UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

TRABAJO COLABORATIVO UNIDAD 1

FASE DE PLANEACIN

VULNERABILIDADES, AMENAZAS Y RIESGOS. PLAN Y PROGRAMA

AUDITORIA

GRUPO: 90168_35
AUDITORIA DE SISTEMAS
TUTOR: FRANCISCO NICOLAS SOLARTE

Autores:

DIANA RODRIGUEZ COSME Cdigo: 1.1130.642.492

FENIMORE BAENA Cdigo: 1.143.947.050

ANDRES MAURICIO ESPINOSA Cdigo: 1.144.042.419

MIGUEL ANGEL PEREZ Cdigo: 1.151.936.128

UNAD

CEAD PALMIRA

2017
 TABLA DE CONTENIDO

INTRODUCCIN ....................................................................................................................................... 3

OBJETIVOS ................................................................................................................................................ 4

DESARROLLO DE ACTIVIDAD COLABORATIVA .............................................................................. 5

FASE DE PLANEACIN VULNERABILIDADES, AMENAZAS Y RIESGOS. PLAN Y

PROGRAMA AUDITORIA ........................................................................................................................ 5

PLAN DE AUDITORA............................................................................................................................. 14

OBJETIVO GENERAL. ........................................................................................................................... 14

ALCANCES ............................................................................................................................................... 14

METODOLOGA ....................................................................................................................................... 15

CONCLUSION .......................................................................................................................................... 21

BIBLIOGRAFIA ......................................................................................................................................... 22
 INTRODUCCIN

En el siguiente trabajo colaborativo, consolidacin de los aportes individuales sobre los

cuadros de vulnerabilidades, amenazas y riesgos aportados por los integrantes del
grupo. Analizando cada uno de ellos para agrupar similares y categorizndolos.
Despus se define el objetivo de la auditoria con base al cuadro consolidado y
aspectos a ser auditados sobre los activos, especificando la metodologa, recursos
necesarios y el cronograma de actividades. Todo esto anteriormente mencionado
realizado bajo el estndar COBIT 4.1.
 OBJETIVOS

Detectar las vulnerabilidades que presenta la empresa CTyS

Establecer un plan de auditoria para mejorar el problema de seguridad

Definir la manera en la que se realizaran los tratamientos de los riesgos

encontrados
 DESARROLLO DE ACTIVIDAD COLABORATIVA

FASE DE PLANEACIN VULNERABILIDADES, AMENAZAS Y RIESGOS. PLAN Y

PROGRAMA AUDITORIA

De acuerdo a los resultados del cuadro anterior entregado por cada estudiante en el
foro, se debe elaborar un cuadro consolidado con todas las de las vulnerabilidades,
amenazas y riesgos informticos agrupndolos de acuerdo al tipo de activo donde se
presentan, esto servir posteriormente para definir el objetivo de la auditora. Para esta
actividad se requiere que cada estudiante publique en el foro sus aportes individuales,
en caso de que se repitan solo deben aparecer una vez en el cuadro consolidado.
VULNERABILIDADES AMENAZAS RIESGOS ACTIVO

/ FACTORES

1. Antivirus Contraccin de Virus sea Gusanos Contaminacin del activo, Seguridad lgica / Software
desactualizado(M y/o Troyanos teniendo prdidas de la
cAfee) informacin.

2. Software de Conectar el equipo a internet o Falta de proteccin del Seguridad lgica / Software
antivirus no conectar medios extrables sin equipo frente a software
instalado tener antivirus previamente malicioso o ataques
instalado externos de hackers

3. Antivirus Avast A pesar de ser una buena solucin, Prdida o robo de entidad Seguridad lgica / Software
Business Free contar con la versin free de este bancaria.
antivirus, no garantiza la total
proteccin a todas las amenazas Suplantacin de
que se encuentran en la web. informacin.

