SlideShare une entreprise Scribd logo

Auditoria danper

Télécharger en tant que PPTX, PDF
Manuel Tapia Cruz
Manuel Tapia Cruz
1  sur  32
Facultad de Ingeniería Escuela de Ingeniería de Sistemas AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN “AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN” Integrantes          Ing. :Patricia Gissela Pereyra Salvador Aguilar Asmat, José Pablo Álvarez Untul, Walter Abel Cruz Gálvez, Juan Apolinar Javiel Valverde, Angela Victoria López Ledesma, Carlos Alfredo Méndez Asmat, Martin David Muñoz Nole, Ronald Junior Quispe Paucar, Margarita Grace Tapia Cruz, William Manuel TRUJILLO – PERÚ 2014
Danper
ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA 1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra Salvador en la Universidad César Vallejo. Esto dio como consecuencia el desarrollo de un proyecto que el grupo desarrollara para el responsable de la Empresa Agroindustrial Danper, siendo una Auditoria Externa. 2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA. 2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL ÁREA. Se realizó una primera reunión con el personal que labora en Danper brindándonos los primeros alcances mostrados en el primer avance del informe.
3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA. 3.1 OBJETIVO GENERAL Objetivo General Evaluar del Cumplimiento de la Política de Seguridad de la Información. 3.2 OBJETIVOS PARTICULARES Objetivos Específicos Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. Verificar y evaluar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Verificar plan de continuidad de negocio y plan de recuperación de desastres.
4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA. 4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL DEL AREA DE SISTEMAS. En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y actividades diarias, según el puesto o cargo que desempeña dentro del área. La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos deben ser considerados al momento de diseñar un sistema de seguridad. Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente. La dependencia del sistema a nivel operativo y técnico. La evaluación del grado de capacitación operativa y técnico. Registro del personal del acceso operativo y administrativos a los sistemas. Conocer la capacitación del personal en situaciones de emergencia. Se evaluará en los aspectos de control de acceso el Registro del personal del acceso operativo y administrativos a los sistemas. Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema necesite para realizar sus labores.
4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL CENTRO DE CÓMPUTO. Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente brindando seguridad a los usuarios y consiguiente al equipamiento. Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o un accidente dentro de los ambientes que se trabajan. 4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de sistemas. Es evidente que es esta evaluación se contemplará la protección y resguardo de la información de la empresa. Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los sistemas asignados. En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario. Para la evaluación de las contraseñas se comprobará a cada usuario: La asignación de la contraseña Inicial y Sucesiva. Longitud mínima y composición de caracteres de la contraseña. Vigencia y caducidad de la contraseña. Numero de intentos que se permiten al usuario para el acceso del sistema.
4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y REGISTRO DE LOS SISTEMAS. La evaluación de la información, documentación y registro de los sistema de información serán sometido a un examen detallado de sus características de seguridad, que culmina con extensas pruebas de funcionamiento y test. El grado de examen depende del nivel de confianza deseado por los objetivos de evaluación. Para proporcionar diferentes grados de confianza, utilizaremos los Criterios de Evaluación de Seguridad en Tecnologías de Información CESTI, este ofrece un servicio de evaluación de la seguridad de sistemas y productos de las Tecnologías de la Información en conformidad con los estándares internacionales. 4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES. No se realizara la evaluación de los sistemas ya que lo auditado será el acceso de la información.
4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS. El tipo de auditoria a utilizar es Externa. Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus sistemas de Información. En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas. 4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA AUDITORÍA. Se ha determinado los recursos materiales, humanos, tecnológicos y económicos: 4.7.1. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por la empresa. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el usuario. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del auditado para verificarlos.
b. Recursos materiales Hardware Los recursos de hardware que el auditor necesita son proporcionados por la empresa. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. 4.7.2. Recursos Humanos La cantidad de recursos depende del alcance auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Se tiene presente, que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. El equipo de Auditoria está conformado por 9 integrantes.
Perfiles de los Auditores Informáticos CARGO Actividades y conocimientos deseables JEFE DEL EQUIPO PROYECTO AUDITOR INFORMÁTICA. DE DE Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. de Responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Carlos, López Ledesma. Experto en Proyectos Desarrollo Ronald, Muñoz Nole Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Martin, Méndez Asmat Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Walter, Alvares Untul. Experto en Software Comunicación de Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. y Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Juan, Cruz Galvez. Experto en Explotación Gestión de CPD´S Grace, Quispe Paucar Técnico de Organización Experto organizador y Especialista en el análisis información. Angela, Javiel Valverde Técnico Costes de evaluación de coordinador. de flujos de Con conocimiento de Informática. Gestión de costes. Manuel, Tapia Cruz Técnico en Ofimática. Técnico de Computación e Informático. Especialista en Gestión Documentaría Pablo, Aguilar Asmat. 4.7.3. Recurso Tecnológico Los recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora, internet y celular. 4.7.4. Recurso Económico. En este recurso se considera los gastos operativos y de movilidad.
