Nombre del Curso: AUDITORIA DE
SISTEMAS
Momento 3 - TRABAJO COLABORATIVO 3
UNIVERSIDAD
NACIONAL ABIERTA Y A DISTANCIA – UNAD
INTRODUCCIÓN
El
presente trabajo presente mostramos temas relacionados con la Unidad 3 en este
trabajo manejamos el control interno, este es primordial para la protección y
seguridad de la empresa también con estos con estos controles logramos mantener
de la mejor forma estados financieros o la parte informático de la empresa este
control busca siempre la mayor eficacia para la empresa, el control interno
informático es el que principalmente trabajamos en este trabajo haciendo uso de
software especializados para ello.
OBJETIVOS
ü Listar la totalidad de riesgos clasificados por
procesos COBIT, proceso de análisis y evaluación de riesgos y matrices de
riesgos por procesos.
ü Realizar lista de herramientas de software propuesto
y seleccionado, evidencias de la aplicación de los mismos en el proceso de auditoría.
ü Realizar cuadro de riesgos, causas que los originen y
los controles definidos para cada uno de ellos.
ACTIVIDAD
INDIVIDUAL
Cada
estudiante debe hacer una lista de riesgos (mínimo 10) detectados,
clasificarlos teniendo en cuenta los dominios, procesos y objetivos de control
del programa de auditoría identificando las posibles causas que los originan
.
APORTE INDIVIDUAL xxxxxxxxxxxxxxxxxxxx
RIESGOS DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA
|
|||||
ÍTEM
|
RIESGO
|
DOMINIO
|
PROCESOS
|
OBJETIVOS DE CONTROL
|
CAUSAS
|
1
|
Baja inversión en infraestructura TI
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Administración del Valor de TI
|
Por falta de políticas de fortalecimiento de la
estructura TI se puede no invertir lo suficiente en la misma para estar al
día con las necesidades y requerimientos.
|
2
|
No alinear las estrategias de TI con las de la entidad
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Alineación de TI con el Negocio
|
Debido a falta de capacidad de entendimiento por
parte de la dirección, se puede llevar a una desarticulación entre las TI con
el objetivo de la entidad.
|
3
|
No existe un protocolo para evaluar el desempeño de los sistemas de
información
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Evaluación del Desempeño y la Capacidad Actual
|
La falta de políticas claras puede crear una
desatención a los sistemas implementados, donde no se crean estrategias ni
metodologías para evaluar su impacto en la entidad.
|
4
|
No existen planes estratégicos de TI
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Plan Estratégico de TI
|
Debido a la falta de implementación de políticas,
no existe un plan estratégico a largo plazo para la implementación y el
control del TI.
|
5
|
No existen planes tácticos de TI
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Planes Tácticos de TI
|
Al no existir los planes estratégicos, no existen
los planes tácticos.
|
6
|
Los programas implementados casi siempre son reactivos en lugar de
preventivos, sin planeación u objetivos claros.
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Administración del Portafolio de TI
|
Debido al cambio de administraciones, no se
genera continuidad en los programas de la entidad ni los objetivos de los
mismos.
|
7
|
Debido al largo tiempo de funcionamiento, se
tiene información almacenada en diferentes formatos y mediante variados
métodos que hace muy difícil garantizar su optimización
|
Planear y Organizar
|
Definir la arquitectura de la información
|
Modelo de Arquitectura de Información Empresarial
|
La evolución que ha sufrido la infraestructura TI
ha causado el cambio constante en métodos y modelos de almacenamiento, lo que
causa problemas de incompatibilidad de datos.
|
8
|
No existe un diccionario de datos implementado
|
Planear y Organizar
|
Definir la arquitectura de la información
|
Diccionario de Datos Empresarial y Reglas de
Sintaxis de Datos
|
Por problemas de planeación y ejecución no se ha
creado un diccionario de datos en la entidad.
|
9
|
El esquema de clasificación de datos no se
encuentra completamente implementado
|
Planear y Organizar
|
Definir la arquitectura de la información
|
Esquema de clasificación de datos
|
Debido a que cada funcionario almacena
información localmente, no se ha podido clasificar toda la información
generada por la entidad.
|
10
|
No se puede garantizar la integridad de los datos
|
Planear y Organizar
|
Definir la arquitectura de la información
|
Administración de integridad
|
Debido a fragmentación de información, almacenaje
erróneo y diversidad de políticas de desarrollo, se ha creado un gran
conjunto de datos de los cuales no se puede garantizar integridad al 100%
|
APORTE INDIVIDUAL
WILLIAMS AVILA PARDO
RIESGOS DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA- GERENCIA
DEPARTAMENTAL COLEGIADA VALLE DEL CAUCA.
|
|||||
ÍTEM
|
RIESGO
|
DOMINIO
|
PROCESOS
|
OBJETIVOS DE CONTROL
|
CAUSAS
|
1
|
No se cumple los protocolos de seguridad en materia de TI
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Alineación de TI con el Negocio
|
El cableado estructura es insuficiente para
soportar todos los usuarios, motivo por el cual se instalaron Access point
WiFi, los cuales van en contra de los protocolos de seguridad.
|
2
|
Se existen manuales de procedimientos para evaluar el desempeño de las
redes de datos.
