Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.

II - 2014

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORA DE SISTEMAS

Trabajo Colaborativo 2

Presentado por:
ANDRS GUILLERMO AVELLANEDA B - Cd. 79.803.814
JORGE IVAN PINEDA SUAREZ - Cd.: 80.194.695
OSCAR JOS RAMREZ CARDONA Cd.: 79810115
CESAR EDUARDO NIO PINZON Cd.: 79778519

Tutora
CARMEN ADRIANA AGUIRRE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

INGENIERIA DE SISTEMAS
Octubre de 2014

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

Contenido
INTRODUCCION ................................................................................................... 3
OBJETIVOS ........................................................................................................... 4
DESARROLLO DE LAS ACTIVIDADES ................................................................ 5
1.

Identificar el origen de la auditoria. ..................................................................................5

2.

Realizar una visita preliminar al rea que ser evaluada. .......................................5

3.

Establecer los objetivos de la auditoria. ..........................................................................8

4.

Determinar los puntos que sern evaluados en la auditoria. .................................8

5.

Elaborar planes, programas y presupuestos para realizar la auditoria. .............9

6. Identificar y seleccionar los mtodos, herramientas, instrumentos y

procedimientos necesarios para la auditoria. ..................................................................... 11
7.

Asignar los recursos y sistemas computacionales para la auditoria ................ 14

CONCLUSIONES ................................................................................................ 15
BIBLIOGRAFIA .................................................................................................... 16

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

INTRODUCCION
Dentro de las etapas de la auditora encontramos la de la planeacin, la cual es una
fase fundamental en todo el proceso, gracias a una buena planeacin
proyectaremos de mejor forma las actividades que debemos realizar, acercndonos
ms fcil y de forma certera a las metas que como auditores nos proponemos.
El presente trabajo contiene el desarrollo del momento 1, el cual desarrolla varias
temticas entre ellas la identificacin y los objetivos de la auditora a la empresa que
en el momento 1 se estudi.
Otros tpicos que abordaremos en el presente trabajo es la realizacin de los
planes, programas y presupuestos adems de los mtodos y herramientas
necesarios para realizar la autora.

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

OBJETIVOS

Ejecutar la planeacin de la auditoria de sistemas a la empresa en cuestin.

Mencionar los distintos tipos de auditora que se pueden implementar en la
empresa.
Explicar las tcnicas y desarrollo de la auditoria de seguridad informtica en
la empresa seleccionada.
Generar los planes necesarios para su ejecucin.

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

DESARROLLO DE LAS ACTIVIDADES

1. Identificar el origen de la auditoria.

En primera instancia debemos hacer diferencia entre la auditoria de sistemas
(busca detectar deficiencias en las organizaciones informticas y los sistemas
que se desarrollan u operan en ellas para realizar acciones preventivas o
correctivas que eliminen fallos en los mismos) y la auditoria de seguridad
informtica (analiza nicamente los procesos relacionados con la seguridad:
fsica, lgica o locativa siempre orientada a la proteccin de la informacin) para
poder iniciar de manera particular el examen de la empresa seleccionada.
Con esta informacin preliminar, la auditora de sistemas en la empresa
Colombian Natural Resources (CNR) surge por la necesidad de validar la
seguridad de la red y sobre todo de la confidencialidad de la informacin, verificar
que los usuarios no puedan extraer informacin cuando estn conectados en
sitio, ni cuando lleven los equipos porttiles para trabajar fuera de las sedes de
la empresa, es parte de la preocupacin de las directivas de la compaa
resguardar al mximo el activo ms valioso de la empresa: la informacin.
2. Realizar una visita preliminar al rea que ser evaluada.
Al contar con tres sedes, se hace una visita en la cual se evidencia que los
centros de cmputo de las sedes cuentan con la seguridad adecuada para evitar
el ingreso de personal ajeno al departamento de TI, ya sea con sensores
biomtricos como en la sede de mina, o con sensores de proximidad con tarjetas
de acceso con tecnologa RFID configuradas nicamente con los usuarios del
departamento de TI.
Los centros de cmputo cuentan con equipos CISCO (Swiches, Routers,
Controladoras de red WiFi) adems se cuenta con 3 servidores Dell Power Vault
NX300 con 4 discos de 2TB cada uno, los servidores se dividen as: servidor de
archivos, servidor de backup y antivirus y por ltimo servidor de dominio y DHCP,
que se encuentran conectados entre a travs de los SW Core de 48 puertos y
SW de 24 puertos, usando cables UTP certificados de categora 6, cuentan con
dos UPS de 10 KVA una para los servidores y otra para los usuarios por medio

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

de la red regulada, lo cual brinda una autonoma de aproximadamente una hora

en caso de una falla elctrica.

