90168_tc1_27.word
DESCRIPTION
tttTRANSCRIPT
AUDITORIA DE SISTEMAS 90168A_224
ESTUDIANTES:
LUKDARY ABRIL RUEDA Código. 1091653.080
ZULLY KATERIN MALAGON Código. 1069748343
GUSTAVO ALEXANDER DUARTE Código: 1069740689
BRAYAN MAURICIO GONZALEZ Código:
SONIA LUZ GOMEZ Código:
ING-CARMEN EMILIA RUBIO-TUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA-UNAD
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
Colombia
Septiembre DE 2015
INTRODUCCION
Con el presente trabajo identificaremos los elementos más relevantes de la auditoria de sistemas y analizaremos el plan de auditoria de una de las empresas más importantes a nivel nacional como lo es Servientrega que de aquí se desglosan diferentes interrogantes para analizar un buen plan de auditoria.
OBJETIVOS
Desarrollo del trabajo
CUADRO DE VULNERABILIDAD, AMENAZA, RIESGOS
AC
TIV
O
DE
VULNERABILIDAD AMENAZAS RIESGOS
HA
RD
WA
RE
-Falta de configuración de respaldos o equipos de contingencia.
-Sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.
Los componentes de hardware del sistema no son apropiados y no cumplen los requerimientos necesarios.
- Existen componentes de hardware que necesitan ser energizados a ciertos niveles de voltaje especificados por los fabricantes, de lo contrario se acortara su vida útil.
-Descuido y mal uso de los componentes.
Daño de hardware o interrupción de los sistemas informáticos.
- Retraso en los procesos debido a la lentitud de los equipos.
SO
FT
WA
RE
Configuración e instalación indebida de los programas.
-ausencia de actualización.
Sistemas operativos mal configurados y mal organizados
Ejecución de macro virus
Software malicioso, también conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spyware, usan con fines fraudulentos.
Código malicioso, esto incluye virus, gusanos informáticos, bombas lógicas y otras amenazas programadas.
- El Software no cumple con los estándares de seguridad requeridos pues nunca fue diseñado para dar soporte a una organización.
Salida de información por accesos no autorizados.
Manejo indebido de los datos por accesos no autorizados
Interrupción de procesos por caídas en el sistema
Daños al software y sistema operativo de los equipos de la empresa
RE
DE
S
Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas.
Fallas en la inscripción de la información.
Infraestructuras obsoletas
Puertos abiertos sin uso
Contraseñas poco seguras, propenso a robo de información.
la red de comunicación no está disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso.
Incumplimiento de las normas de instalación de la red.
Intercepción y extracción de datos o señales
Ataques de Contraseña
-Fuga de información por posible implantación de Malware
-Caída de servicios por obsolescencia de los equipos
-Pérdida de Integridad de la información por acceso no autorizado
CO
MU
NIC
AC
ION
ES
Exceso de líneas telefónicas y de datos que no están en uso.
Información no disponible para los usuarios.
-Datos personales de los empleados expuestos al público
Pocas restricciones en el contenido del servicio de internet
Intercepción de señales
- Ataques de interrupción (corte de líneas telefónicas y de datos)
Fallas en el fluido eléctrico.
Incomunicación total
- Retraso en los procesos debido a la lentitud de los equipos
SE
GU
RID
AD
FÍS
ICA
instalaciones inadecuadas del espacio de trabajo
ausencia de recursos para el combate a incendios
disposición desorganizada de cables de energía y de red
malas prácticas de las políticas de acceso de personal a los sistemas.
uso de medios físicos de almacenamiento de información que permitan extraer datos del sistema de manera no autorizada
ausencia de identificación de personas y de locales
Ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones
Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracane.
Robos
Sabotajes y destrucción de sistemas
Perdida de objetos hardware y de información debido al fácil acceso a los mismos.
Daño de elementos físicos (PC’s, cámaras, etc.)
- Lesiones a las personas y a las instalaciones.
