90168_tc1_27.word (1)
DESCRIPTION
dTRANSCRIPT
AUDITORIA DE SISTEMAS 90168A_224
ESTUDIANTES:LUKDARY ABRIL RUEDA Cdigo. 1091653.080ZULLY KATERIN MALAGON Cdigo. 1069748343 GUSTAVO ALEXANDER DUARTE Cdigo: 1069740689
ING-CARMEN EMILIA RUBIO-TUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNADESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA Colombia Septiembre DE 2015
INTRODUCCION
OBJETIVOS
Desarrollo del trabajoCUADRO DE VULNERABILIDAD, AMENAZA, RIESGOSACTIVO DE INFORMACINVULNERABILIDADAMENAZASRIESGOS
HARDWARE-Falta de configuracin de respaldos o equipos de contingencia.-Sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseados correctamente para funcionar en el sistema. Los componentes de hardware del sistema no son apropiados y no cumplen los requerimientos necesarios.
-Existen componentes de hardware que necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo contrario se acortara su vida til.-Descuido y mal uso de los componentes.Dao de hardware o interrupcin de los sistemas informticos.
-Retraso en los procesos debido a la lentitud de los equipos.
SOFTWAREConfiguracin e instalacin indebida de los programas.
-ausencia de actualizacin.
Sistemas operativos mal configurados y mal organizados
Ejecucin de macro virusSoftware malicioso, tambin conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spyware, usan con fines fraudulentos.
Cdigo malicioso, esto incluye virus, gusanos informticos, bombas lgicas y otras amenazas programadas.
-El Software no cumple con los estndares de seguridad requeridos pues nunca fue diseado para dar soporte a una organizacin.Salida de informacin por accesos no autorizados.
Manejo indebido de los datos por accesos no autorizados
Interrupcin de procesos por cadas en el sistema
Daos al software y sistema operativo de los equipos de la empresa
REDESInsuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas.
Fallas en la inscripcin de la informacin.
Infraestructuras obsoletas
Puertos abiertos sin uso
Contraseas poco seguras, propenso a robo de informacin.la red de comunicacin no est disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso.
Incumplimiento de las normas de instalacin de la red.
Intercepcin y extraccin de datos o seales
Ataques de Contrasea -Fuga de informacin por posible implantacin de Malware
-Cada de servicios por obsolescencia de los equipos
-Prdida de Integridad de la informacin por acceso no autorizado
COMUNICACIONESExceso de lneas telefnicas y de datos que no estn en uso.
Informacin no disponible para los usuarios.
-Datos personales de los empleados expuestos al pblico
Pocas restricciones en el contenido del servicio de internet Intercepcin de seales
-Ataques de interrupcin (corte de lneas telefnicas y de datos)
Fallas en el fluido elctrico.Incomunicacin total
-Retraso en los procesos debido a la lentitud de los equipos
SEGURIDAD FSICAinstalaciones inadecuadas del espacio de trabajo
ausencia de recursos para el combate a incendios
disposicin desorganizada de cables de energa y de red
malas prcticas de las polticas de acceso de personal a los sistemas.
uso de medios fsicos de almacenamiento de informacin que permitan extraer datos del sistema de manera no autorizada
ausencia de identificacin de personas y de locales Ambientes sin proteccin contra incendios, locales prximos a ros propensos a inundaciones
Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracane.
Robos
Sabotajes y destruccin de sistemas Perdida de objetos hardware y de informacin debido al fcil acceso a los mismos.
Dao de elementos fsicos (PCs, cmaras, etc.)
-Lesiones a las personas y a las instalaciones.
-Perdida de dinero
SEGURIDAD LGICAErrores de diseo y programacin de redes y sistemas de informacin
Configuraciones por defecto en los S.O
Fallo en actualizaciones del S.O
Falla en las restricciones del servicio de internet
No tiene software antispyware
Contraseas y usuarios poco seguros en dispositivos de comunicacin Malware (virus, troyanos, gusanos informticos, bombas lgicas, etc.)
Escaneo de puertos, protocolos y serviciosSpamSpywareSoftware incorrectoCanales cubiertosFuga de informacin
Modificacin de datos
Perdida de informacin
Manipulacin no autorizada de datos
-Imagen negativa de la organizacin
PERSONAL DEL REA falta de capacitacin y concienciacin.
negligencia en el seguimiento de las polticas de seguridad.
mal uso del equipo de cmputo.
-Desconocimiento de medidas bsicas de seguridad del rea de T.I Fallas de seguimiento en el monitoreo
Ataques de suplantacin (Spoofing)
RoboPerdida de informacin confidencial por acceso no autorizado
Retraso en la prestacin de servicios de T.I
IMPORTANCIA DE LA AUDITORIA INFORMATICA La auditora de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin protegiendo el activo Servientrega S.A, manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones establecidas. La Auditoria informtica nos Permite detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de la empresa, determinando qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan los flujos de informacin eficientes. La auditora de sistemas tiene 2 son: Auditoria Interna: es la que est dentro de la empresa; sin contratar a personas de afuera. Puede ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestin.Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de afuera para que haga la auditoria en su empresa. Auditar consiste especialmente en estudiar los componentes de control que estn implantados en una empresa, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los componentes de control pueden ser directivos, preventivos, de deteccin.Entre sus beneficios tambin se encuentra: Mejorar la credibilidad de la empresa, generar confianza a los clientes sobre la seguridad y control de las operaciones, disminucin de costos al prevenir prdidas y realizar un control sobre las inversiones que se realizan en el rea informtica.Siendo as, se puede afirmar que el buen funcionamiento de una empresa depende del control que se tiene sobre la evaluacin de sus sistemas e infraestructura tecnolgica, puesto que en la actualidad las organizaciones estructuran su informacin en sistemas de tecnologa informtica y debido a esto es fundamental que funciones de manera ptima y sin interrupciones para una mejor productividad en la empresa.
