1. Facultad de Ingeniería
Escuela de Ingeniería de Sistemas
AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN
“AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD
DE LA INFORMACIÓN”
Integrantes
Ing. :Patricia Gissela Pereyra Salvador
Aguilar Asmat, José Pablo
Álvarez Untul, Walter Abel
Cruz Gálvez, Juan Apolinar
Javiel Valverde, Angela Victoria
López Ledesma, Carlos Alfredo
Méndez Asmat, Martin David
Muñoz Nole, Ronald Junior
Quispe Paucar, Margarita Grace
Tapia Cruz, William Manuel
TRUJILLO – PERÚ
2014
3. ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES.
1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA
1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA
Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad
de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra
Salvador en la Universidad César Vallejo.
Esto dio como consecuencia el desarrollo de un proyecto que el
grupo desarrollara para el responsable de la Empresa Agroindustrial
Danper, siendo una Auditoria Externa.
2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA.
2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL
ÁREA.
Se realizó una primera reunión con el personal que labora en Danper
brindándonos los primeros alcances mostrados en el primer avance
del informe.
4. 3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA.
3.1 OBJETIVO GENERAL
Objetivo General
Evaluar del Cumplimiento de la Política de Seguridad de la
Información.
3.2 OBJETIVOS PARTICULARES
Objetivos Específicos
Verificar si el personal de sistemas tiene el conocimiento de la
Política de Seguridad de la Información.
Revisar y Verificar los usuarios que se encuentran activos en la
empresa y compararlo con el servidor Directorio Activo (AD).
Verificar como esta establecidos los permisos de los usuarios (niveles
y roles).
Evaluar y revisar los registros de auditoria de la seguridad de la
información, capacitaciones, política de gestión de contraseñas.
Verificar y evaluar procedimientos, políticas, manuales, relacionadas
a la seguridad de la información.
Verificar plan de continuidad de negocio y plan de recuperación de
desastres.
5. 4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA.
4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL
DEL AREA DE SISTEMAS.
En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y
actividades diarias, según el puesto o cargo que desempeña dentro del área.
La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del
personal al momento de trabajar con los sistemas informáticos, estos deben estar en
óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas
informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos
deben ser considerados al momento de diseñar un sistema de seguridad.
Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho
cuidado, ya que hablamos de las personas que están ligadas al sistema de información de
forma directa y se deberá contemplar principalmente.
La dependencia del sistema a nivel operativo y técnico.
La evaluación del grado de capacitación operativa y técnico.
Registro del personal del acceso operativo y administrativos a los sistemas.
Conocer la capacitación del personal en situaciones de emergencia.
Se evaluará en los aspectos de control de acceso el Registro del personal del acceso
operativo y administrativos a los sistemas.
Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema
necesite para realizar sus labores.
6. 4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL
CENTRO DE CÓMPUTO.
Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la
instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente
brindando seguridad a los usuarios y consiguiente al equipamiento.
Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o
un accidente dentro de los ambientes que se trabajan.
4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN.
Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de
sistemas.
Es evidente que es esta evaluación se contemplará la protección y resguardo de la
información de la empresa.
Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los
sistemas asignados.
En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario.
Para la evaluación de las contraseñas se comprobará a cada usuario:
La asignación de la contraseña Inicial y Sucesiva.
Longitud mínima y composición de caracteres de la contraseña.
Vigencia y caducidad de la contraseña.
Numero de intentos que se permiten al usuario para el acceso del sistema.
7. 4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y
REGISTRO DE LOS SISTEMAS.
La evaluación de la información, documentación y registro de los
sistema de información serán sometido a un examen detallado de sus
características de seguridad, que culmina con extensas pruebas de
funcionamiento y test.
El grado de examen depende del nivel de confianza deseado por los
objetivos de evaluación.
Para proporcionar diferentes grados de confianza, utilizaremos los
Criterios de Evaluación de Seguridad en Tecnologías de Información
CESTI, este ofrece un servicio de evaluación de la seguridad de
sistemas y productos de las Tecnologías de la Información en
conformidad con los estándares internacionales.
4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y
COMPONENTES.
No se realizara la evaluación de los sistemas ya que lo auditado será
el acceso de la información.
8. 4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS.
El tipo de auditoria a utilizar es Externa. Con una auditoría de
seguridad se da una visión exacta del nivel de exposición de sus
sistemas de Información.
En la auditoría se verifica la seguridad en la autenticidad,
confidencialidad, integridad, disponibilidad y auditabilidad de la
información tratada por los sistemas.
4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA
AUDITORÍA.
