FASE DE RESULTADOS HALLAZGOS DE LA AUDITORIA, TRATAMIENTO DE RIESGOS,

CONTROLES

ANDRES RENE VARGAS ROBLES

Cdigo 1049633545

GRUPO No. 90168_5

TUTOR

JOSE ALFAIR MORALES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

AUDITORIA DE SISTEMAS

2017
 INTRODUCCIN

Este trabajo es desarrollado con el fin de mostrar los hallazgos de auditoria que tuvimos en el
proceso dentro de la empresa que auditamos y adems de esto dar el tratamiento y control que
se le va a dar a los riesgos que fueron detectados, para posteriormente realizar el respectivo
control interno e informtico. Se puede evidenciar en este documento todo los objetivos
logrados, demostrando as una evidencia que se alcanz los objetivos sobre las auditorias
informticas, y el control interno dentro de una organizacin el cual surge por la necesidad de
evaluar y satisfacer la eficiencia, eficacia, razonabilidad, oportunidad y confiabilidad en la
proteccin y seguridad de los bienes de una organizacin.
 OBJETIVOS

determinar el tratamiento de los riesgos

ejecutar los respectivos planes de auditoria
presentar los hallazgos de la auditoria
realizar formulario de recomendacin y mitigacin de riesgos
lograr realizar un informe final de auditoria en la empresa que se est trabajando.
lograr elaborar el dictamen y el informe final de auditora.
interpretar y aplicar las tcnicas el documento de procesos de COBIT
 CUADRO DE VULNERABILIDAES-AMENAZAS RISGOS CATEGORIA

Activo Vulnerabilidad Amenaza Riesgo Probabilidad Impacto

Informtico Baja Media Alta Leve Moderado Catastrfico
Falta de
proteccin -Prdida en la
PC Software no contra virus y seguridad del
R1 Contabilidad actualizado malware almacenamiento
Ausencia de de informacin. X X
actualizaciones -Virus
y de soporte informtico
tcnico
R2 X X
PC GERENCIA No actualizacin Disminucin del Indisponibilidad de
del SO rendimiento, base de datos de
Ransomware recurso humano

Acceso no Perdida de
R3 PC secretaria Falta de autorizado a la informacin por X X
de gerencia contrasea informacin rotacin, salida
de personal

R4 No hay polticas Perdida de

PC AREAS de gestin del Inundacin informacin total X x
riesgo
No hay polticas Prdidas
PC de seguridad econmicas
R5 FINANCIERO informtica Spyware el sistema de x x
Contabilidad.
PC Acceso no Ingreso de Perdida y robo de X X
R6 SISTEMAS autorizado al personas ajenas informacin
rea al rea
 TRATAMIENTO DE RIESGOS

ID. DESCRIPCIN RIESGO TRATAMIENTO

RIESGO RIESGO
R1 La mayora de los antivirus ya no tiene licencia y no estn actualizados Controlarlo

R2 No estn actualizados los sistemas operativos de todos los computadores de la Controlarlo

empresa

R3 Perdida, modificacin y robo de informacin por falta de control Controlarlo

R4 Dao en los equipos, indisponibilidad de algn sistema, perdida de informacin por Transferencia
inundacin.

R5 Prdidas econmicas el sistema de Contabilidad Aceptarlo

 CUADRO DE HALLAGOS

RIESGO HALLAZGO TIPO DE CONTROL SOLUCIONES

Dao en los equipos, indisponibilidad de Realizar una valoracin a cada equipo

Virus algn sistema, perdida de informacin por Preventivo y correctivo de la empresa para determinar que
informtico causa de no tener actualizado el antivirus quipos se encuentran desactualizados
de todos los computadores de la empresa y previamente realizar jornadas de
actualizacin de antivirus

Indisponibilidad Los equipos de la empresa en su gran Realizar actualizaciones de los

de base de mayora tienen los sistemas operativos con Correctivo sistemas operativos de los
datos de versiones muy viejas y adems de eso computadores desactualizados
recurso humano desactualizadas

Perdida de se ha detectado mucha perdida de se debe realizar mayor control con el

informacin informacin debido a el constante cambio personal asignado a las diferentes
por rotacin, de personal y la falta de contraseas en los Correctivo reas y asignar contraseas a cada
salida de equipos persona encargada de su respectivo
personal equipo.
Perdida de se puede perder las bases de datos e Realizar polticas de prevencin del
informacin informacin por desastres naturales por Preventivo riesgo, y asegurar la empresa
total falta de planes de prevencin de riesgos
naturales como lo es una inundacin
Prdidas se detect que la empresa puede sufrir debe contratar personal idneo y
econmicas ataques de robo de informacin de tipo tener polticas de seguridad
el sistema de financiera ya que es vulnerable a su sistema Preventivo y detectivo informtica que implementen planes
Contabilidad. y puede ser controlado fcil mente por de defensa en caso de ataque y
cibercriminales salvaguarden la informacin
financiera
 CUADRO DE NIVEL DE MADUREZ

Activo Riesgo SOLUCIONES Nivel de

Informtico Madurez

La mayora de los antivirus ya La instalacin de software debe tener los derechos de autor que Nivel 1
no tiene licencia y no estn cumpla con los objetivos especficos en para salvaguardar toda la
actualizados documentacin e informacin imprescindible para el dar manejo a las
R1 diferentes operaciones. Se debe adquirir un antivirus de pago o
Premium que ofrezca las funciones de detencin a cualquier objetivo
Software malicioso.