ConclusionesLa auditora de sistemas es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).Analizando acerca de todos los elementos que componen La empresa servientrega S.A, tanto materiales como humanos, me doy cuenta que auditar una Empresa u organizacin, no es nada fcil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los dems elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso en la empresa.Pensaba que lo ms importante para una empresa era el equipo informtico con el que se trabaja, pero, lo ms importante es el factor humano, ya que si se cuenta con tecnologa de calidad, pero con personal no calificado, las cosas no sern iguales.
PLAN DE AUDITORIA
Antecedentes:La empresa de Servientrega S.A, se realiza peridicamente un plan de seguimiento a todos los procesos tcnicos que se desarrollan dentro de sus dependencias, esto debido a que las se requiere la acreditacin de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditoras internas permanentes y de tipo externo peridicamente para lograrlo.
Objetivos
Objetivo general: Analizar y Evaluar los controles, sistemas de los equipos de cmputo, su utilizacin, eficiencia, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico y seguridad de personal, datos, hardware, software e instalaciones, de la organizacin que participan en el procesamiento de la informacin. A fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Presentes en la empresa Servientrega S.A
Objetivos especficos: Objetivos de la auditoria de sistemas Asegurar una mayor integridad, confidencialidad de la informacin mediante la recomendacin de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informtico. Minimizar existencias de riesgos en el uso de Tecnologa de informacin. Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los sistemas de informacin Comprobar la existencia de controles internos en la empresa Servientrega S.A. Presentar a la empresa la informacin sobre los hallazgos y observaciones como resultado del plan de auditoria.
Alcance y delimitacin La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los sistemas de informacin y tecnologas de comunicacin y el talento humano, con el fin de observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y as optimizar el uso de los recursos para brindar un buen servicio a los clientes.Mediante la ejecucin de la auditoria se sistemas se pretende evaluar:Las normas de control, tcnicas y procedimientos que se tiene establecidos en la empresa para lograr confiabilidad, seguridad y confidencialidad de la informacin que se procesa a travs del sistema de aplicacin que se est utilizando. Adems esta Auditoria de sistemas mostrar las novedades analizadas en el rea informtica, en la empresa de Servientrega S.A, para que sus administradores sean quines tomen los correctivos y polticas aplicables que con lleven al logro de objetivos propuestos en caso de que as se lo requiera dicho dictamen. Dentro de la Auditoria se realizar un anlisis sobre los sistemas y redes de conexin.Es importante destacar que con la ejecucin de esta auditora, Servientrega S.A. no solo podr tener identificados los riesgos a los procesos del rea de sistemas, sino que tambin podr comprobar la calidad y capacidad de su infraestructura tecnolgica y sus sistemas de informacin.
JUSTIFICACINDesconocimiento en el nivel directivo de la situacin informtica de la empresaFalta total de seguridades lgicas y fsicas que garanticen la integridadDel personal, equipos e informacin.Descubrimiento de fraudes efectuados con el computador y Falla de una planificacin informtica.Falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano y Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.
HERRAMIENTAS PROPUESTAS PARA LA EVALUACIN
Cuestionarios Entrevistas Formularios Checklist Inventarios del rea informtica Reporte de bases de datos y archivos Software de interrogacin (Paquetes de auditoria) Fotografas Diseos de flujos y de la red de informacin Planos de distribucin e instalacin del centro de cmputo y los equipos Certificados, garantas y licencias del software Historial de cambios y mejoras de los recursos informticos
Determinacin de recursos de la Auditora Informtica Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora. Recursos humanos Recursos materiales
Recursos materialesEs muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.Los recursos materiales del auditor son de dos tipos: Recursos materiales Software:
Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos.Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habr de convenir el, tiempo de mquina, espacio de disco, impresoras ocupadas, etc.
Recursos HumanosLa cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable.
ActividadesSeptiembreOctubreNoviembre
13-1920-2627-34 - 1011-1718-2425 - 11 - 78 - 1415-2122-28
Elaboracin del plan de auditoria, concertacin de objetivos y definicin de recursos a utilizar
Elaboracin de cuestionarios e instrumentos de evaluacin
Evaluacin de situaciones deficientes y observacin de los procedimientos
Revisin de funcionalidad de sistemas de informacin, redes e infraestructura tecnolgica
Anlisis de los resultados obtenidos
Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora
Evaluacin del cumplimiento de los objetivos de la auditoria
Redaccin del informe final
Presentacin del informe de auditoria
CRONOGRAMA DE ACTIVIDADESConclusiones
Referencias BibliogrficasVulnerabilidad Y Amenazas:https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://inf-tek.blogspot.com/2011/11/82-amenazas-informaticas.html
Riesgos informticos:http://carrmen.jimdo.com/riesgo-informatico/
MODULO AUDITORIA DE SISTEMAS 90168 http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_GGGG.pdf
http://yennypatriciaperdomo.blogspot.com/2015/05/servientrega.html
Alcance y delimitacin http://www.uba.ar/download/institucional/auditoria/Informe420.pdf
HERRAMIENTAS PROPUESTAS PARA LA EVALUACIN http://www.eumed.net/cursecon/ecolat/cu/2009/cppp.htmDeterminacin de recursos de la Auditora Informtica http://www.gratistodo.8m.com/capiaudi6.htm
IMPORTANCIA DE LA AUDITORIA INFORMATICA http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htmhttp://icci-auditoria-informatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.htmlhttp://carchililia.blogspot.com.co/2013/05/importancia-de-la-auditoria-informatica.html