 



 

Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática. Inventario de los equipos de cómputo. Contratos de arrendamientos de dispositivos tecnológicos

   

Revisión de contratos de alquiler de los equipos de cómputo. Verificar la existencia de un plan de adquisición de infraestructura tecnológica Verificar la existencia de un plan de mantenimiento de infraestructura tecnológica Verificar el registro monitoreo periódico. Verificación de la estandarización de las políticas de uso de los recursos tecnológicos, en el sgc de la empresa.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

DE EJECUCION 







Evaluar el cumplimiento de la ejecución del plan de mantenimiento Realizar el comparativo de inventarios mediante plataformas web Evaluar el cumplimiento de la ejecución del plan de adquisición. Evaluar el estado actual de la infraestructura tecnológica.

63/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02 PAGINA 2 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA

CAJASCOL S.A.S

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO 

Evaluación proveedores

DE ANALISIS de



DE EJECUCION 

Revisión de las medidas de control interno, seguridad y auditoría.

Verificar cumplimiento de evaluación proveedores tecnológicos.

el la a

AUDITOR RESPONSABLE: WILDER ALEJANDRO FLOREZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

64/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.1.2.

FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo Fecha: proceso Realizado por: N°

26 de octubre de 2018 Consecutivo Adquisición y mantenimiento de la infraestructura Wilder Alejandro Flórez González

F-CHK 02

Aspectos por validar o chequear

SI

NO

1

¿La empresa cuenta con un plan anual de mantenimiento?

X

2

¿Se realiza con frecuencia el mantenimiento preventivo a los componentes tecnológicos?

X

3

¿Se cuenta con una bitácora, en la que se registren todos los procesos de mantenimiento programados y realizados?

X

4

¿Existen políticas definidas (formatos) para la adquisición de nuevos equipos?

X

5

¿Se realizan informes técnicos en el que se evidencie la relación costo beneficio al momento de adquirir tanto dispositivos como plataformas tecnológicas?

X

6

¿Existe un comité de compras que analice y garantice la adquisición e instalación de los dispositivos tecnológicos?

X

7

¿Existe personal idóneo para realizar el mantenimiento tanto preventivo como correctivo al hardware y software?

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

X

65/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.1.3.

FORMATO DE ENTREVISTA

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-02 Conocer aspectos claves del Mantenimiento de la Objetivo Auditoría Infraestructura Proceso Auditado Adquisición y mantenimiento de la infraestructura Responsable

Wilder Alejandro Flórez González

Material de Soporte

COBIT

PROCESO Entrevistado Cargo

DOMINIO

Adquirir e implementar

AI3 Adquirir y mantener infraestructura tecnológica Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA

1. ¿Cuáles son los pasos que sigue para solicitar un equipo de cómputo? Se debe sustentar la necesidad de la compra, solicitar 2 cotizaciones y esperar aprobación de la gerencia 2. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y software? No se realiza mantenimiento preventivo al hardware, al software se le realiza mantenimiento por lo menos una vez cada mes 3. ¿Registra todo lo realizado en el mantenimiento en su respectiva bitácora? No existe una bitácora como tal, se envía un correo al usuario con los servicios que se le prestaron durante el mantenimiento 4. ¿Con que frecuencia se capacita el personal encargado de realizar el mantenimiento de los dispositivos tecnológicos? La empresa no considero a TI en sus planes de capacitación 5. ¿Existe un control de los requerimientos y solicitudes de que se realizan al área? No existe

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

66/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-02 PREGUNTAS ENTREVISTA

6. ¿Cuáles son las medidas que se emplean para el control interno y seguridad de la infraestructura tecnológica? Se tienen restricciones para algunos usuarios y se modificó el host de los equipos para que no puedan acceder a cierto tipo de páginas. 7. ¿Se realizan capacitaciones a los colaboradores que usan la infraestructura tecnológica? ¿y con qué frecuencia? Las capacitaciones que se han brindado solo han sido en las implementaciones de nuevas aplicaciones. 8. ¿Cree usted que la infraestructura tecnológica responde a todas las necesidades de la empresa? No, la empresa tiene equipos de más de 8 años funcionando en áreas críticas y eso hace que la incidencia de errores y fallas sea frecuente. 9. ¿La empresa cuenta con equipos de cómputo en rentados? Si su respuesta es afirmativa ¿esta empresa está conformada legalmente? La empresa no alquila equipos de cómputo, aunque tiene en alquiler 2 UPS para el servidor y la regulada del área administrativa

John Jairo Martinez Torres Firma del entrevistador

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Elizabeth Narváez Lopera Firma del Entrevistado

67/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.1.4.

FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL

Fecha

26 de octubre de 2018

1

Consecutivo

Dominio

Adquirir e implementar

Proceso Auditado

AI3 Adquirir y mantener infraestructura tecnológica Pregunta

Si

No

¿Existe un plan para adquirir la infraestructura tecnológica?

5

¿Se implementa el plan para adquirir la infraestructura tecnológica?

4

¿Se consulta al área de compras para la adquisición de infraestructura tecnológica?

5

¿Se evalúan los costos de la viabilidad comercial de los distintos proveedores?

5

¿Se implementan medidas de control interno, seguridad durante el mantenimiento de software y hardware?

2

¿Se realiza el respectivo monitoreo a los diferentes recursos de infraestructura?

5

¿La información obtenida de este monitoreo se registra en una bitácora o formato?

5

¿Se ejecuta un plan de mantenimiento de la infraestructura tecnológica?

4

¿En la ejecución del plan están incluidas las revisiones contra la evaluación de los riesgos identificados?

5

¿En la ejecución del plan están incluidas las revisiones contra la evaluación de las vulnerabilidades?

5

¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?

Observaciones

3

Totales 15

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

PAGINA DE 1 FCT-02

33

68/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso AI3 Adquirir y mantener infraestructura tecnológica Porcentaje de riesgo parcial = (15 * 100) / 48 = 31,25% Porcentaje de riesgo = 100% - 31,25% = 68,75% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso AI3 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 31,25% Porcentaje de riesgo 68,75% impacto según relevancia del proceso PO4  Riesgo medio

ANALISIS Y VALORACION DE RIESGOS

10.2.2.

En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.2.2.1. 1. 2. 3. 4.

RIESGOS INICIALES

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Equipo sin funcionamiento por un determinado tiempo. Descarga apertura o instalación de programas o documentos infectados.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

69/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

5. No se considera al área de TI en los planes de capacitación 6. Inexistencia del plan anual de mantenimiento 7. Falta de mantenimiento preventivo al hardware 8. Desconocimiento del plan para adquirir la infraestructura tecnológica. 9. Recursos de la infraestructura tecnológica no monitoreados. 10. Infraestructura tecnológica obsoleta. 11. Controles mínimos para la adquisición de nueva infraestructura tecnológica. 12. No se cuenta con el correspondiente registro de los mantenimientos ejecutados 10.2.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO



Descripción

R1

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

3

5

R2

Perdida de la trazabilidad e historia en los registros de la empresa

3

3

R3

Equipos tecnológicos determinado tiempo

3

3

R4

Descarga apertura o instalación de programas o documentos infectados.

5

4

R5

No se considera al área de TI en los planes de capacitación

4

5

R6

Inexistencia del plan anual de mantenimiento

5

5

R7

Falta de mantenimiento preventivo al hardware

5

4

R8

Desconocimiento del plan para adquirir la infraestructura tecnológica

4

4

R9

Recursos de monitoreados.

4

4

R10

Infraestructura tecnológica obsoleta.

4

4

R11

Controles mínimos para la adquisición de nueva infraestructura tecnológica

3

4

R12

No se cuenta con el correspondiente registro de los mantenimientos ejecutados

3

3

la

sin

Impacto Probabilidad

funcionamiento

infraestructura

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

por

tecnológica

un

no

70/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

RESULTADO MATRIZ DE RIESGOS

10.2.2.4.

EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

R11

R8,R9,R10

R4,R7

R1

R5

R6

Raro (1) Improbable (2)

R2,R3,R12

Posible (3) Probable (4) Casi Seguro (5)

10.2.3.

TRATAMIENTO DE RIESGOS



Descripción El

personal

no

cuenta

con

Tratamiento Riesgo programas

de

R1 capacitación y formación en seguridad informática

Controlar

y de la información. R2

Perdida de la trazabilidad e historia en los registros de la empresa

Controlar

R3

Equipos tecnológicos sin funcionamiento por un determinado tiempo

Controlar

R4

Descarga apertura o instalación de programas o documentos infectados.

Controlar

R5

No se considera al área de TI en los planes de capacitación

Controlar

R6 Inexistencia del plan anual de mantenimiento

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Controlar

71/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168



Descripción

Tratamiento Riesgo

R7 Falta de mantenimiento preventivo al hardware

para

adquirir

Controlar

R8

Desconocimiento del plan infraestructura tecnológica

la

R9

Recursos de la infraestructura tecnológica no monitoreados.

R10 Infraestructura tecnológica obsoleta.