R2 No estn actualizados los Se deben implementar actualizacin de los sistemas operativos en Nivel 1
sistemas operativos de cada una de las reas porque es de vital importancia para el buen
todos los computadores funcionamiento de nuestro ordenador ya que mejoran las diversas
de la empresa aplicaciones que se ejecutan en el sistema.
R3 Perdida, modificacin y robo Se recomienda a los trabajadores asignados a cada equipo que es Nivel 2
de informacin por falta de necesario que les sea asignado un usuario y contrasea para evitar
control estos incontinentes.
R4 Prdida parcial o total de Polticas de prevencin y riesgos de seguridad. Nivel 2
Financiero equipos

R5 Prdidas econmicas el Controlar el acceso a personas no autorizadas a la empresa Nivel 3

sistema de
Contabilidad
 INFORME FINAL DE AUDITORIA

Cordial saludo
Se ha realizado una auditoria al Sistema de informacin para verificar las posibles
vulnerabilidades, riesgos y amenazas que tiene la empresa y poder dar solucin a dichos
problemas encontrados.
Los objetivos fueron enfocados a:
Practicar auditoria a Las diferentes reas de la compaa las cuales manejan los sistemas de
informacin, a procesos que an no se encuentran sistematizados correctamente. Identificados
como fallas crticas para la compaa.
Como resultado de dicha auditoria se presenta las conclusiones al respecto.

Hallazgos:
- En cuanto el manejo de antivirus y su actualizacin no se encontr polticas de seguridad,
no definen los procesos y procedimientos para realizar estas funciones, No hay una
adecuada administracin para que se proteja la informacin de la empresa

- En cuanto a la mayora de los computadores de la compaa no se encuentran actualizados

los sistemas operativos de la compaa estos procesos deben ser realizados en conjunto
con el encargado del rea de sistemas

- Como se pudo evidenciar el acceso a la informacin de los computadores de la empresa

de cada usuario no hay control debido a que no existen contraseas que protejan el acceso
a personas ajenas a la empresa

- En cuanto a procedimientos de evacuacin y polticas de gestin del riesgo se encontr

que no hay planes en prevencin y adems de eso no se trabaja con los entes encargados
para recibir orientacin sobre este tema.

- En cuanto a existencia de polticas de seguridad no se encontraron procedimientos que

realicen evaluaciones y revisiones, actualizacin, requerimientos de seguridad de la
informacin de la empresa
 Recomendaciones

En el caso particular de los Antivirus, la actualizacin es necesaria por el simple hecho de

que una de las herramientas que tiene este para impedir o detectar a tiempo el ingreso
de virus informticos es la deteccin por medio de su base de datos.

Las actualizaciones de software realizan muchsimas tareas. Hay actualizaciones del

sistema operativo y de programas de software individuales. Estas actualizaciones
proporcionan muchas revisiones para el equipo, por ejemplo, agregan funciones nuevas,
eliminan funciones desactualizadas, actualizan controladores, proporcionan correcciones
de errores y, lo que es an ms importante, reparan vulnerabilidades detectadas.

Con respecto a la identificacin de personal clave de TI y personal de apoyo se recomienda:

Implementar un proceso de capacitacin en la coordinacin de sistemas para minimizar la
dependencia del personal clave en cada uno de los mdulos. Realizar rotacin del personal,
asignar roles, responsables en la coordinacin de sistemas y documentarlo. Intercambio
de roles y contraseas peridicamente.

Se deben manejar polticas de gestin del riesgo y trabajar con las instituciones allegadas
que brinden capacitacin a todo el personal.

Con respecto a la existencia de planes de seguridad, y administracin de usuarios se

recomienda: Incluir en el Plan de Seguridad aquellos aspectos que son necesarios y que no
se han contemplado. Informar inmediatamente a la Coordinacin de Sistemas sobre
cambios en el personal de cada dependencia. Disear un proceso estndar para desarrollo
de polticas de seguridad que contemple aspectos como la administracin de usuarios.
 CONCLUSIONES

la teora del estndar COBIT que permite encaminarse a la investigacin, a la

epistemologa que nace a partir preguntas o cuestionamiento, para detectar aquellos
hechos que deber investigarse para poder realizar y aplicar una debida auditoria de
sistemas

A travs de la realizacin de los hallazgos de auditoria podemos realizar un tratamiento

de riesgos a la empresa auditada Teniendo en cuenta la aplicacin de los instrumentos
para recoleccin de informacin, los objetivos planteados con anterioridad .

Este informe final se realiz para poder satisfacer la necesidad de lograr aprender,
captar, aplicar y emprender en los procesos de auditora interna en una cualquier
entidad
 REFERENCIAS

Auditora de seguridad de sistemas de informacin. (2017, 22 de mayo). Wikipedia, La

enciclopedia libre. Fecha de consulta: 04:10, julio 17, 2017 desde
https://es.wikipedia.org/w/index.php?title=Auditor%C3%ADa_de_seguridad_de_sistem
as_de_informaci%C3%B3n&oldid=99308558.

Falcon, . (2006). Auditora y las Normas de Auditora Generalmente Aceptadas.

(Spanish). Contabilidad Y Negocios, 1(2), 16-20. Extrado de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf

lvarez, M., & Rivera, Z. (2006). La auditora como proceso de control: concepto y
tipologa. (Spanish). Ciencias De La Informacin, 37(2/3), 53-
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf