Trab_col_3_30 (2)

AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 3

NELSON RODRGUEZ R.CDIGO: 91239304JHON FREDY LIZCANOCDIGO: 80175799

GRUPO: 90168_30

TUTOR: ANIVAR CHVEZ TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERANOVIEMBRE 2014

TRABAJO COLABORATIVO 3

NELSON RODRGUEZ R.CDIGO: 91239304

JHON FREDY LIZCANOCDIGO: 80175799

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERAAUDITORIA DE SISTEMASNOVIEMBRE 2014

INTRODUCCINEn el desarrollo de este momento se pone en prctica paso a paso como Ejecutar una auditora de sistemas, teniendo en cuenta los siguientes fases; fase reunin de inicio, fase recopilacin de datos e informacin, fase anlisis y evaluacin de datos e Informacin discusin de hallazgos y conclusiones y la fase reunin de trmino.

OBJETIVOS

Entregar una propuesta metodolgica para ejecutar el trabajo por las diferentes etapas del curso que permita determinar mediante la aplicacin del programa de auditora previamente formulado, los pasos a desarrollar para reunir evidencia suficiente y competente que permita informar y sacar conclusiones del trabajo, mediante el informe de auditora.

Obtener, identificar, analizar y registrar suficiente informacin , Contar con suficiente informacin de carcter confiable, conclusiones y resultados del trabajo en adecuados anlisis y evaluaciones, Registrar informacin relevante que les permita soportar las conclusiones y los resultados del trabajo.

EJECUCION DE LA AUDITORIANuestro formato de ejecucin de la auditoria se gua de acuerdo a lo siguiente

FASE REUNIN DE INICIO

El 25 de Noviembre del ao en curso en las instalaciones de la Empresa Getronics Colombia LTDA se renen el Auditor general el Dr. Jhon Fredy Lizcano y su grupo de apoyo de auditoria en cabeza del auditor 1 Nelson Rodrguez R y asistentes con el director del rea de informtica de la empresa el Ing Diego Fernando Ortiz con el fin de tocar los temas propios de la auditoria a realizar.El Ing Diego Fernando Ortiz director del rea de informtica invita a su grupo de trabajo informar sobre los objetivos generales de la Auditoria sobre la evaluacin del sistema de informacin documental SAD, con el fin de valorar la autenticidad del software y la procedencia de los sistemas operativos, programas y paquetes de aplicacin.El alcance de la auditoria es dar un parte de confiabilidad a la gerencia sobre el sistema de informacin SAD. Es importante la colaboracin abierta de cada funcionario de la empresa que est involucrado con el departamento de informtica con el fin de facilitar la auditoria.El cronograma de trabajo est programado para realizarlo en 6 semanas, iniciando el 1 de Diciembre del ao en curso, donde se auditara el departamento informtico, sistemas de cmputo, personal que labora en dicha dependencia y el software.El Ing Diego asigna al Ing de sistemas de la empresa como la persona encargada de suministrar toda la informacin que sea solicitada, el cual tendr la autoridad plena de entregar los accesos a los sistemas de informacin, base de datos a manera de consulta.Durante la auditoria se tomara evidencia de los cambios realizados en la dependencia de informtica con el fin de obtener informacin relevante que se utilizara en la aplicacin de la auditoria.Se establece en comn acuerdo entre la auditoria y direccin de informtica realizar reuniones de avance de auditoria cada semana y una reunin final de cierre de la auditoria en la primera semana de enero de 2015.2.- FASE RECOPILACIN DE DATOS E INFORMACIN

Asociados & Auditores

Punto a evaluar

EMPRESA GETRONICS COLOMBIA LTDAAUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREGUA DE DOCUMENTACIN ENTREGADA

FECHA DIA MES AO

27112014

DOCUMENTO ENTREGADORUTA DEL DOCUMENTO

BD-SI-Control plan de seguridad de la informacin https://portal.getronics-latam.com/mc

PLSI-06 Plan de gestin de continuidad https://portal.getronics-latam.com/mC

Pl SI-04 Plan de gestin de la configuracinhttps://portal.getronics-latam.com/mc

BD- SI-02 control plan de capacidadhttps://portal.getronics-latam.com/mc

Pl-SI-04 Plan de gestin de la configuracinhttps://portal.getronics-latam.com/mc

PI-SI-07 plan de gestin de disponibilidadhttps://portal.getronics-latam.com/mc

Entrevista a uno de los Administradores de la aplicacin SAD

1 Ing. Leonardo cual es el procedimiento para la creacin de las cuentas de usuario para los sistemas de administracin documental