Se ha determinado los recursos materiales, humanos, tecnológicos y
económicos:
4.7.1. Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados
por la empresa. Las herramientas de software propias del equipo van a utilizarse
igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y
horas de uso entre el auditor y el usuario.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden
a las ejecuciones de los procesos del auditado para verificarlos.
9. b. Recursos materiales Hardware
Los recursos de hardware que el auditor necesita son proporcionados
por la empresa. Los procesos de control deben efectuarse
necesariamente en las Computadoras del auditado.
4.7.2. Recursos Humanos
La cantidad de recursos depende del alcance auditable. Las
características y perfiles del personal seleccionado dependen de la
materia auditable.
Se tiene presente, que la auditoría en general suele ser ejercida por
profesionales universitarios y por otras personas de probada
experiencia multidisciplinaria.
El equipo de Auditoria está conformado por 9 integrantes.
10. Perfiles de los Auditores Informáticos
CARGO
Actividades y conocimientos deseables
JEFE
DEL
EQUIPO
PROYECTO
AUDITOR
INFORMÁTICA.
DE
DE
Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado
en
Explotación
y
en
Desarrollo
de
Proyectos. Conocedor de Sistemas.
de
Responsable
de
proyectos.
Experto
analista. Conocedor de las metodologías de
Desarrollo más importantes.
Carlos, López Ledesma.
Experto
en
Proyectos
Desarrollo
Ronald, Muñoz Nole
Técnico de Sistemas
Experto en Sistemas Operativos y Software
Básico.
Conocedor
de
los
productos
equivalentes
en
el
mercado.
Amplios
conocimientos de Explotación.
Martin, Méndez Asmat
Experto en Bases de Datos
y
Administración
de
las
mismas.
Con experiencia en el mantenimiento de
Bases
de
Datos.
Conocimiento
de
productos
compatibles
y
equivalentes.
Buenos conocimientos de explotación
Walter, Alvares Untul.
Experto
en
Software
Comunicación
de
Alta especialización dentro de la técnica de
sistemas.
Conocimientos
profundos
de
redes. Muy experto en Subsistemas de
teleproceso.
y
Responsable de algún Centro de Cálculo.
Amplia experiencia en Automatización de
trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.
Juan, Cruz Galvez.
Experto en Explotación
Gestión de CPD´S
Grace, Quispe Paucar
Técnico de Organización
Experto
organizador
y
Especialista en el análisis
información.
Angela, Javiel Valverde
Técnico
Costes
de
evaluación
de
coordinador.
de flujos de
Con conocimiento de Informática. Gestión
de costes.
Manuel, Tapia Cruz
Técnico en Ofimática.
Técnico de Computación e Informático.
Especialista en Gestión Documentaría
Pablo, Aguilar Asmat.
4.7.3. Recurso Tecnológico
Los recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora,
internet y celular.
4.7.4. Recurso Económico.
En este recurso se considera los gastos operativos y de movilidad.
11.
12. 5.1.2 DEFINICIÓN DE OBJETIVOS.
Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información.
Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio
Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios.
Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones).
Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes
independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus
requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor
superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias
aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico.
Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión
de contraseñas. El
acceso
a
información
restringida
debe
estar
controlado Se
recomienda el uso
de sistemas automatizados de autenticación que manejen credenciales o firmas digitales
Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser
cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie.
Verificar y
solicitar
procedimientos, políticas, manuales, relacionadas a la seguridad de la información.
Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que
involucré
controles
humanos,
físicos
técnicos
y
administrativos. La Subárea
de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim
ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y
técnicas de hacking.
13.
14.
15.
16.
17. NORMA TÉCNICA PERUANA 27001:2008
OBJETIVOS DE CONTROL Y CONTROLES
5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA.
5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA.
Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con
el servidor Directorio Activo (AD).
Verificar como esta establecidos los permisos de los usuarios (niveles y roles).
Evaluar y revisar los registros de auditoria de la seguridad de la información,
capacitaciones, política de gestión de contraseñas.
5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA.
Estrategias
1. Formalizar la AI en la organización, a través de:
*Cursos de Acción justificados
*Documentos de justificación a Alta Dirección
*Difusión de la AI en las Áreas relacionadas
*Desarrollo del proceso de AI
2. Auditoria Permanente para garantizar a la Alta Dirección:
*Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y
confiables.
*Apoyo a los objetivos del negocio.
*Verificación del uso de la Tecnología en el negocio.
*Proceso de Evaluación y justificación.
*Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de
negocio.
*Uso de Metodologías, Técnicas, Herramientas.
18.
19. 5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA
20. 5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA
I VISITA PRELIMINAR
Solicitud de Manuales y Documentos del Área.
Recopilación de información de la Área: Estructura, recursos humanos, presupuestos.
Elaboración de los cuestionarios.
