Documente Academic
Documente Profesional
Documente Cultură
Realizado por:
Grupo 90168_76
Presentado al Tutora:
Villavicencio
Octubre, 2018
Contenido
Introducción ........................................................................................................................ 3
Objetivos ............................................................................................................................. 4
TI ..................................................................................................................................................... 5
Este curso hace parte del proceso de revisión, análisis, evaluación y recomendación acerca del
desempeño de las actividades en una organización, con el propósito de verificar su correcta
realización, para ello es necesario la creación de los formatos de definición de fuentes de
conocimiento, pruebas de análisis de auditoria, formatos de entrevista, formato de las listas de
chequeo, formato de cuestionario, formato de hallazgo para dar uso de estos para la realización de
la matriz de riesgo y formato análisis y evaluación de riesgos de las infraestructura tecnológicas
de la información de CODALTEC.
Objetivos
Objetivo general
Diseñar los instrumentos de recolección de la información de acuerdo con el estándar CobIT para
ser aplicado a CODALTEC en relación de las TI.
Objetivos específicos
Aplicar los procesos definidos y establecidos por las normas para los procesos de
auditorías, identificando y aplicando según los campos en los que se llevaran a cabo.
Reducir y controlar los posibles riesgos que podrían afectar el sistema auditado, y cualquier
anomalía que afecte a su servicio.
Unidad 2: Fase 3 – Planeación y ejecución de la auditoria de CODALTEC del área
de las TI
Nombre del
No. Proceso auditado
estudiante auditor
DS5 Garantizar la Seguridad de los Sistemas
-DS5.4 Administración de Cuentas del Usuario
1 Edilberto Robles Cruz -DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad.
-DS5.9 Prevención, Detección y Corrección de Software
Malicioso
Roberto Carlos AI2 Adquirir y Mantener Software Aplicativo
2
Siabatto García AI3 Adquirir y Mantener Infraestructura Tecnológica
PO1 Definir un Plan Estratégico de TI
3 Wilmer Calderón
PO4 Definir los Procesos, Organización y Relaciones de TI
Rodrigo Delgado PO7 Administrar Recursos Humanos de TI
4
Torres TIPO9 Evaluar y Administrar los Riesgos de TI
controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está
COBIT.
DE ANÁLISIS: [Este espacio está destinado para describir las pruebas de análisis que se
Las pruebas de análisis que se pueden realizar es por medio de pruebas de los resultados
DE EJECUCIÓN: [Este espacio está destinado para describir las pruebas de ejecución
que se van a realizar para evaluar el proceso especifico que se encuentre en estudio].
desempeño, prueba de testeo. Como evidencia para permitirle al auditor emitir conclusiones
REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA Corporación de Alta Tecnología para la Defensa
1 DE 1
PROCESO AUDITADO Proceso de gestión de seguridad informática CODALTEC
RESPONSABLE Edilberto Robles Cruz
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE (DS)
PROCESO DS5 Garantizar la Seguridad de los Sistemas
AUDITOR RESPONSABLE:
Edilberto Robles Cruz
LISTA DE CHEQUEO
Infraestructura Tecnológica
F-CHK 01
Fecha: 22 de octubre del 2018
Realizado por: Edilberto Robles Cruz
SI NO
Existe Políticas de: Seguridad de la información y Organización de la S.I X
Existe monitorización de la red por parte del administrador X
Existe seguridad de la red, como (firewall, DLP, etc.) X
Existe o se tiene control en la seguridad que brinda el operador para el
X
servicio de internet.
Existe controles o sistemas que protejan la información en los diferentes
X
equipos dentro de las instalaciones.
Se asegura la información para evitar pérdidas y daños de esta. X
Existe controles o sistemas que protejan la información en los diferentes
X X
equipos fuera de las instalaciones
Se contrarrestan situaciones de perdida de información. X
Existe controles y seguimiento a los correos institucionales. X
Existe controles y seguimiento de la navegación web. X
Existe controles a los protocolos de acceso a servidores. X
Hay un horario para la navegación de redes sociales. X
Hay control sobre las cuentas de usuarios. X
Todos los usuarios tienen claves o contraseñas de acceso. X
Se utiliza correo institucional para actividades personales. X
Hay control sobre los accesos a las diferentes páginas de la web de aquellos
X
usuarios especiales.
Existe acceso restringido a páginas que generan riesgo a la compañía. X
Se capacita y/o entrena al personal con respecto a la importancia de la
X
seguridad de la información.
FORMATO ENTREVISTA
REF
PLA
ENTIDAD Corporación de Alta Tecnología para la Defensa - PAGINA
AUDITADA CODALTEC N 1 DE 1
OBJETIVO Verificar la aplicabilidad de las de: Seguridad de la información y
AUDITORÍA Organización de la S.I.
