UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
TRABAJO COLABORATIVO 3
Auditoria de sistemas Universidad Nacional
Curso: AUDITORIA DE SISTEMAS_90168
Escuela de Ciencias Básicas, Tecnológicas e Ingenierías
Por:
HEYLER RIVAS MALDONADO
Código: 71334655
Grupo: 90168_68
Presentado a:
FRANCISCO NICOLAS SOLARTE, Director – Tutor
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA _UNAD
Ingeniería de Sistemas, Noviembre de 2015
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
INTRODUCCIÓN
El presente documento contiene el desarrollo del colaborativo 3 del curso Auditoria de Sistemas
de acuerdo a la lectura de la unidad correspondiente y conceptualización de los temas
propuestos. La selección de riesgos o fallas de acuerdo a los proceso de COBIT del colaborativo
1, permite en el presente trabajo, la identificación de causas que originan los riesgos, su
evaluación y la tipificación de controles para cada uno de ellos en el sistema de información
Helpdesk de la Universidad Nacional - Sede Medellín
La elección del Software de auditoria es importante y se determina después de analizar y probar
varias herramientas, teniendo en cuenta que hay para todo tipo de gestión administrativa que
permite elegir la que más se ajuste a la necesidad de la empresa a auditar.
OBJETIVOS
Retomar el listado de riesgos presentados en el Helpdesk de la Universidad de Medellín
Evaluar cada uno de los riesgos de acuerdo a los procesos del COBIT, identificados en
el Helpdesk de la Universidad de Medellín
Identificar los controles efectivos a aplicar en cada una de las causas que los originen
Definir y tipificar los controles a aplicar el proceso de auditoria
Seleccionar la herramienta de software a utilizar en el proceso de auditoria según la
necesidad
Consolidar los aportes en un documento grupal como evidencia del trabajo en grupo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
1. Lista de riesgos detectados: .
PROCESOS SELECCIONADOS EN EL
PROGRAMA DE AUDITORIA
RIESGOS ASOCIADOS A CADA UNO DE LOS PROCESOS CAUSAS QUE ORIGINAN ESOS RIESGOS
Adquirir e implementar :
BAI4 Administrar la disponibilidad y capacidad
Evaluar el desempeño y capacidad de la aplicación HelpDesk, confirmar la gestión de las solicitudes por parte de las analistas y los técnicos del área de soporte
Caída del sistema de red repetidamente El firmware del Router está desactualizado El Router puede estar infectado con software
malicioso Desajustes en el canal inalámbrico del Reuter
Interferencia en la comunicación
Ruido por remodelación en la infraestructura que interfiere en el sistema inalámbrico
Transmisión cercana de sistemas no inalámbricos
Ubicación inapropiada de computadoras o dispositivos digitales
Eventos eléctricos de gran energía que requieren de reguladores de sobretensión de calidad
Ruido de las maquinas utilizadas en la remodelación de la infraestructura
Adquirir e implementar :
BAI1 Gestión Programas y Proyectos
Implementar la modernización de la aplicación que permita una mayor gestión de registro
Incompatibilidad con algunos navegadores
No actualización de herramientas de navegación
No instalación de Internet Explorer en última versión que provee soporte de VBScript utilizado en el Web HelpDesk.
