Documente Academic
Documente Profesional
Documente Cultură
PRESENTADO POR:
MARTHA ROJAS SAAVEDRA
MAURICIO CARRILLO MORENO
MARCOS UMOA SANCHEZ
PRESENTADO A:
ING. YANNY CASTAO GARCIA
INTRODUCCION
La tecnologa estn inmersa en la gestin de las organizaciones, se han
constituidos como una herramienta de suma importancia para las entidades
puesto que se apoyan en estos sistemas para la toma de decisiones generando un
alto grado de dependencia. Debido a la importancia que tienen en el
funcionamiento de una organizacin, existe la auditora informtica.
La complejidad de las auditorias que debe manejar las organizaciones pblicas o
privadas, en relacin del uso de las tecnologas y los sistemas de informacin
como apoyo de sus propsitos es evidente la dependencia de estos recursos, la
cual requieren contar con un seguimiento y evaluacin constante de los sistemas
automticos de procesamiento de la informacin.
La naturaleza especializada de la auditoria de los sistemas de informacin y las
habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el
desarrollo y la promulgacin de Normas Generales para la auditoria de los
Sistemas de Informacin.
Para hacer una adecuada planeacin de la auditoria en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo.
Se plantea una metodologa, tcnica y herramientas de auditoria, en el cual se
describe el proceso de auditora, sus fases y procedimientos. Tambin de acuerdo
con la metodologa para llevar acabo los procesos de control interno y anlisis de
riesgo, se muestra como construir un plan de contingencia y finalmente presentar
tcnicas especficas que apoya la auditoria.
Es un hecho incuestionable que la gran mayora de los procesos de las empresas
son soportados, automatizados y gestionados por sistemas informticos, as como
los sistemas de informacin apoyan la actividad gerencial y la toma de decisiones;
incluso muchas veces, es la propia informacin y el acceso a la misma, el
producto o servicio que se intercambia como principal objeto del negocio.
Es importante la seguridad de la informacin de todas las organizaciones en las
empresas, entonces lograr una planeacin de auditoria que conduzca a una
solucin eficaz y eficiente, desde el punto de vista tcnico, que contenga los
ESTUDIO PRELIMINAR
Anlisis de la Estructura Organizacional
Estructura Organizacional
ACTIVIDAD
RECURSOS DE TI
OBSERVACIONES
FINANCIEROS Y
ADMINISTRATIVOS
suministro de la
Informacin de las
dependencia
FINANCIEROS
Transmisin de la
Informacin a Servidores
de Base de Datos (BD) e
interactividad de la misma
con los entes de control
existentes
SERVICIOS
COMUNICACIN
dependencias o reas de
(Proxy, Correo, Telefona
que los dems procesos se
trabajo (Correo, telefona
Digital entre otros)
detengan, debido a la falta de
IP, navegabilidad web,
coordinacin de las
etc.)
dependencias.
Tabla 1. Identificacin de los procesos crticos de la organizacin
CANTIDAD
CARACTERISTICA
42
Equipos de Computo
11
Impresoras Digitales
42
Telfonos IP
4
5
1
1
Scanner
Rack de Telecomunicaciones
Switch de Comunicaciones de
diversas referencias y marcas
Servidores
Access Point
OBSERVACIN
Establecidos en las diversas reas de trabajo en
las dependencias
Establecidos en las diversas reas de trabajo en
las dependencias
Establecidos en las diversas reas de trabajo en
las dependencias
Instalado en solo un dependencia
Establecido en el cuarto de telecomunicaciones
Establecido en el cuarto de telecomunicaciones
Servidores con varios procesos BD, Proxy y
VOIP
Utilizados para los puntos donde se encuentran
varios equipos (zonas abiertas, etc.)
b. Plan de Contingencia:
El plan de contingencia existente en la organizacin se encuentra obsoleto,
dado que la ltima versin actualizada, se desarroll en el ao 2012, debido
a esta razn lo estn reestructurndolo en relacin a los nuevos estndares
y requisito existentes. De la misma forma la organizacin se encuentra
desarrollando todos los pasos para poderse certificar en calidad.