Centro de Cmputo Minas

Centro de Cmputo Minas

De otro lado estn los usuarios de computadores de escritorio y porttiles, en
quienes nos centraremos para identificar de qu forma estn extrayendo

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

informacin de la compaa, por lo que se proceder a revisar medios extrables

como USB, DVD y adems sitios de transferencia de archivos online.
A todas las sedes llegan o se estn implementando sistemas de comunicaciones
los cuales permitirn la transferencia de cualquier tipo de informacin.
La sede de Barranquilla cuenta con dos conexiones de internet la primera es la
conexin principal de 10 Mbps contratada con COLUMBUS NETWORK y la
segunda conexin alterna de 4 Mbps contratada por Media Commerce.
Como podemos ver como en esta imagen como est conectado el diagrama de
la red de la empresa:

Diagrama red de comunicaciones CNR

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

3. Establecer los objetivos de la auditoria.

Objetivo principal:

Reconocer y diagnosticar las fortalezas y amenazas en la seguridad de la

informacin en la empresa CNR

Objetivos especficos:

Conocer los tipos de permiso que usuarios tienen respecto a sus equipos
y accesos.

Verificar las polticas de seguridad de la informacin impartidas a las

distintas unidades organizacionales de la compaa.
Identificar los dueos de los recursos compartidos en los servidores y a
quienes se les ha dado autorizacin de lectura y/o escritura en dicho
recurso.

4. Determinar los puntos que sern evaluados en la auditoria.

La auditora de seguridad informtica plantea tres aspectos: evaluacin, anlisis
y generacin de soluciones, de los cuales se cubren varios frentes:

Auditoria desde internet: Vulnerabilidades de los recursos informticos

desde el sitio web de la empresa por parte de delincuentes informticos.

Auditoria de la red interna (LAN): Vulnerabilidades identificables desde el

interior de la empresa.

Trabajo sobre los equipos: Por medio de programas especializados en la

deteccin de vulnerabilidades como: software espa, virus informticos.
Adems de un examen fsico, lgico y locativo de los equipos de trabajo.

Entrevistas: Al personal sobre el conocimiento de

las polticas de
seguridad fsicas, lgicas y locativas y la implementacin de las mismas
en la organizacin.

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

Evaluacin de los equipos: Sea una estacin de trabajo o un servidor se

deben tener en cuenta:
o
o
o
o

Permisos de usuario
Rendimiento de la maquina
Carga al procesador
Procesos presentes en los servicios

5. Elaborar planes, programas y presupuestos para realizar la auditoria.

La auditora que se realizar en la empresa CNR estar apoyada en:
Auditoria de la Seguridad Informtica: Se implementara para ello Manual de la
Metodologa Abierta de Testeo de Seguridad (OSSTMM), el cual cuanta con las
siguientes caractersticas:

Seguridad de la Informacin
Seguridad de los Procesos
Seguridad en las Tecnologas de Internet
Seguridad en las Comunicaciones
Seguridad Inalmbrica
Seguridad Fsica

Con estos aspectos se busca prevenir inconvenientes en los siguientes realizando

tareas como:

Bsqueda de Vulnerabilidades: Orientado principalmente a realizar

comprobaciones automticas de un sistema o sistemas dentro de una red.

Escaneo de la Seguridad: Orientado a las bsquedas principales de

vulnerabilidades en el sistema que incluyen verificaciones manuales de
falsos positivos, identificacin de los puntos dbiles en el sistemas y anlisis
individualizado.

Test de Intrusin: Se plantean test de pruebas que se centran en romper la

seguridad de un sistema determinado.

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

Evaluacin de Riesgo: se refiere a los anlisis de seguridad a travs de

entrevistas e investigacin de nivel medio que incluye la justificacin
negocios, las justificaciones legales y las justificaciones especficas de la
industria.

Auditoria de Seguridad: Se refiere a la continua inspeccin que sufre el

sistema por parte de los administradores que controlan que se cumplan las
polticas de seguridad definidas.

Hacking tico: Orientado a tratar de obtener, a partir de los test de intrusin,

objetivos complejos dentro de la red de sistemas.

Plan de Auditoria:
Empresa: Colombian Natural Resources (CNR)
PERODO: Del 14 de agosto al 30 de septiembre de 2014
AUDITORES:
Andrs G. Avellaneda (Coordinador del Grupo de Auditores).
Jorge Ivn Pineda Suarez.
Oscar J. Ramrez Cardona.
REA AUDITADA: Sistema de cmputo.

