Informe de construcción grupal

Empresa para auditoria: Avidesa de Occidente S.A.

La empresa Avidesa de Occidente hace parte del grupo MacPollo se encarga del proceso
de aves, desde su nacimiento hasta su proceso de beneficio para obtener el producto
terminado.

Actualmente se cuenta con distribuidoras y puntos de venta en todo el país, conectados

todos entre si a través de túneles vpn, canales de datos MPLS y conexiones hacia datacenter
para manejo de información en tiempo real y eficiente, haciendo uso además de desarrollos
realizados por el departamento de TI, y brindando soporte desde el inicio de operación
gracias al respaldo del ERP SAP.

Estructura organizacional área TI

Dirección TI: Jefe del departamento de tecnologías de la información, es la persona

encargada de coordinar los procesos de manera eficiente, gestionar presupuestos,
monitorear el cumplimiento de proyectos y metas propuestas en el plan de trabajo del
departamento

Coordinación TI: Son las personas que presentan informes directamente al director del
área, velan por que el personal tenga los recursos para el cumplimiento de labores, se
cumplan las tareas en sus plazos establecidos y determinar el personal que estará disponible
en los diferentes momentos operacionales de la planta

Supervisores TI: Son las personas que están en campo junto con los auxiliares de TI, su
función es garantizar que los procesos se lleven a cabo con todos los estándares
establecidos por parte de los coordinadores y director del dpto.
Profesionales TI: En este grupo se encuentran las personas que desarrollan software para la
compañía y gestionan las redes de comunicaciones, presentan informes directamente al
director del área.

Auxiliares TI: Son las personas encargadas del soporte final al usuario en sitio, realizan
mantenimiento físico a los diferentes recursos tecnológicos de la compañía (PC, servidores,
racks, switches, NAS)

Servicios del área:

 Atención al usuario
 Control de navegación
 Control de firewall
 Control de acceso a espacio definido para servidores
 Control de acceso a los diferentes racks de la planta física
 Desarrollo de software
 Gestión de la seguridad de la información de los usuarios
 Mantenimiento general de la red mpls
 Gestión de servidor de correo electrónico
 Gestión de servidores de antivirus
 Gestión de servidores de telefonía

Activos Informáticos

La compañía dispone de un datacenter tercerizado para el almacenamiento de información

sensible de la compañía, además de ello contamos localmente en cada distribuidora con
servidores que virtualizan servicios de telefonía, consola de antivirus, servidores proxy,
servidores de control de inventario informatico , servidores snmp, switches, routers,
armarios de comunicaciones, unidades de respaldo eléctrico y reguladoras de corriente
UPS, los equipos terminales para los usuarios son leasing y solo se les realiza
mantenimiento preventivo no correctivo por los auxiliares de TI.
Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la empresa
propuesta agrupados por categorías.

No. Vulnerabilidad Amenaza Riesgo Categoría

1 Uso de software Acceso de virus a Robo de información Software
pirata en la la compañía a sensible para la
compañía través de cracks compañía al instalar
software que no tiene
licencia con el uso de
activadores
2. Cuentas de Instalación de Propagación de virus Software
usuario en software sin por instalación de
sistema control por parte software malicioso
operativo no del área de TI
limitadas
3. Ausencia de Daño por Perdida de información Seguridad
control en deterioro, desastre vital para la continuidad Lógica
proceso de natural o robo de del proceso de la
copias de información por compañía
seguridad virus
4. Ausencia de Mal uso de Perdida de información Seguridad
claves por información de usuarios por accesos Lógica
usuario en de personas ajenas a
copias de quienes corresponde la
seguridad información
5. No existe Uso de recursos Acceso a virus, perdida Redes
control control tecnológicos de la de tiempo deliberada del
total de acceso compañía para uso persona
a contenido personal
web
6. Acceso no Acceso a Los recursos de red de Talento
autorizado a los dispositivos la compañía no se Humano
diferentes sensibles para el encuentran asegurados
Racks uso de datos mediante llave o
 candado que limite el
acceso al personal del
área de TI
7. Cableado Daño físico La distribución de cable Redes
estructurado no no cumple con los
cumple con los estándares y se
estándares encuentra expuesta a
deterioro y
manipulación

En el cuadro anterior se puede evidenciar que los activos informáticos más impactados por
los problemas detectados inicialmente son: la seguridad lógica, el software dispuesto para
seguridad del área y las redes en su orden. En este caso el Objetivo de la auditoria sería:
Evaluar la seguridad lógica, el software instalado y el funcionamiento de la red y los
servicios de red en la empresa Avidesa de Occidente S.A de la ciudad de Buga.