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Evaluación del Desempeño y la Capacidad Actual
|
Debido a que la administración de las redes se
realiza de manera remota, no es posible realizar revisiones locales en el
momento de una falla, debido a que se no existen procedimientos definidos y
autorizados por la organización.
|
3
|
Falta de capacidad de ancho de banda de internet para soportar
efectivamente los aplicativos en línea.
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Alineación de TI con el Negocio
|
No se ha cuenta con los servicios tecnológicos
externos acordes para el funcionamiento de las TI de la organización.
|
4
|
No se cuenta con los ambientes adecuados para los equipos de las salas
de audiencia y videoconferencia aumentando el daño por deterioro o mal uso.
|
Adquirir e Implementar
|
Instalar y Acreditar Sistemas.
|
Alineación de TI con el Negocio
|
La organización no cuenta con los espacios
físicos suficientes para la correcta implementación de las TI.
|
5
|
Obsolescencia en la infraestructura física de las TI
|
Adquirir e Implementar
|
Adquirir y Mantener Arquitectura de TI.
|
Adquisición y Actualización de la infraestructura de TI
|
El Cableado estructurado de la entidad se
encuentra diseñado de tal manera que no se ajusta a las necesidades de la
organización.
|
6
|
Ausencia de servidor como repositorio de archivos.
|
Adquirir e Implementar
|
Adquirir y Mantener Arquitectura de TI.
|
Adquisición de un servidor como repositorio de archivos.
|
La organización no cuenta en una de sus sedes con
un repositorio de archivos que permita la correcta interacción e
implementación de las TI
|
7
|
Ausencia de equipos de contingencia.
|
Entregar y Dar Soporte
|
utilizar los sistemas de TI de manera productiva
y segura
|
soporte del servicio a los usuarios
|
La organización no cuenta con equipos de
contingencia para garantizar la continuidad del funcionamiento de las TI
|
8
|
Poca agilidad en la ejecución de los trámites de
las garantías de los equipos de cómputo ante los contratistas.
|
Entregar y Dar Soporte
|
Administrar Desempeño y Calidad.
|
soporte del servicio a los usuarios
|
La organización no cumple con los términos establecidos
para el trámite de las garantías, deteriorando el soporte técnico que reciben
los usuarios en materia de TI.
|
9
|
Obsolescencia en el regulador de 50 KVA de la
acometida eléctrica regulada
|
Monitorear y Evaluar
|
Evaluar lo adecuado del control Interno.
|
Evaluación del Desempeño y la Capacidad Actual
|
No existen procedimientos para la evaluación del
desempeño de las TI, generando
dificultades para la adquisición y reemplazo de las mismas.
|
10
|
Falta de capacitación específica para la
ejecución de actividades inherentes.
|
Planear y Organizar
|
Definir un Plan Estratégico de TI.
|
Alineación de TI con el Negocio
|
La organización no posee un plan estratégico que
permita garantizar la constante y oportuna capacitación de sus usuarios.
|
APORTE INDIVIDUAL xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
RIESGOS DE LA CONTRALORÍA GENERAL DE LA
REPÚBLICA- GERENCIA DEPARTAMENTAL COLEGIADA VALLE DEL CAUCA
|
|||||
ÍTEM
|
RIESGO
|
DOMINIO
|
PROCESOS
|
OBJETIVOS DE
CONTROL DETALLADOS
|
CAUSAS
|
1
|
Error
humano
|
Monitoreo
y Evaluación
|
Monitorear
y evaluar el control interno
|
Monitorear
de manera interna y de forma continua, estos se hacen a profundidad para
evitar los riesgos.
|
Los
errores humanos se pueden producir por una distracción del funcionario, una
mala preparación del mismo o un descuido.
|
2
|
Robo
de archivos o equipos
|
Adquirir
e implementar
|
Adquirir
recursos de TI
|
Garantizar
la adquisición de hardware, software, infraestructura e instalaciones que
satisfagan las necesidades de la empresa
|
Fallas
internas en la parte de seguridad y vigilancia de la empresa o posible robo
por parte del personal de la empresa
|
3
|
Fallas
en los sistemas
|
Adquirir
e implementar
|
Instalar
y acreditar soluciones y cambios
|
Realizar
un plan de pruebas para la corrección
de errores, con base en la evaluación de riesgos de fallas en el sistema
|
Las
fallas muchas veces se producen por un error del mismo sistema o en algunos
casos por el manejo que se le da a éstos
|
4
|
Virus
informático
|
Entregar
y dar soporte
|
Administrar
los problemas
|
Priorizaciones
de emergencia, esto se realiza lo más pronto posible para no perder
información
|
Bases
de datos desactualizadas equipos sin protección, antivirus desactualizados
|
5
|
Desastre
natural
|
Entregar
y dar soporte
|
Administrar
el ambiente físico
|
Proporcionar
un ambiente físico que proteja al equipo y al personal de desastres naturales
|
Fenómenos
de la naturaleza
|
6
|
Incendio
por corto
|
Entregar
y dar soporte
|
Garantizar
la seguridad de los sistemas
|
Garantizar
que las características de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de
seguridad sean atendidos de forma apropiada por medio del proceso de
administración de problemas o incidentes
|
Descuido
del personal encargado de la seguridad y el manejo de las instalaciones
|
7
|
Accesos
no autorizados
|
Entregar
y dar soporte
|
Administrar
servicios de terceros
|
Monitorear
los servicios del proveedor apara asegurarse que éste está cumpliendo a
cabalidad con los requerimientos
|
Información
que llega a manos de personas inescrupulosas que fácilmente pueden afectar la
estabilidad de la empresa
|
8
|
Poco
personal para manejar los sistemas
|
Planear
y organizar
|
Administrar
recursos humanos de TI
|
Reclutamiento
y retención del personal, asegurarse
de contratar personas que se ciña a las políticas de la empresa y que
garantice un buen desempeño
|
En
muchas ocasiones el personal que se tiene no se ajusta a las nuevas
necesidades de la empresa entonces se necesitan capacitar el personal
existente o conseguir nuevo personal
|
9
|
Fallas
del hardware
|
Adquirir
e implementar
|
Adquirir
y mantener la infraestructura tecnológica
|
Desarrollar
una estrategia y un plan de mantenimiento de la infraestructura y garantizar
que se controlan los cambios, de acuerdo con el procedimiento de administración
de cambios de la organización. Incluir una revisión periódica contra las
necesidades del negocio, administración de parches y estrategias de
actualización, riesgos, evaluación de vulnerabilidades y requerimientos de
seguridad.
|
Las
causas de este pueden ser descaste de los equipos, falta de control más
continuo requerimientos de actualizaciones.
|
10
|
Filtración
de la información
|
Monitorear
y evaluar
|
Monitorear
y evaluar el control interno
|
Registrar
la información referente a todas las excepciones de control y garantizar que
esto conduzca al análisis de las causas subyacentes y a la toma de acciones
correctivas. La gerencia debería decidir cuáles excepciones se deberían
comunicar al individuo responsable de la función y cuáles excepciones deberían
ser escaladas. La gerencia también es responsable de informar a las partes
afectadas.
|
La
causa de esto es un agente interno que
pasa información a personas inescrupulosas, o software malicioso que
se instalan en el equipo y roban información importante para la empresa.
|
LISTA DE RIESGOS ENCONTRADOS.
Dominio:
planear y organizar - Proceso: definir un
plan estratégico de ti.
a) Baja
inversión en infraestructura TI
b)
No alinear las estrategias
de TI con las de la entidad
c)
No existe un protocolo para
evaluar el desempeño de los sistemas de información
d)
No existen planes
estratégicos de TI
e)
No existen planes tácticos
de TI
f)
Los programas implementados
casi siempre son reactivos en lugar de preventivos, sin planeación u objetivos
claros.
g)
No se cumple los protocolos
de seguridad en materia de TI
h)
Se existen manuales de
procedimientos para evaluar el desempeño de las redes de datos.
i)
Falta de capacidad de ancho
de banda de internet para soportar efectivamente los aplicativos en línea.
j) Falta
de capacitación específica para la ejecución de actividades inherentes.
Dominio:
planear y organizar - Proceso: Definir la
arquitectura de la información.
a) Debido
al largo tiempo de funcionamiento, se tiene información almacenada en
diferentes formatos y mediante variados métodos que hace muy difícil garantizar
su optimización
b)
No existe un diccionario de
datos implementado
c)
El esquema de clasificación
de datos no se encuentra completamente implementado
d) No
se puede garantizar la integridad de los datos
Dominio:
Adquirir e Implementar - Proceso: Adquirir y Mantener Arquitectura de TI.
a) Obsolescencia
en la infraestructura física de las TI
b) Ausencia
de servidor como repositorio de archivos.