Adquirir e implementar:
BAI6 Gestionar los cambios
Ausencia de políticas se seguridad con respecto ataques o amenazas de intrusos
Los usuarios no exigen la capacitación continua que permita prevenir errores de operación con resultados de ataques o amenazas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
Desarrollar el cronograma de las diferentes actividades que se realizaran acabo por el ingeniero encargado de la aplicación, para disminuir el impacto en la operación de los técnicos encargados de gestionar los informes de los servicios realizados, al final se evaluara el proceso realizado la implementación de la nueva versión de la aplicación
No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas
No hay contrato para personal especializado en temas de seguridad de los sistemas de información
No hay asignación de recursos para auditorias en temas específicos de seguridad y sistemas de detección
La creencia de que los técnicos y el personal de HelpDesk pueden tener total control sobre el tema
Perdida de información importante por ausencia de backup
El personal de mesa de ayuda no dispone de tiempo suficiente para el desarrollo de esta tarea de manera apropiada, debido a que solo alcanza para cubrir las actividades habituales
La no capacitación a los clientes finales para hacer copias de archivos importantes en el servidor de backup
Daños por amenazas del entorno porque no hay las suficientes precauciones para evitarlo
No hay control de acceso apropiado a las puertas del cuarto de comunicaciones
Hay exceso de permisos en la autorización de accesos
No hay plan de contingencia en caso de que se presente un accidente que atente contra los sistemas de información durante los procesos de remodelación a infraestructura
Los cables están en lugares inapropiados por el proceso de remodelación y pueden producir corto circuito
No hay alarma de detección de humo
Insuficiencia en el servicio de soporte No hay personal suficiente para dar asistencia
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
técnico
técnica a los servicios solicitados Los técnicos o personal no tiene
actualizaciones en sus habilidades de acuerdo al perfil requerido
No hay la comunicación apropiada entre los integrantes del grupo Helpdesk que permita apoyo mutuo
Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio con excelente calidad
Necesidad de manual actualizado para la administración del aplicativo
No se ha prestado la suficiente atención a este proceso de organización como recurso importante en el buen funcionamiento del sistema
Aunque se ha programado el tiempo y espacio para desarrollar la propuesta, se aplaza por eventos más urgentes, sin que se haya programado un diagrama de actividades para la actualización del manual
Inexistencia de hoja de vida actualizada de los equipos y software que hace parte del inventario
No se ha coordinado la creación de las hojas de vida de equipo Software y Hardware existente con el personal de Almacén e inventario
Es necesario actualizar el inventario antes de realizar esta actividad
Entrega y soporte:
Dss3 Gestionar configuración Solicitar e implementar la infraestructura tecnológica necesaria para realizar la adecuación del servidor donde
Fallos en el servidor No se ha realizado mantenimiento No tiene la capacidad que requiere el servicio
en relación al Hardware, Software y equipos Aplazamiento de actualizaciones que mejoren
la capacidad, tales como: disco, memoria, cables y conectores, placa, fuente
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
se realizara la configuración e instalación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
2. Valoración de riesgos encontrados en el sistema Helpdesk que se implementa
actualmente en la Universidad Nacional con sede en Medellín, con el propósito de dar solución a
los requerimientos técnicos que presenta la comunidad educativa.
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Caída del sistema de red R1 No está actualizado el firmware del Router X X
R2 El Router está infectado con software malicioso X X
R3 El canal inalámbrico del Router se encuentra desajustado X X
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Interferencia en la comunicación
R4Hay ruido en la infraestructura general que interfiere en el sistema inalámbrico X X
R5 Hay transmisión cercana de sistemas no inalámbricos X X
R6La ubicación de computadoras o dispositivos digitales es inapropiada X X
R7Hay eventos eléctricos de gran energía que requieren de reguladores de sobretensión X X
R8Hay ruido de las maquinas usadas en proyectos de infraestructura X X
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Incompatibilidad con navegadoresR9 Hay desactualización en las herramientas de navegación X X
R10 No hay soporte de VBScript utilizado en el Web HelpDesk X X
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Políticas se seguridad : ataques o amenazas de intrusos
R11No hay capacitación continua a los usuarios para prevenir errores de operación con resultados de ataques o amenazas X X
R12No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas X X
R13No hay contrato para personal especializado en temas de seguridad de los sistemas de información X X
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R14No hay asignación de recursos para auditorias en temas específicos de seguridad y sistemas de detección X X
R15Los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad de los sistemas X X
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Conservación de la información: Ausencia de backups
R16El personal de mesa de ayuda no dispone de tiempo suficiente para hacer bakcup de manera apropiada X X
R17No hay capacitación a los usuarios finales para hacer copias de archivos importantes en el servidor de bakcup X X
