90168_tc1_27.word

26
AUDITORIA DE SISTEMAS 90168A_224 ESTUDIANTES: LUKDARY ABRIL RUEDA Código. 1091653.080 ZULLY KATERIN MALAGON Código. 1069748343 GUSTAVO ALEXANDER DUARTE Código: 1069740689 BRAYAN MAURICIO GONZALEZ Código: SONIA LUZ GOMEZ Código: ING-CARMEN EMILIA RUBIO-TUTOR UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA Colombia

Upload: abril-luk-dary

Post on 10-Dec-2015

215 views

Category:

Documents


0 download

DESCRIPTION

ttt

TRANSCRIPT

Page 1: 90168_TC1_27.word

AUDITORIA DE SISTEMAS 90168A_224

ESTUDIANTES:

LUKDARY ABRIL RUEDA Código. 1091653.080

ZULLY KATERIN MALAGON Código. 1069748343

GUSTAVO ALEXANDER DUARTE Código: 1069740689

BRAYAN MAURICIO GONZALEZ Código:

SONIA LUZ GOMEZ Código:

ING-CARMEN EMILIA RUBIO-TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

Colombia

Septiembre DE 2015

Page 2: 90168_TC1_27.word

INTRODUCCION

Con el presente trabajo identificaremos los elementos más relevantes de la auditoria de sistemas y analizaremos el plan de auditoria de una de las empresas más importantes a nivel nacional como lo es Servientrega que de aquí se desglosan diferentes interrogantes para analizar un buen plan de auditoria.

Page 3: 90168_TC1_27.word

OBJETIVOS

Page 4: 90168_TC1_27.word

Desarrollo del trabajo

CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS

AC

TIV

O

DE

VULNERABILIDAD AMENAZAS RIESGOS

HA

RD

WA

RE

-Falta de configuración de respaldos o equipos de contingencia.

-Sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.

Los componentes de hardware del sistema no son apropiados y no cumplen los requerimientos necesarios.

- Existen componentes de hardware que necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo contrario se acortara su vida útil.

-Descuido y mal uso de los componentes.

 Daño de hardware o interrupción de los sistemas informáticos.

- Retraso en los procesos debido a la lentitud de los equipos.

Page 5: 90168_TC1_27.word

SO

FT

WA

RE

 Configuración e instalación indebida de los programas.

-ausencia de actualización.

Sistemas operativos mal configurados y mal organizados

Ejecución de macro virus

 Software malicioso, también conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spyware, usan con fines fraudulentos.

Código malicioso, esto incluye virus, gusanos informáticos, bombas lógicas y otras amenazas programadas.

- El Software no cumple con los estándares de seguridad requeridos pues nunca fue diseñado para dar soporte a una organización.

Salida de información por accesos no autorizados.

Manejo indebido de los datos por accesos no autorizados

Interrupción de procesos por caídas en el sistema

Daños al software y sistema operativo de los equipos de la empresa

RE

DE

S

Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas.

Fallas en la inscripción de la información.

Infraestructuras obsoletas

Puertos abiertos sin uso

Contraseñas poco seguras, propenso a robo de información.

la red de comunicación no está disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso.

Incumplimiento de las normas de instalación de la red.

Intercepción y extracción de datos o señales

Ataques de Contraseña

-Fuga de información por posible implantación de Malware

-Caída de servicios por obsolescencia de los equipos

 -Pérdida de Integridad de la información por acceso no autorizado

Page 6: 90168_TC1_27.word

CO

MU

NIC

AC

ION

ES

 Exceso de líneas telefónicas y de datos que no están en uso.

Información no disponible para los usuarios.

-Datos personales de los empleados expuestos al público

 Pocas restricciones en el contenido del servicio de internet

Intercepción de señales

- Ataques de interrupción (corte de líneas telefónicas y de datos)

Fallas en el fluido eléctrico.

Incomunicación total

- Retraso en los procesos debido a la lentitud de los equipos

Page 7: 90168_TC1_27.word

SE

GU

RID

AD

FÍS

ICA

 instalaciones inadecuadas del espacio de trabajo

ausencia de recursos para el combate a incendios

disposición desorganizada de cables de energía y de red

malas prácticas de las políticas de acceso de personal a los sistemas.

uso de medios físicos de almacenamiento de información que permitan extraer datos del sistema de manera no autorizada

 ausencia de identificación de personas y de locales

 Ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones

 Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracane.

