Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 250 vistas

    TFA Auditoría de Los Sistemas de Información Armando Yepez

    Cargado por

    JAIME PERDOMO
    Este documento presenta un resumen del proyecto de auditoría de sistemas de información realizado para la empresa Anavias S.A. El proyecto aplicó las cuatro fases de auditoría: recolección de información, planeación, ejecución y elaboración de informe final. En la fase de ejecución se identificaron vulnerabilidades a través de pruebas de penetración para determinar los riesgos. Finalmente, el informe presentó los hallazgos, niveles de madurez y recomendaciones para establecer controles que garanticen la seg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    TFA Auditoría de Los Sistemas de Información Armando Yepez

    Cargado por

    JAIME PERDOMO
    250 vistas9 páginas
    Este documento presenta un resumen del proyecto de auditoría de sistemas de información realizado para la empresa Anavias S.A. El proyecto aplicó las cuatro fases de auditoría: recolección de información, planeación, ejecución y elaboración de informe final. En la fase de ejecución se identificaron vulnerabilidades a través de pruebas de penetración para determinar los riesgos. Finalmente, el informe presentó los hallazgos, niveles de madurez y recomendaciones para establecer controles que garanticen la seg

    Título original

    TFA Auditoría de los Sistemas de Información Armando Yepez

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta un resumen del proyecto de auditoría de sistemas de información realizado para la empresa Anavias S.A. El proyecto aplicó las cuatro fases de auditoría: recolección de información, planeación, ejecución y elaboración de informe final. En la fase de ejecución se identificaron vulnerabilidades a través de pruebas de penetración para determinar los riesgos. Finalmente, el informe presentó los hallazgos, niveles de madurez y recomendaciones para establecer controles que garanticen la seg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    250 vistas9 páginas

    TFA Auditoría de Los Sistemas de Información Armando Yepez

    Cargado por

    JAIME PERDOMO
    Este documento presenta un resumen del proyecto de auditoría de sistemas de información realizado para la empresa Anavias S.A. El proyecto aplicó las cuatro fases de auditoría: recolección de información, planeación, ejecución y elaboración de informe final. En la fase de ejecución se identificaron vulnerabilidades a través de pruebas de penetración para determinar los riesgos. Finalmente, el informe presentó los hallazgos, niveles de madurez y recomendaciones para establecer controles que garanticen la seg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 9

    NEUMANN BUSINESS SCHOOL

    ESCUELA DE POSTGRADO

    MAESTRÍA EN
    TECNOLOGÍAS DE LA INFORMACIÓN

    TRABAJO FINAL DE ASIGNATURA – TFA


    AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

    AUTORES:
    ING. JESUA ARMANDO YEPEZ JIMENEZ
    ING. ANTHONY

    DOCENTE GUÍA:
    MBA. YVAN DÍAZ ZELADA

    TACNA – PERÚ 2019


    Contenido
    1.- RESUMEN EJECUTIVO...............................................................................................................................3
    2.- PRESENTACIÓN DE LA EMPRESA..............................................................................................................3
    3.- DESARROLLO DEL TEMA...........................................................................................................................4
    A.- OBJETIVO:.................................................................................................................................................4
    B.- DEFINICIÓN DEL ALCANCE: ......................................................................................................................4
    C.- RECURSOS NECESARIOS:..........................................................................................................................4
    D.- PLAN DE ACCIÓN:.....................................................................................................................................4
    CLASIFICACION DE RIESGOS..........................................................................................................................6
    MATRIZ DE EVALUACIÓN RIESGOS................................................................................................................7
    FORMATO PARA EL CONTROL DE AUDITORIA..............................................................................................7
    INFORME FINAL.............................................................................................................................................8
    BIBLIOGRAFIA................................................................................................................................................9
    1.- RESUMEN EJECUTIVO
    El presente proyecto aplicado, tiene como finalidad realizar una auditoría de seguridad a la red
    de datos de la empresa Anavias S.A. en la ciudad de San Juan de Pasto el cual tiene por objetivo
    formular controles y procedimientos con el fin de establecer un sistema de gestión adecuado,
    identificando vulnerabilidades y amenazas por medio de pruebas de penetración y los procesos
    de auditoria de sistemas.
    Para el desarrollo de la auditoria se aplicarán las cuatro fases:
    La primera consiste en la recolección de la información pertinente a la red de datos, por medio
    de visitas técnicas guiadas y verificando la documentación existente a los procesos de servicio de
    red.
    En la segunda fase de planeación, donde se seleccionarán los respectivos instrumentos de
    auditoria para la recolección de información y las pruebas de penetración a ejecutar en la red de
    datos de la empresa Anavias S.A., como también la normatividad a aplicar en la presente
    auditoria.
    En la tercera fase de ejecución, se aplicarán los instrumentos seleccionados y las pruebas de
    penetración, con el fin de detectar vulnerabilidades existentes en la red de datos de la empresa
    Anavias S.A. Con estos hallazgos, se realizará el análisis de riesgos para determinar la
    probabilidad y el impacto que tienen estos riesgos sobre la red de datos de la empresa.
    En la cuarta y última fase, se organizarán los resultados de la anterior fase y se determinara los
    niveles de madurez, respecto a la normatividad seleccionada y se realizara una declaración de
    aplicabilidad, que contenga los controles y procedimientos con el fin de establecer un sistema de
    gestión adecuado.
    Por último, se entregará el informe final de auditoria en la gerencia de la empresa Anavias S.A.
    para realizar las respectivas acciones preventivas, detecticvas y correctivas.

