Beruflich Dokumente
Kultur Dokumente
CÓDIGO: 90168
UNIDAD 1
PRESENTADO A:
ENTREGADO POR:
GRUPO:
90168_30
INGENIERÍA DE SISTEMAS
CARTAGENA -BOLÍVAR
INTRODUCCIÓN
Con la realización del presente trabajo se busca apropiarnos de todos los conceptos que abarca la
auditoría interna de sistemas, sus características y todos los procesos que identifican este tipo de
auditorías.
El principal interés en este tema es el de poder afianzar los conocimientos en todo lo relacionado
con la auditoria, poder establecer como prioridad y protección de la información del sistema
computacional y de los recursos informáticos de la empresa, y al final tener un mayor conocimiento
con el fin de velar por la seguridad de la información y estado funcional de los activos informáticos
Realizar el proceso de auditoría guiado completo en el cual se visualicen las fallas en procesos
susceptibles a medida y a reorganización o reorientación.
Elegir los procesos aplicables del estándar CobIT a la entidad para el plan de auditoría de manera que
se haga evaluable las fallas en los procesos.
Proyectar pruebas de funcionalidad para el área de tecnología tomando como punto de partida tanto las
fallas en los procesos observados como aquellos elegidos como medición del estándar CobIT.
INFORME
- Empresa OLITEYCA
- Empresa ENUP
EMPRESA ENUP
(Departamento de Informática)
Función
El departamento de Informática de la empresa ENUP tiene por misión la gestión eficiente de los
recursos, estructura y servicios tecnológicos institucionales, mediante la administración redes,
soporte técnico, desarrollo de software y seguridad informática los cuales son fundamentales para
los procesos realizados por los usuarios de la empresa.
Estructura Organizacional
Jefe Departamento
Informática
Jefe Sección de Redes Jefe Sección de Soporte Jefe Sección Desarrollo Jefe Sección Seguridad Informática
Grafico
2.Técnico de Redes 2.Técnico de Soporte
3.Técnico de Soporte
Cargos y funciones
Función:
Proponer y participar en el diseño de soluciones asociadas a los requerimientos de la empresa.
Delegar adecuadamente tareas para el cumplimiento de los objetivos a cada una de las
secciones que conforman el departamento.
Coordinar con el grupo de trabajo la elaboración de proyectos para el mejoramiento de
procesos de la empresa.
Función:
Proteger los sistemas informáticos de la Empresa ante posibles amenazas
Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la
información.
Mantener los usuarios, passwords y accesos a los sistemas por parte de los usuarios de la
Empresa
Desarrollar e implementar el Plan de Seguridad.
Función:
Manejar y controlar las licencias de software.
Es el responsable de la elaboración y mantenimiento de los sistemas.
Elabora estudios para la elección y adquisición de software.
Generar la documentación técnica y manuales de cada sistema.
Técnico Diseño Grafico
El Técnico de diseño gráfico es el encargado de crear conceptos visuales que comuniquen ideas,
mensajes o elementos para los sistemas de información con los que cuenta la empresa.
Función:
Desarrollo de diseños para la página web de forma atractiva y distribuida de forma correcta
para la creación de páginas de calidad.
Funciones:
brindar asesoría y capacitaciones sobre el correcto uso de los computadores a los usuarios de
la empresa.
Administra y asigna a los técnicos de soporte las incidencias informáticas realizadas por los
usuarios.
Colabora en la elaboración de programas de adquisición de bienes informáticos para la
empresa.
Técnico de Soporte
El técnico de soporte es el encargado y actúa como mediador para resolver los diferentes
inconvenientes informáticos que presenten los usuarios de la empresa.
Función:
Es el encargado de dar mantenimiento preventivo a los computadores
Es el encargado de hacer las instalaciones de Hardware y Software a los computadores
Es el encargado de hacer revisiones y reparaciones a los computadores
Cambiar claves de acceso de los usuarios del servidor de dominio
Jefe Sección de Redes
Función:
Manejo del inventario de equipos de red y servidores.
Es el encargado de investigar y proponer soluciones de redes y comunicación
Es el encargado de la gestión de direccionamiento IP
Administrar el sistema de antivirus y las herramientas asociadas a éste.
