Beruflich Dokumente
Kultur Dokumente
Auditoria de Sistemas
Semana 8
Proceso de Auditoria
Presentado por:
Jeymy Liceth Chaves ID: 496821
Lorena Pineda Luna ID: 496350
Viviana Rincón Bello ID: 496602
Presentado a:
Eduvina Hernández
NRC: 3317
Alcance
La auditoría se realizará sobre los sistemas informáticos en
computadoras personales que estén conectados a la red interna de la
empresa.
Objetivo
Tener un panorama actualizado de los sistemas de información en
cuanto a la seguridad física, las políticas de utilización, transferencia de
datos y seguridad de los activos.
Recursos
El número de personas que integraran el equipo de auditoria será de
tres, con un tiempo máximo de ejecución de 3 a 4 semanas.
Etapas de trabajo
1. Recopilación de información básica Una semana antes del
comienzo de la auditoria se envía un cuestionario a los gerentes o
responsables de las distintas áreas de la empresa.
2. El objetivo de este cuestionario es saber los equipos que usan y los
procesos que realizan en ellos. Los gerentes se encargaran de
distribuir este cuestionario a los distintos empleados con acceso a
los computadores, para que también lo completen. De esta
manera, se obtendrá una visión más global del sistema.
REPORTE DE
HALLAZGOS
TIP Cons Rein
IT DESCRIP O
EM CIÓN N O ecu d
C tivo n
SA a
GI d
No se tiene evidencia de la notificación al Asistente de
Planeación (Daniel Torres), ni Auxiliar de Recepción
(Lorena Suarez) sobre el uso y finalidad de la carpeta
Backup, asi como también se evidencio que el
1 procedimiento no tiene alcance en su ejecución real a la X
sede de Ecuador ni para usuarios ni para Servidores ya
que no cuentan con la evidencia; todo lo anterior incumple
lo establecido en el numeral 4.3.2.1 del procedimiento de
Backups P.SIS.001.17 y el numeral 7.5.2.9 sobre
Protección de Registros Electrónicos de la norma ISO
15378:2015, generando el riesgo de pérdida de
información en los equipos de estos
usuarios.
Se cuenta con archivo de Excel control Backup de
usuarios hoja Usuarios, donde se puede observar que por
medio de un "OK" se garantiza que se verifico que el
2 Backup ha sido realizado, dicho documento tiene registro X
de todos los equipos e incluye unos pendientes “P”, que
están incluso desde el mes de enero, aparentando que
dicho Backup no fue realizado. Adicionalmente el área
argumenta que ese archivo no es al que querían referirse
en el procedimiento sino que debería remitir al formato
F.SIS.001 ya que el Excel es un control interno se
observa si una inconsistencia en el procedimiento de
Backusp que puede afectar posteriormente el numeral
7.5.2.9
En el caso de la Solicitud de Desarrollo # 1206
modificación solicitada y aprobada por Yenny Barrera el 3
de mayo de 2018 se observa que no hay fecha de entrega
diligenciada en el formato, adicionalmente, en el numeral
2 Estructura de Datos no se anularon los espacios en
3 blanco que quedaron (5 filas en 6 columnas sin usar) X
incumpliendo con las Buenas Practicas de
Documentación establecidas por la Compañía en el
procedimiento de Control de Registros P.ISO.003.9
afectando la trazabilidad. Adicionalmente, no se encontró
correo de notificación de entrega del desarrollo de la
Solicitud # 1203 al usuario solicitante, incumpliendo lo
establecido en el instructivo I.SIS.001.8 Solicitud
Desarrollo en Sistemas afectando igualmente la
trazabilidad del proceso.
No se puede observar en los casos analizados evidencias
acerca de contra que fuentes de información adicional
fueron realizadas las pruebas cruzadas que se mencionan
4 en el procedimiento I.SIS.002.3A Verificación y Validación X
de Software, de esta manera no es posible saber si el
cruce se realizó o no incumpliendo el procedimiento en sí
y lo establecido en la norma ISO 15378 # 7.5.2.7 y 7.5.2.8
con el objetivo de
garantizar la integridad de la información.
