diseÑo de un plan de auditoria para el sistema de informaciÓn vasp de … · 2019-07-12 ·...
TRANSCRIPT
DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN
VASP DE LA EMPRESA SMSAMERICAS LTDA
LADY JOHANA TORO
FREDY ALEXANDER DÍAZ
CAMILO ANDRÉS GÓMEZ
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACION
BOGOTÁ D.C – 2016
DISEÑO DE UN PLAN DE AUDITORIA PARA EL SISTEMA DE INFORMACIÓN
VASP DE LA EMPRESA SMSAMERICAS LTDA
LADY JOHANA TORO
FREDY ALEXANDER DÍAZ
CAMILO ANDRÉS GÓMEZ
Trabajo de grado para obtener el título de especialista en Auditoria de Sistemas de
Información.
ASESOR: OSCAR GORDILLO
INGENIERO DE SISTEMAS, MSC.
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACION
BOGOTÁ D.C – 2016
Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Bogotá D.C., noviembre de 2016.
DEDICATORIA
Quiero dedicar este proyecto a Dios quien me ha dado salud y vida para realizar este
proyecto educativo y permitirme culminarlo satisfactoriamente. Dedicárselo a mi esposa que es un
pilar de fortaleza, consejo y acompañamiento constante. A mi familia que han sido un apoyo muy
grande durante todo el proceso y una dedicación muy especial a la familia Rodríguez Rodríguez,
familia que han sido los artífices principales de mi ingreso y culminación de esta Especialización,
el apoyo y continua preocupación por mi proceso me permitió sentirme acompañado en todo
momento.
Camilo Andrés Gómez Téllez
Agradezco primeramente a Dios quien abrió las puertas para iniciar y ahora culminar un
reto más en mi vida, por permitirme conocer nuevas personas, superar cada paso de esta etapa y
ahora cerrar un ciclo lleno de éxitos profesional y personalmente. A mi esposo por apoyar mis
decisiones y acompañarme en este camino. A los directivos de la empresa SMSAmericas Ltda.,
quienes depositaron su confianza en nosotros y nos apoyaron para trabajar en el desarrollo de este
proyecto y a mis compañeros de grupo quienes fueron un soporte durante la realización de la
especialización.
Lady Johana Toro
Este proyecto se lo dedico a mi familia que gracias a ellos soy lo que soy. A mis padres por
su apoyo, consejos, comprensión, amor, ayuda en los momentos difíciles, quienes forjaron mis
valores, mis principios, mi empeño, mi perseverancia para conseguir mis objetivos. A mis
hermanos por estar siempre presentes, acompañándome para poderme realizar como profesional.
A mi hija Gabriela quien ha sido y es una motivación, inspiración y felicidad.
Así mismo le agradezco a Dios por concederme grandes logros personales y profesionales
en mi vida, por guiarme por el buen camino y darme la oportunidad de poder culminar
satisfactoriamente un logra más en mi vida.
“La dicha de la vida consiste en tener siempre algo que hacer, alguien a quien amar y alguna cosa que esperar”. Thomas
Chalmers
Fredy Alexander Díaz Rubio
AGRADECIMIENTOS
Los autores de este proyecto agradecen primero que todo a Dios por la vida y la salud para
estar siempre presentes en el desarrollo de este trabajo. A sus padres y familiares que siempre han
sido un pilar importante en sus vidas, siempre han estado dispuestos a apoyarlos
incondicionalmente.
Agradecen de manera especial a los tutores que tuvieron mientras se desarrollaba esta
actividad y a los profesores que dieron todo para transmitir los conocimientos que ahora plasman
en este trabajo.
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................................ 16
1 GENERALIDADES DEL TRABAJO DE GRADO ................................................................... 18
1.1 LÍNEA DE INVESTIGACIÓN .......................................................................................................... 18
1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................................................... 18
1.2.1 Antecedentes del problema ............................................................................................... 18
1.2.2 Pregunta de investigación ................................................................................................ 19
1.3 JUSTIFICACIÓN .......................................................................................................................... 21
1.4 OBJETIVOS ................................................................................................................................ 21
1.4.1 Objetivo general .............................................................................................................. 21
1.4.2 Objetivos específicos ........................................................................................................ 21
2 MARCOS DE REFERENCIA..................................................................................................... 23
2.1 MARCO CONCEPTUAL ................................................................................................................ 23
2.1.1 Wiki. ................................................................................................................................ 23
2.1.2 Google Sites. .................................................................................................................... 23
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas) ................. 24
2.1.4 ISACA (isaca.org) ............................................................................................................ 24
2.1.5 Circular Externa 038 de 2009 - Superfinanciera ............................................................... 25
2.1.6 Riesgo .............................................................................................................................. 25
2.1.7 Amenaza .......................................................................................................................... 25
2.1.8 Vulnerabilidad ................................................................................................................. 26
2.1.9 Probabilidad .................................................................................................................... 26
2.1.10 Impacto ........................................................................................................................... 27
2.2 MARCO TEÓRICO ....................................................................................................................... 27
3 METODOLOGÍA ........................................................................................................................ 29
3.1 AUDITORIA BASADA EN RIESGOS ............................................................................................... 29
4 DESARROLLO ........................................................................................................................... 30
4.1 FAMILIARIZACION ............................................................................................................... 30
4.1.1 Cuestionario de Control de Auditorias de Sistemas. .......................................................... 32
4.1.2 Familiarización por Entornos .......................................................................................... 33
4.1.2.1 Bases de Datos ...........................................................................................................................33
4.1.2.2 Redes y Comunicaciones ............................................................................................................35
4.1.2.3 Control de Seguridad Lógica e Informática .................................................................................36
4.1.2.4 Control de Compra y Garantía de Hardware ................................................................................37
4.1.2.5 Control y Seguridad de Instalaciones ..........................................................................................38
4.1.2.6 Control de Impacto Ambiental ....................................................................................................38
4.1.2.7 Control Seguridad Física ............................................................................................................39
4.1.2.8 Control Riesgos .........................................................................................................................39
4.1.2.9 Control de Entrenamiento ...........................................................................................................39
4.1.2.10 Control de Mesa de Ayuda .......................................................................................................40
4.2 ANALISIS DE INFORMACION OBTENIDA .......................................................................... 40
4.2.1 Definición y Calificación de Riesgos ................................................................................ 40
4.2.2 Análisis de riesgos en los diferentes entornos ................................................................... 43
4.2.2.1 Entorno de Base de Datos ...........................................................................................................44
4.2.2.2 Redes y Comunicaciones ............................................................................................................45
4.2.2.3 Control de Seguridad Lógica ......................................................................................................45
4.2.2.4 Compras y Garantía de HW ........................................................................................................46
4.2.2.5 Seguridad de Instalaciones..........................................................................................................47
4.2.2.6 Continuidad del negocio .............................................................................................................47
4.2.2.7 Entrenamiento del Personal ........................................................................................................48
4.2.3 Mapa De Riesgos ............................................................................................................. 49
4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y Cobit 5 .... 49
4.3 DISEÑO Y EVALUACION .............................................................................................................. 52
4.3.1 Programación de Prueba de Auditoria ............................................................................. 52
4.3.2 Diseño Pruebas de Auditoria ............................................................................................ 56
4.3.3 EJECUCION DE PRUEBAS ............................................................................................ 98
4.3.3.1 BASE DE DATOS: P001 ...........................................................................................................98
4.3.3.2 BASE DE DATOS: P002 ......................................................................................................... 100
4.3.3.3 BASE DE DATOS: P003 ......................................................................................................... 102
4.3.3.4 BASE DE DATOS: P004 ......................................................................................................... 103
4.3.3.5 BASE DE DATOS: P005 ......................................................................................................... 105
4.3.3.6 BASE DE DATOS: P006 ......................................................................................................... 105
4.3.3.7 BASE DE DATOS: P007 ......................................................................................................... 107
4.3.3.8 BASE DE DATOS: P008 ......................................................................................................... 108
4.3.4 INFORME ..................................................................................................................... 108
5 CONCLUSIONES Y RECOMENDACIONES ......................................................................... 111
BIBLIOGRAFÍA ................................................................................................................................ 113
ANEXOS ............................................................................................................................................. 115
LISTA DE ILUSTRACIONES
ILUSTRACIÓN 1 INGRESO DE USUARIO Y CONTRASEÑA ........................................................................................... 98
ILUSTRACIÓN 2 PROGRAMA ASTERISK KEY............................................................................................................ 99
ILUSTRACIÓN 3 ERROR DE AUTENTICACIÓN ........................................................................................................... 99
ILUSTRACIÓN 4 LISTADO DE USUARIOS REGISTRADOS .......................................................................................... 100
ILUSTRACIÓN 5 INGRESO DE USUARIO Y CONTRASEÑA ......................................................................................... 100
ILUSTRACIÓN 6 VALIDACION DE RESTRICCIONES DE USUARIO .............................................................................. 101
ILUSTRACIÓN 7 COMPARACIÓN PROCESO DE CONTRATACIÓN ............................................................................... 102
ILUSTRACIÓN 8 DOCUMENTACIÓN EN LINEA ........................................................................................................ 103
ILUSTRACIÓN 9 DOCUMENTACIÓN EN LINEA 2 ..................................................................................................... 104
ILUSTRACIÓN 10 DOCUMENTACIÓN EN LINEA 3 ................................................................................................... 104
ILUSTRACIÓN 11 PANTALLA DE COMANDO BACKUP ............................................................................................. 106
ILUSTRACIÓN 12 PANTALLA RESTAURACIÓN DE BACKUP ..................................................................................... 106
ILUSTRACIÓN 13 VALIDACIÓN DE LA INFORMACIÖN RESTAURADA ....................................................................... 107
ILUSTRACIÓN 14 MODIFICACIÓN PROCESO ENVÍOS .............................................................................................. 107
ILUSTRACIÓN 15 MODIFICACIÓN DE PARAMETROS ............................................................................................... 107
LISTA DE TABLAS
TABLA 1 AUDITORIA BASADA EN RIESGOS............................................................................................................. 29
TABLA 2 FICHA TÉCNICA ...................................................................................................................................... 30
TABLA 3 CUESTIONARIO DE CONTROL DE AUDITORIA DE SISTEMAS ....................................................................... 32
TABLA 4 CLASIFICACIÓN, CALIFICACIONES Y CRITERIOS USADOS .......................................................................... 41
TABLA 5 DEFINICIÓN DEL RIESGO.......................................................................................................................... 41
TABLA 6 IDENTIFICACIÓN DE RIESGOS ................................................................................................................... 42
TABLA 7 MATRIZ DE RIESGOS DE BASE DE DATOS ................................................................................................. 44
TABLA 8 MATRIZ DE RIESGOS DE REDES Y COMUNICACIONES ................................................................................ 45
TABLA 9 MATRIZ DE RIESGOS DE CONTROL DE SEGURIDAD LÓGICA ....................................................................... 46
TABLA 10 MATRIZ DE RIESGOS DE COMPRAS Y GARANTÍA DE HW ......................................................................... 46
TABLA 11 MATRIZ DE RIESGOS DE SEGURIDAD DE INSTALACIONES ........................................................................ 47
TABLA 12 MATRIZ DE RIESGOS DE CONTINUIDAD DEL NEGOCIO ............................................................................. 48
TABLA 13 MATRIZ DE RIESGOS DE ENTRENAMIENTO DEL PERSONAL ...................................................................... 48
TABLA 14 MAPA DE RIESGOS ................................................................................................................................ 49
TABLA 15 NORMATIVIDAD: CIRCULAR 038 DE SPTIEMBRE DE 2009 - COBIT 5 ......................................................... 50
TABLA 16 PROGRAMACIÓN DE PRUEBA DE AUDITORÍA........................................................................................... 52
TABLA 17 PRUEBA P001 POLÍTICAS DE CONTROL DE ACCESO A BASE DE DATOS ..................................................... 56
TABLA 18 PRUEBA P002 POLÍTICAS DE CREACIÓN DE USUARIOS Y CONTRASEÑAS. ................................................. 57
TABLA 19 PRUEBA P003 POLÍTICAS DE SELECCIÓN DE PERSONAL. .......................................................................... 58
TABLA 20 PRUEBA P004 DOCUMENTACIÓN ENTREGADA AL PERSONAL. ................................................................. 59
TABLA 21 PRUEBA P005 CONTRATO CON PROVEEDOR DE ALOJAMIENTO DE SERVIDORES ....................................... 60
TABLA 22 PRUEBA P006 RECUPERACIÓN DE INFORMACIÓN. ................................................................................... 61
TABLA 23 PRUEBA P007 CONTROL DE CAMBIOS. ................................................................................................... 62
TABLA 24 PRUEBA P008 DOCUMENTACIÓN SOBRE LA BASE DE DATOS DEL VASP. ................................................. 63
TABLA 25 PRUEBA P009 GARANTIZAR QUE CADA USUARIO SE AUTENTIQUE AL INGRESAR A KA RED EMPRESARIAL 64
TABLA 26 PRUEBA P010 COMPROBAR LA SEGURIDAD CONFIGURADA DE SEGURIDAD DEL SOFTWARE UTILIZADO
PARA LA CONEXIÓN REMOTA. ...................................................................................................................... 65
TABLA 27 PRUEBA P011 VALIDAR EL ACCESO A LAS PERSONAS QUE INGRESAN A LAS INSTALACIONES Y QUE
TRABAJOS SE DISPONEN A REALIZAR. ........................................................................................................... 66
TABLA 28 PRUEBA P012 COMPROBAR LA INTEGRIDAD DEL CABLEADO ESTRUCTURADO. ........................................ 67
TABLA 29 PRUEBA P013 VERIFICAR LAS POLÍTICAS DE ACCESO A INTERNET CONFIGURADAS EN EL FIREWALL........ 68
TABLA 30 PRUEBA P014 VERIFICAR LA CONEXIÓN DE RED A INSTALADA EN LAS OFICINAS Y LA PRESTACIÓN DEL
SERVICIO POR PARTE DEL PROVEEDOR. ........................................................................................................ 69
TABLA 31 PRUEBA P015 COMPROBAR LAS CONFIGURACIONES DEL FIREWALL POR PARTE DEL PROVEEDOR. ........... 70
TABLA 32 PRUEBA P016 VERIFICAR LEL FUNCIONAMIENTO DE LA UPS. ................................................................. 71
TABLA 33 PRUEBA P017 VERIFICAR LOS LOGS DE LSO BACKUPS REALIZADOS. ....................................................... 72
TABLA 34 PRUEBA P018 VERIFICAR EL PROCEDIMIENTO PARA LAS PRUEBAS DE CAMBIOS EN EL CÓDIGO FUENTE. .. 73
TABLA 35 PRUEBA P019 VERIFICAR EL SOFTWRAE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ............................... 74
TABLA 36 PRUEBA P020 REVISAR LAS LICENCIAS DEL SOFTWARE INSTALADO EN LOS EQUIPOS DE CÓMPUTO. ........ 75
TABLA 37 PRUEBA P021 COMPROBAR LA ELIMINACIÓN DE ARCHIVOS TEMPORALES Y OBSOLETOS. ........................ 76
TABLA 38 PRUEBA P022 REVISIÓN DEL CUBRIMIENTO DE LA GARANTÍA DE LOS EQUIPOS DE CÓMPUTO. ................. 77
TABLA 39 PRUEBA P023 CONFIRMAR LA CAPACITACIÓN DEL PERSONAL DE SOPORTE TÉCNICO DE EQUIPOS DE
CÓMPUTO. ................................................................................................................................................... 78
TABLA 40 PRUEBA P024 REVISAR LAS ESPECIFICACIONES TÉCNICAS DE LOS EQUIPOS DE CÓMPUTO NECESARIOS PARA
LA LABOR EN LA COMPAÑIA. ........................................................................................................................ 79
TABLA 41 PRUEBA P025 SUPERVISAR LOS ELEMENTOS DE OFICINA. ....................................................................... 80
TABLA 42 PRUEBA P026 CONFIRMAR EL FUNCIONAMIENTO DE LA VENTILACIÓN DE LA OFICINA............................. 81
TABLA 43 PRUEBA P027 VERIFICACIÓN DE LA LUMINOSIDAD DE LOS DIFERENTES ESPACIOS DE LA COMPAÑIA. ...... 82
TABLA 44 PRUEBA P028 COMPROBAR LAS SEÑALIZACIONES DE EMERGENCIA INSTALADOS EN LA COMPAÑÍA. ........ 83
TABLA 45 PRUEBA P029 VALIDAR LOS CARGOS Y LOS PROCESOS ESTABLECIDOS PARA LA CONTINUIDAD DEL
NEGOCIO. .................................................................................................................................................... 84
TABLA 46 PRUEBA P030 CONTINUIDAD DEL NEGOCIO POR PARTE DE LOS PROVEEDORES Y DISTRIBUIDORES. .......... 85
TABLA 47 PRUEBA P031 VERIFICAR LAS ESTRATEGIAS PARA LA MEJORA DEL PLAN DE CONTINUIDAD DEL NEGOCIO.