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Amenazas del entorno : Daños al cuarto de comunicaciones R18 No hay control de acceso apropiado a las puertas X X
R19 Hay exceso de permisos en la autorización de accesos X X
R20No hay plan de contingencia en caso de que se presente un accidente X X
R21No hay ubicación adecuada de los cables que pueden producir corto circuito X x
R22 No hay alarma de detección de humo X x
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Soporte técnico : Insuficiencia en el servicioR23 No hay personal suficiente para dar asistencia técnica x x
R24No hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo x x
R25No hay capacidad ni rendimiento en los recursos de Hardware y Software X x
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Manual actualizado para la administración del aplicativo
R26No hay manual de usuario ni atención por parte de la empresa a este proceso X x
R27No hay disponibilidad de tiempo para la actualización del manual de usuario X x
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
Riesgos / ValoraciónProbabilidad Impacto
A M B L M CHoja de vida actualizada de los equipos y software que hace parte del inventario
R28No están creadas las hojas de vida de equipo Software y Hardware existente X x
R29 No hay actualización reciente del inventario X x
Riesgos / ValoraciónProbabilidad ImpactoA M B L M C
Fallos en el servidorR30 No se ha realizado mantenimiento x X
R31No tiene capacidad suficiente en relación a hardware, software y equipos x X
R32No hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente x x
Probabilidad Impacto
Alta: A Catastrófico: C
Media: M Moderado: M
Baja: B Leve: L
Clasificación de riesgos: Los riesgos encontrados en el Helpdesk de la universidad Nacional se
pueden clasificar así:
LEVE MODERADO CATASTRÓFICO
ALTO R17 R3, R8, R11, R15, R16, R23, R30, R31
R20, R32
MEDIO R18, R26
R1, R9, R12, R13, R14, R19, R25, R27, R28, R29 R7, R21, R22
BAJO R5, R10, R24 R4, R6 R2
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
4. Matriz de riesgos, causas y controles – Help desk, Universidad Nacional, sede Medellín
Riesgos Causas Controles
Caída del sistema de red
R1 No está actualizado el firmware del routerLa actualización se hace pero no cada vez que hay una nueva versión en la página principal del router
Verificar en la página principal del proveedor una vez durante la semana de manera cumplida
R2El Router está infectado con software malicioso
El computador desde donde se conecta el router para ser configurado, ha sido atacado por virus
Mantener actualizado el antivirus y correrlo 3 vece durante la semana
R3El canal inalámbrico del Reuter se encuentra desajustado
El router ha sido configurado de manera inadecuada
Revisar la configuración cada vez que el router sea cambiado de lugar o de ubicación
Interferencia en la comunicación
R4Hay ruido en la infraestructura general que interfiere en el sistema inalámbrico
El tipo de clave utilizado para la conexión entre router y el cuarto de telecomunicaciones, no proporciona la capacidad necesaria
Revisar y reestructurar el cableado
R5Hay transmisión cercana de sistemas no inalámbricos
No se han identificado las causas de la interferencia en la comunicación que pueden ser internas o externas al edificio
Realizar seguimiento a los canales de sistemas inalámbricos cuando están en funcionamiento y cuando no están en uso para confirmar su configuración o reubicación
R6La ubicación de computadoras o dispositivos digitales es inapropiada
La distribución y la conectividad física de la red, no se realizó de acuerdo a la disposición de espacios e infraestructura
Readecuar las instalaciones y distribución de la conectividad en cada uno de los espacios donde se encuentran los diferentes equipos, para facilitar su expansión
R7 Hay eventos eléctricos de gran energía que requieren de reguladores de sobretensión
Dentro del núcleo de la universidad funciona la facultad de minas y la escuela de mecatrónica donde hay operación y funcionamiento de máquinas con altos voltajes
Instalación permanente de reguladores de sobretensión para protección de los equipos de sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R8Hay ruido de las maquinas usadas en proyectos de infraestructura
Operación de maquinaria de construcción en la remodelación del DateCenter
Planificar e informar a los usuarios de los horarios de operación de las máquinas, dando a conocer el motivo por el cual se presenta interferencia en la comunicación e informando que es un inconveniente temporal y que se deben aprovechar los tiempos en que se dispone de señal óptima.
Incompatibilidad con navegadores
R9Hay desactualización en las herramientas de navegación
Al realizar el mantenimiento de los equipos que requieren formateo, no se actualizan las herramientas de Windows
Planificar las actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para realizar la actualización oportuna
R10No hay soporte de VBScript utilizado en el Web HelpDesk
No se ha instalado la herramienta Internet Explorer en algunos equipos
Revisar e instalar Internet Explorer última versión, en cada uno de los equipos que no lo tienen
Políticas se seguridad : ataques o amenazas de intrusos
R11No hay capacitación continua a los usuarios para prevenir errores de operación con resultados de ataques o amenazas
Los usuarios no exigen la capacitación en seguridad informática o prevención de riesgos y amenazas de intrusos
Programar espacios y disponer de recurso humano para la capacitación de los usuarios
R12No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas
La empresa tiene pendiente la implementación de políticas necesarias para el correcto funcionamiento de los sistemas de información y entre estas las relacionadas con el servicio de mesa de ayuda.