Dominio:
Adquirir e Implementar - Proceso: Instalar y Acreditar Sistemas.
a) No
se cuenta con los ambientes adecuados para los equipos de las salas de
audiencia y videoconferencia aumentando el daño por deterioro o mal uso.
Dominio:
Entregar y Dar Soporte - Proceso: Administrar Desempeño y Calidad.
a) Poca
agilidad en la ejecución de los trámites de las garantías de los equipos de
cómputo ante los contratistas.
Dominio:
Entregar y Dar Soporte - Proceso: utilizar los sistemas de TI de manera productiva y segura.
a) Ausencia
de equipos de contingencia.
Dominio:
Monitorear y Evaluar - Proceso: Evaluar lo adecuado del control Interno.
b) Obsolescencia
en el regulador de 50 KVA de la acometida eléctrica regulada
VALORACIÓN DE RIESGOS
De acuerdo a los riesgos citados, se
realiza la valoración de los riesgos teniendo en cuenta la probabilidad de ocurrencia
y el impacto del riesgo dentro de la red de datos de la Contraloría General de
la Republica – Gerencia Departamental Colegiada Valle del Cauca, para ello se
realiza la siguiente tabla 1 donde se
valoran los riesgos para su posterior clasificación.
Tabla
1. Valoración de riesgos
Riesgos / Valoración
|
Probabilidad
|
Impacto
|
|||||||||||
A
|
M
|
B
|
L
|
M
|
C
|
||||||||
R1
|
Baja
inversión en infraestructura TI
|
X
|
X
|
||||||||||
R2
|
No
alinear las estrategias de TI con las de la entidad
|
X
|
X
|
||||||||||
R3
|
No
existe un protocolo para evaluar el desempeño de los sistemas de información
|
X
|
X
|
||||||||||
R4
|
No
existen planes estratégicos de TI
|
X
|
X
|
||||||||||
R5
|
No
existen planes tácticos de TI
|
X
|
X
|
||||||||||
R6
|
Los
programas implementados casi siempre son reactivos en lugar de preventivos,
sin planeación u objetivos claros.
|
X
|
X
|
||||||||||
R7
|
No
se cumple los protocolos de seguridad en materia de TI
|
X
|
X
|
||||||||||
R8
|
Se
existen manuales de procedimientos para evaluar el desempeño de las redes de
datos.
|
X
|
X
|
||||||||||
R9
|
Falta
de capacidad de ancho de banda de internet para soportar efectivamente los
aplicativos en línea.
|
X
|
X
|
||||||||||
R10
|
Falta
de capacitación específica para la ejecución de actividades inherentes.
|
X
|
X
|
||||||||||
Definir la
arquitectura de la información.
|
|||||||||||||
R11
|
Debido
al largo tiempo de funcionamiento, se tiene información almacenada en
diferentes formatos y mediante variados métodos que hace muy difícil
garantizar su optimización
|
X
|
X
|
||||||||||
R12
|
No
existe un diccionario de datos implementado
|
X
|
X
|
||||||||||
R13
|
El
esquema de clasificación de datos no se encuentra completamente implementado
|
X
|
X
|
||||||||||
R14
|
No
se puede garantizar la integridad de los datos
|
X
|
X
|
||||||||||
Adquirir y Mantener
Arquitectura de TI.
|
|||||||||||||
R15
|
Obsolescencia
en la infraestructura física de las TI
|
X
|
X
|
||||||||||
R16
|
Ausencia
de servidor como repositorio de archivos.
|
X
|
X
|
||||||||||
Instalar y Acreditar
Sistemas.
|
|||||||||||||
R17
|
No se cuenta con
los ambientes adecuados para los equipos de las salas de audiencia y
videoconferencia aumentando el daño por deterioro o mal uso.
|
X
|
X
|
||||||||||
Administrar Desempeño
y Calidad.
|
|||||||||||||
R18
|
Poca agilidad en la
ejecución de los trámites de las garantías de los equipos de cómputo ante los
contratistas.
|
X
|
X
|
||||||||||
Utilizar
los sistemas de TI de manera productiva y segura.
|
|||||||||||||
R19
|
Ausencia
de equipos de contingencia.
|
X
|
X
|
||||||||||
Evaluar
lo adecuado del control Interno.
|
|||||||||||||
R20
|
Obsolescencia en el regulador de 50 KVA de
la acometida eléctrica regulada
|
X
|
X
|
||||||||||
Probabilidad
Impacto
Alta: A Catastrófico:
C
Media:
M
Moderado: M
Baja:
B Leve:
L
MATRIZ
DE RIESGOS
De
acuerdo a la valoración que se hace a los riesgos encontrados en la visita que
se realiza a la Contraloría General de la Republica , se puede clasificar los riesgos como se muestra en
la tabla 2.