 Robos

Sabotajes y destrucción de sistemas

Perdida de objetos hardware y de información debido al fácil acceso a los mismos.

 Daño de elementos físicos (PC’s, cámaras, etc.)

- Lesiones a las personas y a las instalaciones.

- Perdida de dinero

Page 8: 90168_TC1_27.word

SE

GU

RID

AD

GIC

AErrores de diseño y programación de redes y sistemas de información

 Configuraciones por defecto en los S.O

 Fallo en actualizaciones del S.O

 Falla en las restricciones del servicio de internet

 No tiene software antispyware

Contraseñas y usuarios poco seguros en dispositivos de comunicación

 Malware (virus, troyanos, gusanos informáticos, bombas lógicas, etc.)

 Escaneo de puertos, protocolos y serviciosSpamSpywareSoftware incorrectoCanales cubiertos

Fuga de información

Modificación de datos

 Perdida de información

 Manipulación no autorizada de datos

- Imagen negativa de la organización

Page 9: 90168_TC1_27.word

PE

RS

ON

AL

DE

L Á

RE

A

 falta de capacitación y concienciación.

negligencia en el seguimiento de las políticas de seguridad.

mal uso del equipo de cómputo.

- Desconocimiento de medidas básicas de seguridad del área de T.I

Fallas de seguimiento en el monitoreo

Ataques de suplantación (Spoofing)

Robo

 Perdida de información confidencial por acceso no autorizado

 Retraso en la prestación de servicios de T.I

Page 10: 90168_TC1_27.word

IMPORTANCIA DE LA AUDITORIA INFORMATICA

La auditoría de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias para determinar si un sistema de información protegiendo el activo Servientrega S.A, manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones establecidas.

La Auditoria informática nos Permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de la empresa, determinando qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan los flujos de información eficientes.

La auditoría de sistemas tiene 2 son:

Auditoria Interna: es la que está dentro de la empresa; sin contratar a personas de afuera. Puede ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestión.

Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de afuera para que haga la auditoria en su empresa.

Auditar consiste especialmente en estudiar los componentes de control que están implantados en una empresa, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los componentes de control pueden ser directivos, preventivos, de detección.

Entre sus beneficios también se encuentra: Mejorar la credibilidad de la empresa, generar confianza a los clientes sobre la seguridad y control de las operaciones, disminución de costos al prevenir pérdidas y realizar un control sobre las inversiones que se realizan en el área informática.

Siendo así, se puede afirmar que el buen funcionamiento de una empresa depende del control que se tiene sobre la evaluación de sus sistemas e infraestructura tecnológica, puesto que en la actualidad las organizaciones estructuran su información en sistemas de tecnología informática y debido a esto es fundamental que funciones de manera óptima y sin interrupciones para una mejor productividad en la empresa.

Page 11: 90168_TC1_27.word

Conclusiones

La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

Analizando acerca de todos los elementos que componen “La empresa servientrega S.A”, tanto materiales como humanos, me doy cuenta que auditar una Empresa u organización, no es nada fácil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los demás elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso en la empresa.

Pensaba que lo más importante para una empresa era el equipo informático con el que se trabaja, pero, lo más importante es el factor humano, ya que si se cuenta con tecnología de calidad, pero con personal no calificado, las cosas no serán iguales.

Page 13: 90168_TC1_27.word

Antecedentes: 

La empresa de Servientrega S.A, se realiza periódicamente un plan de seguimiento a todos los procesos técnicos que se desarrollan dentro de sus dependencias, esto debido a que las se requiere la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.

Objetivos

Objetivo general:

Analizar y Evaluar los controles, sistemas de los equipos de cómputo, su utilización, eficiencia, utilidad, confianza, privacidad y disponibilidad en el ambiente informático y seguridad de personal, datos, hardware, software e instalaciones, de la organización que participan en el procesamiento de la información. A fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Presentes en la empresa Servientrega S.A 

Objetivos específicos: Objetivos de la auditoria de sistemas Asegurar una mayor integridad, confidencialidad de la información mediante la

recomendación de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de función informática a las metas y objetivos de la organización. Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente

informático. Minimizar existencias de riesgos en el uso de Tecnología de información. Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los sistemas de información

Comprobar la existencia de controles internos en la empresa Servientrega S.A. Presentar a la empresa la información sobre los hallazgos y observaciones como

resultado del plan de auditoria.

