Fase 5_90168_41.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Fase 5_90168_41.docx as PDF for free.
More details
- Words: 35,361
- Pages: 151
AUDITORIA DE SISTEMAS FASE 5 RESULTADOS DE LA AUDITORIA
PRESENTADO POR: KATHERINE ZAPATA MOSQUERA COD: 1113523654 JOHN JAIRO MARTINEZ TORRES COD: 94504963 WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557 JHONNY CAICEDO VELARDE COD: 94329937 JAIRO ANGULO COD: 94229202 GRUPO: 90168_41 CEAD: PALMIRA
TUTOR: FRANCISCO NICOLAS SOLARTE SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA PROGRAMA DE INGENIERIA DE SISTEMAS 10 DE DICIEMBRE DE 2018
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 CONTENIDO
INTRODUCCIÓN ......................................................................................................................... 6 OBJETIVO GENERAL ................................................................................................................ 7 OBJETIVOS ESPECÍFICOS...................................................................................................... 7 1. DESCRIPCION EMPRESA A AUDITAR .......................................................................... 8 2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL ............ 13 3. PLAN DE AUDITORIA CAJASCOL................................................................................ 20 3.1.
OBJETIVOS DE LA AUDITORIA................................................................................. 20
3.1.1.
OBJETIVO GENERAL DE LA AUDITORIA ........................................................... 20
3.1.2.
OBJETIVOS ESPECIFICOS ..................................................................................... 20
3.2.
ALCANCE DE LA AUDITORIA .................................................................................... 21
3.3.
METODOLOGIA A APLICAR ....................................................................................... 22
3.4.
RECURSOS NECESARIOS ......................................................................................... 22
3.5.
CRONOGRAMA DE ACTIVIDADES ........................................................................... 24
4. ESTANDAR A APLICAR EN LA AUDITORIA ............................................................... 25 5. PROCESOS PARA EVALUAR ........................................................................................ 25 5.1.
PLANEACION Y ORGANIZACIÓN (PO) ................................................................... 25
5.1.1.
PO4 Definir los Procesos, Organización y Relaciones de TI ........................ 25
5.1.1.1.
PO4.5 Estructura Organizacional ...................................................................... 25
5.1.1.2.
PO4.6 Establecimiento de Roles y responsabilidades ................................ 26
5.1.1.3.
PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento ........... 26
5.1.1.4.
PO4.9 Propiedad de datos y de sistemas ....................................................... 26
5.1.1.5.
PO4.10 Supervisión ............................................................................................... 26
5.1.1.6.
PO4.11 Segregación de funciones .................................................................... 26
5.1.1.7.
PO4.13 Personal Clave de TI .............................................................................. 27
5.2.
ADQUIRIR E IMPLEMENTAR (AI) .............................................................................. 27
5.2.1.
AI3 Adquirir y Mantener Infraestructura Tecnológica ..................................... 27
5.2.1.1.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica ........................ 27
5.2.1.2.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura .......... 27
5.2.1.3.
AI3.3 Mantenimiento de la Infraestructura ...................................................... 28
5.2.1.4.
AI3.4 Ambiente de Prueba de Factibilidad ...................................................... 28
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.3.
Entregar y Dar Soporte (DS) ...................................................................................... 28
5.3.1.
DS5 Garantizar la Seguridad de los Sistemas ................................................... 28
5.3.1.1.
DS5.3 Administración de Identidad .................................................................. 28
5.3.1.2.
DS5.4 Administración de Cuentas del Usuario. ............................................ 29
5.3.1.3.
DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad. ................................ 29
5.3.1.4.
DS5.10 Seguridad de la Red ............................................................................... 29
5.3.2.
DS12 Administrar el Ambiente Físico .................................................................. 29
5.3.2.1.
DS12.1 Selección y Diseño del Centro de Datos .......................................... 30
5.3.2.2.
DS12.2 Medidas de Seguridad Física. .............................................................. 30
5.3.2.3.
DS12.3 Acceso Físico. .......................................................................................... 30
5.3.2.4.
DS12.4 Protección Contra Factores Ambientales......................................... 30
5.3.2.5.
DS12.5 Administración de Instalaciones......................................................... 30
5.3.3.
DS13 Administración de Operaciones ................................................................. 30
5.3.3.1.
DS13.1 Procedimientos e instrucciones de operación. .............................. 31
5.3.3.2.
DS13.2 Programación de Tareas ....................................................................... 31
5.3.3.3.
DS13.5 Mantenimiento Preventivo del Hardware.......................................... 31
6. ASIGNACION PROCESOS POR AUDITOR ................................................................. 31 7. INSTRUMENTOS DE RECOLECCION .......................................................................... 32 7.1.
FUENTES DE CONOCIMIENTO.................................................................................. 32
7.2.
FORMATO DE LISTAS DE CHEQUEO ...................................................................... 34
7.3.
FORMATO DE ENTREVISTA ....................................................................................... 34
7.4.
FORMATO DE CUESTIONARIO ................................................................................. 35
8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA......................... 36 9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO ..................................... 36 10.
EJECUCION Y RESULTADOS AUDITORIA ............................................................. 38
10.1.
PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 39
10.1.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 39
10.1.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 39
10.1.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 40
10.1.1.3.
FORMATO DE ENTREVISTA ............................................................................ 41
10.1.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 44
10.1.1.4.1.
PORCENTAJE DE RIESGO .......................................................................... 45
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.2.
ANALISIS Y VALORACION DE RIESGOS ........................................................ 45
10.1.2.1.
RIESGOS INICIALES ......................................................................................... 45
10.1.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 46
10.1.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 46
10.1.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 47
10.1.3.
TRATAMIENTO DE RIESGOS .............................................................................. 48
10.1.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 49
10.1.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 57
10.1.6.
MODELO DE MADUREZ PO4 .............................................................................. 59
10.1.7.
DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 61
10.1.7.1.
Hallazgos que soportan el Dictamen ............................................................ 61
10.1.7.2.
Recomendaciones: ............................................................................................ 62
10.2.
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA .......... 63
10.2.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 63
10.2.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 63
10.2.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 65
10.2.1.3.
FORMATO DE ENTREVISTA ............................................................................ 66
10.2.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 68
10.2.1.4.1. 10.2.2.
PORCENTAJE DE RIESGO .......................................................................... 69
ANALISIS Y VALORACION DE RIESGOS ........................................................ 69
10.2.2.1.
RIESGOS INICIALES ......................................................................................... 69
10.2.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 70
10.2.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 70
10.2.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 71
10.2.3.
TRATAMIENTO DE RIESGOS .............................................................................. 71
10.2.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 73
10.2.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 78
10.2.6.
MODELO DE MADUREZ PO4 .............................................................................. 80
10.2.7.
DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 82
10.2.7.1.
Hallazgos que soportan el Dictamen ............................................................ 82
10.2.7.2.
Recomendaciones: ............................................................................................ 82
10.3.
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS................................ 83
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
3/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 83
10.3.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 83
10.3.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 85
10.3.1.3.
FORMATO DE ENTREVISTA ............................................................................ 86
10.3.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 88
10.3.1.4.1. 10.3.2.
PORCENTAJE DE RIESGO .......................................................................... 89
ANALISIS Y VALORACION DE RIESGOS ........................................................ 89
10.3.2.1.
RIESGOS INICIALES ......................................................................................... 89
10.3.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 90
10.3.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 90
10.3.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 91
10.3.3.
TRATAMIENTO DE RIESGOS .............................................................................. 91
10.3.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 92
10.3.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 98
10.3.6.
MODELO DE MADUREZ PO4 ............................................................................ 100
10.3.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 102
10.3.7.1.
Hallazgos que soportan el Dictamen .......................................................... 103
10.3.7.2.
Recomendaciones: .......................................................................................... 103
10.4.
DS12 ADMINISTRAR EL AMBIENTE FÍSICO .................................................... 104
10.4.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 104
10.4.1.1.
FUENTES DE CONOCIMIENTO..................................................................... 104
10.4.1.2.
FORMATO DE LISTAS DE CHEQUEO ......................................................... 105
10.4.1.3.
FORMATO DE ENTREVISTA .......................................................................... 106
10.4.1.4.
FORMATO DE CUESTIONARIO .................................................................... 108
10.4.1.4.1. 10.4.2.
PORCENTAJE DE RIESGO ........................................................................ 109
ANALISIS Y VALORACION DE RIESGOS ...................................................... 109
10.4.2.1.
RIESGOS INICIALES ........................................................................................110
10.4.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ...........................110
10.4.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO.......................................................110
10.4.2.4.
RESULTADO MATRIZ DE RIESGOS ............................................................. 111
10.4.3.
TRATAMIENTO DE RIESGOS .............................................................................112
10.4.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ...........................................112
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
4/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.5.
CONTROLES O SOLUCIONES PROPUESTAS ..............................................118
10.4.6.
MODELO DE MADUREZ PO4 .............................................................................119
10.4.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 121
10.4.7.1.
Hallazgos que soportan el Dictamen .......................................................... 122
10.4.7.2.
Recomendaciones: .......................................................................................... 122
10.5.
DS13 ADMINISTRACIÓN DE OPERACIONES .................................................. 123
10.5.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 123
10.5.1.1.
FUENTES DE CONOCIMIENTO..................................................................... 123
10.5.1.2.
FORMATO DE LISTAS DE CHEQUEO ......................................................... 124
10.5.1.3.
FORMATO DE ENTREVISTA .......................................................................... 125
10.5.1.4.
FORMATO DE CUESTIONARIO .................................................................... 127
10.5.1.4.1. 10.5.2.
PORCENTAJE DE RIESGO ........................................................................ 128
ANALISIS Y VALORACION DE RIESGOS ...................................................... 129
10.5.2.1.
RIESGOS INICIALES ....................................................................................... 129
10.5.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS .......................... 129
10.5.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO...................................................... 129
10.5.2.4.
RESULTADO MATRIZ DE RIESGOS ............................................................ 130
10.5.3.
TRATAMIENTO DE RIESGOS ............................................................................ 131
10.5.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA .......................................... 131
10.5.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................. 137
10.5.6.
MODELO DE MADUREZ PO4 ............................................................................ 139
10.5.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 141
10.5.7.1.
Hallazgos que soportan el Dictamen .......................................................... 142
10.5.7.2.
Recomendaciones: .......................................................................................... 142
11.
CONCLUSIONES ......................................................................................................... 149
12.
REFERENCIAS BIBLIOGRAFICAS ......................................................................... 150
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
5/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
INTRODUCCIÓN En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos claves que ayudaran a sacar una auditoria adelante, tales conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener controladas las amenazas. Una ejecución de auditoria a los sistemas informáticos de una empresa es imprescindible para lograr la utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones; con los planes programados de auditoria se le permite a la compañía evaluar todo, desde la informática, la organización de los centros de información, hasta el hardware y software, brindando así sistemas confiables y con buenos niveles de seguridad. En el presente trabajo se pretende hacer una ejecución de auditoria a la empresa Cajascol, iniciando desde plan de auditoria, posteriormente la ejecución de esta y por último los resultados e informe final de la auditoria para la empresa Cajascol centrándose en aspectos como: evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema, para ello se evaluaran proceso críticos del sistema y sus objetivos de control, los procesos que se evaluaran serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de Operaciones. En la parte final del documento se presentan las referencias bibliográficas exploratorias del tema, que puede servir de insumo académico para los interesados en la temática. Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de agrado para los lectores que tengan la oportunidad de leer este documento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
6/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
OBJETIVO GENERAL Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol OBJETIVOS ESPECÍFICOS Describir las vulnerabilidades, amenazas y riesgos informáticos de la empresa Propuesta. Realizar plan de auditoria incluyendo, objetivos, alcance, metodología, recursos y cronograma de actividades de la auditoria. Seleccionar ítems que serán evaluados y sus objetivos de control, verificando que estén relacionados con el objetivo de la auditoria. Realizar instrumentos para el desarrollo de la auditoria y recolección de información como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas. Ejecutar ejercicio de auditoria apoyándose en los instrumentos de recolección de información diseñados Determinar tratamiento de riesgos para cada proceso, de acuerdo con la matriz de riesgos generada en el ejercicio de auditoria. Elaborar un formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos encontrados en el proceso teniendo como base los resultados de la matriz de riesgos. Para cada proceso elaborar un cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperación). Presentar niveles de madurez, la interpretación de la escala de valoración y dictamen de la auditoria para cada proceso, teniendo en cuenta los hallazgos encontrados y el nivel de riesgo. Elaborar el informe final de auditoría donde se muestre los hallazgos y recomendaciones
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
7/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
1. DESCRIPCION EMPRESA A AUDITAR CAJAS COLOMBIANAS S.A.S. Es una empresa de artes gráficas fundada en Cali en 1971, se encuentra ubicada en la recta Cali – Palmira, departamento del Valle del Cauca, Colombia. Inició sus actividades con la producción y comercialización de materiales de empaque como particiones divisiones y cajas plegadizas en bajo volumen, posteriormente en los años 80, incrementa su capacidad de producción modernizando su tecnología y desde aquella época ha seguido su crecimiento ascendente, en los años 90 desarrolló la producción de empaques micro corrugados. Hoy en día cuenta con instalaciones propias, equipos con tecnología avanzada corrugación en flautas E y B, conversión de materiales, tecnología alemana en equipos de impresión, laminación y troquelado, además de contar con personal experimentado. Sus productos están dirigidos principalmente a empresas productoras de Artículos para el Hogar, Calzado, Licores, Electrodomésticos, Alimentos, Jugueterías, Cristalería, Artículos industriales, etc. Está comprometida con la protección y preservación del medio ambiente, contribuyendo activamente dado que sus productos son reciclables y sus procesos tienen en cuenta las buenas prácticas ambientales en el marco de la producción más limpia. Cajascol se dedica a la fabricacion y comercializacion de empaques en microcorrugado y plegadiza, tambien fabrica y comercializa tazones y vasos de carton, a continuacion se presentan sus lineas de producto: LINEA DE PRODUCCION
DETALLE LINEA Línea MICROPACK. Fabricamos empaques en micro corrugado en flautas E y B. Línea RECYPACK. Elaboramos empaques en cartón plegadizo Línea RECYCUPS. Fabricamos envases en cartón impermeable para bebidas frías y calientes.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
8/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
9/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Localización Cajascol se encuentra ubicada en las afueras de Cali, en la vía Palmira, su dirección es Tv. 1 #0 Sur-1 a 0 Sur-181 Palmira, Valle del Cauca
DESCRIPCION AREA INFORMATICA: Para Cajascol es vital que fluya la información para toma de decisiones, para eso cuenta con 30 equipos en las diferentes áreas conectados a una red a través de un servidor HP ubicado en el UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
10/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 área de sistemas,
SISTEMAS DE INFORMACION: En su parte contable Cajascol cuenta con el paquete de Siigo
Para sus procesos productivos se desarrolló una aplicación a la medida de Cajascol, llamada Cajisote .
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
11/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
RECURSOS INFORMATICOS: Cajascol cuenta con un servidor HP Proliant microserver y 30 equipos todos con Windows, distribuidos así, 2 Equipos con Windows 10, 26 equipo con Windows 8.1 y 2 equipos con Windows 7. Para apoyar al área de ventas y visibilidad de marca Cajascol cuenta con un dominio y hosting, proporcionado por doñee e industrial media, su dominio es www.cajascol.com Los equipos tienen el paquete de office en su versión 2013 y en cuanto a cuentas de correo cuentan con el servicio de Outlook 365 comprado y administrado a través de IFX Todos los equipos están conectados a una red de energía regulada por una potente UPS, que permite una autonomía de 30 minutos en caso de corte del fluido eléctrico, el servidor está conectado a su propia UPS y para contar con respaldo de información tiene un arreglo de discos RAID para tener un espejo de la información. Para control de amenazas todos los equipos cuentan con el antivirus Kasperky y se ha modificado su host para control de acceso a ciertas páginas web. Toda la red de la empresa es por cable trenzado UTP cat 6, aunque en dos puntos se cuenta con routers inalámbricos y a su vez dos zonas wifi en auditorio y oficinas. Se cuenta con una impresora central de marca Ricoh mp201, aunque en zonas alejadas se tienen 3 impresoras hp 1101 FUNCIONES PERSONAL AREA INFORMATICA: Cajascol cuenta con una ingeniera de sistemas que tiene como funciones:
Que todos los equipos mantengan conectividad y permanezcan en el dominio. Interacción con el proveedor de internet para evitar o subsanar perdidas de conexión. Hacer respaldos periódicos de información tanto a Cajasoft como al sistema contable. Hacer mantenimiento físico a la red, así como conectar nuevos puntos. Mantenimiento preventivo de equipos. Control y seguimiento al consumo de ancho de banda, para evitar colapsos en la red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
12/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL A continuación, se presenta cuadro de vulnerabilidades, amenazas y riesgos que afectan a Cajascol y los activos informáticos involucrados. VULNERABILIDADES
AMENAZAS
RIESGOS
ACTIVOS
Ausencia de política de desarrollo de software
Al momento de instalar nuevos programas no se tiene una política de instalación, ni uso.
Incompatibilidad en programas y/o sistemas operativos.
Desarrollo de software
Equipos obsoletos que no cumplen las características mínimas para ejecutar programas actuales.
Falta de software para la realización de alunas tareas
Incompatibilidad con software actual
Hardware y software
Consumo de bebidas en el lugar de trabajo
Por descuido derramen liquido en los equipos de computo
Daños en los dispositivos tecnológicos.
Hardware
Hay equipos de cómputo expuestos a altas temperaturas
Recalentamiento en piezas sensibles de los equipos como bordo, tarjetas gráficas y discos duros
Daño en las board y discos duros, por ende, perdida de información
Hardware
La ubicación de la empresa se encuentra muy cerca del rio Cauca
Amenaza de inundación por creciente del rio en temporada de lluvias
Daño de equipos de computo
Hardware
Muchos equipos de cómputo no están conectados a la red regulada de energía No hay programa de mantenimiento físico para equipos de cómputos, el ultimo mantenimiento registrado fue hace 2 años
Se pueden presentar cambios repentinos de voltaje por conexión de otros equipos o herramientas
Daño de fuentes de poder, perdidas de información por daños en discos duros
Hardware
Mal funcionamiento por exceso de polvo que aísla contactos
Daño de equipos de cómputos y perdida de información
Hardware
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
13/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
No se encuentra registro de mantenimiento de equipos ni al área de sistemas
Doble costo por servicios ya prestados
Se cuenta con bodega abierta de materiales reciclables
Material propenso a incendios
Solo se hacen mantenimientos correctivos con una persona externa
Operarios inactivos al esperar que el proveedor externo agende cita
Fallas en el suministro de energía.
Caídas de voltaje.
Pocos controles para el acceso al edificio
Acceso no autorizado a las diferentes áreas
El espacio de los cubículos de los pc es muy reducido.
Personas poco cuidadosas
Caída de elementos de hardware como mouse y teclado
El router e encuentra instalado en un lugar que es accesible a personal no autorizado.
Cualquier persona podría desconectar o dañar el Router.
Reuter mal ubicado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS Perdida de capital Daño de equipos de cómputo e infraestructura física Mayor inversión en compra de partes o equipos dañados No se cuenta con un respaldo de energía (Ups), al momento de que esta varíe o se ausente, lo que puede ocasionar daños en hardware de la empresa. Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. Así como hurto de información
14/150.
ACTIVOS Hardware Hardware Hardware
Hardware.
Humano/Seguridad Física
Infraestructura física. Redes.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Router sin identificadores
Las conexiones de red no están plenamente identificadas.
Falta de conciencia de seguridad
Los colaboradores acceden a múltiples sitios web
Falta de una política de contraseñas seguras
Acceso de usuarios externos no autorizados
Solo funcionan correctamente 5 de 16 cámaras instalas en la empresa
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Exposición de los equipos ante un posible malware oculto
Uso de software ilegal
El respaldo de información del servidor es un disco espejo en el mismo servidor Ataques Informáticos
Robo del servidor o daño de este por siniestro Inclusión de virus, malware, gusanos, troyanos y otros atacantes.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
Se puede desconectar o trabajar en otro equipo que no es el que presente el problema. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) Perdida de integralidad, Alteración de la información Perdida de capital y activos de la empresa
Redes.
Ataques maliciosos, virus mal intencionados. Así como multas por uso indebido Perdida de todos los registros de la empresa
Seguridad Lógica
Daño en software hardware, perdida de información.
Seguridad lógica.
15/150.
Seguridad Lógica
Seguridad Lógica Seguridad Lógica
Seguridad Lógica
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Ausencia de sistemas de Backup.
Pérdida de Información.
Falta ancho de Banda
Equipos lentos al ejecutar tareas que necesiten internet.
Ausencia de planes para recuperación de información
Daño o perdida
El acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario Hay una carpeta publica en el servidor donde cualquier usuario tiene acceso
Robo del servidor o manipulación de este
Muchos usuarios están creados en el directorio activo como administradores
Dados sus privilegios podrían instalar ejecutables o usar contraseñas de activación no válidas para software
Amenaza de origen humano sea por impericia o mala intención
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
No se cuenta con sistemas que sirvan como copias de seguridad para restaurar información en el caso de daños graves en los equipos. Falta de capacidad de banda ancha para las videoconferencias y juegos en línea. No se realizan copias de seguridad de manera periódica de la información sensible. Perdida de información, modificación o eliminación de cuentas de usuario
Seguridad Lógica.
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado
Seguridad Lógica/ Bases de Datos
16/150.
Seguridad Lógica.
Seguridad lógica
Seguridad Lógica/ Bases de Datos
Seguridad Lógica/ Bases de Datos
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
El cuarto donde está el servidor se encuentra lleno de archivo de contabilidad y archivo muerto
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
No hay suficiente capacitación a usuarios de aplicativos
Se puede presentar una amenaza de tipo humano por impericia.
Sistemas o aplicaciones desactualizadas
interrupción en un recurso de la red o del sistema
Falta de conocimiento de los usuarios en el tema de seguridad informática y de la información
Acceso a sitios web no autorizados
Antivirus desactualizado o carencia de este
Fácil entrada de virus espías o destructivos al sistema
carencia de controles en las máquinas virtuales (remoto)
Perdida de información
Uso de protocolos de redes inseguros (WEP),
La red está expuesta a ataques informáticos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
Daño del servidor por recalentamiento o incendio y por ende perdida de información. Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Acceso a información confidencial.
Seguridad Lógica/ Bases de Datos /Hardware
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Sustracción de información valiosa que pueda comprometer a la empresa Eliminar información importante y perdida de la confidencialidad Acceso a la red de la organización
Sistema de información
17/150.
Seguridad Lógica/ Bases de Datos /Hardware Sistema de información
Sistema de información Sistema de información/bases de datos Sistema de información/bases de datos, Software
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Caída constante de la red
Información incompleta, Información desfasada
Falta de registro en el ingreso y egreso de dispositivos o periféricos
Hurto de información
Ausencia de equipos de continencia
perdida o retraso en la información
No hay control en el uso de dispositivos extraíbles como memorias USB o discos duros portátiles No hay restricción de permisos para los usuarios del sistema informático
que se ejecuten de manera automática programas dañinos desde la USB
No hay trazabilidad de registros en el sistema informático
Amenaza de origen humano sea por impericia o mala intención
Solo hay una persona que presta soporte al sistema informático
Que esta persona deje de prestar soporte
Amenaza de origen humano sea por impericia o mala intención
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS Realizar acciones incoherentes, así como información no integra Perdida de confidencialidad e integralidad de la información Retraso en las actividades a desarrollar Sustracción de la información, perdida de confidencialidad y contagio de virus Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Perder trazabilidad e historia en los registros de la empresa
18/150.
ACTIVOS Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
RIESGOS
ACTIVOS
Registro y seguimiento insuficientes en los servicios Implementados en la nube con poca seguridad (Google drive) Calidad y oportunidad de servicio en proveedores
Facilidad de acceso a la nube (drive)
Descarga apertura o instalación de programas o documentos infectados.
Sistema de información/Software/h ardware
Clientes insatisfechos que buscan otros locales.
Talento humano y hardware
No hay una persona de planta que preste soporte al área de sistemas
Operarios inactivos al esperar que el proveedor externo agende cita
Carencia de sistemas de seguridad de última tecnología
Criminalidad
Edificación antigua que no cumple con los estándares seguridad
Incendio, Inundación, Sismo
Equipo sin funcionamiento por un determinado tiempo. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna Atentado contra la integridad física de las personas e instalaciones destrucción de las edificaciones y sus activos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
19/150.
Talento humano y hardware
Humano/hardware Humano/hardware
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3. PLAN DE AUDITORIA CAJASCOL Después de haber hecho el reconocimiento de la empresa y haber establecido sus vulnerabilidades, amenazas y riesgos se identifican puntos críticos como la seguridad de la información, la infraestructura física y aspectos concernientes con el mantenimiento.
3.1.
OBJETIVOS DE LA AUDITORIA
De acuerdo con lo anterior se definen los objetivos de la auditoria. 3.1.1. OBJETIVO GENERAL DE LA AUDITORIA Realizar una auditoria en sistemas que permita evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol. 3.1.2. OBJETIVOS ESPECIFICOS Objetivo 1: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Objetivo 2: Construir el plan de auditorías, para ello se elaborará y hará uso de los diferentes elementos de recolección de información, se establecerán las pruebas y los procesos a los cuales se les aplicara. Objetivo 3: Ejecutar el plan de pruebas y emplear las herramientas de recolección de datos, que lleven a determinar los riesgos que se presentan en la seguridad lógica, bases de datos, y en el soporte de la infraestructura tecnológica de la organización. Consolidándolos en una matriz de riesgos que facilitara medir su nivel y estimar el impacto que causa en las actividades de la organización. Objetivo 4: Teniendo en cuenta los hallazgos del ejercicio de auditoria, presentar el informe de resultados de la auditoria, con los resultados y recomendaciones que sirvan para disminuir la presencia de los riegos en las diferentes áreas involucradas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
20/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.2.
ALCANCE DE LA AUDITORIA
A continuación, se presentan los aspectos más relevantes que se evaluaran en la auditoria de sistemas que se realizara a la empresa Cajascol de la ciudad de Cali, los cuales se detallan a continuación: Seguridad lógica:
La confiabilidad de las contraseñas de acceso al sistema de información. Restricción con la que cuentan los usuarios frente al acceso a la web. Que se disponga de un servidor alternativo para uso de Backus de la información. Que el software empleado en la organización se encuentre bajo las condiciones legales establecidas. Así como el uso de antivirus.
Infraestructura tecnológica de soporte: En la infraestructura tecnológica se ven involucrados distintos componentes: Redes de datos:
Protección del cableado estructurado. Contraseñas de acceso a la red. Seguridad de los protocolos encargados de la comunicación de datos de la red.
Hardware:
Registro del hardware, dado de baja, proceso de adquisición, (bitácora). Seguridad de los dispositivos tecnológicos. Distribución del hardware en la organización.
Mantenimiento:
Revisión hojas de vida de activos informáticos. Revisión registro de bitácoras de mantenimiento. Plan de mantenimiento preventivo en equipos informáticos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
21/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.3.
METODOLOGIA A APLICAR
Para cumplir con los objetivos es necesario seguir los siguientes pasos: Metodología para Objetivo 1 Solicitar la documentación del área de informática de Cajascol Solicitar topología de red Conocer las políticas de seguridad establecidas para los sistemas de información. Solicitar inventario de equipos informáticos y hoja de vida de estos Requerir la bitácora de Mantenimiento de Cajascol. Metodología para Objetivo 2 Elaboración del plan de auditoria Diseño de formato de encuestas y entrevistas Metodología para Objetivo 3 Visita para la recolección de información. Realizar entrevista con el líder del área informática y soporte. Aplicar una encuesta a los usuarios, para identificar las posibles fallas en la infraestructura tecnológica. Recopilación de información. Evaluar la infraestructura tecnológica y soporte. Evaluar la seguridad física. Evaluar la seguridad lógica Evaluar la seguridad e integridad de los sistemas de información Metodología para Objetivo 4 Consolidación del informe de auditoria Análisis preliminar de la información recolectada Presentación y entrega del informe de auditoría
3.4.
RECURSOS NECESARIOS
A continuación, se enuncian los recursos necesarios para llevar a cabo la auditoria en la empresa Cajascol, se contemplarán recursos como el aspecto humano, físico, tecnológico y recursos económicos. Recursos humanos: Está compuesto por el grupo auditor que llevara a cabo el ejercicio de auditoria y son integrantes de grupo 41 del curso de auditoria en sistemas de la UNAD, los cuales son:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
22/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Katherine Zapata Jonny Caicedo Jhon Jairo Martínez Jairo Angulo Wilder Alejandro Flórez
Por parte de la empresa Cajascol se cuenta con el apoyo del ingeniero Jorge Barco Gómez quien es director operativo de la compañía. Recursos físicos: La auditoría se llevará a cabo en la empresa Cajascol de la ciudad de Cali, propiamente a la infraestructura tecnológica de soporte y de hardware, la seguridad lógica, y seguridad en bases de datos del sistema de información. Recursos tecnológicos: Cámara digital para la toma de evidencias (fotografías y videos), computador portátil para almacenar y procesar la información obtenida, grabadora de voz digital para las entrevistas presenciales, modem para garantizar la conexión a internet e impresora. Recursos económicos: ÍTEM
CANTIDAD
VALOR UNITARIO
SUBTOTAL
Cámara Digital
1
$230.000
$230.000
Computador
2
$1.600.000
$3.200.000
Impresora
1
$265.000
$265.000
$120.000
$120.000
$105.000
$105.000
Viáticos alimentación
$200.000
$200.000
Transporte
$200.000
$200.000
$1.000.000
$3.000.000
Artículos de Papelería Modem + Conexión a internet
Honorarios equipo auditor
1
3
Total $7.320.000
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
23/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.5.
CRONOGRAMA DE ACTIVIDADES
A continuación, se presenta cronograma de actividades para dar cumplimiento al ejercicio de auditoria:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
24/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4. ESTANDAR A APLICAR EN LA AUDITORIA Se utilizará la metodología COBIT, donde se seleccionan los dominios, procesos y algunos objetivos de control que están en relación directa con el objetivo y los alcances que han sido definidos en el plan de auditoría 5. PROCESOS PARA EVALUAR A continuación, se relacionan los dominios y los objetivos de control que se evaluaran durante el proceso de auditoria
5.1.
PLANEACION Y ORGANIZACIÓN (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. 5.1.1. PO4 Definir los Procesos, Organización y Relaciones de TI Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno o más comités de dirección, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión. 5.1.1.1.
PO4.5 Estructura Organizacional
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Además, implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
25/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.1.2.
PO4.6 Establecimiento de Roles y responsabilidades
Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y lo des y rendición de cuentas para alcanzar las necesidades del negocio.
5.1.1.3.
PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles de responsabilidad de los riesgos críticos para administrar los incluyendo la responsabilidad específica de la seguridad de la información, la seguridad riesgos de TI, incluyendo física y el cumplimiento. Establecer responsabilidad sobre la administración del riesgo y la seguridad a nivel de toda la organización para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. Obtener orientación de la alta dirección con respecto al apetito de TI y la aprobación de cualquier riesgo residual de TI. 5.1.1.4.