Tabla
2. Clasificación de Riesgos
Definir un
Plan Estratégico De TI
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R10,
|
||
MEDIO
|
R2, R3, R6, R7, R8
|
R1
|
|
BAJO
|
R9
|
R4, R5
|
Definir la arquitectura
de la información.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R17
|
||
MEDIO
|
R13
|
R14
|
|
BAJO
|
R12
|
R11
|
Adquirir y Mantener
Arquitectura de TI.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R15
|
||
MEDIO
|
R16
|
||
BAJO
|
Instalar y Acreditar
Sistemas.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R17
|
||
MEDIO
|
|||
BAJO
|
Administrar Desempeño y
Calidad.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
|||
MEDIO
|
R18
|
||
BAJO
|
Utilizar
los sistemas de TI de manera productiva y segura.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
|||
MEDIO
|
R19
|
||
BAJO
|
Evaluar lo
adecuado del control Interno.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R20
|
||
MEDIO
|
|||
BAJO
|
Matriz de Riesgos
de todos los procesos.
LEVE
|
MODERADO
|
CATASTRÓFICO
|
|
ALTO
|
R10, R17,
|
R15, R20
|
|
MEDIO
|
R2, R3, R6, R7, R8, R13, R16, R18,
R19
|
R1, R14,
|
|
BAJO
|
R9, R12,
|
R4, R5, R11,
|
TABLA
COMPARATIVA SOFTWARE QUA APOYAN PROCESOS DE AUDITORIA
APORTE INDIVIDUAL
xxxxxxxxxxxxxxxxxxxxxxxx
ITEM
|
SOFTWARE
|
CARACTERÍSTICAS
|
VENTAJAS
|
DESVENTAJAS
|
|
1
|
backtrack 5
|
Modelo de desarrollo
|
FOSS
|
Ofrece una serie de herramientas de
seguridad y forenses en un DVD en vivo.
|
Es un ambiente Linux, por cuanto hay
que instalar máquinas virtuales.
|
Última versión estable
|
5 R3 (info)
|
Está basada en Ubuntu Lucid (10.04
LTS) con el kernel Linux 2.6.38 y algunos drivers parcheados WiFi para
permitir ataques de inyección.
|
Fallos de sistema en el s.o faltan
muchas herramientas hacking incluyendo algunas de cracking wep y wap.
|
||
13 de agosto de 2012; hace 2 años
|
Puede descargar la distribución en un
GNOME o KDE una versión para máquinas x86 de 32-bit o 64-bit.
|
||||
Núcleo
|
Linux
|
Tiene una imagen para ARM, que se
puede ejecutar en el teléfono inteligente o tableta para probar la seguridad
de una red inalámbrica.
|
|||
Tipo de núcleo
|
Monolítico
|
Es de Código abierto.
|
|||
Interfaz gráfica por defecto
|
KDE , GNOME
|
||||
Plataformas soportadas
|
x86, x86-64, ARM(GNOME)
|
||||
Sistema de gestión de paquetes
|
Synaptic
|
||||
Licencia
|
Varias
|
||||
Estado actual
|
Remplazado por Kali Linux
|
||||
Idiomas
|
Multilingüe (Instalación)
|
||||
2
|
Kali Linux
|
Modelo de desarrollo
|
Software libre
|
Permite
compilar kernels para arquitecturas RISC desde
distribuciones para amd64 e i386.
|
No tiene servicios de red, incluyendo
servicios de bases de datos, corriendo desde la instalación del sistema
|
Lanzamiento inicial
|
13 de marzo de 2013
|
Permite la personalización del
paquete source mediante Debian Tools.
|
Se deshabilitó el automontado de
medios removibles. Entonces, ni los pendrives ni las lectoras de CD van a ser
montados automáticamente.
|
||
Última versión estable
|
1.1.0 a (info)
|
Admite la recompilación del núcleo lo
que permite agregar drivers, parches o nuevas funcionalidades que no estén
incluidas en el kernel original.
|
Es un ambiente Linux, por cuanto hay
que instalar máquinas virtuales.
|
||
9 de febrero de 2015; hace 3 meses
|
Mantiene una relación estrecha con
los repositorios de Debian GNU/Linux, por lo que recibe actualizaciones
de seguridad tan frecuentemente como la distribución principal de Debian
GNU/Linux para todos los paquetes que Kali no modificó.