................................................................................................................................................................... 86
TABLA 48 PRUEBA P032 RESPALDO DE LA INFORMACIÓN. ...................................................................................... 87
TABLA 49 PRUEBA P033 REANUDACIÓN DE LAS OPERACIONES DESPUÉS DE UNA INTERRUPCIÓN. ............................ 88
TABLA 50 PRUEBA P034 REALIZACIÓN DE LOS BACKUPS. ...................................................................................... 89
TABLA 51 PRUEBA P035 RUSTAS DE ESCALAMIENTO PARA LA CONTINUIDAD DEL NEGOCIO TRAS UNA EVENTUAL
CATÁSTROFE. .............................................................................................................................................. 90
TABLA 52 PRUEBA P036 VALIDAR LOS CONTROLES DE ACCESO. ............................................................................ 91
TABLA 53 PRUEBA P037 ACTUALIZACIONES DE LAS DESCRIPCIONES Y REQUISITOS DE LOS PUESTOS DE TRABAJO. .. 92
TABLA 54 PRUEBA P038 TIEMPO DETERMINADO PARA CUBRIR UNA VACANTE. ...................................................... 93
TABLA 55 PRUEBA P039 POLÍTICAS PAR EL RECLUTAMIENTO INTERNO Y EXTERNO. ............................................... 94
TABLA 56 PRUEBA P040 FORMULARIOS DE DESEMPEÑO DE LOS EMPLEADOS. ......................................................... 95
TABLA 57 PRUEBA P041 PLANES PARA CUBRIR LAS VACANTES EN UN FUTURO. ..................................................... 96
TABLA 58 PRUEBA P042 PROCESO DE CAPACITACIÓN. ........................................................................................... 97
15
RESUMEN
En este proyecto se observará como se desarrolla una auditoria de sistemas de información
a una aplicación de la empresa SMSAMERICA LTDA. Esto para mostrar a la alta gerencia de la
compañía las fortalezas y vulnerabilidades de las políticas y procedimientos implementadas sobre
el software con respecto al manejo de la información, la estructura de los datos, la seguridad de
esta aplicación y los tiempos de respuesta hacia los clientes internos y externos. Todo esto tomando
como base a normas y estándares internacionales como COBIT para brindar opciones de mejora y
posibilidades de crecimiento para esta empresa.
Palabras clave: Auditoria, políticas, procedimientos, estándares, bases de datos, software,
COBIT, ISO, normas
ABSTRACT
In this project, will be an audit of information systems develops an application of the
company SMSAMERICA LTDA. This to show senior management of the company's strengths
and vulnerabilities of the policies and procedures implemented on the software with respect to
information management, the structure of the data, the security of this application and response
times to customers internal and external. All this based on international norms and standards such
as COBIT to provide options for improvement and growth opportunities for the company.
Keywords: Audit, policies, procedures, standards, databases, software, COBIT, ISO
standards.
16
INTRODUCCIÓN
El mercado de mensajería móvil en Latinoamérica y especialmente en Colombia ha venido
sufriendo una caída en sus ingresos, por lo cual estas empresas han ido buscando nuevas
alternativas de captación de clientes. Debido a la necesidad de dar una respuesta rápida a los
requerimientos de clientes internos y externos, sus procesos no tienen un desarrollo, ni
metodología clara, lo cual ha permitido la perdida de información y falla en los procesos.
Es por esto que la empresa SMSAmericas Ltda., ha visto la necesidad de implementar
controles, políticas y planes de mejora, que le permitan diseñar y ejecutar sus procesos de la manera
adecuada, proporcionando disponibilidad rápida y eficiente de la información, dándoles la
oportunidad de aprovechar el tiempo para desarrollar e incursionar en nuevos mercados.
Por lo anterior, el objetivo principal será diseñar un plan de auditoría interna para el sistema
de información VASP, que sea fácil de aplicar en la empresa y sin que ello implique un alto costo.
A continuación, se describen algunas de las falencias que se han identificado hasta el
momento y que se deben atacar:
Demora en obtener la información debido a la falta de centralización.
Fallas en los controles de acceso que no permite identificar responsables de los
cambios que pueden afectar el desarrollo del negocio.
Falta de políticas de seguridad de la información.
Falta de documentación de los desarrollos y procesos internos.
Se necesita implementar mecanismos de control de cambios, que permitan
disminuir el riesgo de fallas en producción.
Definir planes de contingencia que permitan la continuidad del negocio.
Mantener procesos que permitan validar la calidad del software.
17
Controlar el acceso a la base de datos de tal manera que se disminuya la posibilidad
de pérdida o daños de la información.
Por lo cual, al desarrollar el plan de auditoría interna para el sistema de información Core
de la empresa, les dará herramientas que permitirán mejorar sus procesos y sacar mayor provecho
a los recursos físicos, tecnológicos y humanos con los que cual cuentan actualmente.
Se utilizará como referencia el modelo COBIT para auditar la gestión y el control de los
sistemas de información internos de la organización. Y con el acompañamiento y dirección del
director IT y del equipo de tecnología, se recopilará la información y el estado de cada proceso, a
través de entrevistas, encuestas y visitas, para identificar los puntos más críticos y enfocar en ellos
el plan de auditoría.
18
1 GENERALIDADES DEL TRABAJO DE GRADO
1.1 LÍNEA DE INVESTIGACIÓN
La línea de investigación que adopta este proyecto es La Gestión Integral y Dinámica de
las Organizaciones Empresariales, según lineamientos de la Universidad Católica de Colombia.
Como sub-línea se puede determinar que está en la rama de la Auditoria de sistemas en
pequeñas empresas.
1.2 PLANTEAMIENTO DEL PROBLEMA
1.2.1 Antecedentes del problema
En las últimas décadas en Colombia se ha aumentado la cantidad de medianas y pequeñas
empresas en el país. En 2013 había 2.9 millones de estas empresas registradas en la cámara de
comercio y responden al 40% del PIB nacional. Este dato es tomado de un artículo de la revista
DINERO del 16 de septiembre de 2015, articulo “La revolución de las “Big Litte” colombianas”.
Para poderse mantener en el mercado y no terminar siendo “absorbidas” por las grandes
empresas, estas PYME deben prestar más atención a todo lo relacionado con la tecnología, y
manejo de la información. Esto lleva a que deban certificar todos los procesos internos de la
compañía y para esto se requiere auditoria para evaluar todo el sistema, verificar como están los
controles y emitir un diagnostico que permita mantener de forma adecuada la infraestructura
tecnológica y la integridad de la información. (Revista Dinero, 2015)
La PYME de mensajería móvil que se está tomando como base para realizar el plan de
auditoria a tratado de implementar mecanismos de control, documentación y centralización de la
información utilizando herramientas como Wikis y Google Sites, los cuales se han quedado cortos
19
al momento de atender las necesidades de la empresa. Esto ha hecho que la información se
encuentre dispersa y no centralizada, dificultando el acceso rápido a la misma.
Se buscaron algunos trabajos de grado e investigaciones que colaboraran como base
documental para el desarrollo del plan de auditoria que se busca realizar para una PYME de
mensajería móvil. Los proyectos tomados son:
• Seminario de Integración y Aplicación “Auditoria en PYMES”. Este trabajo fue
elaborado por Roxana Julia Russo de la Universidad de Buenos Aires.
Aporte. Aunque es un proyecto que va dirigido a información de los estados contables,
otorga una mirada a la aplicación de la auditoria de para empresas PYMES.
• Tesis Una Metodología Para Auditar Tecnologías De Información. fue
elaborada por los estudiantes de la Facultad de Ingeniería de la Universidad Nacional Autónoma
de México, David Plata Sánchez y Eduardo Hilario Ponce Casanova, como requisito para obtener
en Título de Ingeniero en Computación. La Tesis se realizó bajo la dirección del Ing. Heriberto
Olguín Romo en septiembre de 2009.
Aporte. Este proyecto aporto algunas herramientas para la realización de auditorías de
tecnologías de información (TI), asimismo, ponen a disposición unas recomendaciones para sean
tenidas en cuenta al momento de dar recomendación sobre las políticas, normas o procedimientos
a mejorar en la empresa auditada.
1.2.2 Pregunta de investigación
Debido a la disminución del uso de mensajes móviles en el mercado colombiano, causadas
por el aumento de uso de herramientas como WhatsApp, Line, Facebook, Twitter, e incluso el
mismo internet, entre otras. Las empresas de mensajería móvil en los últimos años han venido
20
sufriendo una caída en sus ingresos, lo cual ha llevado a que deban buscar nuevas estrategias de
recuperación.
Dentro de ellas buscar alternativas de nuevos mercados y mejoras en la calidad de sus
procesos, por lo cual al diseñar un modelo o plan de auditoria interna para su sistema de
información VASP, se busca que al ejecutarlo, les proporcione herramientas que ayuden a
encontrar puntos de falencia, para así poder desarrollar e implementar mecanismos de control que
permita dar soluciones optimas y de calidad, para poder mejorar sus procesos y tiempos de
respuesta a sus usuarios y clientes finales, aumentado así el tiempo de incursionar en nuevas
actividades de recuperación del mercado (Como el desarrollo de juegos de celular, desarrollo de
CRMs, entre otras).
Debido a que el VASP fue un desarrollo a la medida para la empresa SMSAmericas, con
el pasar de los años, este se ha expuesto a cambios que no han sido desarrollados bajo una
metodología concreta, ni con el análisis y pruebas debidas. Por lo cual, al tratar de implementar
dichos cambios, se ha expuesto el negocio a varios problemas (Saturación de los servidores o Base
de datos, Errores en la lógica de negocio, Indisponibilidad de la plataforma, entre otros) que han
generado quejas por parte de los usuarios, multas por parte de los operadores y pérdida de ingresos
durante horas o incluso días. Lo cual hace necesario que se ejecuten procesos de auditoria sobre
cada uno de los ambientes que comprenden dicho sistema (Base de Datos, Software, Redes y
Continuidad del negocio), con el fin de mitigar y reducir las falencias que actualmente se tienen y
poder brindar al nuevo desarrollo del VASP 3, los mecanismos de control y calidad necesarios
para dar una respuesta rápida y eficaz.
¿De qué manera se realiza un plan de auditoria para el sistema de información VASP de la
empresa de mensajería móvil SMSAmericas Ltda.?
21
1.3 JUSTIFICACIÓN
La empresa de mensajería móvil SMSAMERICAS, debido a la caída del mercado no
dispone de los recursos necesarios para efectuar una auditoria en sus procesos, lo cual no le permite
disponer de mayores competencias para crecer y posicionarse en el mercado, quedándose atrás con
respecto a su competencia directa e indirecta.
Por lo cual se busca diseñar un modelo de auditoria para el sistema de información VASP,
sin que esto implique un alto costo para la empresa, permitiendo a su vez obtener un diagnostico
muy exacto y real del estado de sus procesos, dándole las herramientas necesarias, para la toma de
decisiones y creación de medidas de control que permitirá la mejora en la calidad del sistema y
tiempo de respuesta a las solicitudes que se le realizan.
Actualmente se cuenta con el conocimiento del VASP, sus procedimientos y manejo, por
lo cual es viable poder identificar las necesidades de la empresa y así poder proponer un modelo
que pueda cumplir con sus expectativas y necesidades.
1.4 OBJETIVOS
1.4.1 Objetivo general
Diseñar un plan de auditoria para el sistema de información VASP, implementado en la
empresa de mensajería móvil SMSAmericas Ltda.
1.4.2 Objetivos específicos
• Recopilar la información asociada al sistema de información VASP para generar un
diagnóstico del sistema acertado.
• Analizar la información recolectada del sistema de información VASP, haciendo
uso de normas y estándares internacionales.
22
• Diseñar y evaluar el plan de auditoria para el sistema de información VASP, de
acuerdo a la información recolectada.
23
2 MARCOS DE REFERENCIA
2.1 MARCO CONCEPTUAL
2.1.1 Wiki.
Un wiki es una colección de documentos web escritos en forma colaborativa. Básicamente,
una página de wiki es una página web puede crear desde el navegador de Internet, sin que necesiten
saber HTML. Un wiki empieza con una portada. Cada autor puede añadir otras páginas al wiki,
simplemente creando un enlace hacia una página (nueva) que todavía no existe.
Los wikis obtuvieron su nombre del término hawaiano "wiki wiki," que significa "muy
rápido". Un wiki es, de hecho, un método rápido para crear contenido como grupo. Es un formato
tremendamente popular en la web para crear documentos como un grupo. Usualmente no existe
un editor central del wiki, no hay una sola persona que tenga el control editorial final. En su lugar,
la comunidad edita y desarrolla su propio contenido.
Emergen visiones de consenso del trabajo de muchas personas sobre un documento.
(Moodle, 2016)
2.1.2 Google Sites.
Es una aplicación online gratuita ofrecida por la empresa estadounidense Google. Esta
aplicación permite crear un sitio web o una intranet de una forma tan sencilla como editar un
documento. Con Google Sites los usuarios pueden reunir en un único lugar y de una forma rápida
información variada, incluidos vídeos, calendarios, presentaciones, archivos adjuntos y texto.
Además, permite compartir información con facilidad para verla y compartirla con un grupo
reducido de colaboradores o con toda su organización, o con todo el mundo. (Wikipedia, 2016)
24
2.1.3 COBIT (Objetivos de control para la información y tecnologías relacionadas)
Es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA
(Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el
departamento de informática de una compañía.
Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave
(KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para
recoger datos que la compañía puede usar para alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes
que abarcan 318 objetivos:
• Entrega y asistencia técnica
• Control
• Planeamiento y organización
• Aprendizaje e implementación (Benchmark, 2016)
2.1.4 ISACA (isaca.org)
Ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo
digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin
ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity
Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio
para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y
certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones
globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information
Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y
25
Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200
capítulos en todo el mundo. (ISACA, 2016)
2.1.5 Circular Externa 038 de 2009 - Superfinanciera
La tecnología es imprescindible para el cumplimiento de los objetivos y la prestación de
servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento. Por lo tanto, se tendrá que velar porque el diseño del SCI para la gestión de la
tecnología responda a las políticas, necesidades y expectativas de la entidad, así como a las
exigencias normativas sobre la materia. De otra parte, el sistema deberá ser objeto de evaluación
y el mejoramiento continuo con el propósito de contribuir al logro de los objetivos institucionales
y a la prestación de los servicios en las condiciones señaladas.
Las entidades deben establecer, desarrollar, documentar y comunicar políticas de
tecnología y definir los recursos, procesos, procedimientos, metodologías y controles necesarios
para asegurar su cumplimiento. (Superintendencia Financiera de Colombia, 2009)
2.1.6 Riesgo
La incertidumbre de que ocurra un evento y pueda tener un impacto en el logro de los
objetivos. El riesgo se mide en términos de impacto y probabilidad. (Instituto de Auditores
Internos, 2012)
2.1.7 Amenaza
Es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto
periodo de tiempo, en un sitio dado.
26
En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo,
de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de
exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y
durante un tiempo de exposición determinado.
Una amenaza informática es un posible peligro del sistema. Puede ser una persona
(cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego,
inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (UNAD, 2016)
2.1.8 Vulnerabilidad
Es el grado de pérdida de un elemento o grupo de elementos bajo riesgo, resultado de la
probable ocurrencia de un suceso desastroso expresada en una escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la
factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno que caracteriza la
amenaza.
En el campo de la informática, la vulnerabilidad es el punto o aspecto del sistema que es
susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o
aspectos falibles o atacables en el sistema informático. (UNAD, 2016)
2.1.9 Probabilidad
Para establecer la probabilidad de ocurrencia se puede hacerlo cualitativa o
cuantitativamente, considerando lógicamente, que la medida no debe contemplar la existencia de
ninguna acción de control, o sea, que debe considerarse en cada caso que las posibilidades existen,
que la amenaza se presenta independiente del hecho que sea o no contrarrestada. (UNAD, 2016)
27
2.1.10 Impacto
Son las consecuencias de la ocurrencia de las distintas amenazas y los daños por pérdidas
que éstas puedan causar. Las pérdidas generadas pueden ser financiaras, económicas, tecnológicas,
físicas, entre otras. (UNAD, 2016)
2.2 MARCO TEÓRICO
El proyecto realizado es un es un plan de auditoria diseñado específicamente para una
PYME de mensajería móvil llamada SMSAmericas. Este tendrá como base los estándares de
mejores prácticas como COBIT e ISO, pero modificado para que se acomode a las necesidades de
la empresa mencionada.
SMSAmericas fue creada a mediado del 2004, iniciando su mercado en los países de
Colombia, Nicaragua, El Salvador y Ecuador. Y actualmente se encuentra en 9 países de
Latinoamérica. Por lo cual la primera versión que se desarrolló del VASP, era sencilla y su
esquema no era de fácil manejo, por lo cual con el pasar de los años se desarrolló el VASP 2, el
cual tiene un esquema mucho más estructurado, pero al que se le han tenido que implementar
desarrollos que no van acorde a su modelo, ni su estructura inicial.
Actualmente los 2 VASP se encuentran trabajando simultáneamente, cada uno haciéndose
cargo de mecánicas específicas.
• VASP 1 – Servicios de concurso, clasificaciones, trivias, juegos, etc.
• VASP 2 – Servicios de suscripción diaria (Que son la mayoría de los servicios), de
igual manera maneja los procesos de cobros que varían por operador.
