POSIBLE_CONSOLIDADO_MOMENTO_3 (Complemen).docx
of 20
-
Upload
christian-castaneda -
Category
Documents
-
view
215 -
download
0
Transcript of POSIBLE_CONSOLIDADO_MOMENTO_3 (Complemen).docx
TRABAJO COLABORATIVO MOMENTO 3AUDITORIA DE SISTEMAS
PRESENTADO POR:ALEXANDER GRANADOS SILVACD: 12.199.712CHRISTIAN RICARDO ALMANZA CASTAEDACOD: 1.122.136.507 CATTERIN BUITRAGO BEDOYACD: 1.120.925.475
GRUPO: 90168_35
TUTORFRANCISCO NICOLS SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIACEAD SAN JOSE DEL GUAVIARE10 DE MAYO DE 2015
INTRODUCCIN
Este trabajo centra en la importancia de reconocer un proceso de auditora, teniendo en cuenta que debemos detectar principalmente los riesgos que la entidad o dependencia genera en su entorno, Tambin encontraremos un anlisis y evaluacin de riesgos, logrando identificar porque se generan dichos riesgos.
Tambin se centra en la importancia de reconocer las diferentes aplicaciones para realizar auditoras, entre las que tenemos Win Audit, ZIFRA, Gesia, entre otras, que nos permiten realizar diferentes tipos de auditoras, de software, inventarios y dems que permiten ayudar a un mejor desempeo de las entidades.
ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA90168_35 Auditoria de SistemasMomento 3
Por otra parte tenemos una matriz con columnas como riesgo, causa y control, definiendo as los controles y prevenciones que se deben tener para disminuir o desaparecer los riesgos que generan mal ambiente y por ende poco rendimiento de cualquier rea.
OBJETIVOS
Analizar los controles aplicables para los riesgos de acuerdo a las causas que lo originan Aplicar la metodologa de auditora para determinan los controles aplicables de acuerdo con el estndar COBIT 4.1 (objetivos de control) Conocer los diferentes tipos de Software que podemos implementar para realizar una auditora. Interactuar mediante debates con respeto y argumentos que ayuden a nuestro proceso de formacin.
Consolidado de los riesgos aportados por el grupo:R1: En algunas oficinas no se cuenta con sistemas contra incendios.R2: En la oficina donde se tiene el servidor de datos no se tienen accesorios que permitan controlar la temperatura de los equipos.R3: Faltan definir polticas para la asignacin de contraseas de los equipos de cmputo.R4: Los controles de seguridad de la informacin son limitados (personal ajeno ingresa con dispositivos de almacenamiento no autorizados)R5: Hay muy poco personal capacitado en mantenimiento de los equipos.R6: Los inventarios de los equipos se encuentran desactualizados.R7: Existen equipos con software que tienen sus licencias expiradas.R8: Los equipos no cuentan con ups que los proteja de fallas elctricas por causa del climaR9: Hay equipos a los cuales no se les ha restringido el uso de dispositivos USB.R10: Los sistemas de informacin que consultan los empleados no ingresan en todos los equipos de cmputo.R11: Personal poco capacitado para el manejo del softwareR12: Funcionarios de la entidad comparten sus contraseas con compaeros de trabajo u particularesR13: Utilizacin de la red para beneficios ajenos a los de la institucin.R14: No se realiza un escaneo para evitar intrusiones en la red.R15: No se realiza mantenimiento peridico a los equipos de cmputo.R16: No existen comprobantes de auditoras internas que aseguren un buen desempeo del rea.
PROCESOS COBITRIESGOS DETECTADOSCAUSAS
Administracin de Calidad
R5Falta de gestin con entidades externas para la capacitacin del personal de la unidad.
Adquirir y mantener infraestructura Tecnolgica.
R2Falta de presupuesto asignado para la adquisicin de los elementos necesarios.Falta de gestin con entidades territoriales.
Administrar Instalaciones.
R4, R6, R11, R12, R13, R14Descuido y falta de responsabilidad del funcionario responsable de telemtica.Falta de inters y compromiso de los funcionarios responsables.
Proteccin contra factores ambientalesR8Falta de presupuesto e inclusin en el plan de necesidades de la unidad.Falta de Gestin por parte del Jefe de la Unidad.