|
||||
Núcleo
|
, FreeBSD, Hurd
|
Es de Código abierto.
|
|||
Tipo de núcleo
|
Monolítico, Micro
|
||||
Interfaz gráfica por defecto
|
GNOME, KDE, Xfce oLXDE
|
||||
Plataformas soportadas
|
i386, AMD64, ARM,
|
||||
Sistema de gestión de paquetes
|
dpkg
|
||||
Método de actualización
|
APT (varias interfaces
disponibles)
|
||||
Licencia
|
GPL con programas y
componentes LGPL, BSD,MIT entre otros
|
||||
Estado actual
|
En desarrollo
|
||||
Idiomas
|
multilenguaje
|
||||
En español
|
|||||
3
|
Linux Matriux
|
Núcleo
|
Linux, Debian/Ubuntu
|
Reconocimiento, Cuenta con
herramientas tales como Dig, DNSWalk, Httcrack, Dmitry, Dsniff, Etherape,
TCPDump, Wiresharek, entre otras.
|
Es una herramienta recién lanzada,
por cuanto se espera que se reporte fallas.
|
Lanzamiento oficial
|
5 de diciembre de 2009
|
Escaneo, con herramientas como Angry
IP, Cryptcat, Ettercap GUI, Httprint, Nmap, Zenmap, entre otras.
|
Es un ambiente Linux, por cuanto hay
que instalar máquinas virtuales.
|
||
Método de actualización
|
Servidores de Internet
|
Herramientas de ataque, con
herramientas como BruteSSH, md5 utils, mac changer.
|
|||
Licencia
|
GNU GPL
|
Frameworks,el mismo se encuentran con
Fast-Track, Grendel-Scan, Inguma, Metasploit Framework.
|
|||
Modelo de desarrollo
|
Software libre
|
Wireless, con la suite de aircrack.
|
|||
Interfaz gráfica por defecto
|
por defecto GNOME KDE
|
Forense Digital, con herramientas tan
útiles como AIR (Automated Image and Restore), Guymager, Autopsy, Pasco,
Vinetto, WarVOX.
|
|||
Idiomas
|
Multilingüe soporte de idiomas
asiáticos
|
Listado completo de herramientas (Más
de 300).
|
|||
En español
|
Matriux también puede ser instalada
como sistema operativo base en su equipo, ya que al estar basada
en Debian/Ubuntu utiliza su magnífico sistema de actualización e
instalación de aplicaciones.
|
||||
4
|
WinAudit
|
Núcleo
|
Windows
|
Esta herramienta trabaja sobre
entornos Windows
|
Es una herramienta muy básica
|
Modelo de desarrollo
|
Software libre
|
Es gratuito.
|
|||
Idiomas
|
Multilingüe soporte de idiomas
asiáticos
|
-Soporta varios idiomas.
|
|||
En español
|
-Es fácil de utilizar, no
requiere conocimientos previos.
|
||||
-Es autónomo, no
necesita instalación.
|
|||||
-Es un software portable.
|
|||||
5
|
Nmap
|
Última versión estable
|
6.47
|
Este programa incluso en sus
versiones graficas es muy poderoso
|
Entre más complejo sea el tipo de
escaneo que se quiere realizar, el proceso de escaneo puede ser más tardado y
tardar varios minutos antes de finalizar
|
23 de agosto de 2014; hace 7 meses
|
tiene opciones para realizar escaneos
muy difícilmente detectables por las “victimas” o supervisores de red
|
Puede usarse solo o para preparar otro
ataque, con otra herramienta de intrusión
|
|||
Género
|
Seguridad informática, administración
de redes
|
Escanea cualquier rango de puertos
que desees e incluso detecta el sistema operativo de la víctima, dando lugar
a que el hacker identifique más claramente cómo puede acceder al equipo
remoto.
|
Nmap es a menudo confundido con
herramientas de investigación de vulnerabilidad como Nessus, las cuales
van más lejos en su exploración de sus objetivos.
|
||
Sistema operativo
|
Multiplataforma
|
||||
Licencia
|
Licencia pública GNU
|
||||
En español
|
MATRIZ
DE RIESGOS DETECTADOS, CAUSA Y CONTROLES PROPUESTOS.
