PROYECTO DE AUDITORIA EN EL LABORATORIO DE INFORMATICA UTILIZANDO COBIT 5AUDITORIA Y SEGURIDAD DE SISTEMASI. ASPECTOS GENERALESI. ASPECTOS GENERALESMISIONBrindar un servicio de apoyo de calidad al proceso de enseanza-aprendizaje y satisfacerlosrequerimientosdeinformacinacadmicassolicitadasporlos estudiantes de la Carrera Profesional Ingeniera de istemas e Inform!tica"VISIONerunla#oratoriodeinform!ticaconsolidadoensuinfraestructurafsica$sus funciones#!sicasdeserviciosdecomputo$conla#oratorioscertificados$ soft%areactualizadoyunaampliaymejoradaredinstitucional$sistemasde informacinysoporte tcnicocalificado$paraconstituirsecomouna &erramientaesencialydepuntaquerepresenteunaventajadeaprendizajey desarrollo para los estudiantes de la Carrera Profesional Ingeniera de istemas e Inform!tica"OBJETIVO GENERALConstituiralos'a#oratoriosdeInform!ticacomoespaciosacadmicoscon losrecursosde&ard%areysoft%arequecorrespondanparaelprocesode enseanza-aprendizajeeinvestigacinformativaycientficadondese apre&enden las competencias profesionales vinculadas a la inform!tica"II. PROCESOS A EVALUARII. PROCESOS A EVALUARA. Evaluar, Orientar y Superviar !E"M#E"M$% Ae&urar la Opti'i(a)i*n +e Re)ur,AsegurarlaoptimizacindelosrecursosdeTI,incluyendola informacin,losservicios,lainfraestructuraylasaplicaciones,yel personal, para apoyar ellogro de los objetivos organizacionales.B. Alinear, Plani-)ar y Or&ani(ar !APO#APO./ Geti,nar el Rie&, La gestin de riesgos implica su identificacin, anlisis y evaluacin para darlesuntratamientoapropiadoyas, llevarlosaunnivel aceptable para la organizacin. La respuesta puede ser mitigar o reducir el riesgo, transferirlo o compartirlo, evitarlo o aceptarlo.navezidentificadoslosriesgos,sedebemantenerunregistrode losmismosymonitorearlosparaactuarconsecuentemente.!lriesgo "ue#oyesaceptablepuedeconvertirseeninaceptablealcambiarel entornoolascircunstancias.Laorganizacindebeimplementar actividadesdecontrolatrav$sdepolticasyprocedimientos adecuados.Laspolticassonlosenunciadosdealtonivel"ue establecenlasdirectrices.Losprocedimientosdefinenlo"uesedebe #acerpasoapasoparallevaracabolosprocesos,pormediodelos cual se implementan las polticas.C. C,ntruir, A+0uirir e I'ple'entar !BAI#BAI$1 Geti,nar la i+enti-)a)i*n y la C,ntru))i*n +e S,lu)i,ne!l objetivo del presente proceso es mantener lasaplicaciones disponibles de acuerdo con los re"uerimientos del negocio. !ste proceso cubre el dise%o de las aplicaciones, la inclusin apropiada de controles aplicativos y re"uerimientos de seguridad, y el desarrollo ylaconfiguracinens de acuerdo a los estndares. !sto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.". Entre&ar, Servi)i, y S,p,rte !"SS# "SS$2 Geti,nar Servi)i, +e e&uri+a+&rotegerlainformacindelaempresaparamanteneraceptableel nivel de riesgo de seguridad de la informacin de acuerdo con la poltica de seguridad. !stablecer y mantener los roles de seguridad y privilegios de acceso de la informacin y realizar la supervisin de la seguridad.E. Superviar, Evaluar y Val,rar !MEA# MEA$. Superviar, Evaluar y Val,rar el Ren+i'ient, y la C,n3,r'i+a+ 'ecolectar, validar y evaluar m$tricas y objetivos de negocio, de las TIydeprocesos.