ACTIVIDAD INDIVIDUAL

DESARROLLO FASE 3: EJECUCIÓN DE LA AUDITORIA

ELABORADO POR:

WILMER ARAUJO ANDRADE

CC. 1117493445

PRESENTADO A:

FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD”

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍAS E

INGENIERÍAS “ECBTI”

FLORENCIA – CAQUETA

2019
 INTRODUCCION

La investigación que se va a realizar tiene como fin dar a conocer las debilidades,
fortalezas que presentan los sistemas de información las amenazas a las que
está expuesto y los impactos relativos del riesgo. Los sistemas de información
son muy populares en la actualidad y a su vez de gran importancia en la sociedad,
especialmente en los ámbitos donde se requiere el manejo de datos tecnología
de la información. Un SIG es definido como un conjunto de hardware, software,
datos, recursos humanos y metodologías para el almacenamiento, análisis,
transformación y presentación de toda la información y sus atributos. La
implementación de un SIG debe abarcar las medidas de seguridad que protejan
los datos contra cualquier situación de riesgo, esto serán las buenas prácticas de
seguridad que utilicen las organizaciones. Este proyecto pretende analizar cómo
es asegurada la información de un SIG hoy en día y que tipos de vulnerabilidades
existen frente a este sistema.
 OBJETIVOS

Objetivo general.

Identificar las vulnerabilidades, amenazas y riesgos en los sistemas de

información.

Objetivos específicos.

 Diseñar una matriz de análisis de riesgos para detectar las amenazas

y debilidades en los sistemas de información.

 Investigar sobre los diferentes planes de tratamiento y las definiciones

de políticas para contrarrestar las vulnerabilidades, riesgos y amenazas
de los sistemas de información.

 Documentar cuales son los avances de los sistemas de información

Edificio de la Alta Tecnología
 ACTIVIDADES A DESARROLLAR

1. Diseñar y aplicar los instrumentos de recolección de información

(entrevistas, listas de chequeo, cuestionarios, pruebas) para
descubrir vulnerabilidades, amenazas y riesgos para cada proceso
asignado.

Lista de chequeo:

Las listas de chequeo tienen como objetivo fundamental la verificación de

la existencia de controles en cada uno de los procesos evaluados, para la
construcción de las preguntas de la lista de chequeo es necesario conocer
los objetivos de control en cada proceso, en esos objetivos de control
están descritos los controles en cada proceso de acuerdo al estándar
aplicado en la auditoría.

Las listas de chequeo en general se usarán también para verificar el

cumplimiento de una norma estándar que se debe evaluar en la auditoría,
por ejemplo, el cumplimiento de normas RETIE de instalaciones eléctricas
o el cumplimiento de normas de cableado estructurado TIA/EIA, o
cualquier otro estándar.

Lista de chequeo 1

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Evaluación de Nuevo Hardware

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con un inventario de todos los equipos que x

integran el centro de cómputo?
 ¿Con cuanta frecuencia se revisa el inventario? x

¿Se posee de bitácoras de fallas detectadas en los equipos? x

 - ¿La bitácora es llenada por personal especializado?
 - ¿Señala fecha de detección de la falla?
 - ¿Señala fecha de corrección de la falla y revisión de que el
equipo funcione correctamente? x
 - ¿Se poseen registros individuales de los equipos?
 - ¿La bitácora hace referencia a hojas de servicio, en donde
se detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?

 ¿Se lleva un control de los equipos en garantía, para que a la

finalización de ésta, se integren a algún programa de x
mantenimiento?
 ¿Se cuenta con servicio de mantenimiento para todos los
equipos? x
 ¿se realiza mantenimiento a los equipos?
x
 ¿Se cuenta con procedimientos definidos para la adquisición
de nuevos equipos? x
 ¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el mejor? x
 Documentos probatorios presentados:
x

Lista de cheque 2

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC2

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Mantenimiento Preventivo para Hardware

Cuestionario

Pregunta SI NO N/A

¿Se lleva un control de los equipos en garantía, para que a la x

finalización de ésta, se integren a algún programa de
mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los x

equipos?
 ¿frecuentemente se realiza mantenimiento a los equipos? x
¿Se cuenta con procedimientos definidos para la adquisición de
nuevos equipos? x
¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el mejor? x
 Documentos probatorios presentados:
x

Lista de cheque 3

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC3

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones.