No se está llevando a cabo el proceso establecido en el
documento I.SIS.006.1 Solicitud de Servicios TI.
5 Generando incumplimiento a todo el documento y el X
riesgo de no tener una metodología unificada en los
servicios de Tecnología de la Información que asegure la
estandarización.
Se observó que en uno de los dos casos revisados en la
muestra, no hubo retroalimentación al Jefe de Sistemas
sobre la ejecución de la cancelación de permisos,
6 adicionalmente no se está entregando al Jefe TI el X
Checklist de Entrega de Puesto por lo tanto no hay
validación, incumpliendo lo establecido en el instructivo
I.SIS.007.1 Cancelación de
Permisos para Usuarios y generando el riesgo de
afectación de la integridad y seguridad de la información.
Total 4 2
NC: No Conformidad O: Oportunidad de Mejora
D A T O S / IN F O R M A C Iò N
Perdida o
corrupcion de
1 20 20 MEDIO 4,00 5,00
datos
sistematizados
Perdida de la
Afectacion de la informacion y
Insuficiencia en el
integridad de los posibles ataques a
aseguramiento de 2 15 30 BAJO 2,00 15,00
datos la integridad de los
la base de datos
datos
Niveles de la
seguridad de la
2 18 36 BAJO 2,00 18,00
informacion
inadecuada
Manipulacion de impropio no
equipo controlado, 1 30 30 BAJO 2,00 15,00
Afectacion del
contraseñas no
Software, ataque, informatico
protegidas, claves,
mala
certificados,
administracion,
administracion
degradacion
Exposicion de deficiente de
3 16 25 MEDIO 1,00 25,00
contraseña contraseñas,
corrupcion de datos
.
Perdida de
1 17 18 MEDIO 1,00 18,00
confidencialidad
C O M U N IC A C IO N E S P E R S O N A L
Falta de
definicion del Manejo inadecuado
perfil, privilegios y de la informacion, 2 20 20 ALTO 1,00 20,00
Personal restricciones del ejecuccion de
inadecuado que personal procesos
opere, desarrolle
Falta de erradamente, virus
y administre el
definicion de ejecuccion no
sistema
politica y autorizada de 2 25 25 ALTO 1,00 25,00
seguridad programas
corporativa
Lineas de
comunicación no 3 10 30 BAJO 2,00 15,00
Intercepcion de protegidas
informacion por
No disponibilidad
personas no
de red e infiltracion
autorizadas, con
de las
fallas en la
comunicaciones
disponibilidad del proteccion
servicio inadecuada de 2 15 30 BAJO 2,00 15,00
trafico sensible
1 Baja, no hay historial y es raro que la amenazas ocurra. NIVEL DE RIESGO RESIDUAL CALIFICACION
MODERADO 11 A 20
BAJO 1 A 10
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3
BAJO 2
NULO 1
EFICACIA DEL CONTROL VALORACION DEL RIESGO
ALTO 4 NIVEL DE RIESGO INHERENTE CALIFICACION
MEDIO 3 EXTREMO 41 A 75
BAJO 2 ALTO 21 A 40
INEXISTENTE 1 MODERADO 11 A 20
BAJO 1 A 10
1 Baja, no hay historial y es raro que la amenazas ocurra. NIVEL DE RIESGO RESIDUAL CALIFICACION
Probabilidad de
ocurrencia
MODERADO 11 A 20
BAJO 1 A 10
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3
BAJO 2
NULO 1
ANALISIS DE AUDITORIA
Por otro lado hay formatos de entrega sin diligenciar y renglones en blanco sin
anular, lo cual incumple con buenas prácticas de documentación establecidas lo
cual afecta la trazabilidad en la compañía.
Por lo anteriormente mencionado podemos evidenciar que se están omitiendo
medidas establecidas en la empresa a lo cual se recomienda tener en cuenta los
procedimientos a seguir guiándose por las normas ya establecidas, sin omitir
ninguna de ellas para evitar futuros inconvenientes.