Page 14: 90168_TC1_27.word

Alcance y delimitación

La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los sistemas de información y tecnologías de comunicación y el talento humano, con el fin de observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y así optimizar el uso de los recursos para brindar un buen servicio a los clientes.

Mediante la ejecución de la auditoria se sistemas se pretende evaluar:

Las normas de control, técnicas y procedimientos que se tiene establecidos en la empresa para lograr confiabilidad, seguridad y confidencialidad de la información que se procesa a través del sistema de aplicación que se esté utilizando.

Además esta Auditoria de sistemas mostrará las novedades analizadas en el área informática, en la empresa de Servientrega S.A, para que sus administradores sean quiénes tomen los correctivos y políticas aplicables que con lleven al logro de objetivos propuestos en caso de que así se lo requiera dicho dictamen. Dentro de la Auditoria se realizará un análisis sobre los sistemas y redes de conexión.

Es importante destacar que con la ejecución de esta auditoría, Servientrega S.A. no solo podrá tener identificados los riesgos a los procesos del área de sistemas, sino que también podrá comprobar la calidad y capacidad de su infraestructura tecnológica y sus sistemas de información.

Page 15: 90168_TC1_27.word

JUSTIFICACIÓN

Desconocimiento en el nivel directivo de la situación informática de la empresaFalta total de seguridades lógicas y físicas que garanticen la integridadDel personal, equipos e información.Descubrimiento de fraudes efectuados con el computador y Falla de una planificación informática.Falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano y Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.

HERRAMIENTAS PROPUESTAS PARA LA EVALUACIÓN

Cuestionarios Entrevistas Formularios Checklist Inventarios del área informática Reporte de bases de datos y archivos Software de interrogación (“Paquetes de auditoria”) Fotografías Diseños de flujos y de la red de información Planos de distribución e instalación del centro de cómputo y los equipos Certificados, garantías y licencias del software Historial de cambios y mejoras de los recursos informáticos

Page 16: 90168_TC1_27.word

Determinación de recursos de la Auditoría Informática

Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Recursos humanos Recursos materiales

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software:

Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.

Recursos HumanosLa cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.

Page 17: 90168_TC1_27.word
Page 18: 90168_TC1_27.word
Page 19: 90168_TC1_27.word

Actividades Septiembre Octubre Noviembre13-19 20-26 27-3 4 - 10 11-17 18-24 25 - 1 1 - 7 8 - 14 15-21 22-28

Elaboración del plan de auditoria, concertación de objetivos y definición de recursos a utilizarElaboración de cuestionarios e instrumentos de evaluaciónEvaluación de situaciones deficientes y observación de los procedimientosRevisión de funcionalidad de sistemas de información, redes e infraestructura tecnológicaAnálisis de los resultados obtenidosDefinición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejoraEvaluación del cumplimiento de los objetivos de la auditoriaRedacción del informe finalPresentación del informe de auditoria

CRONOGRAMA DE ACTIVIDADES

Page 20: 90168_TC1_27.word

Conclusiones

Page 21: 90168_TC1_27.word

Referencias Bibliográficas

Adolfo J. Araujo J. (2011). Vulnerabilidad y amenazas. 2015, de blogspot Sitio web: http://inf-tek.blogspot.com/2011/11/82-amenazas-informaticas.html

Muñoz, Razo Carlo. (2002). Aspectos generales de auditoria. 2009, de Pearson educación Sitio web: http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_GGGG.pdf

Nubia Fernández Grajales. (2005). Importancia de la auditoría informática en las organizaciones. Cómputo Académico UNAM, 43, 2. 2008, De Entérate Base de datos.

Cristian Avilés. (2013). Auditoria informática. 2014, de blogspot Sitio web: http://icci-auditoria-informatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.html

Falconí, O. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas. (Spanish). Contabilidad Y Negocios, 1(2), 16-20 Sitio web: http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf