Desarrollo de la Actividad – Parte individual
Enviado por Abraham Trejos • 8 de Septiembre de 2017 • Tarea • 830 Palabras (4 Páginas) • 113 Visitas
INTRODUCCION
En el presente trabajo se muestra de manera dinámica y creativa el resultado del apropiamiento de los conceptos generales de auditoria. Como futuros auditores de informáticas pondremos en práctica la revisión, evaluación y controles en las amenazas y riesgos que puede presentarse en diferentes áreas de trabajo de nuestra empresa llevando esta en serios problemas, por tal motivo debemos ser suspicaz en manejar con mayor cautelas todas las posibles fallas y darles solución posible a dichos inconvenientes o prever con antelación antes de que cualquier novedad transcurra, también debemos de realizare algo muy importante que se debe tener en cuenta en toda empresa es la realización de una consulta sobre la normas
OBJETIVOS
OBJETIVO GENERAL
Realizar auditoria a las redes de datos y al manejo de la información por parte de los usuarios (directivos, docentes y estudiantes) dentro de la empresa discenter’s de la ciudad de Tuluá.
OBJETIVOS ESPECÍFICOS
- Conocer los usuarios del sistema con el fin de analizar los posibles riesgos que se puedan presentar, mediante visita a la empresa y entrevista con los usuarios
- Conocer la infraestructura de red de la empresa con el fin de analizar los riesgos que se pueden presentar en la seguridad de la información, mediante visita a la empresa y entrevista con los encargados de soporte técnico.
- Elaborar plan de auditoria mediante la creación de formatos para la recolección de información, planes estratégicos, estándar a seleccionar y los procesos relacionados en el objetivo de la auditoria, con el fin de obtener información confiable.
- Elaborar las pruebas necesarias para la determinación de los riesgos existentes en la red de datos y los controles y acceso de los usuarios, para la elaboración de la matriz de riesgos midiendo su ocurrencia e impacto.
- Generar dictamen sobre la auditoria para los procesos evaluados, presentando el informe de resultados
Desarrollo de la Actividad – Parte individual
Cuadro consolidado las de las vulnerabilidades, amenazas y riesgos
Empresa: Discenter´s
Autor: Abraham Trejos Victoria
N° | Vulnerabilidad | Amenazas | Riesgo | Categoría |
1 | La empresa no cuenta con plan de contingencia en caso de pérdida de la información | Desastre natural | No se cuenta con procedimientos para la administración de los datos | Seguridad lógica |
2 | Sistema operativo desactualizado Windows xp | Manipulación Fallas del sistema Software malicioso | Actualmente el sistema operativo no tiene soporte, se encuentra desactualizado y algunas aplicaciones no son compatibles ya con este sistema | Software |
3 | Los equipos no cuentan con cuentas con sus respectivas contraseñas | Suplantación de identidad y acceso de terceros | Suplantación de identidad, acceso a datos sensibles dentro de la red | Seguridad lógica |
4 | Los usuarios del sistema no están capacitados en las herramientas tecnológicas básicas (Dropbox y uso de Excel) | Errores de usuario | Los usuarios no cuentan con las competencias básicas para el manejo de los formatos que presenta la institución | Seguridad lógica, acceso a los datos, integridad de los datos |
5 | No existe control en el acceso a internet | Uso de los recursos de la empresa para otros fines | Inseguridad en la red | redes |
6 | No existe control en el acceso a los documentos principales de la institución (carpeta de google drive y Dropbox) | Los usuarios con acceso al equipo principal el cual se encuentra sin contraseña, pueden acceder a los documentos importantes para la institución | Red insegura, alteración de la información, accesos no autorizados a la información | Redes, seguridad lógica |
7 | La empresa no utiliza firewall en lo equipos o en la red | Errores de configuración | Red lógica insegura | redes |
8 | La configuración del router es la por defecto | Errores de configuración | Red lógica insegura | redes |
9 | El sistema operativo con cuenta con parches y actualizaciones | El sistema no cuenta con parches de seguridad y actualizaciones, software no es licenciado | Falla y caídas en el sistema operativo | software |
10 | Fallos en la red | Mala configuración que compromete la seguridad de las empresas al instalar routers, switches y otros equipos de red sin las ramificaciones de seguridad de cada dispositivo. | Fallas en las comunicaciones | redes |
11 | La canaleta se encuentra en malas condiciones y en algunos casos no hay | El cableado de datos se encuentra expuesto | Fallas en las comunicaciones | redes |
12 | El cableado estructurado de la red se encuentra a la intemperie | La manipulación de esta red presenta daños, rupturas y su transmisión de datos suelen presentar varias caídas de paquetes de información. | Daños de las comunicaciones. | Redes |
13 | No hay seguimiento en la seguridad de la información | La empresa no cuenta con controles de seguridad informática | No hay detección de intrusos, contención y/o eliminación | Seguridad lógica |
14 | No se analiza el tráfico en busca de virus | al no analizar el tráfico en busca de software malintencionado, correo no deseado, contenido inapropiado e intrusiones | Accesos no autorizados del sistema | Seguridad lógica |
15 | La prestación del servicio técnico es realizado por los estudiantes | El trabajador externo puede ser una víctima incógnita, indirecta y presencial a una agresión externa en contra de la Empresa. | Atentados a las instalaciones de la empresa (vandalismo) | Manejo y control de personal |
16 | No existe control de los dispositivos de almacenamiento (USB, cd, discos) | Introducción de información falsa | Alteración o pérdida de la información registrada en base de datos o equipos | Hardware |
17 | La red es de acceso publico | No hay una segmentación de la red ya que los usuarios de la área administrativa y los usuarios normales (estudiantes) están conectados en la misma red y no existe un dispositivo de control | Acceso no autorizado a la red | Manejo y control de personal redes |
...