Auditorias-90168 TC3 68

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNADEscuela de Ciencias Básicas, Tecnología e Ingeniería - Auditoria de sistemas

TRABAJO COLABORATIVO 3

Auditoria de sistemas Universidad Nacional

Curso: AUDITORIA DE SISTEMAS_90168

Escuela de Ciencias Básicas, Tecnológicas e Ingenierías

Por:

HEYLER RIVAS MALDONADO

Código: 71334655

Grupo: 90168_68

Presentado a:

FRANCISCO NICOLAS SOLARTE, Director – Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA _UNAD

Ingeniería de Sistemas, Noviembre de 2015


INTRODUCCIÓN

El presente documento contiene el desarrollo del colaborativo 3 del curso Auditoria de Sistemas

de acuerdo a la lectura de la unidad correspondiente y conceptualización de los temas

propuestos. La selección de riesgos o fallas de acuerdo a los proceso de COBIT del colaborativo

1, permite en el presente trabajo, la identificación de causas que originan los riesgos, su

evaluación y la tipificación de controles para cada uno de ellos en el sistema de información

Helpdesk de la Universidad Nacional - Sede Medellín

La elección del Software de auditoria es importante y se determina después de analizar y probar

varias herramientas, teniendo en cuenta que hay para todo tipo de gestión administrativa que

permite elegir la que más se ajuste a la necesidad de la empresa a auditar.

OBJETIVOS

Retomar el listado de riesgos presentados en el Helpdesk de la Universidad de Medellín

Evaluar cada uno de los riesgos de acuerdo a los procesos del COBIT, identificados en

el Helpdesk de la Universidad de Medellín

Identificar los controles efectivos a aplicar en cada una de las causas que los originen

Definir y tipificar los controles a aplicar el proceso de auditoria

Seleccionar la herramienta de software a utilizar en el proceso de auditoria según la

necesidad

Consolidar los aportes en un documento grupal como evidencia del trabajo en grupo


1. Lista de riesgos detectados: .

PROCESOS SELECCIONADOS EN EL

PROGRAMA DE AUDITORIA

RIESGOS ASOCIADOS A CADA UNO DE LOS PROCESOS CAUSAS QUE ORIGINAN ESOS RIESGOS

Adquirir e implementar :

BAI4 Administrar la disponibilidad y capacidad

Evaluar el desempeño y capacidad de la aplicación HelpDesk, confirmar la gestión de las solicitudes por parte de las analistas y los técnicos del área de soporte

Caída del sistema de red repetidamente El firmware del Router está desactualizado El Router puede estar infectado con software

malicioso Desajustes en el canal inalámbrico del Reuter

Interferencia en la comunicación

Ruido por remodelación en la infraestructura que interfiere en el sistema inalámbrico

Transmisión cercana de sistemas no inalámbricos

Ubicación inapropiada de computadoras o dispositivos digitales

Eventos eléctricos de gran energía que requieren de reguladores de sobretensión de calidad

Ruido de las maquinas utilizadas en la remodelación de la infraestructura

Adquirir e implementar :

BAI1 Gestión Programas y Proyectos

Implementar la modernización de la aplicación que permita una mayor gestión de registro

Incompatibilidad con algunos navegadores

No actualización de herramientas de navegación

No instalación de Internet Explorer en última versión que provee soporte de VBScript utilizado en el Web HelpDesk.

Adquirir e implementar:

BAI6 Gestionar los cambios

Ausencia de políticas se seguridad con respecto ataques o amenazas de intrusos

Los usuarios no exigen la capacitación continua que permita prevenir errores de operación con resultados de ataques o amenazas


Desarrollar el cronograma de las diferentes actividades que se realizaran acabo por el ingeniero encargado de la aplicación, para disminuir el impacto en la operación de los técnicos encargados de gestionar los informes de los servicios realizados, al final se evaluara el proceso realizado la implementación de la nueva versión de la aplicación

No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas

No hay contrato para personal especializado en temas de seguridad de los sistemas de información