Técnico de Redes
El técnico de Redes es el encargado y actúa como mediador para resolver los diferentes
inconvenientes qué presenten los usuarios en la red.
Función:
Supervisar cableados y el buen funcionamiento de todos los aparatos involucrados en la red y
conectividad
Realizar el mantenimiento a la red, como además del chequeo de virus, cableados, conexiones,
hardware relacionado con la red.
Realizar acciones correctivas en caso de fallas en la red.
Documentar fallas y correcciones.
Servicios departamento de informática
Seguridad Informática
Desarrollo de Software
Soporte Técnico
Redes y telecomunicaciones
A continuación, se realizará una descripción de los sistemas informáticos con los que cuenta la
empresa ENUP y la sección responsable de esté en el departamento de sistemas.
Sección Desarrollo
Sección Soporte
Servidor de Dominio
Servidor de Antivirus
Firewall
Servidor de Cámaras de Vigilancia
Servidores de Backups
Activos informáticos del departamento
Jefe Departamento
01 computador Portátil
01 impresora
01 IPAD
Sección Desarrollo
02 computadores
01 impresora
04 carteleras digitales
01 UPS
Sección Soporte
04 computadores
01 computador portátil
01 impresora
01 UPS
04 computadores
01 Videobeam
01 impresora
01 UPS
01 firewall (Datacenter)
05 servidores (Datacenter)
02 rack
Plan de Auditoria
Objetivos Específicos:
Objetivo 1:
Conocer los controles de seguridad informática en los equipos de cómputo y políticas de seguridad
de acceso en zonas restringidas en donde se ubica la infraestructura tecnológica que soportan los
sistemas de información de la empresa por parte de los empleados para analizar las
vulnerabilidades y amenazas que originan los riesgos para la empresa mediante visitas a la empresa
y entrevistas con los usuarios.
Objetivo 2:
Elaborar el plan de auditoría diseñando los formatos para la recolección de información, y
diseñando el plan de pruebas a ejecutar, la selección del CobIT como estándar de buenas prácticas
que será aplicado presentando los recursos y personal necesario para llevarla a cabo la auditoria.
Objetivo 3:
Aplicar los instrumentos de recolección de información que fueron diseñados para encontrar los
riesgos existentes teniendo en cuenta el modelo estándar de auditoria CobIT como herramienta de
apoyo en el proceso de inspección de los equipos de cómputo y acceso a la infraestructura
tecnológica de la empresa, para realizar el análisis y evaluación de riesgos hasta llegar a la matriz
riesgos donde se mostrara la probabilidad e impacto de los riesgos encontrados.
Objetivo 4:
Llevar a cabo un dictamen final de la auditoria para los procesos que van a ser evaluados y
presentar informe de resultados de la auditoria determinando las actividades de mejora para ser
presentadas a la empresa auditada.
Objetivo 5:
Analizar los servicios suministrados por el proceso de Mesa de Servicios enfocándose en las fallas
inquiridas por los agentes desde la primera interacción con el cliente hasta la entrega de solución de los
diferentes requerimientos e incidentes.
Objetivo 6:
Elaborar un plan de auditoría enfocado en la resolución de fallas y reestructuración de procesos tanto a
nivel de adquisición de planta tecnológica como en la atención por parte de Mesa de Servicios, tomando en
cuenta los estándares de calidad ofrecidos por el diseño de instrumentos de recolección de información y
pruebas de calidad sumadas a la auditoría.
Objetivo 7:
Implementar los instrumentos de recolección de información y pruebas de calidad a los procesos de
adquisición de planta tecnológica y atención de requerimiento e incidentes y demás servicios por parte de
Mesa de Servicios, identificando las falencias de cada proceso de manera que pueda proyectarse las
amenazas o fallas que se presentan en el día a día de la operación.
Objetivo 8:
Proyectar un dictamen de auditoría de acuerdo al nivel de evolución de los procesos evaluados determinado
las acciones para que sean abordadas las fallas, amenazas y riesgos potenciales tanto a nivel de adquisición
de planta tecnológica como los servicios prestados por la Mesa.
