Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
AUDITORÍA DE SISTEMAS
Trabajo Colaborativo 2
Presentado por:
ANDRÉS GUILLERMO AVELLANEDA B - Cód. 79.803.814
JORGE IVAN PINEDA SUAREZ - Cód.: 80.194.695
OSCAR JOSÉ RAMÍREZ CARDONA – Cód.: 79810115
CESAR EDUARDO NIÑO PINZON –Cód.: 79778519
Tutora
CARMEN ADRIANA AGUIRRE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
INGENIERIA DE SISTEMAS
Octubre de 2014
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
2
Contenido
INTRODUCCION ................................................................................................... 3
OBJETIVOS ........................................................................................................... 4
DESARROLLO DE LAS ACTIVIDADES ................................................................ 5
1. Identificar el origen de la auditoria. ..................................................................................5
2. Realizar una visita preliminar al área que será evaluada. .......................................5
3. Establecer los objetivos de la auditoria. ..........................................................................8
4. Determinar los puntos que serán evaluados en la auditoria. .................................8
5. Elaborar planes, programas y presupuestos para realizar la auditoria..............9
6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria. ..................................................................... 11
7. Asignar los recursos y sistemas computacionales para la auditoria ................ 14
CONCLUSIONES ................................................................................................ 15
BIBLIOGRAFIA .................................................................................................... 16
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
3
INTRODUCCION
Dentro de las etapas de la auditoría encontramos la de la planeación, la cual es una
fase fundamental en todo el proceso, gracias a una buena planeación
proyectaremos de mejor forma las actividades que debemos realizar, acercándonos
más fácil y de forma certera a las metas que como auditores nos proponemos.
El presente trabajo contiene el desarrollo del momento 1, el cual desarrolla varias
temáticas entre ellas la identificación y los objetivos de la auditoría a la empresa que
en el momento 1 se estudió.
Otros tópicos que abordaremos en el presente trabajo es la realización de los
planes, programas y presupuestos además de los métodos y herramientas
necesarios para realizar la autoría.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
4
OBJETIVOS
Ejecutar la planeación de la auditoria de sistemas a la empresa en cuestión.
Mencionar los distintos tipos de auditoría que se pueden implementar en la
empresa.
Explicar las técnicas y desarrollo de la auditoria de seguridad informática en
la empresa seleccionada.
Generar los planes necesarios para su ejecución.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
5
DESARROLLO DE LAS ACTIVIDADES
1. Identificar el origen de la auditoria.
En primera instancia debemos hacer diferencia entre la auditoria de sistemas
(busca detectar deficiencias en las organizaciones informáticas y los sistemas
que se desarrollan u operan en ellas para realizar acciones preventivas o
correctivas que eliminen fallos en los mismos) y la auditoria de seguridad
informática (analiza únicamente los procesos relacionados con la seguridad:
física, lógica o locativa siempre orientada a la protección de la información) para
poder iniciar de manera particular el examen de la empresa seleccionada.
Con esta información preliminar, la auditoría de sistemas en la empresa
Colombian Natural Resources (CNR) surge por la necesidad de validar la
seguridad de la red y sobre todo de la confidencialidad de la información, verificar
que los usuarios no puedan extraer información cuando estén conectados en
sitio, ni cuando lleven los equipos portátiles para trabajar fuera de las sedes de
la empresa, es parte de la preocupación de las directivas de la compañía
resguardar al máximo el activo más valioso de la empresa: la información.
2. Realizar una visita preliminar al área que será evaluada.
Al contar con tres sedes, se hace una visita en la cual se evidencia que los
centros de cómputo de las sedes cuentan con la seguridad adecuada para evitar
el ingreso de personal ajeno al departamento de TI, ya sea con sensores
biométricos como en la sede de mina, o con sensores de proximidad con tarjetas
de acceso con tecnología RFID configuradas únicamente con los usuarios del
departamento de TI.
Los centros de cómputo cuentan con equipos CISCO (Swiches, Routers,
Controladoras de red WiFi) además se cuenta con 3 servidores Dell Power Vault
NX300 con 4 discos de 2TB cada uno, los servidores se dividen así: servidor de
archivos, servidor de backup y antivirus y por último servidor de dominio y DHCP,
que se encuentran conectados entre a través de los SW Core de 48 puertos y
SW de 24 puertos, usando cables UTP certificados de categoría 6, cuentan con
dos UPS de 10 KVA una para los servidores y otra para los usuarios por medio
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
6
de la red regulada, lo cual brinda una autonomía de aproximadamente una hora
en caso de una falla eléctrica.