PO4.9 Propiedad de datos y de sistemas
Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los dueños toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo con esta clasificación. 5.1.1.5.
PO4.10 Supervisión
Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeño. 5.1.1.6.
PO4.11 Segregación de funciones
Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
26/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.1.7.
PO4.13 Personal Clave de TI
Definir e identificar al personal clave de TI desempeñando una función de trabajo minimizar la dependencia en un solo individuo de trabajo crítica.
5.2.
y
ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas en los procesos del negocio. Se debe tener presente que dentro de este dominio se cubre el cambio y el mantenimiento de los sistemas existentes. 5.2.1. AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. 5.2.1.1.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. 5.2.1.2.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
27/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.2.1.3.
AI3.3 Mantenimiento de la Infraestructura
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. 5.2.1.4.
AI3.4 Ambiente de Prueba de Factibilidad
Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
5.3.
Entregar y Dar Soporte (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. 5.3.1. DS5 Garantizar la Seguridad de los Sistemas Para proteger los activos de TI en la empresa Cajascol se debe minimizar el impacto causado por las vulnerabilidades identificadas en la seguridad lógica, por lo tanto, se requiere de un proceso de administración de seguridad, el cual, define roles y responsabilidades de seguridad al momento de suministrar los datos de acceso al sistema de información (usuarios y contraseñas), este proceso también incluye la realización de monitoreos de seguridad y pruebas periódicas. 5.3.1.1.
DS5.3 Administración de Identidad
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema de información y los datos están en línea con las necesidades de la empresa Cajascol, las cuales, están definidas y documentadas, al igual que los requerimientos de trabajo están adjuntos a las identidades del usuario. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
28/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso. 5.3.1.2.
DS5.4 Administración de Cuentas del Usuario.
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa Cajascol deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados. 5.3.1.3.
DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad.
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser desacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. 5.3.1.4.
DS5.10 Seguridad de la Red
Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. 5.3.2. DS12 Administrar el Ambiente Físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calores excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
29/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
seguridad física. 5.3.2.1.
DS12.1 Selección y Diseño del Centro de Datos
Con esto se debe tener en cuenta los riesgos asociado con desastres naturales y causados por el hombre. Al igual que considerar las normas y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo. 5.3.2.2.
DS12.2 Medidas de Seguridad Física.
Estas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío recepción. En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. 5.3.2.3.
DS12.3 Acceso Físico.
Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a cualquiera de estos lugares, se deben justificar de algún modo y llevarse un monitoreo. 5.3.2.4.
DS12.4 Protección Contra Factores Ambientales
Diseñar e implementar medidas de protección contra factores ambientales se deben instalarse dispositivos y equipo especializado para monitorear y control 5.3.2.5.
DS12.5 Administración de Instalaciones
Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud 5.3.3. DS13 Administración de Operaciones Asegurar que las actividades de soporte de TI se lleven de una manera ordenada, a través de un cronograma de actividades de soporte que se debe registrar y completar en cuanto al logro de las actividades. Se debe establecer y documentar procedimientos para las diferentes actividades de TI, los cuales se revisarán periódicamente garantizando su cumplimiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
30/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS13.1 Procedimientos e instrucciones de operación.
5.3.3.1.
Se debe realizar una guía (paso a paso) para los mantenimientos preventivos del Hardware, como también los respectivos formatos para el registro de las actividades realizadas, la guía nos debe indicar como se realizarán estos mantenimientos resaltando los puntos más importantes en el mantenimiento y previniendo daños graves que puedan afectar los equipos en su totalidad. Para los equipos de Hardware que sean más complejos y que la empresa no cuente con el personal para dichos mantenimientos, se contrataran proveedores para la realización de este. DS13.2 Programación de Tareas
5.3.3.2.
La gerencia general estudiara los tiempos para realizar las diferentes actividades de mantenimiento a los equipos, estos mantenimientos se podrán programar diario, semanal o mensualmente dependiendo de los equipos teniendo en cuenta diferentes factores como pueden ser horas de trabajo y/o ambientes. Realizado este estudio se generará un cronograma de mantenimiento para posteriormente ser ejecutado. DS13.5 Mantenimiento Preventivo del Hardware.
5.3.3.3.
Se ejecutará el mantenimiento a los equipos de acuerdo las guías y fechas establecidas y se reportará en formatos, hoja de vida de equipos y bitácora de errores, los hallazgos encontrados que ayuden a mejorar el estado de los equipos y evitar posibles daños. 6. ASIGNACION PROCESOS POR AUDITOR
Auditor
Proceso
John Jairo Martinez
PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flores
AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata
DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo
DS12 Administrar el ambiente físico.
Johnny Caicedo
DS13 Administración de Operaciones
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
31/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7. INSTRUMENTOS DE RECOLECCION Para el desarrollo de la auditoria y recolección de información se utilizarán instrumentos como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas, en los subpuntos siguientes se presentarán los formatos de cada instrumento 7.1. FUENTES DE CONOCIMIENTO Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál es la información que se necesita para evaluar un determinado proceso dentro de los dominios del COBIT, también se especifica en el cuales son las pruebas de análisis y de ejecución que se deben realizar. Los ítems relacionados a continuación son los que describirán el elemento de auditoría. REF: Se refiere al ID del elemento, se manejará el consecutivo FC-X ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que está llevando a cabo el proceso de auditoría. DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando. MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando. PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios del COBIT. FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las fuentes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
32/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
de donde se extrajo la información para el proceso de auditoría lo que servirá como respaldo del proceso. REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas: DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de ejecución que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO
1
REF
PAGINA DE 1
COBIT
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Pruebas que se hacen por Pruebas mediante uso de análisis de documentos software, pruebas para (contratos, manuales) o levantar inventarios, comparaciones (compara Documento, o persona que pruebas de seguridad en los contenidos de un tiene la información que redes, pruebas de manual respecto a lo que necesita el auditor seguridad en bases de dice la teoría que debe datos, pruebas de contener) comparar (la intrusión, pruebas de empresa auditada con testeo. una empresa certificada) AUDITOR RESPONSABLE: FUENTES DE CONOCIMIENTO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
33/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.2. FORMATO DE LISTAS DE CHEQUEO Las listas de chequeo se usan para la verificación de la existencia de controles en el proceso o procesos auditados, en la lista de chequeo se puede usar escalas diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe control y se deja en blanco los controles que no se cumplen. Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los objetivos de control, que serán los controles que deben existir en el proceso y se elabora preguntas sobre la existencia de dicho control, el auditor encargado de evaluar el proceso será quien aplique la lista de verificación de controles o lista de chequeo y de acuerdo con la respuesta se determina los hallazgos sobre la no existencia de controles en el proceso.
Lista de chequeo Fecha: proceso Realizado por:
Consecutivo
Aspectos por validar o chequear
F-CHK 01
SI
NO
Ítem 1 Ítem 2 Ítem 3 Ítem n
7.3. FORMATO DE ENTREVISTA Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de los procesos que se van a evaluar, generalmente las entrevistas recogen la opinión de algunas de las personas que conozcan el proceso y que me puedan responder con claridad las preguntas que se hayan preparado para la entrevista. Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya que no se pueden aplicar a todos los auditados sino solamente al personal que conozca los aspectos que se vayan a evaluar. Para la entrevista se debe determinar primero los temas sobre los cuales va a girar la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con la UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
34/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
intención de descubrir más riesgos de los que ya se han encontrado en las visitas realizadas a la empresa auditada EMPRESA AUDITADA Fecha
PAGINA 1 DE 1
Consecutivo
Objetivo Auditoría Proceso Auditado Responsable Material de Soporte
COBIT
DOMINIO
PROCESO ENTREVISTADO CARGO PREGUNTAS ENTREVISTA
Firma del entrevistador
Firma del Entrevistado
7.4. FORMATO DE CUESTIONARIO Similar a la lista de chequeo, pero se da una valoración o calificación la escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo. Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
35/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
afectado por las acciones de las cuales se está indagando, entre más alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se indagará. CUESTIONARIO DE CONTROL Fecha
PAGINA 1 DE 1
Consecutivo
Dominio Proceso Auditado Pregunta
Si
No
Observaciones
Pregunta 1 Pregunta 2 Pregunta 3 Pregunta n Totales
8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA Una vez definidos los instrumentos se procede a realizar el ejercicio de la auditoria en las instalaciones de Cajascol S.A.S, por parte del equipo auditor se nombra un auditor líder para hacer la aplicación de los instrumentos. Líder Equipo Auditor
Encargados auditoria Cajascol S.A.S
Ing. John Jairo Martinez Torres
Ing. Elizabeth Narváez Lopera Ing. Jorge Barco Gómez
9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos de cada proceso. Se tomarán las siguientes pautas al momento del análisis, se construye las escalas de medición del impacto y la probabilidad de ocurrencia de los riesgos, hay que tener en cuenta que puede haber una valoración cuantitativa y cualitativa y que deben describirse UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
36/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
los valores correspondientes tal y como aparece en las siguientes matrices: Matriz para medición de probabilidad e impacto de riesgos
IMPACTO NIVEL DESCRIPTOR DESCRIPCIÓN Si el hecho llegara a presentarse, tendría 1 Insignificante consecuencias o efectos mínimos sobre la entidad Si el hecho llegara a presentarse, tendría bajo 2 Menor impacto o efecto sobre la entidad Si el hecho llegara a presentarse, tendría medianas 3 Moderado consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría altas 4 Mayor consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría 5 Catastrófico desastrosas consecuencias o efectos sobre la entidad
PROBABILIDAD NIVEL DESCRIPTOR DESCRIPCIÓN El evento puede ocurrir sólo en 1 Raro circunstancias excepcionales El evento puede ocurrir en algún 2 Improbable momento El evento puede ocurrir en algún 3 Posible momento El evento probablemente 4 Probable ocurrirá en la mayoría de las circunstancias Se espera que el evento ocurra 5 Casi Seguro en la mayoría de las circunstancias
FRECUENCIA No se ha presentado en los últimos 5 años Se ha presentado al menos 1 vez en los últimos 5 años Se ha presentado al menos de 1 vez en los últimos 2 años Se ha presentado al menos 1 vez en el último año Se ha presentado más de 1 vez al año
Con las escalas de medición se construye la matriz de riesgos general que se aplica para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
37/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor Moderado Mayor (1) (2) (3) (4)
Catastrófico (5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi Seguro (5)
A
A
E
E
E
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de evaluación de los riesgos encontrados en cada uno de los procesos evaluados, teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de estos y el impacto que pueden causar en la empresa.
10.
EJECUCION Y RESULTADOS AUDITORIA
Se procede a la aplicación de instrumentos para recolección de información y posteriormente se hará al análisis y valoración de los riegos, así como su propuesta de tratamiento, una vez hecho lo anterior se presentan los formatos de hallazgo y cuadro de controles propuestos, por último, se establecen los modelos de madurez y dictamen de la auditoria por cada proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
38/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI De acuerdo con el proceso liderado por el auditor John Jairo Martinez se procede a la ejecución de la auditoria. 10.1.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.1.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-01
PROCESO AUDITADO
PAGINA 1 DE 1 Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO
Planear y organizar
ENTIDAD AUDITADA
PROCESO
CAJASCOL S.A.S
P04. Definir los Procesos, Organización y relaciones de TI
FUENTES DE CONOCIMIENTO
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS
DE EJECUCION
Normas y políticas establecidas por la compañía con el ánimo de mantener una estructura organizacional en el área de TI y que existan medios para preservar la información y evitar eventos que puedan vulnerar los sistemas y causar afectaciones
Pruebas mediante solicitud de documentación relacionada con la estructura organizacional, actas de comité o reuniones del área de sistemas de la empresa, procedimientos de pasos a seguir antes eventos en el área de sistemas, manuales de funciones o definición de roles y responsabilidades del personal de TI
AUDITOR RESPONSABLE: JOHN JAIRO MARTINEZ TORRES UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
39/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Consecutivo Estructura organizacional y procesos de TI John Jairo Martinez Torres
F-CHK 01
Aspectos por validar o chequear
SI
Hay una estructura organizacional interna de TI El área de TI es flexible y adaptable a las necesidades de Cajascol
NO X
X
Hay manuales de función del personal de TI
X
El área de TI está relacionada con los requerimientos de los usuarios
X
Se generan estrategias alineadas con los objetivos de Cajascol
X
Existen planes de contingencia ante eventos o fallas
X
El personal de TI tiene roles definidos
X
Existe algún procedimiento ante la ocurrencia de eventos
X
Se monitorean los riesgos relacionados con el área de TI
X
Hay personal responsable de mantener la seguridad de la información
X
Hay personal responsable de mantener la seguridad física
X
La gerencia se involucra en los procesos de TI
X
Se hace monitoreo a los usuarios y al modo de uso de los equipos
X
Se hace supervisión para el buen funcionamiento de los equipos
X
La empresa destina recursos para planes de monitoreo
X
Existen indicadores claves de desempeño
X
Los usuarios de sistemas tienen claro su alcance en el uso de sistemas
X
Hay planes de respaldo para operaciones realizadas por los usuarios
X
Se tienen identificados los procesos críticos
X
Existen manuales de aplicativos creados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
X
40/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 3 Fecha 26 de octubre de 2018 Consecutivo FE-01 Conocer aspectos claves de la estructura organizacional y funcional de TI de la empresa tales como: establecimiento de Objetivo Auditoría roles y responsabilidades, responsabilidades sobre el riesgo, la seguridad y el cumplimiento, prácticas de supervisión, segregación de funciones y conocer el personal clave en TI Proceso Auditado Estructura organizacional y procesos de TI Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
P04. Definir los Procesos, Organización y relaciones de TI
Entrevistado Cargo
Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿La función de TI hace parte de la estructura organizacional? No está considerada 2. ¿Existe una estructura organizacional interna de TI? Si 3. ¿Existe una estructura organizacional externa de TI? Si 4. ¿El personal de TI tiene roles definidos y claros? Si, atender las necesidades de usuarios y mantener en línea el sistema 5. ¿El personal de Cajascol sabe a quién recurrir en caso de eventos relacionados con los sistemas? Si, deben informar a su jefe inmediato o a mi
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
41/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA
6. ¿Hay personal de TI encargados de monitorear y mitigar los riesgos relacionados con el área de TI? No 7. ¿El área de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear procesos de TI? La verdad no 8. ¿hay procedimientos de supervisión para el buen funcionamiento de los equipos e infraestructura del área de sistemas? No se hacen monitoreos 9. ¿La empresa destina recursos para planes de monitoreo y supervisión en el área de sistemas? Muy poco 10. ¿Existen indicadores claves de desempeño que muestre la gestión del personal de TI? No existen 11. ¿Hay una adecuada división de roles y responsabilidades en las operaciones informáticas de la empresa? En algunos puestos, pero no en todos 12. ¿Los usuarios de sistemas tienen claro su alcance y responsabilidades en la administración de aplicativos? Definitivamente no
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
42/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 3 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA
13. ¿En casos de incapacidad o desvinculación de empleados, la gerencia tiene planes de respaldo para operaciones realizadas por los usuarios? En algunos casos 14. ¿Se tienen identificados los procesos críticos realizados por los usuarios de aplicaciones informáticas? Se tienen identificados dichos procesos 15. ¿Existen manuales de aplicativos creados por terceros o desarrollados internamente? No en todos los casos 16. ¿Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas? La verdad si tenemos esa falencia
Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Firma del Entrevistado
43/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
PAGINA DE 1 FCT-01
Dominio
Planear y Organizar
Proceso Auditado
P04. Definir los Procesos, Organización y relaciones de TI Pregunta
Si
¿La estructura organizacional de TI es flexible y adaptable a las necesidades de la empresa? ¿Se han implementado procesos para revisar la estructura organizacional del área de TI? ¿Existe documentación relacionada con las funciones del personal de TI? ¿El área de TI conoce y ajusta los requerimientos del personal de Cajascol? ¿El área de TI genera estrategias para satisfacer los objetivos del negocio? ¿El área de TI tiene planes de contingencia para la continuidad del negocio? ¿Existe algún procedimiento ante la ocurrencia de eventos relacionados con los sistemas? ¿Hay personal responsable de mantener la seguridad de la información? ¿Hay personal encargado de mantener la seguridad física de los equipos e infraestructura de sistemas? ¿la alta gerencia se involucra en la administración de los sistemas de información? ¿Se hace monitoreo a los usuarios y al modo de uso de los equipos? ¿Existen procesos de negocio que no reciben soporte por parte del área de TI? ¿Existen y se implantan procesos de mejora en el área de TI? ¿Se tiene alguna métrica de los niveles de satisfacción de los usuarios de sistemas? ¿Se hacen reuniones o comités para tratar temas relacionados con el área de TI?
Observaciones
4 5 5 2 1 2 3 2 3 2 5 2 2
Totales 14
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
No
5 5 34
44/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso PO4 Definir los Procesos, Organización y relaciones de TI Porcentaje de riesgo parcial = (14 * 100) / 48 = 29,17% Porcentaje de riesgo = 100% - 29,17% = 70,83% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso PO4 es Alto. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 29,17% Porcentaje de riesgo 70,83% impacto según relevancia del proceso PO4 Riesgo alto
10.1.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.1.2.1.
RIESGOS INICIALES
1. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna 2. destrucción de las edificaciones y sus activos 3. Descarga apertura o instalación de programas o documentos infectados. 4. Perder trazabilidad e historia en los registros de la empresa UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
45/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5. Retraso en las actividades a desarrollar 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Acceso a información confidencial. 10.1.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
8. No existen manuales de función del personal de Sistemas 9. El área de TI no está relacionada con las necesidades de los usuarios 10. No existen planes de contingencia ante eventos o fallas 11. No hay procedimientos ante la ocurrencia de eventos 12. No se hace monitoreo a los usuarios y al modo de uso de los equipos 13. No existen manuales de desarrollo hechos en la empresa. 14. No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI 15. Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas 16. Existen procesos de negocio que no reciben soporte por parte del área de TI 17. No se hacen reuniones o comités para tratar temas relacionados con el área de TI
10.1.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
3
4
5
2
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
4
4
R4
Perder trazabilidad e historia en los registros de la empresa
3
3
2
5
2
4
R7 Acceso a información confidencial.
4
3
R8 No existen manuales de función del personal de Sistemas
3
4
El área de TI no está relacionada con las necesidades de los usuarios
3
4
R5 Retraso en las actividades a desarrollar R6
R9
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
46/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Impacto
Probabilidad
R10 No existen planes de contingencia ante eventos o fallas
4
5
R11 No hay procedimientos ante la ocurrencia de eventos
4
4
No se hace monitoreo a los usuarios y al modo de uso de los equipos
4
5
R13 No existen manuales de desarrollo hechos en la empresa.
4
5
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
5
3
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
5
5
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
2
2
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
2
1
R12
Descripción
10.1.2.4.
RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO
PROBABILIDAD Insignificante (1)
Menor (2)
Raro (1)
R17
Improbable (2)
R16
Posible (3) Probable (4)
R6
Casi Seguro (5)
R5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Moderado (3)
Mayor (4)
Catastrófico (5)
R2 R4
R7
R1, R8, R9
R3, R11 R10, R12, R13
R14
R15
47/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.3.
TRATAMIENTO DE RIESGOS
N°
Descripción
Tratamiento Riesgo
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
Controlarlo
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
Controlarlo Controlarlo
R4 Perder trazabilidad e historia en los registros de la empresa
Controlarlo
R5 Retraso en las actividades a desarrollar
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Transferirlo
R7 Acceso a información confidencial.
Controlarlo
R8 No existen manuales de función del personal de Sistemas
Controlarlo
R9
El área de TI no está relacionada con las necesidades de los usuarios
Controlarlo
R10 No existen planes de contingencia ante eventos o fallas
Controlarlo
R11 No hay procedimientos ante la ocurrencia de eventos
Controlarlo
R12
No se hace monitoreo a los usuarios y al modo de uso de los equipos
R13 No existen manuales de desarrollo hechos en la empresa.
Controlarlo Controlarlo
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
Controlarlo
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Controlarlo
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
Aceptarlo
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Aceptarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
48/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-01
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: No contar con información en tiempo real lo que afecta de manera negativa la toma de decisiones RIESGO: Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna No existen planes de contingencia ante eventos o fallas RECOMENDACIONES: Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
49/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-02
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay supervisión de los procesos que realizan los usuarios en los equipos de computo REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría corromperse el sistema por descarga de virus o aplicaciones maliciosas. Podría haber perdida de información confidencial RIESGO: No se hace monitoreo a los usuarios y al modo de uso de los equipos No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI RECOMENDACIONES: Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
50/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-03
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse un incendio que afectaría al recurso humano o a los activos de la empresa RIESGO: Destrucción de las edificaciones y sus activos RECOMENDACIONES: Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
51/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-04
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, adulteración de esta y se corre el riesgo de recibir multas de entes estatales, por errores en la declaración contable. RIESGO: Descarga apertura o instalación de programas o documentos infectados. Perder trazabilidad e historia en los registros de la empresa Acceso a información confidencial. RECOMENDACIONES: Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
52/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-05
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, robo o secuestro de los datos por delincuentes informáticos RIESGO: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. RECOMENDACIONES: Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
53/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-06
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Estos aplicativos podrían quedar obsoletos o poco útiles al no estar las personas que los conocen, por lo que habría perdida de información y control en los procesos. RIESGO: No existen manuales de desarrollo hechos en la empresa. RECOMENDACIONES: Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
54/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-07
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Demoras en los procesos, atrasos en el ingreso de información, posibles daños mayores al no atenderse el evento de manera inmediata. RIESGO: Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas. RECOMENDACIONES: Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
55/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-08
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Procesos desatendidos podrían causar pérdidas de información, fallas inesperadas del sistema, daños en la infraestructura física, entre otros. RIESGO: No existen manuales de función del personal de Sistemas RECOMENDACIONES: Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
56/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.5.
CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Correctivo
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen.
destrucción de las edificaciones y sus activos
Detectivo
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
Descarga apertura o instalación de programas o documentos infectados.
Detectivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Perder trazabilidad e historia en los registros de la empresa
Correctivo
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Correctivo
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Acceso a información confidencial.
Correctivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial.
No existen manuales de función del personal de Sistemas
Correctivo
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas.
El área de TI no está relacionada con las necesidades de los usuarios
Correctivo
Se debe reorientar los objetivos del área de TI, además de soporte que apunte a los usuarios.
Riesgos o hallazgos encontrados Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
57/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
No existen planes de contingencia ante eventos o fallas
Detectivo
Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
No se hace monitoreo a los usuarios y al modo de uso de los equipos
Correctivo
Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
No existen manuales de desarrollo hechos en la empresa.
Correctivo
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Correctivo
Se deben replantear funciones del personal actual, contratar personal adicional o instalar un software tipo consola de monitoreo de procesos.
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Correctivo
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
Existen procesos de negocio que no reciben soporte por parte del área de TI
Correctivo
Depende de la necesidad de los procesos se deben incluir en el alcance del área de sistemas.
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Correctivo
Conjuntamente con el área de sistemas se deben hacer reuniones de TI, para hacer planes de trabajo y fijar objetivos del área de sistemas.
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
58/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.6.
MODELO DE MADUREZ PO4 MODELO DE MADUREZ PROCESO
Fecha
04 de diciembre de 2018
Consecutivo
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-01
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
Las actividades y funciones de TI son reactivas y se implantan de forma inconsistente. IT se involucra en los proyectos solamente en las etapas finales. La función de TI se considera como una función de soporte, sin una perspectiva organizacional general. Existe un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizadas ni reforzadas.
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
59/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-01
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI
La función de TI está organizada para responder de forma táctica, aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones con los proveedores. La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida e implantada. La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. Se han aplicado buenas prácticas internas en la organización de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implantar y monitorear la organización deseada y las relaciones. Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por el usuario siguen un estándar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
1
60/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-01
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI
La estructura organizacional de TI es flexible y adaptable. Se ponen en funcionamiento las mejores prácticas de la industria. Existe un uso amplio de la tecnología para monitorear el desempeño de la organización y de los procesos de TI. La tecnología se aprovecha para apoyar la complejidad y distribución geográfica de la organización. Un proceso de mejora continua existe y está implantado. Promedio
10.1.7.
0
1,2
DICTAMEN AUDITORIA PROCESO PO4
Objetivo de la Auditoria: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Dictamen: Se califica un nivel de madurez 1 Inicial y desorganizado, por cuanto los procesos, organización y relaciones del área evaluada no están contenidos en un manual de procesos y los recursos de hardware y software, aunque adecuados, no son monitoreados de manera efectiva. En procesos clave de administración del sistema se observa excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del sistema y se depende de un solo proveedor de servicios, al no existir procesos documentados se ha encontrado mucha informalidad en la creación de perfiles de usuario y administración de permisos de estos, adicional a esto, no hay personal especializado en seguridad de la información por lo que la empresa tiene muchos puntos vulnerables. 10.1.7.1.
Hallazgos que soportan el Dictamen
No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos No hay supervisión de los procesos que realizan los usuarios en los equipos de computo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
61/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.
10.1.7.2.
Recomendaciones:
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos. Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados. Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado. Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas. Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática. Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa. Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas Juntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
62/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA De acuerdo con el proceso liderado por el auditor Wilder Alejandro Flórez González se procede a la ejecución de la auditoria. 10.2.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.2.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02
PAGINA 1 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática. Inventario de los equipos de cómputo. Contratos de arrendamientos de dispositivos tecnológicos
Revisión de contratos de alquiler de los equipos de cómputo. Verificar la existencia de un plan de adquisición de infraestructura tecnológica Verificar la existencia de un plan de mantenimiento de infraestructura tecnológica Verificar el registro monitoreo periódico. Verificación de la estandarización de las políticas de uso de los recursos tecnológicos, en el sgc de la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DE EJECUCION
Evaluar el cumplimiento de la ejecución del plan de mantenimiento Realizar el comparativo de inventarios mediante plataformas web Evaluar el cumplimiento de la ejecución del plan de adquisición. Evaluar el estado actual de la infraestructura tecnológica.
63/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02 PAGINA 2 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
Evaluación proveedores
DE ANALISIS de
DE EJECUCION
Revisión de las medidas de control interno, seguridad y auditoría.
Verificar cumplimiento de evaluación proveedores tecnológicos.
el la a
AUDITOR RESPONSABLE: WILDER ALEJANDRO FLOREZ
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
64/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por: N°
26 de octubre de 2018 Consecutivo Adquisición y mantenimiento de la infraestructura Wilder Alejandro Flórez González
F-CHK 02
Aspectos por validar o chequear
SI
NO
1
¿La empresa cuenta con un plan anual de mantenimiento?
X
2
¿Se realiza con frecuencia el mantenimiento preventivo a los componentes tecnológicos?
X
3
¿Se cuenta con una bitácora, en la que se registren todos los procesos de mantenimiento programados y realizados?
X
4
¿Existen políticas definidas (formatos) para la adquisición de nuevos equipos?
X
5
¿Se realizan informes técnicos en el que se evidencie la relación costo beneficio al momento de adquirir tanto dispositivos como plataformas tecnológicas?
X
6
¿Existe un comité de compras que analice y garantice la adquisición e instalación de los dispositivos tecnológicos?
X
7
¿Existe personal idóneo para realizar el mantenimiento tanto preventivo como correctivo al hardware y software?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
X
65/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-02 Conocer aspectos claves del Mantenimiento de la Objetivo Auditoría Infraestructura Proceso Auditado Adquisición y mantenimiento de la infraestructura Responsable
Wilder Alejandro Flórez González
Material de Soporte
COBIT
PROCESO Entrevistado Cargo
DOMINIO
Adquirir e implementar
AI3 Adquirir y mantener infraestructura tecnológica Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿Cuáles son los pasos que sigue para solicitar un equipo de cómputo? Se debe sustentar la necesidad de la compra, solicitar 2 cotizaciones y esperar aprobación de la gerencia 2. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y software? No se realiza mantenimiento preventivo al hardware, al software se le realiza mantenimiento por lo menos una vez cada mes 3. ¿Registra todo lo realizado en el mantenimiento en su respectiva bitácora? No existe una bitácora como tal, se envía un correo al usuario con los servicios que se le prestaron durante el mantenimiento 4. ¿Con que frecuencia se capacita el personal encargado de realizar el mantenimiento de los dispositivos tecnológicos? La empresa no considero a TI en sus planes de capacitación 5. ¿Existe un control de los requerimientos y solicitudes de que se realizan al área? No existe
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
66/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-02 PREGUNTAS ENTREVISTA
6. ¿Cuáles son las medidas que se emplean para el control interno y seguridad de la infraestructura tecnológica? Se tienen restricciones para algunos usuarios y se modificó el host de los equipos para que no puedan acceder a cierto tipo de páginas. 7. ¿Se realizan capacitaciones a los colaboradores que usan la infraestructura tecnológica? ¿y con qué frecuencia? Las capacitaciones que se han brindado solo han sido en las implementaciones de nuevas aplicaciones. 8. ¿Cree usted que la infraestructura tecnológica responde a todas las necesidades de la empresa? No, la empresa tiene equipos de más de 8 años funcionando en áreas críticas y eso hace que la incidencia de errores y fallas sea frecuente. 9. ¿La empresa cuenta con equipos de cómputo en rentados? Si su respuesta es afirmativa ¿esta empresa está conformada legalmente? La empresa no alquila equipos de cómputo, aunque tiene en alquiler 2 UPS para el servidor y la regulada del área administrativa
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Elizabeth Narváez Lopera Firma del Entrevistado
67/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
Dominio
Adquirir e implementar
Proceso Auditado
AI3 Adquirir y mantener infraestructura tecnológica Pregunta
Si
No
¿Existe un plan para adquirir la infraestructura tecnológica?
5
¿Se implementa el plan para adquirir la infraestructura tecnológica?
4
¿Se consulta al área de compras para la adquisición de infraestructura tecnológica?
5
¿Se evalúan los costos de la viabilidad comercial de los distintos proveedores?
5
¿Se implementan medidas de control interno, seguridad durante el mantenimiento de software y hardware?
2
¿Se realiza el respectivo monitoreo a los diferentes recursos de infraestructura?
5
¿La información obtenida de este monitoreo se registra en una bitácora o formato?
5
¿Se ejecuta un plan de mantenimiento de la infraestructura tecnológica?
4
¿En la ejecución del plan están incluidas las revisiones contra la evaluación de los riesgos identificados?
5
¿En la ejecución del plan están incluidas las revisiones contra la evaluación de las vulnerabilidades?
5
¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?
Observaciones
3
Totales 15
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
PAGINA DE 1 FCT-02
33
68/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso AI3 Adquirir y mantener infraestructura tecnológica Porcentaje de riesgo parcial = (15 * 100) / 48 = 31,25% Porcentaje de riesgo = 100% - 31,25% = 68,75% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso AI3 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 31,25% Porcentaje de riesgo 68,75% impacto según relevancia del proceso PO4 Riesgo medio
ANALISIS Y VALORACION DE RIESGOS
10.2.2.
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.2.2.1. 1. 2. 3. 4.