Realizar plan de implementación de técnicas en el diseño, configuración y operación de los sistemas de información
R13No hay contrato para personal especializado en temas de seguridad de los sistemas de información
No hay un cargo asignado dentro del rubro presupuestal para temas de seguridad informática
Reorganización de las actividades realizadas por el personal que trabaja en el Helpdesk para que los temas de seguridad informática sean asignados a una persona, mientras es posible que se considere dentro del presupuesto
R14 No hay asignación de recursos para auditorias No hay un cargo asignado dentro del rubro Solicitar a la empresa, la asignación de
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
en temas específicos de seguridad y sistemas de detección
presupuestal para temas de seguridad informática
recursos para auditorias en temas relacionados con la seguridad de los sistemas de información
R15Los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad de los sistemas
Porque las actividades que requiere la mesa de ayuda son múltiples y en algunos casos requieren de coordinación por parte de una persona a cargo
Asignar a una persona dentro del equipo Helpdesk, para que se encargue de la coordinación de actividades relacionadas con la seguridad informática con el personal interno o con especialistas externos
Conservación de la información: Ausencia de backups
R16El personal de mesa de ayuda no dispone de tiempo suficiente para hacer bakcup de manera apropiada
El personal de mesa de ayuda solo dispone de tiempo suficiente para cubrir las actividades habituales
Asignar a alguien del equipo Help desk, a quien se de espacios para la conservación de la información mediante copias de seguridad. Esta actividad puede ser rotada entre los integrantes del equipo
R17No hay capacitación a los usuarios finales para hacer copias de archivos importantes en el servidor de bakcup
Los técnicos o personal encargado de la mesa de ayuda, no prestan atención específica a la necesidad de capacitar a los usuarios en estos temas
Exigir a los técnicos, capacitar a los usuarios finales en la necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada con el tema, dentro del proceso de atención al usuario
Amenazas del entorno : Daños al cuarto de comunicaciones
R18No hay control de acceso apropiado a las puertas
Por la remodelación del DataCenter y otros espacios que hacen parte de la infraestructura, la persona encargada de este espacio, no alcanza a verificar la entrada a la zona
Aumentar las restricciones de acceso, durante el tiempo de remodelación del DataCenter en la zona
R19Hay exceso de permisos en la autorización de accesos
No hay control adecuado de personal no autorizado a la zona de mesa de ayuda
Implementar un espacio de atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las solicitudes o dar información
R20 No hay plan de contingencia en caso de que se presente un accidente
No se ha realizado análisis de riesgos que requieran la implementación de un plan
Crear un plan de contingencia informática que contenga medidas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
técnicas, humanas y organizativas para que en la empresa garantice la continuidad de la operación habitual de la plataforma y el e HelpDesk
R21No hay ubicación adecuada de los cables que pueden producir corto circuito
La remodelación del DataCenter y algunos otros espacios que afectan su funcionamiento normal
Coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de seguridad
R22 No hay alarma de detección de humoNo se ha realizado auditoria física, donde se identifique la necesidad de implementar la alarma
Solicitar la implementación de una alarma de detección de humo en el cuarto de telecomunicaciones
Soporte técnico : Insuficiencia en el servicio
R23No hay personal suficiente para dar asistencia técnica
Hay demasiadas solicitudes por parte de los usuarios finales
Hacer informe de la prestación del servicio en HelpDesk y solicitar a recursos humanos considerar la posibilidad de contratar personal de asistencia técnica
R24No hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo
Por las múltiples actividades que absorben al personal encargado del HelpDesk y sobrecarga de responsabilidades que genera tensión y estrés
Manejo de la situación por salud ocupacional y programar reuniones constantes para evaluar el trabajo y los resultados obtenidos en la prestación del servicio de mesa de ayuda
R25No hay capacidad ni rendimiento en los recursos de Hardware y Software
Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio de calidad
Realizar inventario y evaluación de los recursos de Hardware, Software y equipos para considerar la posibilidad de reparación, actualización o reemplazo