4. Copias de Perdida de datos No recuperacin de la Software / Informacin

Seguridad informacin o data.
Incompletas
Informacin con errores.

No existe una recuperacin

de los datos en caso de un
desastre.
5. No tener respaldo No se realizan copias peridicas de Prdida total de la Software / Informacin
de los datos los datos informacin sin posibilidad
de recuperarla

6. Backup local Falta de realizar backup de Perdida de informacin en Software / Informacin

respaldo en la nube, por ejemplo. caso de desastre
(Informacin como
proyectos y dems).

7. Acceso a la base Todo el personal del rea de Borrado de la base de Software / Informacin
de datos de desarrollo tiene acceso y datos.
produccin con conocimiento al usuario de
usuario sin conexin de produccin de la base Acceso a registro de la
restricciones. de datos, no tienen un usuario base de datos con data
genrico o personal para realizar sensible.
las consultas o tareas que desean
realizar.

8. Equipos de Suplantacin de identidad Robo de datos, perdida de Software / Informacin

Usuarios sin informacin
Contrasea (PC)

9. No tener control Accesos no autorizados Manipulacin, prdida o Software / Informacin

sobre los robo de los datos
usuarios que
acceden al
software y/o
Aplicaciones

10. Servidores con No hay atencin o soporte de parte Daos del Software. Software
Sistemas
 Operativo viejos u del Proveedor por la versin de SO
obsoletos.

11. Uso de Software Por tema legal o auditoria Demanda por parte del Software
sin licencia constante la empresa puede tener fabricante de software.
alguna sancin por la piratera.
Sancin de parte de la
Dian.

12. No manejar No permite hacer un debido Dificultad en encontrar el Software

versionado del seguimiento al cdigo fuente error en el cdigo fuente
cdigo fuente cuando se detectan problemas que
antes no estaban en el software

13. Servidor SIP El servidor SIP es un equipo No cumple con los Hardware
montado en un montado por el Departamento de requerimientos para usarse
equipo hibrido TI como servidor, puede
verse afectado el servicio
de comunicaciones en
cualquier momento.

14. Equipos sin Robo y/o extraccin de informacin Manipulacin de la data de Hardware
deshabitar sensible. forma indebida / uso
puertos para delictivo.
medios USB

15. Incapacidad de la Las actuales ups no soportan la Dao severo a los Hardware
UPS de respaldo. carga de todos los servidores por servidores, tanto fsicos
mucho tiempo. como de software.

La planta de emergencia es Perdida de la continuidad

16. Plantas de manual y no se hace trasferencia de negocio.
emergencia automtica.
insuficientes.

17. No tener Sobre voltaje en los equipos Dao graves o irreversibles Hardware
reguladores de electrnicos en los equipos electrnicos
energa

18. No tener Fcil acceso de informacin Sustraccin de informacin Hardware

encriptado la importante por usuarios indebidos importante almacenada en
informacin en el el equipo de cmputo.
disco duro del
computador

19. Ausencia de Existen malos procedimientos en el Mal configuracin de la Seguridad Lgica

documentacin alistamiento de un nuevo servidor mquina virtual, dejndola
para el para algn cliente o producto en expuesta al acceso de
alistamiento de especial. todos los usuarios.
servidores

20. Acceso sin Acceso a Site web que tienen Instalacin de malware en Seguridad Lgica
restricciones a malware o Troyanos. los equipos o servidores de
todo internet produccin.

Contaminacin del equipo

del desarrollador.

21. Tnel SSH / VPN Para trabajo de empresas terceras. Pueden presentarse Seguridad Lgica
Dejar abiertos estos tneles no es ataques si se descubren
 adecuado. estos tneles. Dao en las
aplicaciones web de la
empresa.

22. Dns almacenados freedns.afraid.org es una Bloqueo de urls de Seguridad Lgica

en un afraid libre herramienta muy til, pero por aplicativos webs
ejemplo Avast no lo considera corporativos por parte de
seguro. algn software antivirus.