• Actualmente se está trabajando en el desarrollo de VASP 3, el cual abarcara las
mecánicas que en su anterior versión no se contemplaba, al igual que manejara de
28
manera más óptima la implementación de nuevas mecánicas que puedan salir con
el tiempo y el manejo óptimo de las peticiones realizadas a la plataforma.
29
3 METODOLOGÍA
La presente investigación se basara en un enfoque mixto con los objetivos de control
contenidos en el estándar COBIT que brinda buenas prácticas a través de una marco referencial
las cuales, se enfocan fuertemente en el control e ilustran un modelo hacia procesos de acuerdo las
áreas de responsabilidad como lo son planear, construir, ejecutar y monitorear, ofreciendo una
visión de punta a punta de TI dentro de la empresa de mensajería móvil donde garantiza lo alineado
del negocio, el uso de los recursos responsables y la administración de los riesgos; por otro lado la
Circular 038 del 2009 que da un enfoque en el cumplimiento de los objetivos y la prestación de
servicios de las entidades a sus diferentes grupos de interés, en condiciones de seguridad, calidad
y cumplimiento.
3.1 AUDITORIA BASADA EN RIESGOS
Tabla 1 Auditoria Basada en Riesgos
Conocimiento del Negocio
Presentacion del Plan de Auditoria a la Empresa
Levantamiento de Información
Analisis de la Información recolectada
Identificación de Riesgos por Entorno
Evalución de riesgos
Valoración de Riesgos
Realización de Pruebas
Politicas y Normativas de procedimientos de la Organización
Procedimientos Analiticos
Diseño de Pruebas detalladas por entorno
Recomendaciones en el entorno evaluado
Conclusiones del Plan de Auditoria
CONCLUSIÓN DEL PLAN DE AUDITORIA
PRUEBAS DE CUMPLIMIENTO
AUDITORIA BASADA EN RIESGOS
REALIZACIÓN DE PRUEBAS
COMPRENSIÓN DEL CONTROL INTERNO
RECOPILACIÓN DE LA INFORMACION Y PLANIFICACIÓN
30
4 DESARROLLO
Con el siguiente capítulo se busca desarrollar uno a uno los objetivos presentados al inicio
de este documento.
Cada uno de los objetivos hacen parte de una fase del programa de auditoria de sistemas
diseñado para la empresa SMSAmericas y dirigidos al sistema de información VASP.
4.1 FAMILIARIZACION
La familiarización es la relación que deben tener los auditores inicialmente con la empresa
y más detalladamente con los empleados que están involucrados constantemente con los procesos
de esta.
Los auditores deben tener conocimiento de los objetivos de la actividad o procesos a
auditar, para esto deben obtener información detallada de los mismos.
Inicialmente se realizará una ficha técnica de los servidores que contienen el SI y la base
de datos y equipos que son usados en la empresa para acceder a estos. Tabla 2 Ficha
Tabla 2 Ficha Técnica
FICHA TÉCNICA
OBJETIVO DE LA APLICACIÓN
Gestionar la recepción y envíos de mensajería móvil en tiempo real y con disponibilidad 7/24, manejando diferentes mecánicas, adicional de gestionar el proceso de cobro de diferentes operadores de acuerdo a las políticas de cada uno.
ESTADO
En producción.
DEPENDENCIAS
Área Comercial, Operativa y Clientes Externos.
31
INFRAESTRUCTURA
Servidor PCs
Sw Hw Sw Hw
S.O. Red Hat
Ram: 32 Gigas
Cualquier Navegador (Explorer, FireFox, Opera, Chrome, etc)
Ram: 1GB
BD: Postgres/pgsql-9.0
Disco Duro: 1 Raid Cero y 1 Raid 5 con 3 discos de 1.2 Teras.
- Microsoft Office desde versión 2003 en adelante. - S.O Linux cualquier versión. - Mac OS X
Disco Duro: Superior a 80 Gigas
Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
Windows 7 en adelante.
Procesador: Desde Dual Core.
REDES
Servidor PCs Canal dedicado de 20 Megas, se tiene un
Juniper, un Switch Una buena conexión a internet
MÓDULOS
1) Alta a suscripción diaria: * Combo text avance y wap club * Combo Texto Programado y Wap Push * Combo Texto y Wap Push * Combo text y wap club * Contenido ordenado por fecha * Contenido ordenado por secuencia infinita * Doble opt-in * Double Send Free Welcome and Content
MO * Un solo opt-in para contenido definido * Un solo opt-in para contenido programado * Wap push del club * Welcome + Url Portal with bill * Welcome + URL y adiciona registro en mongo Miknal * Welcome y guarde en mongo para completar mecanica adicional * Welcome y Wap Push with bill * Welcome y Wap Push without bill * Welcome y Wap Push without bill Type Club * Welcome y Wap Push without bill Type Club y Miknal
2) Generación de Batchs 3) Generación de Mts 4) Mecanicas Ondemand * Trivias * Clasificaciones * Tarjetas 5) Generación de cobros. * Tornado * SMT * CDC * Por MT 6) Recobros 7) Validación de palabras (Baja, Info, Ayuda). 8) Reminder Messages 9) Envio de Noticias.
OTRA DOCUMENTACIÓN
No hay.
32
Para continuar con este acercamiento se diseñó un Cuestionario con preguntas sobre los
entornos involucrados en el sistema de información VASP de la empresa SMSAmericas. Dichas
preguntas fueron formuladas a la persona responsable del personal que realiza las operaciones
cotidianas sobre este SI.
Los entornos que fueron consultados son: Base de datos, Redes y comunicaciones, Control
de Seguridad Lógica e Informática, Control de Compras y Garantía de Hardware, Control y
Seguridad de Instalaciones, Control de Impacto Ambiental, Control Seguridad Física, Control de
Riesgos, Control de Entrenamiento y Control de Mesa de Ayuda.
4.1.1 Cuestionario de Control de Auditorias de Sistemas.
A continuación, se describe una parte de las plantillas de preguntas aplicadas a los
empleados de SMSAmericas, ver Tabla 3. Para acceder a los cuestionarios completos, ver el anexo
número 1.
Tabla 3 Cuestionario de Control de Auditoria de Sistemas
33
4.1.2 Familiarización por Entornos
En los siguientes numerales se podrá observar la familiarización por cada uno de los
entornos seleccionados. Esta familiarización salió a partir del cuestionario anterior.
4.1.2.1 Bases de Datos
Se realiza un levantamiento de información de los procesos, tecnología, redes, base de
datos asociados al sistema de información VASP, en esta se indica que la base de datos no cuenta
con logs que registren las acciones que se efectúan sobre esta. Aunque indican que realizan copias
de seguridad a los datos y tablas más importantes, diaria o semanalmente de acuerdo al volumen
de información que se mueva en estas. Se observa que los usuarios que ingresan a la base de datos
del área de sistema tienen acceso a la base de datos, donde pueden ingresar, borrar o modificar la
información de la misma sin tener un registro propio, ni restricción de cada usuario, ya que estos
utilizan el mismo usuario. Actualmente no hay un administrador propio de base de datos, ni de la
gestión o creación de usuarios. Ya que se tiene el mismo usuario y la mayoría de los procesos lo
utilizan, no se realiza cambio de la clave, pero para acceder a la base de datos desde un navegador,
se cuenta con otro acceso, la cual permite hacer el cambio de la contraseña sin afectar los procesos
actuales.
Debido a que la persona que diseño e implemento la base de datos ya no se encuentra y no
se pudo hacer una entrega formal del puesto, falta el modelo Entidad Relación, diccionario de
datos o algún diseño físico o lógico que permita entender la estructura de manera rápida.
Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.
El volumen de información (Causada por la cantidad de envíos) va creciendo a diario, por
esto, es necesario hacer backups de las tablas de envíos, donde a diario, en horas de la noche se
corre un proceso que cambia de servidor la tabla del día anterior, dejando solo la tabla del día
34
actual en el servidor principal. Y cada mes se hace el backup del mes anterior y se restaura en otro
servidor, para tener disponible la información de envíos de los últimos 6 meses.
Los backups se tienen en 2 de los servidores principales (Contratados con el proveedor),
de igual manera se tiene otro servidor en la oficina, el cual es espejo de uno de los servidores del
proveedor. Y a medida que el espacio de estos servidores se va agotando, se bajan a algunos
computadores de la oficina.
Si se sufre de daños en algunos de los equipos de cómputo de la empresa, se tienen otros
de respaldo con características similares. Y si se presenta algún otro tipo de problema o se va la
luz, se puede acceder desde los equipos que se encuentran en la casa de algunos de los empleados.
Cuando se solicitan hacer cambios sobre la base de datos o el sistema de información
VASP, se debe recibir un correo con la solicitud formal y se confirma el cambio por Skype, correo
o WhatsApp con la persona que lo solicito. De igual manera todo cambio sobre el sistema queda
guardado y almacenado por versiones, permitiendo devolver a una versión anterior en el caso de
que el cambio que se hizo, no responda de acuerdo a lo solicitado, así mismo todo cambio principal
se deja documentado en una bitácora.
A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el VASP, cada empleado cuenta con su usuario
y contraseña, permitiendo identificar quien realizo cada cambio. Este acceso es entregado a cada
desarrollador y es desactivado cuando alguno ya no se encuentra en la empresa, por parte de un
proveedor que se encuentra en planta.
Actualmente la base de datos no cuenta con procesos o herramientas de auditoria.
35
Si se presenta un problema con la base de datos en el servidor principal, se tiene un respaldo
de esta en otro servidor y viceversa, al igual que se cuentan con los backups de las tablas
principales.
4.1.2.2 Redes y Comunicaciones
Todos los equipos se encuentran conectados al router principal y en el momento no se hace
gestión alguna sobre la red inalámbrica.
Si se evidencia algún ataque a la red, se procede a hacer las validaciones y a hacer pruebas
sobre esta cuando se considera necesario. La longitud del cableado de la red no excede los 90
metros y hace falta tener un estándar de colores con el cableado. El mapa de la estructura de los
nodos de la red se tiene de manera informal, aunque es fácil de identificar debido a que la oficina
actual es más pequeña.
El firewall está a cargo del proveedor para el acceso a los servidores.
Para poder conectarse a los servidores el router principal cuenta con una IP fija la cual tiene
la autorización de acceso a estos y los equipos de cómputo tienen configuradas las direcciones IP
por medio de DHCP.
No se hace uso de conmutadores, ya que no se trabaja con una red LAN. Se cuenta con
UPS, para regular el voltaje, al igual que el sistema eléctrico cuenta con polo a tierra, con el fin de
disminuir la posibilidad de daños en los equipos.
No se cuenta con un sistema de control de acceso al centro de cómputo, no se tiene
implementado un modelo de QoS. A nivel de la red local de la oficina, no se tiene implementado
más allá de los antivirus y de los sistemas operativos (Linux y Mac) para evitar ataques externos.
36
En caso de presentarse fallas con el proveedor principal de internet, se cuenta con un
proveedor de backup que está disponible en todo momento, el cual permite conectarse y trabajar a
todos los empleados de la empresa para continuar con las actividades diarias.
Debido a que no se tiene un área de telecomunicaciones, el proveedor de planta valida
algunos temas que se puedan presentar con la red, pero no se llevan a cabo pruebas internas de
ataques periódicas para detectar posibles vulnerabilidades.
4.1.2.3 Control de Seguridad Lógica e Informática
Actualmente la empresa cuenta con procesos automáticos que generan backups diarios de
la información principal de cada servidor y base de datos, que es almacenada afuera del servidor
y cuando se exceden los 60 días, algunos backups se descargan a equipos y en el servidor de la
oficina.
Para desarrollar cualquier tipo de cambio sobre el VASP, se debe tener su propio usuario
y contraseña, la cual es intransferible, proporcionada por el proveedor que se encuentra en planta.
Actualmente no se pide cambio de contraseña, pero esta cumple con la política de números
y letras.
Si se presenta algún problema con el VASP, se entra a analizarlo y a corregir los problemas
en el menor tiempo posible, y por lo general no maneja mantenimiento correctivo.
La mayoría de equipos tienen como sistema operativo Linux o Mac y los que son Windows
cuentan con el antivirus propio del sistema.
La mayoría de software que se tiene en la empresa es libre, pero se cuenta con la licencia
del paquete Office, que está distribuida de acuerdo a la cantidad de equipos que permite.
37
Si un empleado instala software no permitido, este tiene una sanción.
No se tienen áreas restringidas, por esto no se controla el acceso a la oficina.
Los equipos que se encuentran en uso, cuentan con las capacidades tanto en disco, RAM,
procesador, etc. que se requieren para las actividades diarias.
4.1.2.4 Control de Compra y Garantía de Hardware
Desde el área administrativa no existe un inventario formal actualizado de los equipos que
se tienen actualmente. Los equipos ya tienen la garantía expirada y no hay un plan de
mantenimiento preventivo de los computadores.
Si algún equipo necesita mantenimiento, este es realizado por el mismo equipo del área de
TI. Solo en caso de que se presente un daño grave, es llevado a una empresa de mantenimiento
especializada.
Cuando se necesita adquirir un nuevo equipo, se cuenta con un proceso informal de
validación de las características principales, pero no se tiene un proceso establecido que permita
identificar a tiempo cuando es necesario hacer el cambio y comprar nuevos equipos.
En caso de daños o problemas en la infraestructura de la empresa, se tiene un acuerdo con
algunos empleados para hacer teletrabajo, permitiendo la continuidad del negocio.
Cualquier instalación de software en los servidores de producción se hace con la
autorización previa del IT o el proveedor de planta, ya que se debe habilitar el usuario o se debe
hacer con el usuario administrativo.
38
Para poder trabajar desde afuera de la oficina, se debe tener registrada la IP, o se debe
acceder a los computadores de la oficina.
4.1.2.5 Control y Seguridad de Instalaciones
La oficina donde se encuentra la empresa, se encuentra acondicionada para funcionar como
el área de TI y el equipo y recursos que fueron entregados a cada empleado, cumplen con las
características necesarias para cumplir las actividades, sin afectar al empleado.
No se tienen lugares restringidos, el espacio es bueno y permite el acceso rápido y fluido.
El sistema de control de emergencias es inexistente, no se tienen extintores, alarmas o
detectores de humo. Únicamente se tiene una entrada y salida, por lo cual no hay salida de
emergencia. Si se cuenta con buena iluminación adentro de la oficina.
No se tienen implementados sistemas de seguridad que permita identificar rápidamente la
sustracción de equipos, información o recursos de la empresa. Esto se trabaja con el nivel de
confianza que se tiene en las personas de acuerdo a lo analizados en el proceso de selección del
personal.
No se permite fumar o beber bebidas alcohólicas dentro de la oficina, ni en horas laborales,
pero si se tiene permitido el consumo de comida. Todo esto se maneja de manera verbal y no por
escrita.
4.1.2.6 Control de Impacto Ambiental
Los procesos que midan y controlen el impacto ambiental que pueda generar la actividad
diaria de la empresa son nulos.
39
4.1.2.7 Control Seguridad Física
Son escasas las áreas restringidas dentro de la empresa y no se lleva registro o control de
las personas que ingresan a la empresa.
Las contraseñas del sistema se cambian esporádicamente. En caso de presentarse algún
problema con la plataforma se procede con la revisión, análisis y solución de la falla en el menor
tiempo posible.
4.1.2.8 Control Riesgos
En el caso de presentarse algún desastre o problema mayor que impida trabajar desde las
instalaciones de la oficina, no se cuenta con un centro de cómputo alterno, el único medio para
continuar las actividades diarias, es que algunos de los empleados trabajen desde sus casas, dando
autorización de dichas IPs por parte del CEO.
No existe un proceso se mida y administre los posibles riesgos a los que está expuesta la
empresa.
Se tiene identificados cuales son los procesos críticos y a que se le debe dar prioridad ante
una falla del sistema, debido al impacto negativo que puede traer para la empresa de manera
informal.
4.1.2.9 Control de Entrenamiento
Cada vez que ingresa una nueva persona a formar parte del equipo se le explica el
funcionamiento principal del negocio y la plataforma y se le asigna una persona la cual está
pendiente de las inquietudes y trabajo de la persona.
Se tiene un proceso de entrenamiento inicial, el cual se maneja de manera informal y se le
da los accesos para estudiar la documentación de los procesos.
40
No hay cursos de formación adicional en la empresa.
4.1.2.10 Control de Mesa de Ayuda
Cuando se presenta una falla se detienen las actividades y se le da prioridad a solucionar el
incidente en el menor tiempo posible, pero dependiendo del tipo de falla puede tardar una hora o
un día aproximadamente.
Problemas a nivel de infraestructura de la red o de la empresa, son esporádicas. A nivel de
la plataforma, ya sea por cobros o envíos, aunque ha bajado el porcentaje de problemas, se siguen
presentando fallas.
Se tiene una herramienta hecha a la medida que permite registrar las actividades, los
avances y el tiempo invertido en las solicitudes de los usuarios.
Cuando se está en una llamada, conferencia o charla por Skype u otro medio de
comunicación con los country manager, clientes o el CEO, el porcentaje de interrupción de estas,
es muy bajo.
4.2 ANALISIS DE INFORMACION OBTENIDA
En el siguiente capítulo se llevará a cabo la descripción del análisis realizado a la
información recopilada y entregada por parte de empresa SMSAmericas Ltda. donde se evidencio
que no contaban con una matriz, ni una gestión de riesgos apropiadas.