RIESGOS INICIALES
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Equipo sin funcionamiento por un determinado tiempo. Descarga apertura o instalación de programas o documentos infectados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
69/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
5. No se considera al área de TI en los planes de capacitación 6. Inexistencia del plan anual de mantenimiento 7. Falta de mantenimiento preventivo al hardware 8. Desconocimiento del plan para adquirir la infraestructura tecnológica. 9. Recursos de la infraestructura tecnológica no monitoreados. 10. Infraestructura tecnológica obsoleta. 11. Controles mínimos para la adquisición de nueva infraestructura tecnológica. 12. No se cuenta con el correspondiente registro de los mantenimientos ejecutados 10.2.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
R1
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
5
R2
Perdida de la trazabilidad e historia en los registros de la empresa
3
3
R3
Equipos tecnológicos determinado tiempo
3
3
R4
Descarga apertura o instalación de programas o documentos infectados.
5
4
R5
No se considera al área de TI en los planes de capacitación
4
5
R6
Inexistencia del plan anual de mantenimiento
5
5
R7
Falta de mantenimiento preventivo al hardware
5
4
R8
Desconocimiento del plan para adquirir la infraestructura tecnológica
4
4
R9
Recursos de monitoreados.
4
4
R10
Infraestructura tecnológica obsoleta.
4
4
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
3
4
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
3
3
la
sin
Impacto Probabilidad
funcionamiento
infraestructura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
por
tecnológica
un
no
70/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
RESULTADO MATRIZ DE RIESGOS
10.2.2.4.
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R8,R9,R10
R4,R7
R1
R5
R6
Raro (1) Improbable (2)
R2,R3,R12
Posible (3) Probable (4) Casi Seguro (5)
10.2.3.
TRATAMIENTO DE RIESGOS
N°
Descripción El
personal
no
cuenta
con
Tratamiento Riesgo programas
de
R1 capacitación y formación en seguridad informática
Controlar
y de la información. R2
Perdida de la trazabilidad e historia en los registros de la empresa
Controlar
R3
Equipos tecnológicos sin funcionamiento por un determinado tiempo
Controlar
R4
Descarga apertura o instalación de programas o documentos infectados.
Controlar
R5
No se considera al área de TI en los planes de capacitación
Controlar
R6 Inexistencia del plan anual de mantenimiento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Controlar
71/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R7 Falta de mantenimiento preventivo al hardware
para
adquirir
Controlar
R8
Desconocimiento del plan infraestructura tecnológica
la
R9
Recursos de la infraestructura tecnológica no monitoreados.
R10 Infraestructura tecnológica obsoleta.
Controlar Controlar Controlar
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
Controlar
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
Controlar
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
72/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-09
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. REF_PT: Formato de entrevista FE-01 CONSECUENCIAS: Debido al poco conocimiento en seguridad informática los colaboradores, pueden realizar actividades que expongan al peligro la protección web de la empresa. RIESGO: Hacer mal uso del internet, no cambiar sus contraseñas, visitar sitios web no habilitados o no autorizados. RECOMENDACIONES: Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
73/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-10
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar
PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Perdida de la trazabilidad e historia en los registros de la empresa REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: No se puede realizar un control sobre la data histórica de la empresa. RIESGO: Baja integralidad de la información, datos erróneos. RECOMENDACIONES: Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
74/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-11
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Descarga apertura o instalación de programas o documentos infectados. REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: Se puede infectar con virus el software y hardware RIESGO: Al Instalar programas no permitidos que ocasionarían perdida de información, daños en el sistema. Que facilitaría una violación a la red. RECOMENDACIONES: Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
75/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-12
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: No se considera al área de TI en los planes de capacitación REF_PT: Formato de entrevista FE-02 CONSECUENCIAS: Recurso humano del área de TI, con un nivel técnico de seguridad y buenas prácticas muy bajo. RIESGO: Una preparación no constante permite que no se pueda brindar respuesta inmediata o apropiada a las fallas presentadas. RECOMENDACIONES: Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
76/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DOMINIO
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-13
AI3 adquirir y mantener infraestructura tecnológica PÁGINA Adquisición y mantenimiento de la infraestructura 1 DE 1
Adquirir e Implementar PROCESO
PROCESO AUDITADO RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Desconocimiento del plan para adquirir la infraestructura tecnológica REF_PT: Formato cuestionario FCT-02 CONSECUENCIAS: Al desconocer este plan en la organización no existe un control sobre los requerimientos técnicos tecnológicos. No es fácil visualizar la viabilidad económica y los riesgos tecnológicos a asumir, según los recursos tecnológicos a adquirir. RIESGO: Perdidas económicas, negociar con proveedores no viables, adquirir infraestructura tecnológica poco útil. RECOMENDACIONES: Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
77/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Preventivo
Organizar y ejecutar programas de capacitación a los distintos colaboradores.
Perdida de la trazabilidad e historia en los registros Automatización de transacciones de los Preventivo/Correctivo de la empresa registros Equipos tecnológicos sin funcionamiento por un determinado tiempo
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Preventivo
Monitorear el firewall de los equipos de cómputo y realizar una respectiva actualización y administración del directorio de la empresa
Preventivo
Incluir al área de TI, en los planes de capacitación teniendo en cuenta las brechas existentes entre las competencias de los profesionales y los objetivos estratégicos de la empresa.
Inexistencia del plan anual de mantenimiento
Preventivo
Establecer un plan, con sus respectivos objetivos y acciones a ejecutar de manera clara y eficiente
Falta de mantenimiento preventivo al hardware
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
78/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Tipo de Control
Soluciones o Controles
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Recursos de la infraestructura tecnológica no monitoreados.
Detectivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Infraestructura tecnológica obsoleta.
Correctivo
Crear e invertir en la infraestructura tecnológica, acorde a las necesidades de la empresa.
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Detectivo
Crear y hacer uso de las fichas técnicas, para las actividades planeadas y ejecutadas a la infraestructura tecnológica.
Riesgos o hallazgos encontrados Desconocimiento del plan infraestructura tecnológica
para
adquirir
la
Controles mínimos para la adquisición de nueva infraestructura tecnológica No se cuenta con el correspondiente registro de los mantenimientos ejecutados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
79/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.6.
MODELO DE MADUREZ AI3 MODELO DE MADUREZ PROCESO
Fecha
05 de diciembre de 2018
Consecutivo
Proceso Auditado
Adquisición y mantenimiento de la infraestructura
Responsable
Wilder Alejandro Flórez Gonzales
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 2 MM-02
Adquirir e Implementar
AI3 Adquirir y Mantener Infraestructura Tecnológica REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual debe ser resuelto.
1
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción es el ambiente de prueba.
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
80/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 2 Consecutivo MM-02
MODELO DE MADUREZ PROCESO Fecha
05 de diciembre de 2018
Proceso Auditado
Adquisición y mantenimiento de la infraestructura
Responsable
Wilder Alejandro Flórez Gonzales
Material de Soporte
COBIT
PROCESO
DOMINIO
Adquirir e Implementar
AI3 Adquirir y Mantener Infraestructura Tecnológica
No hay consistencias entre enfoques tácticos de adquirir y dar mantenimiento a la infraestructura de TI no se basa en una estructura definida y no considera las necesidades de las aplicaciones del negocio que se debe respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes existen ambientes de prueba por separado.
1
Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura de TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio concuerda con la estrategia del negocio de TI, pero no se aplica en forma consistente. Se planea, se programa y coordina el mantenimiento. Existen ambientes separados por para prueba y producción.
0
Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta adecuadamente las aplicaciones de negocio. El proceso está bien organizado y preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.
0
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de las últimas plataformas desarrolladas y herramientas de administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo considerar la opción de contratar servicios externos. La infraestructura de TI se entiende como el apoyo clave para impulsar el uso del TI.
0
Promedio
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
0,5
81/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.7.
DICTAMEN AUDITORIA PROCESO AI3
Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la adquisición, implementación y mantenimiento de la infraestructura tecnológica. Con el fin de determinar si se encuentra alineados con un plan estratégico que garantice el funcionamiento óptimo de los recursos hardware y software.
Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 0,5 es decir no existente, debido a que no se existe un proceso eficiente para ejecutar un plan para el mantenimiento preventivo o correctivo del hardware o software, así como también la carencia de políticas de seguridad frente al acceso a la web e instalación de software. Adicionalmente se evidencia la inexistencia de un plan para la adquisición e implementación de la Infraestructura Tecnológica, ocasionando que la organización no pueda satisfacer los requerimientos técnicos y funcionales del negocio. 10.2.7.1.
Desconocimiento del plan para adquirir la infraestructura tecnológica El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Descarga apertura o instalación de programas o documentos infectados. No se considera al área de TI en los planes de capacitación. Desconocimiento del plan para adquirir la infraestructura tecnológica
10.2.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas. Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data. Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización. Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI. Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
82/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS De acuerdo con el proceso liderado por la auditora Katherine Zapata Mosquera se procede a la ejecución de la auditoria. 10.3.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.3.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03
PAGINA 1 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
FUENTES DE CONOCIMIENTO
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
Verificar que los permisos de acceso asignados a los usuarios correspondan a su perfil de usuario. Validar que los procesos de administración de seguridad, administración de cuentas de usuarios, medidas de seguridad física, mantenimiento preventivo del Hardware se encuentren documentadas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Realizar pruebas de seguridad sobre la red de datos. Verificar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario, se registran en un log del sistema o un log de auditoria. Verificar el correcto funcionamiento de los mecanismos de autenticación utilizados. Verificar que se mantiene el nivel de seguridad aprobado.
83/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03 PAGINA 2 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
FUENTES DE CONOCIMIENTO Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
CAJASCOL S.A.S
Verificar la existencia de los registros de monitoreo de seguridad y pruebas periódicas.
Verificar la controles ambientales.
instalación físicos
de y
AUDITOR RESPONSABLE: KATHERINE ZAPATA MOSQUERA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
84/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Consecutivo Garantizar la Seguridad de los Sistemas Katherine Zapata Mosquera
N°
F-CHK 03
Aspectos por validar o chequear
Objetivo de control DS5.3 Administración de Identidad 1
Existe proceso de autenticación para los usuarios internos que solicitan acceso al sistema de información.
2
El proceso de autenticación para los usuarios se encuentra documentada.
3
Existe un repositorio central con la información de usuarios y sus permisos de acceso al sistema de información de la institución.
Objetivo de control DS5.4 Administración de Cuentas del Usuario
Conforme SI
NO
X X X SI
NO
4
Existe un procedimiento para la emisión, suspensión, modificación y cierre de cuentas de usuarios.
X
5
Existe un procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
X
6
Los procedimientos de emisión, suspensión, modificación, cierre y aprobación se están aplicación a los usuarios internos y externos (incluyendo administradores).
7
Se están realizando revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.
Objetivo de control 8
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
X SI
Se realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.
Objetivo de control DS5.10 Seguridad de la Red 9
X
Existen controles para la información que se envía y recibe desde internet.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
NO
X SI
NO
X
85/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-03 Conocer aspectos claves en cuanto a la seguridad informática Objetivo Auditoría y de infraestructura en Cajascol S.A.S Proceso Auditado Administración e integridad de los sistemas. Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO Entrevistado Cargo
DOMINIO
Entregar y Dar Soporte
DS5 Garantizar la Seguridad de los Sistemas Ing. Jorge Barco Gómez Coordinadora de Operaciones PREGUNTAS ENTREVISTA
1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el sistema de información? Si Totalmente 2. ¿Cómo se está realizando y registrando el monitoreo de seguridad? No hay un proceso establecido para ese proceso 3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles? Solamente ejecución de antivirus en el servidor 4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros usuarios? No, cada usuario posee sus propias credenciales 5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol? Se cuenta con una clave autonumérica y un carácter especial, las cuentas de correo poseen otra clave para que los usuarios puedan acceder vía web 6. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios? Se actualizan cada 6 meses
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
86/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-03 PREGUNTAS ENTREVISTA
7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol? Totalmente básicos, aunque se está pensando en seguridad perimetral para evitar intrusiones informáticas. 8. ¿Cómo el manejo de las incidencias de seguridad? Se desconecta el servidor de línea y se llama a un tercero para que escale el problema. 9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las cuentas? No, todas las cuentas están montadas en el directorio activo de server 2012 R2, se confía en la seguridad del servidor. 10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y controlar los flujos de información desde y hacia internet? No hay procedimientos por escrito, pero se ha bloqueado el host de los equipos para prohibir navegar en ciertos tipos de páginas.
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Jorge Barco Gómez Firma del Entrevistado
87/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
Dominio
Entregar y Dar Soporte
Proceso Auditado
DS5 Garantizar la Seguridad de los Sistemas Pregunta
Si
Al momento de suministrar los datos de acceso al sistema, ¿se informa el rol y las responsabilidades de seguridad?
2
¿Los derechos de acceso del usuario se están solicitando por la gerencia del usuario?
5
Los derechos de acceso del usuario solicitados, ¿están siendo aprobados por el responsable del sistema?
3
Los derechos de acceso del usuarios solicitados y aprobados, ¿están siendo implementados por el responsable de seguridad del sistema?
3
No
¿Las identidades y los derechos de acceso se almacenan en un repositorio central?
5
¿Actualmente se está aprobando todas las acciones realizadas por la gerencia de cuentas de usuario?
5
¿El procedimiento de la gerencia de cuentas de usuarios, se aplica a todos los usuarios, incluyendo administradores, usuarios externos e internos?
2
¿Actualmente se está probando y monitoreando la implementación de la seguridad en TI?
4
¿Existen controles para la información que se envía y recibe de Internet?
4
Totales 13
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
PAGINA DE 1 FCT-03
Observaciones
20
88/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS5 Garantizar la Seguridad de los Sistemas Porcentaje de riesgo parcial = (13 * 100) / 33 = 39,39% Porcentaje de riesgo = 100% - 39,39% = 60,61% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS5 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 39,39% Porcentaje de riesgo 60,61% impacto según relevancia del proceso DS5 Riesgo medio
10.3.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.
10.3.2.1.
RIESGOS INICIALES
1. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) 2. Perdida de integralidad, Alteración de la información 3. Perdida de información, modificación o eliminación de cuentas de usuario. 4. Eliminación de registros o mal ingreso de estos, lo que haría no tener una UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
89/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
información confiable. 5. Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Eliminar información importante y perdida de la confidencialidad. 8. Acceso a la red de la organización. 9. Perdida de confidencialidad e integralidad de la información.
10.3.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
10. Facilidad en hurto de información confidencial. 11. Las PQRS no se han gestionadas debidamente. 12. Realización de actividades no conformes con lo indicado por la empresa.
10.3.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
3
5
R2
Perdida de integralidad, Alteración de la información
4
3
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
4
4
R4
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
3
4
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
4
5
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
4
R7
Eliminar información importante y perdida de la confidencialidad.
4
3
R8
Acceso a la red de la organización.
4
3
R9
Perdida de confidencialidad e integralidad de la información.
4
4
R10
Facilidad en hurto de información confidencial.
5
4
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
90/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Impacto
Probabilidad
R11
Las PQRS no se han gestionadas debidamente.
3
3
R12
Realización de actividades no conformes con lo indicado por la empresa.
4
3
RESULTADO MATRIZ DE RIESGOS
10.3.2.4.
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R2, R7, R8, R12
R4, R6
R3, R9
R1
R5
Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5)
10.3.3.
R10
TRATAMIENTO DE RIESGOS
ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Controlarlo
R2
Perdida de integralidad, Alteración de la información
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
91/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
Controlarlo
R4
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
Transferirlo
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Eliminarlo
R7
Eliminar información confidencialidad.
Controlarlo
R8
Acceso a la red de la organización.
R9
Perdida de confidencialidad e integralidad de la información.
R10
Facilidad en hurto de información confidencial.
Controlarlo.
R11
Las PQRS no se han gestionadas debidamente.
Transferirlo
R12
Realización de actividades no conformes con lo indicado por la empresa.
Controlarlo
10.3.4.
importante
y
perdida
de
la
Controlarlo Aceptarlo
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
92/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-14
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no existir controles, se puede adquirir virus que afectan el hardware y la información de la compañía, ocasionando pérdidas económicas.
RIESGO: Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático, Spam, phishing, botnets) RECOMENDACIONES:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
93/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-15
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no realizar las pruebas de monitoreo, se puede presentar hurto de información confidencial.
RIESGO: Pérdida de integralidad, Alteración de la información. RECOMENDACIONES:
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
94/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-16
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO: Pérdida de información, modificación o eliminación de cuentas de usuarios. RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
95/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-17
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se evidencia que varios usuarios están creados en el directorio activo como administradores. REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO: Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. RECOMENDACIONES:
Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
96/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-18
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se identificó que no existe control sobre las máquinas virtuales (remoto). REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al no existir un control sobre las máquinas virtuales, se puede presentar hurto de información, perdida sin intención de esta.
RIESGO: Eliminar información importante y pérdida de la confidencialidad. RECOMENDACIONES:
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
97/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Perdida de integralidad, Alteración de la información
Perdida de información, modificación o eliminación de cuentas de usuario.
Tipo de Control
Soluciones o Controles
Correctivo
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Preventivo
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
Recuperación
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Para la eliminación de registros se debe registrar en un log la eliminación de estos.
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Detectivo
Preventivo
Para la mitigar el mal ingreso de datos, se debe crear un proceso donde se encargue de validar que la información registrada es veraz. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
98/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Detectivo
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Eliminar información importante y perdida de la confidencialidad.
Detectivo
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Acceso a la red de la organización.
Preventivo
Adicionar protocolos de seguridad y restricciones en la red, verificar que las contraseñas y usuarios no sean obvios.
Perdida de confidencialidad e integralidad de la información.
Preventivo
Revisar URL Embebidos.
Facilidad en hurto de información confidencial.
Preventivo
Establecer políticas de seguridad.
Las PQRS no se han gestionadas debidamente.
Preventivo
Implementar el sistema de semáforo para categorizar las PQRS y de esa manera determinar la prioridad de atención.
Realización de actividades no conformes con lo indicado por la empresa.
Correctiva
Implementación de herramientas de monitoreo de red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
99/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.6.
MODELO DE MADUREZ DS5 MODELO DE MADUREZ PROCESO
Fecha
08 de diciembre de 2018
Consecutivo
Proceso Auditado
Administración e integridad de los sistemas.
Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-01
Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
100/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-03
MODELO DE MADUREZ PROCESO Fecha
08 de diciembre de 2018
Proceso Auditado Responsable Material de Soporte PROCESO
Administración e integridad de los sistemas. Katherine Zapata Mosquera COBIT DOMINIO Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas.
Las responsabilidades y la rendición de cuentas sobre la seguridad están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa. Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de TI son incompletos, engañosos o no aplicables. La habilitación sobre seguridad está disponible, pero depende principalmente de la iniciativa del individuo. La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina. Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe habilitación en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal. Las responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara. Regularmente a cabo un análisis de impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas. El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios esta estandarizada. La certificación en seguridad es buscada por parte del personal que es responsable de la auditoria y la administración de la seguridad. Las pruebas de seguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI están coordinados con la función de seguridad de toda la organización. Los reportes de seguridad están ligados con los objetivos del negocio. La habilitación sobre seguridad de TI se planea y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya están definidos, pero no se miden aún.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2
1
1
101/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-03
MODELO DE MADUREZ PROCESO Fecha
08 de diciembre de 2018
Proceso Auditado
Administración e integridad de los sistemas.
Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO
DOMINIO
Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas.
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en la corporación. Los requerimientos de seguridad de TI están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad. La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e identificación proactiva de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización. Los KGIs y KPIs para administración de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua. Promedio
10.3.7.
0
1,0
DICTAMEN AUDITORIA PROCESO DS5
Objetivo de la Auditoria: Evaluar el nivel de confiabilidad que tiene las contraseñas de acceso al sistema de información e identificar las restricciones configuradas en las cuentas de los usuarios frente al acceso a la web, además de verificar la documentación de los procesos Dictamen: Se califica nivel de madurez 1 inicial, debido a que la empresa implementa procesos de seguridad básicos, sin documentar los procesos y responsables, UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
102/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
permitiendo así fortalecer los riesgos de hurto de información confidencial, acceso de usuarios externos, consumo al máximo bando de ancha en actividades diferentes a las laborales. 10.3.7.1.
Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. Se evidencia que varios usuarios están creados en el directorio activo como administradores. Se identificó que no existe control sobre las máquinas virtuales (remoto).
10.3.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática. Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura. Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso. Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
103/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO De acuerdo con el proceso liderado por el auditor Jairo Angulo Castillo se procede a la ejecución de la auditoria. 10.4.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.4.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-04
ENTIDAD AUDITADA
CAJASCOL S.A.S
1
PAGINA DE 1
PROCESO AUDITADO Administrar el Ambiente Físico RESPONSABLE Jairo Angulo Castillo MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS12 Administrar el Ambiente Físico FUENTES DE CONOCIMIENTO Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION comprobar la existencia de documentos respecto a los Medición de resultados de la manuales de riesgos, eficacia y eficacia de los sistemas de control controles existentes. interno, manuales de Comprobar la aplicación de convivencia, controles frente a los riesgos Riesgos y Vulnerabilidades y Vulnerabilidades detectados frente a su detectados. tratamiento. AUDITOR RESPONSABLE: JAIRO ANGULO CASTILLO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
104/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Administrar el Ambiente Físico Jairo Angulo Castillo
N°
F-CHK 04
Aspectos por validar o chequear
Objetivo de control 1
Consecutivo
Conforme
DS12.1 Selección y Diseño del Centro de Datos
¿Las instalaciones donde funciona el área de sistemas (cubículos y oficinas), fueron diseñadas o adaptadas para su funcionamiento?
Objetivo de control DS12.2 Medidas de Seguridad Física 2
¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura donde funciona la empresa especialmente en el área de sistemas?
4
SI
Contra
Factores
DS12.5 Físicas
Administración
de
Instalaciones
¿Existe un plan o manual donde se describa las funciones en la seguridad de instalaciones?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
NO
X SI
¿Existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental?
Objetivo de control 5
DS12.4 Protección Ambientales
NO
X
¿Se tienen lugares de acceso restringido donde se poseen mecanismos de seguridad para el acceso a estos lugares?
Objetivo de control
NO
X SI
Objetivo de control DS12.3 Acceso Físico 3
SI
NO
X SI
NO
X
105/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-04 Conocer aspectos claves en cuanto a la seguridad física de Objetivo Auditoría los activos de Cajascol, especialmente en el área de informática Proceso Auditado Administrar el Ambiente Físico. Responsable Jairo Angulo Castillo Material de Soporte PROCESO Entrevistado Cargo
COBIT
DOMINIO
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico Ing. Jorge Barco Gómez Coordinador de Operaciones PREGUNTAS ENTREVISTA
1. ¿Las instalaciones de la empresa se encuentran construidas en una zona segura, ante cualquier fenómeno natural (inundación, avalancha, incendio, forestal entre otros)? No, estamos en la ladera del rio Cauca y ya hemos tenido dos inundaciones que causaron grandes pérdidas, en cuanto a incendios tenemos una bodega abierta don se almacena cartón reciclado y uno de los riesgos más grandes podría ser un incendio 2. ¿Poseen mecanismo de seguridad se le han detectado debilidades? Los mecanismos de seguridad están orientados a las personas, su evacuación y seguridad 3. ¿Existe suficiente espacio dentro de las instalaciones de forma que permita una circulación fluida? En teoría sí, pero cuando hay picos de producción, se llenan todos los espacios de circulación 4. ¿Existen lugares de acceso restringido y se cuenta con sistemas de seguridad para impedir el paso a dicho lugar? Si, la bodega de cargue de gas al montacargas y el acceso a los generadores 5. ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de sensores? Hay luces de emergencia y alarmas que deben ser activadas por los brigadistas 6. ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? Si UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
106/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-04 PREGUNTAS ENTREVISTA
7. ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones? Se tienen cámaras de seguridad y se hace revisión en portería por empleados de seguridad privada. 8. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales? De manera frecuente ya que al trabajar con material reciclado y una caldera de carbón, los controles de la CVC son altos, así que mensualmente se hacen dichas previsiones. 9. ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? Si. 10. ¿Se tiene un registro de las personas que ingresan a las instalaciones? Si, en portería llevan una bitácora de control de visitantes a administración y también a vehículos de empresas transportadoras.
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Jorge Barco Gómez Firma del Entrevistado
107/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.4.
FORMATO DE CUESTIONARIO PAGINA 1 DE 1 Consecutivo FCT-03
CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS12 Administrar el Ambiente Físico Pregunta
Si
¿La organización cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma?
5
¿Existe un marco de referencia para la evaluación sistemática de los riesgos a los que está expuesta la infraestructura física de la institución?
3
No
¿Se cuenta con los suficientes equipos para la mitigación de incendios?
5
¿Existen normas de control interno donde se evalúe y garantice la protección de las instalaciones para su disponibilidad e integridad?
4
¿Se realiza actualización de los diferentes tipos de riesgos que pueden afectar la infraestructura física?
2
¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura física?
2
¿Se promueve e incentiva la seguridad en la institución?
4
¿La organización cuenta con políticas y procedimientos formales respecto a la contratación de terceros?
2
¿Existe un plan de acción para el mantenimiento de la infraestructura física?
2
¿Se realiza evaluación a la seguridad de instalaciones ante un posible suceso terrorista o natural?
2
Los controles existentes son suficientes para decir que la empresa es segura
Totales 12
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Observaciones
5 24
108/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS12 Administrar el Ambiente Físico Porcentaje de riesgo parcial = (12 * 100) / 36 = 33,33% Porcentaje de riesgo = 100% - 33,33% = 66,67% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS12 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 33,33% Porcentaje de riesgo 66,67% impacto según relevancia del proceso DS12 Riesgo medio
10.4.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
109/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.2.1.
RIESGOS INICIALES
Material propenso a incendios Acceso no autorizado a las diferentes áreas Personas poco cuidadosas Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa 5. Robo del servidor o manipulación de este 6. No hay circulación adecuada de aire, además se presenta la amenaza de incendio. 1. 2. 3. 4.
10.4.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
7. Instalaciones propensas a inundación o derrumbe 8. Desorientación ante daños de la infraestructura en suceso ambiental 9. falta de controles en la seguridad de la empresa 10. carencia plan de acción para el mantenimiento de la infraestructura física 11. Carencia promoción e incentivos para la seguridad en la institución 12. No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. 10.4.2.3. N°
ANALISIS Y EVALUACIÓN DE RIESGO Descripción
Impacto
Probabilidad
R1
Material propenso a incendios
5
3
R2
Acceso no autorizado a las diferentes áreas
4
3
R3
Personas poco cuidadosas
2
3
R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
3
4
R5
Robo del servidor o manipulación de este
5
3
R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
3
3
R7
Instalaciones propensas a inundación o derrumbe
3
3
R8
Desorientación ante daños de la infraestructura en suceso ambiental
4
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
110/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Impacto
Probabilidad
R9
falta de controles en la seguridad de la empresa
4
5
R10
carencia plan de acción para el mantenimiento de la infraestructura física
4
4
R11
Carencia promoción e incentivos para la seguridad en la institución
3
5
R12
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
4
3
10.4.2.4.
RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1)
Moderado (3)
Raro (1) Improbable (2) Posible (3)
Mayor (4) R8
R3 R6 R7
R2 R12
Probable (4)
R4
R10
Casi Seguro (5)
R11
R9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Catastrófico (5)
R5 R1
111/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.3. N°
TRATAMIENTO DE RIESGOS Descripción
Tratamiento Riesgo
R1 Material propenso a incendios
Controlarlo
R2 Acceso no autorizado a las diferentes áreas
Controlarlo
R3 Personas poco cuidadosas R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
R5 Robo del servidor o manipulación de este R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe R8
Desorientación ante daños de la infraestructura en suceso ambiental
R9 falta de controles en la seguridad de la empresa
Aceptar transferirlo Controlarlo transferirlo Controlarlo Controlarlo Controlarlo
R10
carencia plan de acción para el mantenimiento de la infraestructura física
Controlarlo
R11
Carencia promoción e incentivos para la seguridad en la institución
Controlarlo
No hay como detectar de forma temprana humo, incendio, R12 inundaciones mediante equipos tecnológicos para la prevención y evacuación.
transferirlo
10.4.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
112/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-19
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Se cuenta con bodega abierta de materiales reciclables donde se almacena cartón reciclado, no hay circulación adecuada de aire y el cuarto donde está el servidor está lleno de archivo de contabilidad y archivo muerto. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Material propenso a incendios daño de equipos de cómputo e infraestructura física RIESGO: No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
RECOMENDACIONES: Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
113/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-20
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución, el acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. al igual que hurto de información RIESGO: La organización no cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma.
RECOMENDACIONES: Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Ubicar el servidor en un área de acceso restringido o retirar el mismo y contratar los servicios de almacenamiento con una empresa privada.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
114/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-21
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa RIESGO: Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
RECOMENDACIONES: Realizar mantenimiento y reparación de los equipos de monitoreo Adquirir equipos de seguridad (cámaras, sensores de movimiento, entre otros) Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
115/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-22
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento de inundación RIESGO: Instalaciones propensas a inundación o derrumbe
RECOMENDACIONES: Elaborar plan de acción ante aumento del caudal del rio Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
116/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-23
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental, carencia plan de acción para el mantenimiento de la infraestructura física, no hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento, también desorientación de los pasos a seguir ante daños de la infraestructura en suceso ambiental falta de detección y prevención temprana de los mismos RIESGO: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental
RECOMENDACIONES: Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental. Adquisición de equipos tecnológicos para la prevención y detectar de forma temprana humo, incendio, inundaciones, entre otros.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
117/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.5.
CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Material propenso a incendios
Correctivo
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones, Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
Acceso no autorizado a las diferentes áreas
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones
Robo del servidor o manipulación de este
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones, instalación cámara de seguridad.
Instalaciones propensas a inundación o derrumbe
Preventivo
Elaborar plan de acción ante aumento del caudal del rio cauca, monitorear constantemente la ladera del rio que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Desorientación ante daños de infraestructura en suceso ambiental
Correctivo
Elaborar plan de contingencia a fin de estar preparado para mitigar los riesgos y daño de la infraestructura ante algún suceso ambiental.
falta de controles en la seguridad de la empresa
Correctivo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
carencia plan de acción para el mantenimiento de la infraestructura física
Correctivo
Implementar políticas y elaborar plan mantenimiento de la infraestructura física.
Correctivo
Capacitar y Concientizar al personal de la empresa sobre la importancia de la seguridad. Si no existe la persona indicada en la empresa para dar la asesoría, se podría contratar con una entidad externa.
Riesgos o hallazgos encontrados
la
Carencia promoción e incentivos para la seguridad en la institución
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
118/150.
de
acción
para
el
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.6.
MODELO DE MADUREZ DS12 MODELO DE MADUREZ PROCESO
Fecha
07 de diciembre de 2018
Consecutivo
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-04
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. La administración de instalaciones y de equipo depende de las habilidades de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción. La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento del personal.