23. VPN de software Open VPN, es de gran utilidad en
libre el da a da de la organizacin.
Pero por ser de cdigo abierto no
garantiza la total seguridad.
Acceso no deseado a los Seguridad Lgica
servicios de la
organizacin desde redes
externas no autorizadas,
esto puede causar robo de
informacin.

24. Error funcional de Todos los desarrolladores tienen Cambio en la estructura Usuarios
las aplicaciones acceso al config de la aplicacin por no tener conocimiento
de produccin que entrega facturacin al cliente. del funcionamiento de la
aplicacin.

El Desarrollador no tuvo
capacitacin a nivel del uso
de las aplicaciones de
cliente.

25. Desconocimiento Los colaboradores no tienen Vulnerabilidad de la Usuarios

y/o falta de conocimiento del uso adecuado de informacin / data.
socializacin de los recursos TI de la empresa
las normas y
polticas de la
 empresa en la
seguridad
informtica.

26. No bloqueo de la Robo de Informacin Sensible. La informacin caiga en Usuarios

sesin del manos delictivas.
usuario en los PC

27. Phishing Recepcin de correo malicioso. Captura de datos e Usuarios

instalacin de malware

28. Ingeniera Social Suplantacin de identidad Captura de contraseas Usuarios

con acceso a informacin
delicada.

29. Falta de personal Puede suceder que los usuarios Des-configuracin de Usuarios
de TI finales intenten realizar actividades dispositivos finales.
(Actualmente solo o configuraciones no permitidas o
dos personas) sin la experiencia necesaria para
ejecutar dicha tarea.

30. Tener Descifrar fcilmente la contrasea Suplantacin de identidad Usuarios

contraseas
dbiles (Acceso
PC / Aplicaciones/
Otros)

31. Redes LAN Red sin proteccin mediante Robo de Data de la Redes
Implementacin Firewall compaa o de clientes.
 Firewall Permisin al hacker al
ambiente productivo, para
un ataque por virus.

32. Firewall No actualizacin o Robo de Data de la Redes

Robustecimiento del Firewall compaa o de clientes

33. Segmentacin de Acceso de todo el personal Puede ocurrir un eventual Redes

redes (ausencia conectado a la red a casi la borrado de informacin.
de VLAN) informacin.

34. El cableado del Se presenta problemas en la No hay atencin oportuna Redes

DataCenter no comunicacin de los servidores. del incidente de red.
cumple con las
normas Perdidas de paquetes.

35. No existe un Cuando se presenta problemas de El personal de las redes, Redes

control de las comunicacin o aislamiento se pueden ocasionar daos
nuevas desconoce de dnde proviene. en otras conexiones de red
conexiones que van a otros servidores,
cableadas en los ya que no lo realizan bajo
switches del Core una norma.

No atencin oportuna de
una cada de red.

36. Redes Wifi Sin La seguridad es buena, pero una Conexin de dispositivos Redes
Restricciones vez dentro de alguna red wifi se mviles (Tablet y
puede acceder a mucha Smartphone) que pueden
 informacin de la red. ocasionar intermitencia en
la red.

37. Falta de fcil descifrado de la contrasea de Acceso de usuarios no Redes

Contrasea en la acceso a la red autorizados (Hackers)
Red Wifi / no
utiliza cifrado
obsoletos en la
red

38. Archivo y gestin Emergencia o catstrofe ambiental. En caso de catstrofes Seguridad fsica
documental en Falta digitalizacin de mucha como incendios o
fsico informacin inundaciones puede verse
afectada informacin de
personal, de contratos, de
contabilidad, entre otros.
 PLAN DE AUDITORA

OBJETIVO GENERAL.