5.1.2 DEFINICIÓN DE OBJETIVOS. Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios. Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones). Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico. Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. El acceso a información restringida debe estar controlado Se recomienda el uso de sistemas automatizados de autenticación que manejen credenciales o firmas digitales Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie. Verificar y solicitar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucré controles humanos, físicos técnicos y administrativos. La Subárea de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.
NORMA TÉCNICA PERUANA 27001:2008 OBJETIVOS DE CONTROL Y CONTROLES 5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA. 5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. 5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA. Estrategias 1. Formalizar la AI en la organización, a través de: *Cursos de Acción justificados *Documentos de justificación a Alta Dirección *Difusión de la AI en las Áreas relacionadas *Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta Dirección: *Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y confiables. *Apoyo a los objetivos del negocio. *Verificación del uso de la Tecnología en el negocio. *Proceso de Evaluación y justificación. *Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de negocio. *Uso de Metodologías, Técnicas, Herramientas.
5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA
5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA I VISITA PRELIMINAR Solicitud de Manuales y Documentos del Área. Recopilación de información de la Área: Estructura, recursos humanos, presupuestos. Elaboración de los cuestionarios. II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal. Entrevista con los encargados y usuarios más importantes del Área. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos Evaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseño lógico, estado del hardware y software. Evaluación del proceso de datos: seguridad de los datos, seguridad física y procedimientos de respaldo III REVISION Y PRE INFORME Revisión de los documentos y reportes del trabajo Determinación del diagnóstico e implicancias Elaboración de la carta a gerencia Elaboración del borrador IV Informe Conclusiones finales Elaboración y presentación del informe
ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA. Se aplicara los instrumentos y herramientas para auditoria: Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e instrumentos de muestreo, listas de chequeo (Check-list). Controles administrativos: Recolección de documentos como: políticas y normatividad general referente a la seguridad del sistema. Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad. Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios. Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad. Ejemplo: Control de acceso y autorización. A evaluar: Controles Administrativos Existe una política específica del sistema para el manejo de seguridad Existen políticas para el manejo de sistemas operativos. Requerimientos para autenticación de usuarios Existe un ente encargado de dar solución a incidentes de seguridad Si está respaldada por los directivos Define procedimientos, son claros y entendibles Designa personal responsable. Si hay penalidades y acciones disciplinarias. Si los procedimientos son actualizados periódicamente. Si conocen los usuarios y personal adecuado las políticas. Controles Operacionales Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal, efectiva administración de usuarios, registro de intrusos, planes de contingencia Controles Técnicos Identificación y autenticación, control de acceso , auditoria, detección de intrusos.
3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS DE DESVIACIONES ENCONTRADOS. Formatos resultantes del examen especial de Auditoría Auditoría de la Dirección de TI. ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS. 1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS. 1.2.1 Ausencia de bitácora de Mesa de Ayuda Se verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que atiende el responsable de soporte. 1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de dominio Windows Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los sistemas de información. 1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de Desastres Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y Recuperación de desastres que contemple los procedimientos de recuperación para todas las áreas críticas de la empresa. 1.2.4 Ausencia de Políticas de Seguridad de Información Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al 100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información. 1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios. 1.2.6 Ausencia de procedimientos y controles de incidencias en la Red Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo permanente de las incidencias en la red.
2. ELABORAR EL DICTAMEN FINAL. 2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES DETECTADAS. DOCUMENTO DE DESVIACIONES DETECTADAS. Contenidos fundamentales: Objetivos: Emitir los resultados de la auditoría de una manera clara para que se identifique con el cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de decisiones Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias y las posteriores acciones de seguimiento a establecer, Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta. Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no deseadas Categorización de las desviaciones: Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones encontradas. Para ello deberá acogerse a los criterios que la organización haya establecido, que pueden ser de muchos tipos. Sin embargo generalmente se realizan considerando aspectos como los siguientes Indican que el sistema falla Implican un riesgo importante en la calidad del producto/servicio Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el sistema. Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen una implantación inadecuada Deben solucionarse inmediatamente.
2.2. ELABORAR EL INFORME Y EL DICTAMEN FORMALES. DICTAMEN FORMALES En este dictamen se tiene que analizar cuestiones siguientes, que afectan tanto al proceso de asignación de usuarios y contraseñas e información. Primer lugar l alcance del dictamen supone el estudio de la competencia de la tecnología de la información y el estudio de la habilidad para guardar información y hacer cumplir con los procedimiento de y las normas establecidas por la empresa y acatarlas como indica dicha documentación. en segundo lugar corresponde tratar los aspectos relativos a la observación de los requisitos y la exigencias establecidas en los proceso de auditoría de sistemas de información encargada de la organización, procedimientos y los regañes establecidos por la administración. Las normas que desarrollan y al resto del ordenamiento. Esto último conlleva, necesariamente, un análisis detallado del marco normativo en que se encuadra la disposición del proyecto.