4.2.1 Definición y Calificación de Riesgos
Debido a las actividades diarias y a lo establecido con el área IT y las evidencias
encontradas, la clasificación, la definición, probabilidad y el impacto del riesgo para la empresa se
muestra a continuación. Ver Tabla 4, Tabla 5
41
Tabla 4 Clasificación, Calificaciones y Criterios Usados
Tabla 5 Definición del Riesgo
De acuerdo a la familiarización del capítulo anterior, se realizó la matriz de riesgos y su
calificación (Realizada a cada entorno).
A continuación, se describen los riesgos encontrados a partir de la familiarización
realizada. Ver Tabla 6
42
Tabla 6 Identificación de Riesgos
CODIGO RIESGO
R-01 Perdida de información de la base de datos, causada por robo desde la parte externa de la empresa.
R-02 Perdida de información de la base de datos, causada por robo desde la parte interna de la empresa.
R-03 Perdida de información de la base de datos, causada por personal con mala intención.
R-04 Perdida de información de la base de datos, causada por desconocimiento del personal.
R-05 Modificación y perdida de la integridad de la información, causada por personal con mala intención.
R-06 Perdida de la información, causada por daño en instalaciones del proveedor.
R-07 Eliminación de información, causada por el personal sin intención o por accidente.
R-08 Eliminación o daño de la información, causada por la ejecución de un proceso inadecuado.
R-09 Daño en la estructura de la base de datos, causada por administración inadecuada de la base de datos.
R-10 Daño de la estructura de la base de base de datos, causada por falta de documentación de su estructura.
R-11 Retrasos en la implementación de cambios en la base de datos, causada por administración inadecuada.
R-12 Daño en la base de datos, causada por falta de conocimiento del personal en la estructura de la base de
datos.
R-13 Robo de información a causa de intrusión a la red por personas ajenas a la empresa.
R-14 Daños en la estructura de la red, causados por ingreso a las oficinas de personas ajenas a la empresa.
R-15 Perdida en la conexión de red a causa de la demora en la detección del cableado interno oportuno.
R-16 Infección de la red por causa de la permisividad al acceso a cualquier página de internet por parte de
los empleados.
R-17 Fallos en la conexión de red, causado por perdida del servicio del proveedor de Internet.
R-18 Ataques a la red a causa de malas configuraciones en el firewall por parte del proveedor.
R-19 Interrupción del servicio, causado por perdida del fluido eléctrico.
R-20 Perdida de información, causada por la no ejecución del proceso de Backup diario.
R-21 Daño del código del VASP, causado por hacer cambios directamente en producción y no en el sistema
de versiones.
R-22 Pérdida de ingresos para la empresa, causado por cambios inadecuados sobre el sistema VASP.
R-23 Generación de Multas por parte de los operadores de telefonía móvil, causadas por cambios inadecuados
sobre el sistema VASP.
R-24 Daño de equipos de cómputo, causado por instalación de software con virus.
R-25 Generación de Multas por parte de la Dian, a causa de instalación de software sin licencia de uso.
R-26 Perdida de información, causada por falta de espacio en los servidores.
R-27 Robo de equipos de cómputo, causado por personal con mala intención.
R-28 Daño de equipos de cómputo, a causa de fallas de fábrica.
R-29 Daño de equipos de cómputo, causado por arreglos hechos por personal no capacitado.
R-30 Perdida de dinero, causado por compra de equipos de cómputo no adecuados para llevar a cabo las
funciones diarias.
43
R-31 Daño en los servidores, causado por instalación de software malicioso.
R-32 Perdida de información, causado por instalación de software malicioso.
R-33 Perdida de dinero, causado por compra de equipos que no cumplen con el objetivo de la compra.
R-34 Problemas de salud de los empleados, causado por implementos de oficina inadecuados.
R-35 Problemas de salud de los empleados, causado por ventilación inadecuada.
R-36 Demandas por parte de los empleados, a causa de caídas dentro de las instalaciones por cables eléctricos
o de red atravesados en los pasillos.
R-37 Fatiga visual de los empleados, causado por falta de iluminación adecuada dentro de las instalaciones.
R-38 Perdida de la vida de los empleados, causa por falta de salidas alternas ante una catástrofe natural.
R-39 Perdida de equipos de cómputo y objetos de la empresa, causadas por personal mal intencionado.
R-40 Perdida de información, causada por personal mal intencionado.
R-41 Perdida de información, causada por ingreso de personas externas a la empresa.
R-42 Perdida de equipos de cómputo y objetos de la empresa, causada por ingreso de personas externas a la
empresa.
R-43 Perdida de la infraestructura, recursos y de información, causada por incendio ocasionado por fumar
dentro de las instalaciones.
R-44 Pérdida de ingresos, causada por daño en las instalaciones.
R-45 Pérdida de ingresos, causada por no ejecutar todos los procesos que deben correr diariamente.
R-46 Generación de multas por parte de los operadores, causada por no ejecutar todos los procesos que deben
correr diariamente.
R-47 Cierre del contrato con el operador, causada por no ejecutar o la mala ejecución de los procesos que
deben correr diariamente.
R-48 Daño de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
R-49 Perdida de la información, causado por desconocimiento del personal sobre los procesos de la empresa.
R-50 Generación de multas por parte de los operadores, causado por desconocimiento del personal sobre los
procesos de la empresa.
R-51 Rotación constante del personal, causado por no escalamiento dentro de la empresa.
R-52 Daño de la información, causado rotación constante del personal.
4.2.2 Análisis de riesgos en los diferentes entornos
A continuación, se realizará un análisis de riesgos en cada uno de los entornos mencionados
anteriormente en la familiarización.
44
4.2.2.1 Entorno de Base de Datos
Después del análisis de la información recopilada se encuentra que la mayor amenaza a
nivel de la base de datos del sistema de información VASP es la perdida de información causada
por la ejecución de procesos inadecuados por parte del personal con o sin intención y aunque se
crean backups diarios, se evidencio que no siempre se revisa su estado y que se han presentado
problemas con tablas de las cuales no se tienen procesos de backups.
A continuación, se muestra la matriz y calificación de riesgos para el entorno de base de
datos. Ver Tabla 7
Tabla 7 Matriz de Riesgos de Base de Datos
45
4.2.2.2 Redes y Comunicaciones
A nivel de la red de la empresa se encontró que está expuesta a daños de la misma, por falta
de controles para el acceso a las instalaciones de personal ajeno, lo cual hace potencial el ataque.
A continuación, se muestra la matriz de riesgos del entorno de redes y comunicaciones.
Ver Tabla 8
Tabla 8 Matriz de Riesgos de Redes y Comunicaciones
4.2.2.3 Control de Seguridad Lógica
Sobre el sistema de información VASP se encontró que cada empleado del área de sistemas
cuenta con un usuario y contraseña para la revisión y cambios sobre este a nivel del sistema de
versiones, pero se encuentra vulnerable a cambios directamente en el ambiente de producción, ya
que se ingresa con el mismo usuario al servidor y su nivel de gestión para mitigar los riesgos
evidenciados actualmente es muy débil.
A continuación, se describe la matriz de riesgos a nivel de Control de seguridad lógica. Ver
Tabla 9
46
Tabla 9 Matriz de Riesgos de Control de Seguridad Lógica
4.2.2.4 Compras y Garantía de HW
A pesar de que la empresa no cuenta con un sistema de compras y garantía efectivo, no se
encontró evidencia de que esto afecte directamente a la operación del VASP.
A continuación, se muestra la matriz de riesgos para el entorno de Compras y garantía de
HW. Ver Tabla 10
Tabla 10 Matriz de Riesgos de Compras y Garantía de HW
47
4.2.2.5 Seguridad de Instalaciones
Se encontró que el ingreso de personal ajeno a la empresa, es una de las vulnerabilidades
más latentes, ya que puede ocasionar perdida de información o de equipos.
También se encontró que hay deficiencia en los niveles de control para mitigar algunas
lesiones para los empleados.
A continuación, se muestra la matriz de riesgos del entorno de Seguridad de instalaciones.
Ver Tabla 11
Tabla 11 Matriz de Riesgos de Seguridad de Instalaciones
4.2.2.6 Continuidad del negocio
El mayor riesgo encontrado en este entorno es perder ingresos y el cierre del contrato con
cualquiera de los operadores causado por la ejecución inadecuada de los procesos que se deben
ejecutar a diario por parte del personal y por falta de documentación completa y actualizada de
cada proceso. Ver Tabla 12
48
Tabla 12 Matriz de Riesgos de Continuidad del Negocio
4.2.2.7 Entrenamiento del Personal
En este entorno de acuerdo a la familiarización y al análisis inicial, se encontró que a pesar
de las acciones que la empresa ha tomado con respecto a la capacitación de los empleados nuevos
y los actuales, sigue presentando falencias.
Por lo cual el personal se considera como uno de los mayores riesgos y retos para la
organización, como se muestra a continuación. Ver Tabla 13
Tabla 13 Matriz de Riesgos de Entrenamiento del Personal
49
4.2.3 Mapa De Riesgos
A continuación, se detalla el mapa de calor de acuerdo a la calificación de riesgos y se
observa que a la mayoría de riesgos encontrados se les debe hacer una validación mucho más
profunda con la auditoria. Ver Tabla 14
Tabla 14 Mapa de Riesgos
4.2.4 Comparación entre la circular 038 de septiembre de 2009 – Superfinanciera y
Cobit 5
Se toma la Circular 38 de septiembre de 2009 de la Superfinanciera como base normativa
para iniciar la compañía en el entorno de estándares internacionales ya que esta no tiene ninguna
norma como base. Luego de revisar de la Circular 038 cuales son los procesos que aplican para la
empresa SMSAmericas, se realiza una comparación con Cobit 5 para saber cuáles van a ser los
pilares para iniciar la empresa en estas buenas prácticas de reconocimiento internacional. Ver
Tabla 15
50
Tabla 15 Normatividad: Circular 038 de Sptiembre de 2009 - Cobit 5
PROCE
SO
NORMATIVIDAD: CIRCULAR 038 DE SEPTIEMBRE DE 2009 -
SUPERFINANCIERA RISGO
COBIT
5 INDICADOR DE GESTIÓN
7.6.2.1 PLAN ESTRATÉGICO DE TECNOLOGÍA.
I Evaluación de la tecnología actual. R-26
PO5 / AI3
Cantidad de procesos evaluados / Cantidad de procesos
III Estudios de mercado y factibilidad de alternativas tecnológicas que respondan a las necesidades de la entidad.
R-29 / R-30 / R-33 DS4 / DS6
Cantidad de alternativas presentadas / Cantidad de necesidades de la entidad
7.6.2.3 ADMINISTRACIÓN DE CAMBIOS.
I Identificación clara del cambio a realizar en la infraestructura. R-22 AI6 Cantidad de cambios solicitados /
Cantidad de cambios de infraestructura realizados
III Evaluación del impacto que ocasiona el cambio en la infraestructura. R-23 AI6 / PO5
Cantidad de cambios evaluados / Cantidad de realizados
III Procedimiento de autorización de los cambios. R-11 AI6 Cantidad de cambios solicitados / la
cantidad de cambios autorizados
IV Procedimiento de administración de versiones. R-21 PO9 / AI6
Cantidad de incidentes solucionados en cada versión / Cantidad de versiones
implementadas en un año.
V Políticas de distribución del software. R-24 / R-25 AI2 / AI3
Cantidad de solicitudes de cambio /
Cantidad de Software con políticas de distribución.
7.6.2.4 SEGURIDAD DE LOS SISTEMAS.
I Autorización, autenticación y control de acceso. R-01 / R-02 / R-39 / R-40 DS5 Cantidad de solicitudes de autorizadas /
Cantidad de solicitudes Autorizadas
II Prevención y detección de código malicioso, virus, entre otros. R-03 / R-13 / R-31 / R-32 / R-18
DS4/ DS9
Cantidad de casos reportados / Cantidad de detectados
III Entrenamiento de usuarios. R-04 / R-07 / R-12 / R-48 / R-49 DS7
Empleados capacitados / Total de empleados
7.6.2.5 ADMINISTRACIÓN DE LOS DATOS.
I Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e integridad de los datos.
R-05 / R-09 DS4 / DS11
-
51
II Preservar la segregación de funciones en el procesamiento de datos y la verificación rutinaria del trabajo realizado. Los procedimientos deberán incluir controles de actualización adecuados, como totales de control "corrida a corrida" y controles de actualización de archivos maestros.
R-08 / R-10 / R-45 / R-46 / R-47 DS7 / AI6
Cantidad de Procesos no ejecutados por semana / Cantidad de procesos
Ejecutados por semana
III Establecer los mecanismos necesarios para garantizar la integridad continua de los datos almacenados.
R-20 DS4 -
IV Establecer controles para garantizar la integración y consistencia entre plataformas. R-06 DS2
Cantidad de controles en las plataformas / Total de plataformas
7.6.2.6 ADMINISTRACIÓN DE LAS INSTALACIONES.
I Acceso a las instalaciones. R-14 / R-27 / R-28 / R-41 / R-42 DS5 Cantidad de incidentes de seguridad /
Cantidad de registro en las instalaciones
II Controles de seguridad física. R-43 / DS6 / R-44 DS12 Cantidad de ataques de seguridad
registrados bimensualmente / Cantidad de sistemas de seguridad implementados
III Planeamiento de continuidad del negocio y administración de crisis. R-15 / R-16 / R-17 / R-19
DS4
Cantidad de ataques de seguridad registrados bimensualmente / la cantidad de sistemas de seguridad implementados
IV Salud y seguridad del personal. R-34 / R-35 / R-36 / R-37 / R-38 /
R-51 / R-52 PO7
Cantidad de casos reportados de accidentalidad / Total de Empleados
contratados Activos
52
4.3 DISEÑO Y EVALUACION
4.3.1 Programación de Prueba de Auditoria
Inicialmente en este literal se realizará la programación de las pruebas de auditoría por
entornos. Ver Tabla 16
Tabla 16 Programación de Prueba de Auditoría
REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS TAB
ENTORNO: BASE DE DATOS
P001 Verificar si existe fuga de información, por falta de políticas de
control de acceso.
R-01 Tabla 17
P002 Verificar si existe fuga de información, por falta de políticas de
creación de usuarios y contraseñas.
R-02 Tabla 18
P003 Validar el proceso de selección de personal y ver si cumple con
los objetivos del negocio.
R-03, R-05 Tabla 19
P004 Validar si la documentación entregada al personal está
actualizada y si este cumple con el procedimiento estipulado.
R-04 Tabla 20
P005 Revisar el contrato con el proveedor que presta el servicio de
alojamiento de servidores Tenzing y confirmar si se tienen
cláusulas que permitan asegurar el buen estado de los
servidores, recuperación de la información ante un daño en las
instalaciones del proveedor.
R-06 Tabla 21
P006 Verificar el proceso de recuperación de información de la base
de datos, cuando es eliminada accidentalmente.
R-07, R-08 Tabla 22
P007 Validar el proceso de control de cambios establecidos para la
base de datos.
R-09, R-11,
R-12
Tabla 23
P008 Validar la documentación de la base de datos del sistema de
información VASP.
R-10 Tabla 24
53
PROCESO: REDES Y COMUNICACIONES
P009 Garantizar que cada usuario se autentique al ingresar a la red
empresarial.
R-13 Tabla 25
P010 Comprobar la seguridad configurada en el software para acceso
remoto al SI VASP.
R-13 Tabla 26
P011 Validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar.
R-14, R-27,
R-39, R-40,
R-41
Tabla 27
P012 Comprobar la integridad del cableado estructurado. R-15, R-36 Tabla 28
P013 Verificar las políticas de acceso a internet configuradas en el
firewall.
R-16 Tabla 29
P014 Verificar la conexión de red instalada en las oficinas y la
prestación del servicio por parte del proveedor
R-17 Tabla 30
P015 Comprobar las configuraciones del firewall por parte del
proveedor.
R-18 Tabla 31
P016 Verificar el funcionamiento de la UPS. R-19 Tabla 32
PROCESO: SEGURIDAD LOGICA
P017 Verificar los logs de los backups realizados. R-20 Tabla 33
P018 Verificar el procedimiento para las pruebas de cambios en el
código fuente.
R-21, R-22,
R-23
Tabla 34
P019 Verificar el software instalado en los equipos de cómputo. R-24, R-31,
R-32
Tabla 35
P020 Revisar las licencias del software instalado en los equipos de
cómputo.
R-25 Tabla 36
P021 Comprobar la eliminación de archivos temporales y obsoletos. R-26 Tabla 37
PROCESO: RIESGOS DE COMPRAS Y GARANTÍA DE HW
54
P022 Revisión del cubrimiento de la garantía de los equipos de
cómputo.
R-28 Tabla 38
P023 Confirmar la capacitación del personal de soporte técnico de
equipos de cómputo.
R-29 Tabla 39
P024 Revisar las especificaciones técnicas de los equipos de
cómputo necesarios para la labor en la compañía.
R-30 Tabla 40
PROCESO: SEGURIDAD DE INSTALACIONES
P025 Supervisar los elementos de oficina. R-34 Tabla 41
P026 Confirmar el funcionamiento de la ventilación de la oficina. R-35 Tabla 42
P027 Verificación de la luminosidad de los diferentes espacios de la
compañía.
