Scribd Logo
Importer

Bienvenue sur Scribd !

  • Fases e Informe Auditoria

    Transféré par

    darkness5125
    2K vues6 pages
    fases e informe auditoria de sistemas

    Titre original

    fases e informe auditoria

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOC, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    fases e informe auditoria de sistemas

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    2K vues6 pages

    Fases e Informe Auditoria

    Transféré par

    darkness5125
    fases e informe auditoria de sistemas

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOC, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    Asignatura Datos del alumno Fecha

    Apellidos: Sandoval Coello


    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    Trabajo: El proceso y las fases de la auditoria de Sistemas de Información

    CONTENIDO

    Introducción......................................................................................................................1
    Planificación De La Auditoría............................................................................................1
    Desarrollo De La Auditoría................................................................................................1
    Informe De Auditoría.........................................................................................................1

    INTRODUCCION

    Se desarrollará una auditoría a la empresa Viento en Popa la cual es una empresa


    dedicada a la planificación de actividades náuticas, así como a impartir clases teóricas y
    prácticas de navegación. Ofrece la posibilidad de obtener la certificación de Patrón de
    Embarcaciones de Recreo (PER).

    Dentro de la estrategia empresarial, se desarrolló como canal de información y venta un


    portal Web el cual y de forma somera consta de dos partes claramente diferenciadas:

    La zona de Administración, desde la cual se gestiona la información relativa a cursos y


    alumnos.

    La zona de clientes y alumnos, donde el usuario tiene acceso a la información de Viento


    en Popa referente a actividades y cursos, y acceso a la parte privada de cada uno, con la
    posibilidad de realizar exámenes, descargar temarios y documentación, etc.

    Dicha plataforma se encuentra alojada en los servidores de la misma compañía.

    PLANIFICACION DE LA AUDITORIA

    Alcance

    -Obtener un entendimiento en la gestión de la plataforma web


    -Evaluar los controles generales de tecnología

    Recursos y tiempo

    -Recursos: Dos Auditores


    -Tiempo Estimado: Un Mes

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Sandoval Coello
    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    Recopilación de información básica

    Entre vistas con personal:

    -Gerente de Sistemas
    -Desarrollador de la Plataforma
    -Oficial de seguridad
    -Administrador de la plataforma

    Programa de trabajo

    Plan de comunicación

    Todo requerimiento y solicitudes debe canalizarse a través de la persona designada por


    la empresa y cada hallazgo se debe discutir con la administración previa elaboración del
    informe.

    DESARROLLO DE LA AUDITORIA

    Identificación de riesgos potenciales

    -Perdida de disponibilidad por ataques externos


    -Rendimiento de servidores
    -Acceso lógico no autorizado
    -Protocolos tcp inseguros
    -Inyección
    -Cross-Site Scripting (XSS)
    -Autenticación y gestión de sesiones

    Seleccionar las pruebas y técnicas a utilizar

    Las técnicas de auditoría aplicadas incluyeron la indagación con el personal de la


    compañía, la observación y el examen de documentación, además en las áreas
    significativas de desarrollo, aplicamos técnicas de auditoría asistidos por computadora
    para verificar la integridad y exactitud de los datos procesados en los sistemas de
    información de las áreas o aseveraciones significativas.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Sandoval Coello
    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    INFORME DE AUDITORIA

    CONFIDENCIAL

    Señores
    Junta Directiva
    Viento en Popa

    Estimados Señores:

    Hemos llevado a cabo la revisión de los registros y documentos para dictaminar el


    estado de los sistemas de la compañía, al 31 de Febrero de 2020. En la planeación y
    ejecución de la auditoría, y como parte de la evaluación de la estructura del control
    interno, consideramos llevar a cabo la revisión de la plataforma web de la compañía,
    para determinar los procedimientos de auditoría, con el propósito de expresar nuestra
    opinión sobre los mismos y no para proveer seguridad sobre la estructura de control
    interno.

    De nuestro examen surgieron algunos asuntos que consideramos de importancia para


    asegurar un adecuado funcionamiento operativo y de control relacionado con el sistema
    informático de la compañía, por lo que preparamos nuestro informe con las
    observaciones y recomendaciones que se adjuntan a la presente.