Establecer los mecanismos para garantizar que los activos de informacin

reciban un apropiado nivel de proteccin, de tal manera que se minimice el
riesgo de fuga, prdida o acceso no autorizado a la informacin.
Establecer los criterios y comportamientos que deben seguir todos los miembros
de la comunidad empresarial (colaboradores, contratistas, clientes, practicantes
y terceros en general) con el fin de preservar la confidencialidad, integridad y
disponibilidad de la informacin que permita mantener el CEN (Centro
Electrnico de Negocios) funcionando 24/7 en ptimas condiciones

ALCANCES

Aplica para los siguientes tipos de activos de informacin:

Software: Software de aplicacin, software del sistema operativo, herramientas

de desarrollo y utilidades.
Hardware: Equipo de tratamiento (procesadores, monitores, porttiles,
mdems), equipo de comunicaciones (Router, centrales digitales, mquinas de
fax), medios magnticos (discos y cintas), medios removibles y otro equipo
tcnico (suministro de energa, unidades de aire acondicionado).
Informacin pura: informacin almacenada fsica o digitalmente como bases de
datos y archivos de datos, contratos, acuerdos, documentacin del sistema,
informacin sobre investigacin, manuales de usuario, registros de auditoria,
procedimientos, instructivos, planes de continuidad, actas, hojas de vida,
informacin archivada.
Intangibles: Reputacin, Imagen.
Conocimiento: Personas y sus calificaciones: habilidades y experiencia.
Servicios: Servicios de computacin y comunicaciones, tales como Internet,
correo electrnico, pginas de consulta, directorios compartidos e Intranet, entre
otros. Tambin servicios de mantenimiento.
Capacitaciones de los trabajadores
Planes de contingencia
METODOLOGA

La metodologa a utilizar para la auditoria es el estndar COBIT en su versin 4.1, en

este se tomarn los procesos necesarios para evaluar, identificar las vulnerabilidades,
los riesgos y amenazas que atenten contra el funcionamiento de los equipos
informticos o su software y por ende de los procesos que realiza el rea de
operaciones.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO3 Determinar la direccin tecnolgica

PO3.2 Plan de infraestructura Tecnolgica: El centro de operaciones determina

qu tipo de infraestructura necesita para llevar a cabo sus procesos, el tipo de
red, el cableado, la ubicacin de los puntos de red, ubicacin de router, de
switch, que servidores se necesitan, la temperatura en la que deben estar y su
ubicacin.

PO3.3 Monitoreo de tendencias y regulaciones futuras: Se debe estar al tanto

hacia donde se dirige la tecnologa, sus avances y cules de esos permitirn que
el centro de operaciones y el DataCenter puedan mejorar sus capacidades, sus
funciones, sus procesos en cuanto a calidad, velocidad, seguridad y/o costos.

PO4 Definir los procesos, organizacin y relaciones de TI

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento:

Establecer una o varias personas encargadas de evitar o mitigar los riesgos,
de tener los servidores y dems equipos seguros y velar de que los dems
trabajadores cumplan las normas establecidas para evitar los riesgos y
mantener la seguridad de los equipos y los sistemas de informacin.

PO4.12 Personal de TI: El personal del centro de operaciones y del

DataCenter debe estar capacitado para el manejo de los equipos y/o del
sistema, igualmente se debe realizar actualizaciones para aprender cada da
ms y poder sacar mejor provecho de los equipos, del software y optimizar
los procesos y por ende el servicio al cliente.
DOMINIO: ADQUIRIR E IMPLEMETAR

AI1 Identificar soluciones automatizadas

AI1.2 Reporte de anlisis de riesgos: Realizar un anlisis de los riesgos a los

que estn expuestos los equipos informticos, los sistemas operativos que se
utilizan, el sistema de informacin, entre otros, con el fin de poder prevenir y
tener un plan de contingencia.

AI2 Adquirir y mantener software aplicativo

AI2.4 Seguridad y disponibilidad de las aplicaciones: El software adquirido debe

ser confiable, seguro, tanto en la parte de virus, ataques cibernticos, como en
el manejo por los trabajadores, este ltimo contando con usuario y contrasea
que identifique quien entra al sistema, que hace, cuando, desde que equipo y
que permisos tiene ese usuario.