Objetivo de Control Escolta de Visitantes

Cuestionario

Pregunta SI NO N/A

¿Las instalaciones (aulas, cubículos y oficinas) fueron x

diseñadas o adaptadas específicamente para funcionar como
un centro de cómputo?

¿Se tiene una distribución del espacio adecuada, de forma tal x

que facilite el trabajo y no existan distracciones?

¿Existe suficiente espacio dentro de las instalaciones de forma x

que permita una circulación fluida?

¿Existen lugares de acceso restringido? x

 ¿Se cuenta con sistemas de seguridad para impedir el paso a
lugares de acceso restringido? x
 ¿Se cuenta con sistemas de emergencia como son detectores de
humo, alarmas, u otro tipo de censores? x
 ¿Existen señalizaciones adecuadas en las salidas de emergencia
y se tienen establecidas rutas de evacuación? x
 ¿Se tienen medios adecuados para extinción de fuego en el
centro de cómputo? x
 ¿Se cuenta con iluminación adecuada y con iluminación de
emergencia en casos de contingencia? x
¿Se tienen sistemas de seguridad para evitar que se sustraiga
equipo de las instalaciones? x
 ¿Se tiene un lugar asignado para papelería y utensilios de
trabajo? x
¿Son funcionales los muebles instalados dentro del centro de
cómputo: cintoteca, Discoteca, archiveros, mesas de trabajo, x
etc.?
¿Existen prohibiciones para fumar, consumir alimentos y
bebidas? x
¿Se cuenta con suficientes carteles en lugares visibles que
recuerdan estas prohibiciones? x
¿Con cuanta frecuencia se limpian las instalaciones?
x
Documentos probatorios presentados:
x

Lista de cheque 4

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC4

Dominio Entrega de Servicios y Soporte

Proceso Protección Contra Factores Ambientales

Objetivo de Control Controles Ambientales

Cuestionario

Pregunta SI NO N/A

¿El centro de cómputo tiene alguna sección con sistema de x

refrigeración?

¿Con cuanta frecuencia se revisan y calibran los controles x

ambientales?

¿Se tiene contrato de mantenimiento para los equipos que x

proporcionan el control ambiental?

¿Se tienen instalados y se limpian regularmente los filtros de x

aire?
 ¿Con cuanta frecuencia se limpian los filtros de aire?
x
¿Se tiene plan de contingencia en caso de que fallen los
controles ambientales? x
Documentos probatorios presentados:
x
Lista de cheque 5

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC5

Dominio Entrega de Servicios y Soporte

Proceso DS12 Administración de Instalaciones.

Objetivo de Control Suministro Ininterrumpido de Energía

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con instalación con tierra física para todos los x
equipos?

¿La instalación eléctrica se realizó específicamente para el x

centro de cómputo?

¿Se cuenta con otra Instalación dentro el centro de cómputo, x

diferente de la que alimenta a los equipos de cómputo?

¿La acometida llega a un tablero de distribución? x

 ¿El tablero de distribución esta en la sala, visible y accesible?
x
¿El tablero considera espacio para futuras ampliaciones de
hasta de un 30 % (Considerando que se dispone de espacio x
físico para la instalación de más equipos)?
¿La Instalación es independiente para el centro de cómputo?
x
¿La misma instalación con tierra física se ocupa en otras partes
del edificio? x

¿La iluminación está alimentada de la misma acometida que los x

equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas
dentro de la sala? x
¿Los ventiladores y aire acondicionado están conectados en la
misma instalación de los equipos a la planta de emergencia? x
¿Los ventiladores y aire acondicionado están conectados en la
misma instalación de los equipos a los no-brake? x
¿Se cuenta con interruptores generales?
x
¿Se cuenta con interruptores de emergencia en serie al
interruptor general? x
¿Se cuenta con interruptores por secciones?
x
 ¿Se tienen los interruptores rotulados adecuadamente?
x
¿Se tienen protecciones contra corto circuito?
x