No hay asignación de recursos para auditorias en temas específicos de seguridad y sistemas de detección

La creencia de que los técnicos y el personal de HelpDesk pueden tener total control sobre el tema

Perdida de información importante por ausencia de backup

El personal de mesa de ayuda no dispone de tiempo suficiente para el desarrollo de esta tarea de manera apropiada, debido a que solo alcanza para cubrir las actividades habituales

La no capacitación a los clientes finales para hacer copias de archivos importantes en el servidor de backup

Daños por amenazas del entorno porque no hay las suficientes precauciones para evitarlo

No hay control de acceso apropiado a las puertas del cuarto de comunicaciones

Hay exceso de permisos en la autorización de accesos

No hay plan de contingencia en caso de que se presente un accidente que atente contra los sistemas de información durante los procesos de remodelación a infraestructura

Los cables están en lugares inapropiados por el proceso de remodelación y pueden producir corto circuito

No hay alarma de detección de humo

Insuficiencia en el servicio de soporte No hay personal suficiente para dar asistencia


técnico

técnica a los servicios solicitados Los técnicos o personal no tiene

actualizaciones en sus habilidades de acuerdo al perfil requerido

No hay la comunicación apropiada entre los integrantes del grupo Helpdesk que permita apoyo mutuo

Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio con excelente calidad

Necesidad de manual actualizado para la administración del aplicativo

No se ha prestado la suficiente atención a este proceso de organización como recurso importante en el buen funcionamiento del sistema

Aunque se ha programado el tiempo y espacio para desarrollar la propuesta, se aplaza por eventos más urgentes, sin que se haya programado un diagrama de actividades para la actualización del manual

Inexistencia de hoja de vida actualizada de los equipos y software que hace parte del inventario

No se ha coordinado la creación de las hojas de vida de equipo Software y Hardware existente con el personal de Almacén e inventario

Es necesario actualizar el inventario antes de realizar esta actividad

Entrega y soporte:

Dss3 Gestionar configuración Solicitar e implementar la infraestructura tecnológica necesaria para realizar la adecuación del servidor donde

Fallos en el servidor No se ha realizado mantenimiento No tiene la capacidad que requiere el servicio

en relación al Hardware, Software y equipos Aplazamiento de actualizaciones que mejoren

la capacidad, tales como: disco, memoria, cables y conectores, placa, fuente


se realizara la configuración e instalación


2. Valoración de riesgos encontrados en el sistema Helpdesk que se implementa

actualmente en la Universidad Nacional con sede en Medellín, con el propósito de dar solución a

los requerimientos técnicos que presenta la comunidad educativa.

Riesgos / ValoraciónProbabilidad ImpactoA M B L M C

Caída del sistema de red R1 No está actualizado el firmware del Router X X

R2 El Router está infectado con software malicioso X X

R3 El canal inalámbrico del Router se encuentra desajustado X X



R4Hay ruido en la infraestructura general que interfiere en el sistema inalámbrico X X

R5 Hay transmisión cercana de sistemas no inalámbricos X X

R6La ubicación de computadoras o dispositivos digitales es inapropiada X X

R7Hay eventos eléctricos de gran energía que requieren de reguladores de sobretensión X X

R8Hay ruido de las maquinas usadas en proyectos de infraestructura X X


Incompatibilidad con navegadoresR9 Hay desactualización en las herramientas de navegación X X

R10 No hay soporte de VBScript utilizado en el Web HelpDesk X X


Políticas se seguridad : ataques o amenazas de intrusos

R11No hay capacitación continua a los usuarios para prevenir errores de operación con resultados de ataques o amenazas X X

R12No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas X X

R13No hay contrato para personal especializado en temas de seguridad de los sistemas de información X X


R14No hay asignación de recursos para auditorias en temas específicos de seguridad y sistemas de detección X X

R15Los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad de los sistemas X X


Conservación de la información: Ausencia de backups

R16El personal de mesa de ayuda no dispone de tiempo suficiente para hacer bakcup de manera apropiada X X

