5CM80 AI Eq3 TrabajoFinal (Auditoria BD)
5CM80 AI Eq3 TrabajoFinal (Auditoria BD)
5CM80 AI Eq3 TrabajoFinal (Auditoria BD)
Auditoria en BD
Secuencia 5CM80
Equipo 3
14/01/2020
Contenido
Antecedentes de la empresa ........................................................................................................... 3
Auditoria en bases de datos a la empresa “Comisión Nacional del Agua” (CONAGUA). .... 3
Misión de la empresa....................................................................................................................... 4
Visión de la empresa. ...................................................................................................................... 4
Visión del sector hidráulico. ............................................................................................................ 4
NECESIDAD DE LA AUDITORIA..................................................................................................... 4
Objetivo .............................................................................................................................................. 4
Objetivos específicos ....................................................................................................................... 4
Asignación del equipo de auditoria (roles) ....................................................................................... 6
Planificación de la Auditoria (cronograma)....................................................................................... 6
CRONOGRAMA DE ACTIVIDADES ........................................................................................ 7
EJECUCIÓN DE LA AUDITORIA (ENTREVISTAS, REVISIÓN DOCUMENTAL, ETC) ........ 9
Aspectos generales de su elaboración ......................................................................................... 9
Hallazgos ............................................................................................................................................ 14
Informe ................................................................................................................................................. 20
Antecedentes de la empresa
Auditoria en bases de datos a la empresa “Comisión Nacional del Agua” (CONAGUA).
La Comisión Nacional del Agua es heredera de una gran tradición hidráulica y a lo
largo de su historia ha estado integrada por destacados profesionales y especialistas
de diversas disciplinas, reconocidos internacionalmente por su dedicación y
capacidad técnica. Dentro de las instituciones que le antecedieron destacan la
Dirección de Aguas, Tierras y Colonización creada en 1917; la Comisión Nacional de
Irrigación, en 1926; la Secretaría de Recursos Hidráulicos en 1946 y la Secretaría de
Agricultura y Recursos Hidráulicos en 1976.
Visión de la empresa.
"Ser autoridad con calidad técnica y promotor de la participación de la sociedad y de
los órdenes de gobierno en la gestión integrada del recurso hídrico y sus bienes
públicos inherentes".
La Gerencia del Consultivo Técnico de la Comisión Nacional del Agua, cuenta con
una herramienta la cual les permite informar y actualizar cada uno de los registros de
la información que se deriva de las inspecciones que se realizan periódicamente a
cada una de las presas del país; La gerencia realiza un proceso exhaustivo para
recopilar, verificar y autorizar la información de cada una de las obras de captación y
control de agua del país, ya que, es un factor importante tener información consistente
y actualizada para cada una de las instalaciones hidráulicas, de tal manera que se
puedan generar informes con características generales de cada una de las presas en
México.
NECESIDAD DE LA AUDITORIA.
Objetivo
• Auditar la Base de Datos de la aplicación de “Sistema de Seguridad de Presas”
bajo la metodología de COBIT
Objetivos específicos
1. Comprobar que se cumplan los controles de acceso a la base de datos.
2. Realizar la auditoria de acuerdo con las buenas prácticas.
3. Aplicar herramientas de seguridad que nos ayuden a evaluar el sistema.
4. Verificar la seguridad entorno de la Base de Datos.
Problemática (Necesidad)
NOMBRE CARGO ID
Franco Ferrer Alejandro. Auditor. FFA
Martínez Polanco Luis Responsable de la MPLA
Ángel. auditoría.
Zamora Maldonado Irsa Auditor. ZMIS
Sharon
Zamudio Escutia Amairani Auditor. ZEAM
Moncerrad.
CRONOGRAMA DE ACTIVIDADES
Durante la planeación de la auditoria se desarrolló, un cronograma de actividades en
el cual se observan los tiempos de inicio, ejecución, fin del proyecto y de cada
actividad correspondiente dentro del mismo, así mismo incluye un apartado en donde
se indica el nombre de la persona que realizó la actividad y una gráfica de Gantt que
describe todo el proceso.
El checklist elaborado por el equipo auditor partía de manera muy precisa de los
puntos señalados en el alcance, logrando que se siguiera por el camino de las
buenas prácticas de COBIT, a manera de lista se fueron revisando los cuatro
dominios y de ahí solos se tomaron los procesos con sus respectivos objetivos de
control que cubrieran los aspectos que pretendíamos evaluar y que a nuestra
consideración, podrían darnos información relevante y nos permitirían tener una
visión del sistema y sus problemas con mayor detalle.
Con un total de 55 preguntas, el equipo auditor entrevisto al encargado del sistema
aplicando el checklist, quedando graficado y detallado de la siguiente manera:
Total de preguntas 55
Resp Afirmativas 39
Resp. Negativas 11
No aplican 5
A pesar de que nuestro resultado fue positivo ya que la mayoría de las preguntas
son afirmativas, las resultantes negativas tenían un gran impacto en el sistema
generando un riesgo muy grande dentro del sistema.
Para mayor comodidad, dentro del mismo checklist se hicieron nuevas columnas en
donde se planteó y resolvió el Análisis de Riesgos. Dentro de esta actividad, nos
concentramos en ver qué puntos del checklist eran buenos, cuáles eran regulares y
cuales tenían un impacto negativo al sistema. En base a esto se fueron distinguiendo
con una escala de colores de acuerdo con su nivel de riesgo. Se realizaron las
observaciones correspondientes a los 11 riesgos encontrados describiendo la causa
del riesgo y su impacto dentro del sistema en caso de que no fuera atendido.
Dentro del análisis de riesgos también se hicieron observaciones para dar posibles
soluciones a los riesgos encontrados, pero todo esto se detalla mejor en el cierre de
la auditoria presentando las recomendaciones.
Hallazgos
Esta actividad tiene como objetivo principal el dar a conocer los errores,
vulnerabilidades, riesgos y cualquier otra anomalía que haya sido detectada en el
análisis de riesgos, con esto se asegura que se tengan bien presentes todos los
puntos que tuvieran un gran impacto o que interfirieran con las actividades diarias del
sistema.
Dirección: Insurgentes Sur. No. 2416 Colonia Copilco el bajo CP.04340, Delegación Coyoacán
México D.F.
No de empleados: 13600 empleados totales de la Comisión Nacional del agua, con: Subgerencia de
Seguridad de Presas y 3 en Subgerencia de Sistemas
Auditar la base de datos de la aplicación del “sistema de seguridad de presas”, bajo la metodología
de COBIT
Confirmar que el sistema de seguridad de presas en su base de datos que cumple con lo requerido
por la metodología aplicada COBIT
Problemática
Alcance: Con la presente auditoria se pretende llevar a cabo un análisis de riesgos para el “Sistema
de Seguridad de Presas” de la CONAGUA que permita revisar la aplicación apegándonos a la
metodología de COBIT y la relación con la política de la empresa.
1) Metodología COBIT.
2) Documentación del sistema de Seguridad de Presas otorgado por el área de sistemas de
la institución
Justificación
Debido a que el “sistema de seguridad de presas” se implementó por primera vez el 1º de marzo
de 2010 en la CONAGUA, es necesario llevar a cabo el proceso de auditoria para minimizar los
riesgos de que la aplicación no funcione adecuadamente y determinar si cumple con las buenas
prácticas.
Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que surgieran en la
aplicación, de esta forma, ayudar a que la aplicación opere de forma eficiente basándonos en la
metodología PRIMA y tomando como referencia COBIT para elaboración del checklist.
INFORME DE AUDITORIA
Equipo de auditores
Nombre Iniciales
ENTREGA Y SOPORTE. DS5.2. Plan de seguridad de ✓ No se cuenta con un Plan ❖ El sistema se encuentra
TI de contingencia. susceptible a la
➢ Trasladar los ✓ Las políticas y continuidad de sus
requerimientos de procedimientos de operaciones si llegará a
negocio, riesgos y seguridad no son tener una pérdida total, o
cumplimiento dentro de comunicados con parcial de información
un plan de seguridad de frecuencia. por un desastre natural
TI completo, teniendo ✓ No cuentan con un un sabotaje interno o
en consideración la registro de identidades externo.
infraestructura de TI y del usuario en un ❖ Al no llevar una
cultura de la seguridad. repositorio. comunicación apropiada
➢ Comunicar las políticas y ✓ No cuentan con una hacia los miembros de
procedimientos de administración de TI, puede provocar una
seguridad a los cuentas dadas de baja inestabilidad en flujo
interesados y a los del personal que no de trabajo de las
usuarios. labora en la institución. operaciones del sistema.
✓ No cuentan con una ❖ Al no contar con el
DS5. Administración de administración de almacenamiento de con
Identidades cuentas para las bajas un registro de las
➢ Hay que asegurar que del personal que no identidades del usuario
todos los usuarios labora en la institución. pueden provocar una
(internos, externos y ✓ No cuentan con unas alteración en la base de
temporales) y su actualizaciones en la datos al no tener
actividad en sistemas de base de datos. establecidos los tipos de
TI (aplicación de ✓ No cuentan con un acceso para cada
negocio, entorno de TI, control en la habilitación usuario.
operación de sistemas, o inhabilitación de los ❖ Al mantener activas
desarrollo y puertos que dan salida a cuentas de usuario
mantenimiento) deben la red. pueden existir una
ser identificables de suplantación de
manera única. Permitir identidades del personal
que el usuario se no permitido al área y
identifique a través de alterar o robar
mecanismos de información importante.
autenticación. ❖ El riesgo que se presenta
➢ Confirmar que los al no actualizar ocasiona
permisos de acceso al un mal funcionamiento
usuario al sistema y los en los procesos de
datos están en línea con captura y
las necesidades del almacenamiento
negocio y provocando inestabilidad
documentadas. en el sistema.
➢ Verificar que los ❖ El riesgo es la intrusión
derechos al acceso a los de hackers, spywares,
usuarios sean solicitados phising, malwares que
por la gerencia y provoquen daño
aprobados por el irreparables o pérdidas
responsable del sistema de información relevante
e implementado por la para la institución
persona responsable de
la seguridad.
➢ Las identidades del
usuario y los derechos
de acceso se mantienen
en un repositorio central.
DS5.4 Administración de
cuentas de usuario.
➢ Garantizar que la
solicitud,
establecimiento,
emisión, suspensión,
modificación y cierre de
cuentas de usuarios y de
los privilegios
relacionados, sean
tomados en cuenta por
un conjunto de
procedimientos de la
gerencia de cuentas de
usuarios.
DS5.9 Prevención, Detección y
Corrección de Software
Malicioso
➢ Medidas preventivas,
detectivas y correctivas
(en especial contar con
parches de seguridad y
control de virus
actualizados en toda la
organización para
proteger los sistemas de
la información y a la
tecnología contra
malware.
➢ Uso de técnicas de
seguridad y
procedimientos de
administración
asociados con firewalls,
dispositivos de
seguridad,
segmentación de redes y
detección de intrusos
para autorizar el acceso
y controlar los flujos de
información desde y
hacia las redes.
México, D.F. a 14 de enero del 2020
Atentamente
Nombre