Riesgos / Valoración
|
Probabilidad
|
Impacto
|
Causa
|
Control
|
|||||
A
|
M
|
B
|
L
|
M
|
C
|
||||
R1
|
Baja inversión en infraestructura
TI
|
X
|
X
|
Por falta de
políticas de fortalecimiento de la estructura TI se puede no invertir lo
suficiente en la misma para estar al día con las necesidades y
requerimientos.
|
Creación de planes
de inversión en TI y su posterior verificación
|
||||
R2
|
No alinear las
estrategias de TI con las de la entidad
|
X
|
X
|
Debido a falta de
capacidad de entendimiento por parte de la dirección, se puede llevar a una
desarticulación entre las TI con el objetivo de la entidad.
|
Realización de un plan
estratégico de TI en conjunto con la alta dirección.
|
||||
R3
|
No existe un
protocolo para evaluar el desempeño de los sistemas de información
|
X
|
X
|
La falta de
políticas claras puede crear una desatención a los sistemas implementados,
donde no se crean estrategias ni metodologías para evaluar su impacto en la
entidad.
|
Creación de
protocolo para la evaluación del desempeño de los sistemas
|
||||
R4
|
No existen planes
estratégicos de TI
|
X
|
X
|
Debido a la falta
de implementación de políticas, no existe un plan estratégico a largo plazo
para la implementación y el control del TI.
|
Realización de un
plan estratégico de TI en conjunto con la alta dirección.
|
||||
R5
|
No existen planes
tácticos de TI
|
X
|
X
|
Al no existir los
planes estratégicos, no existen los planes tácticos.
|
Realización de un
plan táctico de TI en conjunto con la alta dirección.
|
||||
R6
|
Los programas
implementados casi siempre son reactivos en lugar de preventivos, sin
planeación u objetivos claros.
|
X
|
X
|
Debido al cambio de
administraciones, no se genera continuidad en los programas de la entidad ni
los objetivos de los mismos.
|
Establecer un plan,
con objetivos y acciones a ejecutar de manera clara y eficiente
|
||||
R7
|
No se cumple los
protocolos de seguridad en materia de TI
|
X
|
X
|
El cableado
estructura es insuficiente para soportar todos los usuarios, motivo por el
cual se instalaron Access point WiFi, los cuales van en contra de los
protocolos de seguridad.
|
Crear políticas
claras y estrictas del manejo de TI que impliquen sanciones a los
funcionarios que no las apliquen.
|
||||
R8
|
No existen manuales
de procedimientos para evaluar el desempeño de las redes de datos.
|
X
|
X
|
Debido a que la
administración de las redes se realiza de manera remota, no es posible
realizar revisiones locales en el momento de una falla, debido a que se no
existen procedimientos definidos y autorizados por la organización.
|
Creación de
manuales de procedimientos para evaluar el desempeño de la red de datos.
|
||||
R9
|
Falta de capacidad
de ancho de banda de internet para soportar efectivamente los aplicativos en
línea.
|
X
|
X
|
No se ha cuenta con
los servicios tecnológicos externos acordes para el funcionamiento de las TI
de la organización.
|
Estudiar los
requerimientos de la red y adquirir el servicio necesario para cubrir la
demanda, además, monitorear el uso de la misma para detectar inconsistencias.
|
||||
R10
|
Falta de
capacitación específica para la ejecución de actividades inherentes.
|
X
|
X
|
La organización no
posee un plan estratégico que permita garantizar la constante y oportuna
capacitación de sus usuarios.
|
Plan de
capacitación a los funcionarios de la entidad de acuerdo a los objetivos
|
||||
Definir la arquitectura de la
información.
|
|||||||||
R11
|
Debido al largo
tiempo de funcionamiento, se tiene información almacenada en diferentes
formatos y mediante variados métodos que hace muy difícil garantizar su
optimización
|
X
|
X
|
La evolución que ha
sufrido la infraestructura TI ha causado el cambio constante en métodos y
modelos de almacenamiento, lo que causa problemas de incompatibilidad de
datos.
|
Se plantea crear
una gran base de datos con todos los datos que aún no sean obsoletos para la
empresa y almacenar esta base de datos en la nube o utilizar USB que son
formatos que duran más en el tiempo y que aunque sufren cambios no son del
todo desastrosos para la seguridad de la empresa.
|
||||
R12
|
No existe un
diccionario de datos implementado
|
X
|
X
|
Por problemas de
planeación y ejecución no se ha creado un diccionario de datos en la entidad.
|
Es muy difícil no
poseer el diccionario de datos para la empresa este descuido se debe corregir
pronto se debe crear un idioma que se maneje en la entidad que permita
organizar temas concernientes a la misma de una manera más cómoda. Poner más
atención a esta necesidad, planear esto de la mejor forma
|
||||
R13
|
El esquema de
clasificación de datos no se encuentra completamente implementado.
|
X
|
X
|
Debido a que cada
funcionario almacena información localmente, no se ha podido clasificar toda
la información generada por la entidad.