    2.- PRESENTACIÓN DE LA EMPRESA


    Actualmente la empresa Anavias S.A., maneja una infraestructura de información en crecimiento,
    de la cual dependen muchos de los procesos y del buen funcionamiento de la información de la
    organización que se encuentran en sus sistemas de información y el intercambio de esta a través
    de internet, por esta razón es importante desarrollar una auditoría a la seguridad de la red de
    datos para garantizar un sistema seguro y de calidad en los activos de información que se
    manejan.
    Teniendo en cuenta lo anterior es importante realizar este proyecto, colocando a la empresa
    Anavias S.A. como el principal beneficiario, ya que la realización de una auditoria de seguridad
    informática la ayudara a establecer políticas sobre la seguridad de la información tanto interna
    como externamente, implementando un sistema de gestión de seguridad sobre los activos de
    información manejados y que son responsabilidad de la organización, además beneficiara a sus
    clientes y proveedores dándoles mayor seguridad y confianza en la empresa.

    3.- DESARROLLO DEL TEMA

    A.- OBJETIVO:
    Realizar la Auditoría Informática a la PACIFIC COMPUTER S.A., para medir el grado de
    cumplimiento de las Normas de Control Interno sobre Tecnologías de la Información.

    B.- DEFINICIÓN DEL ALCANCE:


    El alcance de la auditoría define con precisión el entorno y los límites en que
    va a desarrollarse la auditoría informática y se complementa con los objetivos
    de ésta. El alcance se concretará expresamente en el informe final, de modo
    que quede perfectamente determinado no solamente hasta que puntos se ha
    llegado, sino cuales materias fronterizas han sido omitidas

    C.- RECURSOS NECESARIOS:


    La unidad de tecnología de la información elaborará e implementará un plan informático
    estratégico para administrar y dirigir todos los recursos tecnológicos, el mismo que estará
    alineado con el plan estratégico institucional y este con el Plan Nacional de Desarrollo y las
    políticas públicas de gobierno

    D.- PLAN DE ACCIÓN:


    Existen varias posibilidades para enfrentar la auditoría según lo establecido por COBIT, y pueden
    ser:

    Controles de riesgo

    Pasos y Tareas
    Puntos de Decisión. El esquema planteado para el presente trabajo corresponde a examinar los
    Pasos y Tareas, debido a que se revisaron los controles seleccionados para cada dominio y se
    evaluaron las actividades realizadas el sistema de información. Otra decisión a tomada en este

    Todo proceso posee una metodología para ser realizado, es así que el método de trabajo del
    auditor pasa por las siguientes etapas:

    Planificación de la Auditoría Informática. La etapa de planificación es una de las más importantes


    dentro del proceso de auditoría debido a que se define las actividades que se van a desarrollar en
    el transcurso de la misma, así como las técnicas, procedimientos y programas necesarios para
    llevar acabo la fase de ejecución y de esta forma poder obtener información que respalde el
    dictamen de auditoría.

    momento fue definir si la auditoría sería llevada a cabo con una metodología Cuantitativa o
    Cualitativa (Subjetiva). En este caso se utilizó un método mayor mente cualitativo, aunque en
    ciertos casos se utilizó análisis cuantitativo, ya que el enfoque con el que se trabaja está basado
    en la experiencia, concentrándose en factores intangibles.

    Ejecución de la Auditoría Informática. Concretamente, tenemos lo siguiente: Realizar las acciones


    programadas para la auditoría. Aplicar los instrumentos y herramientas para la auditoría.
    Identificar y elaborar los hallazgos de auditoría. Elaborar el dictamen de auditoría y presentarlo a
    discusión.