AI2.6 Actualizaciones importantes en sistemas existentes: Mantener todo

software (sistemas de informacin, sistemas operativos, entre otros)
actualizados, con versiones con soporte, con mejoras en seguridad, velocidad
que permitan mantener o mejorar los procesos y por ende el servicio hacia el
cliente.

AI3 Adquirir y mantener infraestructura tecnolgica

AI3.3 Mantenimiento de la infraestructura: Realizar un mantenimiento preventivo

y correctivo de cada uno de los servidores, la red cableada, las antenas de red
wifi y de toda la infraestructura tecnolgica del centro de operaciones.

DOMINIO: ENTREGAR Y DAR SOPORTE

DS4 Garantizar la continuidad del servicio

DS4.8 Recuperacin y reanudacin de los servicios de TI: Resolver de manera

oportuna cualquier falla que provoque la suspensin del servicio hacia el cliente
y restaurarlo lo antes posible.

DS4.9 Almacenamiento de respaldo fuera de las instalaciones: Se debe tener

una copia de seguridad de la informacin fuera de las instalaciones para que en
caso de prdida total por un incendio por ejemplo esta no se pierda.
DS5 Garantizar la seguridad de los sistemas

DS5.2 Plan de seguridad de TI: Tener un plan estratgico de seguridad de las TI

como buenas contraseas, antivirus de calidad y actualizados, planes de
contingencia.

DS5.4 Administracin de Cuentas de usuario: Cada trabajador, cada persona

que maneje los equipos y los sistemas de informacin debe tener su propia
cuenta de usuario, su contrasea, con permisos especiales segn su cargo y las
funciones o procesos que realice en el sistema.

DS5.9 Prevencin, deteccin y correccin de software malicioso:

Constantemente se debe realizar un anlisis de los equipos con un antivirus,
tener anti-spyware, descargar software solo de pginas oficiales y por personal
autorizado.

DS5.10 Seguridad de la red: La red debe contener una contrasea segura con
letras maysculas y minsculas, con nmeros, con signos especiales y tener de
8 dgitos en adelante, igualmente tener un proxy para evitar que las personas
puedan entrar a la red as se hallan conseguido la contrasea.

DS7 Educar y entrenar a los usuarios

DS7.2 Imparticin de entrenamiento y educacin: Tener al personal

capacitado, actualizado, capacitar al usuario de lo bsico para que no est
llamando al tcnico de manera constante por cualquier cosa.

DS11 Administracin de datos

DS11.5 Respaldo y restauracin: La informacin debe tener al menos una

copia de seguridad, esta se debe hacer en un periodo de tiempo regulado y
debe permanecer a la mano por si se da el caso de ser solicitada para su
restauracin

DS13 Administracin de operaciones

DS13.1 Procedimientos e instrucciones de operacin: Debe haber un manual

en el cual se muestre paso por paso como manejar un equipo o un software,
tambin sobre cmo hacer el mantenimiento de los equipos entre otros.

DS13.5 Mantenimiento preventivo del hardware: Realizar limpieza de los

equipos, segn las fechas programadas
DOMINIO: MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeo de TI

ME1.4 Evaluacin del desempeo de TI: Medir, identificar, evaluar el desempeo

de TI, que est funcionando bien, con velocidad, que sea seguro y que permita
agilizar los procesos de la empresa.

RECURSOS:

Humanos: La auditora se realizar a travs del grupo colaborativo #32 del curso de
Auditoria de Sistemas de la UNAD.

Nombres y apellidos Rol en la auditora Componente a auditar

ING. FENIMORE BAENA Lder de auditora Auditora al hardware de red

ING. DIANA RODRGUEZ Auditora 1 Auditora a los usuarios de red

COSME

ING. ANDRES MAURICIO Auditora 2 Auditora a la seguridad de la

ESPINOSA red

ING. MIGUEL ANGEL Auditora 2 Auditoria de la Seguridad de la

PEREZ Informacin.