N
1
2
3
4
5
6
7

ACTIVIDAD
NOMBRE
Elaborar Plan de Auditoria
Aprobar Plan de Auditoria
Preparar Instrumentos
Iniciar Preparativos
Iniciar Auditoria
Auditar el rea
Presentar Borrador de Informe

RESPONSABLE
Grupo Investigador
Asesor Especifico
Grupo Investigador
Grupo Investigador
Grupo Investigador
Grupo Investigador
Grupo Investigador

SEMANAS
1 2 3 4 5 6 7

10

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

8
9

Preparar Dictamen
Grupo Investigador
Presentar Recomendaciones
Grupo Investigador
Tabla N 1: Plan de auditoria

6. Identificar y seleccionar los mtodos, herramientas, instrumentos y

procedimientos necesarios para la auditoria.

Elaborar la gua de la Auditoria

Logo y nombre
de la empresa
que realiza la
auditoria.
N ACTIVIDAD
QUE SERA
EVALUADA

Fecha
Nombre de la empresa y rea de sistemas
auditada
HERRAMIENTAS
QUE SERAN
UTILIZADAS
Tabla N 2: Gua de la Auditoria

PROCDIEMIENTOS DE
AUDITORIA

DD

Hoja

MM

AA

_de_

OBSERVACIONES

Empresa: Colombian Natural Resources (CNR)

Fecha:
rea: Gestin Administrativa
Auditores de sistemas
Asociados
N

ACTIVIDAD QUE
SERA EVALUADA

Evaluar el centro de
cmputo de la
empresa

Empresa: Colombian Natural Resources

rea: Centro de servicios de automatizacin
PROCDIEMIENTOS DE
AUDITORIA
Solicitar los inventarios de
los equipos y verificar que
estn en orden y
actualizados.

HERRAMIENTAS QUE
SERAN UTILIZADAS
Revisin documental y
observacin

Fecha
DD
28

MM
09

Hoja
AA
2014

1de2

OBSERVACIONES

Revisin documental y
observacin

Solicitar el reglamento del

rea donde se realiza la
auditoria y adems
verificar el cumplimiento.

11

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

Evaluar el adecuado
cumplimiento de las
funciones y
actividades del
personal del rea

Evaluacin del
Hardware

Evaluacin del
Software

Revisin de las
instalaciones

Evaluar la
seguridad que
el acceso de
usuarios de la
red y la validez
de sus
atributos

Evaluar la seguridad
de los niveles de
acceso de usuarios.

Revisar el manual de
funciones del personal del
rea.

Revisin documental y
observacin

Revisar las caractersticas

de funcionamiento,
perifricos y enlace a la
red
Rendimiento de mquina,
programas instalados,
carga de los procesos,
usuarios y permisos
Verificar :
- Instalacin de Racks
- UPS
- Sistema antiincendios
- Aire acondicionado
- Autenticacin de ingreso
Solicitar la asignacin de
una terminal para entrar al
sistema y acceder
informacin, cambiar
datos, instrucciones y
programas, hasta donde lo
permite el sistema.

Revisar las
caractersticas de las
computadoras.

Ingresar al administrador y
cambiar privilegios,
atributos y contraseas de
varios usuarios.
Entrar al sistema de red
sin ninguna autorizacin y
acceder a la informacin,
alterar base de datos o
cambios al sistema, hasta
donde permita el sistema.
Entrar al sistema y dar de
alta a distintos accesos sin
tener autorizacin.
Solicitar a un usuario, sin
forzarle, que ingrese a un
nivel que no le

Revisin documental
Pantallazos de los
procesos y
caractersticas
Observacin y
fotografas.

Llevar programa que

agilice la comprobacin
de las caractersticas.

Llevar cmara digital.

Observacin partitiva,
oculta.

El sistema no debe
permitir ningn acceso.

Pruebas al sistema y a
la base de datos.

Obtener respaldo previo

del sistema y los
movimientos previos a la
prueba.

Experimentacin a la
seguridad del sistema.
Revisin documental
(electromagntica)

Documentar los accesos

y cambios que se
realicen al sistema.

Observacin
participativa y oculta.

El sistema no debe de
permitir ningn acceso.

Pruebas al sistema y
las bases de datos.

Obtener respaldo previo

del sistema y los
movimientos previos a la
prueba.

12

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

corresponda y verifique el
sistema le permita la
operacin.

Experimentacin en la
seguridad del sistema.
Revisin documental
(electromagntica)

Documentar los accesos

y cambios que se
realicen al sistema.