    Dictamen de la Auditoría Informática Preparación y redacción del informe final Redacción de la


    carta de introducción o carta de presentación del informe final y seguimiento de las medidas
    correctivas.
    ESQUEMA DEL PLAN DE ACCION

    CLASIFICACION DE RIESGOS
    La unidad de tecnología de información planificará el incremento de capacidades, evaluará los riesgos
    tecnológicos, los costos y la vida útil de la inversión para futuras actualizaciones, considerando los
    requerimientos de carga de trabajo, de almacenamiento, contingencias y ciclos de vida de los recursos
    tecnológicos. Un análisis de costo beneficio para el uso compartido de Data Center con otras entidades
    del sector público, podrá ser considerado para optimizar los recursos invertidos.
    MATRIZ DE EVALUACIÓN RIESGOS

    FORMATO PARA EL CONTROL DE AUDITORIA


    El formato de lista de chequeo para verificar los controles de los dominios a
    auditar, contienen los siguientes ítems:

     Encabezado del formato: este contiene el logo de la empresa a


    auditar, el nombre del proceso de la auditoria, el logo de la entidad
    universitaria y la versión del formato.
     Responsable: autor o grupo auditor encargado de llevar 8la
    auditoria.

     Fecha: registro del día, mes y año en que se diligencio el


    formato.

     Tipo de registro: hace referencia al tipo de instrumento que se


    aplica. Contiene el dominio y los subdominios a evaluar.

     Objetivo: contiene los controles de los subdominios a verificar,


    tomados directamente de la normatividad.

     Pregunta: espacio donde se incluye las preguntas sobre los


    controles a verificar en la auditoria.

    Si, No, N/A: respuestas posibles a cada una de las preguntas

    INFORME FINAL
    SEGURIDAD LÓGICA Falta de actualización periódica de las claves de acceso de los usuarios.
    CONCLUSIÓN: Dentro de la Empresa Pública–Empresa Municipal de Agua Potable y
    Alcantarillado de Riobamba no se cuenta con políticas establecidas para cabios periódicos
    de las claves de acceso al sistema informático. RECOMENDACIÓN DIRIGIDA AL GERENTE,
    JEFE DE INFORMÁTICA Y TÉCNICOS INFORMÁTICOS.1. Definir políticas para establecer
    contraseñas fuertes y hacer renovación de claves de acceso a los sistemas de manera
    periódica. Establecer un sistema de caducidad de claves de acceso en el sistema informático
    que indique notificaciones de que se debe realizar dicho cambio cuando cumpla con el
    período de tiempo establecido. Implementar controles a través del sistema informático por
    parte de los técnicos para realizar la verificación de claves de acceso y determinar si estas
    cumplen con las condiciones estipuladas en el tiempo previsto. Falta de políticas para el
    desecho y eliminación de información cuando ya no se considere necesario su uso.
    CONCLUSIÓN: La unidad de informática no ha definido, documentado y socializado las
    políticas estándares en la eliminación de un archivo. RECOMENDACIÓN DIRIGIDA AL
    GERENTE, JEFE DE INFORMÁTICA Y TÉCNICOS INFORMÁTICOS.2. Definir las políticas de
    acceso a los archivos confidenciales y eliminación de los mismos cuando estos ya no sean
    necesarios su uso. Definir mecanismos de control para asegurar el buen proceso de
    eliminación de un archivo que no pueda afectar ni alterar la información confidencial de9 la
    empresa.

    ANEXOS
    ESTANDARIZACIÓN DE SOFTWARE O PRODUCTOS DE APLICACIÓN Art. 3.-Los productos
    informáticos existentes en el Mercado, que se han seleccionado y que constituyen el
    estándar institucional son:

    BIBLIOGRAFIA
    Echenique G., J. A. (2008). Auditoría en informática. En J. A. García, Auditoría en Informática (págs.
    26-27). México: Mc GRAW-HILL/INTERAMERICANA EDITORES, S.A. de C.V.

    Mario Piattini Velthuis, Emilio del Peso Navarro, & Mar del Peso Ruiz. (2008). Auditoría de
    Tecnologías y Sistemas de Información.México D.F.: C. 2008 Alfaomega Grupo Editor, S.A. de C.V.

    Muñoz Razo, C. (2002. P.). Auditoría en Sistemas Computacionales. Juárez -México: D.R. C. 2002 por
    Pearson Educación México, S.A. de C.V.

    También podría gustarte