RESULTADOS DE LA AUDITORIA
AUDITORIA DE SISTEMAS
PRESENTADO A: FRANCISCO NICOLAS SOLARTE TUTOR
ENTREGADO POR:
HUGO EFRAIN SANTILLANA SALAZAR ABRAHAM TREJOS YEKCY JERBER BONIZ
GRUPO: 90168_18
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA PALMIRA
INTRODUCCION
El curso de auditoría de sistemas, ha sido un gran pilar, puesto que nos da a los estudiantes las herramientas necesarias para la realización de un proceso de auditoría en cualquier compañía donde laboremos. Es importante nombrar que la entrega de este trabajo nos permite visualizar a donde que remos llegar, que dominios vamos a usar y de esta manera determinar los correctivos a los riesgos identificados y su posible solución. La documentación, los ejercicios y ejemplos exp uestos en la materia, permitirán el correcto desarrollo de la rúbrica.
APORTE HUGO SANTILLANA SALAZAR FASE 5 DE AUDITORIA Expongo los elementos relacionados para la realización de mi aporte individual, estos procesos son seleccionados del aporte de la fase anterior d el curso de auditoria. Adicionalmente hago la distribución de acuerdo al # de integrantes del grupo colaborativo.
Escuela el milagro N°
Vulnerabilidad
Amenazas
Riesgo
Categoría
No existe un proceso de auditoría a la seguridad No establecer políticas y informática y de la Ausencia de un Sistema procedimientos de información que garantice el 1 de Gestión de Seguridad Políticas de Uso seguridad de la sistema de control adecuado de la Información información. para la implementación de políticas y procedimientos en el Sistema de Seguridad.
2
Fallos en la red LAN
Fallas en los sistemas 3 operativos instalados sin licencia
Mala configuración de la Existen fallas en la seguridad seguridad de los y las comunicaciones Redes e dispositivos de red tales originadas por la inadecuada infraestructura como ROUTERS, configuración de los SWITCHES. dispositivos de la red. Caídas de los sistemas operativos
Ausencia de parches de Infraestructura y seguridad y actualizaciones, equipos pérdida de información.
La no aplicabilidad en Firewall – saber qué puertos Accesos No autorizados se deben bloquear o permitir, Infraestructura y la forma de interactuar con Seguridad ella o es propietario de ella, quien tiene acceso a la consola de control.
4
No existe un firewall activo.
5
Solo existe una ups la cual se tiene para el servidor Hp Bajas de voltaje y poca Fallas en el suministro Infraestructura concientización por parte PROLIANT Ml110 G6, en de energía y servidores del personal administrativo caso de un bajón de energía, no alcanza a soportar con la conectividad de todos los
computadores e impresoras.
DICTAMEN DE LA AUDITORIA PROCESO COBIT: PO3 Determinar la dirección tecnológica a. Objetivo de la Auditoria: La continuidad del negocio es vital, por lo cual debe existir una dirección tecnológica que permita gestionar la infraestructura y la base que la compañía requiera.
b. Dictamen: Se califica un nivel de madurez 0 No existente, puesto que no existe ningún sistema de gestión de seguridad de la información que permita dar un direccionamiento en el interior o exterior de la institución.
c. Hallazgos que soportan el Dictamen: Ausencia de un Sistema de Gestión de Seguridad de la Información
d. Recomendaciones:
Elaborar políticas de seguridad de la información inicialmente. Evaluar que las políticas sean acordes al ne gocio y no estén desfasadas respecto a la continuidad de la compañía. Ejecutar e implementar las políticas dentro de la institución, y verificar que se de estricto cumplimiento a la misma.