Manual actualizado para la administración del aplicativo
R26No hay manual de usuario ni atención por parte de la empresa a este proceso
No hay políticas de implementación del manual de usuario
Crear y diseñar el manual de usuario
R27No hay disponibilidad de tiempo para la actualización del manual de usuario
No hay políticas de implementación del manual de usuario
Retomar la versión que exista aunque sea antigua y aplicar las respectivas actualizaciones
Hoja de vida actualizada de los equipos y software que hace parte del inventarioR28 No están creadas las hojas de vida de equipo No hay políticas de implementación de hojas Crear y diseñar las hojas de vida de
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
Software y Hardware existente de vida equipo Software y Hardware existente
R29 No hay actualización reciente del inventario El área de sistemas, no ha solicitado recientemente informe de administración de inventario
Realizar informe de administración de inventario de los recursos existentes en el HelpDesk
Fallos en el servidor
R30 No se ha realizado mantenimiento
Teniendo en cuenta que existe la posibilidad de que sea reemplazado, los técnicos no han dispuesto tiempo para realizar el mantenimiento habitual
Aplicar el mantenimiento habitual, mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de servicios prestados que requieren corregir otros riesgos como el R23
R31No tiene capacidad suficiente en relación a hardware, software y equipos
Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio de calidad
Reemplazar el servidor y hacer mantenimiento al existente para tenerlo a disposición en caso de que sea necesario
R32No hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente
Porque se estuvo buscando la posibilidad de reemplazar el servidor completo
Reemplazar el servidor y comprar lo necesario
Cada uno de los riesgos está identificado en la matriz de riesgos, causas y control con un color que se relaciona con la matriz de evaluación de
riesgos:
LEVE MODERADO CATASTRÓFICO
ALTO R17 R3, R8, R11, R15, R16, R23, R30, R31 R20, R32
MEDIO R18, R26
R1, R9, R12, R13, R14, R19, R25, R27, R28, R29 R7, R21, R22
BAJO R5, R10, R24 R4, R6 R2
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
3. Hay controles efectivos de tipo:
Preventivo: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones, Sistemas de claves de
acceso
R1: Actualizar el firmware del router en la página principal del proveedor una vez durante la
semana de manera cumplida
R2: Para evitar software malicioso en el router se debe, mantener actualizado el antivirus y
correrlo 3 vece durante la semana
R6: si la ubicación de computadoras o dispositivos digitales es inapropiada, se debe readecuar
las instalaciones y distribución de la conectividad en cada uno de los espacios donde se
encuentran los diferentes equipos, para facilitar su expansión
R7: Si hay eventos eléctricos de gran energía que requieren reguladores de sobretensión se deben
instalar permanentes para protección de los equipos de sistemas
R10: Si no hay soporte de VBScript utilizado en el Web HelpDesk, se debe revisar e instalar
Internet Explorer última versión, en cada uno de los equipos que no lo tienen
R13: Si no hay contrato para personal especializado en temas de seguridad de los sistemas de
información se deben reorganizar las actividades realizadas por el personal que trabaja en el
HelpDesk para que los temas de seguridad informática sean asignados a una persona, mientras es
posible que se considere dentro del presupuesto.
R14: Si no hay asignación de recursos para auditorias en temas específicos de seguridad y
sistemas de detección se debe solicitar a la empresa, la asignación de recursos para auditorias en
temas relacionados con la seguridad de los sistemas de información
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R16: Si el personal de mesa de ayuda no dispone de tiempo suficiente para hacer backup de
manera apropiada se debe asignar a alguien del equipo HelpDesk, a quien se de espacios para la
conservación de la información mediante copias de seguridad. Esta actividad puede ser rotada
entre los integrantes del equipo
R19: Si hay exceso de permisos en la autorización de accesos se debe implementar un espacio de
atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar información
R21: Si no hay ubicación adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R22: Si no hay alarma de detección de humo se debe solicitar la implementación de una en el
cuarto de telecomunicaciones
R29: Si no hay actualización reciente del inventario se debe realizar informe de administración
de inventario de los recursos existentes en el Helpdesk
Detectivo: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.