Centro de Cómputo Minas
Centro de Cómputo Minas
De otro lado están los usuarios de computadores de escritorio y portátiles, en
quienes nos centraremos para identificar de qué forma están extrayendo
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
7
información de la compañía, por lo que se procederá a revisar medios extraíbles
como USB, DVD y además sitios de transferencia de archivos online.
A todas las sedes llegan o se están implementando sistemas de comunicaciones
los cuales permitirán la transferencia de cualquier tipo de información.
La sede de Barranquilla cuenta con dos conexiones de internet la primera es la
conexión principal de 10 Mbps contratada con COLUMBUS NETWORK y la
segunda conexión alterna de 4 Mbps contratada por Media Commerce.
Como podemos ver como en esta imagen como está conectado el diagrama de
la red de la empresa:
Diagrama red de comunicaciones CNR
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
8
3. Establecer los objetivos de la auditoria.
Objetivo principal:
Reconocer y diagnosticar las fortalezas y amenazas en la seguridad de la
información en la empresa CNR
Objetivos específicos:
Conocer los tipos de permiso que usuarios tienen respecto a sus equipos y accesos.
Verificar las políticas de seguridad de la información impartidas a las distintas unidades organizacionales de la compañía.
Identificar los dueños de los recursos compartidos en los servidores y a quienes se les ha dado autorización de lectura y/o escritura en dicho recurso.
4. Determinar los puntos que serán evaluados en la auditoria.
La auditoría de seguridad informática plantea tres aspectos: evaluación, análisis
y generación de soluciones, de los cuales se cubren varios frentes:
Auditoria desde internet: Vulnerabilidades de los recursos informáticos
desde el sitio web de la empresa por parte de delincuentes informáticos.
Auditoria de la red interna (LAN): Vulnerabilidades identificables desde el
interior de la empresa.
Trabajo sobre los equipos: Por medio de programas especializados en la
detección de vulnerabilidades como: software espía, virus informáticos.
Además de un examen físico, lógico y locativo de los equipos de trabajo.
Entrevistas: Al personal sobre el conocimiento de las políticas de
seguridad físicas, lógicas y locativas y la implementación de las mismas
en la organización.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
9
Evaluación de los equipos: Sea una estación de trabajo o un servidor se
deben tener en cuenta:
o Permisos de usuario
o Rendimiento de la maquina
o Carga al procesador
o Procesos presentes en los servicios
5. Elaborar planes, programas y presupuestos para realizar la auditoria.
La auditoría que se realizará en la empresa CNR estará apoyada en: Auditoria de la Seguridad Informática: Se implementara para ello Manual de la
Metodología Abierta de Testeo de Seguridad (OSSTMM), el cual cuanta con las
siguientes características:
Seguridad de la Información
Seguridad de los Procesos
Seguridad en las Tecnologías de Internet
Seguridad en las Comunicaciones
Seguridad Inalámbrica
Seguridad Física
Con estos aspectos se busca prevenir inconvenientes en los siguientes realizando
tareas como:
Búsqueda de Vulnerabilidades: Orientado principalmente a realizar
comprobaciones automáticas de un sistema o sistemas dentro de una red.
Escaneo de la Seguridad: Orientado a las búsquedas principales de
vulnerabilidades en el sistema que incluyen verificaciones manuales de
falsos positivos, identificación de los puntos débiles en el sistemas y análisis
individualizado.
Test de Intrusión: Se plantean test de pruebas que se centran en romper la
seguridad de un sistema determinado.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
10
Evaluación de Riesgo: se refiere a los análisis de seguridad a través de
entrevistas e investigación de nivel medio que incluye la justificación
negocios, las justificaciones legales y las justificaciones específicas de la
industria.
Auditoria de Seguridad: Se refiere a la continua inspección que sufre el
sistema por parte de los administradores que controlan que se cumplan las
políticas de seguridad definidas.
Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión,
objetivos complejos dentro de la red de sistemas.
Plan de Auditoria:
Empresa: Colombian Natural Resources (CNR)
PERÍODO: Del 14 de agosto al 30 de septiembre de 2014
AUDITORES: Andrés G. Avellaneda (Coordinador del Grupo de Auditores). Jorge Iván Pineda Suarez. Oscar J. Ramírez Cardona.