R-37 Tabla 43
P028 Comprobar las señalizaciones de emergencia instalados en la
compañía.
R-38 Tabla 44
ENTORNO: CONTINUIDAD DEL NEGOCIO
P029 Validar los cargos y los procesos establecidos para la
continuidad del Negocio.
R-45 / R-
46 / R-47
Tabla 45
P030 Asegurar que los proveedores y distribuidores principales o
críticos aseguran la continuidad de los procesos ante una falla
o catástrofe.
R-42 / R-
44
Tabla 46
P031 Verificar las estrategias para la mejora del plan de continuidad
del negocio.
R-43 Tabla 47
P032 Validar si se hace respaldos periódicos de la información. R-44 Tabla 48
P033 Validar si se sabe qué tan rápido debe reanudar operaciones tras
una interrupción para evadir impactos severos que amenacen
su supervivencia.
R-50 Tabla 49
P034 Validar si se realizan Backup. R-40 Tabla 50
55
P035 Validar si ante una eventual catástrofe o incidencia, se conocen
y se tienen claras las rutas de escalamiento, para poder dar
continuidad al negocio
R-43 Tabla 51
P036 Validar si se tiene controles de acceso a las diferentes áreas
dentro de la empresa.
R-41 / R-
42
Tabla 52
ENTORNO: ENTRENAMIENTO DEL PERSONAL
P037 Validar si se tiene actualizadas las descripciones y requisitos de
los puestos de trabajo.
R-52 Tabla 53
P038 Validar cual es el tiempo medio para cubrir un puesto de trabajo
de acuerdo a las diferentes categorías de empleados al
momento de reclutar.
R-51 Tabla 54
P039 Validar las políticas que se tiene en marcha respecto del
reclutamiento interno y externo.
R-51 Tabla 55
P040 Revisar si se cuenta con formularios de evaluación del
desempeño que se emplean para las diferentes categorías de
empleados.
R-50 / R-
51 / R-52
Tabla 56
P041 Validar los planes tiene para cubrir las necesidades futuras de
recursos humanos en las diferentes áreas.
R-51 Tabla 57
P042 Validar si se realizan proceso de capacitación de los diferentes
cargos.
R-48 / R-
49 / R-50 /
R-52
Tabla 58
56
4.3.2 Diseño Pruebas de Auditoria
Se realizar el diseño de las pruebas de auditoria basados en la programación descrita en el
apartado anterior.
Las siguientes son pruebas que evaluaran el entorno de base de datos. La prueba P001 está
relacionada con las políticas de control de acceso a las bases de datos y verificara si existe fuga de
información por este motivo. Ver Tabla 17
Tabla 17 Prueba P001 Políticas de Control de Acceso a base de datos
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P001
PROCESO: Políticas de control de acceso a base de datos.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de
control de acceso.
TIPO: Mixta
CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al pgadmin
desde la Web y la segunda clave de acceso
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)
PROCEDIMIENTO A EMPLEAR
57
Ingresar con el usuario entregado por el área IT y confirmar si se tienen validaciones de
ingreso erróneo.
Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo desde
la web.
Digitar erróneamente la contraseña 5 veces.
Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.
Se trabaja con el programa Asterisk key 10.0
Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base
de datos del VASP.
Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk
Key.
Capturar el resultado de la prueba.
La prueba P002 está relacionada con las políticas de creación de usuarios y contraseñas y
verificara si existe fuga de información por este motivo. Ver Tabla 18
Tabla 18 Prueba P002 Políticas de Creación de Usuarios y Contraseñas.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P002
PROCESO: Políticas de creación de usuarios y contraseñas.
OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de
creación de usuarios y contraseñas.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
58
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y
Disco Duro de 250 GB)
DOCUMENTACIÓN: Listado de usuarios activos.
PROCEDIMIENTO A EMPLEAR
Solicitar la lista de usuarios asociados en la base de datos.
Validar con recursos humanos que personas se encuentran aún en la empresa y
compararlos contra la lista de usuarios entregada.
Validar el ingreso a la base con usuarios que se encuentren activos y confirmar si el
sistema tiene restricción para los usuarios que se encuentran inactivos.
Validar si el ingreso a la base de datos es único por sección y usuario.
Ingresar al mismo tiempo desde dos navegadores diferentes con el usuario
entregado.
La prueba P003 está relacionada con las políticas de selección del personal y validar el
proceso el proceso para esto. Ver Tabla 19
Tabla 19 Prueba P003 Políticas de Selección de Personal.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P003
PROCESO: Políticas de selección de personal.
OBJETIVO DE LA PRUEBA: Validar el proceso de selección de personal y ver si cumple con
los objetivos del negocio.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene un proceso de selección que permite contratar personal
idóneo y de confianza.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
DOCUMENTACIÓN: Contratos de 4 empleados.
59
Pruebas técnicas y psicotécnicas realizadas a los empleados.
PROCEDIMIENTO A EMPLEAR
Solicitar el proceso de contratación para las personas del área de Sistemas.
Analizar las políticas de contratación del personal.
Analizar las pruebas técnicas realizadas de acuerdo al cargo al que ingreso.
Comparar el proceso de contratación de la empresa SMSAmericas Ltda. para el área de
IT vrs el proceso de otras empresas para el mismo cargo.
La prueba P004 está relacionada con la documentación entregada al personal y la
verificación de si la misma está actualizada. Ver Tabla 20
Tabla 20 Prueba P004 Documentación Entregada al Personal.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P004
PROCESO: Documentación entregada al personal.
OBJETIVO DE LA PRUEBA: Validar si la documentación entregada al personal está
actualizada y si este cumple con el procedimiento estipulado.
TIPO: Mixta
CONTROLES A PROBAR: Antes de dar acceso a la base de datos, se entrena al empleado y
se le hace acompañamiento durante la fase de entrenamiento.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
60
DOCUMENTACIÓN: Instructivos, Procedimientos y Manuales entregados al personal para
capacitación.
PROCEDIMIENTO A EMPLEAR
Revisar la documentación entregada al personal.
Ejecutar el paso a paso de uno de los procesos encontrados en la documentación en
compañía de personal calificado.
Comparar proceso ejecutado por el personal, contra lo indicado en la documentación
entregada.
La prueba P005 está relacionada con el contrato con el proveedor del servicio de
alojamiento y arrendamiento de los servidores. Ver Tabla 21
Tabla 21 Prueba P005 Contrato con Proveedor de Alojamiento de Servidores
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P005
PROCESO: Contrato con proveedor de alojamiento de servidores.
OBJETIVO DE LA PRUEBA: Revisar el contrato con el proveedor que presta el servicio de
alojamiento y arrendamiento de servidores Tenzing y confirmar si se tienen cláusulas que
permitan asegurar el buen estado de los servidores, recuperación de la información ante un daño
en las instalaciones del proveedor.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene un contrato con el proveedor de alojamiento y
arrendamiento de servidores Tenzing, con quienes se tienen cláusulas de aseguramiento de la
información.
RECURSOS NECESARIOS PARA APLICARLA
61
INFORMACIÓN
DOCUMENTACIÓN: Contrato de prestación de servicios con el proveedor Tenzing.
PROCEDIMIENTO A EMPLEAR
Solicitar a la gerencia el contrato vigente con el proveedor Tenzing.
Evaluar las cláusulas del contrato.
La prueba P006 está relacionada con la recuperación de información y verificar el proceso
para esta cuando se elimina accidentalmente. Ver Tabla 22
Tabla 22 Prueba P006 Recuperación de Información.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P006
PROCESO: Recuperación de Información.
OBJETIVO DE LA PRUEBA: Verificar el proceso de recuperación de información de la base
de datos, cuando es eliminada accidentalmente.
TIPO: Mixta
CONTROLES A PROBAR: Se realizan backups de la información principal a diario.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
62
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB).
DOCUMENTACIÓN: Procedimiento de generación de backups.
PROCEDIMIENTO A EMPLEAR
Solicitar el proceso de creación de backups.
Listado de los procesos a los que se le hace backups.
Restaura un backup y validar su integridad.
La prueba P007 está relacionada con el control de cambios y la validación de los procesos
establecidos para estos. Ver Tabla 23
Tabla 23 Prueba P007 Control de Cambios.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P007
PROCESO: Control de cambios.
OBJETIVO DE LA PRUEBA: Validar el proceso de control de cambios establecidos para la
base de datos.
TIPO: Mixta
CONTROLES A PROBAR: Antes de poner en producción cualquier cambio es evaluado por
el jefe de operaciones o por el desarrollador master.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
63
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
DOCUMENTO: Manual de control de cambios.
PROCEDIMIENTO A EMPLEAR
Solicitar el manual de control de cambios.
Solicitar documentación de los últimos 2 cambios realizados en el VASP.
Validar si los cambios afectaron directamente a la base de datos.
La prueba P008 está relacionada con la documentación sobre la base de datos del Sistema
de Información VASP y validar que este actualizada. Ver Tabla 24
Tabla 24 Prueba P008 Documentación sobre la Base de Datos del VASP.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Base de Datos
PRUEBA No: P008
PROCESO: Documentación sobre la base de datos del VASP.
OBJETIVO DE LA PRUEBA: Validar la documentación de la base de datos del sistema de
información VASP.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
64
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
DOCUMENTO: Modelo E/R, Diccionario de Base de Datos.
PROCEDIMIENTO A EMPLEAR
Solicitar el Modelo E/R.
Solicitar el Diccionario de datos.
Las siguientes son pruebas que evaluaran el entorno de redes y comunicaciones. La prueba
P009 está relacionada con garantizar que cada usuario se autentique al ingresar a la red empresarial
validando que cada uno tenga su propio identificador. Ver Tabla 25
Tabla 25 Prueba P009 Garantizar que Cada Usuario se Autentique al Ingresar a ka
Red Empresarial
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P009
PROCESO: Garantizar que cada usuario se autentique al ingresar a la red empresarial.
OBJETIVO DE LA PRUEBA: Validar que cada persona que acceda a la red de SMS Américas
tenga asignado un usuario y contraseña para que se autentique en el Sistema.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene configurado clave de acceso.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Postgres/pgsql-9.0 Motor de Base de Datos, Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
65
PROCEDIMIENTO A EMPLEAR
Solicitar al IT o al Jefe de Operaciones los usuarios que tienen acceso a la red de la
compañía.
Ingresar a la dirección electrónica http://database.smsamericas.net/ donde solicitara el
usuario y contraseña.
Se evidenciará si se cuenta con el acceso a la base, se realiza este mismo procedimiento
con varios usuarios ya confirmados por el IT o el Jefe de Operaciones.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P010 está relacionada con la comprobación de la seguridad configurada en el
software para el acceso remoto al VASP. Ver Tabla 26
Tabla 26 Prueba P010 Comprobar la seguridad Configurada de Seguridad del
Software Utilizado para la Conexión Remota.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P010
PROCESO: Comprobar la seguridad configurada en el software para acceso remoto al SI
VASP.
OBJETIVO DE LA PRUEBA: Validar la configuración de seguridad del software utilizado para
la conexión remota.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: TeamViewer, Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
66
PROCEDIMIENTO A EMPLEAR
Solicitar al IT o al Jefe de Operaciones los usuarios que tienen autorizado el acceso
remoto por TeamViewer.
Solicitar el acceso al equipo de alguno de los usuarios para verificar la configuración.
Revisar si las configuraciones de seguridad del TeamViewer cumple con las políticas de
seguridad de la compañía.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P011 está relacionada con validar el acceso de las personas que ingresan a las
instalaciones y que trabajos se disponen a realizar comprobando la seguridad que se otorga. Ver
Tabla 27
Tabla 27 Prueba P011 Validar el Acceso a las Personas que Ingresan a las
Instalaciones y que Trabajos se Disponen a Realizar.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P011
PROCESO: Validar el acceso de las personas que ingresan a las instalaciones y que trabajos se
disponen a realizar.
OBJETIVO DE LA PRUEBA: Comprobar la seguridad al otorgar acceso de las personas a las
instalaciones.
TIPO: Mixta
CONTROLES A PROBAR: N/E
67
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación y personal de seguridad
PROCEDIMIENTO A EMPLEAR
Solicitar al personal de seguridad la minuta de acceso de visitantes.
Confirmar si en la minuta queda consignado la razón de la visita.
Verificar si los visitantes tendrán o no acceso a lugares no permitidos o confidenciales de
la empresa.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P012 está relacionada con la comprobación de la integridad del cableado
estructurado instalado en las oficinas de la compañía. Ver Tabla 28
Tabla 28 Prueba P012 Comprobar la Integridad del Cableado Estructurado.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P012
PROCESO: Comprobar la integridad del cableado estructurado.
OBJETIVO DE LA PRUEBA: Comprobar la infraestructura del cableado estructurado instalado
en las oficinas de la compañía.
TIPO: Mixta
CONTROLES A PROBAR: N/E
68
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación y personal de seguridad
PROCEDIMIENTO A EMPLEAR
Solicitar los planos del cableado estructurado instalado en las oficinas.
Verificar la marcación en los equipos de red y cableado estructurado.
Inspeccionar los sectores en el que el cableado no se ve en óptimas condiciones.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P013 está relacionada con la verificación de las políticas de acceso a internet
configuradas en el firewall comprobando los permisos otorgados. Ver Tabla 29
Tabla 29 Prueba P013 Verificar las Políticas de Acceso a Internet Configuradas en
el Firewall.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P013
PROCESO: Verificar las políticas de acceso a internet configuradas en el firewall.
OBJETIVO DE LA PRUEBA: Comprobar las configuraciones de los permisos de acceso a
internet configuradas en el firewall.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
69
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación el acceso a la configuración del firewall.
Verificar las políticas de restricción de acceso a páginas de internet.
Inspeccionar el listado de páginas no permitidas y probar el ingreso a las mismas.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P014 está relacionada con los fallos en la conexión de red a causa de pérdida del
servicio por parte del proveedor verificando el servicio por parte del proveedor secundario. Ver
Tabla 30
Tabla 30 Prueba P014 Verificar la Conexión de Red a Instalada en las Oficinas y la
Prestación del Servicio por Parte del Proveedor.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P014
PROCESO: Verificar la conexión de red instalada en las oficinas y la prestación del servicio
por parte del proveedor.
OBJETIVO DE LA PRUEBA: Verificar la correcta prestación del servicio por parte del
proveedor secundario.
TIPO: Mixta
CONTROLES A PROBAR: Se cuenta con un proveedor alterno para el servicio de internet.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
70
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación las direcciones IP asignadas por el proveedor secundario.
Realizar un cambio de proveedor y configurar el acceso por el segundo.
Realizar un ping a direcciones externas haciendo uso del servicio del segundo proveedor.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
La prueba P015 está relacionada con comprobar las configuraciones del firewall por parte
del proveedor confirmando su correcta configuración partiendo desde las necesidades dadas por
SMSAmericas. Ver Tabla 31
Tabla 31 Prueba P015 Comprobar las Configuraciones del Firewall por Parte del
Proveedor.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P015
PROCESO: Comprobar las configuraciones del firewall por parte del proveedor.
OBJETIVO DE LA PRUEBA: Confirmar la correcta configuración del firewall por parte del
proveedor del servicio.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del
servicio.
Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
71
La prueba P016 está relacionada con la verificación del funcionamiento de la UPS siendo
esta un respaldo eléctrico instalado en la compañía. Ver Tabla 32
Tabla 32 Prueba P016 Verificar lel Funcionamiento de la UPS.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Redes y Comunicaciones
PRUEBA No: P016
PROCESO: Verificar el funcionamiento de la UPS.
OBJETIVO DE LA PRUEBA: Verificar el correcto funcionamiento del respaldo eléctrico
instalado en la compañía.
TIPO: Mixta
CONTROLES A PROBAR: Se tiene una UPS que permite trabajar con algunos equipos
mientras la luz se restaura.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación las políticas de seguridad solicitadas al proveedor del
servicio.
Solicitar al proveedor del servicio pantallazos de la configuración de las políticas en el
firewall.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
72
Las siguientes son pruebas que evaluaran el entorno de seguridad lógica. La prueba P017
está relacionada con la verificación de los logs de los backups realizados para comprobar que se
estén realizando en los tiempos estipulado. Ver Tabla 33
Tabla 33 Prueba P017 Verificar los Logs de lso Backups Realizados.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P017
PROCESO: Verificar los logs de los backups realizados.
OBJETIVO DE LA PRUEBA: Revisar los logs para confirmar que los backups se estén
realizando en los tiempos estipulados.
TIPO: Mixta
CONTROLES A PROBAR: Ejecutar el proceso manual al día siguiente.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación las políticas y procedimientos para la realización de los
backups.
Solicitar al jefe de operaciones el acceso al servidor donde se encuentran alojados los
logs de los backups.
Revisar los logs para verificar las últimas fechas de los backups y comparar los tiempos
con lo estipulado en las políticas y procedimientos.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
73
La prueba P018 está relacionada con la verificación del procedimiento para las pruebas de
cambios en el código fuente. Ver
Tabla 34 Prueba P018 Verificar el Procedimiento para las Pruebas de Cambios en el
Código Fuente.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P018
PROCESO: Verificar el procedimiento para las pruebas de cambios en el código fuente.