Rpta: se debe recibir un correo con la autorizacin por parte del jefe inmediato en el cual autoriza la creacin de la cuenta para el acceso al SAD y en el mismo se debe definir los permisos que debe tener sobre la aplicacin. Despus de recibida la autorizacin se realiza la creacin de la cuenta por medio de la integracin con el directorio activo de la empresa y de esta forma se realiza la integracin de servicios con una misma cuenta

2. Ing. como se realiza se asignas los roles en la aplicacin SAD

Rpta: la asignacin de roles se realiza por medio de grupos de usuarios especialmente creados en el directorio activo de acuerdo a los roles los cuales son rol de administrador documental, Rol de lectura, rol de escritura

3. Ing. Como se realiza el control del uso de la cuentas de usuario

Rpta: por medio de logs de auditoria habilitados en los servidores de la aplicacin las cuales registran el inicio y cierre de sesin del usuario adems de verificar el acceso a los recursos disponibles en la aplicacin

4. Ing. las cuentas de usuario que nivel tienen de seguridad

Rpta: las cuentas de usuario tiene por directiva de domino una clave de 8 dgitos alfanumricas y smbolos adems tienen cambio de contraseas cada mes.

5. Ing. las cuentas se inactivan despus cuanto tiempo

Rpta Las cuentas se inactivan de acuerdo a la fecha de caducidad de la cuenta de dominio y despus de 15 de inactivan se eliminan

6. Ing. Cuantas cuentas pueden crease en la aplicacin

Rpta: la aplicacin soporte la integracin de 3500 cuantas de usuarios actualmente existen 1200 cuentas creadas en la aplicacin

7 Ing. existen Backup de las cuentas de usuario

Rpta , si al realizar el Backup de la base de datos se realizan el Backup de las cuentas de los usuarios y sus privilegio de la aplicacin


Actividad a evaluar: Logos de auditoria en el servidor de aplicacin

EMPRESA GETRONICS COLOMBIA LTDAAUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITADA DATCENTER

FECHA DA MES AO

02122014

TEM EVALUADOCUMPLE NO CUMPLEOBSERVACIONES

La auditora de sucesos este activa en los servidores y solo los administradores pueden tener acceso dicha informacin SI

Los Logs que contiene la informacin de la trazabilidad de la apertura y cierre de sesin autorizadas para ingresar el sistemasSI

Se enva alertas a los administradores del acceso indebido a la aplicacin y a los servidores SI

En los Logs las modificaciones realizadas a los recursos compartidos de la aplicacin si como la modificacin de las bases de datos SI

En Los Logs de auditoria se muestra el uso de recursos de los servidores y de la aplicacinSI

Los Logs de auditoria se almacenan externamente SISe debe tener ms capacidad de almacenamiento para los backups de los logs de auditoria

Entrevista a uno de los Administradores de la aplicacin SAD 1 Ing. Leonardo cual es el procedimiento para la creacin de las cuentas de usuario para los sistemas de administracin documental

Rpta: se debe recibir un correo con la autorizacin por parte del jefe inmediato en el cual autoriza la creacin de la cuenta para el acceso al SAD y en el mismo se debe definir los permisos que debe tener sobre la aplicacin. Despus de recibida la autorizacin se realiza la creacin de la cuenta por medio de la integracin con el directorio activo de la empresa y de esta forma se realiza la integracin de servicios con una misma cuenta

2. Ing. como se realiza se asignas los roles en la aplicacin SAD

Rpta: la asignacin de roles se realiza por medio de grupos de usuarios especialmente creados en el directorio activo de acuerdo a los roles los cuales son rol de administrador documental, Rol de lectura, rol de escritura

3. Ing. Como se realiza el control del uso de la cuentas de usuario

Rpta: por medio de logs de auditoria habilitados en los servidores de la aplicacin las cuales registran el inicio y cierre de sesin del usuario adems de verificar el acceso a los recursos disponibles en la aplicacin

4. Ing. las cuentas de usuario que nivel tienen de seguridad

Rpta: las cuentas de usuario tiene por directiva de domino una clave de 8 dgitos alfanumricas y smbolos adems tienen cambio de contraseas cada mes.