ANLISIS DE RIESGOS
En este inciso se establecen los formatos a travs de los cuales podemos entrar
desarrollar todos los elementos que faciliten el proceso de ejecucin en relacin a
las 4 fases para el desarrollo de una auditora que plantea (Alarcn & Universidad
Cooperativa de Colombia, 2014), es por eso distinguir dos conceptos principales.
Que son:
Amenaza: Persona o cosa vista como posible fuente e peligro o catstrofe
(Piattini & Del Peso, 2001). Dentro de las cuales se pueden encontrar por
Criminalidad (comn y poltica), Sucesos de origen fsico, Negligencia y decisiones
institucionales. Las cuales pueden ser: de factor humano, de hardware, de redes
de datos, de Software, desastres naturales.
Vulnerabilidad: Situacin creada por la falta de uno o varios controles, a travs
de los cuales se hace realidad una amenaza que afecte el entorno de TI. (Piattini
& Del Peso, 2001). Igualmente estas pueden ser por ambientales o fsicas,
econmicas, socio-educativas, institucionales o polticas. En las cuales podemos
mencionar las fsicas, naturales, hardware, software, redes, factor humano.
Todos los formatos se encuentran desarrollados para cumplir con los 11 dominios,
39 objetivos de control y los 133 controles establecidos por el estndar ISO/IEC
27002:2005. A continuacin se plantea un esquema general del formato a utilizar.
NORMA
5
5,1
SECCION
POLITICAS DE SEGURIDAD
PUNTOS A EVALUAR
5.1.1
5.1.2
6
6,1
6.1.1
6.1.2
6.1.3
Segregacin de tareas
6.1.4
6.1.5
6,2
6.2.1
SI NO
OBSERVACIONES
VALORACIN DE RIESGOS
Valoracin del Impacto y del Riesgo
AMENAZA
Dispositivos extrables
ingresados por los
funcionarios.
(3)
Conexiones de red externas a
las reas de trabajo.
(3)
La informacin que se maneja
en las pginas web no se
encriptado.
(4)
Perdida de la informacin
producto de infeccin por
virus informticos.
(4)
VULNERABILIDAD
RIESGO
NIVEL
MEDIO
MEDIO
16
ALTO
12
ALTO
BAJO
12
ALTO
12
ALTO
16
ALTA
12
ALTA
12
ALTA
MEDIO
Incendio (3)
MEDIO
Terremoto (3)
12
ALTO
12
ALTO
Inundacin (3)
BAJO
BAJO
Definicin de Controles
AMENAZA
Dispositivos extrables ingresados por
los funcionarios.
Conexiones de red externas a las reas
de trabajo.
La informacin que se maneja en las
pginas web no se encriptado.
Perdida de la informacin producto de
infeccin por virus
Se crea un solo usuario con una nica
contrasea.
Los backups que se realizan no tienen
un lugar especficos de almacenamiento.
La informacin lgica que se maneja
internamente dentro no se le aplica
ningn protocolo de seguridad.
Manejo inadecuado de las bases de
datos en el ingreso a la red.
Hay una red wifi a la cual tienen acceso
los funcionarios de la entidad
No hay plan de apoyo alternativo en
caso de emergencia.
Los usuarios no son capacitados
peridicamente para identificar
amenazas lgicas bsicas.
CONTROL A IMPLEMENTAR
Establecer una poltica de control para el uso de
dispositivos extrables, apoyado del antivirus.
Creacin de Vlans para evitar el robo y acceso a la
informacin.
Implementacin de una poltica institucional donde se
obligue a todos los funcionarios encriptar la
informacin, y que lo realicen de forma fcil y
altamente segura.
Obtencin de un antivirus que cumpla con las
exigencias que cada da surgen en la empresa y que
sea de fcil uso y altamente actualizado.
Crear un dominio de usuarios donde se le obligue el
cambio peridico mnimo cada 3 meses.
Implementar un servidor de copias de seguridad, con
grado alto de seguridad.
Disear un protocolo de manejo de informacin que
no sea de fcil acceso a funcionarios y extraos.
Definir roles de acceso al disco virtual en la red.
Creacin de Vlans para evitar el mal uso de la red.
Creacin e implementacin de plan de emergencias
Implementacin de jornadas de capacitacin a los
usuarios (funcionarios), para que ellos aprendan a
identificar con facilidad las amenazas.