R17No hay capacitación a los usuarios finales para hacer copias de archivos importantes en el servidor de bakcup X X


Amenazas del entorno : Daños al cuarto de comunicaciones R18 No hay control de acceso apropiado a las puertas X X

R19 Hay exceso de permisos en la autorización de accesos X X

R20No hay plan de contingencia en caso de que se presente un accidente X X

R21No hay ubicación adecuada de los cables que pueden producir corto circuito X x

R22 No hay alarma de detección de humo X x


Soporte técnico : Insuficiencia en el servicioR23 No hay personal suficiente para dar asistencia técnica x x

R24No hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo x x

R25No hay capacidad ni rendimiento en los recursos de Hardware y Software X x


Manual actualizado para la administración del aplicativo

R26No hay manual de usuario ni atención por parte de la empresa a este proceso X x

R27No hay disponibilidad de tiempo para la actualización del manual de usuario X x


Riesgos / ValoraciónProbabilidad Impacto

A M B L M CHoja de vida actualizada de los equipos y software que hace parte del inventario

R28No están creadas las hojas de vida de equipo Software y Hardware existente X x

R29 No hay actualización reciente del inventario X x


Fallos en el servidorR30 No se ha realizado mantenimiento x X

R31No tiene capacidad suficiente en relación a hardware, software y equipos x X

R32No hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente x x

Probabilidad Impacto

Alta: A Catastrófico: C

Media: M Moderado: M

Baja: B Leve: L

Clasificación de riesgos: Los riesgos encontrados en el Helpdesk de la universidad Nacional se

pueden clasificar así:

LEVE MODERADO CATASTRÓFICO

ALTO R17 R3, R8, R11, R15, R16, R23, R30, R31

R20, R32

MEDIO R18, R26

R1, R9, R12, R13, R14, R19, R25, R27, R28, R29 R7, R21, R22

BAJO R5, R10, R24 R4, R6 R2


4. Matriz de riesgos, causas y controles – Help desk, Universidad Nacional, sede Medellín

Riesgos Causas Controles

Caída del sistema de red

R1 No está actualizado el firmware del routerLa actualización se hace pero no cada vez que hay una nueva versión en la página principal del router

Verificar en la página principal del proveedor una vez durante la semana de manera cumplida

R2El Router está infectado con software malicioso

El computador desde donde se conecta el router para ser configurado, ha sido atacado por virus

Mantener actualizado el antivirus y correrlo 3 vece durante la semana

R3El canal inalámbrico del Reuter se encuentra desajustado

El router ha sido configurado de manera inadecuada

Revisar la configuración cada vez que el router sea cambiado de lugar o de ubicación


R4Hay ruido en la infraestructura general que interfiere en el sistema inalámbrico

El tipo de clave utilizado para la conexión entre router y el cuarto de telecomunicaciones, no proporciona la capacidad necesaria

Revisar y reestructurar el cableado

R5Hay transmisión cercana de sistemas no inalámbricos

No se han identificado las causas de la interferencia en la comunicación que pueden ser internas o externas al edificio

Realizar seguimiento a los canales de sistemas inalámbricos cuando están en funcionamiento y cuando no están en uso para confirmar su configuración o reubicación

R6La ubicación de computadoras o dispositivos digitales es inapropiada

La distribución y la conectividad física de la red, no se realizó de acuerdo a la disposición de espacios e infraestructura

Readecuar las instalaciones y distribución de la conectividad en cada uno de los espacios donde se encuentran los diferentes equipos, para facilitar su expansión

R7 Hay eventos eléctricos de gran energía que requieren de reguladores de sobretensión

Dentro del núcleo de la universidad funciona la facultad de minas y la escuela de mecatrónica donde hay operación y funcionamiento de máquinas con altos voltajes

Instalación permanente de reguladores de sobretensión para protección de los equipos de sistemas


R8Hay ruido de las maquinas usadas en proyectos de infraestructura

Operación de maquinaria de construcción en la remodelación del DateCenter

Planificar e informar a los usuarios de los horarios de operación de las máquinas, dando a conocer el motivo por el cual se presenta interferencia en la comunicación e informando que es un inconveniente temporal y que se deben aprovechar los tiempos en que se dispone de señal óptima.