5. Ing. las cuentas se inactivan despus cuanto tiempo

Rpta Las cuentas se inactivan de acuerdo a la fecha de caducidad de la cuenta de dominio y despus de 15 de inactivan se eliminan

6. Ing. Cuantas cuentas pueden crease en la aplicacin

Rpta: la aplicacin soporte la integracin de 3500 cuantas de usuarios actualmente existen 1200 cuentas creadas en la aplicacin

7 Ing. existen Backup de las cuentas de usuario

Rpta , si al realizar el Backup de la base de datos se realizan el Backup de las cuentas de los usuarios y sus privilegio de la aplicacin


EVALUACIN DE ROLES Y CUENTAS DE USUARIOSEMPRESA GETRONICS COLOMBIA LTDA.AUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITA DATACENTERACTIVIDAD EVALUACIN DE ROLES Y CUENTAS DE USUARIOS

FECHA DIA MES AO

03122014

ITEM EVALUADOCUMPLENO CUMPLEOBSERVACIONES

Los usuarios tienen acceso a los aplicativos relacionados con si rea de trabajoSI

Cada usuario posee un perfil adecuado a las necesidades de su labor y con las respectivas restricciones a otros perfilesSI

Se manejan jerarquas y se da a cada jerarqua su respectivo nivel de seguridadSI

Se realiza anualmente depuracin de perfiles para que no se presenten perfiles de usuarios inactivosSILa depuracin aunque se realiza se est generando cada vez que se vea un incremento considerable en usuarios inactivos, no siguiendo instructivos, pero se ve como buena medida, ya que se observa mayor control sobre el ITEM se recomienda modificar este numeral para dejarlo adecuado a lo que se realiza.

Se generar Backups de la informacin de los usuarios, y se da un adecuado manejo a la informacin guardadaSIAunque se generan Backups, se observa que la informacin de usuarios inactivos se desecha despus de aproximadamente un ao ante lo cual se sugiere que se genere un archivo muerto de tal manera que la informacin siempre est disponible ante cualquier requerimiento.


EVALUACIN DE LA REDEMPRESA GETRONICS COLOMBIA LTDAAUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITADA CONECTIVIDAD ACTIVIDAD EVALUACIN DE LA RED

FECHA DIA MES AO

06122014

ITEM EVALUADOCUMPLE NO CUMPLEOBSERVACIONES

Existe monitoreo de nivel de saturacin de Canal de comunicaciones entre los usuarios y la aplicacinSIA pesar de que se tiene un sistemas de monitoreo este es un programa bsico el cual no muestra mayor detalle de actividad

Los dispositivos de comunicaciones negocian a su mayor velocidad de transferencia de datosSI

Existe control del trfico hacia a la aplicacinSI

El canal de comunicaciones que usa la aplicacin es suficienteSIEl canal de comunicaciones presenta un nivel de saturacin del 90% por lo cual se debera pensar en una aplicacin decanal de comunicaciones

El nivel de seguridad de la red de datos suficientemente robusto SI

Se garantiza que solo los usuarios autorizados tiene acceso a le red SI


EVALUACIN HARDWAREEMPRESA GETRONICS COLOMBIA LTDA.AUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITA DATACENTERACTIVIDAD EVALUACIN DE HARDWARE

FECHA DIA MES AO

10122014


Los servidores se encuentra debidamente identificadosSI

La capacidad de los servidores es suficiente para el buen funcionamiento de la aplicacin SIAunque es suficiente se debera repotenciar el hardware ya que se presentan niveles del 80% del uso de recursos del sistema lo cual no permite un crecimiento mayor

Los servidores cuentan con soporte vigente del fabricante SI

El servidores donde estn alojada la aplicacin de cuentan con el alta disponibilidad noSe debe contar con alta disponibilidad en los servidores para tener una tolerancia a fallos

Se realiza mantenimiento peridico a los servidores SI


EVALUACIN DEL SOFTWAREEMPRESA GETRONICS COLOMBIA LTDA.AUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITA DATACENTERACTIVIDAD DE VALUACIN DE SOFTWARE

FECHA DIA MES AO

15122014


El software utilizado para las aplicaciones est correctamente licenciadoSISe tiene una archivo una documentacin fsica organizada y rotulada que permite la fcil revisin y acceso a las licencias

Solo el personal autorizado tiene permisos para la modificacin, actualizacin o instalacin de aplicaciones SI

Se dispone de las actualizaciones para los diferentes aplicativos utilizadosSI

Se realiza una continua depuracin del sistema operativo instalado en los equipos de uso cotidianoSISe observa una depuracin cada mes de los equipos y se observa que se ha enseado a cada usuario la manera de realizarlo como parte de su trabajo cotidiano, buena herramienta.