PROCESO Proceso de gestión de seguridad informática CODALTEC
AUDITADO
RESPONSABLE Edilberto Robles Cruz
MATERIAL DE SOPORTE COBIT
DOMINI ENTREGAR Y DAR PROCESO DS5 Garantizar la Seguridad de los
O SOPORTE (DS) Sistemas
1. ¿Las políticas de seguridad son suficientes para garantizar el buen y correcto funcionamiento
de la infraestructura tecnológica de CODALTEC.?
Si, siempre y cuando se le dé la aplicabilidad correcta de estas.
2. ¿Qué se debe hacer en caso de que se note o se perciba un ataque informático? ¿a quién
acude?
Informar de forma inmediata al área de seguridad informática. Al señor Mayor
Luis Enrique Ariza Vargas – OSI de CODALTEC.
Pregunta Si No OBSERVACION
ES
¿Se cuenta con un inventario de la infraestructura 5
tecnológica?
¿Existe riesgo de poner o contratar el mantenimiento y 2
soporte de los controles de seguridad por un tercero y/o
contratista?
En este formato se describe las inconsistencias encontradas. Esta información será desglosada
de la siguiente manera:
controles de seguridad.
Existe riesgo ya que no se controla en su totalidad y con sistemas seguros el acceso del
Se recomienda reclutar, entrenar personal idóneo para que sea contratado por planta y/o
Adquirir las licencias de software necesarias para cifrar la información sensible o de alto
valor de la compañía.
Adquirir los sistemas seguros de acceso para ser aplicado al área y/o cuarto de sistemas
PROCESO PÁGINA
Gestión de seguridad informática CODALTEC
AUDITADO 1 DE 1
RESPONSABLE Edilberto Robles Cruz
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar
Entregar y dar
DOMINIO PROCESO la seguridad de
Soporte (DS).
los sistemas.
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGOS.
Acceso del personal a los sistemas y/o equipos no autorizados.
Ingreso a las áreas sin previa autorización por ausencia de sistemas de seguridad.
Riesgo de robo, pérdida y/o modificación de información ya que no se cuenta con los
medios y/o herramientas de cifrados para proteger la información.
RECOMENDACIONES:
Se recomiendan tomar acciones correctivas de los hallazgos, con el fin de minimizar y/o no
permitir la materialización de los riesgos, en cuanto robo, pérdida y/o modificación de la
información:
Adquirir el personal idóneo pasando por todos los filtros que aplica la compañía que
se conviertan en personal activo de la compañía.
Adquirir las herramientas y sistemas necesarios para garantizar la seguridad de la
información.
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA
AUDITOR RESPONSABLE:
Roberto Carlos Siabatto
Lista Chequeo
Adquirir e implementar AI2 Adquirir y Mantener
Dominio Proceso
(AI) Software Aplicativo
Objetivo de control AI2.4 Seguridad y Disponibilidad de las Aplicaciones
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un sistema de seguridad
1 X
para la protección de la información?
¿Se verifica periódicamente la
2 seguridad y disponibilidad del software X
instalado contratado por la empresa?
¿La seguridad de las aplicaciones
3 garantiza el buen desempeño del X
hardware?
ENTREVISTA
AI3 Adquisición y
DOMINIO Adquirir e implementar (AI) PROCESO mantenimiento de la
infraestructura tecnológica
Ai3.2 Protección Y Disponibilidad Del Recurso De
OBJETIVO DE CONTROL
Infraestructura
Nº CUESTIONARIO RESPUESTA
¿Los sistemas de control de acceso al área
de sistemas estas protegidas (eje: sistemas
1 NO. No existen sistemas para tal fin.
biométricos, tarjetas inteligentes, ¿u otros
factores de autenticación?
¿Las contraseñas de administración para el SI. Estas se administran de acuerdo con
2 uso de equipos en la red cuentan con el las Políticas de Seguridad y
cifrado seguro? Organización de la S.I.
¿Los protocolos de acceso seguro y
administración de las cuentas con políticas SI. De acuerdo con las Políticas de
3
permanente identificadas por los Seguridad y Organización de la S.I.
empleados?
¿Los equipos en la red LAN y WI-Fi,
cuentan con sistema de protección contra SI. Se cuenta con la suite antivirus, DLP,
4
Antivirus y gateway antivirus, etc.
Antispyware?
¿los servidores de la empresa están
protegidos Tecnología de packet SI. Se cuenta con la suite antivirus, DLP,
5
filtering(filtrado de paquetes), Firewall de Firewall. etc.
nivel de aplicación (proxy)?
NO. Esta parcialmente protegida, no
¿Los equipos de cómputo cuentan con una
cubre la totalidad de los equipos que
6 adecuada red eléctrica con puesta a tierra y
hacen parte de la infraestructura
circuitos regulados?
tecnológicas.