OBJETIVO DE LA PRUEBA: Revisar los procedimientos realizados al momento de hacer
cambios en el código fuente.
TIPO: Mixta
CONTROLES A PROBAR: Revertir el cambio y subir la última versión sin fallas en la
producción.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación las políticas y procedimientos para la realización de los
cambios en el código fuente.
Indagar con el personal del área los procedimientos que siguen al momento de realizar
cambios en el código fuente.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
74
La prueba P019 está relacionada con la verificación del software instalado en los quipos de
computo sea el autorizado para el uso corporativo. Ver Tabla 35
Tabla 35 Prueba P019 Verificar el Softwrae Instalado en los Equipos de Cómputo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P019
PROCESO: Verificar el software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar si el software instalado en los computadores es el
autorizado para uso corporativo.
TIPO: Mixta
CONTROLES A PROBAR: La mayoría de equipos tienen como sistema operativo Linux o
Macintosh.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Servidor Red Hat, Disco Duro:1 Raid Cero y 1 Raid 5 con 3 discos de 1.2
Teras. Procesador: Intel Xeon Processor E5-4669 v3 (45M Cache, 2.10 GHZ) 18 Núcleos.
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
Seleccionar algunos equipos de muestra y realizar la revisión en el panel de control,
programas y verificar el listado del software instalado.
Realiza una comparación entre el software encontrado y el aprobado por la compañía.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
75
La prueba P020 está relacionada con la revisión de las licencias del software instalado en
los equipos de cómputo. Ver Tabla 36
Tabla 36 Prueba P020 Revisar las Licencias del Software Instalado en los Equipos
de Cómputo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P020
PROCESO: Revisar las licencias del software instalado en los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar que el software instalado en la empresa esté
debidamente licenciado.
TIPO: Mixta
CONTROLES A PROBAR: La mayoría de equipos tienen como sistema operativo Linux o
Macintosh.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación el listado del software autorizado para el uso corporativo.
Solicitar las licencias de cada software instalado en los equipos.
Compara la cantidad de licencias adquiridas con respecto a la cantidad de equipos o
usuarios que hacen uso de este software.
Realiza una verificación del tiempo de vigencia de las licencias.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
76
La prueba P021 está relacionada con la comprobación de la eliminación de archivos
temporales y obsoletos para la liberación del espacio en los servidores. Ver Tabla 37
Tabla 37 Prueba P021 Comprobar la Eliminación de Archivos Temporales y
Obsoletos.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad Lógica
PRUEBA No: P021
PROCESO: Comprobar la eliminación de archivos temporales y obsoletos.
OBJETIVO DE LA PRUEBA: Verificar el procedimiento para la liberación del espacio en los
servidores.
TIPO: Mixta
CONTROLES A PROBAR: Se tienen implementadas alertas que informan cuando se está
acabando el espacio en cada partición del disco y servidor.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación el documento de procedimientos para la liberación de
espacio y eliminación de archivos obsoletos.
Solicitar al operador abrir las carpetas de temporales locales y de usuario para verificar
el tamaño de cada carpeta.
Verificar el historial de backups almacenados en los discos del servidor para saber la
antigüedad de cada uno de ellos.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
77
Las siguientes son pruebas que evaluaran el entorno de compras y garantía de Hardware.
La prueba P022 está relacionada con la revisión del cubrimiento de la garantía de los equipos de
cómputo y su vigencia. Ver Tabla 38
Tabla 38 Prueba P022 Revisión del Cubrimiento de la Garantía de los Equipos de
Cómputo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Riesgos De Compras Y Garantía De Hw
PRUEBA No: P022
PROCESO: Revisión del cubrimiento de la garantía de los equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar el cubrimiento de la garantía de los equipos de
cómputo y su vigencia.
TIPO: Mixta
CONTROLES A PROBAR: Llevar un control del tiempo de garantía de los equipos.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operación el archivo de las garantías de los equipos de cómputo.
Verificar que la fecha de vigencia de las garantías todavía este activa.
Solicitar soporte si existen extensiones a las garantías vencidas.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
78
La prueba P023 está relacionada con la confirmación de capacitación del personal de
soporte técnico de equipos de cómputo. Ver Tabla 39
Tabla 39 Prueba P023 Confirmar la Capacitación del Personal de Soporte Técnico
de Equipos de Cómputo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Riesgos De Compras Y Garantía De Hw
PRUEBA No: P023
PROCESO: Confirmar la capacitación del personal de soporte técnico de equipos de cómputo.
OBJETIVO DE LA PRUEBA: Verificar la experticia y la capacidad que posee el personal de
soporte técnico de los equipos de cómputo.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al director de recurso humano las pruebas realizadas al personal de soporte
técnico.
Solicitar al jefe de operaciones los soportes de mantenimiento a los equipos de cómputo
por parte del área de soporte técnico.
Comparar los soportes entregados por el jefe de operaciones con los reportes de los
daños de computo.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
79
La prueba P024 está relacionada con la revisión de las especificaciones técnicas de los
equipos de cómputo aprobados por la gerencia, necesarios para la labor en la compañía. Ver Tabla
40
Tabla 40 Prueba P024 Revisar las Especificaciones Técnicas de los Equipos de
Cómputo necesarios para la Labor en la Compañia.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Riesgos De Compras Y Garantía De Hw
PRUEBA No: P024
PROCESO: Revisar las especificaciones técnicas de los equipos de cómputo necesarios para la
labor en la compañía.
OBJETIVO DE LA PRUEBA: Verificar que los equipos de cómputo que son utilizados en la
compañía cumplan con las especificaciones técnicas aprobadas por la gerencia.
TIPO: Mixta
CONTROLES A PROBAR: Se valida de manera informal, las características que se necesitan
para la adquisición de nuevos equipos.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de operaciones las políticas para compra de equipos de cómputo y las
especificaciones que deben tener.
Solicitar al operador de sistemas una impresión de las especificaciones técnicas de un
computador. Información que se obtendrá desde la herramienta de información del
sistema.
Comparar las políticas con los reportes de información del sistema impresos.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
80
Las siguientes son pruebas que evaluaran el entorno de seguridad de instalaciones. La
prueba P025 está relacionada con la supervisión de los elementos de oficina, entregados a los
empleados. Ver Tabla 41
Tabla 41 Prueba P025 Supervisar los Elementos de Oficina.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad De Instalaciones
PRUEBA No: P025
PROCESO: Supervisar los elementos de oficina.
OBJETIVO DE LA PRUEBA: Verificar que los elementos de oficina entregados a los
empleados son acordes a sus labores diarias.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al jefe de recurso humano el listado de los elementos de trabajo autorizados por
la gerencia para entregar a los empleados.
Solicitar al jefe de recurso humano los lineamientos de ergonomía y seguridad aprobados
para los elementos y equipos de trabajo entregados a los empleados.
Verificar que los equipos de oficina y computo cumplan con los estándares de
ergonomía y seguridad aprobados.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
81
La prueba P026 está relacionada con la confirmación del funcionamiento de la ventilación
de la oficina. Ver
Tabla 42 Prueba P026 Confirmar el Funcionamiento de la Ventilación de la Oficina.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad De Instalaciones
PRUEBA No: P026
PROCESO: Confirmar el funcionamiento de la ventilación de la oficina.
OBJETIVO DE LA PRUEBA: Verificar las óptimas condiciones y funcionamiento del sistema
de ventilación instalado en la oficina.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al Jefe de Operaciones los manuales y planos de instalación del sistema de
ventilación.
Solicitar al Jefe de operaciones el historial y los soportes de los mantenimientos
realizados al sistema de ventilación.
Realizar una verificación del funcionamiento del sistema de ventilación instalado en las
oficinas.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
82
La prueba P027 está relacionada con la verificación de la luminosidad de los diferentes
espacios de la compañía y las óptimas condiciones de funcionamiento. Ver Tabla 43
Tabla 43 Prueba P027 Verificación de la Luminosidad de los Diferentes Espacios de
la Compañia.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad De Instalaciones
PRUEBA No: P027
PROCESO: Verificación de la luminosidad de los diferentes espacios de la compañía.
OBJETIVO DE LA PRUEBA: Verificar las óptimas condiciones y funcionamiento del sistema
de iluminación en las oficinas.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al Jefe de Operaciones los manuales y planos de instalación del sistema de
iluminación.
Solicitar al Jefe de operaciones el historial y los soportes de los mantenimientos
realizados al sistema de iluminación.
Realizar una verificación del funcionamiento del sistema de iluminación instalado en las
oficinas.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
83
La prueba P028 está relacionada con la comprobación de las señalizaciones de emergencia
instalados en la compañía. Ver Tabla 44
Tabla 44 Prueba P028 Comprobar las Señalizaciones de Emergencia Instalados en
la Compañía.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ACTIVIDAD: Seguridad De Instalaciones
PRUEBA No: P028
PROCESO: Comprobar las señalizaciones de emergencia instalados en la compañía.
OBJETIVO DE LA PRUEBA: Verificar las señalizaciones instaladas en las oficinas.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: Windows 7.
HARDWARE: Procesador Intel Dual Core de 2.5 GHZ, Disco: 500 GB, RAM 4 GB
PERSONAL: IT o al Jefe de Operación.
PROCEDIMIENTO A EMPLEAR
Solicitar al Jefe de Operaciones los manuales y planos de señalización de las oficinas y
centros de cómputo.
Verificar que las señalizaciones se encuentren en perfecto esta y en un lugar visible por
el personal.
Diligenciará planillas con los hallazgos encontrados durante la prueba.
84
Las siguientes son pruebas que evaluaran el entorno de continuidad del negocio. La prueba
P029 está relacionada con la validación de los cargos y los procesos establecidos para la
continuidad del negocio. Ver Tabla 45
Tabla 45 Prueba P029 Validar los Cargos y los Procesos Establecidos para la
Continuidad del Negocio.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P029
PROCESO: Validar los cargos y los procesos establecidos para la continuidad del Negocio.
OBJETIVO DE LA PRUEBA: Verificar si se tienen identificados los procesos y los cargos que
se deben de tener en cuenta para la continuidad del negocio.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar la cantidad de procesos de la empresa.
Validar los procesos que se tiene en cuenta para la continuidad del negocio.
Validar la cantidad de cargos en la empresa.
Validar los cargos que se requieren para la continuidad del negocio.
85
La prueba P030 está relacionada con la validar que los proveedores y los distribuidores
principales aseguren la continuidad del negocio ante una catástrofe. Ver
Tabla 46 Prueba P030 Continuidad del Negocio por Parte de los Proveedores y
Distribuidores.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P030
PROCESO: Continuidad del negocio por parte de los proveedores y distribuidores.
OBJETIVO DE LA PRUEBA: Validar que los proveedores y los distribuidores principales
aseguren la continuidad del negocio ante una catástrofe.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar la cantidad de proveedores y distribuidores que tienen contrato con la empresa.
Revisar las condiciones de los contratos firmados de los principales proveedores y las
cláusulas que aseguran la continuidad del negocio.
Revisar las condiciones de los contratos firmados de los distribuidores y las cláusulas
que aseguran la continuidad del negocio.
Validar los costos de las cláusulas de incumplimiento de las dos partes.
Validar el tiempo de respuesta estipulado en el contrato para asegurar la continuidad del
negocio.
Validar si se tienen identificados los principales procesos que tiene para iniciar
operación.
86
La prueba P031 está relacionada con la validación de las estrategias para la mejora del
plan de continuidad del negocio. Ver Tabla 47
Tabla 47 Prueba P031 Verificar las Estrategias para la Mejora del Plan de
Continuidad del Negocio.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P031
PROCESO: Verificar las estrategias para la mejora del plan de continuidad del negocio.
OBJETIVO DE LA PRUEBA: Validar que los proveedores y los distribuidores principales
aseguren la continuidad del negocio ante una catástrofe.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Revisar en el plan de continuidad del negocio si se tiene implementado modelos y
estrategias para la mejorar del plan de continuidad del negocio.
Validar como se genera la aprobación de las estrategias de mejora del proceso del plan
de continuidad del negocio.
Validar las versiones de la mejora de los planes de continuidad.
Validar las pruebas realizadas al plan de continuidad.
Validar el procedimiento que se tiene establecida para la aprobación de las estrategias
del plan de continuidad.
87
La prueba P032 está relacionada con la validación de la realización de los respaldos
periódicos de la información. Ver Tabla 48
Tabla 48 Prueba P032 Respaldo de la Información.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P032
PROCESO: Respaldo de la información.
OBJETIVO DE LA PRUEBA: Validar si se realizan respaldos periódicos de la información.
TIPO: Mixta TÉCNICA:
CONTROLES A PROBAR: Se priorizan los procesos por operador y se tienen documentados
como se deben ejecutar y en qué orden.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar el procedimiento para realizar los respaldos de la información.
Validar las políticas para la realización de los respaldos de la información.
Validar con que periodicidad se realizan los respaldos de la información.
Validar el lugar de almacenamiento de los respaldos de la información.
Validar si se realizan pruebas a los respaldos de la información.
88
La prueba P033 está relacionada con la validación del tiempo establecido para reanudar
las operaciones tras una interrupción. Ver Tabla 49
Tabla 49 Prueba P033 Reanudación de las Operaciones Después de una
Interrupción.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P033
PROCESO: Reanudación de operaciones después de una interrupción.
OBJETIVO DE LA PRUEBA: Validar el tiempo que se tiene establecido para reanudar
operaciones tras una interrupción.
TIPO: Mixta TÉCNICA:
CONTROLES A PROBAR: Se priorizan los procesos por operador y se tiene documentado
como se deben ejecutar y en qué orden.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar el procedimiento que se tiene para reanudar operaciones en la continuidad del
negocio.
Validar el tiempo esperado que se tiene para reestablecer el servicio.
Validar si se realiza el seguimiento a los sistemas después de la incidencia
Validar si se tienen identificados los principales procesos que se deben de tener
encuentra para la reanudación de la operación después de una interrupción.
89
La prueba P034 está relacionada con la validación de la realización de los backups de la
información. Ver Tabla 50
Tabla 50 Prueba P034 Realización de los Backups.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P034
PROCESO: Realización de los Backup.
OBJETIVO DE LA PRUEBA: Validar si se realizan Backup.
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar el procedimiento que se tiene para realizar los Backups.
Validar la periodicidad de los Backups.
Validar si se tiene identificado los procesos a los que se les debe de realizar los Backups.
Validar si se realizan pruebas de restauración de los Backups.
Validar la hora a las que se realiza los Backups.
Validar las personas que están autorizadas para realizar los Backups.
90
La prueba P035 está relacionada con validar las rutas de escalamiento que se tienen en
caso de un eventual catástrofe o incidencia para dar con la continuidad del negocio. Ver Tabla 51
Tabla 51 Prueba P035 Rustas de Escalamiento para la Continuidad del Negocio
Tras una Eventual Catástrofe.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P035
PROCESO: Rutas de escalamiento para la continuidad del negocio tras la eventual catástrofe.
OBJETIVO DE LA PRUEBA: Validar las rutas de escalamiento que se tiene para la eventual
catástrofe o incidencia para dar con la continuidad del negocio.
TIPO: Mixta TÉCNICA:
CONTROLES A PROBAR:
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar las rutas de escalamiento que encuentran en el plan de continuidad del negocio
ante una eventual catástrofe o incidencia.
Validar los procesos que deben de escalar.
Validar el tiempo esperado por proceso al momento ser escalado.
Validar las personas que están autorizadas para poder realizar el proceso de
escalamiento.
91
La prueba P036 está relacionada con la validación de controles de acceso para cada una
de las diferentes áreas de la empresa. Ver
Tabla 52 Prueba P036 Validar los Controles de Acceso.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Continuidad del Negocio.
PRUEBA No: P036
PROCESO: Validar los controles de acceso.
OBJETIVO DE LA PRUEBA: Validar los controles de acceso para cada de las diferentes áreas
TIPO: Mixta
CONTROLES A PROBAR: N/E
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Jefe de Operaciones.
PROCEDIMIENTO A EMPLEAR
Validar la lista de empleados con cargos que se encuentran laborando.
Validar las diferentes áreas de acceso restringido.
Validar el log de acceso a las diferentes áreas de acceso restringido.
Validar las personas que están autorizadas para poder realizar el proceso de autorización
de cada área.
92
Las siguientes son pruebas que evaluaran el entorno de entrenamiento del personal. La
prueba P037 está relacionada con la validación de las actualizaciones de las descripciones y los
requisitos de los puestos de trabajo. Ver Tabla 53
Tabla 53 Prueba P037 Actualizaciones de las Descripciones y Requisitos de los
Puestos de Trabajo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P037
PROCESO: Actualizaciones de las descripciones y requisitos de los puestos de trabajo.
OBJETIVO DE LA PRUEBA: Validar las diferentes actualizaciones de las descripciones y
requisitos de los puestos de trabajo.
TIPO: Mixta
CONTROLES A PROBAR: Se capacita al personal en los procesos y se les entrega la
documentación sobe estos.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Validar las diferentes actualizaciones realizadas de las descripciones de los puestos de
trabajo.
Validar las actualizaciones realizadas de los requisitos de los puestos de trabajo.