3. PRESENTAR EL INFORME DE AUDITORÍA.  LA CARTA DE PRESENTACIÓN. R & R COMPUTER WORLD.NET E.IR.L. Ciro Alegría 550, Piso 2 Trujillo, Perú Tel: 044-211720 www.R&Rcomputer.com.pe R & R COMPUTER WORLD.NET E.I.R.L 23 de Febrero de 2014 Empresa Agroindustrial Danper Carretera industrial s/n - Moche La Libertad, Trujillo Perú Atención: Sr. Eduardo Gorriti Lozano Analista de Seguridad Hemos auditado las políticas de seguridad de la información del área de sistemas de la Empresa Agroindustrial Danper, de acuerdo a la norma técnica peruana – NTP, generalmente aceptados en Perú, sobre los cuales hemos emitido nuestro dictamen sin salvedades el 22 de febrero de 2014. No hemos realizado ningún procedimiento de auditoría después de la fecha de nuestro dictamen sobre las políticas de la seguridad de la información; por consiguiente este informe está basado en nuestro conocimiento a esa fecha y debe ser leído con ese entendimiento. En la planeación y ejecución de nuestra auditoría de la política de la seguridad de la información del área de sistemas de la Empresa Agroindustrial Danper. , hemos considerado el sistema de acceso a cuentas de usuarios, políticas de control de contraseña, y procedimientos y manuales de la política de seguridad del con el fin de determinar nuestros procedimientos de auditoría para propósito de expresar una opinión sobre el estado de la política de seguridad.
Como es de su conocimiento, el área de sistemas es responsable de establecer y mantener las políticas de seguridad de la información, evaluando los beneficios esperados de los controles en relación con el costo de implementarlos, así como asegurarse que sea establecido, y de actualizarlo, si fuera preciso, de acuerdo con las circunstancias. Los objetivos del área de sistemas son proporcionar a la compañía seguridad razonable de la información de la Compañía se encuentran salvaguardados contra pérdidas por ejecutadas uso de o disposición acuerdo con no autorizados, autorizaciones y de que la las transacciones Gerencia y son registradas apropiadamente de modo que permitan la preparación y presentación de la política de la seguridad de la información de acuerdo con principios de la norma NTP generalmente aceptados en Perú. Cabe destacar que el área de sistemas tiene limitaciones que les son inherentes, por lo que siempre existe la posibilidad de que errores detectadas por los ingenieros del área de sistemas puedan ocurrir y no sean durante el curso normal de realizar sus funciones. Como resultado de nuestra consideración del área de sistema efectuada con el fin señalado en el procedimientos primer de párrafo auditoría, de este hemos informe, desarrollado y de la ciertas ejecución de observaciones los y recomendaciones que fueron discutidas con el responsable del área de sistemas, y comprenden aspectos relacionados con: Asuntos de políticas de Seguridad de la Información Cuentas de usuario Política de contraseña Controles y procedimientos. Este informe, que incluye los comentarios del responsable del área de sistemas, se emite para información y uso del área de sistemas de la Compañía. Atentamente, ----------------------------------------------------R & R COMPUTER WORLD.NET E.I.R.L
 EL DICTAMEN DE LA AUDITORÍA. R & R COMPUTER WORLD.NET E.I.R.L, ha realizado una revisión del ambiente de procesamiento que soporta la política de seguridad de la información para el periodo Febrero 2014 de la empresa Agroindustrial Danper. Esta revisión consiste en verificar la eficacia de los controles generales y así proveer una seguridad razonable de la integridad de la información procesada. Nuestra metodología de trabajo se basó principalmente en indagación, revisión de documentación de Danper. Debido a que es un trabajo realizado como parte de la Auditoría Externa se realizó con la misma profundidad con la que desarrollamos una auditoría interna de tecnologías de la información. De acuerdo a nuestro enfoque de auditoría, el alcance de la revisión ha sido definido considerando los aspectos de mayor riesgo. Para el presente año, se efectuó una revisión de los siguientes aspectos: I. Evaluación del diseño e implementación de los siguientes controles generales del ambiente de procesamiento de la seguridad:   Políticas de control de contraseña  II. Seguridad de acceso a cuentas de usuarios, Procedimientos y manuales de la política de seguridad Pruebas de eficacia operativa sobre los siguientes controles generales de acuerdo a los riesgos identificados:  Seguridad de Accesos  Política de contraseña  Procedimientos de seguridad
 EL INFORME DE SITUACIONES RELEVANTES. El informe se encuentra dividido en tres partes:  Parte 1: provee una descripción general del ambiente de procesamiento del área de sistemas evaluado para exponer el contexto de los comentarios del informe.  Parte 2: provee un resumen de los hallazgos que implican eventuales riesgos para el procesamiento confiable de la información de la empresa.  Parte 3: provee el detalle de los comentarios con el respectivo riesgo, recomendación y comentario del responsable. Parte 1 – Ambiente de Procesamiento El ambiente de procesamiento del área de sistemas de la compañía evaluado en la presente auditoría incluye lo siguiente:  Acceso de cuentas – sistema que permite el soporte del alta o baja de cuentas de usuario.  Política de contraseña – requisitos del nivel de seguridad.  Procedimientos de secuencialmente la seguridad: forma de documentos realizar las escritos que actividades para describe lograr el objetivo. Parte 2 – Principales Hallazgo Como resultado de nuestra revisión, se han identificado riesgos significativos a reportar. Señalando ciertas observaciones y recomendaciones que el responsable del área de sistema de la compañía debe considerar para el procesamiento confiable de la información. Los principales hallazgos son los siguientes:  Deficiencias en la gestión de bitácoras de mesa de ayuda.  Deficiencia de mejora sobre políticas de acceso en el controlador de dominio Windows.  Ausencia de plan de continuidad del negocio y plan de recuperación de desastres.
Parte 3 – Detalle de los Hallazgos y Recomendaciones ANEXOS Y CUADROS ADICIONALES. HALLAZGOS Hallazgo2: La continuidad del suministro de energía no está garantizada. Hallazgos 5: Inadecuada gestión de accesos a la plataforma tecnológica de la organización Certificados: http://www.danper.com/Web/es/paginas/AseguramientoSistemasCalidad.aspx
Gracias