ALCANCE
La implementacin de esta auditoria en el rea de TI, tiene un valor relevante en la
gestin de la seguridad de la informacin de la organizacin COMFIAR, debido a
que se ha desarrollado un acercamiento con la organizacin en la cual se le
plantearon los beneficios que ofrecen el planteamiento de esta actividad para el
proceso de calidad de la organizacin y las ventajas que le pueden ofrecer para el
rea de TI.
Igualmente, este proceso permitir encontrar las falencias en la seguridad de la
informacin con lo que se propone aplicar nuevos procedimientos y correctivos que
disminuyan la fragilidad de las TIC y as evitar la divulgacin y manipulacin no
autorizada de la informacin.
OBJETIVOS DE LA AUDITORA
Planteamiento de un proceso de Auditoria al rea de TI en la Caja de
Compensacin Familiar de Arauca COMFIAR, a travs de la aplicacin de la
metodologa MAGERIT.
OBJETIVOS ESPECIFICOS
METODOLOGIA DE LA AUDITORIA
JUSTIFICACIN
1. POLITICA DE SEGURIDAD
La empresa o entidad cuenta con polticas de seguridad de la informacin?
SI
NO
N/A
La empresa o entidad tiene sistemas de respaldo de informacin por cualquier efecto de
SI
NO
N/A
fallas significativas o desastres?
La empresa o entidad tiene sistemas de seguridad para prevenir la extracion de la informacion no autorizada?
2. REVISION DE LA POLITICA DE SEGURIDAD DE LA INFORMACION
Existe un proceso para mantener las licencias actualizadas?
Existe un proceso para adquirir nuevas licencias?
Cuenta con polticas de seguridad de los equipos respecto al uso de alimentos, lquidos o
cualquier tipo de sustancia que dae los equipos?
3. COORDINACION DE LA SEGURIDAD DE LA INFORMACION.
Se promueve de forma efectiva la educacin, capacitacin y conocimiento de la seguridad
de la informacin a travs de toda la organizacin?
Se evala la idoneidad y se coordina la implementacin de los controles de la seguridad de
la informacin?
SI
SI
SI
NO
NO
NO
N/A
N/A
N/A
SI
NO
N/A
SI
NO
N/A
SI
SI
SI
SI
SI
NO
NO
NO
NO
NO
N/A
N/P
N/A
N/P
N/A
SI
SI
NO
NO
N/A
N/A
CRONOGRAMA
A continuacin se muestre el cronograma de actividades establecidas en el rea
de TI, de la caja de compensacin familiar de Arauca COMFIAR.
Tiempo
Actividad
Mes 1
Mes 2
Mes 3
Mes 4
S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3
S4
BIOGRAFIA
Aglone3. (S.F.). iso27002.es - El Anexo de ISO 27001 en espaol. Obtenido de
https://iso27002.wiki.zoho.com/ISO-27002.html
Alarcn, C. A., & Universidad Cooperativa de Colombia. (2014). Auditora de TI. Bucaramanga:
Universidad Cooperativa de Colombia - Bucaramanga.
Barney, J. (1991). Resource based theory and international growth strategies.
Caja de Compensacin Familiar de Arauca "COMFIAR". (12 de 10 de 2013). Caja de Compensacin
Familiar de Arauca. Recuperado el 1 de 10 de 2014, de Estructura Organizacional:
http://www.comfiar.com.co/userfiles/files/organigrama%281%29.jpg
Caja de Compensacin Familiar de arauca. (2011). COMFIAR. Obtenido de
http://www.comfiar.com.co/sitio/
INTECO. (10 de 09 de 2014). Implantacion de un SGSI en la empresa. Obtenido de
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
ISO. (10 de 09 de 2014). ISO 27000. Obtenido de http://www.iso27000.es/sgsi.html
Leonardo, C. (12 de 05 de 2010). Seguridad de la Informacin en Colombia. Recuperado el 01 de 10
de 2014, de http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-deriesgos.html
Piattini, & Del Peso, E. (2001). Auditora Informtica. Un enfoque practico. Madrid: AlfaOmega y
Ra-Ma.
Ramrez, S. (2010). Anlisis y Estudio sobre el gobierno y gestin de los servicios de TI en el
mercado espaol. Legans.