(upervisar"uelosprocesosseestnrealizando seg)n el rendimiento acordado y conforme a los objetivos y m$tricas y se proporcionan informes de forma sistemtica y planificada.III. FLUJOGRAMA DE LOS PROCESOS SELECCIONADOSIII. FLUJOGRAMA DE LOS PROCESOS SELECCIONADOS!*+,- Asegurar la .ptimizacin de 'ecursosA&./0 1estionar el 'iesgo2AI,3 1estionar la identificacin y la 4onstruccin de (oluciones*((,5 1estionar (ervicios de seguridad+!A,/ (upervisar, !valuar y 6alorar el 'endimiento y la 4onformidad()aminaryevaluarla estrategiaactualyfutura$ lasopcionesde aprovisionamientode recursosde*Iy desarrollarcapacidades paracu#rirestas necesidades"+segurarlaadopcinde principiosdegestinde recursosparaunuso optimo de recursos *I"upervisarelrendimiento delosrecursosfrentea los o#jetivos"+nalizarelriesgoe Inventariarlosprocesos denegocio$aplicaciones$ infraestructuras$ instalaciones$ etc"Identificaryrecopilar datosparaidentificar$ analizarynotificarlos riesgos",efiniraccionesparala gestinderiesgos$con medidas efectivas",isearsoluciones usandotcnicasde desarrollo !gil",isearlasactividadesy losflujosdetra#ajopara llevaraca#oelnuevo sistema de aplicacin",esarrollarserviciosde soporte$aplicacionese infraestructura#asados enlasespecificacionesy requerimientos",esarrollaryejecutarun planparael mantenimientodelos componentesqueincluya revisiones peridicas"Implementarymantener medidasefectivas$ preventivas$dedeteccin ycorrectivas$enrelacin aparc&esdeseguridady control de virus"(sta#lecerymantener una poltica de seguridad"Configurarlossistemas operativosdeforma seguraeimplementar mecanismosde#loqueo de los dispositivos"-anteneryalinearde forma continua el enfoque desupervisiny evaluacin con el enfoque de la institucin"Cola#orarconeljefede !reaenlarevisin peridica$actualizaciny apro#acindelos o#jetivos de rendimiento".evisarlasrespuestas$ alternativas$y recomendacionesdela direccinconelfinde tratar los pro#lemas"IV. RIESGOSIV. RIESGOS&'.4!(.( A !6ALA' 'I!(1.( 6AL.'A4I.7&'I.'I8A4I.7/.9 !*+,- Asegurar la .ptimizacin de 'ecursos Uso de software sin licencia. alta de !n asistente infor"#tico.$%&Prioridad "edia0.9 A&./0 1estionar el 'iesgo Los e'!i(os no c!entan con UPS. Tel)fono des*a+ilitado.$,&Prioridad alta3.9 2AI,3 1estionar la identificacin y la 4onstruccin de (oluciones alta de so(orte infor"#tico. alta de ra(ide- en asistencia e.terna a e'!i(os.$,&Prioridad alta-.9 *((,5 1estionar (ervicios de seguridad Anti/ir!sdesact!ali-ado(orfaltade internet. No/erificaci0nconstanteenelacceso1 control re"oto.$,&Prioridad alta5.9 +!A,/ (upervisar, !valuar y 6alorar el 'endimiento y la 4onformidad E.istenciadee'!i(osal"acenadossiendo no !tili-ados.$%&Prioridad "ediaV. CONTROLES REQUERIDOSV. CONTROLES REQUERIDOSPROBABILIDAD DEFINICION VALOR PROBABILIDAD ESTADISTICAPRO2A2LE Ries3o c!1a (ro+a+ilidad de oc!rrencia es alta., 45678 95:;;8MODERADO Ries3o c!1a (ro+a+ilidad de oc!rrencia es "edia.% 45,