Recommandé

Normas iso en industrias lacteas
Normas iso en industrias lacteasNormas iso en industrias lacteas
Normas iso en industrias lacteas
INGSOCARRAS
 
Graficas de auditoria
Graficas de auditoriaGraficas de auditoria
Graficas de auditoria
carlitos_8881
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
costosyauditorias
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
Gustavo Specht
 
ISO 18000 OHSAS
ISO 18000 OHSASISO 18000 OHSAS
ISO 18000 OHSAS
samantharisa
 
Ejemplo lista de verificacion
Ejemplo lista de verificacionEjemplo lista de verificacion
Ejemplo lista de verificacion
Herandy Ortega
 
Entrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasEntrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemas
modayestilo
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
Primala Sistema de Gestion
 

Recommandé

Normas iso en industrias lacteas
Normas iso en industrias lacteasNormas iso en industrias lacteas
Normas iso en industrias lacteas
INGSOCARRAS
 
Graficas de auditoria
Graficas de auditoriaGraficas de auditoria
Graficas de auditoria
carlitos_8881
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
costosyauditorias
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
Gustavo Specht
 
ISO 18000 OHSAS
ISO 18000 OHSASISO 18000 OHSAS
ISO 18000 OHSAS
samantharisa
 
Ejemplo lista de verificacion
Ejemplo lista de verificacionEjemplo lista de verificacion
Ejemplo lista de verificacion
Herandy Ortega
 
Entrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasEntrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemas
modayestilo
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
Primala Sistema de Gestion
 
Plan de auditoría fabricacion
Plan de auditoría fabricacionPlan de auditoría fabricacion
Plan de auditoría fabricacion
costosyauditorias
 
Manual despulpadora
Manual despulpadoraManual despulpadora
Manual despulpadora
Alonso Bautista
 
Iso 45001
Iso 45001Iso 45001
Iso 45001
Miüller Villalva
 
Sistema integrado de gestión
Sistema integrado de gestiónSistema integrado de gestión
Sistema integrado de gestión
SST299626
 
Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)
LUIS GONZALEZ BACA
 
Eq.2 aseguramiento de calidad
Eq.2 aseguramiento de calidadEq.2 aseguramiento de calidad
Eq.2 aseguramiento de calidad
Maria del Refugio Palacios
 
Gestion riesgos BPM
Gestion riesgos BPMGestion riesgos BPM
Gestion riesgos BPM
Juan Camilo Parra
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
Alfredo Silva
 
Norma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyoNorma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyo
Universidad Nacional Experimental Francisco de Miranda
 
Informe visita a la planta pesquera
Informe visita a la planta pesqueraInforme visita a la planta pesquera
Informe visita a la planta pesquera
Jhonás A. Vega
 
Empresa de yogurt
Empresa de yogurtEmpresa de yogurt
Empresa de yogurt
JhoNatan Gaucha
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIA
Adrian Zaragoza Tapia
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Fichas y diagramas de flujo productos choncho´s meat s
Fichas y diagramas de flujo productos choncho´s meat sFichas y diagramas de flujo productos choncho´s meat s
Fichas y diagramas de flujo productos choncho´s meat s
Dalia Mendoza
 
Nectares
NectaresNectares
Nectares
ivangenio1989
 
Análisis foda
Análisis fodaAnálisis foda
Análisis foda
abreujoseramon
 
actualizacion norma iso 9001 2015 2018
actualizacion norma iso 9001 2015 2018actualizacion norma iso 9001 2015 2018
actualizacion norma iso 9001 2015 2018
Primala Sistema de Gestion
 
Power point norma iso 14001
Power point norma iso 14001Power point norma iso 14001
Power point norma iso 14001
Virtualización Distancia Empresas
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicion
costosyauditorias
 
El Contexto de la Organización en la ISO 9001
El Contexto de la Organización en la ISO 9001El Contexto de la Organización en la ISO 9001
El Contexto de la Organización en la ISO 9001
Fsc. Xavier Trujillo Rius
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
UTZAC Unidad Académica de Pinos
 

Contenu connexe

Tendances

Plan de auditoría fabricacion
Plan de auditoría fabricacionPlan de auditoría fabricacion
Plan de auditoría fabricacion
costosyauditorias
 
Sistema integrado de gestión
Sistema integrado de gestiónSistema integrado de gestión
Sistema integrado de gestión
SST299626
 
Informe visita a la planta pesquera
Informe visita a la planta pesqueraInforme visita a la planta pesquera
Informe visita a la planta pesquera
Jhonás A. Vega
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicion
costosyauditorias
 

Tendances (20)

Plan de auditoría fabricacion
Plan de auditoría fabricacionPlan de auditoría fabricacion
Plan de auditoría fabricacion
 
Manual despulpadora
Manual despulpadoraManual despulpadora
Manual despulpadora
 
Iso 45001
Iso 45001Iso 45001
Iso 45001
 
Sistema integrado de gestión
Sistema integrado de gestiónSistema integrado de gestión
Sistema integrado de gestión
 
Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)
 
Eq.2 aseguramiento de calidad
Eq.2 aseguramiento de calidadEq.2 aseguramiento de calidad
Eq.2 aseguramiento de calidad
 
Gestion riesgos BPM
Gestion riesgos BPMGestion riesgos BPM
Gestion riesgos BPM
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
 
Norma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyoNorma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyo
 
Informe visita a la planta pesquera
Informe visita a la planta pesqueraInforme visita a la planta pesquera
Informe visita a la planta pesquera
 