Incompatibilidad con navegadores

R9Hay desactualización en las herramientas de navegación

Al realizar el mantenimiento de los equipos que requieren formateo, no se actualizan las herramientas de Windows

Planificar las actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para realizar la actualización oportuna

R10No hay soporte de VBScript utilizado en el Web HelpDesk

No se ha instalado la herramienta Internet Explorer en algunos equipos

Revisar e instalar Internet Explorer última versión, en cada uno de los equipos que no lo tienen

Políticas se seguridad : ataques o amenazas de intrusos

R11No hay capacitación continua a los usuarios para prevenir errores de operación con resultados de ataques o amenazas

Los usuarios no exigen la capacitación en seguridad informática o prevención de riesgos y amenazas de intrusos

Programar espacios y disponer de recurso humano para la capacitación de los usuarios

R12No hay planes de implementación de técnicas en el diseño, configuración y operación de los sistemas

La empresa tiene pendiente la implementación de políticas necesarias para el correcto funcionamiento de los sistemas de información y entre estas las relacionadas con el servicio de mesa de ayuda.

Realizar plan de implementación de técnicas en el diseño, configuración y operación de los sistemas de información

R13No hay contrato para personal especializado en temas de seguridad de los sistemas de información

No hay un cargo asignado dentro del rubro presupuestal para temas de seguridad informática

Reorganización de las actividades realizadas por el personal que trabaja en el Helpdesk para que los temas de seguridad informática sean asignados a una persona, mientras es posible que se considere dentro del presupuesto

R14 No hay asignación de recursos para auditorias No hay un cargo asignado dentro del rubro Solicitar a la empresa, la asignación de


en temas específicos de seguridad y sistemas de detección

presupuestal para temas de seguridad informática

recursos para auditorias en temas relacionados con la seguridad de los sistemas de información

R15Los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad de los sistemas

Porque las actividades que requiere la mesa de ayuda son múltiples y en algunos casos requieren de coordinación por parte de una persona a cargo

Asignar a una persona dentro del equipo Helpdesk, para que se encargue de la coordinación de actividades relacionadas con la seguridad informática con el personal interno o con especialistas externos

Conservación de la información: Ausencia de backups

R16El personal de mesa de ayuda no dispone de tiempo suficiente para hacer bakcup de manera apropiada

El personal de mesa de ayuda solo dispone de tiempo suficiente para cubrir las actividades habituales

Asignar a alguien del equipo Help desk, a quien se de espacios para la conservación de la información mediante copias de seguridad. Esta actividad puede ser rotada entre los integrantes del equipo

R17No hay capacitación a los usuarios finales para hacer copias de archivos importantes en el servidor de bakcup

Los técnicos o personal encargado de la mesa de ayuda, no prestan atención específica a la necesidad de capacitar a los usuarios en estos temas

Exigir a los técnicos, capacitar a los usuarios finales en la necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada con el tema, dentro del proceso de atención al usuario

Amenazas del entorno : Daños al cuarto de comunicaciones

R18No hay control de acceso apropiado a las puertas

Por la remodelación del DataCenter y otros espacios que hacen parte de la infraestructura, la persona encargada de este espacio, no alcanza a verificar la entrada a la zona

Aumentar las restricciones de acceso, durante el tiempo de remodelación del DataCenter en la zona

R19Hay exceso de permisos en la autorización de accesos

No hay control adecuado de personal no autorizado a la zona de mesa de ayuda

Implementar un espacio de atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las solicitudes o dar información

R20 No hay plan de contingencia en caso de que se presente un accidente

No se ha realizado análisis de riesgos que requieran la implementación de un plan