- Perdida de dinero
SE
GU
RID
AD
LÓ
GIC
AErrores de diseño y programación de redes y sistemas de información
Configuraciones por defecto en los S.O
Fallo en actualizaciones del S.O
Falla en las restricciones del servicio de internet
No tiene software antispyware
Contraseñas y usuarios poco seguros en dispositivos de comunicación
Malware (virus, troyanos, gusanos informáticos, bombas lógicas, etc.)
Escaneo de puertos, protocolos y serviciosSpamSpywareSoftware incorrectoCanales cubiertos
Fuga de información
Modificación de datos
Perdida de información
Manipulación no autorizada de datos
- Imagen negativa de la organización
PE
RS
ON
AL
DE
L Á
RE
A
falta de capacitación y concienciación.
negligencia en el seguimiento de las políticas de seguridad.
mal uso del equipo de cómputo.
- Desconocimiento de medidas básicas de seguridad del área de T.I
Fallas de seguimiento en el monitoreo
Ataques de suplantación (Spoofing)
Robo
Perdida de información confidencial por acceso no autorizado
Retraso en la prestación de servicios de T.I
IMPORTANCIA DE LA AUDITORIA INFORMATICA
La auditoría de sistemas es importante porque ayuda a recoger, agrupar y evaluar evidencias para determinar si un sistema de información protegiendo el activo Servientrega S.A, manteniendo la integridad de los datos, llevando a cabo eficazmente hacia los fines de la empresa utilizando eficientemente los recursos, y cumpliendo con las leyes y regulaciones establecidas.
La Auditoria informática nos Permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de la empresa, determinando qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan los flujos de información eficientes.
La auditoría de sistemas tiene 2 son:
Auditoria Interna: es la que está dentro de la empresa; sin contratar a personas de afuera. Puede ayudar a los gerentes a establecer medidas para lograr un buen control financiero y de gestión.
Auditoria Externa: en este tipo de auditoria la empresa se encarga de contratar a personas de afuera para que haga la auditoria en su empresa.
Auditar consiste especialmente en estudiar los componentes de control que están implantados en una empresa, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los componentes de control pueden ser directivos, preventivos, de detección.
Entre sus beneficios también se encuentra: Mejorar la credibilidad de la empresa, generar confianza a los clientes sobre la seguridad y control de las operaciones, disminución de costos al prevenir pérdidas y realizar un control sobre las inversiones que se realizan en el área informática.
Siendo así, se puede afirmar que el buen funcionamiento de una empresa depende del control que se tiene sobre la evaluación de sus sistemas e infraestructura tecnológica, puesto que en la actualidad las organizaciones estructuran su información en sistemas de tecnología informática y debido a esto es fundamental que funciones de manera óptima y sin interrupciones para una mejor productividad en la empresa.
Conclusiones
La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Analizando acerca de todos los elementos que componen “La empresa servientrega S.A”, tanto materiales como humanos, me doy cuenta que auditar una Empresa u organización, no es nada fácil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los demás elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso en la empresa.
Pensaba que lo más importante para una empresa era el equipo informático con el que se trabaja, pero, lo más importante es el factor humano, ya que si se cuenta con tecnología de calidad, pero con personal no calificado, las cosas no serán iguales.
PLAN DE AUDITORIA
Antecedentes:
La empresa de Servientrega S.A, se realiza periódicamente un plan de seguimiento a todos los procesos técnicos que se desarrollan dentro de sus dependencias, esto debido a que las se requiere la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.
Objetivos
Objetivo general:
Analizar y Evaluar los controles, sistemas de los equipos de cómputo, su utilización, eficiencia, utilidad, confianza, privacidad y disponibilidad en el ambiente informático y seguridad de personal, datos, hardware, software e instalaciones, de la organización que participan en el procesamiento de la información. A fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Presentes en la empresa Servientrega S.A
Objetivos específicos: Objetivos de la auditoria de sistemas Asegurar una mayor integridad, confidencialidad de la información mediante la
recomendación de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de función informática a las metas y objetivos de la organización. Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente
informático. Minimizar existencias de riesgos en el uso de Tecnología de información. Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los sistemas de información
Comprobar la existencia de controles internos en la empresa Servientrega S.A. Presentar a la empresa la información sobre los hallazgos y observaciones como
resultado del plan de auditoria.