Validar la cantidad de los cargos dentro de la empresa.
Validar cada cuanto se genera las actualizaciones.
Validar el o los responsables de las actualizaciones.
93
La prueba P038 está relacionada con la validación del tiempo que toma cubrir los
diferentes cargos de un empleado en una vacante. Ver
Tabla 54 Prueba P038 Tiempo Determinado para Cubrir una Vacante.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P038
PROCESO: Tiempo determinado para cubrir una vacante.
OBJETIVO DE LA PRUEBA: Validar cual es el tiempo determinado para cubrir los diferentes
cargos de empleados en una vacante.
TIPO: Mixta
CONTROLES A PROBAR: N/A
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Validar las diferentes categorías de un puesto de trabajo.
Validar el tiempo estimado para la contratación de los diferentes puestos de trabajo.
Validar los diferentes perfiles por cargo.
Validar si se cumplen con los perfiles de las personas ya contratadas.
94
La prueba P039 está relacionada con la validación de las políticas para el reclutamiento
de personal interno y/o externo. Ver
Tabla 55 Prueba P039 Políticas par el Reclutamiento Interno y Externo.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P039
PROCESO: Políticas para el reclutamiento interno y externo.
OBJETIVO DE LA PRUEBA: Validar las diferentes políticas establecidas para el reclutamiento
interno y externo.
TIPO: Mixta
CONTROLES A PROBAR: N/A
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Validar las políticas que se tienen establecidas para el reclutamiento interno y externo.
Validar la actualización de las políticas establecidas para la contratación.
Validar cada cuanto se realizan las actualizaciones.
95
La prueba P040 está relacionada con la validación de los formularios de evaluación del
desempeño de los empleados de la empresa SMSAmericas. Ver
Tabla 56 Prueba P040 Formularios de Desempeño de los Empleados.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P040
PROCESO: Formularios de desempeño de los empleados.
OBJETIVO DE LA PRUEBA: Validar los formularios de evaluación de desempeño de los
empleados.
TIPO: Mixta
CONTROLES A PROBAR: N/A
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Revisar los diferentes formularios que se tiene implementados para medir el desempeño
de las diferentes categorías de empleados.
Validar cada cuanto se realizan las actualizaciones de los formularios.
Validar cual es el procedimiento que debe tener en cuenta la aprobación de los diferentes
formularios.
96
La prueba P041 está relacionada con la validación de los planes de acción que se tienen
para cubrir las necesidades de RH en las diferentes áreas. Ver
Tabla 57 Prueba P041 Planes para Cubrir las Vacantes en un Futuro.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P041
PROCESO: Planes para cubrir las vacantes en un futuro.
OBJETIVO DE LA PRUEBA: Validar los planes de acción que tienen para cubrir las
necesidades de RH en las diferentes áreas.
TIPO: Mixta
CONTROLES A PROBAR: N/A
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Revisar los diferentes planes de acción que tienen hacia un futuro para contratar recurso
humano para los diferentes cargos.
Validar el tiempo de que tiene para poder suplir una vacante.
97
La prueba P042 está relacionada con la validación de los procesos de capacitación de los
diferentes cargos. Ver
Tabla 58 Prueba P042 Proceso de Capacitación.
SMSAMERICAS
DISEÑO DE PRUEBAS DE AUDITORÍA
ENTORNO: Entrenamiento del Personal.
PRUEBA No: P042
PROCESO: Proceso de Capacitación.
OBJETIVO DE LA PRUEBA: Validar los procesos de capacitación de los diferentes cargos.
TIPO: Mixta
CONTROLES A PROBAR: Se capacita al personal en los procesos y se les entrega
documentación sobre estos.
RECURSOS NECESARIOS PARA APLICARLA
INFORMACIÓN
SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,
Firefox, Safari, Internet Explorer.
HARDWARE: Computador con recursos mínimos (Procesador Dual Core, RAM de 4 GB y
Disco Duro de 250 GB)
PERSONAL: Gerente Administrativo.
PROCEDIMIENTO A EMPLEAR
Revisar los procesos y la metodología del proceso de capacitación para cada cargo en las
diferentes áreas.
Validar el tiempo de capacitación de acuerdo al cargo a contratar.
Validar la forma de calificar las diferentes pruebas.
Validar el responsable de realizar las pruebas.
98
Luego de realizar estas pruebas se sigue con la ejecución de las mismas para evaluar cada
uno de los entornos. Para el caso de este plan, solo se realizará la evaluación de las pruebas y
ejecución del informe para el entorno de Bases de datos y servirá como muestra para la realización
en los demás entornos. Por lo cual desde el director IT o Jefe de Operaciones ya cuentan con las
herramientas para ejecutarlas y diagnosticar el estado actual de los procesos asociados al área de
Tecnología y al SI VASP. Por lo cual se recomienda iniciar por los entornos con mayor grado de
severidad de riesgo (Capacitación del Personal y Control de Seguridad Lógica).
4.3.3 EJECUCION DE PRUEBAS
4.3.3.1 BASE DE DATOS: P001
Al intentar ingresar al host de base de datos, se encuentra con un proceso de control de
acceso, el cual, al ingresar datos erróneos tanto a nivel de usuario, como la contraseña, este siempre
vuelve a cargar la página de autenticación. Ver Ilustración 1
Ilustración 1 Ingreso de Usuario y Contraseña
99
Al abrir al programa Asterisk Key, se muestra la siguiente ventana. Ver Ilustración 2
Ilustración 2 Programa Asterisk Key
Después al ingresar a la página para ingresar al pgadmin y ejecutar el programa se evidencia
que el programa no pudo encontrar la contraseña asociada, como se ve a continuación. Ver
Ilustración 3
Ilustración 3 Error de Autenticación
100
4.3.3.2 BASE DE DATOS: P002
Se solicita la lista de usuarios registrados en la base de datos la cual se detalla a
continuación. Ver Ilustración 4
De acuerdo a lo reportado por el administrador general, actualmente continúan 5 personas
trabajando en la empresa, pero en la base de datos todos los usuarios siguen activos, aunque no se
puede ingresar con dichos usuarios. Ver ¡Error! No se encuentra el origen de la referencia.
Ilustración 4 Listado de Usuarios Registrados
Ilustración 5 Ingreso de Usuario y Contraseña
101
De igual manera de acuerdo a lo indicado por los empleados del área de sistemas, todos
ingresan con el usuario mansms.
Se ingresa desde el navegador Chrome y Mozilla al mismo tiempo ingresando el usuario y
la contraseña entregados y se valida que no tiene restricción de secciones por usuario, como se
evidencia a continuación. Ver Ilustración 6
Ilustración 6 Validacion de Restricciones de Usuario
102
4.3.3.3 BASE DE DATOS: P003
Se analizan 2 contratos a nivel de Programador Junior, 1 de Jefe IT y 1 de Desarrollador
Master. Donde inicialmente las personas ingresan como Programador Junior y con el tiempo y la
experiencia adquirida van creciendo dentro de la compañía. Por lo cual el proceso de contratación
ha sido genérico para todos.
En cuanto a la solicitud de las pruebas técnicas y psicotécnicas que se realizan al personal,
se encuentra que se evalúa más la lógica y la forma de enfrentar el problema expuesto. Además,
no a todos los empleados se les ha realizado pruebas psicotécnicas para ingresar.
Se toma como ejemplo para la comparación del proceso de contratación a otra empresa del
sector de logística para el cargo de programador y se valida que en SMSAmericas el proceso es
más sencillo a pesar de no existir tantos controles a nivel de acceso a la información y a las
instalaciones. Ver Ilustración 7
PROCESO DE CONTRATACIÓN
SMSAMERICAS EMPRESA DE LOGISTICA
Se selecciona personas con
experiencia en desarrollo de software
en PHP o Java y manejo de base de
datos o estudiantes de ingeniería de
sistemas o electrónica.
Se realiza la entrevista con el Gerente
Administrativo.
Se realiza la entrevista con el
Director IT o Jefe de Operaciones.
Se realiza una prueba técnica.
De acuerdo al resultado de las
pruebas técnicas se hace la
validación de la hoja de vida.
Se selecciona personas con
experiencia mínima de 1 año en
desarrollo de software en .Net y
manejo de base de datos.
Se realiza prueba con el gerente del
área.
Se realiza prueba técnica.
Se realiza prueba psicotécnica.
Se realiza prueba del polígrafo.
Se realiza visita domiciliaria.
Se realizan exámenes médicos.
Y de acuerdo a los resultados ingresa
la persona como Programador.
Ilustración 7 Comparación Proceso de Contratación
103
4.3.3.4 BASE DE DATOS: P004
Actualmente la documentación se encuentra distribuida en diferentes herramientas
(Gestión de documentación colaborativa en línea) tales como la DokuWiki, MediaWiki, Sites de
Google, documentos en Word. Lo cual al momento de buscar la información por parte del personal
retrasa las actividades. Ver Ilustración 8, Ilustración 9, Ilustración 10
Ilustración 8 Documentación en Linea
104
Ilustración 9 Documentación en Linea 2
Ilustración 10 Documentación en Linea 3
105
Se toma como base el proceso de creación de servicios y debido a que no hay una interfaz
gráfica, se comprueba que se deben insertar los campos directamente en la base de datos, lo cual
ha ocasión problemas con varios servicios y operadores, ocasionando multas y pérdidas de
ingresos.
4.3.3.5 BASE DE DATOS: P005
De acuerdo a lo conversado con el CEO, el contrato contempla algunas cláusulas descritas
a continuación.
Existe un límite de 2 servidores por metro cuadrado.
Realización de mantenimiento preventivo.
Soporte 24 horas los 7 días de la semana.
UPS’s alternas, para dar continuidad al servicio ante fallas por parte de ellos.
4.3.3.6 BASE DE DATOS: P006
Se encuentra que el proceso de backups no está debidamente documentado y que el proceso
se trabaja de manera informal.
Se observa que hay procesos en cada servidor que se ejecutan automáticamente en las
noches (Horario de menor carga para los servidores), donde saca el backup diario y algunas tablas
son subidas a otro servidor inmediatamente y otra queda disponible para ser usada cuando se
requiera.
Se tiene un orden en cuanto al orden de almacenamiento de la información, pero se
evidencia que hay información que debe quedar en los ordenadores de los empleados (No se tiene
identificada toda la información, ni como está distribuida en los equipos de la oficina).
106
Se hacen backups a la tabla de Subscribers (Tabla de clientes), Message (Contiene el tráfico
de todos los mensajes que recibimos y que se envían por operador), Tornado (Tabla que almacena
los cobros diarios), algunas carpetas principales de los servidores. Ver Ilustración 11
Ilustración 11 Pantalla de Comando Backup
Al realizar el proceso de restauración de un backup de message, se valida que el backup
fue restaurado correctamente. Ver Ilustración 12
Ilustración 12 Pantalla Restauración de Backup
107
y al ver la información de nuevo en base de datos, se ve de la siguiente manera. Ver
Ilustración 13
Ilustración 13 Validación de la Informaciön Restaurada
4.3.3.7 BASE DE DATOS: P007
En los últimos 2 cambios,
El primero consistió en modificar parte del proceso de envíos para uno de los operadores,
proceso que no altero directamente a la base de datos. Ver Ilustración 14
Ilustración 14 Modificación Proceso Envíos
Y el segundo consistió en modificar algunos parámetros que se pasan a vistas para obtener
información desde la base de datos. Ver Ilustración 15
Ilustración 15 Modificación de Parametros
108
4.3.3.8 BASE DE DATOS: P008
No se tiene información formal del Modelo E/R, ni Diccionario de datos. Cualquier cambio
o implementación se debe hacer manualmente y en compañía del Jefe de Operaciones.
4.3.4 INFORME
El presente informe, muestra la evaluación realizada a la Base de Datos asociada al sistema
de información VASP de la empresa SMSAmericas Ltda., durante el mes de octubre del año en
curso. Donde se obtiene como resultado la culminación y cumplimiento de los objetivos a evaluar.
De acuerdo a esto se determina que el Departamento de Tecnología es la parte medular de
la empresa. Ya que es, donde los datos se convierten en información útil para las diferentes áreas
y la toma de decisiones, donde se guarda y que es generada para cada uno de los procesos de
SMSAmericas. Es por esto que el sistema de información VASP se constituyen como el Core del
negocio y es considerada unos de los activos más significativos en la actualidad de la Empresa.
Es por ello que SMSAmericas. debe de analizar, diseñar y restructurar sus procesos en base
a los hallazgos generados durante la auditoria principalmente realizada a la base de datos, ya que
al implementar dichas mejoras se garantiza la integridad, estabilidad de los procesos y continuidad
del negocio ante cualquier riesgo.
Dado esto, se evidencia que dentro del ambiente empresarial es de vital importancia contar
con información veraz, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se
constituya en una herramienta confiable para la toma de decisiones en SMSAmericas. Por ello se
identificaron los siguientes hallazgos y recomendaciones.
Se verifico que el acceso web a la base de datos desde una red externa esta validada
y permite limitar el acceso a personal no autorizado. Pero de igual manera al
109
permitir el acceso desde cualquier red se evidencia que la exposición de pérdida o
daño de la información es latente, por lo cual se recomienda.
o Restringir la base de datos a una red local.
o Agregar un proceso de identificación de intrusos que permita validar
ingresos no permitidos.
o Agregar un proceso de bloqueo de acceso después de 3 intentos erróneos.
o Establecer una política de cambio de la contraseña que no supere los 3
meses.
Se detectó que, debido a la falta de políticas para la modificación, eliminación y
creación de usuarios, la información está expuesta a daños o perdida. Por lo cual se
recomienda diseñar e implementar políticas de creación, modificación y
eliminación de usuarios. Algunos ejemplos son:
o Utilizar la cuenta de correo empresarial como usuario para el acceso a la
base de datos.
o Crear contraseñas alfanuméricas y con encriptación, para que no sean
visibles en la base de datos.
o Cuando una persona se va de la empresa debe inactivarse de una vez.
o Cuando un usuario se va a vacaciones, su status debe cambiarse, (No
inactivarse, para que se fácil identificar cuales usuarios ya no están, cuales
están en vacaciones y cuales están activos y productivos), lo cual genere que
no pueda acceder a la base de datos o aplicación.
o Crear perfiles de acuerdo a las funciones de cada empleado.
Se evidencia que hay retrasos en la entrega de procesos y reportes finales, debido a
la falta de información o la desactualización de la misma. Por lo cual se recomienda
centralizar toda la información en una herramienta (Se recomienda el Site de
Google “Cerebro”), en un periodo no mayor a 6 meses.
110
Se recomienda coordinar pruebas con el proveedor del servicio de alojamiento y
arrendamiento Tenzing en un ambiente controlado, con el fin de evaluar si lo
estipulado en las clausulas se cumplen a cabalidad o si por el contrario existe el
riesgo de pérdida de información y de continuidad del negocio.
De acuerdo a que se evidencia que el proceso de backups se encuentra de manera
informal, lo cual ha ocasionado no acceder a la información oportunamente, se
recomienda realizar un manual del proceso paso a paso, que permita identificar
fácilmente cual es la información involucrada, localización de los archivos y de los
backups.
Se confirma que no se tiene documentación sobre el modelo Entidad Relación de
la base de datos, ni el diccionario de datos, lo cual no ha permitido identificar a
tiempo la estructura de las tablas para cambios delicados sobre la misma, por lo
cual se recomienda
Debido a que no se tiene definido y no se sigue un proceso estándar para realizar
un control de cambios, lo cual ha generado pérdidas de ingresos y multas por parte
de los operadores causados por cambios inadecuados, se recomienda hacer un
instructivo con el paso a paso de cómo se debe realizar el cambio y quienes son los
responsables de acuerdo a sus funciones.
111
5 CONCLUSIONES Y RECOMENDACIONES
La empresa SMSAmericas es nueva en todo lo relacionado a las normativas o estándares
internacionales, aunque tengan procesos definidos, en su mayoría ninguno esta direccionado
mediante una política o un procedimiento escrito. Es por esto que se recomienda a la gerencia de
la empresa tomar como base este proyecto para iniciar sus procesos en las buenas prácticas de
Cobit 5.
Se realizó un diagnostico a gran parte del Sistema de Información VASP gracias a las
encuestas que se aplicaron a personas que tiene uso continuo de este SI. La información obtenida
no es muy extensa ya que como se ha mencionado constantemente en este documento, los procesos
y procedimientos no están documentados; pero fue de mucha ayuda para levantar información
base, para poder iniciar a la empresa SMSAmericas en el mundo de los estándares internacionales
y las buenas prácticas como COBIT 5.
Toda la información recolectada sirvió para dar a la gerencia de la empresa un vistazo de
los riesgos que tienen actualmente en la empresa, pero no solo se mostró lo malo, también se indicó
si estos riesgos tienen actualmente algún control que los mitigue en cierto porcentaje. Ya que la
empresa no tiene algún estándar o norma establecida en la empresa, se tomó esta información para
compararla con los apartados recomendados por la Circular 038 de septiembre de 2009 de la
Superfinanciera y luego con las buenas practicas recomendadas por COBIT 5 para dar así una base
de inicio para su implementación en todos los procesos y procedimientos a SMSAmericas.
Se diseñó un plan de auditoria que ataca a todos los riesgos encontrados en el análisis de la
información, pero solo se hace una evaluación de este plan al entorno de base de datos, ya que este
es el proceso más importante, uno de los entornos con calificación de riesgo más alto y donde se
encuentra la mayoría de información vital de la empresa (Uno de sus principales activos). Al
finalizar la evaluación se hace entrega del informe de auditoría arrojado por dicha evaluación y se
hacen unas recomendaciones a la alta gerencia para mitigar todos los hallazgos encontrados. Así
112
mismo se recomienda a SMSAmericas hacer uso de las buenas prácticas de COBIT 5 para
implementarlas en todos los procesos y procedimientos de la compañía para hacer que sea más
competente en el mercado actual.
De acuerdo a la evaluación y ejecución de las pruebas realizadas al entorno de base de datos
del SI VASP, se evidencia la necesidad de analizar e implementar las recomendaciones entregadas
a la empresa con el fin de mitigar y disminuir las vulnerabilidades actualmente encontradas. De
igual manera se recomienda efectuar la auditoria completa a los demás entornos evaluando
primeramente los de mayor calificación del riesgo, de acuerdo a su probabilidad e impacto.
113
BIBLIOGRAFÍA
Benchmark, C. (09 de 05 de 2016). COBIT (Objetivos de control para la información y tecnologías
relacionadas). Obtenido de http://es.ccm.net/contents/596-cobit-objetivos-de-control-
para-la-informacion-y-tecnologias-re
Instituto de Auditores Internos. (13 de 10 de 2012). Gestión Integral de Riesgo / Sistema de Control
Interno . Obtenido de
http://www.unjbg.edu.pe/transparenciainst/pdf/131012sistemacontrol.pdf
ISACA. (20 de 04 de 2016). Acerca de ISACA. Obtenido de
http://www.isaca.org/spanish/Pages/default.aspx
Moodle. (20 de 04 de 2016). Módulo de wiki. Obtenido de
https://docs.moodle.org/all/es/Módulo_de_wiki
Revista Dinero. (16 de 9 de 2015). Dinero. Obtenido de http://www.dinero.com/edicion-
impresa/caratula/articulo/crecimiento-importancia-pymes-economia-colombiana/213537
Superintendencia Financiera de Colombia. (Septiembre de 2009). Circular Externa 038 de 2009.
Obtenido de
http://www.fiduagraria.gov.co/NORMOGRAMA/Circular%20Externa%20038%20de%2
02009.pdf
UNAD. (31 de 10 de 2016). Riesgos y Control Informatico. Obtenido de
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabil
idad_riesgo_y_amenaza.html
114
Wikipedia. (18 de 09 de 2016). Google Sites. Obtenido de
https://es.wikipedia.org/wiki/Google_Sites
115
ANEXOS
Anexo 1 Cuestionarios
Empresa: SMSAMERICAS LTDA R/PT
Cuestionario de Control Bases de Datos 001
Dominio Bases de Datos
Proceso Seguridad de la Información
Objetivo de Control Seguridad de la Información
Bases de Datos
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo Log donde guarde información referida a
las operaciones que realiza la Base de datos? X
¿Se realiza copias de seguridad (diariamente, semanalmente,
mensualmente, etc.)? X
¿Existe algún usuario que no sea el DBA pero que tenga asignado el rol
DBA del servidor? X
¿Se encuentra un administrador de sistemas en la empresa que lleve un
control de los usuarios? X
¿Son gestionados los perfiles de estos usuarios por el administrador? X
¿Son gestionados los accesos a las instancias de la Base de Datos? X
¿Las instancias que contienen el repositorio, tienen acceso restringido? X
¿Se renuevan las claves de los usuarios de la Base de Datos? X
¿Se obliga el cambio de la contraseña de forma automática? X
¿Se encuentran listados de todos aquellos intentos de accesos no
satisfactorios o denegados a estructuras, tablas físicas y lógicas del
repositorio?
X
¿Posee la base de datos un diseño físico y lógico? X
¿Posee el diccionario de datos un diseño físico y lógico? X
¿Existe una instancia con copia del Repositorio para el entorno de
desarrollo? X
¿Los datos utilizados en el entorno de desarrollo, son reales? X
¿Las copias de seguridad se efectúan diariamente? X
¿Las copias de seguridad son encriptados? X
¿Se ha probado restaurar alguna vez una copia de seguridad, para probar
que las mismas se encuentren bien hechas? X
¿Los dispositivos que tienen las copias de seguridad, son almacenados
fuera del edificio de la empresa? X
116
¿En caso de que el equipo principal sufra una avería, existen equipos
auxiliares? X
¿Cuándo se necesita restablecer la base de datos, se le comunica al
administrador? X
¿Se lleva a cabo una comprobación, para verificar que los cambios
efectuados son los solicitados por el interesado? X
¿Se documentan los cambios efectuados? X
¿Hay algún procedimiento para dar de alta a un usuario? X
¿Hay algún procedimiento para dar de baja a un usuario? X
¿Es eliminada la cuenta del usuario en dicho procedimiento? X
¿El motor de Base de Datos soporta herramientas de auditoría? X
¿Existe algún plan de contingencia ante alguna situación no deseada en
la Base de Datos? X
¿Existen logs que permitan tener pistas sobre las acciones realizadas
sobre los objetos del base de datos? X
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Inventario 002
Dominio Redes y Comunicaciones
Proceso Instalación y diseño de redes
Objetivo de Control Evaluación Infraestructura de
redes de comunicación
Cuestionario
Pregunta SI NO N/E
¿Todos los nodos se encuentran bajo un mismo estándar de modo que
no se reduzca la velocidad de transmisión? X
¿Se gestiona la infraestructura de la red inalámbrica en base a los
recursos de radiofrecuencia de los clientes? X
¿Los enlaces de la red se testean frecuentemente? X
¿La longitud de los tramos de cableado horizontal no excede de los 90
metros? X
¿El armado del patch panel cumple con los requerimientos básicos del
estándar 568-A y 568-B? X
¿El etiquetado implementado en la organización cuenta con un código
de colores para facilitar su identificación? X
¿Cuenta con un mapa arquitectónico para la verificación del sembrado
de nodos? X
117
¿El cable cuenta con los recorridos horizontales correctos para el
backbone y sus subsistemas? X
¿El cableado estructurado del interior del edificio viaja dentro de
canaleta o ducto? X
¿Cuenta con dispositivo firewall físico para protección y
aseguramiento de la red? X
¿Las direcciones IP´S de los equipos de cómputo son implementadas
de forma fija? X
¿Cuentan con conmutadores en red, para la expansión de redes
locales? X
¿Se tiene conexión a tierra física para protección de equipos ante
posibles descargas eléctricas que puedan afectar? X
¿Cuenta con dispositivos para la regulación del voltaje? X
Se tiene implementado un sistema de control de acceso a los centros
de cableado y dispositivos X
¿Los equipos se encuentran instalados en áreas con temperaturas
adecuadas para su funcionamiento? X
¿Esta implementado un modelo de QoS en la red? X
¿La red cuenta con los equipos y aplicaciones (protección) necesarias
para tener un mayor resguardo de intrusos activos (hackers)? X
¿Existen planes de contingencia y continuidad que garanticen el buen
funcionamiento de la red? X
¿Las terminaciones del cable de red están correctamente configuradas
en base al código de colores de los pares trenzados?
X
¿Se tienen suficientes nodos en la red para conectar todos los equipos
que lo requieren? X
¿Cuenta con un análisis de vulnerabilidades en la implementación y
configuración de los dispositivos de red? X
¿Los datos que viajan por internet se encuentran cifrados? X
En cuanto a las pruebas del cableado, ¿el departamento de TI, genera
sus propios ataques para probar la solidez de la red y encontrar
posibles fallas?
X
Cuentan con administración interna de la red, es decir, ¿cuentan con
VLAN’s creadas en el servidor para tener una mayor administración
en cada una de las oficinas que se dedican a diferentes actividades?
X
Para evitar vulnerabilidades en las WLAN ¿Usan protocolos de
autenticación, como está establecido en el estándar IEEE 802?11? X
¿La cantidad de dispositivos Access Point es la adecuada en función
del número de usuarios que se conectan, como lo establece el estándar
802?11?
X
¿La red inalámbrica proporciona velocidades de transmisión de
54Mbps en distancias cortas? X
118
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Seguridad Lógica e Informática 003
Dominio Manejo de Información y
elementos
Proceso Seguridad de la Información
Objetivo de Control Seguridad de la Información
Cuestionario
Pregunta SI NO N/E
¿Existen metodologías de respaldo de información? X
¿Se realizan respaldos de información periódicamente? X
¿Existe un administrador de sistemas que controle las cuentas de
los usuarios? X
¿Existe algún estándar para la creación de contraseñas? X
¿Las contraseñas cuentan con letras, números y símbolos? X
¿Se obliga, cada cierto tiempo a cambiar la contraseña? X
¿La organización cuenta con un proceso para dar mantenimiento
preventivo al software? X
¿La organización cuenta con un proceso para dar mantenimiento
correctivo al software? X
¿Se tienen software antivirus instalados en los equipos de cómputo? X
¿Cuentan con antivirus actualizado? X
¿Se tienen instalados anti malware en los equipos de cómputo? X
¿Cuenta con licencias de software? X
¿Existe un proceso para mantener las licencias actualizadas? X
¿Existe un proceso para adquirir nuevas licencias? X
¿Se sanciona al integrante del departamento si instala software no
permitido? X
¿Los usuarios de bajo nivel tienen restringido el acceso a las partes
más delicadas de las aplicaciones? X
¿Realizan mantenimiento preventivo al equipo de cómputo? X
¿Realizan mantenimiento correctivo al equipo de cómputo? X
¿El equipo de cómputo cuenta con suficiente espacio en HD en
función de los servicios que otorga? X
¿El equipo de cómputo cuenta con suficiente memoria RAM en
función de los servicios que otorga? X
119
¿La velocidad del procesador es el adecuado para los programas
que son utilizados en los equipos? X
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Compra y Garantía de Hardware 004
Dominio Adquisición e Implementación
Proceso Adquirir y mantener la arquitectura
tecnológica
Objetivo de Control Hardware y Software Compra y
Garantía
Cuestionario
Pregunta SI NO N/E
¿Se lleva un control de los equipos en garantía, para que a la
finalización de ésta, se integren a algún programa de
mantenimiento?
X
¿Se cuenta con servicio de mantenimiento para todos los
equipos? X
¿Con cuanta frecuencia se realiza mantenimiento a los equipos? X
¿Se cuenta con procedimientos definidos para la adquisición de
nuevos equipos? X
¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el mejor? X
¿Existe un control y análisis del desempeño del hardware para
proyectar y presupuestar a futuro cambios de equipo? X
¿Cuenta el Departamento de Sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso de
emergencias?
X
¿Existen procedimiento para asegurar la implantación de
software en el servidor de producción? X
¿Existen estándares o guías para el diseño y desarrollo de
aplicaciones? X
¿El software operativo y aplicativo adquirido de proveedores
externos cuenta con sus respectivas licencias originales? X
¿Existen disposiciones de seguridad para recursos informáticos
instalados fuera de la organización? X
120
Empresa: SMSAMERICAS R/PT
Cuestionario de Control y seguridad Instalaciones y
Cubículos 005
Dominio Entrega de Servicios y Soportes
Proceso Administración de Instalaciones.
Objetivo de Control Instalaciones, adecuaciones y
seguridad
Cuestionario
Pregunta SI NO N/E
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas
o adaptadas específicamente para funcionar como un centro de
cómputo?
X
¿Se tiene una distribución del espacio adecuada, de forma tal
que facilite el trabajo y no existan distracciones? X
¿Existe suficiente espacio dentro de las instalaciones de forma
que permita una circulación fluida? X
¿Existen lugares de acceso restringido? X
¿Se cuenta con sistemas de seguridad para impedir el paso a
lugares de acceso restringido? X
¿Se cuenta con sistemas de emergencia como son detectores de
humo, alarmas, u otro tipo de censores? X
¿Existen señalizaciones adecuadas en las salidas de emergencia
y se tienen establecidas rutas de evacuación? X
¿Se tienen medios adecuados para extinción de fuego en el
centro de cómputo? X
¿Se cuenta con iluminación adecuada y con iluminación de
emergencia en casos de contingencia? X
¿Se tienen sistemas de seguridad para evitar que se sustraiga
equipo de las instalaciones? X
¿Se tiene un lugar asignado para papelería y utensilios de
trabajo? X
¿Son funcionales los muebles instalados dentro del centro de
cómputo: ¿cinto teco, Discoteca, archiveros, mesas de trabajo,
etc.?
X
¿Existen prohibiciones para fumar, consumir alimentos y
bebidas? X
¿Se cuenta con suficientes carteles en lugares visibles que
recuerdan estas prohibiciones? X
¿Con cuanta frecuencia se limpian las instalaciones? 2 VECES POR SEMANA
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara
de aire que existe debajo del piso falso (si existe)? X
121
Empresa: SMSAMERICAS R/PT
Cuestionario de Control Impacto Ambiental 006
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores
Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/E
¿El centro de cómputo tiene alguna sección con sistema de
refrigeración? X
¿Con cuanta frecuencia se revisan y calibran los controles
ambientales? X
¿Se tiene contrato de mantenimiento para los equipos que
proporcionan el control ambiental? X
¿Se tienen instalados y se limpian regularmente los filtros de
aire? X
¿Con cuanta frecuencia se limpian los filtros de aire? X
¿Se tiene plan de contingencia en caso de que fallen los
controles ambientales? X
¿Se cuenta con políticas claras y definidas al finalizar la vida útil
de los elementos informáticos que se dan de baja? X
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 007
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores
Ambientales
Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/E
¿Se tienen lugares de acceso restringido? X
¿Se poseen mecanismos de seguridad para el acceso a estos
lugares? X
¿A este mecanismo de seguridad se le han detectado
debilidades? X
¿Tiene medidas implementadas ante la falla del sistema de
seguridad? X
¿Con cuanta frecuencia se actualizan las claves o credenciales
de acceso? X
¿Se tiene un registro de las personas que ingresan a las
instalaciones? X
122
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 008
Dominio Planear y Organizar
Proceso
Objetivo de Control Evaluar y Administrar Los Riesgos de
TI
Cuestionario
Pregunta SI NO N/E
¿Cuenta el Departamento de Sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso de
emergencias?
X
¿Cuenta con un marco de trabajo de administración de Riesgos? X
¿Saben cómo medir el impacto el impacto potencial negativo
sobre las metas o las operaciones de la Empresa? X
¿Cuentan con un proceso de respuesta ante la materialización de
un riesgo, que aseguren un bajo costo apara la empresa? X
¿Tienen bien definidas las prioridades y las planeaciones de las
actividades de control a todos los niveles para implementar una
respuesta a los riesgos?
X
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 009
Dominio Entregar y dar soporte
Proceso
Objetivo de Control Educar y Entrenar a los Usuarios
Cuestionario
Pregunta SI NO N/E
¿Con cuanta frecuencia capacita a los usuarios? X
Observación: Cada vez que un usuario ingresa, cuando se implementan nuevos procesos o cuando se
tienen dudas sobre cualquier proceso.
¿Existe un programa de entrenamiento de usuarios? X
¿Tiene planes de mejoras continuas para los usuarios? X
¿Existe alguna estrategia de entrenamiento y la medición de
resultados? X
¿Se cuenta con manuales actualizados para la inducción a los
usuarios? X
¿Existen cursos de formación internos? X
123
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 010
Dominio Entregar y dar soporte
Proceso
Objetivo de Control Administrar la Mesa de Servicios y
los Incidentes
Cuestionario
Pregunta SI NO N/E
¿En qué lapso de tiempo resuelve un incidente reportado por un
usuario? X
Observación: Se trabaja para solucionarlo en el menor tiempo posible.
¿Con cuanta frecuencia le reportan fallas en los servicios? Media
¿Con cuanta frecuencia le reportan fallas en las aplicaciones? Media
¿Con cuanta frecuencia le reportan fallas en la infraestructura? Baja
¿Cuenta con un mecanismo para medir la velocidad promedio
para responder a las peticiones de los usuarios? X
Observación: Se cuenta con una herramienta la cual permite registrar las actividades diarias por persona
y cuánto tiempo toma resolverla.
¿Con que frecuencia abandona las llamadas por incidencia de
los usuarios? Baja
¿Cuenta con alguna herramienta para responder a consultas de
los usuarios? X
Empresa: SMSAMERICAS R/PT
Cuestionario de Control 011
Dominio Entregar y dar soporte
Proceso
Objetivo de Control Administración de Operaciones
Cuestionario
Pregunta SI NO N/E
¿Qué tipos de procedimientos estandarizados, actualizaciones de
programas manejan?
¿Cómo hacen la programación de las tareas de procesos y las
secuencias de los procedimientos que deben implementarse? X
Observación: Se revisan las solicitudes, sus prioridades y se
asignan a alguna de las personas del equipo.
¿Tipos de procedimientos para monitorear la infraestructura de
TI? X
¿Qué tipo de inventarios realizan para la administración de
adecuada sobre los activos de TI? X
¿Cada cuánto dan mantenimiento oportuno a la infraestructura
para reducir las fallas en el desempeño? X
124