Tabla N 3: Gua de la auditoria respondida

Elaborar los documentos necesarios para la Auditora

Diseo de la lista de verificacin

Verificar la existencia de:

Existencia del manual de puestos
Existencia, difusin y control de normas
Existencia de planes de contingencia
Existencia de plan de recuperacin
Inventario de hardware
Inventario de software
Licencias de software
Bitcora de uso de software original
Control de movimientos del software (cargas, descargas, etc.)
Inventario de software instalado en cada maquina
Registro de cules y cuantas licencias estn en uso
Control de impresiones
Bitcora de ingreso al rea
Bitcora de solicitud de mantenimiento
Hoja de salida de equipo por mantenimiento
Lugar apropiado del servidor
Ambiente adecuado para los equipos
Aire acondicionado
Buena distribucin de los cables de los equipos y de la red
Existencia de extintores dentro del rea

SI

NO

Observaciones

Tabla N 4: Diseo de las lista de verificacin

Lista de verificacin hoja de salida de equipo por mantenimiento

Contenido

SI

No

Observaciones

Fecha de retiro
Hora de retiro
Fecha estimada de devolucion
Detalles de las razones para retirar el equipo

13

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

observaciones
Firma del coordinador
Nombre, documento de identidad, y firma de la persona que efecta
el retiro del equipo.

Tabla N 5: Diseo de hoja de salida de quipo por mantenimiento

Lista de verificacin para el hardware

Verificar los siguientes

aspectos

Caractersticas

Monitor
Disco duro
Tarjeta de Red
Memoria RAM
Procesador
Unidad de CD-ROM
Quemador de CD
Puerto USB
Teclado
Mouse

Tabla N 6: diseo de lista de verificacin de hardware

7. Asignar los recursos y sistemas computacionales para la auditoria
Los recursos que se van a asignar por parte de CNR para la realizacin auditora
son:
Computador de escritorio ubicado en una de las sedes de la compaa para
verificar la seguridad de la red como un usuario dentro de la sede de la
compaa.
Usuario estndar del dominio con los permisos habituales de acceso a una
carpeta especfica del servidor de datos.
Usuario estndar de correo de la compaa para verificacin de la seguridad
de la plataforma de correo.
Computador porttil para verificar el comportamiento de los permisos de los
usuarios y las polticas aplicadas por medio del antivirus a los equipos dentro
y fuera de la red de la compaa, ya sea conectndose por una red pblica o
mediante un acceso VPN.

14

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

CONCLUSIONES
Las auditorias informticas se construyen mediante la recoleccin de informacin y
documentacin de todo tipo. Los informes finales varan dependiendo de la
capacidad del auditor para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor es reunir toda la informacin necesaria para
emitir un juicio global objetivo, siempre apoyado en las evidencias comprobatorias
recolectadas a travs del proceso.
El auditor debe estar entrenado para entender los mecanismos que se desarrollan
en un procesamiento informtico. Tambin debe estar preparado para enfrentar
sistemas computarizados en los cuales se encuentra la informacin necesaria para
auditar.
Toda empresa, pblica o privada, que tenga un Sistema de Informacin
medianamente complejo, debe de someterse a un control estricto de evaluacin de
eficacia y eficiencia. Hoy en da, la mayora de las empresas tienen toda su
informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que
los sistemas de informacin funcionen correctamente. El xito de la empresa
depende de la eficiencia de sus sistemas de informacin. Una empresa puede
contar con personal altamente capacitado, pero si tiene un sistema informtico
propenso a errores, lento, frgil e inestable; la empresa nunca saldr a adelante.
La auditora de sistemas en sistemas de informacin se constituye como un pilar en
cuanto a tener protegidos los datos vitales de una empresa, los cuales los activos
ms importantes que permiten que esta funcione eficazmente. Por ende una
correcta recoleccin de la informacin, permite un anlisis preciso y la creacin de
conclusiones y estrategias a tomar adecuadas para mejorar y controlar la seguridad
en los sistemas de informacin.

15

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

90168 - Auditora de Sistemas.
II - 2014

BIBLIOGRAFIA
Aguirre Cabrera, Adriana (2006): Mdulo Auditora de Sistemas
Information Systems Audit and Control Association (ISACA) (2012): COBIT 5. Estados
Unidos
Muoz Razo, Carlos. (2002) Auditora en Sistemas Computacionales, Primera Edicin,
Prentice Hall, Mxico.
Muoz Razo, Carlos. (2002) Auditora en Sistemas Computacionales. Primera Edicin,
Pearson Educacin.

16