|
Esto no es
necesario cambiarlo se puede seguir trabajando así lo que sin duda si se debe
hacer es que cada información que el funcionario almacené en su equipo vaya a
una base de datos segura que al mismo instante de ingresar la información la
clasifique y ordene
|
||||
R14
|
No se puede
garantizar la integridad de los datos.
|
X
|
X
|
No se tiene
establecido roles con los suficientes controles y privilegios que permitan
garantizar la integridad de los datos.
|
Tomar posesión de
los datos y asumir la responsabilidad de garantizar su integridad: asimilando
la propiedad y responsabilidad de los datos en un mismo sujeto, para
potenciar la eficacia de su desempeño.
Controlar los derechos y privilegios de acceso: estableciendo niveles de interacción que, bien delimitados, definan roles y usuarios en su relación con los sistemas y procesos, o lo que es lo mismo, en su interacción con el dato. |
||||
Adquirir y Mantener Arquitectura de TI.
|
|||||||||
R15
|
Obsolescencia en la
infraestructura física de las TI
|
X
|
X
|
El Cableado
estructurado de la entidad se encuentra diseñado de tal manera que no se
ajusta a las necesidades de la organización.
|
Crear e invertir en
un proyecto que permita renovar y escalar la infraestructura del cableado
estructurado que esté acorde con los
requerimientos de la entidad.
|
||||
R16
|
Ausencia de
servidor como repositorio de archivos.
|
X
|
X
|
La organización no
cuenta en una de sus sedes con un repositorio de archivos que permita la
correcta interacción e implementación de las TI
|
Invertir en un
servidor que actué repositorio de archivos con el ánimo de controlar los
datos almacenados e implementar procesos de contingencia tales como copias de
seguridad.
|
||||
Instalar y Acreditar Sistemas.
|
|||||||||
R17
|
No se cuenta con los ambientes adecuados para los equipos de las salas
de audiencia y videoconferencia aumentando el daño por deterioro o mal uso.
|
X
|
X
|
La organización no
cuenta con los espacios físicos suficientes para la correcta implementación
de las TI.
|
Adquirir una nueva
sede que cuente con los ambientes adecuados para el desarrollo de todas las
funciones y actividades de la entidad.
|
||||
Administrar Desempeño y Calidad.
|
|||||||||
R18
|
Poca agilidad en la ejecución de los trámites de las garantías de los
equipos de cómputo ante los contratistas.
|
X
|
X
|
La organización no
cumple con los términos establecidos para el trámite de las garantías,
deteriorando el soporte técnico que reciben los usuarios en materia de TI.
|
Controlar y
supervisar la correcta ejecución de las reclamaciones por garantía dentro de
los términos establecidos y hacer cumplir los contratistas las cláusulas
contractuales en las que se establecen los términos para el trámite de las
mismas.
|
||||
Utilizar
los sistemas de TI de manera productiva y segura.
|
|||||||||
R19
|
Ausencia de equipos de contingencia.
|
X
|
X
|
La organización no
cuenta con equipos de contingencia para garantizar la continuidad del
funcionamiento de las TI
|
Adquirí equipos de
cómputo con el ánimo de fortalecer el parque computacional de la entidad y
así poder contar con equipos de contingencia para garantizar la continuidad
del funcionamiento de las TI
|
||||
Evaluar lo adecuado del control
Interno.
|
|||||||||
R20
|
Obsolescencia en el regulador de 50 KVA de la acometida eléctrica
regulada
|
X
|
X
|
No existen
procedimientos para la evaluación del desempeño de las TI, generando dificultades para la
adquisición y reemplazo de las mismas.
|
Realizar un
concepto técnico que permita establecer si es viable la reparación o
reemplazo del regulador de 50 KVA de la cometida eléctrica regulada.
|
CONCLUSIONES
·
La auditoría es una
herramienta que nos permite revisar y evaluar uno o varios procesos con el
ánimo de corregir un error y proponer soluciones para mitigar sus causas.
·
Existen diversos aplicativos
que permiten brindar apoyo a las auditorias de sistemas, realizando inventarios
de equipos, seguridad en redes, auditoría a bases de datos, criptografía,
cifrado de código, software sniffer, y otras funciones más.
·
Gracias a la matriz de
riesgos se puede clasificar los riesgos gracias a su probabilidad e impacto.
BIBLIOGRAFÍA
·
Thorin,
Marc; La Auditoría Informática: métodos, reglas, normas, Ed.
Masson, S.A., 1989
·
Modulo
unidad 2, Auditoria de sistemas, universidad nacional
abierta y a distancia. http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676