AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO FASE 2

PRESENTADO POR
ALEJANDRO CONTRERAS Cod. 1018412909

GRUPO:
90168_30

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ECBTI
BOGOTA
MARZO 2017
 OBJETIVOS

Realizar auditoria a las redes de datos y al manejo de la informacin por parte de

los usuarios (directivos, docentes y estudiantes) dentro de la empresa Avanti

OBJETIVOS ESPECFICOS
Conocer los usuarios del sistema con el fin de analizar los posibles riesgos
que se puedan presentar, mediante visita a la empresa y entrevista con los
usuarios
Conocer la infraestructura de red de la empresa con el fin de analizar los
riesgos que se pueden presentar en la seguridad de la informacin, mediante
visita a la empresa y entrevista con los encargados de soporte tcnico.
Elaborar plan de auditoria mediante la creacin de formatos para la
recoleccin de informacin, planes estratgicos, estndar a seleccionar y los
procesos relacionados en el objetivo de la auditoria, con el fin de obtener
informacin confiable.
Elaborar las pruebas necesarias para la determinacin de los riesgos
existentes en la red de datos y los controles y acceso de los usuarios, para
la elaboracin de la matriz de riesgos midiendo su ocurrencia e impacto.
Generar dictamen sobre la auditoria para los procesos evaluados,
presentando el informe de resultados
 ACTIVIDAD
La empresa que propongo para la auditoria se llama Avanti, esta es una empresa
dedicada a prestar servicios de consultora informtica en SAP en todo el territorio
nacional, est compuesta de la siguiente manera:
Gerencia General
Gerencia de Operaciones
Tesorera y Contabilidad
Departamento de consultora.

La empresa cuenta con aproximadamente 30 equipos de cmputo los cuales unos

son de propiedad de la compaa otros de propiedad de la consultora no se tiene
control de licenciamiento, tampoco polticas de seguridad informtica, es una
empresa de la cual hago parte como propietario y est en proceso de crecimiento y
consolidacin, considero que es un caso apropiado porque podemos proponer un
informe de auditorio con las mejores prcticas desde nuestra formacin y
experiencia para presentarlo a dicha empresa y esta lo acoja como modelo de
buenas prcticas.

Tabla 1
No. Vulnerabilidad Amenazas Riesgo Categora
Robo de
No existe control de
Ingresos no autorizados a informacin de la
1 acceso a la Seguridad lgica
la red empresarial compaa y sus
informacin
empleados
Software sin soporte, Daos de
Uso de software no
perdidas de informacin, hardware falta de
2 licenciado en la Software
instalacin de programas actualizaciones y
empresa
no deseados antivirus
Perdida de
disponibilidad de
No hay redundancia la informacin en
No hay personal para
3 en las conexiones de caso tal que se Rede
auditar la red
red tenga un corte
por el proveedor
de claro
No hay un
procedimiento el cual Perdida de
Humano hurto de
4 controle los confidencialidad Hardware
informacin
perifricos de entrada de la informacin
y salida
En caso de
No se cuenta con un
lluvias puede
ambiente apropiado
daarse por
del servidor fsico que
5 Humano y ambiental humedad. Al Seguridad fsica
hay en la compaa,
estar al alcance
se encuentra a la
de todo el
vista de todos
personal puede
 haber dao por
esttica.
Perdida de
Falta de controles en confidencialidad
los equipos que e integridad de la
pueden tener acceso informacin,
6 Humano Seguridad lgica
a la red, no se cuenta puede ser causa
con filtrado Mac, ni tambin de
con filtrado de ip. amenazas
externas
No tiene un
procedimiento de Acceso no
contraseas ni en los autorizado a la
7 Humano Seguridad lgica
equipos informticos, informacin core
ni en el ingreso de de la compaa
base de datos
Daos fsicos en
No se cuenta con un la compaa y
8 Ambiental Seguridad fsica
sistema de humo posibles prdidas
de informacin
Robos de
informacin y
No existe un firewall Ingreso externo a daos de
9 Seguridad lgica
activo. servidores y host software y
hardware por
virus
No se tiene en
cuenta los
Personal no capacitado permisos para
No se controlan puede modificar a su cambios y
10 privilegios de los antojo daando el acceso modificaciones Seguridad lgica
usuarios de todos los dispositivos a en la red por
la red parte de los
usuarios de la
misma
Problemas
Falta un legales por uso
11 procedimiento de legales de licencias e Seguridad lgica
manejo de licencias instalaciones no
permitidas
El servidor no se
Daos por corto
encuentra en un rack,
circuito y
este puesto en la
12 Daos fsicos ambientales esttica, posible Seguridad fsica
parte superior de la
prdida de la
oficina con otros
informacin
equipos informticos
No hay un
procedimiento el cual Accesos no
Entrada o Accesos no
13 identifique los autorizados de Seguridad lgica
autorizados
puertos activos en el informacin
servidor
Problemas
Falta un legales por uso
14 procedimiento de legales de licencias e Seguridad lgica
manejo de licencias instalaciones no
permitidas