Empresa de yogurt
Empresa de yogurtEmpresa de yogurt
Empresa de yogurt
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIA
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Fichas y diagramas de flujo productos choncho´s meat s
Fichas y diagramas de flujo productos choncho´s meat sFichas y diagramas de flujo productos choncho´s meat s
Fichas y diagramas de flujo productos choncho´s meat s
 
Nectares
NectaresNectares
Nectares
 
Análisis foda
Análisis fodaAnálisis foda
Análisis foda
 
actualizacion norma iso 9001 2015 2018
actualizacion norma iso 9001 2015 2018actualizacion norma iso 9001 2015 2018
actualizacion norma iso 9001 2015 2018
 
Power point norma iso 14001
Power point norma iso 14001Power point norma iso 14001
Power point norma iso 14001
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicion
 
El Contexto de la Organización en la ISO 9001
El Contexto de la Organización en la ISO 9001El Contexto de la Organización en la ISO 9001
El Contexto de la Organización en la ISO 9001
 

Similaire à Auditoria danper

Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
mia
 
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWAREIMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
CINDY1397
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
blegro
 
Auditoria de sistemas presen. 1
Auditoria de sistemas presen. 1Auditoria de sistemas presen. 1
Auditoria de sistemas presen. 1
isakatime
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
analisis y diseño de sistemas de informacion
analisis y diseño de sistemas de informacionanalisis y diseño de sistemas de informacion
analisis y diseño de sistemas de informacion
Jorge Jimenez
 

Similaire à Auditoria danper (20)

Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Auditoriasistemas
AuditoriasistemasAuditoriasistemas
Auditoriasistemas
 
Tema 8
Tema 8Tema 8
Tema 8
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complemento
 
Eje tematico no. 6 (1)
Eje tematico no. 6 (1)Eje tematico no. 6 (1)
Eje tematico no. 6 (1)
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Modulo
ModuloModulo
Modulo
 
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWAREIMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
IMPLANTACIÓN, ADMINISTRACIÓN DEL DESARROLLO Y SELECCIÓN DE HARDWARE Y SOFTWARE
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoria de sistemas presen. 1
Auditoria de sistemas presen. 1Auditoria de sistemas presen. 1
Auditoria de sistemas presen. 1
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Mapa mental TS2
Mapa mental TS2Mapa mental TS2
Mapa mental TS2
 
Dictamen
DictamenDictamen
Dictamen
 
analisis y diseño de sistemas de informacion
analisis y diseño de sistemas de informacionanalisis y diseño de sistemas de informacion
analisis y diseño de sistemas de informacion
 

Plus de Manuel Tapia Cruz

Circuitos electronicos malvino
Circuitos electronicos malvinoCircuitos electronicos malvino
Circuitos electronicos malvino
Manuel Tapia Cruz
 
Metodología desarrollada para prácticas de
Metodología desarrollada para prácticas deMetodología desarrollada para prácticas de
Metodología desarrollada para prácticas de
Manuel Tapia Cruz
 
Sistemas scada 2da edicion (capítulo 1)
Sistemas scada 2da edicion (capítulo 1)Sistemas scada 2da edicion (capítulo 1)
Sistemas scada 2da edicion (capítulo 1)
Manuel Tapia Cruz
 

Plus de Manuel Tapia Cruz (10)

Subneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cSubneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,c
 
ELECTRONICA DE POTENCIA
ELECTRONICA DE POTENCIAELECTRONICA DE POTENCIA
ELECTRONICA DE POTENCIA
 
SOLUCIÓN DOMÓTICA PARA LA AUTOMATIZACION DE SERVICIOS DEL HOGAR BASADO EN LA ...
SOLUCIÓN DOMÓTICA PARA LA AUTOMATIZACION DE SERVICIOS DEL HOGAR BASADO EN LA ...SOLUCIÓN DOMÓTICA PARA LA AUTOMATIZACION DE SERVICIOS DEL HOGAR BASADO EN LA ...
SOLUCIÓN DOMÓTICA PARA LA AUTOMATIZACION DE SERVICIOS DEL HOGAR BASADO EN LA ...
 
Circuitos electronicos malvino
Circuitos electronicos malvinoCircuitos electronicos malvino
Circuitos electronicos malvino
 
SISTEMA DOMOTICO PARA LA AUTOMATIZACION DE SERVICIOS DE UN HOGAR BASADO EN LA...
SISTEMA DOMOTICO PARA LA AUTOMATIZACION DE SERVICIOS DE UN HOGAR BASADO EN LA...SISTEMA DOMOTICO PARA LA AUTOMATIZACION DE SERVICIOS DE UN HOGAR BASADO EN LA...
SISTEMA DOMOTICO PARA LA AUTOMATIZACION DE SERVICIOS DE UN HOGAR BASADO EN LA...
 
Sistemas Domoticos
Sistemas DomoticosSistemas Domoticos
Sistemas Domoticos
 
Metodología desarrollada para prácticas de
Metodología desarrollada para prácticas deMetodología desarrollada para prácticas de
Metodología desarrollada para prácticas de
 
Correccion factor potencia
Correccion factor potenciaCorreccion factor potencia
Correccion factor potencia
 
CURSO DE TDT EN PERU
CURSO DE TDT EN PERUCURSO DE TDT EN PERU
CURSO DE TDT EN PERU
 
Sistemas scada 2da edicion (capítulo 1)
Sistemas scada 2da edicion (capítulo 1)Sistemas scada 2da edicion (capítulo 1)
Sistemas scada 2da edicion (capítulo 1)
 

Auditoria danper

  • 1. Facultad de Ingeniería Escuela de Ingeniería de Sistemas AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN “AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN” Integrantes          Ing. :Patricia Gissela Pereyra Salvador Aguilar Asmat, José Pablo Álvarez Untul, Walter Abel Cruz Gálvez, Juan Apolinar Javiel Valverde, Angela Victoria López Ledesma, Carlos Alfredo Méndez Asmat, Martin David Muñoz Nole, Ronald Junior Quispe Paucar, Margarita Grace Tapia Cruz, William Manuel TRUJILLO – PERÚ 2014
  • 3. ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA 1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra Salvador en la Universidad César Vallejo. Esto dio como consecuencia el desarrollo de un proyecto que el grupo desarrollara para el responsable de la Empresa Agroindustrial Danper, siendo una Auditoria Externa. 2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA. 2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL ÁREA. Se realizó una primera reunión con el personal que labora en Danper brindándonos los primeros alcances mostrados en el primer avance del informe.
  • 4. 3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA. 3.1 OBJETIVO GENERAL Objetivo General Evaluar del Cumplimiento de la Política de Seguridad de la Información. 3.2 OBJETIVOS PARTICULARES Objetivos Específicos Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. Verificar y evaluar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Verificar plan de continuidad de negocio y plan de recuperación de desastres.
  • 5. 4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA. 4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL DEL AREA DE SISTEMAS. En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y actividades diarias, según el puesto o cargo que desempeña dentro del área. La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos deben ser considerados al momento de diseñar un sistema de seguridad. Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente. La dependencia del sistema a nivel operativo y técnico. La evaluación del grado de capacitación operativa y técnico. Registro del personal del acceso operativo y administrativos a los sistemas. Conocer la capacitación del personal en situaciones de emergencia. Se evaluará en los aspectos de control de acceso el Registro del personal del acceso operativo y administrativos a los sistemas. Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema necesite para realizar sus labores.
  • 6. 4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL CENTRO DE CÓMPUTO. Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente brindando seguridad a los usuarios y consiguiente al equipamiento. Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o un accidente dentro de los ambientes que se trabajan. 4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de sistemas. Es evidente que es esta evaluación se contemplará la protección y resguardo de la información de la empresa. Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los sistemas asignados. En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario. Para la evaluación de las contraseñas se comprobará a cada usuario: La asignación de la contraseña Inicial y Sucesiva. Longitud mínima y composición de caracteres de la contraseña. Vigencia y caducidad de la contraseña. Numero de intentos que se permiten al usuario para el acceso del sistema.
  • 7. 4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y REGISTRO DE LOS SISTEMAS. La evaluación de la información, documentación y registro de los sistema de información serán sometido a un examen detallado de sus características de seguridad, que culmina con extensas pruebas de funcionamiento y test. El grado de examen depende del nivel de confianza deseado por los objetivos de evaluación. Para proporcionar diferentes grados de confianza, utilizaremos los Criterios de Evaluación de Seguridad en Tecnologías de Información CESTI, este ofrece un servicio de evaluación de la seguridad de sistemas y productos de las Tecnologías de la Información en conformidad con los estándares internacionales. 4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES. No se realizara la evaluación de los sistemas ya que lo auditado será el acceso de la información.
  • 8. 4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS. El tipo de auditoria a utilizar es Externa. Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus sistemas de Información. En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas. 4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA AUDITORÍA. Se ha determinado los recursos materiales, humanos, tecnológicos y económicos: 4.7.1. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por la empresa. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el usuario. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del auditado para verificarlos.
  • 9. b. Recursos materiales Hardware Los recursos de hardware que el auditor necesita son proporcionados por la empresa. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. 4.7.2. Recursos Humanos La cantidad de recursos depende del alcance auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Se tiene presente, que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. El equipo de Auditoria está conformado por 9 integrantes.
  • 10. Perfiles de los Auditores Informáticos CARGO Actividades y conocimientos deseables JEFE DEL EQUIPO PROYECTO AUDITOR INFORMÁTICA. DE DE Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. de Responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Carlos, López Ledesma. Experto en Proyectos Desarrollo Ronald, Muñoz Nole Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Martin, Méndez Asmat Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Walter, Alvares Untul. Experto en Software Comunicación de Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. y Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Juan, Cruz Galvez. Experto en Explotación Gestión de CPD´S Grace, Quispe Paucar Técnico de Organización Experto organizador y Especialista en el análisis información. Angela, Javiel Valverde Técnico Costes de evaluación de coordinador. de flujos de Con conocimiento de Informática. Gestión de costes. Manuel, Tapia Cruz Técnico en Ofimática. Técnico de Computación e Informático. Especialista en Gestión Documentaría Pablo, Aguilar Asmat. 4.7.3. Recurso Tecnológico Los recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora, internet y celular. 4.7.4. Recurso Económico. En este recurso se considera los gastos operativos y de movilidad.