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
119/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-04
MODELO DE MADUREZ PROCESO Fecha
07 de diciembre de 2018
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
COBIT
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico
Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas. Los procedimientos de mantenimiento de instalaciones no están bien documentados y dependen de las buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad. Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y rastreado por la gerencia. Se aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil. Las autoridades civiles monitorean al cumplimiento con los reglamentos de salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar los costos del seguro. Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, cronogramas, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades apara la administración del contracto y del proveedor. Las aptitudes, capacidades y riesgo del proveedor son verificadas de forma continua. Los requerimientos del servicio están definidos y a lineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales, lo cual proporciona información para evaluar los servicios actuales y futuros de terceros. Se utilizan modelos de fijación de precios de transferencia en el proceso de adquisición. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPls y KGls para la supervisión del servicio. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
0
120/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-04
MODELO DE MADUREZ PROCESO Fecha
07 de diciembre de 2018
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
COBIT
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico
Hay un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente computo de la organización. Los estándares están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo, construcción, vigilancia, seguridad personal, sistemas electrónicos y mecánicos, protección contra factores ambientales (por ejemplo, fuego, rayos, inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones de acuerdo con el proceso continuo de administración de riesgos de la organización. El acceso es monitoreado continuamente y controlado estrictamente con base en las necesidades del trabajo, los visitantes son acompañados en todo momento. El ambiente se monitorea y controla por medio de equipo especializado y las salas de equipo funcionan sin operadores humanos. Los KPls y Kgsl se miden regularmente. Los programas de mantenimiento preventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles. Las estrategias de instalaciones y de estándares están alineados con las metas de disponibilidad de los servicios de TI y están integradas con las administraciones de crisis y con la planeación de continuidad del negocio. La gerencia revisa y optimiza las instalaciones utilizando los KPls y KGls de manera continua, capitalizando oportunidades para mejorar la contribución al negocio Promedio
10.4.7.
0
1,0
DICTAMEN AUDITORIA PROCESO DS12
Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la protección de las personas, los equipos de cómputo, información del negocio, instalaciones bien diseñadas y administradas. Minimizando el riesgo de una interrupción del servicio Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 1,0 es decir -INICIAL: Los procesos son espontáneos y UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
121/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
desorganizados. No se ha implementado procesos estándar para el procesamiento de información, debido a que hay poca conciencia sobre la necesidad de proteger las instalaciones o la inversión en recursos de cómputo La organización reconoce de manera parcial la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. carece controles ambientales la seguridad física es un proceso informal, No Hay una Política acordado a largo plazo para las instalaciones requeridas para soportar el ambiente de computo de la organización. Los estándares no están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo 10.4.7.1.
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
10.4.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Realizar mantenimiento y reparación de los equipos de monitoreo Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento. Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
122/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5. DS13 ADMINISTRACIÓN DE OPERACIONES De acuerdo con el proceso liderado por el auditor Jhonny Caicedo Velarde se procede a la ejecución de la auditoria. 10.5.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.5.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-05
ENTIDAD AUDITADA
CAJASCOL S.A.S
1
PAGINA DE 1
PROCESO AUDITADO Mantenimiento de equipos RESPONSABLE Jhonny Caicedo Velarde MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS13 Administración de Operaciones REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS
DE EJECUCION
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
Analizar si la cantidad de equipos existentes son necesarios para la operación requerida o en su defecto si hacen falta. Analizar la disponibilidad de documentación de los equipos. Analizar la comunicación entre los usuarios de los equipos y los encargados del mantenimiento tanto de hardware y software de los equipos.
Analizar el nivel de pericia de los usuarios con los diferentes entornos de las aplicaciones funcionales. Analizar las ubicaciones de los equipos existentes.
AUDITOR RESPONSABLE: JHONNY CAICEDO VELARDE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
123/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por: N°
26 de octubre de 2018 Consecutivo DS13 Administración de Operaciones Jhonny Caicedo Velarde
F-CHK 05
Aspectos por validar o chequear
1
El equipo de cómputo y/o impresora se encuentran en una base firme.
2
El monitor funciona correctamente.
3
El mouse funciona correctamente.
4
El teclado funciona correctamente.
5
El cableado eléctrico está protegido
6
El equipo se encuentra conectado a corriente asistida.
7
Los tomacorrientes se encuentran plenamente identificados.
8
Los equipos de cómputo tienen todas sus partes.
9
El antivirus se encuentra actualizado.
10
El software actual se encuentra actualizado.
11
El equipo se encuentra en buen estado de limpieza.
12
La impresora se encuentra conectada por fuera de la corriente asistida.
13
El área donde se encuentra el equipo se encuentra ventilada.
14
Existe hardware y/o otros equipos conectados al equipo de cómputo.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
SI
NO
X X X X X X X X X X X X X X
124/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-05 Analizar e identificar las posibles fallas que afecten el funcionamiento del hardware, para definir políticas y Objetivo Auditoría procedimientos que aseguren el mantenimiento preventivo del hardware ayudando a mantener la integridad de los datos y reducir los retrasos de la empresa. Proceso Auditado Indicadores de funcionamiento del hardware y software Responsable Jhonny Caicedo Velarde Material de Soporte PROCESO Entrevistado Cargo
COBIT
DOMINIO
Entregar y Dar Soporte
DS13 Administración de Operaciones Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿Existe un cronograma para el mantenimiento preventivo de los equipos? No 2. ¿En qué consiste el mantenimiento preventivo? Anticiparse a correctivos, manteniendo los equipos en bues estado de funcionamiento 3. ¿Se cuenta con la herramienta necesaria, para realizar dichos mantenimientos? Si 4. ¿Queda registro de los mantenimientos realizados? Hace mucho no se hacen, pero en su momento si quedo registro 5. ¿Quién realiza el mantenimiento a los equipos de respaldo como la UPS y planta eléctrica? Empresas contratistas 6. ¿El mantenimiento preventivo a estos equipos (respaldo) cada cuanto se realiza? En teoría cada 6 meses, pero el ultimo mantenimiento de equipos se llevó hace 18 meses
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
125/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-05 PREGUNTAS ENTREVISTA
7. ¿Existe protecciones en cuanto al sistema de tierras? Si 8. ¿Existe y están disponibles los manuales de cada uno de los equipos? De los más nuevos 9. ¿Se tiene algún plan de contingencia para cuando presente fallas un equipo? ¿Cuál? No, el usuario debe esperar a que se haga el correctivo. 10. ¿Existe un procedimiento para los mantenimientos correctivos de los equipos? Si es un correctivo que se sale de nuestras manos, se llama a un tercero
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Elizabeth Narváez Lopera Firma del Entrevistado
126/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.4.
FORMATO DE CUESTIONARIO PAGINA 1 DE 2 Consecutivo FCT-05
CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta ¿Se cuenta con un inventario de equipos de cómputo?
Si
No
3
¿Si existe inventario contiene los siguientes ítems? Número del computador Fecha Ubicación Responsable Características (memoria, procesador, monitor, disco duro) Se lleva una hoja de vida por equipo
5
¿La hoja de vida del equipo tiene los datos? Numero de hoja de vida Número del computador correspondiente Falla reportada Diagnóstico del encargado Solución que se le dio
5
¿Se posee un registro de fallas detectadas en los equipos?
5
¿La temperatura a la que trabajan los equipos es la adecuada?
3
¿Al momento de presentar una falla en el equipo, la atención que se presta es oportuna?
2
¿Se realizan pruebas de funcionamiento a los equipos de respaldo como UPS y planta eléctrica?
2 4
¿se realizan estas pruebas periódicamente? ¿Es calificado el personal que realiza las pruebas?
5
¿Existe proveedores para el mantenimiento de los equipos?
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Observaciones
127/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CUESTIONARIO DE CONTROL
2
Fecha 26 de octubre de 2018 Consecutivo Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta
Si
No
¿Se cuenta con planos eléctricos actualizados?
2
¿Se lleva un procedimiento para la adquisición de nuevos equipos?
5
¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?
4
¿Existe políticas de backup de la información?
PAGINA DE 2 FCT-05
Observaciones
2
Totales 19
33
10.5.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS13 Administración de Operaciones Porcentaje de riesgo parcial = (19 * 100) / 52 = 36,54% Porcentaje de riesgo = 100% - 33,33% = 63,46% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS13 es Medio.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
128/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 36,46% Porcentaje de riesgo 63,46% impacto según relevancia del proceso DS13 Riesgo medio
10.5.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.5.2.1.
RIESGOS INICIALES
1. Demora en solucionar fallas de equipos por falta de identificación de cableado. 2. Fallas en el suministro de energía. 3. Ausencia de ventilación para los equipos de computo 10.5.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
4. Daño de elementos importantes en los equipos por ausencia de energía asistida. 5. Posible de daño de equipos por mala señalización de las fuentes de energía. 6. Desactualización de Software. 7. Fallas de equipos por falta de mantenimientos preventivos. 8. No se lleva control de los mantenimientos realizados. 9. No se controla el mantenimiento preventivo a los equipos de respaldo. 10. No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos. 11. No existen planes de contingencia al momento de falla de un equipo. 12. No se tiene control de los mantenimientos correctivos de los equipos. 10.5.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Demora en solucionar fallas de equipos por falta de identificación de cableado.
2
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
129/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 N°
Descripción
Impacto
Probabilidad
R2
Fallas en el suministro de energía.
4
4
R3
Daño de equipos por ausencia de ventilación.
3
3
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
5
4
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
3
3
R6
Desactualización de Software.
2
2
R7
Fallas de equipos por falta de mantenimientos preventivos.
4
5
R8
No se lleva control de los mantenimientos realizados.
3
3
R9
No se controla el mantenimiento preventivo a los equipos de respaldo.
4
4
No existe la documentación completa de todos los equipos R10 existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos.
3
2
R11
No existen planes de contingencia al momento de falla de un equipo.
4
5
R12
No se tiene control de los mantenimientos correctivos de los equipos.
4
3
10.5.2.4.
RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Moderado Menor (2) Mayor (4) (1) (3)
Catastrófico (5)
Raro (1) Improbable (2)
R6
Posible (3)
R3, R3, R8 R12
Probable (4) Casi Seguro (5)
R10 R2, R9
R1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
R4
R7, R11
130/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.3. N° R1
TRATAMIENTO DE RIESGOS Descripción
Demora en solucionar fallas de equipos por falta de identificación de cableado.
Tratamiento Riesgo Controlarlo
R2 Fallas en el suministro de energía.
Controlarlo
R3 Daño de equipos por ausencia de ventilación.
Transferirlo
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
Transferirlo
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
Controlarlo
R6 Desactualización de Software. R7
Fallas de equipos por falta de mantenimientos preventivos.
Aceptarlo Controlarlo
R8 No se lleva control de los mantenimientos realizados.
Controlarlo
No se controla el mantenimiento preventivo a los equipos de respaldo.
Controlarlo
R9
No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás R10 documentos que puedan dar información sobre los equipos.
Controlarlo
R11
No existen planes de contingencia al momento de falla de un equipo.
Controlarlo
R12
No se tiene control de los mantenimientos correctivos de los equipos.
Controlarlo
10.5.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
131/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-24
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Al momento en que presente fallas el fluido eléctrico comercial, los equipos se apagaran abruptamente, lo que puede ocasionar daños en sus partes internas como fuente de poder o componentes electrónicos de la tarjeta madre. RIESGO: Daño de elementos importantes en los equipos por ausencia de energía asistida. RECOMENDACIONES: Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
132/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-25
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Posibles daños severos por revisión y/o cambio de cableado o elementos que se encuentren funcionando mal. RIESGO: Fallas de equipos por falta de mantenimientos preventivos. RECOMENDACIONES: Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
133/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-26
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Pérdida de tiempo del personal. Perdida de elementos de Hardware y/o información.
RIESGO: No existen planes de contingencia al momento de falla de un equipo. RECOMENDACIONES:
Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
134/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-27
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Recalentamiento de las partes internas de los equipos, ocasionando daño de estos. Incomodidad al personal por las altas temperaturas.
RIESGO: Daño de equipos por ausencia de ventilación. RECOMENDACIONES:
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
135/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-28
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE 1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Consumo extra de corriente de la UPS. Posible daño de equipos por una mala conexión o alimentación de un equipo no permitido, como por ejemplo taladros o pulidoras.
RIESGO: Posible de daño de equipos por mala señalización de las fuentes de energía. RECOMENDACIONES:
Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
136/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El respectivo cable de los equipos de cómputo no se encuentra debidamente marcado.
Preventivo
Se debe de marcar el cableado de los equipos, tanto de señal como de corriente.
No es confiable el sistema de respaldo cuando hay fallas del suministro de energía.
Correctivo
Se debe tener buenos equipos de soporte de energía como lo son UPS y Planta eléctrica.
Hay sitios donde se encuentran los equipos de cómputo que no tienen la temperatura adecuada para los mismos.
Preventivo
Se debe de controlar la temperatura de los equipos por medio de aires acondicionados.
Hay equipos que no se encuentran alimentados por la corriente asistida que proviene de la UPS.
Preventivo
Se debe realizar una revisión de cómo se encuentran conectados los equipos y al encontrar estos por fuera de la asistida, realizar las respectivas correcciones.
Se observan equipos diferentes a los de cómputo conectados a la corriente asistida, como por ejemplo ventiladores.
Preventivo
Crear políticas y controles que no permiten el mal uso de las tomas asistidas.
Se observa que el antivirus se encuentra desactualizado, al igual que el office.
Correctivo
Actualizar antivirus y demás programas que se encuentren obsoletos.
Hay equipos que no se les hace mantenimientos preventivos.
Preventivo
Implementar políticas de controles preventivos a todos los equipos de la organización.
No existe una bitácora o control de los mantenimientos que se les realiza a los equipos.
Preventivo
Elaborar y llevar control sobre los mantenimientos realizados a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
137/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
A los equipos de soporte no se les realiza mantenimiento preventivo hace más de un año.
Correctivo
Realizar mantenimiento a los equipos de acuerdo con la necesidad de estos, teniendo en cuenta la operatividad.
No se observan manuales de los equipos.
Preventivo
Al momento de adquirir equipos nuevos solicitar la documentación necesaria para cada uno de ellos.
No se tiene claro que se debe de realizar al momento de una falla en un equipo.
Correctivo
Establecer una ruta para el caso de que se debe de hacer en el momento de falla de un equipo, como para reponer al usuario afectado, como para la reparación del equipo.
No se tiene un registro o control de los mantenimientos correctivos de los equipos.
Correctivo
Crear formatos y/o registros que permitan llevar el control de los mantenimientos correctivos a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
138/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.6.
MODELO DE MADUREZ DS13 MODELO DE MADUREZ PROCESO
Fecha
05 de diciembre de 2018
Consecutivo
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-05
Entregar y Dar Soporte
DS13. Administración de Operaciones. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación La organización reconoce la necesidad de estructurar las funciones de soporte de TI. Se establecen algunos procedimientos estándar y las actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de operación son programados de manera informal y el procesamiento de peticiones se acepta sin validación previa. Las computadoras, sistemas y aplicaciones que soportan los procesos del negocio con frecuencia no están disponibles, se interrumpen o retrasan. Se pierde tiempo mientras los empleados esperan recursos. Los medios de salida aparecen ocasionalmente en lugares inesperados o no aparecen.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Cumplimiento por Nivel
2
139/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-05
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
DS13. Administración de Operaciones.
La organización está consciente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de que hacer, cuando y en qué orden no están documentadas. Existe algo de habilitación para el operador y hay algunos estándares de operación formales. Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo. Se han asignado recursos y se lleva a cabo alguna habilitación durante el trabajo. Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia la gerencia. Se introduce el uso de herramientas de programación automatizadas y de otras herramientas para limitar la intervención del operador. Se introducen controles para colocar nuevos trabajos en operación. Se desarrolla una política formal para reducir el número de eventos no programados. Los acuerdos de servicios y mantenimiento con proveedores siguen siendo de naturaleza informal. Las operaciones de cómputo y las responsabilidades de soporte están definidas de forma clara y la propiedad está asignada. Las operaciones se soportan a través de presupuestos de recursos para gastos de capital y de recursos humanos. La habilitación se formaliza y está en proceso. Las programaciones y las tareas se documentan y comunican, tanto a la función interna de TI como a los clientes del negocio. Es posible medir y monitorear las actividades diarias con acuerdos estandarizados de desempeño y de niveles de servicio establecidos. Cualquier desviación de las normas establecidas es atendida y corregida de forma rápida. La gerencia monitorea el uso de los recursos de cómputo y la terminación del trabajo o de las tareas asignadas. Existe un esfuerzo permanente para incrementar el nivel de automatización de procesos como un medio de mejora continua. Se establecen convenios formales de mantenimiento y servicio con los proveedores. Hay una completa alineación con los procesos de administración de problemas, capacidad y disponibilidad, soportados por un análisis de causas de errores y fallas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
0
140/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-05
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
DS13. Administración de Operaciones.
Las operaciones de soporte de TI son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de servicio con una pérdida de productividad mínima. Los procesos de administración de operaciones de TI están estandarizados y documentados en una base de conocimiento, y están sujetos a una mejora continua. Los procesos automatizados que soportan los sistemas contribuyen a un ambiente estable. Todos los problemas y fallas se analizan para identificar la causa que los originó. Las reuniones periódicas con los responsables de administración del cambio garantizan la inclusión oportuna de cambios en las programaciones de producción. En colaboración con los proveedores, el equipo se analiza respecto a posibles síntomas de obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva. Promedio
10.5.7.
0
0,8
DICTAMEN AUDITORIA PROCESO DS13
Objetivo de la Auditoria: Verificar que la empresa auditada maneje normas y controles de calidad que conlleven al uso eficiente de sus recursos, también se revisara si se están realizando los inventarios de los equipos para el control de los activos de la empresa, verificar si se tiene un plan de mantenimiento de los equipos que ayude a reducir riesgos y/o fallas de los equipos. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que la empresa reconoce la necesidad de implementar controles de mantenimientos para los equipos y los lleva casualmente y tener claridad en su periodicidad e importancia de estos, no se le da la importancia de llevar registros de los mantenimientos realizados, no garantizan la continuidad de la operación de la empresa en casos de falla de los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
141/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.7.1.
Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios
10.5.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS. Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas. Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función. Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS. Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
11. PRUEBAS Se anexa carpeta de pruebas fotográficas, donde se evidencia falta de seguridad perimetral, riesgo de inundación y riesgos de incendio. Por políticas de seguridad no se me autorizo fotografiar servidor ni tomar pantallazos de aplicaciones.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
142/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
12. INFORME FINAL AUDITORIA A continuación, se presenta un informe general de los hallazgos y recomendaciones por cada proceso auditado. 12.1. OBJETIVO GENERAL DE LA AUDITORIA Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol 12.2. HALLAZGOS Y RECOMENDACIONES POR PROCESO PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos
No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos
No hay supervisión de los procesos que realizan los usuarios en los equipos de computo
Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas
Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática
Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas.
Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
143/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos
Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista.
Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso
144/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Reporte de Hallazgos
Desconocimiento del plan para adquirir la infraestructura tecnológica
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Perdida de la trazabilidad e historia en los registros de la empresa
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación.
Desconocimiento del plan para adquirir la infraestructura tecnológica
Recomendaciones
Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
145/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Reporte de Hallazgos
Recomendaciones
Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet.
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica.
Implementar segura.
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
Tener como máximo dos usuarios con rol administrador.
Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso.
Se evidencia que varios usuarios están creados en el directorio activo como administradores.
Se identificó que no existe control sobre las máquinas virtuales (remoto).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
políticas
de
contraseña
146/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS12 ADMINISTRAR EL AMBIENTE FÍSICO Reporte de Hallazgos
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución
falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones
Realizar mantenimiento y reparación de los equipos de monitoreo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
147/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS13 ADMINISTRACIÓN DE OPERACIONES Reporte de Hallazgos
Recomendaciones
Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna.
Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos.
Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir.
Elaborar una ruta a seguir para el caso de daños de equipos.
Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema.
Tener una persona encargada de esta función.
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo.
Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
Señalizar las tomas de acuerdo con las respectivas normas.
Capacitar al personal del uso adecuado de estas tomas.
Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
148/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
13. CONCLUSIONES Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para planificar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron unos hallazgos que se presentaron a la gerencia de Cajascol y se propusieron algunos controles para mitigar o controlar los riesgos existentes. Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
149/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
14.
REFERENCIAS BIBLIOGRAFICAS
INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
de
CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoriacobit.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS. Recuperado el 23 de octubre de 2018, de http:// http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
150/150.
PRESENTADO POR: KATHERINE ZAPATA MOSQUERA COD: 1113523654 JOHN JAIRO MARTINEZ TORRES COD: 94504963 WILDER ALEJANDRO FLOREZ GONZALEZ COD: 1113647557 JHONNY CAICEDO VELARDE COD: 94329937 JAIRO ANGULO COD: 94229202 GRUPO: 90168_41 CEAD: PALMIRA
TUTOR: FRANCISCO NICOLAS SOLARTE SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERÍA PROGRAMA DE INGENIERIA DE SISTEMAS 10 DE DICIEMBRE DE 2018
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 CONTENIDO
INTRODUCCIÓN ......................................................................................................................... 6 OBJETIVO GENERAL ................................................................................................................ 7 OBJETIVOS ESPECÍFICOS...................................................................................................... 7 1. DESCRIPCION EMPRESA A AUDITAR .......................................................................... 8 2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL ............ 13 3. PLAN DE AUDITORIA CAJASCOL................................................................................ 20 3.1.
OBJETIVOS DE LA AUDITORIA................................................................................. 20
3.1.1.
OBJETIVO GENERAL DE LA AUDITORIA ........................................................... 20
3.1.2.
OBJETIVOS ESPECIFICOS ..................................................................................... 20
3.2.
ALCANCE DE LA AUDITORIA .................................................................................... 21
3.3.
METODOLOGIA A APLICAR ....................................................................................... 22
3.4.
RECURSOS NECESARIOS ......................................................................................... 22
3.5.
CRONOGRAMA DE ACTIVIDADES ........................................................................... 24
4. ESTANDAR A APLICAR EN LA AUDITORIA ............................................................... 25 5. PROCESOS PARA EVALUAR ........................................................................................ 25 5.1.
PLANEACION Y ORGANIZACIÓN (PO) ................................................................... 25
5.1.1.
PO4 Definir los Procesos, Organización y Relaciones de TI ........................ 25
5.1.1.1.
PO4.5 Estructura Organizacional ...................................................................... 25
5.1.1.2.
PO4.6 Establecimiento de Roles y responsabilidades ................................ 26
5.1.1.3.
PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento ........... 26
5.1.1.4.
PO4.9 Propiedad de datos y de sistemas ....................................................... 26
5.1.1.5.
PO4.10 Supervisión ............................................................................................... 26
5.1.1.6.
PO4.11 Segregación de funciones .................................................................... 26
5.1.1.7.
PO4.13 Personal Clave de TI .............................................................................. 27
5.2.
ADQUIRIR E IMPLEMENTAR (AI) .............................................................................. 27
5.2.1.
AI3 Adquirir y Mantener Infraestructura Tecnológica ..................................... 27
5.2.1.1.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica ........................ 27
5.2.1.2.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura .......... 27
5.2.1.3.
AI3.3 Mantenimiento de la Infraestructura ...................................................... 28
5.2.1.4.
AI3.4 Ambiente de Prueba de Factibilidad ...................................................... 28
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.3.
Entregar y Dar Soporte (DS) ...................................................................................... 28
5.3.1.
DS5 Garantizar la Seguridad de los Sistemas ................................................... 28
5.3.1.1.
DS5.3 Administración de Identidad .................................................................. 28
5.3.1.2.
DS5.4 Administración de Cuentas del Usuario. ............................................ 29
5.3.1.3.
DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad. ................................ 29
5.3.1.4.
DS5.10 Seguridad de la Red ............................................................................... 29
5.3.2.
DS12 Administrar el Ambiente Físico .................................................................. 29
5.3.2.1.
DS12.1 Selección y Diseño del Centro de Datos .......................................... 30
5.3.2.2.
DS12.2 Medidas de Seguridad Física. .............................................................. 30
5.3.2.3.
DS12.3 Acceso Físico. .......................................................................................... 30
5.3.2.4.
DS12.4 Protección Contra Factores Ambientales......................................... 30
5.3.2.5.
DS12.5 Administración de Instalaciones......................................................... 30
5.3.3.
DS13 Administración de Operaciones ................................................................. 30
5.3.3.1.
DS13.1 Procedimientos e instrucciones de operación. .............................. 31
5.3.3.2.
DS13.2 Programación de Tareas ....................................................................... 31
5.3.3.3.
DS13.5 Mantenimiento Preventivo del Hardware.......................................... 31
6. ASIGNACION PROCESOS POR AUDITOR ................................................................. 31 7. INSTRUMENTOS DE RECOLECCION .......................................................................... 32 7.1.
FUENTES DE CONOCIMIENTO.................................................................................. 32
7.2.
FORMATO DE LISTAS DE CHEQUEO ...................................................................... 34
7.3.
FORMATO DE ENTREVISTA ....................................................................................... 34
7.4.
FORMATO DE CUESTIONARIO ................................................................................. 35
8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA......................... 36 9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO ..................................... 36 10.
EJECUCION Y RESULTADOS AUDITORIA ............................................................. 38
10.1.
PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 39
10.1.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 39
10.1.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 39
10.1.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 40
10.1.1.3.
FORMATO DE ENTREVISTA ............................................................................ 41
10.1.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 44
10.1.1.4.1.
PORCENTAJE DE RIESGO .......................................................................... 45
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.2.
ANALISIS Y VALORACION DE RIESGOS ........................................................ 45
10.1.2.1.
RIESGOS INICIALES ......................................................................................... 45
10.1.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 46
10.1.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 46
10.1.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 47
10.1.3.
TRATAMIENTO DE RIESGOS .............................................................................. 48
10.1.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 49
10.1.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 57
10.1.6.
MODELO DE MADUREZ PO4 .............................................................................. 59
10.1.7.
DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 61
10.1.7.1.
Hallazgos que soportan el Dictamen ............................................................ 61
10.1.7.2.
Recomendaciones: ............................................................................................ 62
10.2.
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA .......... 63
10.2.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 63
10.2.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 63
10.2.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 65
10.2.1.3.
FORMATO DE ENTREVISTA ............................................................................ 66
10.2.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 68
10.2.1.4.1. 10.2.2.
PORCENTAJE DE RIESGO .......................................................................... 69
ANALISIS Y VALORACION DE RIESGOS ........................................................ 69
10.2.2.1.
RIESGOS INICIALES ......................................................................................... 69
10.2.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 70
10.2.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 70
10.2.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 71
10.2.3.
TRATAMIENTO DE RIESGOS .............................................................................. 71
10.2.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 73
10.2.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 78
10.2.6.
MODELO DE MADUREZ PO4 .............................................................................. 80
10.2.7.
DICTAMEN AUDITORIA PROCESO PO4 .......................................................... 82
10.2.7.1.
Hallazgos que soportan el Dictamen ............................................................ 82
10.2.7.2.
Recomendaciones: ............................................................................................ 82
10.3.
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS................................ 83
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
3/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION .............................. 83
10.3.1.1.
FUENTES DE CONOCIMIENTO....................................................................... 83
10.3.1.2.
FORMATO DE LISTAS DE CHEQUEO ........................................................... 85
10.3.1.3.
FORMATO DE ENTREVISTA ............................................................................ 86
10.3.1.4.
FORMATO DE CUESTIONARIO ...................................................................... 88
10.3.1.4.1. 10.3.2.
PORCENTAJE DE RIESGO .......................................................................... 89
ANALISIS Y VALORACION DE RIESGOS ........................................................ 89
10.3.2.1.
RIESGOS INICIALES ......................................................................................... 89
10.3.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ............................ 90
10.3.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO........................................................ 90
10.3.2.4.
RESULTADO MATRIZ DE RIESGOS .............................................................. 91
10.3.3.
TRATAMIENTO DE RIESGOS .............................................................................. 91
10.3.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ............................................ 92
10.3.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................... 98
10.3.6.
MODELO DE MADUREZ PO4 ............................................................................ 100
10.3.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 102
10.3.7.1.
Hallazgos que soportan el Dictamen .......................................................... 103
10.3.7.2.
Recomendaciones: .......................................................................................... 103
10.4.
DS12 ADMINISTRAR EL AMBIENTE FÍSICO .................................................... 104
10.4.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 104
10.4.1.1.
FUENTES DE CONOCIMIENTO..................................................................... 104
10.4.1.2.
FORMATO DE LISTAS DE CHEQUEO ......................................................... 105
10.4.1.3.
FORMATO DE ENTREVISTA .......................................................................... 106
10.4.1.4.
FORMATO DE CUESTIONARIO .................................................................... 108
10.4.1.4.1. 10.4.2.
PORCENTAJE DE RIESGO ........................................................................ 109
ANALISIS Y VALORACION DE RIESGOS ...................................................... 109
10.4.2.1.
RIESGOS INICIALES ........................................................................................110
10.4.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS ...........................110
10.4.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO.......................................................110
10.4.2.4.
RESULTADO MATRIZ DE RIESGOS ............................................................. 111
10.4.3.
TRATAMIENTO DE RIESGOS .............................................................................112
10.4.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA ...........................................112
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
4/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.5.
CONTROLES O SOLUCIONES PROPUESTAS ..............................................118
10.4.6.
MODELO DE MADUREZ PO4 .............................................................................119
10.4.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 121
10.4.7.1.
Hallazgos que soportan el Dictamen .......................................................... 122
10.4.7.2.
Recomendaciones: .......................................................................................... 122
10.5.
DS13 ADMINISTRACIÓN DE OPERACIONES .................................................. 123
10.5.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION ............................ 123
10.5.1.1.
FUENTES DE CONOCIMIENTO..................................................................... 123
10.5.1.2.
FORMATO DE LISTAS DE CHEQUEO ......................................................... 124
10.5.1.3.
FORMATO DE ENTREVISTA .......................................................................... 125
10.5.1.4.
FORMATO DE CUESTIONARIO .................................................................... 127
10.5.1.4.1. 10.5.2.
PORCENTAJE DE RIESGO ........................................................................ 128
ANALISIS Y VALORACION DE RIESGOS ...................................................... 129
10.5.2.1.
RIESGOS INICIALES ....................................................................................... 129
10.5.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS .......................... 129
10.5.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO...................................................... 129
10.5.2.4.
RESULTADO MATRIZ DE RIESGOS ............................................................ 130
10.5.3.
TRATAMIENTO DE RIESGOS ............................................................................ 131
10.5.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA .......................................... 131
10.5.5.
CONTROLES O SOLUCIONES PROPUESTAS ............................................. 137
10.5.6.
MODELO DE MADUREZ PO4 ............................................................................ 139
10.5.7.
DICTAMEN AUDITORIA PROCESO PO4 ........................................................ 141
10.5.7.1.
Hallazgos que soportan el Dictamen .......................................................... 142
10.5.7.2.
Recomendaciones: .......................................................................................... 142
11.
CONCLUSIONES ......................................................................................................... 149
12.