Administracin de Instalaciones Fsicas.
R1Falta de recursos econmicos y asignacin de presupuesto.Recorte presupuestal.
Mantenimiento Preventivo del Hardware
R3 R7 R9 R10, R15Falta de inters, compromiso y capacitacin de los funcionarios responsables de la actividad de mantenimiento preventivo de los equipos.
Evaluar lo Adecuado del Control InternoR16Funcionario encargado del rea no lleva registro detallado, sabiendo que es una de sus funciones, mantener el archivo de su dependencia al da.
Valoracin de Riesgos.
Riesgo/valoracinProbabilidadImpacto
AMBLMC
R1En algunas oficinas no se cuenta con sistemas contra incendios.XX
R2En la oficina donde se tiene el servidor de datos no se tienen accesorios que permitan controlar la temperatura de los equipos.XX
R3Falta definir polticas para la asignacin de contraseas de los equipos de cmputo.XX
R4Los controles de seguridad de la informacin son limitados (personal ajeno ingresa con dispositivos de almacenamiento no autorizados).XX
R5Hay muy poco personal capacitado en mantenimiento de los equipos.XX
R6Los inventarios de los equipos se encuentran desactualizados.XX
R7Existen equipos con software que tienen sus licencias expiradas.XX
R8Los equipos no cuentan con ups que los proteja de fallas elctricas por causa del climaXX
R9Hay equipos a los cuales no se les ha restringido el uso de dispositivos USB.XX
R10Los sistemas de informacin que consultan los empleados no ingresan en todos los equipos de cmputo.XX
R11Personal poco capacitado para el manejo del softwareXX
R12Funcionarios de la entidad comparten sus contraseas con compaeros de trabajo u particularesXX
R13Utilizacin de la red para beneficios ajenos a los de la institucin.XX
R14No se realiza un escaneo para evitar intrusiones en la red.XX
R15No se realiza mantenimiento peridico a los equipos de cmputo.XX
R16No existen comprobantes de auditoras internas que aseguren un buen desempeo del rea.XX
MATRIZ DE RIESGOS:
Clasificacin de Riesgos
LEVEMODERADOCATASTRFICO
AltoR3-R8R4-R5-R7-R12-R14-R15-R16
MedioR2-R6-R9-R10R1
BajoR11-R13
Tabla comparativa con las herramientas consultadas por el grupo: caractersticas, ventajas y desventajas.
Herramienta 1: Win Audit
CaractersticasVentajasDesventajas
El software Win Audit permite tener claro que programas y dispositivos tiene instalado un computador y eso en una auditoria sirve para identificar qu programas se utilizan dentro de la empresa. Se identifica si se maneja software sin licencia. Se determina el software de tipo personal que tienen los empleados que se encuentra restringido en las empresas. Identifica que modelos de computadoras se utilizan y para que servicios son dispuestos. Es gratuito Soporta varios idiomas Es fcil de utilizar y no requiere conocimientos previos Es autnomo, no necesita instalacin Es un software portable El programa es bastante flexible ya que permite publicar los resultadosen muchos formatos distintos.
Ninguna conocida
Herramienta 2: ZIFRA
CaracteristicasVentajasDesventajas
Es un programa desarrollado con los ms altos requisitos de seguridad y confidencialidad.
Completa seguridad de la base de datos y documentos, cerrada y completamente inaccesible desde el exterior. Control de usuarios por contrasea y adaptacin de contenidos y mens visibles a cada usuario. Integracin con las diferentes versiones de Office. Programas de trabajo por rea suministrados, con posibilidad de modificarlos, adaptarlos o crearlos desde cero. Asignacin y control de tareas por usuario.
No es gratuito.
Herramienta 3: GESIA
CaracteristicasVentajasDesventajas
GESIAes una herramienta integral para laRealizacin, Organizacin, Gestin y Controlde los trabajos de Auditora, permitiendo al auditor un control permanente y global sobre los papeles de trabajo. Crea un archivo por cada cliente y ao de auditora. Rellena automticamente todas las cdulas contables, sumarias y auxiliares al importar el Balance de Comprobacin del Cliente o el diario de contabilidad. Confecciona automticamente el Balance de Situacin, la Cuenta de Resultados, etc. Actualiza automticamente todos los ratios necesarios para la Revisin Analtica. Calcula la cifra de Importancia Relativa y el Error Tolerable.