PROCESO COBIT: DS5 Garantizar la seguridad de los sistemas a. Objetivo de la Auditoria: La red es una parte de la infraestructura de las comunicaciones de la institución, tanto en ambientes internos y externos. Esta permite la intercomunicación entre muchas partes y generar entornos colaborativos, por lo cual la información viaja por los canales de la red. En ese sentido se debe contar con equipos especializados, como SWICHES o ROUTERS que sean de buena calidad y estén bien configurados.
b. Dictamen: Se califica un nivel de madurez 1 Inicial, puesto que no hay una cultura a nivel de las gerencias y jefaturas, que permita visualizar que el activo más preciado es la información, por lo tanto debe estar salva guardada y protegida.
c. Hallazgos que soportan el Dictamen:
Configuración no adecuada en los dispositivos SWICHES y ROUTERS. Vulnerabilidades de instalación. Cables de red en mal estado, no cuentan con normatividad.
d. Recomendaciones:
Contratar a un ingeniero experto, cuyo alcance será revisar los fallos que presenta la red (caídas, desconexiones) y de esta manera generar una cotización para el oportuno arreglo de la LAN.
PROCESO COBIT: DS9 Administrar la configuración a. Objetivo de la Auditoria: Las configuraciones del hardware y software de la institución debe estar respaldado, esto con el fin de minimizar los tiempos de recuperación en alguna eventualidad que se presente y su disponibilidad.
b. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que el cliente reconoce que es importante la funcionalidad y usabilidad de sus servidores, por lo tanto se debe empezar con el esquema de cotización y adquisición de las licencias.
c. Hallazgos que soportan el Dictamen:
Para este punto, se debe escalar el tema con un proveedor que venda el respectivo licenciamiento para los sistemas operativos que tienen los servidores. Es importante que los equipos de cómputo estén licenciados, esto facilitara la garantía del mismo y correcto funcionamiento, teniendo así disponibilidad de actualizaciones. Las fallas encontradas en los equipos de cómputo, se presentan por la falta de actualizaciones, estas actualizaciones estarán disponibles, una vez los sistemas operativos estén licenciados.
d. Recomendaciones:
Contratar a una compañía que venda el licenciamiento adecuado para los servidores y equipos de cómputo que no tengan el licenciamiento.
PROCESO COBIT: DS5 Garantizar la seguridad de los sistemas a. Objetivo de la Auditoria: Las configuraciones del hardware y software de la institución debe estar respaldado, así mismo la administración de la seguridad de la institución debe incluir constante monitoreo por parte de un encargado, cuya función sea la respetar los lineamientos en políticas de seguridad de datos.
b. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que el cliente reconoce que es importante tener definido un encargado que cumpla el rol dentro de la institución de velar por el aseguramiento de la seguridad de la información.
c. Hallazgos que soportan el Dictamen:
Por temas de seguridad, administración y protección de la información, la auditoria recomienda que se debe comprar un dispositivo de Cortafuegos (Firewall), para que sea un muro de protección para los posibles ataques que puedan generarse y afectar el activo fijo de la información.
d. Recomendaciones:
Crear plantillas definidas, que contenga la configuración de servidores, Swiche, Router, y demás dispositivos, que permita en caso de falla, restaurar los dispositivos rápidamente. Evitando así los tiempos muertos en los procesos críticos de la institución.
PROCESO COBIT: DS12 Administración del ambiente físico
a. Objetivo de la Auditoria: La correcta administración del ambiente físico, nos lleva a un punto crítico en la continuidad de los procesos, básicamente tener una reserva de energía en caso de que esta quede suspendida, por motivos de daños o cortes no programados. La institución debe contar con un proceso que apoye la continuidad de los procesos críticos.
b. Dictamen: Se califica un nivel de madurez 1 Inicial, ya que se reconoce la necesidad de seguir con la continuidad de los procesos críticos de la institución, independien te si hay suministro de energía o no.
c. Hallazgos que soportan el Dictamen:
Fallas en el suministro de energía. No hay presentes UPS. No hay banco de baterías.
d. Recomendaciones:
Se recomienda adquirir como mínimo una UPS con banco de batería, con el fin de que le dé continuidad a los servidores y a los demás ordenadores de la institución pa ra que tengan un tiempo prudente y se puedan apagar correctamente, esto evitara los daños al parque tecnológico.