REFERENCIAS BIBLIOGRAFICAS ......................................................................... 150
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
5/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
INTRODUCCIÓN En el campo de la auditoria de sistemas, es sumamente importante conocer conceptos claves que ayudaran a sacar una auditoria adelante, tales conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y percibir como interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es mayor la propagación de otro, con ese conocimiento se puede ayudar a las organizaciones a mitigar sus riesgos y tener controladas las amenazas. Una ejecución de auditoria a los sistemas informáticos de una empresa es imprescindible para lograr la utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones; con los planes programados de auditoria se le permite a la compañía evaluar todo, desde la informática, la organización de los centros de información, hasta el hardware y software, brindando así sistemas confiables y con buenos niveles de seguridad. En el presente trabajo se pretende hacer una ejecución de auditoria a la empresa Cajascol, iniciando desde plan de auditoria, posteriormente la ejecución de esta y por último los resultados e informe final de la auditoria para la empresa Cajascol centrándose en aspectos como: evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema, para ello se evaluaran proceso críticos del sistema y sus objetivos de control, los procesos que se evaluaran serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de Operaciones. En la parte final del documento se presentan las referencias bibliográficas exploratorias del tema, que puede servir de insumo académico para los interesados en la temática. Se espera que este documento se ajuste a lo requerido por el ente evaluador y sea de agrado para los lectores que tengan la oportunidad de leer este documento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
6/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
OBJETIVO GENERAL Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol OBJETIVOS ESPECÍFICOS Describir las vulnerabilidades, amenazas y riesgos informáticos de la empresa Propuesta. Realizar plan de auditoria incluyendo, objetivos, alcance, metodología, recursos y cronograma de actividades de la auditoria. Seleccionar ítems que serán evaluados y sus objetivos de control, verificando que estén relacionados con el objetivo de la auditoria. Realizar instrumentos para el desarrollo de la auditoria y recolección de información como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas. Ejecutar ejercicio de auditoria apoyándose en los instrumentos de recolección de información diseñados Determinar tratamiento de riesgos para cada proceso, de acuerdo con la matriz de riesgos generada en el ejercicio de auditoria. Elaborar un formato de hallazgos (riesgos conformados mediante pruebas) para cada uno de los riesgos encontrados en el proceso teniendo como base los resultados de la matriz de riesgos. Para cada proceso elaborar un cuadro con una columna de los riesgos, otra con los controles propuestos, y una columna adicional con el tipo de control (preventivo, detectivo, correctivo, o de recuperación). Presentar niveles de madurez, la interpretación de la escala de valoración y dictamen de la auditoria para cada proceso, teniendo en cuenta los hallazgos encontrados y el nivel de riesgo. Elaborar el informe final de auditoría donde se muestre los hallazgos y recomendaciones
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
7/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
1. DESCRIPCION EMPRESA A AUDITAR CAJAS COLOMBIANAS S.A.S. Es una empresa de artes gráficas fundada en Cali en 1971, se encuentra ubicada en la recta Cali – Palmira, departamento del Valle del Cauca, Colombia. Inició sus actividades con la producción y comercialización de materiales de empaque como particiones divisiones y cajas plegadizas en bajo volumen, posteriormente en los años 80, incrementa su capacidad de producción modernizando su tecnología y desde aquella época ha seguido su crecimiento ascendente, en los años 90 desarrolló la producción de empaques micro corrugados. Hoy en día cuenta con instalaciones propias, equipos con tecnología avanzada corrugación en flautas E y B, conversión de materiales, tecnología alemana en equipos de impresión, laminación y troquelado, además de contar con personal experimentado. Sus productos están dirigidos principalmente a empresas productoras de Artículos para el Hogar, Calzado, Licores, Electrodomésticos, Alimentos, Jugueterías, Cristalería, Artículos industriales, etc. Está comprometida con la protección y preservación del medio ambiente, contribuyendo activamente dado que sus productos son reciclables y sus procesos tienen en cuenta las buenas prácticas ambientales en el marco de la producción más limpia. Cajascol se dedica a la fabricacion y comercializacion de empaques en microcorrugado y plegadiza, tambien fabrica y comercializa tazones y vasos de carton, a continuacion se presentan sus lineas de producto: LINEA DE PRODUCCION
DETALLE LINEA Línea MICROPACK. Fabricamos empaques en micro corrugado en flautas E y B. Línea RECYPACK. Elaboramos empaques en cartón plegadizo Línea RECYCUPS. Fabricamos envases en cartón impermeable para bebidas frías y calientes.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
8/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
9/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Localización Cajascol se encuentra ubicada en las afueras de Cali, en la vía Palmira, su dirección es Tv. 1 #0 Sur-1 a 0 Sur-181 Palmira, Valle del Cauca
DESCRIPCION AREA INFORMATICA: Para Cajascol es vital que fluya la información para toma de decisiones, para eso cuenta con 30 equipos en las diferentes áreas conectados a una red a través de un servidor HP ubicado en el UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
10/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 área de sistemas,
SISTEMAS DE INFORMACION: En su parte contable Cajascol cuenta con el paquete de Siigo
Para sus procesos productivos se desarrolló una aplicación a la medida de Cajascol, llamada Cajisote .
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
11/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
RECURSOS INFORMATICOS: Cajascol cuenta con un servidor HP Proliant microserver y 30 equipos todos con Windows, distribuidos así, 2 Equipos con Windows 10, 26 equipo con Windows 8.1 y 2 equipos con Windows 7. Para apoyar al área de ventas y visibilidad de marca Cajascol cuenta con un dominio y hosting, proporcionado por doñee e industrial media, su dominio es www.cajascol.com Los equipos tienen el paquete de office en su versión 2013 y en cuanto a cuentas de correo cuentan con el servicio de Outlook 365 comprado y administrado a través de IFX Todos los equipos están conectados a una red de energía regulada por una potente UPS, que permite una autonomía de 30 minutos en caso de corte del fluido eléctrico, el servidor está conectado a su propia UPS y para contar con respaldo de información tiene un arreglo de discos RAID para tener un espejo de la información. Para control de amenazas todos los equipos cuentan con el antivirus Kasperky y se ha modificado su host para control de acceso a ciertas páginas web. Toda la red de la empresa es por cable trenzado UTP cat 6, aunque en dos puntos se cuenta con routers inalámbricos y a su vez dos zonas wifi en auditorio y oficinas. Se cuenta con una impresora central de marca Ricoh mp201, aunque en zonas alejadas se tienen 3 impresoras hp 1101 FUNCIONES PERSONAL AREA INFORMATICA: Cajascol cuenta con una ingeniera de sistemas que tiene como funciones:
Que todos los equipos mantengan conectividad y permanezcan en el dominio. Interacción con el proveedor de internet para evitar o subsanar perdidas de conexión. Hacer respaldos periódicos de información tanto a Cajasoft como al sistema contable. Hacer mantenimiento físico a la red, así como conectar nuevos puntos. Mantenimiento preventivo de equipos. Control y seguimiento al consumo de ancho de banda, para evitar colapsos en la red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
12/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
2. VULNERABILIDADES AMENAZAS Y RIESGOS EMPRESA CAJASCOL A continuación, se presenta cuadro de vulnerabilidades, amenazas y riesgos que afectan a Cajascol y los activos informáticos involucrados. VULNERABILIDADES
AMENAZAS
RIESGOS
ACTIVOS
Ausencia de política de desarrollo de software
Al momento de instalar nuevos programas no se tiene una política de instalación, ni uso.
Incompatibilidad en programas y/o sistemas operativos.
Desarrollo de software
Equipos obsoletos que no cumplen las características mínimas para ejecutar programas actuales.
Falta de software para la realización de alunas tareas
Incompatibilidad con software actual
Hardware y software
Consumo de bebidas en el lugar de trabajo
Por descuido derramen liquido en los equipos de computo
Daños en los dispositivos tecnológicos.
Hardware
Hay equipos de cómputo expuestos a altas temperaturas
Recalentamiento en piezas sensibles de los equipos como bordo, tarjetas gráficas y discos duros
Daño en las board y discos duros, por ende, perdida de información
Hardware
La ubicación de la empresa se encuentra muy cerca del rio Cauca
Amenaza de inundación por creciente del rio en temporada de lluvias
Daño de equipos de computo
Hardware
Muchos equipos de cómputo no están conectados a la red regulada de energía No hay programa de mantenimiento físico para equipos de cómputos, el ultimo mantenimiento registrado fue hace 2 años
Se pueden presentar cambios repentinos de voltaje por conexión de otros equipos o herramientas
Daño de fuentes de poder, perdidas de información por daños en discos duros
Hardware
Mal funcionamiento por exceso de polvo que aísla contactos
Daño de equipos de cómputos y perdida de información
Hardware
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
13/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
No se encuentra registro de mantenimiento de equipos ni al área de sistemas
Doble costo por servicios ya prestados
Se cuenta con bodega abierta de materiales reciclables
Material propenso a incendios
Solo se hacen mantenimientos correctivos con una persona externa
Operarios inactivos al esperar que el proveedor externo agende cita
Fallas en el suministro de energía.
Caídas de voltaje.
Pocos controles para el acceso al edificio
Acceso no autorizado a las diferentes áreas
El espacio de los cubículos de los pc es muy reducido.
Personas poco cuidadosas
Caída de elementos de hardware como mouse y teclado
El router e encuentra instalado en un lugar que es accesible a personal no autorizado.
Cualquier persona podría desconectar o dañar el Router.
Reuter mal ubicado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS Perdida de capital Daño de equipos de cómputo e infraestructura física Mayor inversión en compra de partes o equipos dañados No se cuenta con un respaldo de energía (Ups), al momento de que esta varíe o se ausente, lo que puede ocasionar daños en hardware de la empresa. Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. Así como hurto de información
14/150.
ACTIVOS Hardware Hardware Hardware
Hardware.
Humano/Seguridad Física
Infraestructura física. Redes.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Router sin identificadores
Las conexiones de red no están plenamente identificadas.
Falta de conciencia de seguridad
Los colaboradores acceden a múltiples sitios web
Falta de una política de contraseñas seguras
Acceso de usuarios externos no autorizados
Solo funcionan correctamente 5 de 16 cámaras instalas en la empresa
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Exposición de los equipos ante un posible malware oculto
Uso de software ilegal
El respaldo de información del servidor es un disco espejo en el mismo servidor Ataques Informáticos
Robo del servidor o daño de este por siniestro Inclusión de virus, malware, gusanos, troyanos y otros atacantes.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
Se puede desconectar o trabajar en otro equipo que no es el que presente el problema. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) Perdida de integralidad, Alteración de la información Perdida de capital y activos de la empresa
Redes.
Ataques maliciosos, virus mal intencionados. Así como multas por uso indebido Perdida de todos los registros de la empresa
Seguridad Lógica
Daño en software hardware, perdida de información.
Seguridad lógica.
15/150.
Seguridad Lógica
Seguridad Lógica Seguridad Lógica
Seguridad Lógica
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Ausencia de sistemas de Backup.
Pérdida de Información.
Falta ancho de Banda
Equipos lentos al ejecutar tareas que necesiten internet.
Ausencia de planes para recuperación de información
Daño o perdida
El acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario Hay una carpeta publica en el servidor donde cualquier usuario tiene acceso
Robo del servidor o manipulación de este
Muchos usuarios están creados en el directorio activo como administradores
Dados sus privilegios podrían instalar ejecutables o usar contraseñas de activación no válidas para software
Amenaza de origen humano sea por impericia o mala intención
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
No se cuenta con sistemas que sirvan como copias de seguridad para restaurar información en el caso de daños graves en los equipos. Falta de capacidad de banda ancha para las videoconferencias y juegos en línea. No se realizan copias de seguridad de manera periódica de la información sensible. Perdida de información, modificación o eliminación de cuentas de usuario
Seguridad Lógica.
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado
Seguridad Lógica/ Bases de Datos
16/150.
Seguridad Lógica.
Seguridad lógica
Seguridad Lógica/ Bases de Datos
Seguridad Lógica/ Bases de Datos
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
El cuarto donde está el servidor se encuentra lleno de archivo de contabilidad y archivo muerto
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
No hay suficiente capacitación a usuarios de aplicativos
Se puede presentar una amenaza de tipo humano por impericia.
Sistemas o aplicaciones desactualizadas
interrupción en un recurso de la red o del sistema
Falta de conocimiento de los usuarios en el tema de seguridad informática y de la información
Acceso a sitios web no autorizados
Antivirus desactualizado o carencia de este
Fácil entrada de virus espías o destructivos al sistema
carencia de controles en las máquinas virtuales (remoto)
Perdida de información
Uso de protocolos de redes inseguros (WEP),
La red está expuesta a ataques informáticos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS
ACTIVOS
Daño del servidor por recalentamiento o incendio y por ende perdida de información. Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Acceso a información confidencial.
Seguridad Lógica/ Bases de Datos /Hardware
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Sustracción de información valiosa que pueda comprometer a la empresa Eliminar información importante y perdida de la confidencialidad Acceso a la red de la organización
Sistema de información
17/150.
Seguridad Lógica/ Bases de Datos /Hardware Sistema de información
Sistema de información Sistema de información/bases de datos Sistema de información/bases de datos, Software
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
Caída constante de la red
Información incompleta, Información desfasada
Falta de registro en el ingreso y egreso de dispositivos o periféricos
Hurto de información
Ausencia de equipos de continencia
perdida o retraso en la información
No hay control en el uso de dispositivos extraíbles como memorias USB o discos duros portátiles No hay restricción de permisos para los usuarios del sistema informático
que se ejecuten de manera automática programas dañinos desde la USB
No hay trazabilidad de registros en el sistema informático
Amenaza de origen humano sea por impericia o mala intención
Solo hay una persona que presta soporte al sistema informático
Que esta persona deje de prestar soporte
Amenaza de origen humano sea por impericia o mala intención
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
RIESGOS Realizar acciones incoherentes, así como información no integra Perdida de confidencialidad e integralidad de la información Retraso en las actividades a desarrollar Sustracción de la información, perdida de confidencialidad y contagio de virus Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable Perder trazabilidad e historia en los registros de la empresa
18/150.
ACTIVOS Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos. Sistema de información/bases de datos.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
VULNERABILIDADES
AMENAZAS
RIESGOS
ACTIVOS
Registro y seguimiento insuficientes en los servicios Implementados en la nube con poca seguridad (Google drive) Calidad y oportunidad de servicio en proveedores
Facilidad de acceso a la nube (drive)
Descarga apertura o instalación de programas o documentos infectados.
Sistema de información/Software/h ardware
Clientes insatisfechos que buscan otros locales.
Talento humano y hardware
No hay una persona de planta que preste soporte al área de sistemas
Operarios inactivos al esperar que el proveedor externo agende cita
Carencia de sistemas de seguridad de última tecnología
Criminalidad
Edificación antigua que no cumple con los estándares seguridad
Incendio, Inundación, Sismo
Equipo sin funcionamiento por un determinado tiempo. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna Atentado contra la integridad física de las personas e instalaciones destrucción de las edificaciones y sus activos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
19/150.
Talento humano y hardware
Humano/hardware Humano/hardware
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3. PLAN DE AUDITORIA CAJASCOL Después de haber hecho el reconocimiento de la empresa y haber establecido sus vulnerabilidades, amenazas y riesgos se identifican puntos críticos como la seguridad de la información, la infraestructura física y aspectos concernientes con el mantenimiento.
3.1.
OBJETIVOS DE LA AUDITORIA
De acuerdo con lo anterior se definen los objetivos de la auditoria. 3.1.1. OBJETIVO GENERAL DE LA AUDITORIA Realizar una auditoria en sistemas que permita evaluar la infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol. 3.1.2. OBJETIVOS ESPECIFICOS Objetivo 1: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Objetivo 2: Construir el plan de auditorías, para ello se elaborará y hará uso de los diferentes elementos de recolección de información, se establecerán las pruebas y los procesos a los cuales se les aplicara. Objetivo 3: Ejecutar el plan de pruebas y emplear las herramientas de recolección de datos, que lleven a determinar los riesgos que se presentan en la seguridad lógica, bases de datos, y en el soporte de la infraestructura tecnológica de la organización. Consolidándolos en una matriz de riesgos que facilitara medir su nivel y estimar el impacto que causa en las actividades de la organización. Objetivo 4: Teniendo en cuenta los hallazgos del ejercicio de auditoria, presentar el informe de resultados de la auditoria, con los resultados y recomendaciones que sirvan para disminuir la presencia de los riegos en las diferentes áreas involucradas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
20/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.2.
ALCANCE DE LA AUDITORIA
A continuación, se presentan los aspectos más relevantes que se evaluaran en la auditoria de sistemas que se realizara a la empresa Cajascol de la ciudad de Cali, los cuales se detallan a continuación: Seguridad lógica:
La confiabilidad de las contraseñas de acceso al sistema de información. Restricción con la que cuentan los usuarios frente al acceso a la web. Que se disponga de un servidor alternativo para uso de Backus de la información. Que el software empleado en la organización se encuentre bajo las condiciones legales establecidas. Así como el uso de antivirus.
Infraestructura tecnológica de soporte: En la infraestructura tecnológica se ven involucrados distintos componentes: Redes de datos:
Protección del cableado estructurado. Contraseñas de acceso a la red. Seguridad de los protocolos encargados de la comunicación de datos de la red.
Hardware:
Registro del hardware, dado de baja, proceso de adquisición, (bitácora). Seguridad de los dispositivos tecnológicos. Distribución del hardware en la organización.
Mantenimiento:
Revisión hojas de vida de activos informáticos. Revisión registro de bitácoras de mantenimiento. Plan de mantenimiento preventivo en equipos informáticos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
21/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.3.
METODOLOGIA A APLICAR
Para cumplir con los objetivos es necesario seguir los siguientes pasos: Metodología para Objetivo 1 Solicitar la documentación del área de informática de Cajascol Solicitar topología de red Conocer las políticas de seguridad establecidas para los sistemas de información. Solicitar inventario de equipos informáticos y hoja de vida de estos Requerir la bitácora de Mantenimiento de Cajascol. Metodología para Objetivo 2 Elaboración del plan de auditoria Diseño de formato de encuestas y entrevistas Metodología para Objetivo 3 Visita para la recolección de información. Realizar entrevista con el líder del área informática y soporte. Aplicar una encuesta a los usuarios, para identificar las posibles fallas en la infraestructura tecnológica. Recopilación de información. Evaluar la infraestructura tecnológica y soporte. Evaluar la seguridad física. Evaluar la seguridad lógica Evaluar la seguridad e integridad de los sistemas de información Metodología para Objetivo 4 Consolidación del informe de auditoria Análisis preliminar de la información recolectada Presentación y entrega del informe de auditoría
3.4.
RECURSOS NECESARIOS
A continuación, se enuncian los recursos necesarios para llevar a cabo la auditoria en la empresa Cajascol, se contemplarán recursos como el aspecto humano, físico, tecnológico y recursos económicos. Recursos humanos: Está compuesto por el grupo auditor que llevara a cabo el ejercicio de auditoria y son integrantes de grupo 41 del curso de auditoria en sistemas de la UNAD, los cuales son:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
22/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Katherine Zapata Jonny Caicedo Jhon Jairo Martínez Jairo Angulo Wilder Alejandro Flórez
Por parte de la empresa Cajascol se cuenta con el apoyo del ingeniero Jorge Barco Gómez quien es director operativo de la compañía. Recursos físicos: La auditoría se llevará a cabo en la empresa Cajascol de la ciudad de Cali, propiamente a la infraestructura tecnológica de soporte y de hardware, la seguridad lógica, y seguridad en bases de datos del sistema de información. Recursos tecnológicos: Cámara digital para la toma de evidencias (fotografías y videos), computador portátil para almacenar y procesar la información obtenida, grabadora de voz digital para las entrevistas presenciales, modem para garantizar la conexión a internet e impresora. Recursos económicos: ÍTEM
CANTIDAD
VALOR UNITARIO
SUBTOTAL
Cámara Digital
1
$230.000
$230.000
Computador
2
$1.600.000
$3.200.000
Impresora
1
$265.000
$265.000
$120.000
$120.000
$105.000
$105.000
Viáticos alimentación
$200.000
$200.000
Transporte
$200.000
$200.000
$1.000.000
$3.000.000
Artículos de Papelería Modem + Conexión a internet
Honorarios equipo auditor
1
3
Total $7.320.000
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
23/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
3.5.
CRONOGRAMA DE ACTIVIDADES
A continuación, se presenta cronograma de actividades para dar cumplimiento al ejercicio de auditoria:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
24/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
4. ESTANDAR A APLICAR EN LA AUDITORIA Se utilizará la metodología COBIT, donde se seleccionan los dominios, procesos y algunos objetivos de control que están en relación directa con el objetivo y los alcances que han sido definidos en el plan de auditoría 5. PROCESOS PARA EVALUAR A continuación, se relacionan los dominios y los objetivos de control que se evaluaran durante el proceso de auditoria
5.1.
PLANEACION Y ORGANIZACIÓN (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. 5.1.1. PO4 Definir los Procesos, Organización y Relaciones de TI Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno o más comités de dirección, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión. 5.1.1.1.
PO4.5 Estructura Organizacional
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Además, implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
25/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.1.2.
PO4.6 Establecimiento de Roles y responsabilidades
Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y lo des y rendición de cuentas para alcanzar las necesidades del negocio.
5.1.1.3.
PO4.8 Responsabilidad sobre riesgo, seguridad y cumplimiento
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles de responsabilidad de los riesgos críticos para administrar los incluyendo la responsabilidad específica de la seguridad de la información, la seguridad riesgos de TI, incluyendo física y el cumplimiento. Establecer responsabilidad sobre la administración del riesgo y la seguridad a nivel de toda la organización para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. Obtener orientación de la alta dirección con respecto al apetito de TI y la aprobación de cualquier riesgo residual de TI. 5.1.1.4.
PO4.9 Propiedad de datos y de sistemas
Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los dueños toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo con esta clasificación. 5.1.1.5.
PO4.10 Supervisión
Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeño. 5.1.1.6.
PO4.11 Segregación de funciones
Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
26/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.1.1.7.
PO4.13 Personal Clave de TI
Definir e identificar al personal clave de TI desempeñando una función de trabajo minimizar la dependencia en un solo individuo de trabajo crítica.
5.2.
y
ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas en los procesos del negocio. Se debe tener presente que dentro de este dominio se cubre el cambio y el mantenimiento de los sistemas existentes. 5.2.1. AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. 5.2.1.1.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. 5.2.1.2.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
27/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5.2.1.3.
AI3.3 Mantenimiento de la Infraestructura
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. 5.2.1.4.
AI3.4 Ambiente de Prueba de Factibilidad
Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
5.3.
Entregar y Dar Soporte (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. 5.3.1. DS5 Garantizar la Seguridad de los Sistemas Para proteger los activos de TI en la empresa Cajascol se debe minimizar el impacto causado por las vulnerabilidades identificadas en la seguridad lógica, por lo tanto, se requiere de un proceso de administración de seguridad, el cual, define roles y responsabilidades de seguridad al momento de suministrar los datos de acceso al sistema de información (usuarios y contraseñas), este proceso también incluye la realización de monitoreos de seguridad y pruebas periódicas. 5.3.1.1.
DS5.3 Administración de Identidad
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema de información y los datos están en línea con las necesidades de la empresa Cajascol, las cuales, están definidas y documentadas, al igual que los requerimientos de trabajo están adjuntos a las identidades del usuario. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
28/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso. 5.3.1.2.
DS5.4 Administración de Cuentas del Usuario.
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa Cajascol deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados. 5.3.1.3.
DS5.5 Pruebas, Vigilancia y Monitoreo de Seguridad.
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser desacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. 5.3.1.4.
DS5.10 Seguridad de la Red
Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. 5.3.2. DS12 Administrar el Ambiente Físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calores excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
29/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
seguridad física. 5.3.2.1.
DS12.1 Selección y Diseño del Centro de Datos
Con esto se debe tener en cuenta los riesgos asociado con desastres naturales y causados por el hombre. Al igual que considerar las normas y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo. 5.3.2.2.
DS12.2 Medidas de Seguridad Física.
Estas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío recepción. En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. 5.3.2.3.
DS12.3 Acceso Físico.
Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a cualquiera de estos lugares, se deben justificar de algún modo y llevarse un monitoreo. 5.3.2.4.
DS12.4 Protección Contra Factores Ambientales
Diseñar e implementar medidas de protección contra factores ambientales se deben instalarse dispositivos y equipo especializado para monitorear y control 5.3.2.5.
DS12.5 Administración de Instalaciones
Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud 5.3.3. DS13 Administración de Operaciones Asegurar que las actividades de soporte de TI se lleven de una manera ordenada, a través de un cronograma de actividades de soporte que se debe registrar y completar en cuanto al logro de las actividades. Se debe establecer y documentar procedimientos para las diferentes actividades de TI, los cuales se revisarán periódicamente garantizando su cumplimiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
30/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS13.1 Procedimientos e instrucciones de operación.
5.3.3.1.
Se debe realizar una guía (paso a paso) para los mantenimientos preventivos del Hardware, como también los respectivos formatos para el registro de las actividades realizadas, la guía nos debe indicar como se realizarán estos mantenimientos resaltando los puntos más importantes en el mantenimiento y previniendo daños graves que puedan afectar los equipos en su totalidad. Para los equipos de Hardware que sean más complejos y que la empresa no cuente con el personal para dichos mantenimientos, se contrataran proveedores para la realización de este. DS13.2 Programación de Tareas
5.3.3.2.
La gerencia general estudiara los tiempos para realizar las diferentes actividades de mantenimiento a los equipos, estos mantenimientos se podrán programar diario, semanal o mensualmente dependiendo de los equipos teniendo en cuenta diferentes factores como pueden ser horas de trabajo y/o ambientes. Realizado este estudio se generará un cronograma de mantenimiento para posteriormente ser ejecutado. DS13.5 Mantenimiento Preventivo del Hardware.
5.3.3.3.
Se ejecutará el mantenimiento a los equipos de acuerdo las guías y fechas establecidas y se reportará en formatos, hoja de vida de equipos y bitácora de errores, los hallazgos encontrados que ayuden a mejorar el estado de los equipos y evitar posibles daños. 6. ASIGNACION PROCESOS POR AUDITOR
Auditor
Proceso
John Jairo Martinez
PO4 Definir los Procesos, Organización y Relaciones de TI
Wilder Alejandro Flores
AI3 Adquirir y Mantener Infraestructura Tecnológica
Katherine Zapata
DS5 Garantizar la Seguridad de los Sistemas
Jairo Angulo
DS12 Administrar el ambiente físico.
Johnny Caicedo
DS13 Administración de Operaciones
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
31/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7. INSTRUMENTOS DE RECOLECCION Para el desarrollo de la auditoria y recolección de información se utilizarán instrumentos como son: Fuentes de conocimiento, entrevistas, cuestionarios, lista de chequeo y formatos de pruebas, en los subpuntos siguientes se presentarán los formatos de cada instrumento 7.1. FUENTES DE CONOCIMIENTO Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál es la información que se necesita para evaluar un determinado proceso dentro de los dominios del COBIT, también se especifica en el cuales son las pruebas de análisis y de ejecución que se deben realizar. Los ítems relacionados a continuación son los que describirán el elemento de auditoría. REF: Se refiere al ID del elemento, se manejará el consecutivo FC-X ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que está llevando a cabo el proceso de auditoría. DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando. MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando. PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios del COBIT. FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las fuentes UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
32/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
de donde se extrajo la información para el proceso de auditoría lo que servirá como respaldo del proceso. REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas: DE ANÁLISIS: Este espacio está destinado para describir las pruebas de análisis que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de ejecución que se van a realizar para evaluar el proceso especifico que se encuentre en estudio. CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO
1
REF
PAGINA DE 1
COBIT
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Pruebas que se hacen por Pruebas mediante uso de análisis de documentos software, pruebas para (contratos, manuales) o levantar inventarios, comparaciones (compara Documento, o persona que pruebas de seguridad en los contenidos de un tiene la información que redes, pruebas de manual respecto a lo que necesita el auditor seguridad en bases de dice la teoría que debe datos, pruebas de contener) comparar (la intrusión, pruebas de empresa auditada con testeo. una empresa certificada) AUDITOR RESPONSABLE: FUENTES DE CONOCIMIENTO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
33/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
7.2. FORMATO DE LISTAS DE CHEQUEO Las listas de chequeo se usan para la verificación de la existencia de controles en el proceso o procesos auditados, en la lista de chequeo se puede usar escalas diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe control y se deja en blanco los controles que no se cumplen. Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los objetivos de control, que serán los controles que deben existir en el proceso y se elabora preguntas sobre la existencia de dicho control, el auditor encargado de evaluar el proceso será quien aplique la lista de verificación de controles o lista de chequeo y de acuerdo con la respuesta se determina los hallazgos sobre la no existencia de controles en el proceso.
Lista de chequeo Fecha: proceso Realizado por:
Consecutivo
Aspectos por validar o chequear
F-CHK 01
SI
NO
Ítem 1 Ítem 2 Ítem 3 Ítem n
7.3. FORMATO DE ENTREVISTA Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de los procesos que se van a evaluar, generalmente las entrevistas recogen la opinión de algunas de las personas que conozcan el proceso y que me puedan responder con claridad las preguntas que se hayan preparado para la entrevista. Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya que no se pueden aplicar a todos los auditados sino solamente al personal que conozca los aspectos que se vayan a evaluar. Para la entrevista se debe determinar primero los temas sobre los cuales va a girar la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con la UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
34/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
intención de descubrir más riesgos de los que ya se han encontrado en las visitas realizadas a la empresa auditada EMPRESA AUDITADA Fecha
PAGINA 1 DE 1
Consecutivo
Objetivo Auditoría Proceso Auditado Responsable Material de Soporte
COBIT
DOMINIO
PROCESO ENTREVISTADO CARGO PREGUNTAS ENTREVISTA
Firma del entrevistador
Firma del Entrevistado
7.4. FORMATO DE CUESTIONARIO Similar a la lista de chequeo, pero se da una valoración o calificación la escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo. Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
35/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
afectado por las acciones de las cuales se está indagando, entre más alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se indagará. CUESTIONARIO DE CONTROL Fecha
PAGINA 1 DE 1
Consecutivo
Dominio Proceso Auditado Pregunta
Si
No
Observaciones
Pregunta 1 Pregunta 2 Pregunta 3 Pregunta n Totales
8. METODOLOGIA APLICACIÓN DE INSTRUMENTOS AUDITORIA Una vez definidos los instrumentos se procede a realizar el ejercicio de la auditoria en las instalaciones de Cajascol S.A.S, por parte del equipo auditor se nombra un auditor líder para hacer la aplicación de los instrumentos. Líder Equipo Auditor
Encargados auditoria Cajascol S.A.S
Ing. John Jairo Martinez Torres
Ing. Elizabeth Narváez Lopera Ing. Jorge Barco Gómez
9. ANALISIS Y EVALUACION DE RIESGOS POR PROCESO Después de haber ejecutado el ejercicio de auditoria, se procederá a realizar el análisis y evaluación de riesgos de cada proceso. Se tomarán las siguientes pautas al momento del análisis, se construye las escalas de medición del impacto y la probabilidad de ocurrencia de los riesgos, hay que tener en cuenta que puede haber una valoración cuantitativa y cualitativa y que deben describirse UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
36/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
los valores correspondientes tal y como aparece en las siguientes matrices: Matriz para medición de probabilidad e impacto de riesgos
IMPACTO NIVEL DESCRIPTOR DESCRIPCIÓN Si el hecho llegara a presentarse, tendría 1 Insignificante consecuencias o efectos mínimos sobre la entidad Si el hecho llegara a presentarse, tendría bajo 2 Menor impacto o efecto sobre la entidad Si el hecho llegara a presentarse, tendría medianas 3 Moderado consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría altas 4 Mayor consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría 5 Catastrófico desastrosas consecuencias o efectos sobre la entidad
PROBABILIDAD NIVEL DESCRIPTOR DESCRIPCIÓN El evento puede ocurrir sólo en 1 Raro circunstancias excepcionales El evento puede ocurrir en algún 2 Improbable momento El evento puede ocurrir en algún 3 Posible momento El evento probablemente 4 Probable ocurrirá en la mayoría de las circunstancias Se espera que el evento ocurra 5 Casi Seguro en la mayoría de las circunstancias
FRECUENCIA No se ha presentado en los últimos 5 años Se ha presentado al menos 1 vez en los últimos 5 años Se ha presentado al menos de 1 vez en los últimos 2 años Se ha presentado al menos 1 vez en el último año Se ha presentado más de 1 vez al año
Con las escalas de medición se construye la matriz de riesgos general que se aplica para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
37/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor Moderado Mayor (1) (2) (3) (4)
Catastrófico (5)
Raro (1)
B
B
M
A
A
Improbable (2)
B
B
M
A
E
Posible (3)
B
M
A
E
E
Probable (4)
M
A
A
E
E
Casi Seguro (5)
A
A
E
E
E
PROBABILIDAD Raro = 1 Improbable = 2 Posible = 3 Probable = 4 Casi Seguro = 5
IMPACTO Insignificante = 1 Menor = 2 Moderado = 3 Mayor = 4 Catastrófico = 5
Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de evaluación de los riesgos encontrados en cada uno de los procesos evaluados, teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de estos y el impacto que pueden causar en la empresa.