Controlar Controlar Controlar

R11

Controles mínimos para la adquisición de nueva infraestructura tecnológica

Controlar

R12

No se cuenta con el correspondiente registro de los mantenimientos ejecutados

Controlar

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

72/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-09

PROCESO AUDITADO

Adquisición y mantenimiento de la infraestructura

RESPONSABLE

Wilder Alejandro Flórez Gonzales

MATERIAL DE SOPORTE

COBIT

DOMINIO

Adquirir e Implementar PROCESO

1

PÁGINA DE 1

AI3 adquirir y mantener infraestructura tecnológica

DESCRIPCIÓN: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. REF_PT: Formato de entrevista FE-01 CONSECUENCIAS: Debido al poco conocimiento en seguridad informática los colaboradores, pueden realizar actividades que expongan al peligro la protección web de la empresa. RIESGO: Hacer mal uso del internet, no cambiar sus contraseñas, visitar sitios web no habilitados o no autorizados. RECOMENDACIONES: Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

73/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-10

PROCESO AUDITADO

Adquisición y mantenimiento de la infraestructura

RESPONSABLE

Wilder Alejandro Flórez Gonzales

MATERIAL DE SOPORTE

COBIT

DOMINIO

Adquirir e Implementar

PROCESO

1

PÁGINA DE 1

AI3 adquirir y mantener infraestructura tecnológica

DESCRIPCIÓN: Perdida de la trazabilidad e historia en los registros de la empresa REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: No se puede realizar un control sobre la data histórica de la empresa. RIESGO: Baja integralidad de la información, datos erróneos. RECOMENDACIONES: Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

74/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-11

PROCESO AUDITADO

Adquisición y mantenimiento de la infraestructura

RESPONSABLE

Wilder Alejandro Flórez Gonzales

MATERIAL DE SOPORTE

COBIT

DOMINIO

Adquirir e Implementar PROCESO

1

PÁGINA DE 1

AI3 adquirir y mantener infraestructura tecnológica

DESCRIPCIÓN: Descarga apertura o instalación de programas o documentos infectados. REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: Se puede infectar con virus el software y hardware RIESGO: Al Instalar programas no permitidos que ocasionarían perdida de información, daños en el sistema. Que facilitaría una violación a la red. RECOMENDACIONES: Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

75/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-12

PROCESO AUDITADO

Adquisición y mantenimiento de la infraestructura

RESPONSABLE

Wilder Alejandro Flórez Gonzales

MATERIAL DE SOPORTE

COBIT

DOMINIO

Adquirir e Implementar PROCESO

1

PÁGINA DE 1

AI3 adquirir y mantener infraestructura tecnológica

DESCRIPCIÓN: No se considera al área de TI en los planes de capacitación REF_PT: Formato de entrevista FE-02 CONSECUENCIAS: Recurso humano del área de TI, con un nivel técnico de seguridad y buenas prácticas muy bajo. RIESGO: Una preparación no constante permite que no se pueda brindar respuesta inmediata o apropiada a las fallas presentadas. RECOMENDACIONES: Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

76/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

DOMINIO

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-13

AI3 adquirir y mantener infraestructura tecnológica PÁGINA Adquisición y mantenimiento de la infraestructura 1 DE 1

Adquirir e Implementar PROCESO

PROCESO AUDITADO RESPONSABLE

Wilder Alejandro Flórez Gonzales

MATERIAL DE SOPORTE

COBIT

DOMINIO

Adquirir e Implementar PROCESO

AI3 adquirir y mantener infraestructura tecnológica

DESCRIPCIÓN: Desconocimiento del plan para adquirir la infraestructura tecnológica REF_PT: Formato cuestionario FCT-02 CONSECUENCIAS: Al desconocer este plan en la organización no existe un control sobre los requerimientos técnicos tecnológicos. No es fácil visualizar la viabilidad económica y los riesgos tecnológicos a asumir, según los recursos tecnológicos a adquirir. RIESGO: Perdidas económicas, negociar con proveedores no viables, adquirir infraestructura tecnológica poco útil. RECOMENDACIONES: Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

77/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.5.

CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados

Tipo de Control

Soluciones o Controles

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

Preventivo

Organizar y ejecutar programas de capacitación a los distintos colaboradores.

Perdida de la trazabilidad e historia en los registros Automatización de transacciones de los Preventivo/Correctivo de la empresa registros Equipos tecnológicos sin funcionamiento por un determinado tiempo

Correctivo

Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.

Preventivo

Monitorear el firewall de los equipos de cómputo y realizar una respectiva actualización y administración del directorio de la empresa

Preventivo

Incluir al área de TI, en los planes de capacitación teniendo en cuenta las brechas existentes entre las competencias de los profesionales y los objetivos estratégicos de la empresa.

Inexistencia del plan anual de mantenimiento

Preventivo

Establecer un plan, con sus respectivos objetivos y acciones a ejecutar de manera clara y eficiente

Falta de mantenimiento preventivo al hardware

Correctivo

Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.

Descarga apertura o instalación de programas o documentos infectados.

No se considera al área de TI en los planes de capacitación

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

78/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Tipo de Control

Soluciones o Controles

Detectivo

Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica

Recursos de la infraestructura tecnológica no monitoreados.

Detectivo

Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.

Infraestructura tecnológica obsoleta.

Correctivo

Crear e invertir en la infraestructura tecnológica, acorde a las necesidades de la empresa.

Detectivo

Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica

Detectivo

Crear y hacer uso de las fichas técnicas, para las actividades planeadas y ejecutadas a la infraestructura tecnológica.

Riesgos o hallazgos encontrados Desconocimiento del plan infraestructura tecnológica

para

adquirir

la

Controles mínimos para la adquisición de nueva infraestructura tecnológica No se cuenta con el correspondiente registro de los mantenimientos ejecutados

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

79/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.6.

MODELO DE MADUREZ AI3 MODELO DE MADUREZ PROCESO

Fecha

05 de diciembre de 2018

Consecutivo

Proceso Auditado

Adquisición y mantenimiento de la infraestructura

Responsable

Wilder Alejandro Flórez Gonzales

Material de Soporte

COBIT

PROCESO

DOMINIO

1

PAGINA DE 2 MM-02

Adquirir e Implementar

AI3 Adquirir y Mantener Infraestructura Tecnológica REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ

Niveles de Clasificación

Cumplimiento por Nivel

No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual debe ser resuelto.

1

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción es el ambiente de prueba.

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

80/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 2 Consecutivo MM-02

MODELO DE MADUREZ PROCESO Fecha

05 de diciembre de 2018

Proceso Auditado

Adquisición y mantenimiento de la infraestructura

Responsable

Wilder Alejandro Flórez Gonzales

Material de Soporte

COBIT

PROCESO

DOMINIO

Adquirir e Implementar

AI3 Adquirir y Mantener Infraestructura Tecnológica

No hay consistencias entre enfoques tácticos de adquirir y dar mantenimiento a la infraestructura de TI no se basa en una estructura definida y no considera las necesidades de las aplicaciones del negocio que se debe respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes existen ambientes de prueba por separado.

1

Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura de TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio concuerda con la estrategia del negocio de TI, pero no se aplica en forma consistente. Se planea, se programa y coordina el mantenimiento. Existen ambientes separados por para prueba y producción.

0

Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta adecuadamente las aplicaciones de negocio. El proceso está bien organizado y preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.

0

El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de las últimas plataformas desarrolladas y herramientas de administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo considerar la opción de contratar servicios externos. La infraestructura de TI se entiende como el apoyo clave para impulsar el uso del TI.

0

Promedio

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

0,5

81/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.2.7.

DICTAMEN AUDITORIA PROCESO AI3

Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la adquisición, implementación y mantenimiento de la infraestructura tecnológica. Con el fin de determinar si se encuentra alineados con un plan estratégico que garantice el funcionamiento óptimo de los recursos hardware y software.

Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 0,5 es decir no existente, debido a que no se existe un proceso eficiente para ejecutar un plan para el mantenimiento preventivo o correctivo del hardware o software, así como también la carencia de políticas de seguridad frente al acceso a la web e instalación de software. Adicionalmente se evidencia la inexistencia de un plan para la adquisición e implementación de la Infraestructura Tecnológica, ocasionando que la organización no pueda satisfacer los requerimientos técnicos y funcionales del negocio. 10.2.7.1.      

Desconocimiento del plan para adquirir la infraestructura tecnológica El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Descarga apertura o instalación de programas o documentos infectados. No se considera al área de TI en los planes de capacitación. Desconocimiento del plan para adquirir la infraestructura tecnológica

10.2.7.2.     

Hallazgos que soportan el Dictamen

Recomendaciones:

Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas. Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data. Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización. Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI. Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

82/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS De acuerdo con el proceso liderado por la auditora Katherine Zapata Mosquera se procede a la ejecución de la auditoria. 10.3.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION

Se presenta a continuación la aplicación de instrumentos de recolección 10.3.1.1.

FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03

PAGINA 1 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA

CAJASCOL S.A.S

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION

FUENTES DE CONOCIMIENTO

  Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.



Verificar que los permisos de acceso asignados a los usuarios correspondan a su perfil de usuario. Validar que los procesos de administración de seguridad, administración de cuentas de usuarios, medidas de seguridad física, mantenimiento preventivo del Hardware se encuentren documentadas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA







Realizar pruebas de seguridad sobre la red de datos. Verificar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario, se registran en un log del sistema o un log de auditoria. Verificar el correcto funcionamiento de los mecanismos de autenticación utilizados. Verificar que se mantiene el nivel de seguridad aprobado.

83/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03 PAGINA 2 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION

FUENTES DE CONOCIMIENTO Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.

CAJASCOL S.A.S



Verificar la existencia de los registros de monitoreo de seguridad y pruebas periódicas.



Verificar la controles ambientales.

instalación físicos

de y

AUDITOR RESPONSABLE: KATHERINE ZAPATA MOSQUERA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

84/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.1.2.

FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo Fecha: proceso Realizado por:

26 de octubre de 2018 Consecutivo Garantizar la Seguridad de los Sistemas Katherine Zapata Mosquera



F-CHK 03

Aspectos por validar o chequear

Objetivo de control DS5.3 Administración de Identidad 1

Existe proceso de autenticación para los usuarios internos que solicitan acceso al sistema de información.

2

El proceso de autenticación para los usuarios se encuentra documentada.

3

Existe un repositorio central con la información de usuarios y sus permisos de acceso al sistema de información de la institución.

Objetivo de control DS5.4 Administración de Cuentas del Usuario

Conforme SI

NO

X X X SI

NO

4

Existe un procedimiento para la emisión, suspensión, modificación y cierre de cuentas de usuarios.

X

5

Existe un procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.

X

6

Los procedimientos de emisión, suspensión, modificación, cierre y aprobación se están aplicación a los usuarios internos y externos (incluyendo administradores).

7

Se están realizando revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.

Objetivo de control 8

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

X SI

Se realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.

Objetivo de control DS5.10 Seguridad de la Red 9

X

Existen controles para la información que se envía y recibe desde internet.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

NO

X SI

NO

X

85/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.1.3.

FORMATO DE ENTREVISTA

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-03 Conocer aspectos claves en cuanto a la seguridad informática Objetivo Auditoría y de infraestructura en Cajascol S.A.S Proceso Auditado Administración e integridad de los sistemas. Responsable

Katherine Zapata Mosquera

Material de Soporte

COBIT

PROCESO Entrevistado Cargo

DOMINIO

Entregar y Dar Soporte

DS5 Garantizar la Seguridad de los Sistemas Ing. Jorge Barco Gómez Coordinadora de Operaciones PREGUNTAS ENTREVISTA

1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el sistema de información? Si Totalmente 2. ¿Cómo se está realizando y registrando el monitoreo de seguridad? No hay un proceso establecido para ese proceso 3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles? Solamente ejecución de antivirus en el servidor 4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros usuarios? No, cada usuario posee sus propias credenciales 5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol? Se cuenta con una clave autonumérica y un carácter especial, las cuentas de correo poseen otra clave para que los usuarios puedan acceder vía web 6. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios? Se actualizan cada 6 meses

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

86/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-03 PREGUNTAS ENTREVISTA

7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol? Totalmente básicos, aunque se está pensando en seguridad perimetral para evitar intrusiones informáticas. 8. ¿Cómo el manejo de las incidencias de seguridad? Se desconecta el servidor de línea y se llama a un tercero para que escale el problema. 9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las cuentas? No, todas las cuentas están montadas en el directorio activo de server 2012 R2, se confía en la seguridad del servidor. 10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y controlar los flujos de información desde y hacia internet? No hay procedimientos por escrito, pero se ha bloqueado el host de los equipos para prohibir navegar en ciertos tipos de páginas.

John Jairo Martinez Torres Firma del entrevistador

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Jorge Barco Gómez Firma del Entrevistado

87/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.1.4.

FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL

Fecha

26 de octubre de 2018

1

Consecutivo

Dominio

Entregar y Dar Soporte

Proceso Auditado

DS5 Garantizar la Seguridad de los Sistemas Pregunta

Si

Al momento de suministrar los datos de acceso al sistema, ¿se informa el rol y las responsabilidades de seguridad?

2

¿Los derechos de acceso del usuario se están solicitando por la gerencia del usuario?

5

Los derechos de acceso del usuario solicitados, ¿están siendo aprobados por el responsable del sistema?

3

Los derechos de acceso del usuarios solicitados y aprobados, ¿están siendo implementados por el responsable de seguridad del sistema?

3

No

¿Las identidades y los derechos de acceso se almacenan en un repositorio central?

5

¿Actualmente se está aprobando todas las acciones realizadas por la gerencia de cuentas de usuario?

5

¿El procedimiento de la gerencia de cuentas de usuarios, se aplica a todos los usuarios, incluyendo administradores, usuarios externos e internos?

2

¿Actualmente se está probando y monitoreando la implementación de la seguridad en TI?

4

¿Existen controles para la información que se envía y recibe de Internet?

4

Totales 13

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

PAGINA DE 1 FCT-03

Observaciones

20

88/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS5 Garantizar la Seguridad de los Sistemas Porcentaje de riesgo parcial = (13 * 100) / 33 = 39,39% Porcentaje de riesgo = 100% - 39,39% = 60,61% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS5 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 39,39% Porcentaje de riesgo 60,61% impacto según relevancia del proceso DS5  Riesgo medio

10.3.2.

ANALISIS Y VALORACION DE RIESGOS

En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.

10.3.2.1.

RIESGOS INICIALES

1. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) 2. Perdida de integralidad, Alteración de la información 3. Perdida de información, modificación o eliminación de cuentas de usuario. 4. Eliminación de registros o mal ingreso de estos, lo que haría no tener una UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

89/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

información confiable. 5. Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Eliminar información importante y perdida de la confidencialidad. 8. Acceso a la red de la organización. 9. Perdida de confidencialidad e integralidad de la información.

10.3.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

10. Facilidad en hurto de información confidencial. 11. Las PQRS no se han gestionadas debidamente. 12. Realización de actividades no conformes con lo indicado por la empresa.

10.3.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO



Descripción

Impacto

Probabilidad

R1

Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)

3

5

R2

Perdida de integralidad, Alteración de la información

4

3

R3

Perdida de información, modificación o eliminación de cuentas de usuario.

4

4

R4

Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.

3

4

R5

Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.

4

5

R6

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

3

4

R7

Eliminar información importante y perdida de la confidencialidad.

4

3

R8

Acceso a la red de la organización.

4

3

R9

Perdida de confidencialidad e integralidad de la información.

4

4

R10

Facilidad en hurto de información confidencial.

5

4

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

90/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168



Descripción

Impacto

Probabilidad

R11

Las PQRS no se han gestionadas debidamente.

3

3

R12

Realización de actividades no conformes con lo indicado por la empresa.

4

3

RESULTADO MATRIZ DE RIESGOS

10.3.2.4.

EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

R11

R2, R7, R8, R12

R4, R6

R3, R9

R1

R5

Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5)

10.3.3.

R10

TRATAMIENTO DE RIESGOS

ID. Riesgo

Descripción del Riesgo

Tratamiento Riesgo

R1

Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)

Controlarlo

R2

Perdida de integralidad, Alteración de la información

Controlarlo

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

91/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

ID. Riesgo

Descripción del Riesgo

Tratamiento Riesgo

R3

Perdida de información, modificación o eliminación de cuentas de usuario.

Controlarlo

R4

Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.

Transferirlo

R5

Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.

Controlarlo

R6

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

Eliminarlo

R7

Eliminar información confidencialidad.

Controlarlo

R8

Acceso a la red de la organización.

R9

Perdida de confidencialidad e integralidad de la información.

R10

Facilidad en hurto de información confidencial.

Controlarlo.

R11

Las PQRS no se han gestionadas debidamente.

Transferirlo

R12

Realización de actividades no conformes con lo indicado por la empresa.

Controlarlo

10.3.4.

importante

y

perdida

de

la

Controlarlo Aceptarlo

REPORTE DE HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

92/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-14

PROCESO AUDITADO

Administración e integridad de los sistemas.

RESPONSABLE

Katherine Zapata Mosquera

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte. PROCESO

1

PÁGINA DE

1

DS5 Garantizar la Seguridad de los Sistemas.

DESCRIPCIÓN: Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS: 

Al no existir controles, se puede adquirir virus que afectan el hardware y la información de la compañía, ocasionando pérdidas económicas.

RIESGO: Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático, Spam, phishing, botnets) RECOMENDACIONES:  

Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

93/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-15

PROCESO AUDITADO

Administración e integridad de los sistemas.

RESPONSABLE

Katherine Zapata Mosquera

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte. PROCESO

1

PÁGINA DE

1

DS5 Garantizar la Seguridad de los Sistemas.