APORTE ABRAHAM TREJOS Proceso Cobit seleccionado por Abraham Trejos victoria:
AI2.3 Control y auditabilidad de las aplicaciones Asegurar que los controles del negocio se traduzcan correctamente en controles de aplicación de manera que el procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que se consideran especialmente son: mecanismos de autorización, integridad de la información, control de acceso, respaldo y diseño de pistas de auditoría.
1. Objetivo de la Auditoría: Realizar una auditoría en el área de sistemas, teniendo en cuenta los procesos y objetivos de control incluidos en el COBIT, conceptualizando los riesgos a los que está sometida esta organización.
2. Dictamen: Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y evaluación a los sistemas de información, pero no se cuenta con un inventario actualizado de las aplicaciones con las que cuenta la organización, además falta capacitación al personal que utilizan algunas de las aplicaciones. Adicionalmente no se realiza constantemente la actualización de los estados en roles y usuarios (modificación de cargo y retiros) teniendo en cuenta las novedades reportadas por Gestión Humana de los colaboradores administrativos, el control de acceso en los puntos de venta no tiene una correcta segregación de funciones y se evidencio que no se realiza un debido análisis a los requerimientos que realizan los usuarios para llevar a cabo actualizaciones en las aplicaciones.
3. Hallazgos que soportan el Dictamen:
Ineficiente gestión de aplicaciones por desconocimiento detallado del inventario: No se cuenta con un inventario actualizado de las aplicaciones que tiene la
organización, lo que genera que no se pueda realizar una gestión pormenorizada de estos recursos.
Accesos no autorizados a información relevante de la organización: Se encuentra que en el software para la inteligencia del negocio se maneja la seguridad de acceso por roles y usuarios, sin embargo, actualmente no se están actualizando las modificaciones de cargos y retiros. Se evidencia que en la aplicación Core del Negocio se manejan los usuarios por la aplicación y no por la base de datos, sin embargo, en la aplicación instalada en producción aún se encuentran activos en la base de datos, adicionalmente no se maneja el control de las acciones de permisos en los roles ni usuarios, tales como: consulta, adición, modificación y borrado. Esta debilidad no permite limitar las acciones de los usuarios en las diferentes ventanas del software, lo que causa modificación o pérdida de información importante para la organización por usuarios no autorizados.
Realización de la venta de productos sin la debida autorización, Posibles premios de formularios no pagados: El software Core del Negocio maneja control de acceso a las sucursales (puntos de venta) mediante la configuración de la IP y MAC en la aplicación. Sin embargo, ésta tarea de parametrización se encuentra en cabeza de los técnicos de TI, situación que no tiene una adecuada segregación de funciones, lo que permite accesos incorrectos a usuarios en sucursales no permitidas o no programadas, lo que afecta la información que se utiliza en el departamento comercial para el seguimiento de las metas de venta de cada sucursal y cada asesor de ventas. Dicho control se debe asignar a los procesos de operaciones con el fin de centralizarla y no permitir accesos no autorizados.
Accesos no autorizados a información sensible de la empresa: Se evidencia que el usuario BINEGOCIOS tiene el profile default, lo que permite realizar comandos generales de inserción, borrados y modificación sobre tablas y permite comandos de estructura de Oracle, lo que causa la modificación o pérdida de información importante para la organización. Suplantación de usuarios para acceder al sistema de información: En el aplicativo de giros se cuenta con seguridad a nivel de roles y perfiles de usuarios, sin embargo, son configurados por la empresa Supergiros, quienes actualizan de acuerdo a información que es enviada por la empresa. También cuenta con validación biométrica para el pago, no obstante, el servicio se está bajando constantemente, disminuyendo la eficacia del diseño del control. Adicionalmente se cuenta con el 65% de implementación de las agencias y se presentan 400 desenrolamientos aproximados de clientes al mes. Se evidencia que en el área de Call center realizan el envío de las novedades de usuarios para ingreso o retiro a Supergiros para que actualicen la base de datos del aplicativo. Sin embargo, no se evidencia la validación del cambio de estado del usuario posterior a su envío. Así mismo, no se realiza una validación total de los usuarios que tiene Supergiros contra los activos que están autorizados por la empresa, para efectos de evaluar actualización lo que genera accesos de usuarios no autorizados suplantando a otros para realizar transacciones dentro del software que es utilizado para giros lo que genera descuadres de dinero y afecta al asesor suplantado.