Crear un plan de contingencia informática que contenga medidas


técnicas, humanas y organizativas para que en la empresa garantice la continuidad de la operación habitual de la plataforma y el e HelpDesk

R21No hay ubicación adecuada de los cables que pueden producir corto circuito

La remodelación del DataCenter y algunos otros espacios que afectan su funcionamiento normal

Coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de seguridad

R22 No hay alarma de detección de humoNo se ha realizado auditoria física, donde se identifique la necesidad de implementar la alarma

Solicitar la implementación de una alarma de detección de humo en el cuarto de telecomunicaciones

Soporte técnico : Insuficiencia en el servicio

R23No hay personal suficiente para dar asistencia técnica

Hay demasiadas solicitudes por parte de los usuarios finales

Hacer informe de la prestación del servicio en HelpDesk y solicitar a recursos humanos considerar la posibilidad de contratar personal de asistencia técnica

R24No hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo

Por las múltiples actividades que absorben al personal encargado del HelpDesk y sobrecarga de responsabilidades que genera tensión y estrés

Manejo de la situación por salud ocupacional y programar reuniones constantes para evaluar el trabajo y los resultados obtenidos en la prestación del servicio de mesa de ayuda

R25No hay capacidad ni rendimiento en los recursos de Hardware y Software

Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio de calidad

Realizar inventario y evaluación de los recursos de Hardware, Software y equipos para considerar la posibilidad de reparación, actualización o reemplazo

Manual actualizado para la administración del aplicativo

R26No hay manual de usuario ni atención por parte de la empresa a este proceso

No hay políticas de implementación del manual de usuario

Crear y diseñar el manual de usuario

R27No hay disponibilidad de tiempo para la actualización del manual de usuario

No hay políticas de implementación del manual de usuario

Retomar la versión que exista aunque sea antigua y aplicar las respectivas actualizaciones

Hoja de vida actualizada de los equipos y software que hace parte del inventarioR28 No están creadas las hojas de vida de equipo No hay políticas de implementación de hojas Crear y diseñar las hojas de vida de


Software y Hardware existente de vida equipo Software y Hardware existente

R29 No hay actualización reciente del inventario El área de sistemas, no ha solicitado recientemente informe de administración de inventario

Realizar informe de administración de inventario de los recursos existentes en el HelpDesk

Fallos en el servidor

R30 No se ha realizado mantenimiento

Teniendo en cuenta que existe la posibilidad de que sea reemplazado, los técnicos no han dispuesto tiempo para realizar el mantenimiento habitual

Aplicar el mantenimiento habitual, mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de servicios prestados que requieren corregir otros riesgos como el R23

R31No tiene capacidad suficiente en relación a hardware, software y equipos

Los recursos de Hardware, Software y equipos no tienen la capacidad ni rendimiento para prestar un servicio de calidad

Reemplazar el servidor y hacer mantenimiento al existente para tenerlo a disposición en caso de que sea necesario

R32No hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente

Porque se estuvo buscando la posibilidad de reemplazar el servidor completo

Reemplazar el servidor y comprar lo necesario

Cada uno de los riesgos está identificado en la matriz de riesgos, causas y control con un color que se relaciona con la matriz de evaluación de

riesgos:

LEVE MODERADO CATASTRÓFICO

ALTO R17 R3, R8, R11, R15, R16, R23, R30, R31 R20, R32

MEDIO R18, R26

R1, R9, R12, R13, R14, R19, R25, R27, R28, R29 R7, R21, R22

BAJO R5, R10, R24 R4, R6 R2


3. Hay controles efectivos de tipo:

Preventivo: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,

permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones, Sistemas de claves de

acceso

R1: Actualizar el firmware del router en la página principal del proveedor una vez durante la

semana de manera cumplida

R2: Para evitar software malicioso en el router se debe, mantener actualizado el antivirus y

correrlo 3 vece durante la semana

R6: si la ubicación de computadoras o dispositivos digitales es inapropiada, se debe readecuar

las instalaciones y distribución de la conectividad en cada uno de los espacios donde se

encuentran los diferentes equipos, para facilitar su expansión

R7: Si hay eventos eléctricos de gran energía que requieren reguladores de sobretensión se deben

instalar permanentes para protección de los equipos de sistemas

R10: Si no hay soporte de VBScript utilizado en el Web HelpDesk, se debe revisar e instalar