A pesar de tener varias caractersticas que resultan ser atractivas en el producto, se cuentan con falencias estas son:
-Ofrecer una versin Demostrativa para el usuario interesado.
-Solo se podr actualizar el producto luego de haberse adquirido con una compra.
-En la versin Demo solo se podrn visualizar todos los informes pero no se podrn imprimir.
Herramienta 4 OCS Inventary:
CaracteristicasVentajasDesventajas
OCS es una aplicacin web de software libre distribuido bajo licencia GPL, que facilita la administracin de recursos informticos, el cual sus principales funcionalidades estn articuladas sobre dos ejes.El primer eje est relacionado con el inventario de todos los recursos informticos, y el software existente (permite registrar y administrar el inventario de hardware, software y cualquier tipo de perifricos
OCS Inventoryes capaz de detectar todos los dispositivos activos en la red, incluyendoswitches,routers, impresoras en red y cualquier dispositivo desatendido
Cuando el servidor central se ejecuta sobre un sistema Linux, si tenemos disponibles las funcionesnmapynmblookup, podremos tambin escanear un direccin IP o una subred para obtener informacin detallada de equipos no inventariados.
Permitirinstalar remotamente aplicaciones, por ejemplo, realizar un despliegue masivo en todo nuestro parque informtico de manera centralizada, lo cual es un aspecto muy interesante.
Es necesario contar con un simulador de Linux en los sistemas operativos de Windows
Herramienta 5: Belarc Advisor
CaracteristicasVentajasDesventajas
construye un perfil detallado del software y hardware instalados en su PC, incluyendo los hotfixes de Microsoft y muestra el resultado en su explorador WebToda la informacin del perfil se mantiene privada en su PC y no se enva a ningn servidor WebTemporal su periodo de prueba, luego se debe pagar.
No integra algunas versiones de office.
Herramienta 6: AudirQ Software para la gestin y control de calidad en firmas y despachos de auditoria
CaracteristicasVentajasDesventajas
Con audiQ sabremos en todo momento en qu fase del proceso estamos, as como el grado de implantacin del sistema en nuestro despacho. Las caractersticas que lo representan son:
-Implantacin Y Seguimiento.-Cumple los requisitos de la NICC1 y la ISO9001.
-Facilita la auto implantacin.
-Diferentes modelos a elegir.
-Compatible con cualquier herramienta de auditora.
-Rpida curva de aprendizaje
A pesar de tener varias caractersticas que resultan ser atractivas en el producto, se cuentan con falencias estas son:
No se podrn crear nuevos Manuales pero se podr trabajar con el fichero de ejemplo Sper QualityMC.qat
En la versin demo solo se desarrolla ntegramente el procedimiento de Aceptacin y Continuidad de Clientes.
Herramienta 7: For Sampling Muestreo estadstico y pruebas de auditora financiera
CaracteristicasVentajasDesventajas
Es una aplicacin informtica diseada para realizar pruebas de auditora financiera, principalmente basadas en tcnicas de muestreo aleatorio.
Tiene caractersticas como:
- Diseo de la prueba.- Seleccin de la muestra.- Evaluacin de los resultados.- Documentacin de la prueba.
Cumple con la NIA-ES 530 Muestreo de auditora.
Se basa en las tcnicas de muestreo publicadas por el AICPA.
Es la herramienta perfecta para combinar con Gesia.
Realiza y documenta la Seleccin y Circularizacin de Terceros en base a la Norma Internacional de Auditora NIA 505 Confirmaciones Externas.No evidencia desventaja alguna como software aplicativo de auditoria.
Herramienta 8: ACL Software para Auditoria Interna y Auditoria de Sistemas
CaracteristicasVentajasDesventajas
ACL es reconocido por la comunidad de auditores como la solucin de software preferida para la extraccin y anlisis de datos, deteccin de fraudes y monitoreo continuo.