II DESARROLLO DE LA AUDITORIA
Aplicación del cuestionario al personal.
Entrevista con los encargados y usuarios más importantes del Área.
Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos
Evaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseño
lógico, estado del hardware y software.
Evaluación del proceso de datos: seguridad de los datos, seguridad física y
procedimientos de respaldo
III REVISION Y PRE INFORME
Revisión de los documentos y reportes del trabajo
Determinación del diagnóstico e implicancias
Elaboración de la carta a gerencia
Elaboración del borrador
IV Informe
Conclusiones finales
Elaboración y presentación del informe
21. ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES
2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA.
Se aplicara los instrumentos y herramientas para auditoria:
Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e
instrumentos de muestreo, listas de chequeo (Check-list).
Controles administrativos: Recolección de documentos como: políticas y normatividad general
referente a la seguridad del sistema.
Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad.
Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios.
Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad.
Ejemplo: Control de acceso y autorización.
A evaluar:
Controles Administrativos
Existe una política específica del sistema para el manejo de seguridad
Existen políticas para el manejo de sistemas operativos.
Requerimientos para autenticación de usuarios
Existe un ente encargado de dar solución a incidentes de seguridad
Si está respaldada por los directivos
Define procedimientos, son claros y entendibles
Designa personal responsable.
Si hay penalidades y acciones disciplinarias.
Si los procedimientos son actualizados periódicamente.
Si conocen los usuarios y personal adecuado las políticas.
Controles Operacionales
Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal,
efectiva administración de usuarios, registro de intrusos, planes de contingencia
Controles Técnicos
Identificación y autenticación, control de acceso , auditoria, detección de intrusos.
22. 3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS
DE DESVIACIONES ENCONTRADOS.
Formatos resultantes del examen especial de Auditoría
Auditoría de la Dirección de TI.
ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.
1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS.
1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS.
1.2.1 Ausencia de bitácora de Mesa de Ayuda
Se verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que
atiende el responsable de soporte.
1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de
dominio Windows
Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los
sistemas de información.
1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de
Desastres
Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia
a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y
Recuperación de desastres que contemple los procedimientos de recuperación para todas las
áreas críticas de la empresa.
1.2.4 Ausencia de Políticas de Seguridad de Información
Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al
100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información.
1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización
Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios.
1.2.6 Ausencia de procedimientos y controles de incidencias en la Red
Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo
permanente de las incidencias en la red.
23.
24. 2. ELABORAR EL DICTAMEN FINAL.
2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES
DETECTADAS.
DOCUMENTO DE DESVIACIONES DETECTADAS.
Contenidos fundamentales:
Objetivos:
Emitir los resultados de la auditoría de una manera clara para que se identifique con el
cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de
decisiones
Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias
y las posteriores acciones de seguimiento a establecer,
Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta.
Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del
incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no
deseadas
Categorización de las desviaciones:
Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones
encontradas. Para ello deberá acogerse a los criterios que la organización haya
establecido, que pueden ser de muchos tipos.
Sin embargo generalmente se realizan considerando aspectos como los siguientes
Indican que el sistema falla
Implican un riesgo importante en la calidad del producto/servicio
Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el
sistema.
Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen
una implantación inadecuada
Deben solucionarse inmediatamente.
25.
26. 2.2.
ELABORAR EL INFORME Y EL DICTAMEN FORMALES.
DICTAMEN FORMALES
En este dictamen se tiene que analizar cuestiones siguientes, que
afectan tanto al proceso de asignación de usuarios y contraseñas e
información.
Primer lugar l alcance del dictamen supone el estudio de la
competencia de la tecnología de la información y el estudio de la
habilidad para guardar información y hacer cumplir con los
procedimiento de y las normas establecidas por la empresa y
acatarlas como indica dicha documentación. en segundo lugar
corresponde tratar los aspectos relativos a la observación de los
requisitos y la exigencias establecidas en los proceso de auditoría de
sistemas de información encargada de la organización,
procedimientos y los regañes establecidos por la administración. Las
normas que desarrollan y al resto del ordenamiento. Esto último
conlleva, necesariamente, un análisis detallado del marco
normativo en que se encuadra la disposición del proyecto.
27. 3. PRESENTAR EL INFORME DE AUDITORÍA.
LA CARTA DE PRESENTACIÓN.
R & R COMPUTER WORLD.NET E.IR.L.