10.
EJECUCION Y RESULTADOS AUDITORIA
Se procede a la aplicación de instrumentos para recolección de información y posteriormente se hará al análisis y valoración de los riegos, así como su propuesta de tratamiento, una vez hecho lo anterior se presentan los formatos de hallazgo y cuadro de controles propuestos, por último, se establecen los modelos de madurez y dictamen de la auditoria por cada proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
38/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1. PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI De acuerdo con el proceso liderado por el auditor John Jairo Martinez se procede a la ejecución de la auditoria. 10.1.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.1.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-01
PROCESO AUDITADO
PAGINA 1 DE 1 Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO
Planear y organizar
ENTIDAD AUDITADA
PROCESO
CAJASCOL S.A.S
P04. Definir los Procesos, Organización y relaciones de TI
FUENTES DE CONOCIMIENTO
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS
DE EJECUCION
Normas y políticas establecidas por la compañía con el ánimo de mantener una estructura organizacional en el área de TI y que existan medios para preservar la información y evitar eventos que puedan vulnerar los sistemas y causar afectaciones
Pruebas mediante solicitud de documentación relacionada con la estructura organizacional, actas de comité o reuniones del área de sistemas de la empresa, procedimientos de pasos a seguir antes eventos en el área de sistemas, manuales de funciones o definición de roles y responsabilidades del personal de TI
AUDITOR RESPONSABLE: JOHN JAIRO MARTINEZ TORRES UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
39/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Consecutivo Estructura organizacional y procesos de TI John Jairo Martinez Torres
F-CHK 01
Aspectos por validar o chequear
SI
Hay una estructura organizacional interna de TI El área de TI es flexible y adaptable a las necesidades de Cajascol
NO X
X
Hay manuales de función del personal de TI
X
El área de TI está relacionada con los requerimientos de los usuarios
X
Se generan estrategias alineadas con los objetivos de Cajascol
X
Existen planes de contingencia ante eventos o fallas
X
El personal de TI tiene roles definidos
X
Existe algún procedimiento ante la ocurrencia de eventos
X
Se monitorean los riesgos relacionados con el área de TI
X
Hay personal responsable de mantener la seguridad de la información
X
Hay personal responsable de mantener la seguridad física
X
La gerencia se involucra en los procesos de TI
X
Se hace monitoreo a los usuarios y al modo de uso de los equipos
X
Se hace supervisión para el buen funcionamiento de los equipos
X
La empresa destina recursos para planes de monitoreo
X
Existen indicadores claves de desempeño
X
Los usuarios de sistemas tienen claro su alcance en el uso de sistemas
X
Hay planes de respaldo para operaciones realizadas por los usuarios
X
Se tienen identificados los procesos críticos
X
Existen manuales de aplicativos creados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
X
40/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 3 Fecha 26 de octubre de 2018 Consecutivo FE-01 Conocer aspectos claves de la estructura organizacional y funcional de TI de la empresa tales como: establecimiento de Objetivo Auditoría roles y responsabilidades, responsabilidades sobre el riesgo, la seguridad y el cumplimiento, prácticas de supervisión, segregación de funciones y conocer el personal clave en TI Proceso Auditado Estructura organizacional y procesos de TI Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
P04. Definir los Procesos, Organización y relaciones de TI
Entrevistado Cargo
Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿La función de TI hace parte de la estructura organizacional? No está considerada 2. ¿Existe una estructura organizacional interna de TI? Si 3. ¿Existe una estructura organizacional externa de TI? Si 4. ¿El personal de TI tiene roles definidos y claros? Si, atender las necesidades de usuarios y mantener en línea el sistema 5. ¿El personal de Cajascol sabe a quién recurrir en caso de eventos relacionados con los sistemas? Si, deben informar a su jefe inmediato o a mi
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
41/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA
6. ¿Hay personal de TI encargados de monitorear y mitigar los riesgos relacionados con el área de TI? No 7. ¿El área de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear procesos de TI? La verdad no 8. ¿hay procedimientos de supervisión para el buen funcionamiento de los equipos e infraestructura del área de sistemas? No se hacen monitoreos 9. ¿La empresa destina recursos para planes de monitoreo y supervisión en el área de sistemas? Muy poco 10. ¿Existen indicadores claves de desempeño que muestre la gestión del personal de TI? No existen 11. ¿Hay una adecuada división de roles y responsabilidades en las operaciones informáticas de la empresa? En algunos puestos, pero no en todos 12. ¿Los usuarios de sistemas tienen claro su alcance y responsabilidades en la administración de aplicativos? Definitivamente no
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
42/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 3 DE 3 26 de octubre de 2018 Consecutivo FE-01 PREGUNTAS ENTREVISTA
13. ¿En casos de incapacidad o desvinculación de empleados, la gerencia tiene planes de respaldo para operaciones realizadas por los usuarios? En algunos casos 14. ¿Se tienen identificados los procesos críticos realizados por los usuarios de aplicaciones informáticas? Se tienen identificados dichos procesos 15. ¿Existen manuales de aplicativos creados por terceros o desarrollados internamente? No en todos los casos 16. ¿Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas? La verdad si tenemos esa falencia
Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Firma del Entrevistado
43/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
PAGINA DE 1 FCT-01
Dominio
Planear y Organizar
Proceso Auditado
P04. Definir los Procesos, Organización y relaciones de TI Pregunta
Si
¿La estructura organizacional de TI es flexible y adaptable a las necesidades de la empresa? ¿Se han implementado procesos para revisar la estructura organizacional del área de TI? ¿Existe documentación relacionada con las funciones del personal de TI? ¿El área de TI conoce y ajusta los requerimientos del personal de Cajascol? ¿El área de TI genera estrategias para satisfacer los objetivos del negocio? ¿El área de TI tiene planes de contingencia para la continuidad del negocio? ¿Existe algún procedimiento ante la ocurrencia de eventos relacionados con los sistemas? ¿Hay personal responsable de mantener la seguridad de la información? ¿Hay personal encargado de mantener la seguridad física de los equipos e infraestructura de sistemas? ¿la alta gerencia se involucra en la administración de los sistemas de información? ¿Se hace monitoreo a los usuarios y al modo de uso de los equipos? ¿Existen procesos de negocio que no reciben soporte por parte del área de TI? ¿Existen y se implantan procesos de mejora en el área de TI? ¿Se tiene alguna métrica de los niveles de satisfacción de los usuarios de sistemas? ¿Se hacen reuniones o comités para tratar temas relacionados con el área de TI?
Observaciones
4 5 5 2 1 2 3 2 3 2 5 2 2
Totales 14
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
No
5 5 34
44/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso PO4 Definir los Procesos, Organización y relaciones de TI Porcentaje de riesgo parcial = (14 * 100) / 48 = 29,17% Porcentaje de riesgo = 100% - 29,17% = 70,83% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso PO4 es Alto. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 29,17% Porcentaje de riesgo 70,83% impacto según relevancia del proceso PO4 Riesgo alto
10.1.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.1.2.1.
RIESGOS INICIALES
1. Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna 2. destrucción de las edificaciones y sus activos 3. Descarga apertura o instalación de programas o documentos infectados. 4. Perder trazabilidad e historia en los registros de la empresa UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
45/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
5. Retraso en las actividades a desarrollar 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Acceso a información confidencial. 10.1.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
8. No existen manuales de función del personal de Sistemas 9. El área de TI no está relacionada con las necesidades de los usuarios 10. No existen planes de contingencia ante eventos o fallas 11. No hay procedimientos ante la ocurrencia de eventos 12. No se hace monitoreo a los usuarios y al modo de uso de los equipos 13. No existen manuales de desarrollo hechos en la empresa. 14. No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI 15. Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas 16. Existen procesos de negocio que no reciben soporte por parte del área de TI 17. No se hacen reuniones o comités para tratar temas relacionados con el área de TI
10.1.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
3
4
5
2
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
4
4
R4
Perder trazabilidad e historia en los registros de la empresa
3
3
2
5
2
4
R7 Acceso a información confidencial.
4
3
R8 No existen manuales de función del personal de Sistemas
3
4
El área de TI no está relacionada con las necesidades de los usuarios
3
4
R5 Retraso en las actividades a desarrollar R6
R9
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
46/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Impacto
Probabilidad
R10 No existen planes de contingencia ante eventos o fallas
4
5
R11 No hay procedimientos ante la ocurrencia de eventos
4
4
No se hace monitoreo a los usuarios y al modo de uso de los equipos
4
5
R13 No existen manuales de desarrollo hechos en la empresa.
4
5
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
5
3
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
5
5
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
2
2
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
2
1
R12
Descripción
10.1.2.4.
RESULTADO MATRIZ DE RIESGOS EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO
PROBABILIDAD Insignificante (1)
Menor (2)
Raro (1)
R17
Improbable (2)
R16
Posible (3) Probable (4)
R6
Casi Seguro (5)
R5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Moderado (3)
Mayor (4)
Catastrófico (5)
R2 R4
R7
R1, R8, R9
R3, R11 R10, R12, R13
R14
R15
47/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.3.
TRATAMIENTO DE RIESGOS
N°
Descripción
Tratamiento Riesgo
R1
Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
Controlarlo
R2 destrucción de las edificaciones y sus activos R3
Descarga apertura o instalación de programas o documentos infectados.
Controlarlo Controlarlo
R4 Perder trazabilidad e historia en los registros de la empresa
Controlarlo
R5 Retraso en las actividades a desarrollar
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Transferirlo
R7 Acceso a información confidencial.
Controlarlo
R8 No existen manuales de función del personal de Sistemas
Controlarlo
R9
El área de TI no está relacionada con las necesidades de los usuarios
Controlarlo
R10 No existen planes de contingencia ante eventos o fallas
Controlarlo
R11 No hay procedimientos ante la ocurrencia de eventos
Controlarlo
R12
No se hace monitoreo a los usuarios y al modo de uso de los equipos
R13 No existen manuales de desarrollo hechos en la empresa.
Controlarlo Controlarlo
R14
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
Controlarlo
R15
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Controlarlo
R16
Existen procesos de negocio que no reciben soporte por parte del área de TI
Aceptarlo
R17
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Aceptarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
48/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-01
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: No contar con información en tiempo real lo que afecta de manera negativa la toma de decisiones RIESGO: Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna No existen planes de contingencia ante eventos o fallas RECOMENDACIONES: Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
49/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-02
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: No hay supervisión de los procesos que realizan los usuarios en los equipos de computo REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría corromperse el sistema por descarga de virus o aplicaciones maliciosas. Podría haber perdida de información confidencial RIESGO: No se hace monitoreo a los usuarios y al modo de uso de los equipos No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI RECOMENDACIONES: Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
50/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-03
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse un incendio que afectaría al recurso humano o a los activos de la empresa RIESGO: Destrucción de las edificaciones y sus activos RECOMENDACIONES: Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
51/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-04
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, adulteración de esta y se corre el riesgo de recibir multas de entes estatales, por errores en la declaración contable. RIESGO: Descarga apertura o instalación de programas o documentos infectados. Perder trazabilidad e historia en los registros de la empresa Acceso a información confidencial. RECOMENDACIONES: Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
52/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-05
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Podría ocasionarse perdida de información, robo o secuestro de los datos por delincuentes informáticos RIESGO: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. RECOMENDACIONES: Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
53/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-06
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Estos aplicativos podrían quedar obsoletos o poco útiles al no estar las personas que los conocen, por lo que habría perdida de información y control en los procesos. RIESGO: No existen manuales de desarrollo hechos en la empresa. RECOMENDACIONES: Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
54/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-07
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Demoras en los procesos, atrasos en el ingreso de información, posibles daños mayores al no atenderse el evento de manera inmediata. RIESGO: Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas. RECOMENDACIONES: Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
55/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-08
PROCESO AUDITADO
Estructura organizacional y procesos de TI
RESPONSABLE
John Jairo Martinez Torres
MATERIAL DE SOPORTE
COBIT
DOMINIO Planear y organizar
1
PÁGINA DE
1
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
DESCRIPCIÓN: Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas. REF_PT: Lista de chequeo F-CHK 01. Formato de cuestionario FCT-01 Formato de encuesta FE-01 CONSECUENCIAS: Procesos desatendidos podrían causar pérdidas de información, fallas inesperadas del sistema, daños en la infraestructura física, entre otros. RIESGO: No existen manuales de función del personal de Sistemas RECOMENDACIONES: Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
56/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.5.
CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Correctivo
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen.
destrucción de las edificaciones y sus activos
Detectivo
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
Descarga apertura o instalación de programas o documentos infectados.
Detectivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Perder trazabilidad e historia en los registros de la empresa
Correctivo
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Correctivo
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Acceso a información confidencial.
Correctivo
Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial.
No existen manuales de función del personal de Sistemas
Correctivo
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas.
El área de TI no está relacionada con las necesidades de los usuarios
Correctivo
Se debe reorientar los objetivos del área de TI, además de soporte que apunte a los usuarios.
Riesgos o hallazgos encontrados Se retrasen operaciones de ingresos de registros lo que ocasiona no tener información confiable y oportuna
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
57/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
No existen planes de contingencia ante eventos o fallas
Detectivo
Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
No se hace monitoreo a los usuarios y al modo de uso de los equipos
Correctivo
Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
No existen manuales de desarrollo hechos en la empresa.
Correctivo
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Correctivo
Se deben replantear funciones del personal actual, contratar personal adicional o instalar un software tipo consola de monitoreo de procesos.
Existe dependencia de un solo individuo en operaciones relacionadas con los sistemas
Correctivo
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas.
Existen procesos de negocio que no reciben soporte por parte del área de TI
Correctivo
Depende de la necesidad de los procesos se deben incluir en el alcance del área de sistemas.
No se hacen reuniones o comités para tratar temas relacionados con el área de TI
Correctivo
Conjuntamente con el área de sistemas se deben hacer reuniones de TI, para hacer planes de trabajo y fijar objetivos del área de sistemas.
No hay personal encargado de monitorear y mitigar los riesgos relacionados con el área de TI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
58/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.1.6.
MODELO DE MADUREZ PO4 MODELO DE MADUREZ PROCESO
Fecha
04 de diciembre de 2018
Consecutivo
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-01
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
Las actividades y funciones de TI son reactivas y se implantan de forma inconsistente. IT se involucra en los proyectos solamente en las etapas finales. La función de TI se considera como una función de soporte, sin una perspectiva organizacional general. Existe un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizadas ni reforzadas.
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
59/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-01
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI
La función de TI está organizada para responder de forma táctica, aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones con los proveedores. La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida e implantada. La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. Se han aplicado buenas prácticas internas en la organización de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implantar y monitorear la organización deseada y las relaciones. Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por el usuario siguen un estándar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
1
60/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-01
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Estructura organizacional y procesos de TI
Responsable
John Jairo Martinez Torres
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
PO4. Definir los Procesos, Organización y relaciones de TI
La estructura organizacional de TI es flexible y adaptable. Se ponen en funcionamiento las mejores prácticas de la industria. Existe un uso amplio de la tecnología para monitorear el desempeño de la organización y de los procesos de TI. La tecnología se aprovecha para apoyar la complejidad y distribución geográfica de la organización. Un proceso de mejora continua existe y está implantado. Promedio
10.1.7.
0
1,2
DICTAMEN AUDITORIA PROCESO PO4
Objetivo de la Auditoria: Conocer los controles y medidas implementadas en la seguridad lógica y física de la organización, como también su infraestructura de soporte informático y de hardware, y así considerar los riesgos que se presentan, basándose en las diferentes visitas y entrevistas programadas. Dictamen: Se califica un nivel de madurez 1 Inicial y desorganizado, por cuanto los procesos, organización y relaciones del área evaluada no están contenidos en un manual de procesos y los recursos de hardware y software, aunque adecuados, no son monitoreados de manera efectiva. En procesos clave de administración del sistema se observa excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del sistema y se depende de un solo proveedor de servicios, al no existir procesos documentados se ha encontrado mucha informalidad en la creación de perfiles de usuario y administración de permisos de estos, adicional a esto, no hay personal especializado en seguridad de la información por lo que la empresa tiene muchos puntos vulnerables. 10.1.7.1.
Hallazgos que soportan el Dictamen
No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos No hay supervisión de los procesos que realizan los usuarios en los equipos de computo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
61/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas. Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos. Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista. Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.
10.1.7.2.
Recomendaciones:
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos. Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados. Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado. Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas. Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática. Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa. Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas Juntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
62/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2. AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA De acuerdo con el proceso liderado por el auditor Wilder Alejandro Flórez González se procede a la ejecución de la auditoria. 10.2.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.2.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02
PAGINA 1 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática. Inventario de los equipos de cómputo. Contratos de arrendamientos de dispositivos tecnológicos
Revisión de contratos de alquiler de los equipos de cómputo. Verificar la existencia de un plan de adquisición de infraestructura tecnológica Verificar la existencia de un plan de mantenimiento de infraestructura tecnológica Verificar el registro monitoreo periódico. Verificación de la estandarización de las políticas de uso de los recursos tecnológicos, en el sgc de la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DE EJECUCION
Evaluar el cumplimiento de la ejecución del plan de mantenimiento Realizar el comparativo de inventarios mediante plataformas web Evaluar el cumplimiento de la ejecución del plan de adquisición. Evaluar el estado actual de la infraestructura tecnológica.
63/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-02 PAGINA 2 DE 2 PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura RESPONSABLE Wilder Alejandro Flórez González MATERIAL DE SOPORTE COBIT DOMINIO Adquirir e Implementar PROCESO AI3 Adquirir y Mantener Infraestructura Tecnológica ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
Evaluación proveedores
DE ANALISIS de
DE EJECUCION
Revisión de las medidas de control interno, seguridad y auditoría.
Verificar cumplimiento de evaluación proveedores tecnológicos.
el la a
AUDITOR RESPONSABLE: WILDER ALEJANDRO FLOREZ
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
64/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por: N°
26 de octubre de 2018 Consecutivo Adquisición y mantenimiento de la infraestructura Wilder Alejandro Flórez González
F-CHK 02
Aspectos por validar o chequear
SI
NO
1
¿La empresa cuenta con un plan anual de mantenimiento?
X
2
¿Se realiza con frecuencia el mantenimiento preventivo a los componentes tecnológicos?
X
3
¿Se cuenta con una bitácora, en la que se registren todos los procesos de mantenimiento programados y realizados?
X
4
¿Existen políticas definidas (formatos) para la adquisición de nuevos equipos?
X
5
¿Se realizan informes técnicos en el que se evidencie la relación costo beneficio al momento de adquirir tanto dispositivos como plataformas tecnológicas?
X
6
¿Existe un comité de compras que analice y garantice la adquisición e instalación de los dispositivos tecnológicos?
X
7
¿Existe personal idóneo para realizar el mantenimiento tanto preventivo como correctivo al hardware y software?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
X
65/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-02 Conocer aspectos claves del Mantenimiento de la Objetivo Auditoría Infraestructura Proceso Auditado Adquisición y mantenimiento de la infraestructura Responsable
Wilder Alejandro Flórez González
Material de Soporte
COBIT
PROCESO Entrevistado Cargo
DOMINIO
Adquirir e implementar
AI3 Adquirir y mantener infraestructura tecnológica Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿Cuáles son los pasos que sigue para solicitar un equipo de cómputo? Se debe sustentar la necesidad de la compra, solicitar 2 cotizaciones y esperar aprobación de la gerencia 2. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y software? No se realiza mantenimiento preventivo al hardware, al software se le realiza mantenimiento por lo menos una vez cada mes 3. ¿Registra todo lo realizado en el mantenimiento en su respectiva bitácora? No existe una bitácora como tal, se envía un correo al usuario con los servicios que se le prestaron durante el mantenimiento 4. ¿Con que frecuencia se capacita el personal encargado de realizar el mantenimiento de los dispositivos tecnológicos? La empresa no considero a TI en sus planes de capacitación 5. ¿Existe un control de los requerimientos y solicitudes de que se realizan al área? No existe
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
66/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-02 PREGUNTAS ENTREVISTA
6. ¿Cuáles son las medidas que se emplean para el control interno y seguridad de la infraestructura tecnológica? Se tienen restricciones para algunos usuarios y se modificó el host de los equipos para que no puedan acceder a cierto tipo de páginas. 7. ¿Se realizan capacitaciones a los colaboradores que usan la infraestructura tecnológica? ¿y con qué frecuencia? Las capacitaciones que se han brindado solo han sido en las implementaciones de nuevas aplicaciones. 8. ¿Cree usted que la infraestructura tecnológica responde a todas las necesidades de la empresa? No, la empresa tiene equipos de más de 8 años funcionando en áreas críticas y eso hace que la incidencia de errores y fallas sea frecuente. 9. ¿La empresa cuenta con equipos de cómputo en rentados? Si su respuesta es afirmativa ¿esta empresa está conformada legalmente? La empresa no alquila equipos de cómputo, aunque tiene en alquiler 2 UPS para el servidor y la regulada del área administrativa
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Elizabeth Narváez Lopera Firma del Entrevistado
67/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
Dominio
Adquirir e implementar
Proceso Auditado
AI3 Adquirir y mantener infraestructura tecnológica Pregunta
Si
No
¿Existe un plan para adquirir la infraestructura tecnológica?
5
¿Se implementa el plan para adquirir la infraestructura tecnológica?
4
¿Se consulta al área de compras para la adquisición de infraestructura tecnológica?
5
¿Se evalúan los costos de la viabilidad comercial de los distintos proveedores?
5
¿Se implementan medidas de control interno, seguridad durante el mantenimiento de software y hardware?
2
¿Se realiza el respectivo monitoreo a los diferentes recursos de infraestructura?
5
¿La información obtenida de este monitoreo se registra en una bitácora o formato?
5
¿Se ejecuta un plan de mantenimiento de la infraestructura tecnológica?
4
¿En la ejecución del plan están incluidas las revisiones contra la evaluación de los riesgos identificados?
5
¿En la ejecución del plan están incluidas las revisiones contra la evaluación de las vulnerabilidades?
5
¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?
Observaciones
3
Totales 15
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
PAGINA DE 1 FCT-02
33
68/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso AI3 Adquirir y mantener infraestructura tecnológica Porcentaje de riesgo parcial = (15 * 100) / 48 = 31,25% Porcentaje de riesgo = 100% - 31,25% = 68,75% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso AI3 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 31,25% Porcentaje de riesgo 68,75% impacto según relevancia del proceso PO4 Riesgo medio
ANALISIS Y VALORACION DE RIESGOS
10.2.2.
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.2.2.1. 1. 2. 3. 4.
RIESGOS INICIALES
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Equipo sin funcionamiento por un determinado tiempo. Descarga apertura o instalación de programas o documentos infectados.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
69/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
5. No se considera al área de TI en los planes de capacitación 6. Inexistencia del plan anual de mantenimiento 7. Falta de mantenimiento preventivo al hardware 8. Desconocimiento del plan para adquirir la infraestructura tecnológica. 9. Recursos de la infraestructura tecnológica no monitoreados. 10. Infraestructura tecnológica obsoleta. 11. Controles mínimos para la adquisición de nueva infraestructura tecnológica. 12. No se cuenta con el correspondiente registro de los mantenimientos ejecutados 10.2.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
R1
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
5
R2
Perdida de la trazabilidad e historia en los registros de la empresa
3
3
R3
Equipos tecnológicos determinado tiempo
3
3
R4
Descarga apertura o instalación de programas o documentos infectados.
5
4
R5
No se considera al área de TI en los planes de capacitación
4
5
R6
Inexistencia del plan anual de mantenimiento
5
5
R7
Falta de mantenimiento preventivo al hardware
5
4
R8
Desconocimiento del plan para adquirir la infraestructura tecnológica
4
4
R9
Recursos de monitoreados.
4
4
R10
Infraestructura tecnológica obsoleta.
4
4
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
3
4
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
3
3
la
sin
Impacto Probabilidad
funcionamiento
infraestructura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
por
tecnológica
un
no
70/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
RESULTADO MATRIZ DE RIESGOS
10.2.2.4.
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R8,R9,R10
R4,R7
R1
R5
R6
Raro (1) Improbable (2)
R2,R3,R12
Posible (3) Probable (4) Casi Seguro (5)
10.2.3.
TRATAMIENTO DE RIESGOS
N°
Descripción El
personal
no
cuenta
con
Tratamiento Riesgo programas
de
R1 capacitación y formación en seguridad informática
Controlar
y de la información. R2
Perdida de la trazabilidad e historia en los registros de la empresa
Controlar
R3
Equipos tecnológicos sin funcionamiento por un determinado tiempo
Controlar
R4
Descarga apertura o instalación de programas o documentos infectados.
Controlar
R5
No se considera al área de TI en los planes de capacitación
Controlar
R6 Inexistencia del plan anual de mantenimiento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Controlar
71/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Tratamiento Riesgo
R7 Falta de mantenimiento preventivo al hardware
para
adquirir
Controlar
R8
Desconocimiento del plan infraestructura tecnológica
la
R9
Recursos de la infraestructura tecnológica no monitoreados.
R10 Infraestructura tecnológica obsoleta.
Controlar Controlar Controlar
R11
Controles mínimos para la adquisición de nueva infraestructura tecnológica
Controlar
R12
No se cuenta con el correspondiente registro de los mantenimientos ejecutados
Controlar
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
72/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado. CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-09
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. REF_PT: Formato de entrevista FE-01 CONSECUENCIAS: Debido al poco conocimiento en seguridad informática los colaboradores, pueden realizar actividades que expongan al peligro la protección web de la empresa. RIESGO: Hacer mal uso del internet, no cambiar sus contraseñas, visitar sitios web no habilitados o no autorizados. RECOMENDACIONES: Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
73/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-10
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar
PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Perdida de la trazabilidad e historia en los registros de la empresa REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: No se puede realizar un control sobre la data histórica de la empresa. RIESGO: Baja integralidad de la información, datos erróneos. RECOMENDACIONES: Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
74/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-11
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Descarga apertura o instalación de programas o documentos infectados. REF_PT: Evidenciado en la evaluación inicial de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS: Se puede infectar con virus el software y hardware RIESGO: Al Instalar programas no permitidos que ocasionarían perdida de información, daños en el sistema. Que facilitaría una violación a la red. RECOMENDACIONES: Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
75/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-12
PROCESO AUDITADO
Adquisición y mantenimiento de la infraestructura
RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
1
PÁGINA DE 1
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: No se considera al área de TI en los planes de capacitación REF_PT: Formato de entrevista FE-02 CONSECUENCIAS: Recurso humano del área de TI, con un nivel técnico de seguridad y buenas prácticas muy bajo. RIESGO: Una preparación no constante permite que no se pueda brindar respuesta inmediata o apropiada a las fallas presentadas. RECOMENDACIONES: Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
76/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DOMINIO
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-13
AI3 adquirir y mantener infraestructura tecnológica PÁGINA Adquisición y mantenimiento de la infraestructura 1 DE 1
Adquirir e Implementar PROCESO
PROCESO AUDITADO RESPONSABLE
Wilder Alejandro Flórez Gonzales
MATERIAL DE SOPORTE
COBIT
DOMINIO
Adquirir e Implementar PROCESO
AI3 adquirir y mantener infraestructura tecnológica
DESCRIPCIÓN: Desconocimiento del plan para adquirir la infraestructura tecnológica REF_PT: Formato cuestionario FCT-02 CONSECUENCIAS: Al desconocer este plan en la organización no existe un control sobre los requerimientos técnicos tecnológicos. No es fácil visualizar la viabilidad económica y los riesgos tecnológicos a asumir, según los recursos tecnológicos a adquirir. RIESGO: Perdidas económicas, negociar con proveedores no viables, adquirir infraestructura tecnológica poco útil. RECOMENDACIONES: Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
77/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Preventivo
Organizar y ejecutar programas de capacitación a los distintos colaboradores.
Perdida de la trazabilidad e historia en los registros Automatización de transacciones de los Preventivo/Correctivo de la empresa registros Equipos tecnológicos sin funcionamiento por un determinado tiempo
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Preventivo
Monitorear el firewall de los equipos de cómputo y realizar una respectiva actualización y administración del directorio de la empresa
Preventivo
Incluir al área de TI, en los planes de capacitación teniendo en cuenta las brechas existentes entre las competencias de los profesionales y los objetivos estratégicos de la empresa.
Inexistencia del plan anual de mantenimiento
Preventivo
Establecer un plan, con sus respectivos objetivos y acciones a ejecutar de manera clara y eficiente
Falta de mantenimiento preventivo al hardware
Correctivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
78/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Tipo de Control
Soluciones o Controles
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Recursos de la infraestructura tecnológica no monitoreados.
Detectivo
Ejecutar el plan de mantenimiento de mantenimiento anual de manera eficiente.
Infraestructura tecnológica obsoleta.
Correctivo
Crear e invertir en la infraestructura tecnológica, acorde a las necesidades de la empresa.
Detectivo
Crear y difundir a los actores involucrados el plan que se debe tener en cuenta para adquirir la infraestructura tecnológica
Detectivo
Crear y hacer uso de las fichas técnicas, para las actividades planeadas y ejecutadas a la infraestructura tecnológica.
Riesgos o hallazgos encontrados Desconocimiento del plan infraestructura tecnológica
para
adquirir
la
Controles mínimos para la adquisición de nueva infraestructura tecnológica No se cuenta con el correspondiente registro de los mantenimientos ejecutados
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
79/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.6.