Algunas caractersticas de este aplicativo son:
- Anlisis interactivo obteniendo resultados inmediatos.- Automatizacin de tareas repetitivas.- Resultados grficos y en reportes.- Proteccin de los datos originales.- Procesos de auto documentacin.- ACL es poderoso y fcil de usar.
- Permite convertir datos en informacin significativa.
-Lo usan principalmente: instituciones gubernamentales, corporaciones multinacionales, 50% del listado norteamericano Fortune 100 y las seis ms grandes firmas de contabilidad pblica.
-Brinda un anlisis de datos y generacin de reportes a cabalidad.No evidencia desventajas como software aplicativo de auditoria.
Herramienta 9: LUMIGENT Software para Auditoria Interna, Auditoria de Sistemas y Calidad de Datos
CaracteristicasVentajas Desventajas
Es un software capaz de registrar toda interaccin ejecutada por los diversos usuarios y aplicaciones de la organizacin contra el sistema manejador de bases de datos, ofreciendo la posibilidad de enviar notificaciones / alarmas va correo electrnico.
Las caractersticas conocidas son:
- Prevenir/detectar cambios a las estructuras de las bases de datos.- Supervisar la autorizacin y asignacin de permisos para el acceso a las Bases de Datos.- Satisfacer de las regulaciones internacionales sobre privacidad y seguridad.- Notificar automticamente a los supervisores sobre cambios en las estructuras de la base datos.- Los productos de Lumigent, no afectan el desempeo de losSistemas crticos.
- Los usuarios principales son Auditores deSistemas, Administradores de Bases de Datos, Operadores IT,Desarrolladores de Aplicaciones, Oficiales de Seguridad ySupervisores de Calidad.
- Lumigent tiene alianzas estratgicas con otros lderes globalesen el campo de bases de datos, seguridad y control de redesComo NetIQ y Embarcadero Technologies.
- Sus productos han sido certificados por Microsoft.Se encuentra para el usuario interesado tan solo una versin de Demostracin esta trae las siguientes limitaciones que considero como desventajas:
-Se ofrece una versin demostrativa para el usuario con una duracin de 30 das.
-Contiene tan solo unos cuantos idiomas en su demostracin.
Segn la deliberacin del grupo seleccionamos la Aplicacin Win Audit, entonces procedemos a realizar las respectivas pruebas:Pantallazos de la Prueba:En un primer pantallazo observamos el anlisis e inventariado automtico que hace la herramienta al iniciarse del sistema, desglosndonos una variedad de categoras en la columna izquierda de esta ventanilla.En un segundo pantallazo observamos las caractersticas especficamente de los perifricos que hay instalados en el sistemaEn un tercer pantallazo observamos las caractersticas a detalle de la pantalla o monitor en uso.En un cuarto pantallazo observamos los detalles de la BIOS del sistema instalado, especificndolas satisfactoriamente
En este quinto pantallazo se nos dan las especificaciones detalle del Procesador.En este sexto pantallazo veremos la informacin registrada tanto de la memoria que la CPU tenga almacenada como otras caractersticas, al igual que con los Discos Fsicos instalados en ella
Como ltimo pantallazo tenemos la informacin representada de la Placa Base y el Chasis.
Matriz con las columnas de riesgo, causa y control.
RIESGOCAUSACONTROL
R1: En algunas oficinas no se cuenta con sistemas contra incendios.Falta de recursos econmicos y asignacin de presupuesto.Recorte presupuestal.El funcionario encargado de la oficina debe identificar plenamente su oficina, por ende solicitar presupuesto para instalar las medidas de seguridad industrial que se requieren para mantener la integridad tanto fsica como el entorno de trabajo y sus recursos.
R2: En la oficina donde se tiene el servidor de datos no se tienen accesorios que permitan controlar la temperatura de los equiposFalta de presupuesto asignado para la adquisicin de los elementos necesarios.Falta de gestin con entidades territoriales.El funcionario encargado de la oficina debe realizar adecuaciones de instalaciones elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por los usuarios y por ende pedir ventilacin adecuada para que los equipos permanezcan frescos y con su capacidad de funcionamiento al mximo.
R11: Personal poco capacitado para el manejo del softwareDescuido y falta de responsabilidad del funcionario responsable de telemtica.Falta de inters y compromiso de los funcionarios responsables.Los funcionarios que implementan el manejo del software deben pedir capacitacin peridicamente para realizar buen uso de los equipos y por ende del software que maneja la institucin.