Pérdida de la trazabilidad de las decisiones tomadas, Ausencia de análisis de los requerimientos: Actualmente se realiza una reunión con las personas que formulan los requerimientos, el Director de TI, Coordinadores de Infraestructura y Desarrollo, sin embargo, no se deja la formalización de la decisión, situación que genera incertidumbre sobre la toma de decisión y los planes de acción a realizar, lo que causa perdida en la trazabilidad en la gestión de requerimientos ya que no se dejan documentadas las reuniones en las que se evalúan las solicitudes realizadas por los usuarios.
Pérdida de repuestos e insumos no identificados por errores de usuario en la aplicación: Se evidencia que la aplicación Sisconin (Sistema de Control de Insumos Bodega) existen debilidades en el manejo de los insumos y repuestos tecnológicos, lo que causa perdida de repuestos e insumos por errores de usuario en la aplicación.
4. Recomendaciones:
Construir un inventario de las aplicaciones que utilizan para llevar a cabo el objetivo del negocio, efectuando la clasificación por tipo de software y colocando los mecanismos necesarios para tener actualizado en un archivo para consulta permanente y control de las aplicaciones.
Implementar en todo el software de la organización la actualización de los estados en roles y usuarios (modificación de cargo y retiros) teniendo en cuenta las novedades reportadas por Gestión Humana de los colaboradores administrativos. Adicionar el anterior control en la documentación de los procedimientos.
Implementar en en el software core del negocio el control de IP por MAC desde la oficina principal a través de operaciones de TI y quitar la función al técnico, a fin de minimizar los riesgos expuestos.
Realizar la depuración de permisos generales a los usuarios creados en Oracle, a fin de que realicen únicamente acciones de acuerdo con la necesidad, teniendo en cuenta que la mayoría realizarían labores de consulta.
Solicitar a Supergiros aplicar una ventana emergente que permita visualizar la finalización de cada contrato para así cerciorarnos de su finalización y tomar la evidencia.
Documentar y formalizar las actas de las reuniones que se establecen para la toma de decisión frente a compras o desarrollos propios o contratados, a fin de que se minimicen los riesgos por debilidad en la toma de decisiones soportadas para la implementación de herramientas del negocio.
Realizar procedimiento de gestión de requerimiento el cual se inicia con el envió de la solicitud por parte del usuario seguido por el análisis previo que se le debe realizar a cada requerimiento.
Fortalecer y capacitar a los usuarios sobre el control de la devolución de los insumos y repuestos cambiados, verificación de los documentos de salidas y validación de estadísticas de los movimientos por técnico en la aplicación correspondiente.
APORTE YEKCY JERBER BONIS
CONCLUSIONES
La auditoría en los procesos de informática es de vital importancia para el buen desempeño de los sistemas de información u otros elementos de una compañ ía ya que proporciona los controles necesarios para que los sistemas sean confiables y estables. La auditoría en los procesos de informática deberá abarcar no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento, sino que además habrá de evaluar los sistemas de información en general, es decir sus entradas, pro cedimientos, controles, documentación, niveles de seguridad y objetos de la información. Aprendimos que el dictamen de la auditoria permite dar la opinión del auditor a la compañía, esto con el fin de que en su interior se tomen medidas para subsanar todos aquellos puntos de quiebre resultantes del proceso de auditoría.
BIBLIOGRAFIA
ISACA. (2016). Cobit 4.1 en español . Recuperado de http://www.isaca.org/KnowledgeCenter/cobit/Pages/Downloads.aspx Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y evaluación de tecnologías de la información. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780 Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981