MODELO DE MADUREZ AI3 MODELO DE MADUREZ PROCESO
Fecha
05 de diciembre de 2018
Consecutivo
Proceso Auditado
Adquisición y mantenimiento de la infraestructura
Responsable
Wilder Alejandro Flórez Gonzales
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 2 MM-02
Adquirir e Implementar
AI3 Adquirir y Mantener Infraestructura Tecnológica REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual debe ser resuelto.
1
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción es el ambiente de prueba.
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
80/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 2 Consecutivo MM-02
MODELO DE MADUREZ PROCESO Fecha
05 de diciembre de 2018
Proceso Auditado
Adquisición y mantenimiento de la infraestructura
Responsable
Wilder Alejandro Flórez Gonzales
Material de Soporte
COBIT
PROCESO
DOMINIO
Adquirir e Implementar
AI3 Adquirir y Mantener Infraestructura Tecnológica
No hay consistencias entre enfoques tácticos de adquirir y dar mantenimiento a la infraestructura de TI no se basa en una estructura definida y no considera las necesidades de las aplicaciones del negocio que se debe respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes existen ambientes de prueba por separado.
1
Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura de TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio concuerda con la estrategia del negocio de TI, pero no se aplica en forma consistente. Se planea, se programa y coordina el mantenimiento. Existen ambientes separados por para prueba y producción.
0
Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta adecuadamente las aplicaciones de negocio. El proceso está bien organizado y preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.
0
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de las últimas plataformas desarrolladas y herramientas de administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo considerar la opción de contratar servicios externos. La infraestructura de TI se entiende como el apoyo clave para impulsar el uso del TI.
0
Promedio
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
0,5
81/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.2.7.
DICTAMEN AUDITORIA PROCESO AI3
Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la adquisición, implementación y mantenimiento de la infraestructura tecnológica. Con el fin de determinar si se encuentra alineados con un plan estratégico que garantice el funcionamiento óptimo de los recursos hardware y software.
Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 0,5 es decir no existente, debido a que no se existe un proceso eficiente para ejecutar un plan para el mantenimiento preventivo o correctivo del hardware o software, así como también la carencia de políticas de seguridad frente al acceso a la web e instalación de software. Adicionalmente se evidencia la inexistencia de un plan para la adquisición e implementación de la Infraestructura Tecnológica, ocasionando que la organización no pueda satisfacer los requerimientos técnicos y funcionales del negocio. 10.2.7.1.
Desconocimiento del plan para adquirir la infraestructura tecnológica El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. Perdida de la trazabilidad e historia en los registros de la empresa Descarga apertura o instalación de programas o documentos infectados. No se considera al área de TI en los planes de capacitación. Desconocimiento del plan para adquirir la infraestructura tecnológica
10.2.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas. Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data. Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización. Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI. Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
82/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3. DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS De acuerdo con el proceso liderado por la auditora Katherine Zapata Mosquera se procede a la ejecución de la auditoria. 10.3.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.3.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03
PAGINA 1 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA
CAJASCOL S.A.S
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
FUENTES DE CONOCIMIENTO
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
Verificar que los permisos de acceso asignados a los usuarios correspondan a su perfil de usuario. Validar que los procesos de administración de seguridad, administración de cuentas de usuarios, medidas de seguridad física, mantenimiento preventivo del Hardware se encuentren documentadas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Realizar pruebas de seguridad sobre la red de datos. Verificar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario, se registran en un log del sistema o un log de auditoria. Verificar el correcto funcionamiento de los mecanismos de autenticación utilizados. Verificar que se mantiene el nivel de seguridad aprobado.
83/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-03 PAGINA 2 DE 2 PROCESO AUDITADO Administración e integridad de los sistemas. RESPONSABLE Katherine Zapata Mosquera MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la Seguridad de los Sistemas ENTIDAD AUDITADA
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
FUENTES DE CONOCIMIENTO Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
CAJASCOL S.A.S
Verificar la existencia de los registros de monitoreo de seguridad y pruebas periódicas.
Verificar la controles ambientales.
instalación físicos
de y
AUDITOR RESPONSABLE: KATHERINE ZAPATA MOSQUERA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
84/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Consecutivo Garantizar la Seguridad de los Sistemas Katherine Zapata Mosquera
N°
F-CHK 03
Aspectos por validar o chequear
Objetivo de control DS5.3 Administración de Identidad 1
Existe proceso de autenticación para los usuarios internos que solicitan acceso al sistema de información.
2
El proceso de autenticación para los usuarios se encuentra documentada.
3
Existe un repositorio central con la información de usuarios y sus permisos de acceso al sistema de información de la institución.
Objetivo de control DS5.4 Administración de Cuentas del Usuario
Conforme SI
NO
X X X SI
NO
4
Existe un procedimiento para la emisión, suspensión, modificación y cierre de cuentas de usuarios.
X
5
Existe un procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
X
6
Los procedimientos de emisión, suspensión, modificación, cierre y aprobación se están aplicación a los usuarios internos y externos (incluyendo administradores).
7
Se están realizando revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.
Objetivo de control 8
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
X SI
Se realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.
Objetivo de control DS5.10 Seguridad de la Red 9
X
Existen controles para la información que se envía y recibe desde internet.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
NO
X SI
NO
X
85/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-03 Conocer aspectos claves en cuanto a la seguridad informática Objetivo Auditoría y de infraestructura en Cajascol S.A.S Proceso Auditado Administración e integridad de los sistemas. Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO Entrevistado Cargo
DOMINIO
Entregar y Dar Soporte
DS5 Garantizar la Seguridad de los Sistemas Ing. Jorge Barco Gómez Coordinadora de Operaciones PREGUNTAS ENTREVISTA
1. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está expuesto el sistema de información? Si Totalmente 2. ¿Cómo se está realizando y registrando el monitoreo de seguridad? No hay un proceso establecido para ese proceso 3. ¿Actualmente se están realizando pruebas de seguridad?, ¿Cuáles? Solamente ejecución de antivirus en el servidor 4. ¿Los datos de acceso suministrados a los usuarios están siendo compartidos con otros usuarios? No, cada usuario posee sus propias credenciales 5. ¿Qué mecanismos de autenticación tiene implementado la empresa Cajascol? Se cuenta con una clave autonumérica y un carácter especial, las cuentas de correo poseen otra clave para que los usuarios puedan acceder vía web 6. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos privilegios? Se actualizan cada 6 meses
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
86/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-03 PREGUNTAS ENTREVISTA
7. ¿Cuáles son los niveles de seguridad que se manejan en la empresa Cajascol? Totalmente básicos, aunque se está pensando en seguridad perimetral para evitar intrusiones informáticas. 8. ¿Cómo el manejo de las incidencias de seguridad? Se desconecta el servidor de línea y se llama a un tercero para que escale el problema. 9. ¿Existen medidas preventivas, detectivas y correctivas para proteger la información de las cuentas? No, todas las cuentas están montadas en el directorio activo de server 2012 R2, se confía en la seguridad del servidor. 10. ¿Existen técnicas y procedimientos de administración, asociados para autorizar acceso y controlar los flujos de información desde y hacia internet? No hay procedimientos por escrito, pero se ha bloqueado el host de los equipos para prohibir navegar en ciertos tipos de páginas.
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Jorge Barco Gómez Firma del Entrevistado
87/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.4.
FORMATO DE CUESTIONARIO CUESTIONARIO DE CONTROL
Fecha
26 de octubre de 2018
1
Consecutivo
Dominio
Entregar y Dar Soporte
Proceso Auditado
DS5 Garantizar la Seguridad de los Sistemas Pregunta
Si
Al momento de suministrar los datos de acceso al sistema, ¿se informa el rol y las responsabilidades de seguridad?
2
¿Los derechos de acceso del usuario se están solicitando por la gerencia del usuario?
5
Los derechos de acceso del usuario solicitados, ¿están siendo aprobados por el responsable del sistema?
3
Los derechos de acceso del usuarios solicitados y aprobados, ¿están siendo implementados por el responsable de seguridad del sistema?
3
No
¿Las identidades y los derechos de acceso se almacenan en un repositorio central?
5
¿Actualmente se está aprobando todas las acciones realizadas por la gerencia de cuentas de usuario?
5
¿El procedimiento de la gerencia de cuentas de usuarios, se aplica a todos los usuarios, incluyendo administradores, usuarios externos e internos?
2
¿Actualmente se está probando y monitoreando la implementación de la seguridad en TI?
4
¿Existen controles para la información que se envía y recibe de Internet?
4
Totales 13
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
PAGINA DE 1 FCT-03
Observaciones
20
88/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS5 Garantizar la Seguridad de los Sistemas Porcentaje de riesgo parcial = (13 * 100) / 33 = 39,39% Porcentaje de riesgo = 100% - 39,39% = 60,61% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS5 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 39,39% Porcentaje de riesgo 60,61% impacto según relevancia del proceso DS5 Riesgo medio
10.3.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.
10.3.2.1.
RIESGOS INICIALES
1. Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets) 2. Perdida de integralidad, Alteración de la información 3. Perdida de información, modificación o eliminación de cuentas de usuario. 4. Eliminación de registros o mal ingreso de estos, lo que haría no tener una UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
89/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
información confiable. 5. Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. 6. El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información. 7. Eliminar información importante y perdida de la confidencialidad. 8. Acceso a la red de la organización. 9. Perdida de confidencialidad e integralidad de la información.
10.3.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
10. Facilidad en hurto de información confidencial. 11. Las PQRS no se han gestionadas debidamente. 12. Realización de actividades no conformes con lo indicado por la empresa.
10.3.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
3
5
R2
Perdida de integralidad, Alteración de la información
4
3
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
4
4
R4
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
3
4
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
4
5
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
3
4
R7
Eliminar información importante y perdida de la confidencialidad.
4
3
R8
Acceso a la red de la organización.
4
3
R9
Perdida de confidencialidad e integralidad de la información.
4
4
R10
Facilidad en hurto de información confidencial.
5
4
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
90/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Impacto
Probabilidad
R11
Las PQRS no se han gestionadas debidamente.
3
3
R12
Realización de actividades no conformes con lo indicado por la empresa.
4
3
RESULTADO MATRIZ DE RIESGOS
10.3.2.4.
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
R11
R2, R7, R8, R12
R4, R6
R3, R9
R1
R5
Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5)
10.3.3.
R10
TRATAMIENTO DE RIESGOS
ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R1
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Controlarlo
R2
Perdida de integralidad, Alteración de la información
Controlarlo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
91/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
ID. Riesgo
Descripción del Riesgo
Tratamiento Riesgo
R3
Perdida de información, modificación o eliminación de cuentas de usuario.
Controlarlo
R4
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
Transferirlo
R5
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
Controlarlo
R6
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Eliminarlo
R7
Eliminar información confidencialidad.
Controlarlo
R8
Acceso a la red de la organización.
R9
Perdida de confidencialidad e integralidad de la información.
R10
Facilidad en hurto de información confidencial.
Controlarlo.
R11
Las PQRS no se han gestionadas debidamente.
Transferirlo
R12
Realización de actividades no conformes con lo indicado por la empresa.
Controlarlo
10.3.4.
importante
y
perdida
de
la
Controlarlo Aceptarlo
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
92/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-14
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no existir controles, se puede adquirir virus que afectan el hardware y la información de la compañía, ocasionando pérdidas económicas.
RIESGO: Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático, Spam, phishing, botnets) RECOMENDACIONES:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
93/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-15
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al no realizar las pruebas de monitoreo, se puede presentar hurto de información confidencial.
RIESGO: Pérdida de integralidad, Alteración de la información. RECOMENDACIONES:
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
94/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-16
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. REF_PT: Lista de chequeo F-CHK 03. CONSECUENCIAS:
Al servidor estar expuesto en un área con fácil acceso, este puede ser manipulado sin inconvenientes, inclusive se puede presentar hurto del servidor.
RIESGO: Pérdida de información, modificación o eliminación de cuentas de usuarios. RECOMENDACIONES:
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
95/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-17
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se evidencia que varios usuarios están creados en el directorio activo como administradores. REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al existir muchos usuarios con rol administrador, la empresa se expone a que se pueda instalar ejecutables o usar contraseñas de activación no válidas para software.
RIESGO: Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado. RECOMENDACIONES:
Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
96/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-18
PROCESO AUDITADO
Administración e integridad de los sistemas.
RESPONSABLE
Katherine Zapata Mosquera
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte. PROCESO
1
PÁGINA DE
1
DS5 Garantizar la Seguridad de los Sistemas.
DESCRIPCIÓN: Se identificó que no existe control sobre las máquinas virtuales (remoto). REF_PT: Tabla de vulnerabilidades, amenazas y riesgos. CONSECUENCIAS:
Al no existir un control sobre las máquinas virtuales, se puede presentar hurto de información, perdida sin intención de esta.
RIESGO: Eliminar información importante y pérdida de la confidencialidad. RECOMENDACIONES:
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
97/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Instalación de aplicaciones y acceso a sitios web no autorizados. (Virus informático (spam, phishing, botnets)
Perdida de integralidad, Alteración de la información
Perdida de información, modificación o eliminación de cuentas de usuario.
Tipo de Control
Soluciones o Controles
Correctivo
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Preventivo
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura.
Recuperación
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Para la eliminación de registros se debe registrar en un log la eliminación de estos.
Eliminación de registros o mal ingreso de estos, lo que haría no tener una información confiable.
Instalación de virus en el sistema, multas y problemas legales por no tener software legalizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Detectivo
Preventivo
Para la mitigar el mal ingreso de datos, se debe crear un proceso donde se encargue de validar que la información registrada es veraz. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
98/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Detectivo
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Eliminar información importante y perdida de la confidencialidad.
Detectivo
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Acceso a la red de la organización.
Preventivo
Adicionar protocolos de seguridad y restricciones en la red, verificar que las contraseñas y usuarios no sean obvios.
Perdida de confidencialidad e integralidad de la información.
Preventivo
Revisar URL Embebidos.
Facilidad en hurto de información confidencial.
Preventivo
Establecer políticas de seguridad.
Las PQRS no se han gestionadas debidamente.
Preventivo
Implementar el sistema de semáforo para categorizar las PQRS y de esa manera determinar la prioridad de atención.
Realización de actividades no conformes con lo indicado por la empresa.
Correctiva
Implementación de herramientas de monitoreo de red.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
99/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.3.6.
MODELO DE MADUREZ DS5 MODELO DE MADUREZ PROCESO
Fecha
08 de diciembre de 2018
Consecutivo
Proceso Auditado
Administración e integridad de los sistemas.
Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-01
Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
100/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-03
MODELO DE MADUREZ PROCESO Fecha
08 de diciembre de 2018
Proceso Auditado Responsable Material de Soporte PROCESO
Administración e integridad de los sistemas. Katherine Zapata Mosquera COBIT DOMINIO Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas.
Las responsabilidades y la rendición de cuentas sobre la seguridad están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa. Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de TI son incompletos, engañosos o no aplicables. La habilitación sobre seguridad está disponible, pero depende principalmente de la iniciativa del individuo. La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina. Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe habilitación en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal. Las responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara. Regularmente a cabo un análisis de impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas. El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios esta estandarizada. La certificación en seguridad es buscada por parte del personal que es responsable de la auditoria y la administración de la seguridad. Las pruebas de seguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI están coordinados con la función de seguridad de toda la organización. Los reportes de seguridad están ligados con los objetivos del negocio. La habilitación sobre seguridad de TI se planea y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya están definidos, pero no se miden aún.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
2
1
1
101/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-03
MODELO DE MADUREZ PROCESO Fecha
08 de diciembre de 2018
Proceso Auditado
Administración e integridad de los sistemas.
Responsable
Katherine Zapata Mosquera
Material de Soporte
COBIT
PROCESO
DOMINIO
Entregar y Dar Soporte
DS5 Garantizar la seguridad de los Sistemas.
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en la corporación. Los requerimientos de seguridad de TI están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad. La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e identificación proactiva de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización. Los KGIs y KPIs para administración de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua. Promedio
10.3.7.
0
1,0
DICTAMEN AUDITORIA PROCESO DS5
Objetivo de la Auditoria: Evaluar el nivel de confiabilidad que tiene las contraseñas de acceso al sistema de información e identificar las restricciones configuradas en las cuentas de los usuarios frente al acceso a la web, además de verificar la documentación de los procesos Dictamen: Se califica nivel de madurez 1 inicial, debido a que la empresa implementa procesos de seguridad básicos, sin documentar los procesos y responsables, UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
102/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
permitiendo así fortalecer los riesgos de hurto de información confidencial, acceso de usuarios externos, consumo al máximo bando de ancha en actividades diferentes a las laborales. 10.3.7.1.
Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet. Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso. Se evidencia que varios usuarios están creados en el directorio activo como administradores. Se identificó que no existe control sobre las máquinas virtuales (remoto).
10.3.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet. Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática. Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica. Implementar políticas de contraseña segura. Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este. Tener como máximo dos usuarios con rol administrador. Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso. Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
103/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4. DS12 ADMINISTRAR EL AMBIENTE FÍSICO De acuerdo con el proceso liderado por el auditor Jairo Angulo Castillo se procede a la ejecución de la auditoria. 10.4.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.4.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-04
ENTIDAD AUDITADA
CAJASCOL S.A.S
1
PAGINA DE 1
PROCESO AUDITADO Administrar el Ambiente Físico RESPONSABLE Jairo Angulo Castillo MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS12 Administrar el Ambiente Físico FUENTES DE CONOCIMIENTO Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION comprobar la existencia de documentos respecto a los Medición de resultados de la manuales de riesgos, eficacia y eficacia de los sistemas de control controles existentes. interno, manuales de Comprobar la aplicación de convivencia, controles frente a los riesgos Riesgos y Vulnerabilidades y Vulnerabilidades detectados frente a su detectados. tratamiento. AUDITOR RESPONSABLE: JAIRO ANGULO CASTILLO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
104/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por:
26 de octubre de 2018 Administrar el Ambiente Físico Jairo Angulo Castillo
N°
F-CHK 04
Aspectos por validar o chequear
Objetivo de control 1
Consecutivo
Conforme
DS12.1 Selección y Diseño del Centro de Datos
¿Las instalaciones donde funciona el área de sistemas (cubículos y oficinas), fueron diseñadas o adaptadas para su funcionamiento?
Objetivo de control DS12.2 Medidas de Seguridad Física 2
¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura donde funciona la empresa especialmente en el área de sistemas?
4
SI
Contra
Factores
DS12.5 Físicas
Administración
de
Instalaciones
¿Existe un plan o manual donde se describa las funciones en la seguridad de instalaciones?
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
NO
X SI
¿Existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental?
Objetivo de control 5
DS12.4 Protección Ambientales
NO
X
¿Se tienen lugares de acceso restringido donde se poseen mecanismos de seguridad para el acceso a estos lugares?
Objetivo de control
NO
X SI
Objetivo de control DS12.3 Acceso Físico 3
SI
NO
X SI
NO
X
105/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-04 Conocer aspectos claves en cuanto a la seguridad física de Objetivo Auditoría los activos de Cajascol, especialmente en el área de informática Proceso Auditado Administrar el Ambiente Físico. Responsable Jairo Angulo Castillo Material de Soporte PROCESO Entrevistado Cargo
COBIT
DOMINIO
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico Ing. Jorge Barco Gómez Coordinador de Operaciones PREGUNTAS ENTREVISTA
1. ¿Las instalaciones de la empresa se encuentran construidas en una zona segura, ante cualquier fenómeno natural (inundación, avalancha, incendio, forestal entre otros)? No, estamos en la ladera del rio Cauca y ya hemos tenido dos inundaciones que causaron grandes pérdidas, en cuanto a incendios tenemos una bodega abierta don se almacena cartón reciclado y uno de los riesgos más grandes podría ser un incendio 2. ¿Poseen mecanismo de seguridad se le han detectado debilidades? Los mecanismos de seguridad están orientados a las personas, su evacuación y seguridad 3. ¿Existe suficiente espacio dentro de las instalaciones de forma que permita una circulación fluida? En teoría sí, pero cuando hay picos de producción, se llenan todos los espacios de circulación 4. ¿Existen lugares de acceso restringido y se cuenta con sistemas de seguridad para impedir el paso a dicho lugar? Si, la bodega de cargue de gas al montacargas y el acceso a los generadores 5. ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de sensores? Hay luces de emergencia y alarmas que deben ser activadas por los brigadistas 6. ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? Si UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
106/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-04 PREGUNTAS ENTREVISTA
7. ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones? Se tienen cámaras de seguridad y se hace revisión en portería por empleados de seguridad privada. 8. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales? De manera frecuente ya que al trabajar con material reciclado y una caldera de carbón, los controles de la CVC son altos, así que mensualmente se hacen dichas previsiones. 9. ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? Si. 10. ¿Se tiene un registro de las personas que ingresan a las instalaciones? Si, en portería llevan una bitácora de control de visitantes a administración y también a vehículos de empresas transportadoras.
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Jorge Barco Gómez Firma del Entrevistado
107/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.4.
FORMATO DE CUESTIONARIO PAGINA 1 DE 1 Consecutivo FCT-03
CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS12 Administrar el Ambiente Físico Pregunta
Si
¿La organización cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma?
5
¿Existe un marco de referencia para la evaluación sistemática de los riesgos a los que está expuesta la infraestructura física de la institución?
3
No
¿Se cuenta con los suficientes equipos para la mitigación de incendios?
5
¿Existen normas de control interno donde se evalúe y garantice la protección de las instalaciones para su disponibilidad e integridad?
4
¿Se realiza actualización de los diferentes tipos de riesgos que pueden afectar la infraestructura física?
2
¿Se utilizan métodos cualitativos o cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura física?
2
¿Se promueve e incentiva la seguridad en la institución?
4
¿La organización cuenta con políticas y procedimientos formales respecto a la contratación de terceros?
2
¿Existe un plan de acción para el mantenimiento de la infraestructura física?
2
¿Se realiza evaluación a la seguridad de instalaciones ante un posible suceso terrorista o natural?
2
Los controles existentes son suficientes para decir que la empresa es segura
Totales 12
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Observaciones
5 24
108/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS12 Administrar el Ambiente Físico Porcentaje de riesgo parcial = (12 * 100) / 36 = 33,33% Porcentaje de riesgo = 100% - 33,33% = 66,67% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS12 es Medio. A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 33,33% Porcentaje de riesgo 66,67% impacto según relevancia del proceso DS12 Riesgo medio
10.4.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
109/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.2.1.
RIESGOS INICIALES
Material propenso a incendios Acceso no autorizado a las diferentes áreas Personas poco cuidadosas Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa 5. Robo del servidor o manipulación de este 6. No hay circulación adecuada de aire, además se presenta la amenaza de incendio. 1. 2. 3. 4.
10.4.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
7. Instalaciones propensas a inundación o derrumbe 8. Desorientación ante daños de la infraestructura en suceso ambiental 9. falta de controles en la seguridad de la empresa 10. carencia plan de acción para el mantenimiento de la infraestructura física 11. Carencia promoción e incentivos para la seguridad en la institución 12. No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. 10.4.2.3. N°
ANALISIS Y EVALUACIÓN DE RIESGO Descripción
Impacto
Probabilidad
R1
Material propenso a incendios
5
3
R2
Acceso no autorizado a las diferentes áreas
4
3
R3
Personas poco cuidadosas
2
3
R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
3
4
R5
Robo del servidor o manipulación de este
5
3
R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
3
3
R7
Instalaciones propensas a inundación o derrumbe
3
3
R8
Desorientación ante daños de la infraestructura en suceso ambiental
4
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
110/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
N°
Descripción
Impacto
Probabilidad
R9
falta de controles en la seguridad de la empresa
4
5
R10
carencia plan de acción para el mantenimiento de la infraestructura física
4
4
R11
Carencia promoción e incentivos para la seguridad en la institución
3
5
R12
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
4
3
10.4.2.4.
RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Menor (2) (1)
Moderado (3)
Raro (1) Improbable (2) Posible (3)
Mayor (4) R8
R3 R6 R7
R2 R12
Probable (4)
R4
R10
Casi Seguro (5)
R11
R9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Catastrófico (5)
R5 R1
111/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.3. N°
TRATAMIENTO DE RIESGOS Descripción
Tratamiento Riesgo
R1 Material propenso a incendios
Controlarlo
R2 Acceso no autorizado a las diferentes áreas
Controlarlo
R3 Personas poco cuidadosas R4
Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
R5 Robo del servidor o manipulación de este R6
No hay circulación adecuada de aire, además se presenta la amenaza de incendio.
R7 Instalaciones propensas a inundación o derrumbe R8
Desorientación ante daños de la infraestructura en suceso ambiental
R9 falta de controles en la seguridad de la empresa
Aceptar transferirlo Controlarlo transferirlo Controlarlo Controlarlo Controlarlo
R10
carencia plan de acción para el mantenimiento de la infraestructura física
Controlarlo
R11
Carencia promoción e incentivos para la seguridad en la institución
Controlarlo
No hay como detectar de forma temprana humo, incendio, R12 inundaciones mediante equipos tecnológicos para la prevención y evacuación.
transferirlo
10.4.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
112/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-19
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Se cuenta con bodega abierta de materiales reciclables donde se almacena cartón reciclado, no hay circulación adecuada de aire y el cuarto donde está el servidor está lleno de archivo de contabilidad y archivo muerto. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Material propenso a incendios daño de equipos de cómputo e infraestructura física RIESGO: No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
RECOMENDACIONES: Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
113/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-20
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución, el acceso al servidor de la empresa se encuentra en el área de contabilidad, pero es de fácil acceso a cualquier persona o funcionario. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Hurto de dispositivos electrónicos o ataques al personal tanto administrativo como asistencial. al igual que hurto de información RIESGO: La organización no cuenta con políticas y procedimientos formales respecto al ingreso de personas que no pertenezcan a la misma.
RECOMENDACIONES: Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Ubicar el servidor en un área de acceso restringido o retirar el mismo y contratar los servicios de almacenamiento con una empresa privada.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
114/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-21
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa RIESGO: Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
RECOMENDACIONES: Realizar mantenimiento y reparación de los equipos de monitoreo Adquirir equipos de seguridad (cámaras, sensores de movimiento, entre otros) Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
115/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-22
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento de inundación RIESGO: Instalaciones propensas a inundación o derrumbe
RECOMENDACIONES: Elaborar plan de acción ante aumento del caudal del rio Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
116/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-23
PROCESO AUDITADO
Administrar el Ambiente Físico
RESPONSABLE
Jairo Angulo Castillo
MATERIAL DE SOPORTE
COBIT
DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS12.4 Protección Contra Factores Ambientales
DESCRIPCIÓN: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental, carencia plan de acción para el mantenimiento de la infraestructura física, no hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. REF_PT: Lista de chequeo F-CHK 04. Formato de encuesta FE-04 CONSECUENCIAS: Perdida de capital y activos de la empresa ante un evento, también desorientación de los pasos a seguir ante daños de la infraestructura en suceso ambiental falta de detección y prevención temprana de los mismos RIESGO: No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental
RECOMENDACIONES: Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental. Adquisición de equipos tecnológicos para la prevención y detectar de forma temprana humo, incendio, inundaciones, entre otros.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
117/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.5.
CONTROLES O SOLUCIONES PROPUESTAS Tipo de Control
Soluciones o Controles
Material propenso a incendios
Correctivo
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones, Adquirir equipos tecnológicos para la detección y prevención de humo, incendios y cambio de temperatura
Acceso no autorizado a las diferentes áreas
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones
Robo del servidor o manipulación de este
Preventivo
Elaborar e implementar políticas y procedimientos relacionados con la seguridad, distribución y adecuación de las instalaciones, instalación cámara de seguridad.
Instalaciones propensas a inundación o derrumbe
Preventivo
Elaborar plan de acción ante aumento del caudal del rio cauca, monitorear constantemente la ladera del rio que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Desorientación ante daños de infraestructura en suceso ambiental
Correctivo
Elaborar plan de contingencia a fin de estar preparado para mitigar los riesgos y daño de la infraestructura ante algún suceso ambiental.
falta de controles en la seguridad de la empresa
Correctivo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
carencia plan de acción para el mantenimiento de la infraestructura física
Correctivo
Implementar políticas y elaborar plan mantenimiento de la infraestructura física.
Correctivo
Capacitar y Concientizar al personal de la empresa sobre la importancia de la seguridad. Si no existe la persona indicada en la empresa para dar la asesoría, se podría contratar con una entidad externa.
Riesgos o hallazgos encontrados
la
Carencia promoción e incentivos para la seguridad en la institución
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
118/150.
de
acción
para
el
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.4.6.
MODELO DE MADUREZ DS12 MODELO DE MADUREZ PROCESO
Fecha
07 de diciembre de 2018
Consecutivo
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-04
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación
Cumplimiento por Nivel
La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. La administración de instalaciones y de equipo depende de las habilidades de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción. La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento del personal.
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
119/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-04
MODELO DE MADUREZ PROCESO Fecha
07 de diciembre de 2018
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
COBIT
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico
Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas. Los procedimientos de mantenimiento de instalaciones no están bien documentados y dependen de las buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad. Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y rastreado por la gerencia. Se aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil. Las autoridades civiles monitorean al cumplimiento con los reglamentos de salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar los costos del seguro. Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, cronogramas, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades apara la administración del contracto y del proveedor. Las aptitudes, capacidades y riesgo del proveedor son verificadas de forma continua. Los requerimientos del servicio están definidos y a lineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales, lo cual proporciona información para evaluar los servicios actuales y futuros de terceros. Se utilizan modelos de fijación de precios de transferencia en el proceso de adquisición. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPls y KGls para la supervisión del servicio. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
0
120/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-04
MODELO DE MADUREZ PROCESO Fecha
07 de diciembre de 2018
Proceso Auditado
Administrar el Ambiente Físico
Responsable
Jairo Angulo Castillo
Material de Soporte
COBIT
PROCESO
COBIT
Entregar y Dar Soporte
DS12 Administrar el Ambiente Físico
Hay un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente computo de la organización. Los estándares están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo, construcción, vigilancia, seguridad personal, sistemas electrónicos y mecánicos, protección contra factores ambientales (por ejemplo, fuego, rayos, inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones de acuerdo con el proceso continuo de administración de riesgos de la organización. El acceso es monitoreado continuamente y controlado estrictamente con base en las necesidades del trabajo, los visitantes son acompañados en todo momento. El ambiente se monitorea y controla por medio de equipo especializado y las salas de equipo funcionan sin operadores humanos. Los KPls y Kgsl se miden regularmente. Los programas de mantenimiento preventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles. Las estrategias de instalaciones y de estándares están alineados con las metas de disponibilidad de los servicios de TI y están integradas con las administraciones de crisis y con la planeación de continuidad del negocio. La gerencia revisa y optimiza las instalaciones utilizando los KPls y KGls de manera continua, capitalizando oportunidades para mejorar la contribución al negocio Promedio
10.4.7.
