3. I. PLANIFICACIÓN
1.1.PLANIFICACIÓN PREVIA
Alcance de trabajo
La auditoría se realizará sobre los sistemas informáticos de computadoras que
pertenecen a la red interna de la empresa.
Objetivo general
Verificar que los sistemas y procesos informáticos de las empresas funcionen
adecuadamente para las funciones que han sido programados y sus activos digitales
se encuentren debidamente protegidos, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.
Objetivos específicos
Emitir opinión sobre la idoneidad del sistema de control de accesos de la
aplicación.
Verificar el grado de fiabilidad de la información.
Llevar a cabo la revisión de los métodos utilizados para el desarrollo del
sistema computacional de una empresa
Evaluación del Control Interno de las Aplicaciones, el cual debe permitir
el diseño de nuevos programas desarrollados a la medida de la empresa.
Evaluación de todo sistema computacional, en cuanto a la funcionalidad
y objetividad de este, dado que este debe ser aprobado por el usuario;
quien será el responsable de su mantenimiento y desarrollo.
Verificar las disposiciones y reglamentos que coadyuven al
mantenimiento del orden dentro del departamento de cómputo.
4. Actividad de riesgo
Se evaluará la forma de adquisición de nuevos aplicativos de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los
estándares de la empresa y los requerimientos mínimos para ejecutar los programas
base.
Dentro de los riesgos posibles se contemplarán huecos de seguridad del propio
software y la correcta configuración y/o actualización de los equipos críticos como el
cortafuegos, la eficiencia del sistema informático y la gestión de los recursos
informáticos
Ambiente de control
Agrícola San Blas fue constituida en la parroquia de San Blas que pertenece al Cantón
Urcuquí, provincia de Imbabura ubicada al nor-occidente de la ciudad de Ibarra; el 1
de diciembre de 1998 por el Ing. Gustavo Moreta.
Es una empresa que se dedica a la comercialización de productos agroquímicos;
actualmente cuenta con cinco puntos de venta los cuales están ubicados en Ibarra,
Otavalo, Atuntaqui y San Blas.
Agrícola San Blas fundamenta su cultura organizacional en los siguientes valores:
Honestidad
Orden
Puntualidad
Responsabilidad
Cortesía
Capacitación
Comunicación
5. Estos valores son practicados desde la gerencia quien dentro de su filosofía tiene
como eje fundamental satisfacer al cliente, ofrecer servicios y productos de calidad
para lo cual cuenta con personal altamente calificado quien se va formando en los
valores antes mencionados.
Misión.
“Somos una compañía dedicada a la comercialización de insumos agrícolas y
pecuarios de calidad, buscando satisfacer las necesidades de nuestros clientes con una
asesoría técnica y los servicios vinculados al manejo responsable de los mismos, que
se sustenta en el desarrollo integral de nuestros colaboradores y la mejora continua de
los procesos. Manteniendo siempre un ambiente de trabajo de equipo, limpio,
ordenado, seguro y con un profundo sentido de respeto y de responsabilidad social”.
Visión
“En el 2020, seremos una compañía de reconocido prestigio y liderazgo en la
provincia de Imbabura y del norte del país con excelencia en la oferta de servicios, e
insumos agrícolas, comprometidos con el servicio a los productores y el medio
ambiente con características administrativas y financieras de una compañía
totalmente moderna que proyecta confianza del trabajo y aceptación del mercado”.
6. Estructura organizacional
Políticas de la empresa
Cultura empresarial enfocada al buen trato hacia el cliente.
Practica de valores, puntualidad, seriedad, honradez, respeto hacia el cliente.
Ofrecer productos de calidad.
Compensaciones al buen desempeño para conseguir trabajadores
comprometidos.
Adecuada selección del personal.
Capacitación constante al personal técnico.
1.2.INFORMACIÓN preliminar
Se realizará una entrevista al Gerente para conocer de forma general el funcionamiento de
la empresa.