Fsicos: rea informtica de la empresa.

Tcnicos: Lista de chequeo, plan de pruebas, formato de entrevistas.

Tecnolgicos: Computador porttil, cmara, Software de escaneo del trfico de la red

para auditar, internet.
Recursos Econmicos:

TEM CANTIDAD SUBTOTAL

Computador porttil 3 5.000.000

Cmara 2 1.000.000

TOTAL: 6.000.000

CRONOGRAMA

Actividad Fecha

Planificacin Visita previa, solicitud de

de la permiso para observar la
auditoria parte informtica, y realizar 20/Feb/2017 19/Mar/2017
una auditora.

Creaciones del plan de

pruebas, la lista de
chequeo, formatos de
Aplicar el entrevistas.
modelo de la
Realizar las diferentes 20/Mar/2017 23/Abr/2017
auditoria
pruebas, entrevistas y
declaraciones sobre los
riesgos.

Examinar la parte
informtica y los riesgos en
ella.

Realizar el informe
preliminar sobre la forma
Construir los de tratar y controlar los
planes de riesgos.
mejoramiento 24/Abr/2017 13/May/2017
Construir el informe final
de la auditoria.
 DIAGRAMA DE GANNT

Actividad Mes 1 Mes 2 Mes 3

1 2 3 4 1 2 3 4 1 2 3 4
Planificacin Visita previa, solicitud de
de la permiso para observar la
auditoria parte informtica, y realizar
una auditora.
Creaciones del plan de
pruebas, la lista de chequeo,
formatos de entrevistas.
Aplicar el Realizar las diferentes
modelo de la pruebas, entrevistas y
auditoria declaraciones sobre los
riesgos.

Examinar la parte informtica

y los riesgos en ella.
Realizar el informe preliminar
sobre la forma de tratar y
Construir los controlar los riesgos.
planes de
mejoramiento
Construir el informe final de la
auditoria.
 CONCLUSION

La auditora aplicada a la empresa Carvajal tecnologas y servicios, negocio E-

Business, ayud a precisar su nivel de desempeo y presentarles oportunidades de
mejora. Con la aplicacin de la auditoria, se pudo definir las acciones oportunas que
deber llevar a cabo para optimizar su desempeo, de igual forma, la auditoria
permiti encontrar los principios que hacen que la empresa, no tenga un mayor
desarrollo exitoso para con el mercado, as como los elementos que la dificultan o la
entorpecen.

El departamento de tecnologa presenta carencias sobre el debido cumplimiento de

normas de seguridad. La escasez de personal apropiadamente capacitado.

Como resultado de la auditoria podemos revelar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditoria. Con la aplicacin
del estndar COBIT 4.1, en sus diferentes procesos las carencias que presenta la
empresa de tecnologa mejorara rotundamente, para mantener la informacin de los
diferentes clientes siempre disponible, como tambin el personal interno este en
capacidad de dar un mejor desempeo en los procesos internos.
 BIBLIOGRAFIA

AUDITORA INFORMTICA Y DE SISTEMAS. (2012). Recuperado de

http://auditordesistemas.blogspot.com.co/2012/02/memorando-de-planeacion-
auditoria.html

UNA, Universidad Nacional de Costa Rica. (2012). Recuperado de

http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf

Entrepreneur, Cobit 4.1 reduce riesgos y mejora desempeo de las TI (2007).

Recuperado de https://www.entrepreneur.com/article/258643

Monograficas.com, Conceptos de la Auditora de Sistemas (2012). Recuperado de

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

Wikipedia, Auditora informtica (2017). Recuperado de

https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

Gerencie.com, Auditoria de sistemas (2013). Recuperado de

https://www.gerencie.com/auditoria-de-sistemas.html