    Aprovechamos la oportunidad para agradecer la colaboración que nos brindó el


    personal y quedamos a su entera disposición para ampliarle cualquiera de nuestros
    comentarios. Sin otro particular y con todo respeto, nos suscribimos de ustedes.

    Atentamente,
    Firma Auditora

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Sandoval Coello
    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    INFORME SOBRE LA REVISION DEL SISTEMA INFORMATICO

    Este informe está basado en la documentación suministrada por la administración de la


    compañía, la información provista en las entrevistas con el personal y el resultado de
    las evaluaciones de los controles. Como resultado del trabajo identificamos algunas
    áreas de mejora, las cuales se detallan en este documento.

    Nuestras observaciones y recomendaciones tienen la intención de fortalecer la


    estructura de control interno de la compañía, por lo tanto algunas de estas podrían
    requerir una acción inmediata, una vez que hayan sido analizadas por la
    Administración.

    Descripción del Alcance del Trabajo Realizado

    El alcance del trabajo comprendió:

    -Obtener un entendimiento en la gestión de la plataforma web


    -Evaluar los controles generales de tecnología

    Controles Generales

    La evaluación de los controles generales incluyó lo siguiente:

    1. Acceso a los Programas y Datos


    Implantación de prácticas de seguridad
    Acceso lógico y físico a los recursos de computación de TI
    Entorno de seguridad
    Acceso a data centers
    Seguridad de los equipos
    Control de accesos
    Seguridad de comunicaciones
    Segregación de funciones
    Organización interna
    Aspectos organizativos de la seguridad de la información
    Continuidad del negocio
    Tercerización de servicios

    2. Cambios a Programas
    Cambios autorizados, documentados y probados
    Cambios a la configuración de los sistemas y las aplicaciones
    Migración de los cambios al ambiente de producción

    3. Desarrollo de Programas
    Autorización, desarrollo y pruebas de los nuevos sistemas y aplicaciones

    4. Operaciones de Computadora
    Procedimientos de respaldo de implantación y recuperación
    Procedimientos para la administración de problemas
    Exactitud, integridad y procesamiento oportuno de los trabajos del sistema

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Sandoval Coello
    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    Valoración de Riesgos de los Hallazgos

    Alto: Es cuando los controles son débiles o no existen, situación que compromete el
    control interno, la seguridad e integridad de la información. Sobre estos riesgos es
    necesario se actué de inmediato.

    Moderado: Es cuando los controles no cubren el riesgo en su totalidad debido a que se


    tienen procedimientos implementados pero son aplicados parcialmente.

    Bajo: Es cuando el control es fuerte, pero requiere de ciertas recomendaciones para


    mitigar el riesgo. Las mejoras requeridas no son críticas para el control interno o la
    seguridad e integridad de la información.

    Hallazgo y Recomendaciones

    Hallazgo No.1. Sistemas Obsoletos


    Área Responsable: Tecnología
    Nivel de Riesgo: Moderado

    Condición

    Observamos que hay servidores que siguen utilizando la plataforma Windows server
    2003 y los gestores de base de datos SQL server 2000 y 2003

    Riesgo e Impacto

    Se tiene el riesgo de que el Sistema Operativo y los gestores de bases de datos en


    servidores actuales puedan tener vulnerabilidades y fallas, las cuales ya no son
    cubiertas por el fabricante, ya que el soporte para Windows server 2003 igual que para
    SQL server 2003 concluyó en julio de 2015.

    Recomendación

    Se debería actualizar el sistema operativo y los gestores de estos servidores, migrando a


    una versión más reciente.

    TEMA 3 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Sandoval Coello
    Auditoría de la
    19/01/2020
    Seguridad
    Nombre: Jenner Noé

    Hallazgo No.2. Cámaras de seguridad en Centro de Datos


    Área Responsable: Tecnología
    Nivel de Riesgo: Moderado

    Condición

    Observamos que dentro del Centro de Datos de la Compañía no hay cámaras de


    seguridad.

    Riesgo e Impacto

    Se tiene el riesgo de no tener evidencia de las actividades realizadas en el Centro de


    Datos, ya sea por personal interno como externo lo que dificultaría detectar posibles
    daños a los equipos.

    Recomendación

    Se deberá instalar cámara de seguridad en el Centro de Datos de la Compañía.

    TEMA 3 – Actividades

    Vous aimerez peut-être aussi