GERENTE GENERAL
DEPARTAMENTO
FINANCIERO
CONTABILIDAD
CARTERA
DEPARTAMENTO DE
COMERCIALIZACIÓN
COMPRAS VENTAS
MATRIZ
SUCURSALES
DEPARTAMENTO DE
OPERACIONES
MATRIZ
SUCURSALES
DEPARTAMENTO DE
SISTEMAS
DEPARTAMENTO DE
TALENTO HUMANO
SECRETARIA
7. Información general.
Estructura del centro de cómputo
En el departamento de sistemas existen puestos genéricos definidos los cuales son
tomados por la organización y adaptados según sus necesidades. Se analizará la existencia
de los siguientes perfiles:
Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Técnico de Sistemas Experto en Sistemas Operativos y Software
Básico.
Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotación.
1.3.COMPRENSIÓN DEL CONTROL INTERNO
Objetivos del control
Se hará una revisión de los manuales de políticas de la empresa, que los
procedimientos de estos se encuentren actualizados y que sean claros y que el
personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los
riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos,
programas y datos.
8. Procedimientos de control
Se verificará la existencia de los siguientes controles:
El hardware debe estar correctamente identificado y documentado.
Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el
respaldo de las garantías ofrecidas por los fabricantes.
Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los
equipos.
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando
mayúsculas y minúsculas).
Los usuarios se desloguearan después de 5 minutos sin actividad.
Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad
y deben mantenerse luego de finalizada la relación laboral.
Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
9. Cuestionarios de control interno
FIRMA AUDITORA “AUDIPOL”
CUESTIONARIO DE CONTROL INTERNO “APLICACIONES”
Alcance: 01 de Enero al 31 de Diciembre del 2017
N° Pregunta Si No Observaciones
1 La empresa cuenta con un
Departamento de
Informática
√ La empresa cuenta con un
departamento de sistemas
pero no está adecuadamente
estructurado.
2 ¿Se efectúan respaldos de la
información?
√
¿Se ejerce control del
Sistema Informático?
√ No existe una persona que
realice Controles con
regularidad.
3 ¿Cuenta el sistema con
claves de seguridad?
√
4 ¿Se realiza un adecuado
mantenimiento al Sistema
Informático?
√ No hay el personal en la
empresa para realizar el
mantenimiento, según lo
informado se debe llamar a la
empresa que proporciono el
Sistema Contable.
5 ¿El Sistema puede ser
actualizado de acuerdo con
los avances que se
producen?
√
6 ¿El sistema cuenta con
personal técnico que ayude
cuando se produzcan
inconvenientes?
√ Como ya se mencionó la
empresa no cuenta con este
tipo de personal para realizar
este tipo de trabajo, por las
instalaciones.
10. 7 ¿Existe un instructivo para el
uso del Software
Informático?
√ No se tiene conocimiento de
algún instructivo por parte del
personal que maneja el
sistema.
8 ¿Existen políticas para la
seguridad del Sistema
Informático?
√
9 ¿El sistema Informático
cuenta con licencia?
√ El sistema fue proporcionado
por la empresa creadora del
Sistema Informático y el
soporte técnico es dado por
ellos de igual manera.
10 ¿Existe un organigrama con
la estructura del área de
Informática?
√ No hay un área de Informática,
es por ello que no se cuenta
con tal estructura.
Realizado por: Verónipa Peñafiel Fecha: 10/01/2018
Supervisado por: Esperanza Quimbiamba Fecha: 16/01/2018
1.4.EVALUACIÓN DE RIESGOS
Amenazas
Poca restricción en el acceso a las diferentes aplicaciones y programas que posee la
empresa.
Debido a la poca restricción que existe, los datos ingresados por los empleados en las
aplicaciones o programas pueden ser incorrectos, incompletos, duplicados o no
ingresado.
La estructura organizacional del departamento de sistemas y los procedimientos
operativos no garantizan un ambiente de procesamiento de datos apropiado para
preparar información confiable.