Alcances de la Auditoria
La auditoría se trabajará sobre los controles de seguridad informática establecidos para el manejo
de los equipos de cómputo de la empresa, así como también los controles establecidos para el
acceso a las instalaciones que albergan la infraestructura tecnológica que soporta los sistemas de
información, evaluando los siguientes aspectos:
- Personal autorizado
- Bitácora de ingreso a las instalaciones
- Sistemas de seguridad de acceso y vigilancia establecidos
- Inventario de Hardware
- Sistemas Contraincendios
- Conocimiento de Políticas de acceso a las instalaciones por parte de los empleados
autorizados
Metodología
Investigación preliminar
Entrevista con los empleados que tiene acceso a las instalaciones que albergan equipos de
sistemas para indicar sobre el conocimiento de las políticas establecidas para el acceso.
Entrevista con los empleados que utilizan equipos de cómputo para indagar sobre las políticas
de seguridad en cuanto a uso de estos activos informáticos
Recolectar información:
Diseño de formatos para la recolección de información, y diseño del plan de pruebas, además de
la selección del CobIT como estándar de buenas prácticas que será aplicado presentando los
recursos y personal necesario para llevarla a cabo la auditoria
Formatos de cuestionario
Aplicación de instrumentos:
Tratamiento de riesgos:
Determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer controles de
acuerdo a la norma de buenas prácticas aplicadas, definir las posibles soluciones
Dictamen de la auditoría:
Determinar el grado de madurez de la empresa en el manejo de cada uno de los procesos evaluados,
medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.
Recursos humanos:
La auditoría se llevará a cabo por el personal idóneo en seguridad informática.
Recursos Físicos:
La auditoría se llevará a cabo en el departamento de sistemas, Instalaciones que alberguen la
infraestructura tecnológica que soporta los sistemas de información y las oficinas que posean
equipos de cómputo de la empresa ENUP en la ciudad de Cali-Colombia.
Recursos tecnológicos:
Los recursos tecnológicos que se emplearán para realizar la auditoria:
Computador portátil
Cámara digital para captura de evidencia
Cámara de video para realización de entrevistas
Dispositivos de almacenamiento de información
Software antivirus para seguridad en los equipos
video Beam
Internet institucional
Recursos económicos:
Total $4.95.0000
Cronograma de Actividades
Obtención de evidencias
Dictamen y determinación
Fase de hallazgos
Resultados Definición de Controles y
de la soluciones al hallazgo
auditoria Elaboración del informe
final de auditoria
Nombre proceso: P09 EVALUAR Y ADMINISTRAR
LOS RIESGOS DE TI
Dominio: PLANEAR Y ORGANIZAR
Tipo de instrumento ENTREVISTA
DESCRIPCION
¿Se tiene claro y se han identificado los riesgos del sistema y los procesos que
deben ser aplicados
R/ si se conocen y se entienden los riesgos.
¿tienen una manera de evaluar las estrategias utilizadas para la solución de los
riesgos de la organización?
R/ si se tienen constantes sistemas de evaluación de los procesos aplicados.
Hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin
de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio
incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados
como controles de aplicación. Los procesos y objetivos de control son los siguientes:
DS1.2 Definición de Servicios: Esquematizar los servicios ofrecidos por la Mesa reconociendo
cada uno de los niveles, especialistas y conductos de atención.
DS1.3 Acuerdos de Niveles de Servicio: Definir los niveles para la prestación de cada uno de
los servicios implementados por la Mesa.
DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio: Crear estándares de
calidad para cada uno de los ítems de servicio de acuerdo a los niveles establecidos para Mesa.
CONCLUSIONES
Una auditoria de sistemas siempre es aplicable y necesaria para cualquier tipo de empresa.
La auditoría informática va enfocada desde el aspecto más pequeño hasta la estructura más grande
en el área de sistemas.
Alonso T. (2001) Auditoria de Sistemas, una visión práctica. Universidad Nacional de Colombia.
(pp. 14 -15) Recuperado de:
https://books.google.com.co/books?id=HdtpS3UBCuMC&pg=PA67&dq=auditoria+informatica
&hl=es419&sa=X&ved=0ahUKEwjRs7L4gq_gAhVrtlkKHYPmBsAQ6AEIRTAF#v=onepage
&q&f=false