Internet Explorer última versión, en cada uno de los equipos que no lo tienen

R13: Si no hay contrato para personal especializado en temas de seguridad de los sistemas de

información se deben reorganizar las actividades realizadas por el personal que trabaja en el

HelpDesk para que los temas de seguridad informática sean asignados a una persona, mientras es

posible que se considere dentro del presupuesto.

R14: Si no hay asignación de recursos para auditorias en temas específicos de seguridad y

sistemas de detección se debe solicitar a la empresa, la asignación de recursos para auditorias en

temas relacionados con la seguridad de los sistemas de información

http://www.monografias.com/trabajos13/ripa/ripa.shtml


R16: Si el personal de mesa de ayuda no dispone de tiempo suficiente para hacer backup de

manera apropiada se debe asignar a alguien del equipo HelpDesk, a quien se de espacios para la

conservación de la información mediante copias de seguridad. Esta actividad puede ser rotada

entre los integrantes del equipo

R19: Si hay exceso de permisos en la autorización de accesos se debe implementar un espacio de

atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las

solicitudes o dar información

R21: Si no hay ubicación adecuada de los cables que pueden producir corto circuito se debe

coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de

seguridad

R22: Si no hay alarma de detección de humo se debe solicitar la implementación de una en el

cuarto de telecomunicaciones

R29: Si no hay actualización reciente del inventario se debe realizar informe de administración

de inventario de los recursos existentes en el Helpdesk

Detectivo: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta

luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para

evaluar la eficiencia de los controles preventivos.

Ejemplos: Archivos y procesos que sirvan como pistas de auditoría, Procedimientos de

validación

R3: Si el canal del router se encuentra desajustado, se debe Revisar la configuración cada vez

que el router sea cambiado de lugar o de ubicación

http://www.monografias.com/trabajos7/arch/arch.shtml


R4: Para corregir la interferencia que hay en el sistema inalámbrico se debe revisar y

reestructurar el cableado

R8: Si hay ruido de las maquinas usadas en proyectos de infraestructura se debe planificar e

informar a los usuarios de los horarios de operación de las máquinas, dando a conocer el motivo

por el cual se presenta interferencia en la comunicación e informando que es un inconveniente

temporal y que se deben aprovechar los tiempos en que se dispone de señal óptima

R18: Si no hay control de acceso apropiado a las puertas se deben aumentar las restricciones de

durante el tiempo de remodelación del DataCenter en la zona

R19: Si hay exceso de permisos en la autorización de accesos se debe implementar un espacio de

atención a usuarios, donde se pueda rotar al personal del HelpDesk para recepcionar las

solicitudes o dar información

R26: Si no hay manual de usuario ni atención por parte de la empresa a este proceso se debe

crear y diseñar evaluando el impacto de la no existencia

R27: Si no hay disponibilidad de tiempo para la actualización del manual de usuario se debe

retomar la versión que exista aunque sea antigua y aplicar las respectivas actualizaciones

R28: Si no están creadas las hojas de vida de equipo Software y Hardware existente se deben

crear y diseñar

R29: Si no hay actualización reciente del inventario se debe realizar informe de administración

de inventario de los recursos existentes en el Helpdesk

R30: Si no se ha realizado mantenimiento del servidor se debe aplicar el mantenimiento habitual,

mientras es posible el reemplazo y que funcione de manera adecuada para realizar el informe de

servicios prestados que requieren corregir otros riesgos como el R23


R31: Si el servidor no tiene capacidad suficiente en relación a hardware, software y equipos se

debe reemplazar y hacer mantenimiento al existente para tenerlo a disposición en caso de que sea

necesario

R32: Si no hay actualizaciones en: disco, memoria, cables y conectores, placa, fuente se debe

reemplazar el servidor y comprar lo necesario

Recuperación: Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles

detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una

actividad altamente propensa a errores.