Los programadores pueden realizar cambios incorrectos o no autorizados en el
software de aplicación
Posibles fallos en la conectividad de la red de datos e internet
11. Inexistencia de las debidas barreras de seguridad en el software.
Riesgos
Pérdida de datos
Información errónea
Daños en el hardware
Pérdidas económicas
Pérdida de credibilidad
Servidor fuera de servicio
Destrucción de información confidencial
Fuga de información
Incendio en el centro de cómputo
Falta de disponibilidad de aplicaciones críticas
12. Matriz de evaluación del riesgo
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
R1 Pérdida de datos X X
R2 Información errónea X X
R3 Daños en el hardware X X
R4 Pérdidas económicas X X
R5 Pérdida de credibilidad X X
R6 Servidor fuera de servicio X X
R7 Destrucción de información confidencial X X
R8 Fuga de información X X
R9 Incendio en el centro de cómputo X X
R10 Falta de disponibilidad de aplicaciones críticas X X
Probabilidad Impacto
13. Matriz de probabilidad de impacto
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
Alto Zona de Riesgo Zona de riesgo Zona de riesgo Alto
61-100% Moderado Importante Inaceptable 61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo Medio
31-60% Tolerable Moderado Importante 31-60%
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Bajo
0-30% Aceptable Tolerable Moderado 0-30%
Leve Moderado Catastrófico Leve ModeradoCatastrófico
Escala de probabilidad: Frecuencia con la que se presenta el riesgo *
Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Escala de impacto: Que puedan llegar a causar si llegara a concretarse.
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la organización
IMPACTO
P
R
O
B
A
B
I
L
I
D
A
D
IMPACTO
R1
R5, R7, R9
R4R10
R3
P
R
O
B
A
B
I
L
I
D
A
D R2, R8
R6
14. 1.5.DESARROLLO DE LA ESTRATEGIA DE LA AUDITORÍA
Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:
• Solicitud de los estándares utilizados y programa de trabajo
• Aplicación del cuestionario al personal
• Análisis y evaluación de la información
• Elaboración del informe para la evaluación de los sistemas en operación se llevarán
a cabo las siguientes actividades:
o Solicitud del análisis y diseño de los sistemas en desarrollo y en operación
o Solicitud de la documentación de los sistemas en operación (manuales
técnicos, de operación del usuario, diseño de archivos y programas)
o Recopilación y análisis de los procedimientos administrativos de cada sistema
(flujo de información, formatos, reportes y consultas)
o Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
o Análisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
o Entrevista con los usuarios de los sistemas
o Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario
o Análisis objetivo de la estructuración y flujo de los programas
o Análisis y evaluación de la información recopilada
o Elaboración del informe
15. 1.6.ESTABLECIMIENTO DE TÉRMINOS DE REFERENCIA
TERMINOS DE REFERENCIA
CONTRATACION CONSULTORIA AUDIPOOL
“Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital
Interinstitucional (SEDI)”.
I. DATOS GENERALES
1. Nombre del Programa:
Programa de Apoyo a la Modernización de la Administración de la
COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA
2. Sub-Programa o Componente:
Red Integrada De Información
3. Título de la Consultoría:
Consultoría AUDIPOOL “Análisis de Vulnerabilidades de Seguridad
Informática del Sistema de Expediente Digital Interinstitucional (SEDI)”
Ejecutor: Componente Común Red Integrada de Información
II. ANTECEDENTES Y ALCANCE DE LA CONSULTORÍA
El objetivo del Programa de Apoyo a la Modernización de la Administración de
la COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA, es el
fortalecimiento de los sistemas informáticos y la protección a estos.
III. OBJETIVO DE LA CONSULTORIA
El objetivo principal de la presente consultoría es realizar un diagnóstico de su
sistema de seguridad informática, para lo cual se deberá efectuar un análisis y
evaluación de los diferentes elementos de la red tales como firewalls, servidores
de datos, servidores de correo, servidores DNS, routers, switches, etc.; a fin de
detectar las vulnerabilidades que pueden ser vistas y explotadas desde el Internet
o accesando un punto de la red interna, ya sea por individuos no autorizados,
hackers, agentes de información, antiguos empleados, etc. Esta evaluación debe
proporcionar una visión clara y detallada de nuestro actual sistema de seguridad
16. incorporado en la estructura tecnológica y propondrá las mejoras necesarias a
implementar con el fin de garantizar la confidencialidad, la integridad y la
disponibilidad de la información.
IV. ACTIVIDADES DEL CONSULTOR
La evaluación deberá cubrir todos los elementos de la red a fin de identificar o
determinar las debilidades que puedan poner en riesgo la información de las
Instituciones.
Derivado de estas evaluaciones el Consultor deberá proporcionar propuestas y
recomendaciones para minimizar dichos riesgos y proponer, mejoras o cambios a
las políticas de seguridad las cuales deberán quedar plasmadas en un plan de
implantación. La evaluación en mención deberá cubrir al menos los siguientes
elementos:
• Análisis externo de la red interinstitucional (acceso por Internet).
• Análisis del SEDI y el acceso a las bases de datos, así como cualquier
aplicación que utilice la infraestructura del SEDI.
• Servidores y puertos de acceso.
• Análisis de las contraseñas.
• Análisis de la red local.
• Análisis de la red inalámbrica.
V. CALIFICACIONES DEL CONSULTOR
Para el desarrollo de la consultoría se ha definido el siguiente perfil del consultor:
Estudios Profesional Universitario en materia de Computación o Sistemas de
Información, con grado mínimo de Licenciatura.
Experiencia
a) Experiencia General, mínima diez años.
b) Experiencia amplia, suficiente y comprobable, por lo menos 2
consultorías en proyectos similares en ambientes de más de 50 usuarios,
cobertura nacional y con accesos Web, en la realización de pruebas de
penetración, utilización de herramientas avanzadas para el análisis y
evaluación de vulnerabilidades internas y externas de los sistemas
17. computacionales y la aplicación de metodologías y estándares
internacionalmente reconocidos, por ejemplo los estándares ISO.
c) Por lo menos 3 cursos en Seguridad Informática, Pruebas de Penetración,
Hacking, Tráfico de datos, sistemas operativos; protocolos, arquitectura,
topologías de red, estándares y/o políticas internacionales en materia de
Seguridad Informática, Computación forense, Auditoria de Sistemas.
d) Deberá tener por lo menos (1) certificación internacional en seguridad que
lo acrediten, tales como CISSP, CISA, CISM, GIAC, entre otros.
e) Experiencia en coordinación de proyectos de Tecnologías de Información
entre 2 o más Instituciones.
f) Experiencia en por lo menos 3 proyectos con fondos de cooperación
internacional.
VI. RESULTADOS O PRODUCTOS ESPERADOS
Como mínimo deberán proporcionarse los siguientes productos:
o Plan de Trabajo
o Evaluación de las vulnerabilidades de los diferentes elementos de la
red y/o sistemas, identificando debilidades de configuración que
puedan ser explotadas.
o Diagrama de la topología de la red en el cual se presenten las
debilidades identificadas para cada uno de los componentes
principales de la red.
o Análisis, categorización y correlación de las debilidades explotables
basadas en el impacto potencial y posibilidad de ocurrencia.
o Informe ejecutivo que describa la situación encontrada, identificación
de los riesgos a que se está expuesto priorizando las recomendaciones
para mitigar y/o eliminar las debilidades detectadas.
VII. PLAZO Y LUGAR DE TRABAJO
Su sede será la ciudad de Ibarra, teniendo que movilizarse los cantones de San
Blas, Otavalo y Atuntaqui la consultora será contratada por 26 días.
18. VIII. COORDINACION, SUPERVISION E INFORMES La supervisión de las
actividades y la validación de los productos del Consultor será responsabilidad
del Gerente del SEDI y del Comité Informático Interinstitucional. Los derechos
de propiedad, derechos de autor y demás derechos de la naturaleza que fueren
sobre cualquier material producido en el desarrollo de la consultoría,
corresponden exclusivamente al contratante.
1.7.PROGRAMAS DE AUDITORÍA
FASE ACTIVIDAD
HORAS
ESTIMADAS
I VISITA PRELIMINAR 8 horas
· Solicitud de Manuales y Documentaciones.
· Elaboración de los cuestionarios.
· Recopilación de la información
organizacional: estructura orgánica, recursos
humanos, presupuestos
II DESARROLLO DE LA AUDITORIA 32 horas
· Aplicación del cuestionario al personal.
· Entrevistas a líderes y usuarios mas
relevantes de la dirección.
· Análisis de las claves de acceso,control,
seguridad, confiabilidad y respaldos.
· Evaluación de políticas y procedimientos.
.Evaluación del diseño lógico de los sistemas
.Evaluación de las medidas de seguridad.
.Controles Manuales
.Controles Automáticos
.Controles Preventivos
Controles Detectivos
.Controles Correctivos
III REVISION Y PRE-INFORME 15 horas
· Revisión de los papeles de trabajo.
· Determinación del Diagnostico e Implicancias.
· Elaboración de la Carta de Gerencia.
· Elaboración del Borrador.
IV INFORME 4 horas
· Elaboración y presentación del Informe