DESCRIPCIÓN: Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS: 

Al no realizar las pruebas de monitoreo, se puede presentar hurto de información confidencial.

RIESGO: Pérdida de integralidad, Alteración de la información. RECOMENDACIONES:  

Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

94/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-16

PROCESO AUDITADO

Administración e integridad de los sistemas.

RESPONSABLE

Katherine Zapata Mosquera

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte. PROCESO

1

PÁGINA DE

1

DS5 Garantizar la Seguridad de los Sistemas.

DESCRIPCIÓN: Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS: 

Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin inconvenientes, inclusive se puede presentar hurto del servidor.

RIESGO: Pérdida de información, modificación o eliminación de cuentas de usuarios. RECOMENDACIONES: 

Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

95/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-17

PROCESO AUDITADO

Administración e integridad de los sistemas.

RESPONSABLE

Katherine Zapata Mosquera

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte. PROCESO

1

PÁGINA DE

1

DS5 Garantizar la Seguridad de los Sistemas.

DESCRIPCIÓN: Se evidencia que varios usuarios están creados en el directorio activo como administradores. REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: 

Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda instalar ejecutables o usar contraseñas de activación no válidas para software.

RIESGO: Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. RECOMENDACIONES:  

Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

96/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-18

PROCESO AUDITADO

Administración e integridad de los sistemas.

RESPONSABLE

Katherine Zapata Mosquera

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte. PROCESO

1

PÁGINA DE

1

DS5 Garantizar la Seguridad de los Sistemas.

DESCRIPCIÓN: Se identificó que no existe control sobre las máquinas virtuales (remoto). REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: 

Al no existir un control sobre las máquinas virtuales, se puede presentar hurto de información, perdida sin intención de esta.

RIESGO: Eliminar información importante y pérdida de la confidencialidad. RECOMENDACIONES: 

Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

97/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.5.

CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados

Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)

Perdida de integralidad, Alteración de la información

Perdida de información, modificación o eliminación de cuentas de usuario.

Tipo de Control

Soluciones o Controles

Correctivo

Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.

Preventivo

Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.

Recuperación

Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Para la eliminación de registros se debe registrar en un log la eliminación de estos.

Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.

Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Detectivo

Preventivo

Para la mitigar el mal ingreso de datos, se debe crear un proceso donde se encargue de validar que la información registrada es veraz. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.

98/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Riesgos o hallazgos encontrados

Tipo de Control

Soluciones o Controles

El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.

Detectivo

Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.

Eliminar información importante y perdida de la confidencialidad.

Detectivo

Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.

Acceso a la red de la organización.

Preventivo

Adicionar protocolos de seguridad y restricciones en la red, verificar que las contraseñas y usuarios no sean obvios.

Perdida de confidencialidad e integralidad de la información.

Preventivo

Revisar URL Embebidos.

Facilidad en hurto de información confidencial.

Preventivo

Establecer políticas de seguridad.

Las PQRS no se han gestionadas debidamente.

Preventivo

Implementar el sistema de semáforo para categorizar las PQRS y de esa manera determinar la prioridad de atención.

Realización de actividades no conformes con lo indicado por la empresa.

Correctiva

Implementación de herramientas de monitoreo de red.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

99/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.3.6.

MODELO DE MADUREZ DS5 MODELO DE MADUREZ PROCESO

Fecha

08 de diciembre de 2018

Consecutivo

Proceso Auditado

Administración e integridad de los sistemas.

Responsable

Katherine Zapata Mosquera

Material de Soporte

COBIT

PROCESO

DOMINIO

1

PAGINA DE 3 MM-01

Entregar y Dar Soporte

DS5 Garantizar la seguridad de los Sistemas. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ

Niveles de Clasificación

Cumplimiento por Nivel

La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

100/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 3 Consecutivo MM-03

MODELO DE MADUREZ PROCESO Fecha

08 de diciembre de 2018

Proceso Auditado Responsable Material de Soporte PROCESO

Administración e integridad de los sistemas. Katherine Zapata Mosquera COBIT DOMINIO Entregar y Dar Soporte

DS5 Garantizar la seguridad de los Sistemas.

Las responsabilidades y la rendición de cuentas sobre la seguridad están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa. Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de TI son incompletos, engañosos o no aplicables. La habilitación sobre seguridad está disponible, pero depende principalmente de la iniciativa del individuo. La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina. Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe habilitación en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal. Las responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara. Regularmente a cabo un análisis de impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas. El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios esta estandarizada. La certificación en seguridad es buscada por parte del personal que es responsable de la auditoria y la administración de la seguridad. Las pruebas de seguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI están coordinados con la función de seguridad de toda la organización. Los reportes de seguridad están ligados con los objetivos del negocio. La habilitación sobre seguridad de TI se planea y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya están definidos, pero no se miden aún.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

2

1

1

101/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 3 DE 3 Consecutivo MM-03

MODELO DE MADUREZ PROCESO Fecha

08 de diciembre de 2018

Proceso Auditado

Administración e integridad de los sistemas.

Responsable

Katherine Zapata Mosquera

Material de Soporte

COBIT

PROCESO

DOMINIO

Entregar y Dar Soporte

DS5 Garantizar la seguridad de los Sistemas.

La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en la corporación. Los requerimientos de seguridad de TI están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad. La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e identificación proactiva de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización. Los KGIs y KPIs para administración de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua. Promedio

10.3.7.

0

1,0

DICTAMEN AUDITORIA PROCESO DS5

Objetivo de la Auditoria: Evaluar el nivel de confiabilidad que tiene las contraseñas de acceso al sistema de información e identificar las restricciones configuradas en las cuentas de los usuarios frente al acceso a la web, además de verificar la documentación de los procesos Dictamen: Se califica nivel de madurez 1 inicial, debido a que la empresa implementa procesos de seguridad básicos, sin documentar los procesos y responsables, UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

102/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

permitiendo así fortalecer los riesgos de hurto de información confidencial, acceso de usuarios externos, consumo al máximo bando de ancha en actividades diferentes a las laborales. 10.3.7.1.     

Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. Se evidencia que varios usuarios están creados en el directorio activo como administradores. Se identificó que no existe control sobre las máquinas virtuales (remoto).

10.3.7.2.        

Hallazgos que soportan el Dictamen

Recomendaciones:

Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática. Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura. Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso. Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

103/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO De acuerdo con el proceso liderado por el auditor Jairo Angulo Castillo se procede a la ejecución de la auditoria. 10.4.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION

Se presenta a continuación la aplicación de instrumentos de recolección 10.4.1.1.

FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-04

ENTIDAD AUDITADA

CAJASCOL S.A.S

1

PAGINA DE 1

PROCESO AUDITADO Administrar el Ambiente Físico RESPONSABLE Jairo Angulo Castillo MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS12 Administrar el Ambiente Físico FUENTES DE CONOCIMIENTO  Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los  encargados del área informática.

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION comprobar la existencia de documentos respecto a los  Medición de resultados de la manuales de riesgos, eficacia y eficacia de los sistemas de control controles existentes. interno, manuales de  Comprobar la aplicación de convivencia, controles frente a los riesgos Riesgos y Vulnerabilidades y Vulnerabilidades detectados frente a su detectados. tratamiento. AUDITOR RESPONSABLE: JAIRO ANGULO CASTILLO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

104/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.1.2.

FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo Fecha: proceso Realizado por:

26 de octubre de 2018 Administrar el Ambiente Físico Jairo Angulo Castillo



F-CHK 04

Aspectos por validar o chequear

Objetivo de control 1

Consecutivo

Conforme

DS12.1 Selección y Diseño del Centro de Datos

¿Las instalaciones donde funciona el área de sistemas (cubículos y oficinas), fueron diseñadas o adaptadas para su funcionamiento?

Objetivo de control DS12.2 Medidas de Seguridad Física 2

¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura donde funciona la empresa especialmente en el área de sistemas?

4

SI

Contra

Factores

DS12.5 Físicas

Administración

de

Instalaciones

¿Existe un plan o manual donde se describa las funciones en la seguridad de instalaciones?

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

NO

X SI

¿Existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental?

Objetivo de control 5

DS12.4 Protección Ambientales

NO

X

¿Se tienen lugares de acceso restringido donde se poseen mecanismos de seguridad para el acceso a estos lugares?

Objetivo de control

NO

X SI

Objetivo de control DS12.3 Acceso Físico 3

SI

NO

X SI

NO

X

105/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.1.3.