ÁREA AUDITADA: Sistema de cómputo.
ACTIVIDAD SEMANAS
Nº NOMBRE RESPONSABLE 1 2 3 4 5 6 7
1 Elaborar Plan de Auditoria Grupo Investigador
2 Aprobar Plan de Auditoria Asesor Especifico
3 Preparar Instrumentos Grupo Investigador
4 Iniciar Preparativos Grupo Investigador
5 Iniciar Auditoria Grupo Investigador
6 Auditar el Área Grupo Investigador
7 Presentar Borrador de Informe Grupo Investigador
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
11
Tabla Nº 1: Plan de auditoria
6. Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoria.
Elaborar la guía de la Auditoria
Logo y nombre
de la empresa
que realiza la
auditoria.
Nombre de la empresa y área de sistemas
auditada
Fecha Hoja
DD MM AA _de_
Nº ACTIVIDAD
QUE SERA
EVALUADA
PROCDIEMIENTOS DE
AUDITORIA
HERRAMIENTAS
QUE SERAN
UTILIZADAS
OBSERVACIONES
Tabla Nº 2: Guía de la Auditoria
Empresa: Colombian Natural Resources (CNR)
Fecha:
Área: Gestión Administrativa
8 Preparar Dictamen Grupo Investigador
9 Presentar Recomendaciones Grupo Investigador
Auditores de sistemas
Asociados
Empresa: Colombian Natural Resources
Área: Centro de servicios de automatización
Fecha Hoja
DD MM AA 1de2
28 09 2014
Nº ACTIVIDAD QUE
SERA EVALUADA
PROCDIEMIENTOS DE
AUDITORIA
HERRAMIENTAS QUE
SERAN UTILIZADAS OBSERVACIONES
1 Evaluar el centro de
cómputo de la
empresa
Solicitar los inventarios de
los equipos y verificar que
estén en orden y
actualizados.
Solicitar el reglamento del
área donde se realiza la
auditoria y además
verificar el cumplimiento.
Revisión documental y
observación
Revisión documental y
observación
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
12
2
Evaluar el adecuado
cumplimiento de las
funciones y
actividades del
personal del área
Revisar el manual de
funciones del personal del
área.
Revisión documental y
observación
3 Evaluación del
Hardware
Revisar las características
de funcionamiento,
periféricos y enlace a la
red
Revisar las
características de las
computadoras.
Llevar programa que
agilice la comprobación
de las características.
4 Evaluación del
Software
Rendimiento de máquina,
programas instalados,
carga de los procesos,
usuarios y permisos
Revisión documental
Pantallazos de los
procesos y
características
5 Revisión de las
instalaciones
Verificar :
- Instalación de Racks
- UPS
- Sistema antiincendios
- Aire acondicionado
- Autenticación de ingreso
Observación y
fotografías.
Llevar cámara digital.
6
Evaluar la
seguridad que
el acceso de
usuarios de la
red y la validez
de sus
atributos
Solicitar la asignación de
una terminal para entrar al
sistema y acceder
información, cambiar
datos, instrucciones y
programas, hasta donde lo
permite el sistema.
Ingresar al administrador y
cambiar privilegios,
atributos y contraseñas de
varios usuarios.
Entrar al sistema de red
sin ninguna autorización y
acceder a la información,
alterar base de datos o
cambios al sistema, hasta
donde permita el sistema.
Observación partitiva,
oculta.
Pruebas al sistema y a
la base de datos.
Experimentación a la
seguridad del sistema.
Revisión documental
(electromagnética)
El sistema no debe
permitir ningún acceso.
Obtener respaldo previo
del sistema y los
movimientos previos a la
prueba.
Documentar los accesos
y cambios que se
realicen al sistema.
7 Evaluar la seguridad
de los niveles de
acceso de usuarios.
Entrar al sistema y dar de
alta a distintos accesos sin
tener autorización.
Solicitar a un usuario, sin
forzarle, que ingrese a un
nivel que no le
Observación
participativa y oculta.
Pruebas al sistema y
las bases de datos.
El sistema no debe de
permitir ningún acceso.