R12: Funcionarios de la entidad comparten sus contraseas con compaeros de trabajo u particulares
R13: Utilizacin de la red para beneficios ajenos a los de la institucin.Descuido y falta de responsabilidad del funcionario responsable de telemtica.Falta de inters y compromiso de los funcionarios responsables.Capacitar y orientar a los funcionarios que manejas claves para que sea uso personal, por ende solo para utilidad de la institucin, quien no cumpla deber realizrsele memorandos que afecten la conducta y sentido de pertenencia por la institucin.
R14: No se realiza un escaneo para evitar intrusiones en la red.Descuido y falta de responsabilidad del funcionario responsable de telemtica.Falta de inters y compromiso de los funcionarios responsables.El funcionario encargado de la oficina debe identificar plenamente su oficina, por ende solicitar presupuesto para instalar las medidas de seguridad industrial que se requieren para mantener la integridad tanto fsica como el entorno de trabajo y sus recursos.
R15: No se realiza mantenimiento peridico a los equipos de cmputo.Falta de inters, compromiso y capacitacin de los funcionarios responsables de la actividad de mantenimiento preventivo de los equipos.El funcionario a cargo del rea debe solicitar presupuesto para realizar el mantenimiento de los equipos y por ende para mejoramiento y adecuacin de su oficina.
R16: No existen comprobantes de auditoras internas que aseguren un buen desempeo del reaFuncionario encargado del rea no lleva registro detallado, sabiendo que es una de sus funciones, mantener el archivo de su dependencia al da.Capacitar y orientar a los funcionarios que manejan el archivo de la institucin, pues deben mantenerlo segn la norma vigente y por ende bebidamente archivado, de no ser as se le otorgaran memorandos al funcionario.
CONCLUSIONES
Culminando y dando por terminada esta tercera fase colaborativa, se ha logrado con los integrantes del grupo colaborativo una satisfactoria y excelente interaccin, desarrollando a cabalidad los aspectos planteados a resolver en este tercer trabajo colaborativo.
Cabe resaltar el compromiso y la responsabilidad que se adquiri durante el desarrollo de este, adquiriendo as conocimientos de gran importancia parta fortalecer nuestro perfil profesional mucho ms. Se lograron cumplir los objetivos previamente especificados, dejando a los integrantes del grupo colaborativo satisfechos y a gusto con este producto final a entregar.
REFERENCIAS CIBERGRAFICAS
Articulo web titulado Software y herramientas de auditoria.. Publicado por la pgina web Gesia.es, el 17 de Septiembre de 2012. Extrado el 10 de Mayo de 2015, http://gesia.es/productos/software-auditoria-gesia
Articulo web titulado Software y herramientas de auditoria. Publicado por la pgina web Gesia.es, el 25 de Abril de 2013. Extrado el 10 de Mayo de 2015, http://gesia.es/productos/software-control-calidad-audiq
Articulo web titulado Software y herramientas de auditoria. Publicado por la pgina web Gesia.es, el 21 de Abril de 2013. Extrado el 10 de Mayo de 2015, http://gesia.es/productos/muestreo-estadistico-auditoria-forsampling
Articulo web titulado Software para Auditora Interna y Auditora de Sistemas. Publicado por la Organizacin en soporte, distribucin e integracin de tecnologa de informacin de Amrica Latina y el Caribe (ENIAC), el 08 de Julio de 2001. Extrado el 10 de Mayo de 2015, http://www.eniac.com/productos/acl.htm
Articulo web titulado Software para Auditora Interna, Auditora de Sistemas y Calidad de Datos. Publicado por la Organizacin en soporte, distribucin e integracin de tecnologa de informacin de Amrica Latina y el Caribe (ENIAC), el 25 de Diciembre de 2003. Extrado el 10 de Mayo de 2015, http://www.eniac.com/productos/lumigent.htm
Articulo web titulado WinAudit. Publicado por la pgina web Kioskea, el 27 de Mayo de 2010. Extrado el 10 de Mayo de 2015, http://es.kioskea.net/download/descargar-56-winaudit