FORMATO DE ENTREVISTA

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-04 Conocer aspectos claves en cuanto a la seguridad física de Objetivo Auditoría los activos de Cajascol, especialmente en el área de informática Proceso Auditado Administrar el Ambiente Físico. Responsable Jairo Angulo Castillo Material de Soporte PROCESO Entrevistado Cargo

COBIT

DOMINIO

Entregar y Dar Soporte

DS12 Administrar el Ambiente Físico Ing. Jorge Barco Gómez Coordinador de Operaciones PREGUNTAS ENTREVISTA

1. ¿Las instalaciones de la empresa se encuentran construidas en una zona segura, ante cualquier fenómeno natural (inundación, avalancha, incendio, forestal entre otros)? No, estamos en la ladera del rio Cauca y ya hemos tenido dos inundaciones que causaron grandes pérdidas, en cuanto a incendios tenemos una bodega abierta don se almacena cartón reciclado y uno de los riesgos más grandes podría ser un incendio 2. ¿Poseen mecanismo de seguridad se le han detectado debilidades? Los mecanismos de seguridad están orientados a las personas, su evacuación y seguridad 3. ¿Existe suficiente espacio dentro de las instalaciones de forma que permita una circulación fluida? En teoría sí, pero cuando hay picos de producción, se llenan todos los espacios de circulación 4. ¿Existen lugares de acceso restringido y se cuenta con sistemas de seguridad para impedir el paso a dicho lugar? Si, la bodega de cargue de gas al montacargas y el acceso a los generadores 5. ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de sensores? Hay luces de emergencia y alarmas que deben ser activadas por los brigadistas 6. ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? Si UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

106/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-04 PREGUNTAS ENTREVISTA

7. ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones? Se tienen cámaras de seguridad y se hace revisión en portería por empleados de seguridad privada. 8. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales? De manera frecuente ya que al trabajar con material reciclado y una caldera de carbón, los controles de la CVC son altos, así que mensualmente se hacen dichas previsiones. 9. ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? Si. 10. ¿Se tiene un registro de las personas que ingresan a las instalaciones? Si, en portería llevan una bitácora de control de visitantes a administración y también a vehículos de empresas transportadoras.

John Jairo Martinez Torres Firma del entrevistador

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Jorge Barco Gómez Firma del Entrevistado

107/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.1.4.

FORMATO DE CUESTIONARIO PAGINA 1 DE 1 Consecutivo FCT-03

CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS12 Administrar el Ambiente Físico Pregunta

Si

¿La organización cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma?

5

¿Existe un marco de referencia para la evaluación sistemática de los riesgos a los que está expuesta la infraestructura física de la institución?

3

No

¿Se cuenta con los suficientes equipos para la mitigación de incendios?

5

¿Existen normas de control interno donde se evalúe y garantice la protección de las instalaciones para su disponibilidad e integridad?

4

¿Se realiza actualización de los diferentes tipos de riesgos que pueden afectar la infraestructura física?

2

¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura física?

2

¿Se promueve e incentiva la seguridad en la institución?

4

¿La organización cuenta con políticas y procedimientos formales respecto a la contratación de terceros?

2

¿Existe un plan de acción para el mantenimiento de la infraestructura física?

2

¿Se realiza evaluación a la seguridad de instalaciones ante un posible suceso terrorista o natural?

2

Los controles existentes son suficientes para decir que la empresa es segura

Totales 12

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Observaciones

5 24

108/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS12 Administrar el Ambiente Físico Porcentaje de riesgo parcial = (12 * 100) / 36 = 33,33% Porcentaje de riesgo = 100% - 33,33% = 66,67% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS12 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 33,33% Porcentaje de riesgo 66,67% impacto según relevancia del proceso DS12  Riesgo medio

10.4.2.

ANALISIS Y VALORACION DE RIESGOS

En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

109/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.2.1.

RIESGOS INICIALES

Material propenso a incendios Acceso no autorizado a las diferentes áreas Personas poco cuidadosas Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa 5. Robo del servidor o manipulación de este 6. No hay circulación adecuada de aire, además se presenta la amenaza de incendio. 1. 2. 3. 4.

10.4.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

7. Instalaciones propensas a inundación o derrumbe 8. Desorientación ante daños de la infraestructura en suceso ambiental 9. falta de controles en la seguridad de la empresa 10. carencia plan de acción para el mantenimiento de la infraestructura física 11. Carencia promoción e incentivos para la seguridad en la institución 12. No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. 10.4.2.3. N°

ANALISIS Y EVALUACIÓN DE RIESGO Descripción

Impacto

Probabilidad

R1

Material propenso a incendios

5

3

R2

Acceso no autorizado a las diferentes áreas

4

3

R3

Personas poco cuidadosas

2

3

R4

Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa

3

4

R5

Robo del servidor o manipulación de este

5

3

R6

No hay circulación adecuada de aire, además se presenta la amenaza de incendio.

3

3

R7

Instalaciones propensas a inundación o derrumbe

3

3

R8

Desorientación ante daños de la infraestructura en suceso ambiental

4

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

110/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168



Descripción

Impacto

Probabilidad

R9

falta de controles en la seguridad de la empresa

4

5

R10

carencia plan de acción para el mantenimiento de la infraestructura física

4

4

R11

Carencia promoción e incentivos para la seguridad en la institución

3

5

R12

No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.

4

3

10.4.2.4.

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1)

Moderado (3)

Raro (1) Improbable (2) Posible (3)

Mayor (4) R8

R3 R6 R7

R2 R12

Probable (4)

R4

R10

Casi Seguro (5)

R11

R9

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Catastrófico (5)

R5 R1

111/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.3. N°

TRATAMIENTO DE RIESGOS Descripción

Tratamiento Riesgo

R1 Material propenso a incendios

Controlarlo

R2 Acceso no autorizado a las diferentes áreas

Controlarlo

R3 Personas poco cuidadosas R4

Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa

R5 Robo del servidor o manipulación de este R6

No hay circulación adecuada de aire, además se presenta la amenaza de incendio.

R7 Instalaciones propensas a inundación o derrumbe R8

Desorientación ante daños de la infraestructura en suceso ambiental

R9 falta de controles en la seguridad de la empresa

Aceptar transferirlo Controlarlo transferirlo Controlarlo Controlarlo Controlarlo

R10

carencia plan de acción para el mantenimiento de la infraestructura física

Controlarlo

R11

Carencia promoción e incentivos para la seguridad en la institución

Controlarlo

No hay como detectar de forma temprana humo, incendio, R12 inundaciones mediante equipos tecnológicos para la prevención y evacuación.

transferirlo

10.4.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

112/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-19

PROCESO AUDITADO

Administrar el Ambiente Físico

RESPONSABLE

Jairo Angulo Castillo

MATERIAL DE SOPORTE

COBIT

DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS12.4 Protección Contra Factores Ambientales

DESCRIPCIÓN: Se cuenta con bodega abierta de materiales reciclables donde se almacena cartón reciclado, no hay circulación adecuada de aire y el cuarto donde está el servidor está lleno de archivo de contabilidad y archivo muerto. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Material propenso a incendios daño de equipos de cómputo e infraestructura física RIESGO: No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.

RECOMENDACIONES: Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

113/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-20

PROCESO AUDITADO

Administrar el Ambiente Físico

RESPONSABLE

Jairo Angulo Castillo

MATERIAL DE SOPORTE

COBIT

DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS12.4 Protección Contra Factores Ambientales

DESCRIPCIÓN: Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución, el acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. al igual que hurto de información RIESGO: La organización no cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma.

RECOMENDACIONES: Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Ubicar el servidor en un área de acceso restringido o retirar el mismo y contratar los servicios de almacenamiento con una empresa privada.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

114/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-21

PROCESO AUDITADO

Administrar el Ambiente Físico

RESPONSABLE

Jairo Angulo Castillo

MATERIAL DE SOPORTE

COBIT

DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS12.4 Protección Contra Factores Ambientales

DESCRIPCIÓN: falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa RIESGO: Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa

RECOMENDACIONES: Realizar mantenimiento y reparación de los equipos de monitoreo Adquirir equipos de seguridad (cámaras, sensores de movimiento, entre otros) Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

115/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-22

PROCESO AUDITADO

Administrar el Ambiente Físico

RESPONSABLE

Jairo Angulo Castillo

MATERIAL DE SOPORTE

COBIT

DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS12.4 Protección Contra Factores Ambientales

DESCRIPCIÓN: Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento de inundación RIESGO: Instalaciones propensas a inundación o derrumbe

RECOMENDACIONES: Elaborar plan de acción ante aumento del caudal del rio Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

116/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-23

PROCESO AUDITADO

Administrar el Ambiente Físico

RESPONSABLE

Jairo Angulo Castillo

MATERIAL DE SOPORTE

COBIT

DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS12.4 Protección Contra Factores Ambientales

DESCRIPCIÓN: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental, carencia plan de acción para el mantenimiento de la infraestructura física, no hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento, también desorientación de los pasos a seguir ante daños de la infraestructura en suceso ambiental falta de detección y prevención temprana de los mismos RIESGO: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental

RECOMENDACIONES: Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental. Adquisición de equipos tecnológicos para la prevención y detectar de forma temprana humo, incendio, inundaciones, entre otros.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

117/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.5.

CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control

Soluciones o Controles

Material propenso a incendios

Correctivo

Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones, Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura

Acceso no autorizado a las diferentes áreas

Preventivo

Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones

Robo del servidor o manipulación de este

Preventivo

Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones, instalación cámara de seguridad.