Ejemplos: Archivos y procesos que sirvan como pistas de auditoría, Procedimientos de
validación
R3: Si el canal del router se encuentra desajustado, se debe Revisar la configuración cada vez
que el router sea cambiado de lugar o de ubicación
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R4: Para corregir la interferencia que hay en el sistema inalámbrico se debe revisar y
reestructurar el cableado
R8: Si hay ruido de las maquinas usadas en proyectos de infraestructura se debe planificar e
informar a los usuarios de los horarios de operación de las máquinas, dando a conocer el motivo
por el cual se presenta interferencia en la comunicación e informando que es un inconveniente
temporal y que se deben aprovechar los tiempos en que se dispone de señal óptima
R18: Si no hay control de acceso apropiado a las puertas se deben aumentar las restricciones de
durante el tiempo de remodelación del DataCenter en la zona
R19: Si hay exceso de permisos en la autorización de accesos se debe implementar un espacio de
atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las
solicitudes o dar información
R26: Si no hay manual de usuario ni atención por parte de la empresa a este proceso se debe
crear y diseñar evaluando el impacto de la no existencia
R27: Si no hay disponibilidad de tiempo para la actualización del manual de usuario se debe
retomar la versión que exista aunque sea antigua y aplicar las respectivas actualizaciones
R28: Si no están creadas las hojas de vida de equipo Software y Hardware existente se deben
crear y diseñar
R29: Si no hay actualización reciente del inventario se debe realizar informe de administración
de inventario de los recursos existentes en el Helpdesk
R30: Si no se ha realizado mantenimiento del servidor se debe aplicar el mantenimiento habitual,
mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de
servicios prestados que requieren corregir otros riesgos como el R23
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R31: Si el servidor no tiene capacidad suficiente en relación a hardware, software y equipos se
debe reemplazar y hacer mantenimiento al existente para tenerlo a disposición en caso de que sea
necesario
R32: Si no hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente se debe
reemplazar el servidor y comprar lo necesario
Recuperación: Ayudan a la investigación y corrección de las causas del riesgo. La corrección
adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles
detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una
actividad altamente propensa a errores.
R5: Si hay transmisión cercana de sistemas inalámbricos, se debe realizar seguimiento a los
canales cuando están en funcionamiento y cuando no están en uso para confirmar su
configuración o reubicación
R9: Si hay desactualización en las herramientas de navegación se deben planificar las
actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para
realizar la actualización oportuna
R11: Si no hay capacitación continúa a los usuarios para prevenir errores de operación con
resultados de ataques o amenazas se deben programar espacios y disponer de recurso humano
para la capacitación
R12: Si no hay planes de implementación de técnicas en el diseño, configuración y operación de
los sistemas se debe realizar
R15: Si los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad
de los sistemas se debe asignar a una persona dentro del equipo para que se encargue de la
coordinación de actividades relacionadas con la seguridad informática con el personal interno o
con especialistas externos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
R17: Si no hay capacitación a los usuarios finales para hacer copias de archivos importantes en
el servidor de backup se debe exigir a los técnicos, capacitar a los usuarios finales en la
necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada
con el tema, dentro del proceso de atención al usuario
R20: si no hay plan de contingencia informática en caso de que se presente un accidente se debe
crear que contenga medidas técnicas, humanas y organizativas para que la empresa garantice la
continuidad de la operación habitual de la plataforma y el e HelpDesk
R21: Si no hay ubicación adecuada de los cables que pueden producir corto circuito se debe
coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de
seguridad
R23: si no hay personal suficiente para dar asistencia técnica se debe hacer un informe de la
prestación del servicio en HelpDesk y solicitar a recursos humanos, considerar la posibilidad de
contratar personal de asistencia técnica
R24: Si no hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo se debe
dar manejo de la situación por salud ocupacional y programar reuniones constantes para evaluar
el trabajo y los resultados obtenidos en la prestación del servicio de mesa de ayuda
R25: si no hay capacidad ni rendimiento en los recursos de Hardware, Software y equipos se
debe realizar inventario y evaluación de estos para considerar la posibilidad de reparación,
actualización o reemplazo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
4. Helpdesk
Evidencias de la aplicación que se utiliza para asignar los servicio en la universidad nacional
sede Medellín, también se muestra donde se realizan los informes.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
CONCLUSIONES
Se retomaron los productos y temas trabajados en los colaborativos anteriores
Se evaluó cada uno de los riesgos identificados en el colaborativo 1
Se identificó cada una de las cusas que originan los riesgos
Se definieron y tipificaron los controles a aplicar
Se Seleccionó la herramienta de software a utilizar en el proceso de auditoria
Se consolido la presentación final tomando los aportes de cada uno de los integrantes del
grupo
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas
BIBLIOGRAFÍA
AGUIRRE Cabrera Adriana, Modulo Auditoria de Sistemas - 90168, Escuela de Ciencias
Básicas, Tecnología e Ingeniería – UNAD
Cibergrafia
- http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
- http://es.wikipedia.org/wiki/Auditor
%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n
- http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoria-
informatica/
- http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-
auditoria.html?view=sidebar
Top Related