R5: Si hay transmisión cercana de sistemas inalámbricos, se debe realizar seguimiento a los

canales cuando están en funcionamiento y cuando no están en uso para confirmar su

configuración o reubicación

R9: Si hay desactualización en las herramientas de navegación se deben planificar las

actividades de mantenimiento, contando con el tiempo y las herramientas suficientes para

realizar la actualización oportuna

R11: Si no hay capacitación continúa a los usuarios para prevenir errores de operación con

resultados de ataques o amenazas se deben programar espacios y disponer de recurso humano

para la capacitación

R12: Si no hay planes de implementación de técnicas en el diseño, configuración y operación de

los sistemas se debe realizar

R15: Si los técnicos y el personal de HelpDesk no pueden tener total control sobre la seguridad

de los sistemas se debe asignar a una persona dentro del equipo para que se encargue de la

coordinación de actividades relacionadas con la seguridad informática con el personal interno o

con especialistas externos

http://www.monografias.com/trabajos54/la-investigacion/la-investigacion.shtml


R17: Si no hay capacitación a los usuarios finales para hacer copias de archivos importantes en

el servidor de backup se debe exigir a los técnicos, capacitar a los usuarios finales en la

necesidad e importancia de realizar copias de seguridad, implementando una fase relacionada

con el tema, dentro del proceso de atención al usuario

R20: si no hay plan de contingencia informática en caso de que se presente un accidente se debe

crear que contenga medidas técnicas, humanas y organizativas para que la empresa garantice la

continuidad de la operación habitual de la plataforma y el e HelpDesk

R21: Si no hay ubicación adecuada de los cables que pueden producir corto circuito se debe

coordinar con los encargados de la obra para el cumplimiento de las respectivas normas de

seguridad

R23: si no hay personal suficiente para dar asistencia técnica se debe hacer un informe de la

prestación del servicio en HelpDesk y solicitar a recursos humanos, considerar la posibilidad de

contratar personal de asistencia técnica

R24: Si no hay comunicación apropiada en el grupo de trabajo que permita apoyo mutuo se debe

dar manejo de la situación por salud ocupacional y programar reuniones constantes para evaluar

el trabajo y los resultados obtenidos en la prestación del servicio de mesa de ayuda

R25: si no hay capacidad ni rendimiento en los recursos de Hardware, Software y equipos se

debe realizar inventario y evaluación de estos para considerar la posibilidad de reparación,

actualización o reemplazo


4. Helpdesk

Evidencias de la aplicación que se utiliza para asignar los servicio en la universidad nacional

sede Medellín, también se muestra donde se realizan los informes.





CONCLUSIONES

Se retomaron los productos y temas trabajados en los colaborativos anteriores

Se evaluó cada uno de los riesgos identificados en el colaborativo 1

Se identificó cada una de las cusas que originan los riesgos

Se definieron y tipificaron los controles a aplicar

Se Seleccionó la herramienta de software a utilizar en el proceso de auditoria

Se consolido la presentación final tomando los aportes de cada uno de los integrantes del

grupo


BIBLIOGRAFÍA

AGUIRRE Cabrera Adriana, Modulo Auditoria de Sistemas - 90168, Escuela de Ciencias

Básicas, Tecnología e Ingeniería – UNAD

Cibergrafia

- http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

- http://es.wikipedia.org/wiki/Auditor

%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

- http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoria-

informatica/

- http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-

auditoria.html?view=sidebar

http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-auditoria.html?view=sidebar

http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-auditoria.html?view=sidebar

http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoria-informatica/

http://www.maestrodelacomputacion.net/winaudit-software-gratuito-para-auditoria-informatica/

http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

Documents

Auditorias-90168 TC3 68