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA
REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA
AUDITOR RESPONSABLE:
Rodrigo_Delgado
LISTA DE CHEQUEO
Infraestructura Tecnológica
F-CHK 01
Fecha: 26 de octubre de 2018
Realizado por:
SI NO
Se realiza comprobación de antecedentes el proceso de
X
reclutamiento de personal T.I
Existe un procedimiento de entrenamiento para el nuevo
X
personal
Existe un plan de capacitación anual para el personal de T.I X
Se cuenta con respaldo de personal capacitado para
X
continuar con los procesos de T.I.
Existe controles o sistemas que protejan la información en
X
los diferentes equipos dentro de las instalaciones.
¿Existe control y seguimiento para la eliminación de
X
privilegios de los usuarios terminan su contrato o se retiran?
Existe el cronograma establecido para la evaluación de
desempeño, comparando contra los objetivos individuales
X
derivados de las metas organizacionales, estándares
establecidos y responsabilidades específicas del puesto.
FORMATO ENTREVISTA
REF
PLA
ENTIDAD Corporación de Alta Tecnología para la Defensa - PAGINA
AUDITADA CODALTEC N 1 DE 1
OBJETIVO
AUDITORÍA
PROCESO
AUDITADO
RESPONSABLE Rodrigo Delgado
MATERIAL DE SOPORTE COBIT
DOMINI PLANEAR Y PROCESO P07 Administrar recursos humanos
O ORGANIZAR de T.I.
7. ¿Se realiza periódicamente una medición de la carga laboral del personal? ¿Cada cuánto?
NO.
8. ¿Si se realiza verificación periódica de las habilidades para cumplir los roles con base a su
educación y entrenamiento del personal de T.I.? ¿Según los resultados de esta verificación que
determinación se toma?
Si se realiza. La ubicación del departamento y/o área a laborar o realizar sus
actividades.
10. ¿Al eliminar privilegios de acceso a la información por reasignar responsabilidades o por
terminación del contrato a que personal de la compañía se le informa de estos cambios?
Inicia por los jefes de departamentos y/o áreas, al Oficiales de Seguridad Informática -
ISO, Oficial Jefe de Seguridad Información - CISO, al Director.
MY. Luis Enrique Ariza Vargas Rodrigo_Delgado
ENTREVISTADO AUDITOR RESPONSABLE
REF
CUADRO DE DEFINICIÓN DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE AUDITORIA
AUDITOR RESPONSABLE:
Rodrigo Delgado
LISTA DE CHEQUEO
Infraestructura Tecnológica
F-CHK 01
Fecha: 26 de octubre de 2018
Realizado por:
SI NO
Se reestablecen marcos de trabajo para la administración de
X
riesgos de T.I.
Existe un contexto claro en el que el marco de trabajo debe
X
actuar ante los riesgos de T.I
Se tienen identificados los eventos que de carácter
potencialmente negativos que influyen sobre las metas o las X
operaciones de la empresa.
Se usan métodos cualitativos y cuantitativos para evaluar de
X
forma recurrente el impacto de los riesgos.
Se cuenta con procesos de respuesta a riesgos que permitan
X
controles efectivos.
La administración de riesgos sigue un proceso definido, el
X
cual está documentado.
El entrenamiento sobre administración de riesgos de T.I está
X
disponible para todo el personal.
Las excepciones al proceso de administración de riesgos se
X
reportan a la gerencia de TI.
La captura, análisis y reporte de los datos de administración
X
de riesgos están altamente automatizados.
FORMATO ENTREVISTA
REF
11. ¿Qué proceso se sigue para mantener actualizado el plan de acción para la mitigación de
riesgos?
Inventarios de activos información Matriz de riesgo y se aplica mitigación.
Tratamiento de controles para educir el riesgo.
Control interno informático para seguimiento de la mitigación.
De acuerdo con los trabajos de auditoría priorizados en base a análisis de riesgos
(Riesgos Críticos Globales) se categorizan estos y se lleva la aplicabilidad en del plan de
acción.
12. ¿Qué eventos principalmente se tiene en cuenta y se categorizan como riesgos y cuál es el
orden de prioridad?
15. ¿Se tiene definidos responsables para la identificación de riesgos y para la solución a ellos si
llegase a presentarse el problema?
16. ¿Qué proyectos de T.I. se tiene en cuenta anualmente para la mitigación de riesgos?
17. Quienes son los responsables de la administración de riesgos de T.I y del plan de gestión de
riesgos?
El comité de seguridad de la información. Liderado por el Oficial Jefe de Seguridad de
la Información - CISO.
Los Oficiales de seguridad de la Información - ISO.
18. ¿Qué estrategias utiliza la empresa para la mitigación de riesgos, con quien comparan sus
experiencias para mejorar en este campo?
https://prezi.com/g-fp2c-4q3vd/unad-auditoria-de-sistemas-grupo-90168-33/