Alcance y delimitación
La presente auditoria pretende identificar las condiciones actuales de los sistemas a la, los sistemas de información y tecnologías de comunicación y el talento humano, con el fin de observar las fallas posibles en su conjunto, verificar el cumplimiento de normas y así optimizar el uso de los recursos para brindar un buen servicio a los clientes.
Mediante la ejecución de la auditoria se sistemas se pretende evaluar:
Las normas de control, técnicas y procedimientos que se tiene establecidos en la empresa para lograr confiabilidad, seguridad y confidencialidad de la información que se procesa a través del sistema de aplicación que se esté utilizando.
Además esta Auditoria de sistemas mostrará las novedades analizadas en el área informática, en la empresa de Servientrega S.A, para que sus administradores sean quiénes tomen los correctivos y políticas aplicables que con lleven al logro de objetivos propuestos en caso de que así se lo requiera dicho dictamen. Dentro de la Auditoria se realizará un análisis sobre los sistemas y redes de conexión.
Es importante destacar que con la ejecución de esta auditoría, Servientrega S.A. no solo podrá tener identificados los riesgos a los procesos del área de sistemas, sino que también podrá comprobar la calidad y capacidad de su infraestructura tecnológica y sus sistemas de información.
JUSTIFICACIÓN
Desconocimiento en el nivel directivo de la situación informática de la empresaFalta total de seguridades lógicas y físicas que garanticen la integridadDel personal, equipos e información.Descubrimiento de fraudes efectuados con el computador y Falla de una planificación informática.Falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano y Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
HERRAMIENTAS PROPUESTAS PARA LA EVALUACIÓN
Cuestionarios Entrevistas Formularios Checklist Inventarios del área informática Reporte de bases de datos y archivos Software de interrogación (“Paquetes de auditoria”) Fotografías Diseños de flujos y de la red de información Planos de distribución e instalación del centro de cómputo y los equipos Certificados, garantías y licencias del software Historial de cambios y mejoras de los recursos informáticos
Determinación de recursos de la Auditoría Informática
Por medio de los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.
Recursos humanos Recursos materiales
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software:
Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir el, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.
Recursos HumanosLa cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.
Actividades Septiembre Octubre Noviembre13-19 20-26 27-3 4 - 10 11-17 18-24 25 - 1 1 - 7 8 - 14 15-21 22-28
Elaboración del plan de auditoria, concertación de objetivos y definición de recursos a utilizarElaboración de cuestionarios e instrumentos de evaluaciónEvaluación de situaciones deficientes y observación de los procedimientosRevisión de funcionalidad de sistemas de información, redes e infraestructura tecnológicaAnálisis de los resultados obtenidosDefinición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejoraEvaluación del cumplimiento de los objetivos de la auditoriaRedacción del informe finalPresentación del informe de auditoria
CRONOGRAMA DE ACTIVIDADES
Conclusiones
Referencias Bibliográficas
Adolfo J. Araujo J. (2011). Vulnerabilidad y amenazas. 2015, de blogspot Sitio web: http://inf-tek.blogspot.com/2011/11/82-amenazas-informaticas.html
Muñoz, Razo Carlo. (2002). Aspectos generales de auditoria. 2009, de Pearson educación Sitio web: http://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_GGGG.pdf
Nubia Fernández Grajales. (2005). Importancia de la auditoría informática en las organizaciones. Cómputo Académico UNAM, 43, 2. 2008, De Entérate Base de datos.
Cristian Avilés. (2013). Auditoria informática. 2014, de blogspot Sitio web: http://icci-auditoria-informatica.blogspot.com.co/p/por-que-es-importante-la-auditoria.html
Falconí, O. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas. (Spanish). Contabilidad Y Negocios, 1(2), 16-20 Sitio web: http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf