Académique Documents
Professionnel Documents
Culture Documents
Presentado por:
Álvaro Celis Bedoya. Cod: 1097332975
William Fabian Rodríguez Betancourt. Cod: 1096956729
German Horacio Duarte. Cod: 110185497
Marisol Oviedo Jaime. Cod: 1097957977
Pablo Arturo Riascos. Cod: 1098732710
Presentado a:
Francisco Solarte
Tutor
Este informe se realiza con el fin de dar revisión y evaluación de los controles, sistemas, y
procedimientos de informática de la Fundación Operación Sonrisa Colombia; como a su
vez, de los equipos de cómputo, su utilización, eficiencia y seguridad, por medio de
instrumentos de evaluación y la matriz de riesgos que garantizan la visualización de fallas e
inconvenientes, que desatan los riesgos observados anteriormente en la entidad.
Estos instrumentos tienen como fin, el impulsar al personal de la Fundación a la toma de
acciones que incluyan, el señalamiento de capacitaciones y medidas correctivas
alternativas, que logre una utilización más eficiente y segura de la información, esto servirá
en el proceso en toma de decisiones, además de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
Objetivos
Objetivo General
Objetivos Específicos
1. cuadro de los procesos que han sido seleccionados del estándar CobIT
Primer proceso
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema
experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una
mesa de ayuda que proporcione soporte y asesoría de primera línea.
Objetivos
DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión
del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas,
incidentes reportados, requerimientos de servicio y solicitudes de información. Deben
existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio
acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado
como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del
usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de
manera que los incidentes que no puedan resolverse de forma inmediata sean escalados
apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar
soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de
vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.
Segundo proceso
ENTREVISTA
DOMINIO Entregar y Dar Soporte PROCESO DS5 Garantizar la
(DS) Seguridad de los Sistemas
OBJETIVO DE CONTROL
N.º CUESTIÓN RESPUESTA
1 ¿Se realiza un plan de seguridad sobre No se cuenta con un plan de
los riesgos y se da cumplimiento a este? seguridad sobre los riesgos
2 ¿Mantiene suficientes registros (logs) de Realmente se desconoce el uso de
la actividad de red aprobada? estos logs.
3 ¿Existen pruebas, vigilancia y monitoreo No existen dichas pruebas
de la seguridad?
4 ¿Ha comprobado que no existan parches El personal encargado del área de
de seguridad del software y recibe sistemas realiza el mantenimiento de
regularmente las actualizaciones de los equipos y los actualiza, pero esto
seguridad / vulnerabilidades del software no es regularmente.
que utiliza en la red?
5 ¿Existen técnicas y procedimientos de No se cuenta con dichas técnicas
administración, asociados para autorizar
acceso y controlar los flujos de
información desde y hacia internet?
6 ¿Se realizan pruebas de resistencia a No se han realizado dichas pruebas.
sabotaje?
7 Se comunica las políticas de seguridad a No se comunica
los interesados y a los usuarios.
LISTA CHEQUEO
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 Se realiza un plan de seguridad sobre los 5
riesgos y se da cumplimiento a este
2 Se comunica las políticas de seguridad a los 5
interesados y a los usuarios.
3 Existe proceso de autenticación para los 3
usuarios internos (Doctores, auxiliares, etc.)
que solicitan acceso al sistema de
información.
4 Existe un repositorio central con la 3
información de usuarios y sus permisos de
acceso al sistema de información de la
fundación.
5 Existe un procedimiento para la emisión, 3
suspensión, modificación y cierre de cuentas
de usuarios.
6 Se realizan periódicamente pruebas de 4 SEMESTRAL
monitoreo a la seguridad del acceso al
sistema de información.
7 Se realiza monitoreo de los incidentes que se 5
presentan en el sistema de información.
8 Se realizan pruebas de resistencia al sabotaje 3
9 Se ha comprobado que no existan parches 5
de seguridad del software y recibe
regularmente las actualizaciones de
seguridad / vulnerabilidades del software que
utiliza en la red
10 Se permite la ejecución de la consola del 4
sistema (o línea de comandos) sólo a usuarios
autorizados
11 Existen controles para la información que se 3
envía y recibe desde internet.
TOTAL 17 26
TOTAL, CUESTIONARIO 43
Porcentaje de riesgo parcial = (17 * 100) / 43=42,92%
Porcentaje de riesgo = 100 – 42,92=57,08%
PORCENTAJE RIESGO 57,08 % (Riesgo Medio)
Tercer Proceso
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios
de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades
de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este
proceso incluye la definición y ejecución de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento
incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la
productividad y el cumplimiento de los controles clave tales como las medidas de seguridad
de los usuarios. Para ello se tomarán en cuenta los siguientes objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y
actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de
empleados, que incluya:
o Implementar procedimientos junto con el plan a largo plazo.
o Valores sistémicos (valores éticos, cultura de control y seguridad, etc.)
o Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)
o Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales
necesarias.
o Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.
DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el
contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y
retención del conocimiento, costo y valor. Los resultados de esta evaluación deben
contribuir en la definición futura de los planes de estudio y de las sesiones de
entrenamiento.
Fuentes de conocimiento: DS7 educar y entrenar a los usuarios
ENTREVISTA
DOMINIO Planear y Organizar (PO) PROCESO DS7 educar y entrenar a
los usuarios
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
1 ¿Qué tanto conoce usted la empresa y sus Desconozco la mayoría de
reglamentos? reglamentos internos de la empresa.
2 ¿de uno a diez que tan capaz se siente 7 a veces creo que es fácil, pero hay
para manejar el software de la empresa? unas partes en las cuales me gustaría
que lo modificasen.
3 ¿se siente inconforme con el software Si ya que hay pestañas las cuales las
implementado? desconozco y hay algunas las cuales
se me dificultan.
4 ¿Qué le cambiaria o que le agregaría o Que se sectorice que sea no que sea
quitaría al software, y que ítem le parece global es decir ciertos ítems activos
poco usado y más usado justificar para cada área administrativa
respuesta?
5 ¿le gustaría ser capacitado e instruido en Si claro ya que así incrementaría mi
los procesos más difíciles que tiene su nivel de productividad para la
trabajo? empresa mejoraría y centraría mis
esfuerzos y conocimientos
LISTA CHEQUEO
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿está usted totalmente satisfecho por la 5
auditoría realizada para el mejoramiento y
corrección de cualquier falencia informática?
2 ¿cree usted que hace falta o quedo algún tema 4
o ítem sin resolver?
3 ¿se necesita una actualización tanto del 2
software como de la página web
perteneciente a la entidad?
4 ¿Se utilizan métodos cualitativos o 5
cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden afectar los
datos de la empresa?
5 ¿Existe un plan de acción para mitigar los 2
riesgos de la pérdida o hurto de la
información?
6 ¿Se monitorea el plan de acción? 4
TOTAL 14 8
TOTAL, CUESTIONARIO 22
Porcentaje de riesgo parcial = (14 * 100) / 22 = 63.63%
Porcentaje de riesgo total = 100 – 63.63 = 33.3%
PORCENTAJE RIESGO 33,2% (Riesgo medio)
Aportes William
Vulnerabilidad Amenazas Riesgo Categoría
N°
1 Algunos equipos no Inicio de sesión de cualquier persona puede Seguridad
cuentan con personal no autorizado tener acceso a la Lógica
contraseñas de inicio información almacenada
de sesión en los equipos
2 Falta de conocimiento Errores de usuario Personal sin capacitación Manejo y
en temas de seguridad control de
informática. personal
3 Ausencia de Interceptación de los Alta probabilidad de ser Seguridad lógica
certificados de datos ya que no se víctima de un ataque de
seguridad cuenta con un cifrado phishing
seguro
4 Fallas en el suministro Bajas de voltaje y No existe unos ups, en
de energía poca concientización caso de un apagón solo Hardware
por parte del personal se cuenta con los
administrativo. estabilizadores de los
computadores
5 No existen Desastres naturales No existen planes de Seguridad lógica
procedimientos para la debido a movimiento contingencia en caso de
administración de la telúricos pérdidas de información
información y copias de seguridad.
6 Ausencia de planes Desastres naturales No se realizan copias de Seguridad lógica
para recuperación de seguridad de manera
información periódica de la
información sensible en
medios externos.
7 Pobre documentación Desinformación sobre Los procesos realizados Manejo y
de procesos las acciones y recursos no se encuentran control de
informáticos que se llevan acabo totalmente documentados personal
ni estandarizado, esto
genera problemas al
momento de rotar el
personal y realizar la
capacitación del mismo.
8 No hay control sobre Usuarios Robo de bases de datos, Hardware
los dispositivos de malintencionados contraseñas etc.
almacenamiento
externo
9 Poca o inexistente Atentados a las El empleado o trabajador Manejo y
seguridad en las áreas instalaciones de la puede ser una víctima control de
de recaudos empresa (vandalismo) directa o indirecta de una personal
electrónicos agresión externa en
contra de la Empresa.
Aportes German
31 La licencia del firewall Cualquiera puede Alta probabilidad de Seguridad lógica
esta caducada ingresar con facilidad cambio de
información
confidencial
32 Los estudiantes Daño al software Pérdida total de la Seguridad lógica
manipulan mal los usado o al mismo información y
equipos de computo S:O software afectado
33 Software sin El S.O no se puede Al no ser un software Software
licenciamiento legal actualizar para que el legal tiende a ser
“software pirata” mismo corrija errores vulnerado
activados por medios y contrarreste
de cracks defectos de los
usuarios
34 Mal uso a los cuchillas El constante uso de Hace que se dispare, Hardware
o bien llamados los breakers hace que ocasionando el corto
breakers desgaste el protector de flujo de corriente
que traen de fabrica eléctrica y posterior
perdida de
información en las
salas de informática
35 Temblor, incendio o Caer, quemar o Daño en los activos Perdida
inundación inundar cualquier de la empresa tales
zona en la como computadores,
universidad impresoras, cámaras,
servidor, y demás.
36 Mal estructurado de Rompimiento del Perdida contante de Redes y
redes y cableado cable, una mala comunicación con comunicación
demasiado viejo comunicación internet y con los
demás equipos que
este compartiendo
información
37 Las ups están obsoletas Posiblemente se Daño al hardware y Equipos de
ya que son viejas y quemaría las fuentes costos adicionales ya protección eléctrica
obsoletas debido a que de poder o inclusive que hay que
la universidad ha las main boards de reemplazar por
venido dotando con los equipos nuevos equipos
más
equipos de computo
38 Daño a las puertas y Las puertas de Al robo o daño a los Seguridad física
sus cerrojos madera y sus cerrojos equipos de cómputo,
de marca xxx ya que la seguridad
es muy débil
39 No se cuenta con los En caso de un Daño total o parcial a Seguridad física
apropiados extintores siniestro en este caso los equipos de
en las salas de incendio si se usa los cómputo y medios
informática extintores dañaría la audiovisuales
integridad de los
equipos
40 No hay en si un disco Perdida de Pérdida parcial o total Bases de datos
duro externo para información de información
hacer y transferir los confidencial y
back up de requerida por la
información al empresa
personal
administrativo saliente
41 Personal de aseo o Derrame de líquidos Daño total de la Personal
estudiantes, o o grasa a los maquina en la main
profesores por mal computadores board o daño al
manejo pueden averiar portátiles o de mesa teclado
los equipos
42 Mala manipulación de Perdida por Daño o perdida de las Personal
los medios descuidos del cámaras o baterías
audiovisuales como estudiante y el
cámaras fotográficas, docente encargado
video beam
43 El antivirus es pirata Virus constantes en Daño y creación de Software
las maquinas accesos directos en el
pc y el pen drive
44 El rack de En los bajones de luz Daño y/o perdida de Hardware
comunicación puede afectar el información del
principal no posee una funcionamiento y servidor
protección adecuada vida útil de la
maquina
45 Ciertos estudiantes Daño o borrado de Borrado o una mala Sistema de
pueden ingresar al información con configuración por información
servidor principal respecto a docentes o parte de un
software para su estudiante, colocando
instalación a los clave hastra la bios
equipos de la maquina
Aportes Álvaro
Primer Proceso
Riesgos Iniciales:
1. Personal sin capacitación en temas de seguridad informática.
2. No existen planes de contingencia en caso de pérdidas de información y copias de
seguridad.
3. No se realizan copias de seguridad de manera periódica de la información sensible en
medios externos
4. Actualmente el sistema operativo no tiene soporte y se encuentra desactualizado algunas
aplicaciones ya no son compatibles con este sistema
5. Falta de actualización y configuración adecuada del equipo por parte del personal del
área de sistemas
6. Pérdida total de la información y software afectado
7. Pérdida de información o confusión sistemática
8. Perdidas económicas, Caída de la Red, Pérdida de datos
9. Fallas constantes en el sistema
10. Fallas peligrosas en el sistema interno del PC por falta de mantenimiento
Raro (1)
Improbable (2)
R1, R14,
Posible (3) R3, R12, R13
R16, R17
R2, R5,
R7, R9,
Probable (4) R6, R8
R10, R15,
R18, R19
Casi Seguro (5) R11 R4
4. Proponer ideas que contribuyan a la búsqueda de sistemas de red más eficaces, que
hagan del trabajo diario uno menos complejo.
5. Realizar por parte del personal encargado de las TI, copias de seguridad, que garanticen
la integridad de los datos reales.
Cada una de estas acciones harán de la Fundación, una entidad reconocida por sus avances
tecnológicos y colaboración a su personal de trabajo, en cuanto a la facilidad de ejercicio
laboral y personal.
Segundo Proceso
Riesgos Iniciales:
1. Actualmente el sistema operativo no tiene soporte y se encuentra desactualizado algunas
aplicaciones ya no son compatibles con este sistema
2. Se encuentran activas cuentas de usuario de personal que ya no labora en la empresa.
3. Se presentan fallas en las comunicaciones originadas por la mala instalación o
configuración de estas
4. No se realizan copias de seguridad de manera periódica de la información sensible en
medios externos.
5. Existen fallas en la seguridad y las comunicaciones originadas por la inadecuada
configuración de los dispositivos de la red.
6. Existe un mínimo control de acceso a direcciones de internet por parte del administrador,
lo que hace insegura a la red de datos
Riesgos Con La Aplicación De Instrumentos
Raro (1)
R2,
Improbable (2)
R6,R8,R9
Probable (4)
Como se puede ver en la matriz de riesgos resultante tenemos 4 riesgos moderados con una
probabilidad de que dichos eventos ocurran en algún momento en la fundación operación
sonrisa y 3 riesgos moderados con una probabilidad un poco más alta y se deben reducir los
riesgos y evitar, compartir o transferir;
También vemos otros 3 riesgos con un impacto mayor que se pueden presentar en algún
momento y un riesgo mucho mayor relacionado con que no se realizan copias de seguridad
de manera periódica de la información sensible en medios externos y esto puede ser
catastrófico ya que se trabaja con información sensible y puede ocurrir en cualquier
momento.
Tercer Proceso
DS7 educar y entrenar a los usuarios
Riesgos Iniciales
Tomando en cuenta estos resultados se pueden observar zonas de riesgo moderado, riesgo
alto, y riesgo extremo, por esto es indispensable tomar medidas urgentes de capacitación y
entrenamiento a usuarios, los cuales pueden ser el ente directo que afecta al sistema,
sumando las fallas anexas, para lo cual es indispensable tomar medidas de acceso que
garanticen el sano progreso de la organización en sus TI.
Conclusiones
1. http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-
para.html