Obtener respaldo previo
del sistema y los
movimientos previos a la
prueba.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
13
Tabla Nº 3: Guía de la auditoria respondida
Elaborar los documentos necesarios para la Auditoría
Diseño de la lista de verificación
Verificar la existencia de: SI NO Observaciones
Existencia del manual de puestos
Existencia, difusión y control de normas
Existencia de planes de contingencia
Existencia de plan de recuperación
Inventario de hardware
Inventario de software
Licencias de software
Bitácora de uso de software original
Control de movimientos del software (cargas, descargas, etc.)
Inventario de software instalado en cada maquina
Registro de cuáles y cuantas licencias están en uso
Control de impresiones
Bitácora de ingreso al área
Bitácora de solicitud de mantenimiento
Hoja de salida de equipo por mantenimiento
Lugar apropiado del servidor
Ambiente adecuado para los equipos
Aire acondicionado
Buena distribución de los cables de los equipos y de la red
Existencia de extintores dentro del área
Tabla Nº 4: Diseño de las lista de verificación
Lista de verificación hoja de salida de equipo por mantenimiento
Contenido SI No Observaciones
Fecha de retiro
Hora de retiro
Fecha estimada de devolucion
Detalles de las razones para retirar el equipo
corresponda y verifique el
sistema le permita la
operación.
Experimentación en la
seguridad del sistema.
Revisión documental
(electromagnética)
Documentar los accesos
y cambios que se
realicen al sistema.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
14
observaciones
Firma del coordinador
Nombre, documento de identidad, y firma de la persona que efectúa
el retiro del equipo.
Tabla Nº 5: Diseño de hoja de salida de quipo por mantenimiento
Lista de verificación para el hardware
Verificar los siguientes
aspectos Características
Monitor
Disco duro
Tarjeta de Red
Memoria RAM
Procesador
Unidad de CD-ROM
Quemador de CD
Puerto USB
Teclado
Mouse
Tabla Nº 6: diseño de lista de verificación de hardware
7. Asignar los recursos y sistemas computacionales para la auditoria
Los recursos que se van a asignar por parte de CNR para la realización auditoría
son:
Computador de escritorio ubicado en una de las sedes de la compañía para
verificar la seguridad de la red como un usuario dentro de la sede de la
compañía.
Usuario estándar del dominio con los permisos habituales de acceso a una
carpeta específica del servidor de datos.
Usuario estándar de correo de la compañía para verificación de la seguridad
de la plataforma de correo.
Computador portátil para verificar el comportamiento de los permisos de los
usuarios y las políticas aplicadas por medio del antivirus a los equipos dentro
y fuera de la red de la compañía, ya sea conectándose por una red pública o
mediante un acceso VPN.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
15
CONCLUSIONES
Las auditorias informáticas se construyen mediante la recolección de información y
documentación de todo tipo. Los informes finales varían dependiendo de la
capacidad del auditor para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor es reunir toda la información necesaria para
emitir un juicio global objetivo, siempre apoyado en las evidencias comprobatorias
recolectadas a través del proceso.
El auditor debe estar entrenado para entender los mecanismos que se desarrollan
en un procesamiento informático. También debe estar preparado para enfrentar
sistemas computarizados en los cuales se encuentra la información necesaria para
auditar.
Toda empresa, pública o privada, que tenga un Sistema de Información
medianamente complejo, debe de someterse a un control estricto de evaluación de
eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su
información estructurada en Sistemas Informáticos, de aquí, la vital importancia que
los sistemas de información funcionen correctamente. El éxito de la empresa
depende de la eficiencia de sus sistemas de información. Una empresa puede
contar con personal altamente capacitado, pero si tiene un sistema informático
propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.
La auditoría de sistemas en sistemas de información se constituye como un pilar en
cuanto a tener protegidos los datos vitales de una empresa, los cuales los activos
más importantes que permiten que esta funcione eficazmente. Por ende una
correcta recolección de la información, permite un análisis preciso y la creación de
conclusiones y estrategias a tomar adecuadas para mejorar y controlar la seguridad
en los sistemas de información.
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.
II - 2014
16
BIBLIOGRAFIA
Aguirre Cabrera, Adriana (2006): Módulo Auditoría de Sistemas
Information Systems Audit and Control Association (ISACA) (2012): COBIT 5. Estados
Unidos
Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales, Primera Edición,
Prentice Hall, México.
Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales. Primera Edición,
Pearson Educación.
Top Related