Objetivo 1: Conocer la seguridad lógica, el software dispuesto para seguridad del área, y el
funcionamiento de la red de datos para conocer los problemas existentes, analizando las
vulnerabilidades y amenazas que originan los riesgos con el propósito de obtener soluciones
viables.
Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se desarrollan en
la auditoria y la asignación de los recursos para cada actividad en el tiempo establecido,
elaborar los instrumentos de recolección de información que permitan conocer otros riesgos
que no han sido detectados inicialmente, diseñar las pruebas que permitan evidenciar los
riesgos, y determinar del estándar CobIT cuales de los procesos tienen relación directa con
el objetivo general y que serán evaluados.
Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de información
que se han diseñado para encontrar los riesgos existentes para los procesos de CobIT
relacionados directamente con los activos a evaluar, y aplicar las listas de chequeo para
verificar los controles existentes (seguridad lógica, el talento humano (empleados, seguridad,
usuarios, empleados área informática), el software instalado y el funcionamiento de la red y
los servicios de red), posteriormente hacer el análisis y evaluación de riesgos para determinar
las posibles causas que originan los riesgos y valorar los riesgos por probabilidad e impacto
para buscar las mejores soluciones que permitan mitigarlos.
Objetivo 4: Determinar los hallazgos encontrados cada uno con sus pruebas, elaborar el
dictamen de la auditoría para cada proceso de CobIT evaluado que permita medir el nivel de
madurez de la empresa, y así elaborar el informe final de los hallazgos encontrados además
de las recomendaciones de solución de esos problemas en la empresa.
Para este caso, los alcances de la auditoria serán:
De la seguridad lógica:
 - La asignación de login y password para acceso a las áreas.
- El control de acceso a la información confidencial de la empresa
- El cambio periódico de claves y las claves usadas por los usuarios
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de normas de cableado estructurado
- La seguridad de acceso a los elementos de la red
- Configuración de los servicios de red disponibles
- La administración de los usuarios en la red
- Administración de seguridad en la red
Del talento humano
- Cumplimiento de funciones por los empleados del área informática
- Contratación de personal de seguridad para la empresa
- Controles de las visitas y acompañamiento de visitantes al interior de la empresa
- Responsables de la seguridad física y lógica
- Responsables de información sensible de la empresa
- Formación en seguridad de los empleados
la seguridad física se evaluará:
- Los sistemas de seguridad existentes en la empresa
- El personal de seguridad en la entrada, salida y al interior de la empresa
- La demarcación de oficinas y zonas restringidas y el mapa de ubicación de las oficinas
Metodología Objetivo 1
Conocer la seguridad lógica, el software dispuesto para seguridad del área, y el
funcionamiento de la red de datos para conocer los problemas existentes, analizando las
vulnerabilidades y amenazas que originan los riesgos con el propósito de obtener
soluciones viables.

 Solicitar el documento de políticas y procedimientos de seguridad existentes.

 Solicitar información del hardware de redes y el inventario de software instalado en
cada equipo.
 Solicitar la documentación de los planos de la red
 Solicitar información sobre las capacitaciones del personal y su formación
 Realizar una entrevista con el personal de seguridad y con los empleados para
determinar algunos riesgos al respecto.
 Realizar una entrevista inicial con el encargado de administrar la red para conocer los
problemas más frecuentes en la red
 Realizar una entrevista inicial con el encargado de administrar el sistema para
determinar los problemas de seguridad física y lógica existentes
 Obtener información sobre incidentes de seguridad física y lógica que se hayan
presentado en la empresa.

Metodología Objetivo 2.
Elaborar el plan de auditoría para determinar actividades que se desarrollan en la auditoria y
la asignación de los recursos para cada actividad en el tiempo establecido, elaborar los
instrumentos de recolección de información que permitan conocer otros riesgos que no han
sido detectados inicialmente, diseñar las pruebas que permitan evidenciar los riesgos, y
determinar del estándar CobIT cuales de los procesos tienen relación directa con el objetivo
general y que serán evaluados.

 Analizar cuales puntos tiene mayor incidencia en el riesgo para la compañía.

 Ponderar los riesgos con el fin de poder llegar a cada uno de ellos con un orden de
importancia.
 Determinar que se requiere para llegar a la solución del tema.
 Elaborar listas de chequeo para asegurar el cumplimiento de los puntos a revisar
Metodología Objetivo 3
 Obtener los resultados de las pruebas y utilizarlos para obtener comparativos
con el modelo cobIT
 Basados en los análisis obtenidos en el objetivo 1 y 2 realizar el consecutivo de
procedimiento a realizar para el plan de auditoria.
 Analizar los resultados y evaluar los controles existentes actuales para los
procesos encontrados.

Metodología Objetivo 4

 Elaborar un plan de cumplimiento para solucionar los hallazgos encontrados.

 Determinar recursos para alcanzar la meta de cumplir en la solución de los
hallazgos.
 Determinar fechas de entrega para dichos servicios.
 CONCLUSIONES

En la actualidad la auditoria en informática es muy importante para el adecuado desempeño

de los sistemas de información, debido a que nos brinda los controles suficientes y necesarios
para que los sistemas sean de alta confiabilidad y con alto nivel de seguridad. Además este
tipo de auditorías debe evaluar todo el sistema de información