  • 11.
  • 12. 5.1.2 DEFINICIÓN DE OBJETIVOS. Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios. Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones). Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico. Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. El acceso a información restringida debe estar controlado Se recomienda el uso de sistemas automatizados de autenticación que manejen credenciales o firmas digitales Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie. Verificar y solicitar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucré controles humanos, físicos técnicos y administrativos. La Subárea de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17. NORMA TÉCNICA PERUANA 27001:2008 OBJETIVOS DE CONTROL Y CONTROLES 5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA. 5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. 5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA. Estrategias 1. Formalizar la AI en la organización, a través de: *Cursos de Acción justificados *Documentos de justificación a Alta Dirección *Difusión de la AI en las Áreas relacionadas *Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta Dirección: *Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y confiables. *Apoyo a los objetivos del negocio. *Verificación del uso de la Tecnología en el negocio. *Proceso de Evaluación y justificación. *Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de negocio. *Uso de Metodologías, Técnicas, Herramientas.
  • 18.
  • 19. 5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA
  • 20. 5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA I VISITA PRELIMINAR Solicitud de Manuales y Documentos del Área. Recopilación de información de la Área: Estructura, recursos humanos, presupuestos. Elaboración de los cuestionarios. II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal. Entrevista con los encargados y usuarios más importantes del Área. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos Evaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseño lógico, estado del hardware y software. Evaluación del proceso de datos: seguridad de los datos, seguridad física y procedimientos de respaldo III REVISION Y PRE INFORME Revisión de los documentos y reportes del trabajo Determinación del diagnóstico e implicancias Elaboración de la carta a gerencia Elaboración del borrador IV Informe Conclusiones finales Elaboración y presentación del informe
  • 21. ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA. Se aplicara los instrumentos y herramientas para auditoria: Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e instrumentos de muestreo, listas de chequeo (Check-list). Controles administrativos: Recolección de documentos como: políticas y normatividad general referente a la seguridad del sistema. Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad. Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios. Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad. Ejemplo: Control de acceso y autorización. A evaluar: Controles Administrativos Existe una política específica del sistema para el manejo de seguridad Existen políticas para el manejo de sistemas operativos. Requerimientos para autenticación de usuarios Existe un ente encargado de dar solución a incidentes de seguridad Si está respaldada por los directivos Define procedimientos, son claros y entendibles Designa personal responsable. Si hay penalidades y acciones disciplinarias. Si los procedimientos son actualizados periódicamente. Si conocen los usuarios y personal adecuado las políticas. Controles Operacionales Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal, efectiva administración de usuarios, registro de intrusos, planes de contingencia Controles Técnicos Identificación y autenticación, control de acceso , auditoria, detección de intrusos.
  • 22. 3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS DE DESVIACIONES ENCONTRADOS. Formatos resultantes del examen especial de Auditoría Auditoría de la Dirección de TI. ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS. 1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS. 1.2.1 Ausencia de bitácora de Mesa de Ayuda Se verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que atiende el responsable de soporte. 1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de dominio Windows Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los sistemas de información. 1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de Desastres Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y Recuperación de desastres que contemple los procedimientos de recuperación para todas las áreas críticas de la empresa. 1.2.4 Ausencia de Políticas de Seguridad de Información Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al 100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información. 1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios. 1.2.6 Ausencia de procedimientos y controles de incidencias en la Red Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo permanente de las incidencias en la red.
  • 23.
  • 24. 2. ELABORAR EL DICTAMEN FINAL. 2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES DETECTADAS. DOCUMENTO DE DESVIACIONES DETECTADAS. Contenidos fundamentales: Objetivos: Emitir los resultados de la auditoría de una manera clara para que se identifique con el cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de decisiones Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias y las posteriores acciones de seguimiento a establecer, Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta. Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no deseadas Categorización de las desviaciones: Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones encontradas. Para ello deberá acogerse a los criterios que la organización haya establecido, que pueden ser de muchos tipos. Sin embargo generalmente se realizan considerando aspectos como los siguientes Indican que el sistema falla Implican un riesgo importante en la calidad del producto/servicio Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el sistema. Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen una implantación inadecuada Deben solucionarse inmediatamente.
  • 25.
  • 26. 2.2. ELABORAR EL INFORME Y EL DICTAMEN FORMALES. DICTAMEN FORMALES En este dictamen se tiene que analizar cuestiones siguientes, que afectan tanto al proceso de asignación de usuarios y contraseñas e información. Primer lugar l alcance del dictamen supone el estudio de la competencia de la tecnología de la información y el estudio de la habilidad para guardar información y hacer cumplir con los procedimiento de y las normas establecidas por la empresa y acatarlas como indica dicha documentación. en segundo lugar corresponde tratar los aspectos relativos a la observación de los requisitos y la exigencias establecidas en los proceso de auditoría de sistemas de información encargada de la organización, procedimientos y los regañes establecidos por la administración. Las normas que desarrollan y al resto del ordenamiento. Esto último conlleva, necesariamente, un análisis detallado del marco normativo en que se encuadra la disposición del proyecto.
  • 27. 3. PRESENTAR EL INFORME DE AUDITORÍA.  LA CARTA DE PRESENTACIÓN. R & R COMPUTER WORLD.NET E.IR.L. Ciro Alegría 550, Piso 2 Trujillo, Perú Tel: 044-211720 www.R&Rcomputer.com.pe R & R COMPUTER WORLD.NET E.I.R.L 23 de Febrero de 2014 Empresa Agroindustrial Danper Carretera industrial s/n - Moche La Libertad, Trujillo Perú Atención: Sr. Eduardo Gorriti Lozano Analista de Seguridad Hemos auditado las políticas de seguridad de la información del área de sistemas de la Empresa Agroindustrial Danper, de acuerdo a la norma técnica peruana – NTP, generalmente aceptados en Perú, sobre los cuales hemos emitido nuestro dictamen sin salvedades el 22 de febrero de 2014. No hemos realizado ningún procedimiento de auditoría después de la fecha de nuestro dictamen sobre las políticas de la seguridad de la información; por consiguiente este informe está basado en nuestro conocimiento a esa fecha y debe ser leído con ese entendimiento. En la planeación y ejecución de nuestra auditoría de la política de la seguridad de la información del área de sistemas de la Empresa Agroindustrial Danper. , hemos considerado el sistema de acceso a cuentas de usuarios, políticas de control de contraseña, y procedimientos y manuales de la política de seguridad del con el fin de determinar nuestros procedimientos de auditoría para propósito de expresar una opinión sobre el estado de la política de seguridad.
  • 28. Como es de su conocimiento, el área de sistemas es responsable de establecer y mantener las políticas de seguridad de la información, evaluando los beneficios esperados de los controles en relación con el costo de implementarlos, así como asegurarse que sea establecido, y de actualizarlo, si fuera preciso, de acuerdo con las circunstancias. Los objetivos del área de sistemas son proporcionar a la compañía seguridad razonable de la información de la Compañía se encuentran salvaguardados contra pérdidas por ejecutadas uso de o disposición acuerdo con no autorizados, autorizaciones y de que la las transacciones Gerencia y son registradas apropiadamente de modo que permitan la preparación y presentación de la política de la seguridad de la información de acuerdo con principios de la norma NTP generalmente aceptados en Perú. Cabe destacar que el área de sistemas tiene limitaciones que les son inherentes, por lo que siempre existe la posibilidad de que errores detectadas por los ingenieros del área de sistemas puedan ocurrir y no sean durante el curso normal de realizar sus funciones. Como resultado de nuestra consideración del área de sistema efectuada con el fin señalado en el procedimientos primer de párrafo auditoría, de este hemos informe, desarrollado y de la ciertas ejecución de observaciones los y recomendaciones que fueron discutidas con el responsable del área de sistemas, y comprenden aspectos relacionados con: Asuntos de políticas de Seguridad de la Información Cuentas de usuario Política de contraseña Controles y procedimientos. Este informe, que incluye los comentarios del responsable del área de sistemas, se emite para información y uso del área de sistemas de la Compañía. Atentamente, ----------------------------------------------------R & R COMPUTER WORLD.NET E.I.R.L
  • 29.  EL DICTAMEN DE LA AUDITORÍA. R & R COMPUTER WORLD.NET E.I.R.L, ha realizado una revisión del ambiente de procesamiento que soporta la política de seguridad de la información para el periodo Febrero 2014 de la empresa Agroindustrial Danper. Esta revisión consiste en verificar la eficacia de los controles generales y así proveer una seguridad razonable de la integridad de la información procesada. Nuestra metodología de trabajo se basó principalmente en indagación, revisión de documentación de Danper. Debido a que es un trabajo realizado como parte de la Auditoría Externa se realizó con la misma profundidad con la que desarrollamos una auditoría interna de tecnologías de la información. De acuerdo a nuestro enfoque de auditoría, el alcance de la revisión ha sido definido considerando los aspectos de mayor riesgo. Para el presente año, se efectuó una revisión de los siguientes aspectos: I. Evaluación del diseño e implementación de los siguientes controles generales del ambiente de procesamiento de la seguridad:   Políticas de control de contraseña  II. Seguridad de acceso a cuentas de usuarios, Procedimientos y manuales de la política de seguridad Pruebas de eficacia operativa sobre los siguientes controles generales de acuerdo a los riesgos identificados:  Seguridad de Accesos  Política de contraseña  Procedimientos de seguridad
  • 30.  EL INFORME DE SITUACIONES RELEVANTES. El informe se encuentra dividido en tres partes:  Parte 1: provee una descripción general del ambiente de procesamiento del área de sistemas evaluado para exponer el contexto de los comentarios del informe.  Parte 2: provee un resumen de los hallazgos que implican eventuales riesgos para el procesamiento confiable de la información de la empresa.  Parte 3: provee el detalle de los comentarios con el respectivo riesgo, recomendación y comentario del responsable. Parte 1 – Ambiente de Procesamiento El ambiente de procesamiento del área de sistemas de la compañía evaluado en la presente auditoría incluye lo siguiente:  Acceso de cuentas – sistema que permite el soporte del alta o baja de cuentas de usuario.  Política de contraseña – requisitos del nivel de seguridad.  Procedimientos de secuencialmente la seguridad: forma de documentos realizar las escritos que actividades para describe lograr el objetivo. Parte 2 – Principales Hallazgo Como resultado de nuestra revisión, se han identificado riesgos significativos a reportar. Señalando ciertas observaciones y recomendaciones que el responsable del área de sistema de la compañía debe considerar para el procesamiento confiable de la información. Los principales hallazgos son los siguientes:  Deficiencias en la gestión de bitácoras de mesa de ayuda.  Deficiencia de mejora sobre políticas de acceso en el controlador de dominio Windows.  Ausencia de plan de continuidad del negocio y plan de recuperación de desastres.
  • 31. Parte 3 – Detalle de los Hallazgos y Recomendaciones ANEXOS Y CUADROS ADICIONALES. HALLAZGOS Hallazgo2: La continuidad del suministro de energía no está garantizada. Hallazgos 5: Inadecuada gestión de accesos a la plataforma tecnológica de la organización Certificados: http://www.danper.com/Web/es/paginas/AseguramientoSistemasCalidad.aspx