Instalaciones propensas a inundación o derrumbe

Preventivo

Elaborar plan de acción ante aumento del caudal del rio cauca, monitorear constantemente la ladera del rio que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.

Desorientación ante daños de infraestructura en suceso ambiental

Correctivo

Elaborar plan de contingencia a fin de estar preparado para mitigar los riesgos y daño de la infraestructura ante algún suceso ambiental.

falta de controles en la seguridad de la empresa

Correctivo

Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas

carencia plan de acción para el mantenimiento de la infraestructura física

Correctivo

Implementar políticas y elaborar plan mantenimiento de la infraestructura física.

Correctivo

Capacitar y Concientizar al personal de la empresa sobre la importancia de la seguridad. Si no existe la persona indicada en la empresa para dar la asesoría, se podría contratar con una entidad externa.

Riesgos o hallazgos encontrados

la

Carencia promoción e incentivos para la seguridad en la institución

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

118/150.

de

acción

para

el

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.4.6.

MODELO DE MADUREZ DS12 MODELO DE MADUREZ PROCESO

Fecha

07 de diciembre de 2018

Consecutivo

Proceso Auditado

Administrar el Ambiente Físico

Responsable

Jairo Angulo Castillo

Material de Soporte

COBIT

PROCESO

DOMINIO

1

PAGINA DE 3 MM-04

Entregar y Dar Soporte

DS12 Administrar el Ambiente Físico REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ

Niveles de Clasificación

Cumplimiento por Nivel

La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. La administración de instalaciones y de equipo depende de las habilidades de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción. La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento del personal.

3

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

119/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 3 Consecutivo MM-04

MODELO DE MADUREZ PROCESO Fecha

07 de diciembre de 2018

Proceso Auditado

Administrar el Ambiente Físico

Responsable

Jairo Angulo Castillo

Material de Soporte

COBIT

PROCESO

COBIT

Entregar y Dar Soporte

DS12 Administrar el Ambiente Físico

Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas. Los procedimientos de mantenimiento de instalaciones no están bien documentados y dependen de las buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad. Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y rastreado por la gerencia. Se aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil. Las autoridades civiles monitorean al cumplimiento con los reglamentos de salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar los costos del seguro. Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, cronogramas, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades apara la administración del contracto y del proveedor. Las aptitudes, capacidades y riesgo del proveedor son verificadas de forma continua. Los requerimientos del servicio están definidos y a lineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales, lo cual proporciona información para evaluar los servicios actuales y futuros de terceros. Se utilizan modelos de fijación de precios de transferencia en el proceso de adquisición. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPls y KGls para la supervisión del servicio. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

1

1

0

120/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 3 Consecutivo MM-04

MODELO DE MADUREZ PROCESO Fecha

07 de diciembre de 2018

Proceso Auditado

Administrar el Ambiente Físico

Responsable

Jairo Angulo Castillo

Material de Soporte

COBIT

PROCESO

COBIT

Entregar y Dar Soporte

DS12 Administrar el Ambiente Físico

Hay un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente computo de la organización. Los estándares están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo, construcción, vigilancia, seguridad personal, sistemas electrónicos y mecánicos, protección contra factores ambientales (por ejemplo, fuego, rayos, inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones de acuerdo con el proceso continuo de administración de riesgos de la organización. El acceso es monitoreado continuamente y controlado estrictamente con base en las necesidades del trabajo, los visitantes son acompañados en todo momento. El ambiente se monitorea y controla por medio de equipo especializado y las salas de equipo funcionan sin operadores humanos. Los KPls y Kgsl se miden regularmente. Los programas de mantenimiento preventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles. Las estrategias de instalaciones y de estándares están alineados con las metas de disponibilidad de los servicios de TI y están integradas con las administraciones de crisis y con la planeación de continuidad del negocio. La gerencia revisa y optimiza las instalaciones utilizando los KPls y KGls de manera continua, capitalizando oportunidades para mejorar la contribución al negocio Promedio

10.4.7.

0

1,0

DICTAMEN AUDITORIA PROCESO DS12

Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la protección de las personas, los equipos de cómputo, información del negocio, instalaciones bien diseñadas y administradas. Minimizando el riesgo de una interrupción del servicio Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 1,0 es decir -INICIAL: Los procesos son espontáneos y UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

121/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

desorganizados. No se ha implementado procesos estándar para el procesamiento de información, debido a que hay poca conciencia sobre la necesidad de proteger las instalaciones o la inversión en recursos de cómputo La organización reconoce de manera parcial la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. carece controles ambientales la seguridad física es un proceso informal, No Hay una Política acordado a largo plazo para las instalaciones requeridas para soportar el ambiente de computo de la organización. Los estándares no están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo 10.4.7.1.     

No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.

10.4.7.2.      

Hallazgos que soportan el Dictamen

Recomendaciones:

Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Realizar mantenimiento y reparación de los equipos de monitoreo Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento. Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

122/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5. DS13 ADMINISTRACIÓN DE OPERACIONES De acuerdo con el proceso liderado por el auditor Jhonny Caicedo Velarde se procede a la ejecución de la auditoria. 10.5.1.

APLICACIÓN DE INSTRUMENTOS DE RECOLECCION

Se presenta a continuación la aplicación de instrumentos de recolección 10.5.1.1.

FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-05

ENTIDAD AUDITADA

CAJASCOL S.A.S

1

PAGINA DE 1

PROCESO AUDITADO Mantenimiento de equipos RESPONSABLE Jhonny Caicedo Velarde MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS13 Administración de Operaciones REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO

DE ANALISIS

DE EJECUCION

 Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.

Analizar si la cantidad de equipos existentes son  necesarios para la operación requerida o en su defecto si hacen falta.  Analizar la disponibilidad de documentación de los equipos.  Analizar la comunicación entre  los usuarios de los equipos y los encargados del mantenimiento tanto de hardware y software de los equipos.

Analizar el nivel de pericia de los usuarios con los diferentes entornos de las aplicaciones funcionales. Analizar las ubicaciones de los equipos existentes.

AUDITOR RESPONSABLE: JHONNY CAICEDO VELARDE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

123/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.1.2.

FORMATO DE LISTAS DE CHEQUEO

Lista de chequeo Fecha: proceso Realizado por: N°

26 de octubre de 2018 Consecutivo DS13 Administración de Operaciones Jhonny Caicedo Velarde

F-CHK 05

Aspectos por validar o chequear

1

El equipo de cómputo y/o impresora se encuentran en una base firme.

2

El monitor funciona correctamente.

3

El mouse funciona correctamente.

4

El teclado funciona correctamente.

5

El cableado eléctrico está protegido

6

El equipo se encuentra conectado a corriente asistida.

7

Los tomacorrientes se encuentran plenamente identificados.

8

Los equipos de cómputo tienen todas sus partes.

9

El antivirus se encuentra actualizado.

10

El software actual se encuentra actualizado.

11

El equipo se encuentra en buen estado de limpieza.

12

La impresora se encuentra conectada por fuera de la corriente asistida.

13

El área donde se encuentra el equipo se encuentra ventilada.

14

Existe hardware y/o otros equipos conectados al equipo de cómputo.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

SI

NO

X X X X X X X X X X X X X X

124/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.1.3.

FORMATO DE ENTREVISTA

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-05 Analizar e identificar las posibles fallas que afecten el funcionamiento del hardware, para definir políticas y Objetivo Auditoría procedimientos que aseguren el mantenimiento preventivo del hardware ayudando a mantener la integridad de los datos y reducir los retrasos de la empresa. Proceso Auditado Indicadores de funcionamiento del hardware y software Responsable Jhonny Caicedo Velarde Material de Soporte PROCESO Entrevistado Cargo

COBIT

DOMINIO

Entregar y Dar Soporte

DS13 Administración de Operaciones Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA

1. ¿Existe un cronograma para el mantenimiento preventivo de los equipos? No 2. ¿En qué consiste el mantenimiento preventivo? Anticiparse a correctivos, manteniendo los equipos en bues estado de funcionamiento 3. ¿Se cuenta con la herramienta necesaria, para realizar dichos mantenimientos? Si 4. ¿Queda registro de los mantenimientos realizados? Hace mucho no se hacen, pero en su momento si quedo registro 5. ¿Quién realiza el mantenimiento a los equipos de respaldo como la UPS y planta eléctrica? Empresas contratistas 6. ¿El mantenimiento preventivo a estos equipos (respaldo) cada cuanto se realiza? En teoría cada 6 meses, pero el ultimo mantenimiento de equipos se llevó hace 18 meses

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

125/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Fecha

PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-05 PREGUNTAS ENTREVISTA

7. ¿Existe protecciones en cuanto al sistema de tierras? Si 8. ¿Existe y están disponibles los manuales de cada uno de los equipos? De los más nuevos 9. ¿Se tiene algún plan de contingencia para cuando presente fallas un equipo? ¿Cuál? No, el usuario debe esperar a que se haga el correctivo. 10. ¿Existe un procedimiento para los mantenimientos correctivos de los equipos? Si es un correctivo que se sale de nuestras manos, se llama a un tercero

John Jairo Martinez Torres Firma del entrevistador

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Elizabeth Narváez Lopera Firma del Entrevistado

126/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.1.4.