0
1,0
DICTAMEN AUDITORIA PROCESO DS12
Objetivo de la Auditoria: Identificar los procesos que emplean los actores involucrados, frente a la protección de las personas, los equipos de cómputo, información del negocio, instalaciones bien diseñadas y administradas. Minimizando el riesgo de una interrupción del servicio Dictamen: Al ejecutar el modelo de madurez para el proceso se determina que se encuentra en un nivel de 1,0 es decir -INICIAL: Los procesos son espontáneos y UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
121/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
desorganizados. No se ha implementado procesos estándar para el procesamiento de información, debido a que hay poca conciencia sobre la necesidad de proteger las instalaciones o la inversión en recursos de cómputo La organización reconoce de manera parcial la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. carece controles ambientales la seguridad física es un proceso informal, No Hay una Política acordado a largo plazo para las instalaciones requeridas para soportar el ambiente de computo de la organización. Los estándares no están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo 10.4.7.1.
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación. Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
10.4.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones Realizar mantenimiento y reparación de los equipos de monitoreo Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento. Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
122/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5. DS13 ADMINISTRACIÓN DE OPERACIONES De acuerdo con el proceso liderado por el auditor Jhonny Caicedo Velarde se procede a la ejecución de la auditoria. 10.5.1.
APLICACIÓN DE INSTRUMENTOS DE RECOLECCION
Se presenta a continuación la aplicación de instrumentos de recolección 10.5.1.1.
FUENTES DE CONOCIMIENTO REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA FC-05
ENTIDAD AUDITADA
CAJASCOL S.A.S
1
PAGINA DE 1
PROCESO AUDITADO Mantenimiento de equipos RESPONSABLE Jhonny Caicedo Velarde MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte PROCESO DS13 Administración de Operaciones REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS
DE EJECUCION
Entrevista a los Ingenieros Elizabeth Narváez Lopera y Jorge Barco Gómez quienes son los encargados del área informática.
Analizar si la cantidad de equipos existentes son necesarios para la operación requerida o en su defecto si hacen falta. Analizar la disponibilidad de documentación de los equipos. Analizar la comunicación entre los usuarios de los equipos y los encargados del mantenimiento tanto de hardware y software de los equipos.
Analizar el nivel de pericia de los usuarios con los diferentes entornos de las aplicaciones funcionales. Analizar las ubicaciones de los equipos existentes.
AUDITOR RESPONSABLE: JHONNY CAICEDO VELARDE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
123/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.2.
FORMATO DE LISTAS DE CHEQUEO
Lista de chequeo Fecha: proceso Realizado por: N°
26 de octubre de 2018 Consecutivo DS13 Administración de Operaciones Jhonny Caicedo Velarde
F-CHK 05
Aspectos por validar o chequear
1
El equipo de cómputo y/o impresora se encuentran en una base firme.
2
El monitor funciona correctamente.
3
El mouse funciona correctamente.
4
El teclado funciona correctamente.
5
El cableado eléctrico está protegido
6
El equipo se encuentra conectado a corriente asistida.
7
Los tomacorrientes se encuentran plenamente identificados.
8
Los equipos de cómputo tienen todas sus partes.
9
El antivirus se encuentra actualizado.
10
El software actual se encuentra actualizado.
11
El equipo se encuentra en buen estado de limpieza.
12
La impresora se encuentra conectada por fuera de la corriente asistida.
13
El área donde se encuentra el equipo se encuentra ventilada.
14
Existe hardware y/o otros equipos conectados al equipo de cómputo.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
SI
NO
X X X X X X X X X X X X X X
124/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.3.
FORMATO DE ENTREVISTA
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 1 DE 2 Fecha 26 de octubre de 2018 Consecutivo FE-05 Analizar e identificar las posibles fallas que afecten el funcionamiento del hardware, para definir políticas y Objetivo Auditoría procedimientos que aseguren el mantenimiento preventivo del hardware ayudando a mantener la integridad de los datos y reducir los retrasos de la empresa. Proceso Auditado Indicadores de funcionamiento del hardware y software Responsable Jhonny Caicedo Velarde Material de Soporte PROCESO Entrevistado Cargo
COBIT
DOMINIO
Entregar y Dar Soporte
DS13 Administración de Operaciones Ing. Elizabeth Narváez Lopera Coordinadora de Contabilidad PREGUNTAS ENTREVISTA
1. ¿Existe un cronograma para el mantenimiento preventivo de los equipos? No 2. ¿En qué consiste el mantenimiento preventivo? Anticiparse a correctivos, manteniendo los equipos en bues estado de funcionamiento 3. ¿Se cuenta con la herramienta necesaria, para realizar dichos mantenimientos? Si 4. ¿Queda registro de los mantenimientos realizados? Hace mucho no se hacen, pero en su momento si quedo registro 5. ¿Quién realiza el mantenimiento a los equipos de respaldo como la UPS y planta eléctrica? Empresas contratistas 6. ¿El mantenimiento preventivo a estos equipos (respaldo) cada cuanto se realiza? En teoría cada 6 meses, pero el ultimo mantenimiento de equipos se llevó hace 18 meses
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
125/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Fecha
PAGINA EMPRESA AUDITADA CAJASCOL S.A.S 2 DE 2 26 de octubre de 2018 Consecutivo FE-05 PREGUNTAS ENTREVISTA
7. ¿Existe protecciones en cuanto al sistema de tierras? Si 8. ¿Existe y están disponibles los manuales de cada uno de los equipos? De los más nuevos 9. ¿Se tiene algún plan de contingencia para cuando presente fallas un equipo? ¿Cuál? No, el usuario debe esperar a que se haga el correctivo. 10. ¿Existe un procedimiento para los mantenimientos correctivos de los equipos? Si es un correctivo que se sale de nuestras manos, se llama a un tercero
John Jairo Martinez Torres Firma del entrevistador
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Elizabeth Narváez Lopera Firma del Entrevistado
126/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.1.4.
FORMATO DE CUESTIONARIO PAGINA 1 DE 2 Consecutivo FCT-05
CUESTIONARIO DE CONTROL Fecha 26 de octubre de 2018 Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta ¿Se cuenta con un inventario de equipos de cómputo?
Si
No
3
¿Si existe inventario contiene los siguientes ítems? Número del computador Fecha Ubicación Responsable Características (memoria, procesador, monitor, disco duro) Se lleva una hoja de vida por equipo
5
¿La hoja de vida del equipo tiene los datos? Numero de hoja de vida Número del computador correspondiente Falla reportada Diagnóstico del encargado Solución que se le dio
5
¿Se posee un registro de fallas detectadas en los equipos?
5
¿La temperatura a la que trabajan los equipos es la adecuada?
3
¿Al momento de presentar una falla en el equipo, la atención que se presta es oportuna?
2
¿Se realizan pruebas de funcionamiento a los equipos de respaldo como UPS y planta eléctrica?
2 4
¿se realizan estas pruebas periódicamente? ¿Es calificado el personal que realiza las pruebas?
5
¿Existe proveedores para el mantenimiento de los equipos?
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Observaciones
127/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CUESTIONARIO DE CONTROL
2
Fecha 26 de octubre de 2018 Consecutivo Dominio Entregar y Dar Soporte Proceso Auditado DS13 Administración de Operaciones Pregunta
Si
No
¿Se cuenta con planos eléctricos actualizados?
2
¿Se lleva un procedimiento para la adquisición de nuevos equipos?
5
¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?
4
¿Existe políticas de backup de la información?
PAGINA DE 2 FCT-05
Observaciones
2
Totales 19
33
10.5.1.4.1. PORCENTAJE DE RIESGO De acuerdo con los puntajes dados en el cuestionario de control se pretende establecer el porcentaje de riesgo en el proceso DS13 Administración de Operaciones Porcentaje de riesgo parcial = (19 * 100) / 52 = 36,54% Porcentaje de riesgo = 100% - 33,33% = 63,46% De acuerdo con la categorización de niveles de riesgo que dicta que: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto El impacto según relevancia del proceso DS13 es Medio.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
128/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
A continuación, se presenta un cuadro resumen de dicho análisis: RIESGO: Porcentaje de riesgo parcial 36,46% Porcentaje de riesgo 63,46% impacto según relevancia del proceso DS13 Riesgo medio
10.5.2.
ANALISIS Y VALORACION DE RIESGOS
En esta parte se presentarán los riesgos hallados en el ejercicio de auditoria, así como su valoración en una matriz de riesgos. 10.5.2.1.
RIESGOS INICIALES
1. Demora en solucionar fallas de equipos por falta de identificación de cableado. 2. Fallas en el suministro de energía. 3. Ausencia de ventilación para los equipos de computo 10.5.2.2.
RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS
4. Daño de elementos importantes en los equipos por ausencia de energía asistida. 5. Posible de daño de equipos por mala señalización de las fuentes de energía. 6. Desactualización de Software. 7. Fallas de equipos por falta de mantenimientos preventivos. 8. No se lleva control de los mantenimientos realizados. 9. No se controla el mantenimiento preventivo a los equipos de respaldo. 10. No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos. 11. No existen planes de contingencia al momento de falla de un equipo. 12. No se tiene control de los mantenimientos correctivos de los equipos. 10.5.2.3.
ANALISIS Y EVALUACIÓN DE RIESGO
N°
Descripción
Impacto
Probabilidad
R1
Demora en solucionar fallas de equipos por falta de identificación de cableado.
2
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
129/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168 N°
Descripción
Impacto
Probabilidad
R2
Fallas en el suministro de energía.
4
4
R3
Daño de equipos por ausencia de ventilación.
3
3
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
5
4
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
3
3
R6
Desactualización de Software.
2
2
R7
Fallas de equipos por falta de mantenimientos preventivos.
4
5
R8
No se lleva control de los mantenimientos realizados.
3
3
R9
No se controla el mantenimiento preventivo a los equipos de respaldo.
4
4
No existe la documentación completa de todos los equipos R10 existentes, referentes a manuales y demás documentos que puedan dar información sobre los equipos.
3
2
R11
No existen planes de contingencia al momento de falla de un equipo.
4
5
R12
No se tiene control de los mantenimientos correctivos de los equipos.
4
3
10.5.2.4.
RESULTADO MATRIZ DE RIESGOS
EVALUACIÓN Y MEDIDAS DE RESPUESTA IMPACTO PROBABILIDAD Insignificante Moderado Menor (2) Mayor (4) (1) (3)
Catastrófico (5)
Raro (1) Improbable (2)
R6
Posible (3)
R3, R3, R8 R12
Probable (4) Casi Seguro (5)
R10 R2, R9
R1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
R4
R7, R11
130/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.3. N° R1
TRATAMIENTO DE RIESGOS Descripción
Demora en solucionar fallas de equipos por falta de identificación de cableado.
Tratamiento Riesgo Controlarlo
R2 Fallas en el suministro de energía.
Controlarlo
R3 Daño de equipos por ausencia de ventilación.
Transferirlo
R4
Daño de elementos importantes en los equipos por ausencia de energía asistida.
Transferirlo
R5
Posible de daño de equipos por mala señalización de las fuentes de energía.
Controlarlo
R6 Desactualización de Software. R7
Fallas de equipos por falta de mantenimientos preventivos.
Aceptarlo Controlarlo
R8 No se lleva control de los mantenimientos realizados.
Controlarlo
No se controla el mantenimiento preventivo a los equipos de respaldo.
Controlarlo
R9
No existe la documentación completa de todos los equipos existentes, referentes a manuales y demás R10 documentos que puedan dar información sobre los equipos.
Controlarlo
R11
No existen planes de contingencia al momento de falla de un equipo.
Controlarlo
R12
No se tiene control de los mantenimientos correctivos de los equipos.
Controlarlo
10.5.4.
REPORTE DE HALLAZGOS DE LA AUDITORIA
Teniendo en cuenta los instrumentos de recolección de la información se presentan a continuación el reporte de hallazgos para el proceso analizado.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
131/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-24
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE
COBIT
DOMINIO
Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Al momento en que presente fallas el fluido eléctrico comercial, los equipos se apagaran abruptamente, lo que puede ocasionar daños en sus partes internas como fuente de poder o componentes electrónicos de la tarjeta madre. RIESGO: Daño de elementos importantes en los equipos por ausencia de energía asistida. RECOMENDACIONES: Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
132/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-25
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS: Posibles daños severos por revisión y/o cambio de cableado o elementos que se encuentren funcionando mal. RIESGO: Fallas de equipos por falta de mantenimientos preventivos. RECOMENDACIONES: Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
133/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-26
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Pérdida de tiempo del personal. Perdida de elementos de Hardware y/o información.
RIESGO: No existen planes de contingencia al momento de falla de un equipo. RECOMENDACIONES:
Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
134/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-27
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE
1
DS13 Administración de Operaciones
DESCRIPCIÓN: Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Recalentamiento de las partes internas de los equipos, ocasionando daño de estos. Incomodidad al personal por las altas temperaturas.
RIESGO: Daño de equipos por ausencia de ventilación. RECOMENDACIONES:
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
135/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
CAJASCOL S.A.S
REF
INFORME HALLAZGOS EN AUDITORIA
FH-28
PROCESO AUDITADO
Mantenimiento de Equipos
RESPONSABLE
Jhonny Caicedo Velarde
MATERIAL DE SOPORTE COBIT DOMINIO Entregar y Dar Soporte
PROCESO
1
PÁGINA DE 1
DS13 Administración de Operaciones
DESCRIPCIÓN: Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios. REF_PT: Lista de chequeo F-CHK 05. CONSECUENCIAS:
Consumo extra de corriente de la UPS. Posible daño de equipos por una mala conexión o alimentación de un equipo no permitido, como por ejemplo taladros o pulidoras.
RIESGO: Posible de daño de equipos por mala señalización de las fuentes de energía. RECOMENDACIONES:
Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
136/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.5.
CONTROLES O SOLUCIONES PROPUESTAS Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
El respectivo cable de los equipos de cómputo no se encuentra debidamente marcado.
Preventivo
Se debe de marcar el cableado de los equipos, tanto de señal como de corriente.
No es confiable el sistema de respaldo cuando hay fallas del suministro de energía.
Correctivo
Se debe tener buenos equipos de soporte de energía como lo son UPS y Planta eléctrica.
Hay sitios donde se encuentran los equipos de cómputo que no tienen la temperatura adecuada para los mismos.
Preventivo
Se debe de controlar la temperatura de los equipos por medio de aires acondicionados.
Hay equipos que no se encuentran alimentados por la corriente asistida que proviene de la UPS.
Preventivo
Se debe realizar una revisión de cómo se encuentran conectados los equipos y al encontrar estos por fuera de la asistida, realizar las respectivas correcciones.
Se observan equipos diferentes a los de cómputo conectados a la corriente asistida, como por ejemplo ventiladores.
Preventivo
Crear políticas y controles que no permiten el mal uso de las tomas asistidas.
Se observa que el antivirus se encuentra desactualizado, al igual que el office.
Correctivo
Actualizar antivirus y demás programas que se encuentren obsoletos.
Hay equipos que no se les hace mantenimientos preventivos.
Preventivo
Implementar políticas de controles preventivos a todos los equipos de la organización.
No existe una bitácora o control de los mantenimientos que se les realiza a los equipos.
Preventivo
Elaborar y llevar control sobre los mantenimientos realizados a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
137/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
Riesgos o hallazgos encontrados
Tipo de Control
Soluciones o Controles
A los equipos de soporte no se les realiza mantenimiento preventivo hace más de un año.
Correctivo
Realizar mantenimiento a los equipos de acuerdo con la necesidad de estos, teniendo en cuenta la operatividad.
No se observan manuales de los equipos.
Preventivo
Al momento de adquirir equipos nuevos solicitar la documentación necesaria para cada uno de ellos.
No se tiene claro que se debe de realizar al momento de una falla en un equipo.
Correctivo
Establecer una ruta para el caso de que se debe de hacer en el momento de falla de un equipo, como para reponer al usuario afectado, como para la reparación del equipo.
No se tiene un registro o control de los mantenimientos correctivos de los equipos.
Correctivo
Crear formatos y/o registros que permitan llevar el control de los mantenimientos correctivos a los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
138/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.6.
MODELO DE MADUREZ DS13 MODELO DE MADUREZ PROCESO
Fecha
05 de diciembre de 2018
Consecutivo
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
1
PAGINA DE 3 MM-05
Entregar y Dar Soporte
DS13. Administración de Operaciones. REPRESENTACIÓN GRÁFICA DEL MODELO DE MADUREZ
Niveles de Clasificación La organización reconoce la necesidad de estructurar las funciones de soporte de TI. Se establecen algunos procedimientos estándar y las actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de operación son programados de manera informal y el procesamiento de peticiones se acepta sin validación previa. Las computadoras, sistemas y aplicaciones que soportan los procesos del negocio con frecuencia no están disponibles, se interrumpen o retrasan. Se pierde tiempo mientras los empleados esperan recursos. Los medios de salida aparecen ocasionalmente en lugares inesperados o no aparecen.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Cumplimiento por Nivel
2
139/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 2 DE 3 Consecutivo MM-05
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
DS13. Administración de Operaciones.
La organización está consciente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de que hacer, cuando y en qué orden no están documentadas. Existe algo de habilitación para el operador y hay algunos estándares de operación formales. Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo. Se han asignado recursos y se lleva a cabo alguna habilitación durante el trabajo. Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia la gerencia. Se introduce el uso de herramientas de programación automatizadas y de otras herramientas para limitar la intervención del operador. Se introducen controles para colocar nuevos trabajos en operación. Se desarrolla una política formal para reducir el número de eventos no programados. Los acuerdos de servicios y mantenimiento con proveedores siguen siendo de naturaleza informal. Las operaciones de cómputo y las responsabilidades de soporte están definidas de forma clara y la propiedad está asignada. Las operaciones se soportan a través de presupuestos de recursos para gastos de capital y de recursos humanos. La habilitación se formaliza y está en proceso. Las programaciones y las tareas se documentan y comunican, tanto a la función interna de TI como a los clientes del negocio. Es posible medir y monitorear las actividades diarias con acuerdos estandarizados de desempeño y de niveles de servicio establecidos. Cualquier desviación de las normas establecidas es atendida y corregida de forma rápida. La gerencia monitorea el uso de los recursos de cómputo y la terminación del trabajo o de las tareas asignadas. Existe un esfuerzo permanente para incrementar el nivel de automatización de procesos como un medio de mejora continua. Se establecen convenios formales de mantenimiento y servicio con los proveedores. Hay una completa alineación con los procesos de administración de problemas, capacidad y disponibilidad, soportados por un análisis de causas de errores y fallas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
1
1
0
140/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PAGINA 3 DE 3 Consecutivo MM-05
MODELO DE MADUREZ PROCESO Fecha
04 de diciembre de 2018
Proceso Auditado
Mantenimiento de Equipos
Responsable
Jhonny Caicedo Velarde
Material de Soporte
COBIT
PROCESO
DOMINIO
Planear y Organizar
DS13. Administración de Operaciones.
Las operaciones de soporte de TI son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de servicio con una pérdida de productividad mínima. Los procesos de administración de operaciones de TI están estandarizados y documentados en una base de conocimiento, y están sujetos a una mejora continua. Los procesos automatizados que soportan los sistemas contribuyen a un ambiente estable. Todos los problemas y fallas se analizan para identificar la causa que los originó. Las reuniones periódicas con los responsables de administración del cambio garantizan la inclusión oportuna de cambios en las programaciones de producción. En colaboración con los proveedores, el equipo se analiza respecto a posibles síntomas de obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva. Promedio
10.5.7.
0
0,8
DICTAMEN AUDITORIA PROCESO DS13
Objetivo de la Auditoria: Verificar que la empresa auditada maneje normas y controles de calidad que conlleven al uso eficiente de sus recursos, también se revisara si se están realizando los inventarios de los equipos para el control de los activos de la empresa, verificar si se tiene un plan de mantenimiento de los equipos que ayude a reducir riesgos y/o fallas de los equipos. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que la empresa reconoce la necesidad de implementar controles de mantenimientos para los equipos y los lleva casualmente y tener claridad en su periodicidad e importancia de estos, no se le da la importancia de llevar registros de los mantenimientos realizados, no garantizan la continuidad de la operación de la empresa en casos de falla de los equipos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
141/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
10.5.7.1.
Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna. Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos. Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir. Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios
10.5.7.2.
Hallazgos que soportan el Dictamen
Recomendaciones:
Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS. Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas. Elaborar una ruta a seguir para el caso de daños de equipos. Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema. Tener una persona encargada de esta función. Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo. Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS. Señalizar las tomas de acuerdo con las respectivas normas. Capacitar al personal del uso adecuado de estas tomas.
11. PRUEBAS Se anexa carpeta de pruebas fotográficas, donde se evidencia falta de seguridad perimetral, riesgo de inundación y riesgos de incendio. Por políticas de seguridad no se me autorizo fotografiar servidor ni tomar pantallazos de aplicaciones.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
142/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
12. INFORME FINAL AUDITORIA A continuación, se presenta un informe general de los hallazgos y recomendaciones por cada proceso auditado. 12.1. OBJETIVO GENERAL DE LA AUDITORIA Elaborar y ejecutar un plan de auditoria en sistemas que permita evaluar la infraestructura tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del sistema de información de la empresa Cajascol 12.2. HALLAZGOS Y RECOMENDACIONES POR PROCESO PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos
No hay planes de acción efectivos ante la falla de equipos de usuarios de procesos críticos
No hay supervisión de los procesos que realizan los usuarios en los equipos de computo
Bodega a cielo abierto de material reciclable muy cerca del lugar donde se recarga gas a las maquinas montacargas
Se encontró en el directorio activo de usuarios que muchos fueron creados con atributos de administrador sin restricciones de seguridad informática
Se encontró que no hay personal capacitado en seguridad de la información, por lo que el sistema esta vulnerable a todo tipo de amenazas informáticas.
Cajascol cuenta con tres desarrollos hechos en casa, pero no hay documentación ni manuales de estos aplicativos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Se deben realizar procedimientos para ingreso de datos y tener equipos de repuesto para que los usuarios no se atrasen. Se deben construir procedimientos y planes de contingencia ante fallas y tener equipos de reemplazo ante estos eventos.
Se deben replantear funciones del personal actual, contratar personal adicional. Se debe instalar un aplicativo tipo consola que controle y monitoree a los usuarios y adicional brinde alertas cuando una determinada ip acceda a procesos no autorizados.
Se deben instalar alarmas tempranas en caso de que el rio Cauca salga de su cauce, y tener controles de seguridad en la bodega abierta de material reciclado.
143/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Reporte de Hallazgos
Cuando se presenta un evento de magnitud importante como una caída de red se depende de un único contratista.
Las personas encargadas de sistemas tienen otros puestos principales, Jorge Barco es director de operaciones y Elizabeth Narváez es Coordinadora de contabilidad, ninguno tiene claro su alcance en el área de sistemas.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Se deben hacer planes de respaldo de información de manera inmediata y con periodicidad diaria o semanal depende de la criticidad del proceso. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de acceso a carpetas de información confidencial. Se deben intensificar los controles de seguridad a nivel usuario con restricciones de ciertas operaciones como instalación de programas.
Se debe enviar al personal encargado de sistemas a capacitarse en temas de seguridad informática.
Se deben levantar manuales y tutoriales de los desarrollos hechos en la empresa.
Se deben segregar funciones, contratar personal adicional y que el personal actual levante y documente todas las operaciones relacionadas con los sistemas
Conjuntamente con la gerencia se deben levantar manuales de funciones para el personal de sistemas o se debe pensar en contratar una persona que administre ese proceso
144/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Reporte de Hallazgos
Desconocimiento del plan para adquirir la infraestructura tecnológica
El personal no cuenta con programas de capacitación y formación en seguridad informática y de la información.
Perdida de la trazabilidad e historia en los registros de la empresa
Descarga apertura o instalación de programas o documentos infectados.
No se considera al área de TI en los planes de capacitación.
Desconocimiento del plan para adquirir la infraestructura tecnológica
Recomendaciones
Realizar capacitaciones a conciencia de manera regular en seguridad de TI para el personal y de productos adaptados a sus necesidades específicas.
Obtener una plataforma que satisfaga las necesidades de la empresa y garantice la integridad de la data.
Fortalecer configuraciones de seguridad con aplicaciones específicas (antivirus, firewall), que protejan de manera adecuada los dispositivos móviles, servidores, correo electrónico de la organización.
Ejecutar un plan de capacitación y sensibilización acorde a las necesidades y el conocimiento a adquirir por parte del área de TI.
Elaborar y ejecutar un plan de adquisición que satisfaga los requerimientos tecnológicos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
145/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Reporte de Hallazgos
Recomendaciones
Los colaboradores acceden a múltiples sitios web, debido a que no existen controles para la información que se envía y se recibe desde Internet.
Establecer técnicas y/o procedimientos de administración que permitan controlar los flujos de información desde y hacia Internet.
Acceso de usuario externos no autorizados, debido a que no realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información.
Realizar capacitaciones con el fin de concientizar a los colaboradores sobre la seguridad informática.
Diseñar un cronograma donde se defina las fechas en que se ejecutarán las pruebas de monitoreo de seguridad, lo anterior como mínimo debe realizarse de manera periódica.
Implementar segura.
Dependiendo el nivel de información que se almacene en el servidor, se debe implementar un anillo de seguridad, es decir, se debe plantear una ubicación donde se pueda controlar quien accede a este.
Tener como máximo dos usuarios con rol administrador.
Definir y documentar el procedimiento de aprobación, donde se describa al responsable encargado de otorgar los privilegios de acceso.
Solicitar al área de TI, la implementación de más filtros de seguridad para que los usuarios no eliminen registros, ni los ingresen de manera errónea.
Cualquier persona puede acceder al servidor de la empresa, debido a que actualmente este se encuentra ubicado en un área con fácil acceso.
Se evidencia que varios usuarios están creados en el directorio activo como administradores.
Se identificó que no existe control sobre las máquinas virtuales (remoto).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
políticas
de
contraseña
146/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS12 ADMINISTRAR EL AMBIENTE FÍSICO Reporte de Hallazgos
No hay como detectar de forma temprana humo, incendio, inundaciones mediante equipos tecnológicos para la prevención y evacuación.
Acceso no autorizado a las diferentes áreas, Carencia promoción e incentivos para la seguridad en la institución
falta de controles en la seguridad de la empresa, Se encuentran muchos puntos ciegos donde podrían acceder intrusos a la empresa
Instalaciones construidas en la ladera del rio cauca se cuenta con antecedentes de inundaciones que causaron grandes pérdidas No existe un plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Recomendaciones
Implementar pedagogía de la seguridad entre los diferentes integrantes de la empresa
Elaborar e implementar políticas y procedimientos relacionados con la distribución y adecuación de las instalaciones
Realizar mantenimiento y reparación de los equipos de monitoreo
Elaborar manual de funciones e Implementar políticas de seguridad las cuales se encuentren documentadas
Monitorear constantemente la ladera del rio cauca que delimita la empresa esto a fin de determinar posible erosión, inundación deslizamiento.
Elaborar plan de acción para mitigar los riesgos de la infraestructura ante algún suceso ambiental.
147/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
DS13 ADMINISTRACIÓN DE OPERACIONES Reporte de Hallazgos
Recomendaciones
Se observa que algunos equipos no se encuentran alimentados por corriente asistida (UPS), se encuentran conectados a la corriente alterna.
Se debe de realizar las instalaciones necesarias para que todos los equipos de cómputo se encuentren energizados por la UPS.
Existen equipos que presentan daños por falta de mantenimientos correctivos, monitores con deficiente calidad de imagen por daño en cable de señal. Impresora con deficiencia en impresión por desgaste en rodillos.
Tener un cronograma de mantenimientos preventivos por área, registrando el mantenimiento realizado e identificar las partes que se encuentren desgastadas para dar prioridad sobre las mismas.
Se indaga sobre que deben de hacer en el momento en que un equipo falla y no se tiene claro cuál es el procedimiento a seguir.
Elaborar una ruta a seguir para el caso de daños de equipos.
Tener disponibilidad de equipos que puedan reemplazar los que se encuentran dañados mientras se soluciona el problema.
Tener una persona encargada de esta función.
Dotar de aires acondicionados las áreas donde se encuentren más de 5 equipos de cómputo.
Dotar de aire acondicionado el cuarto donde se encuentra ubicada la UPS.
Señalizar las tomas de acuerdo con las respectivas normas.
Capacitar al personal del uso adecuado de estas tomas.
Existen áreas donde la temperatura no es adecuada para el uso de los computadores, ya que estos funcionan durante un largo periodo de tiempo en el día. Se evidencia que no están señalados los tomas asistidos y existen conexiones de elementos que no son de computo a la corriente asistida como ventiladores, radios
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
148/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
13. CONCLUSIONES Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para planificar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada. Con el desarrollo del siguiente trabajo fue posible entender y asimilar los pasos necesarios para ejecutar una auditoria informática, partiendo desde el objetivo general de la auditoría, el alcance de esta, los recursos necesarios para ejecutar el ejercicio de auditoria y los procesos a evaluar. Con la ejecución de la auditoria se pudo establecer el tratamiento de los riesgos, se encontraron unos hallazgos que se presentaron a la gerencia de Cajascol y se propusieron algunos controles para mitigar o controlar los riesgos existentes. Se encuentran los auditores y auditados con una realidad inesperada, ya que se tiene la impresión de tener todo bajo control, por ejemplo, en el caso de Cajascol, enterarse de que el 91.8% de los riesgos encontrados pertenecían a zonas de riesgo alta y extrema, hicieron entender que no se tenía en cuenta el área de TI como un área importante de la empresa, cuando realmente es una de las más importantes, ya que muchos funcionarios y puestos dependen que equipos, red, internet, aplicativos y demás temas relacionados con TI, funcionen de manera adecuada
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
149/150.
Fase 2 – Planeación Auditoria UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA Escuela de ciencias básicas tecnologías e Ingeniería Auditoria de Sistemas. Código 90168
14.
REFERENCIAS BIBLIOGRAFICAS
INTECO. (Productor). (2010). Conceptos básicos de auditoría. Recuperado de https://www.youtube.com/watch?time_continue=22&v=g7EPuzN5Awg Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196
de
CAJASCOL S.A.S. (Julio de 2014). Cajascol Nuestra Empresa. Recuperado el 12 de Marzo de 2017, de http://www.cajascol.com/index.php/es/empresa it governance institute. (26 de Febrero de 2010). COBIT 4.1. Recuperado el 24 de Septiembre de 2018, de http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf Solarte, F. N. (13 de Febrero de 2012). PROGRAMA DE AUDITORIA – COBIT. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoriacobit.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN. Recuperado el 25 de Septiembre de 2018, de http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacionauditoria.html?view=sidebar Solarte, F. N. (13 de Febrero de 2012). ANALISIS Y EVALUACIÓN DE RIESGOS. Recuperado el 23 de octubre de 2018, de http:// http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-aplicacion.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
150/150.
Related Documents
Fase 1_fabianmontoya.doc
December 2019 27
Fase Genital.pdf
May 2020 16
Fase Viii
April 2020 14
Fase 2
November 2019 50
Fase Ii
November 2019 29
Fase I.docx
May 2020 20More Documents from "Maikol Castellano"
Fase 4_90168_41.docx
May 2020 0
Ejercicio_10.2.2.8_jhonny_caicedo.docx
May 2020 0
Grupo_301405_31.docx
May 2020 0
Trabajo_colaborativo_final_301307_29.docx
May 2020 0