¿Se cuenta con Planta de emergencia? x

¿Se tienen conectadas algunas lámparas del centro de cómputo
a la planta de emergencia? x
¿Qué porcentaje de lámparas: % están conectadas a la planta de
emergencia (recomendable el 25 %)? x
Documentos probatorios presentados:
x

Lista de cheque 6

Lista de chequeo Edificio de la Alta Tecnología R/PT

Cuestionario de Control LC6

Dominio Entrega de Servicios y Soportes

Proceso Protección Contra Factores Ambientales

Objetivo de Control Seguridad Física

Cuestionario

Pregunta SI NO N/A

¿Se tienen lugares de acceso restringido? x

¿Se poseen mecanismos de seguridad para el acceso a estos x

lugares?

¿A este mecanismo de seguridad se le han detectado x

debilidades?

¿Tiene medidas implementadas ante la falla del sistema de x

seguridad?
 ¿Con cuanta frecuencia se actualizan las claves o credenciales
de acceso? x
¿Se tiene un registro de las personas que ingresan a las
instalaciones? x
Documentos probatorios presentados:
x
 2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar
las vulnerabilidades, amenazas y riesgos detectados con los
instrumentos de recolección de información.

Identificación y clasificación de las amenazas.

 Origen Físico. Estas amenazas están enfocadas a amenazas que
provienen de desastres ambientales, degradación o fallas físicas en
el sistema.

 Nivel Usuario. Estas amenazas están enfocadas hacia los errores

que pueda causar un usuario sobre los activos del sistema en el
sistema
 Nivel Hardware. Estas amenazas están enfocadas a diferentes fallas
que puedan presentar los componentes de hardware del sistema

 Políticas. Estas amenazas están enfocadas en la falta de normas y

reglas de la organización de las cuales pueden llegar a tener un gran
riesgo los activos del sistema
 Personal. En estos activos se determinó todos aquellos elementos
que hacen parte del personal que podrían intervenir en el
funcionamiento de los software y donde las amenazas podrán tener
un nivel de impacto.

 Hardware. Las amenazas identificadas para este grupo son aquellas

que afectan los activos por errores, fallas o degradación.
  Vulnerabilidades comunicaciones

3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos

detectados para cada proceso evaluado.

VULNERABILIDADES AMENAZAS RIESGOS

 Software mal configurado  Se puede Contraer virus.  Probabilidad de que Una

 Ausencia de copias de seguridad
o copias de seguridad
incompletas
 Cuentas de usuario mal
configuradas
 Desconocimiento y/o falta de
socialización de normas o
políticas a los usuarios por los
responsables de informática
 Dependencia exclusiva de un
proveedor de servicio técnico
externo.
 Pantalla en un sistema de
información sin bloqueo por el
usuario o sin protector de
pantalla
 Deficiencia en el centro de
cómputo de UPS
 Se puede acceder sin amenaza se materialice
autorización a los utilizando una
sistemas de información vulnerabilidad, generando
 Se pueden presentar un impacto con perdida o
interrupciones en el daños.
servicio
 Perdida de datos
 Daños en hardware
 Información errónea
 Perdidas económicas
 Perdida de credibilidad.
 Caída de la Red.
 Destrucción de información
confidencial
 Fuga de información
 Perdida de integridad de los
datos

 4. Realizar el análisis y evaluación de riesgos para cada proceso
asignado.

De acuerdo con el estudio que se hace al Edificio de la Alta Tecnología

se logra llegar a la conclusión de que en diferentes dependencias se tiene
falencias que a corto o mediano plazo puede llegar afectar el normal
funcionamiento de la empresa si no se toma las medidadas de corrección
pertinentes.
Estas dificultades por las que puede atravesar este recinto básicamente
se ven reflejados en el sistema de manejo de software, hardware, e
infraestructura, siendo así un gran dilema ya que mediante el caso de
estudio realizado se pretende dar a conocer al gerente de las novedades
encontradas y de los futuros problemas que puede llegar a provocar el
hacer caso omiso.
Las recomendaciones hechas básicamente tienen como propósito reforzar
el funcionamiento eléctrico ya que este cuenta con una puesta a tierra
muy pequeña y de acuerdo al criterio técnico no suple las necesidades
requeridas por parte edificio