FORMATO DE CUESTIONARIO PAGINA 1 DE 2 Consecutivo FCT-05

CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta ¿Se cuenta con un inventario de equipos de cómputo?

Si

No

3

¿Si existe inventario contiene los siguientes ítems? Número del computador Fecha Ubicación Responsable Características (memoria, procesador, monitor, disco duro) Se lleva una hoja de vida por equipo

5

¿La hoja de vida del equipo tiene los datos? Numero de hoja de vida Número del computador correspondiente Falla reportada Diagnóstico del encargado Solución que se le dio

5

¿Se posee un registro de fallas detectadas en los equipos?

5

¿La temperatura a la que trabajan los equipos es la adecuada?

3

¿Al momento de presentar una falla en el equipo, la atención que se presta es oportuna?

2

¿Se realizan pruebas de funcionamiento a los equipos de respaldo como UPS y planta eléctrica?

2 4

¿se realizan estas pruebas periódicamente? ¿Es calificado el personal que realiza las pruebas?

5

¿Existe proveedores para el mantenimiento de los equipos?

5

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Observaciones

127/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CUESTIONARIO DE CONTROL

2

Fecha 26 de octubre de 2018 Consecutivo Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta

Si

No

¿Se cuenta con planos eléctricos actualizados?

2

¿Se lleva un procedimiento para la adquisición de nuevos equipos?

5

¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?

4

¿Existe políticas de backup de la información?

PAGINA DE 2 FCT-05

Observaciones

2

Totales 19

33

10.5.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS13 Administración de Operaciones Porcentaje de riesgo parcial = (19 * 100) / 52 = 36,54% Porcentaje de riesgo = 100% - 33,33% = 63,46% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS13 es Medio.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

128/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 36,46% Porcentaje de riesgo 63,46% impacto según relevancia del proceso DS13  Riesgo medio

10.5.2.

ANALISIS Y VALORACION DE RIESGOS

En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.5.2.1.

RIESGOS INICIALES

1. Demora en solucionar fallas de equipos por falta de identificación de cableado. 2. Fallas en el suministro de energía. 3. Ausencia de ventilación para los equipos de computo 10.5.2.2.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

4. Daño de elementos importantes en los equipos por ausencia de energía asistida. 5. Posible de daño de equipos por mala señalización de las fuentes de energía. 6. Desactualización de Software. 7. Fallas de equipos por falta de mantenimientos preventivos. 8. No se lleva control de los mantenimientos realizados. 9. No se controla el mantenimiento preventivo a los equipos de respaldo. 10. No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos. 11. No existen planes de contingencia al momento de falla de un equipo. 12. No se tiene control de los mantenimientos correctivos de los equipos. 10.5.2.3.

ANALISIS Y EVALUACIÓN DE RIESGO



Descripción

Impacto

Probabilidad

R1

Demora en solucionar fallas de equipos por falta de identificación de cableado.

2

5

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

129/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 N°

Descripción

Impacto

Probabilidad

R2

Fallas en el suministro de energía.

4

4

R3

Daño de equipos por ausencia de ventilación.

3

3

R4

Daño de elementos importantes en los equipos por ausencia de energía asistida.

5

4

R5

Posible de daño de equipos por mala señalización de las fuentes de energía.

3

3

R6

Desactualización de Software.

2

2

R7

Fallas de equipos por falta de mantenimientos preventivos.

4

5

R8

No se lleva control de los mantenimientos realizados.

3

3

R9

No se controla el mantenimiento preventivo a los equipos de respaldo.

4

4

No existe la documentación completa de todos los equipos R10 existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos.

3

2

R11

No existen planes de contingencia al momento de falla de un equipo.

4

5

R12

No se tiene control de los mantenimientos correctivos de los equipos.

4

3

10.5.2.4.

RESULTADO MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Moderado Menor (2) Mayor (4) (1) (3)

Catastrófico (5)

Raro (1) Improbable (2)

R6

Posible (3)

R3, R3, R8 R12

Probable (4) Casi Seguro (5)

R10 R2, R9

R1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

R4

R7, R11

130/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.3. N° R1

TRATAMIENTO DE RIESGOS Descripción

Demora en solucionar fallas de equipos por falta de identificación de cableado.

Tratamiento Riesgo Controlarlo

R2 Fallas en el suministro de energía.

Controlarlo

R3 Daño de equipos por ausencia de ventilación.

Transferirlo

R4

Daño de elementos importantes en los equipos por ausencia de energía asistida.

Transferirlo

R5

Posible de daño de equipos por mala señalización de las fuentes de energía.

Controlarlo

R6 Desactualización de Software. R7

Fallas de equipos por falta de mantenimientos preventivos.

Aceptarlo Controlarlo

R8 No se lleva control de los mantenimientos realizados.

Controlarlo

No se controla el mantenimiento preventivo a los equipos de respaldo.

Controlarlo

R9

No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás R10 documentos que puedan dar información sobre los equipos.

Controlarlo

R11

No existen planes de contingencia al momento de falla de un equipo.

Controlarlo

R12

No se tiene control de los mantenimientos correctivos de los equipos.

Controlarlo

10.5.4.

REPORTE DE HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

131/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-24

PROCESO AUDITADO

Mantenimiento de Equipos

RESPONSABLE

Jhonny Caicedo Velarde

MATERIAL DE SOPORTE

COBIT

DOMINIO

Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS13 Administración de Operaciones

DESCRIPCIÓN: Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Al momento en que presente fallas el fluido eléctrico comercial, los equipos se apagaran abruptamente, lo que puede ocasionar daños en sus partes internas como fuente de poder o componentes electrónicos de la tarjeta madre. RIESGO: Daño de elementos importantes en los equipos por ausencia de energía asistida. RECOMENDACIONES: Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

132/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-25

PROCESO AUDITADO

Mantenimiento de Equipos

RESPONSABLE

Jhonny Caicedo Velarde

MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS13 Administración de Operaciones

DESCRIPCIÓN: Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Posibles daños severos por revisión y/o cambio de cableado o elementos que se encuentren funcionando mal. RIESGO: Fallas de equipos por falta de mantenimientos preventivos. RECOMENDACIONES: Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

133/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-26

PROCESO AUDITADO

Mantenimiento de Equipos

RESPONSABLE

Jhonny Caicedo Velarde

MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS13 Administración de Operaciones

DESCRIPCIÓN: Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:  

Pérdida de tiempo del personal. Perdida de elementos de Hardware y/o información.

RIESGO: No existen planes de contingencia al momento de falla de un equipo. RECOMENDACIONES:   

Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

134/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-27

PROCESO AUDITADO

Mantenimiento de Equipos

RESPONSABLE

Jhonny Caicedo Velarde

MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE

1

DS13 Administración de Operaciones

DESCRIPCIÓN: Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:  

Recalentamiento de las partes internas de los equipos, ocasionando daño de estos. Incomodidad al personal por las altas temperaturas.

RIESGO: Daño de equipos por ausencia de ventilación. RECOMENDACIONES:  

Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

135/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

CAJASCOL S.A.S

REF

INFORME HALLAZGOS EN AUDITORIA

FH-28

PROCESO AUDITADO

Mantenimiento de Equipos

RESPONSABLE

Jhonny Caicedo Velarde

MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte

PROCESO

1

PÁGINA DE 1

DS13 Administración de Operaciones

DESCRIPCIÓN: Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:  

Consumo extra de corriente de la UPS. Posible daño de equipos por una mala conexión o alimentación de un equipo no permitido, como por ejemplo taladros o pulidoras.

RIESGO: Posible de daño de equipos por mala señalización de las fuentes de energía. RECOMENDACIONES:  

Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

136/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.5.

CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados

Tipo de Control

Soluciones o Controles

El respectivo cable de los equipos de cómputo no se encuentra debidamente marcado.

Preventivo

Se debe de marcar el cableado de los equipos, tanto de señal como de corriente.

No es confiable el sistema de respaldo cuando hay fallas del suministro de energía.

Correctivo

Se debe tener buenos equipos de soporte de energía como lo son UPS y Planta eléctrica.

Hay sitios donde se encuentran los equipos de cómputo que no tienen la temperatura adecuada para los mismos.

Preventivo

Se debe de controlar la temperatura de los equipos por medio de aires acondicionados.

Hay equipos que no se encuentran alimentados por la corriente asistida que proviene de la UPS.

Preventivo

Se debe realizar una revisión de cómo se encuentran conectados los equipos y al encontrar estos por fuera de la asistida, realizar las respectivas correcciones.

Se observan equipos diferentes a los de cómputo conectados a la corriente asistida, como por ejemplo ventiladores.

Preventivo

Crear políticas y controles que no permiten el mal uso de las tomas asistidas.

Se observa que el antivirus se encuentra desactualizado, al igual que el office.