Se posee un antivirus licenciado ya adecuado para cada uno de los equipos de los usuarios de la empresaSISe maneja antivirus segn perfiles y roles lo que permite un mayor control sobre cada una de las variables de seguridad

Asociados & AuditoresEVALUACIN DE TRANSACCIONES

EMPRESA GETRONICS COLOMBIA LTDA.AUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITA DATACENTERACTIVIDAD EVALUACIN DE TRANSACCIONES

FECHA DIA MES AO

18122014


Se tiene un riguroso seguimiento del ingreso de los usuarios a las bases de datos y las diferentes modificaciones realizadasSI

Se manejan cdigos de acceso para la modificacin de las bases de datos o informacin de inters comnSI

Se envan alertas de transacciones no autorizadas al encargado correspondienteNOSe observa que no se tiene implementado se solicita implementarlo en un tiempo mximo de 3 meses para dar cumplimiento al numeral de la norma, no se levanta no conformidad debido a que el numeral se coloc hasta este ao se da un tiempo de implementacin prudente.

Si existen salvaguardias adecuadas para evitar el acceso no autorizado o la destruccin de documentos, registros y activos.SI


EVALUACIN POLTICAS Y PROCEDIMIENTOSEMPRESA GETRONICS COLOMBIA LTDAAUDITOR JHON FREDY LIZCANOPERIODO 25 DE OCTUBRE AL 25 DE NOVIEMBREREA AUDITA DATACENTERACTIVIDAD EVALUACIN POLTICAS Y PROCEDIMIENTOS

FECHA DA MES AO

21122014

ITEM EVALUADOCUMPLENO CUMPLEOBSERVACIONES

Se tiene Polticas de seguridad de acceso a la informacin de aplicacinSI

Se tiene procedimientos claros a nivel de administracin la aplicacinSI

Se polticas de control de acceso a la red SI.

Existen procedimientos de recuperacin de desastres de la aplicacinNOEsto representa un gran problema en caso de desastre se ver afectada aplicacin dejando sin estos servicios a los usuarios dela empresa

Existen procedimientos de backup de la informacin de la aplicacinSI

Evidencia GeneradaConfiableNo Confiable

Evidencia Oralx

Evidencia escritax

Sistemas de controlx

Datos suministradosx

Equipos x

3.- FASE DE ANLISIS Y EVALUACIN DE DATOS E INFORMACIN - DISCUSIN DE HALLAZGOS Y CONCLUSIONES

El sistema de administracin documental cumple en 95% los tems de evaluacin de la auditoria A pesar de cumplir la mayora tems evaluados la aplicacin no tiene un respaldo fsico que garantice de que en caso de fallas graves a nivel hardware de los servidores se garantice la continuidad de los servicios prestados.

El Hardware donde se encuentra instalado (SAD) cumple con las especificaciones estndar pero el nmero de crecimiento en usuarios est limitado

Se debe realizar la configuracin de la alta disponibilidad de aplicacin para poder tener nivel de tolerancia a fallos.

Se debe invertir en repotenciacin del Hardware actual para poder dar un mayor margen de crecimiento en usuarios que puedan utilizar la aplicacin sin entorpecer el rendimiento

La aplicacin SAD cumple con los estndares de seguridad de acceso y uso de los servicios de esta aplicacin

4.- FASE REUNIN DE TRMINO

De acuerdo a los hallazgos se concluye que no existen riesgos relevantes que puedan afectar a la organizacin. Es importante que la compaa actualice el Hardware existente lo cual lo debe realizar en un plazo de 2 meses. Las conclusiones iniciales cumplen con lo solicitado y ratifican lo encontrado. Es importante para la organizacin que el departamento de Informtica de la empresa tome medidas correctivas y preventivas oportunamente siendo esto importantsimo para mitigar los riesgos que se puedan presentar.

CONCLUSIN

La realizacin de este trabajo prctico, nos permite adentrarnos de una manera ms profunda de como ejecutar la auditoria de sistemas a una organizacin, siendo importante profundizar en cada uno de las etapas de este proceso, y realizarlo con la mayor responsabilidad y conocimiento para lograr un resultado satisfactorio que ayude a una organizacin a tomar correctivos de ser necesarios o de fortalecer el proceso

BIBLIOGRAFA

AGUIRRE CABRERA Adriana. 2014. Mdulo de Auditoria de sistemas. UNAD.

Documento Tcnico N 31 v.0.3. Ejecucin de la Auditora Recuperado de: www.auditoria interna de gobierno.cl/index.php/menu/ShowFile/id/23

Trab_col_3_30 (2)

Documents

Transcript of Trab_col_3_30 (2)