Correctivo

Actualizar antivirus y demás programas que se encuentren obsoletos.

Hay equipos que no se les hace mantenimientos preventivos.

Preventivo

Implementar políticas de controles preventivos a todos los equipos de la organización.

No existe una bitácora o control de los mantenimientos que se les realiza a los equipos.

Preventivo

Elaborar y llevar control sobre los mantenimientos realizados a los equipos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

137/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

Riesgos o hallazgos encontrados

Tipo de Control

Soluciones o Controles

A los equipos de soporte no se les realiza mantenimiento preventivo hace más de un año.

Correctivo

Realizar mantenimiento a los equipos de acuerdo con la necesidad de estos, teniendo en cuenta la operatividad.

No se observan manuales de los equipos.

Preventivo

Al momento de adquirir equipos nuevos solicitar la documentación necesaria para cada uno de ellos.

No se tiene claro que se debe de realizar al momento de una falla en un equipo.

Correctivo

Establecer una ruta para el caso de que se debe de hacer en el momento de falla de un equipo, como para reponer al usuario afectado, como para la reparación del equipo.

No se tiene un registro o control de los mantenimientos correctivos de los equipos.

Correctivo

Crear formatos y/o registros que permitan llevar el control de los mantenimientos correctivos a los equipos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

138/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.6.

MODELO DE MADUREZ DS13 MODELO DE MADUREZ PROCESO

Fecha

05 de diciembre de 2018

Consecutivo

Proceso Auditado

Mantenimiento de Equipos

Responsable

Jhonny Caicedo Velarde

Material de Soporte

COBIT

PROCESO

DOMINIO

1

PAGINA DE 3 MM-05

Entregar y Dar Soporte

DS13. Administración de Operaciones. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ

Niveles de Clasificación La organización reconoce la necesidad de estructurar las funciones de soporte de TI. Se establecen algunos procedimientos estándar y las actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de operación son programados de manera informal y el procesamiento de peticiones se acepta sin validación previa. Las computadoras, sistemas y aplicaciones que soportan los procesos del negocio con frecuencia no están disponibles, se interrumpen o retrasan. Se pierde tiempo mientras los empleados esperan recursos. Los medios de salida aparecen ocasionalmente en lugares inesperados o no aparecen.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Cumplimiento por Nivel

2

139/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 2 DE 3 Consecutivo MM-05

MODELO DE MADUREZ PROCESO Fecha

04 de diciembre de 2018

Proceso Auditado

Mantenimiento de Equipos

Responsable

Jhonny Caicedo Velarde

Material de Soporte

COBIT

PROCESO

DOMINIO

Planear y Organizar

DS13. Administración de Operaciones.

La organización está consciente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de que hacer, cuando y en qué orden no están documentadas. Existe algo de habilitación para el operador y hay algunos estándares de operación formales. Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo. Se han asignado recursos y se lleva a cabo alguna habilitación durante el trabajo. Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia la gerencia. Se introduce el uso de herramientas de programación automatizadas y de otras herramientas para limitar la intervención del operador. Se introducen controles para colocar nuevos trabajos en operación. Se desarrolla una política formal para reducir el número de eventos no programados. Los acuerdos de servicios y mantenimiento con proveedores siguen siendo de naturaleza informal. Las operaciones de cómputo y las responsabilidades de soporte están definidas de forma clara y la propiedad está asignada. Las operaciones se soportan a través de presupuestos de recursos para gastos de capital y de recursos humanos. La habilitación se formaliza y está en proceso. Las programaciones y las tareas se documentan y comunican, tanto a la función interna de TI como a los clientes del negocio. Es posible medir y monitorear las actividades diarias con acuerdos estandarizados de desempeño y de niveles de servicio establecidos. Cualquier desviación de las normas establecidas es atendida y corregida de forma rápida. La gerencia monitorea el uso de los recursos de cómputo y la terminación del trabajo o de las tareas asignadas. Existe un esfuerzo permanente para incrementar el nivel de automatización de procesos como un medio de mejora continua. Se establecen convenios formales de mantenimiento y servicio con los proveedores. Hay una completa alineación con los procesos de administración de problemas, capacidad y disponibilidad, soportados por un análisis de causas de errores y fallas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

1

1

0

140/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PAGINA 3 DE 3 Consecutivo MM-05

MODELO DE MADUREZ PROCESO Fecha

04 de diciembre de 2018

Proceso Auditado

Mantenimiento de Equipos

Responsable

Jhonny Caicedo Velarde

Material de Soporte

COBIT

PROCESO

DOMINIO

Planear y Organizar

DS13. Administración de Operaciones.

Las operaciones de soporte de TI son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de servicio con una pérdida de productividad mínima. Los procesos de administración de operaciones de TI están estandarizados y documentados en una base de conocimiento, y están sujetos a una mejora continua. Los procesos automatizados que soportan los sistemas contribuyen a un ambiente estable. Todos los problemas y fallas se analizan para identificar la causa que los originó. Las reuniones periódicas con los responsables de administración del cambio garantizan la inclusión oportuna de cambios en las programaciones de producción. En colaboración con los proveedores, el equipo se analiza respecto a posibles síntomas de obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva. Promedio

10.5.7.

0

0,8

DICTAMEN AUDITORIA PROCESO DS13

Objetivo de la Auditoria: Verificar que la empresa auditada maneje normas y controles de calidad que conlleven al uso eficiente de sus recursos, también se revisara si se están realizando los inventarios de los equipos para el control de los activos de la empresa, verificar si se tiene un plan de mantenimiento de los equipos que ayude a reducir riesgos y/o fallas de los equipos. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que la empresa reconoce la necesidad de implementar controles de mantenimientos para los equipos y los lleva casualmente y tener claridad en su periodicidad e importancia de estos, no se le da la importancia de llevar registros de los mantenimientos realizados, no garantizan la continuidad de la operación de la empresa en casos de falla de los equipos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

141/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

10.5.7.1.     

Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios

10.5.7.2.         

Hallazgos que soportan el Dictamen

Recomendaciones:

Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS. Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas. Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función. Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS. Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.

11. PRUEBAS Se anexa carpeta de pruebas fotográficas, donde se evidencia falta de seguridad perimetral, riesgo de inundación y riesgos de incendio. Por políticas de seguridad no se me autorizo fotografiar servidor ni tomar pantallazos de aplicaciones.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

142/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

12. INFORME FINAL AUDITORIA A continuación, se presenta un informe general de los hallazgos y recomendaciones por cada proceso auditado. 12.1. OBJETIVO GENERAL DE LA AUDITORIA Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol 12.2. HALLAZGOS Y RECOMENDACIONES POR PROCESO PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos 

No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos



No hay supervisión de los procesos que realizan los usuarios en los equipos de computo



Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas



Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática



Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas.



Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Recomendaciones 

Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.



Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.



Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.

143/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos 

Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista.



Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Recomendaciones 

Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.



Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.



Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.



Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas



Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso

144/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Reporte de Hallazgos 

Desconocimiento del plan para adquirir la infraestructura tecnológica



El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.



Perdida de la trazabilidad e historia en los registros de la empresa



Descarga apertura o instalación de programas o documentos infectados.



No se considera al área de TI en los planes de capacitación.



Desconocimiento del plan para adquirir la infraestructura tecnológica

Recomendaciones 

Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.



Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.



Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.



Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.



Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

145/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Reporte de Hallazgos

Recomendaciones



Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet.



Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.



Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.



Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.



Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica.



Implementar segura.



Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.



Tener como máximo dos usuarios con rol administrador.



Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.



Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.



Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso.



Se evidencia que varios usuarios están creados en el directorio activo como administradores.



Se identificó que no existe control sobre las máquinas virtuales (remoto).

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

políticas

de

contraseña

146/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

DS12 ADMINISTRAR EL AMBIENTE FÍSICO Reporte de Hallazgos 

No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.



Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución



falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa





Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Recomendaciones 

Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa



Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones



Realizar mantenimiento y reparación de los equipos de monitoreo



Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas



Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.



Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.

147/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

DS13 ADMINISTRACIÓN DE OPERACIONES Reporte de Hallazgos

Recomendaciones



Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna.



Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.



Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos.



Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.



Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir.



Elaborar una ruta a seguir para el caso de daños de equipos.



Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema.



Tener una persona encargada de esta función.



Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo.



Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.



Señalizar las tomas de acuerdo con las respectivas normas.



Capacitar al personal del uso adecuado de estas tomas.





Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

148/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

13. CONCLUSIONES Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para planificar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron unos hallazgos que se presentaron a la gerencia de Cajascol y se propusieron algunos controles para mitigar o controlar los riesgos existentes. Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

149/150.

Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168

14.

REFERENCIAS BIBLIOGRAFICAS

INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

de

CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoriacobit.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS. Recuperado el 23 de octubre de 2018, de http:// http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

150/150.

Related Documents

Fase 1_fabianmontoya.doc
December 2019 27
Fase Genital.pdf
May 2020 16
Fase Viii
April 2020 14
Fase 2
November 2019 50
Fase Ii
November 2019 29
Fase I.docx
May 2020 20

More Documents from "Maikol Castellano"