Ciro Alegría 550, Piso 2
Trujillo, Perú
Tel: 044-211720
www.R&Rcomputer.com.pe
R & R COMPUTER WORLD.NET E.I.R.L
23 de Febrero de 2014
Empresa Agroindustrial Danper
Carretera industrial s/n - Moche
La Libertad, Trujillo
Perú
Atención: Sr. Eduardo Gorriti Lozano
Analista de Seguridad
Hemos auditado las políticas de seguridad de la información del área de
sistemas
de la
Empresa Agroindustrial Danper, de acuerdo a la norma
técnica peruana – NTP, generalmente aceptados en Perú, sobre los cuales
hemos emitido nuestro dictamen sin salvedades el 22 de febrero de 2014. No
hemos realizado ningún procedimiento de auditoría después de la fecha de
nuestro dictamen sobre las políticas de la seguridad de la información; por
consiguiente este informe está basado en nuestro conocimiento a esa fecha y
debe ser leído con ese entendimiento.
En la planeación y ejecución de nuestra auditoría de la política de la seguridad de la
información del área de sistemas de la
Empresa Agroindustrial Danper. , hemos
considerado el sistema de acceso a cuentas de usuarios, políticas de control de
contraseña, y procedimientos y manuales de la política de seguridad del con el fin
de determinar nuestros procedimientos de auditoría para propósito de expresar una
opinión sobre el estado de la política de seguridad.
28. Como es de su conocimiento, el área de sistemas es responsable de establecer y
mantener
las
políticas
de
seguridad
de
la
información,
evaluando
los
beneficios
esperados de los controles en relación con el costo de implementarlos, así como
asegurarse que sea establecido, y de actualizarlo, si fuera preciso, de acuerdo con
las circunstancias.
Los
objetivos
del
área
de
sistemas
son
proporcionar
a
la
compañía
seguridad
razonable de la información de la Compañía se encuentran salvaguardados contra
pérdidas
por
ejecutadas
uso
de
o
disposición
acuerdo
con
no
autorizados,
autorizaciones
y
de
que
la
las
transacciones
Gerencia
y
son
registradas
apropiadamente de modo que permitan la preparación y presentación de la política
de
la
seguridad
de
la
información
de
acuerdo
con
principios
de
la
norma
NTP
generalmente aceptados en Perú.
Cabe destacar que el área de sistemas tiene limitaciones que les son inherentes,
por lo que siempre existe la posibilidad de que errores
detectadas
por
los
ingenieros
del
área
de
sistemas
puedan ocurrir y no sean
durante
el
curso
normal
de
realizar sus funciones.
Como resultado de nuestra consideración del área de sistema efectuada con el fin
señalado
en
el
procedimientos
primer
de
párrafo
auditoría,
de
este
hemos
informe,
desarrollado
y
de
la
ciertas
ejecución
de
observaciones
los
y
recomendaciones que fueron discutidas con el responsable del área de sistemas, y
comprenden aspectos relacionados con:
Asuntos de políticas de Seguridad de la Información
Cuentas de usuario
Política de contraseña
Controles y procedimientos.
Este informe, que incluye los comentarios del responsable del área de sistemas, se
emite para información y uso del área de sistemas de la Compañía.
Atentamente,
----------------------------------------------------R & R COMPUTER WORLD.NET E.I.R.L
29.
EL DICTAMEN DE LA AUDITORÍA.
R & R COMPUTER WORLD.NET E.I.R.L, ha realizado una revisión del ambiente de
procesamiento que soporta la política de seguridad de la información
para el
periodo Febrero 2014 de la empresa Agroindustrial Danper. Esta revisión consiste
en verificar la eficacia de los controles generales y así proveer una seguridad
razonable de la integridad de la información procesada.
Nuestra metodología de trabajo se basó principalmente en indagación, revisión de
documentación de Danper. Debido a que es un trabajo realizado como parte de la
Auditoría Externa
se realizó con la misma profundidad con la que desarrollamos una
auditoría interna de tecnologías de la información.
De acuerdo a nuestro enfoque de auditoría, el alcance de la revisión ha sido definido
considerando los aspectos de mayor riesgo. Para el presente año, se efectuó una
revisión de los siguientes aspectos:
I.
Evaluación
del
diseño
e
implementación
de
los
siguientes
controles
generales del ambiente de procesamiento de la seguridad:
Políticas de control de contraseña
II.
Seguridad de acceso a cuentas de usuarios,
Procedimientos y manuales de la política de seguridad
Pruebas de eficacia operativa sobre los siguientes controles generales de
acuerdo a los riesgos identificados:
Seguridad de Accesos
Política de contraseña
Procedimientos de seguridad
30.
EL INFORME DE SITUACIONES RELEVANTES.
El informe se encuentra dividido en tres partes:
Parte 1: provee una descripción general del ambiente de procesamiento del
área de sistemas evaluado para exponer el contexto de los comentarios del
informe.
Parte 2: provee un resumen de los hallazgos que implican eventuales
riesgos para el procesamiento confiable de la información de la empresa.
Parte 3: provee el detalle de los comentarios con el respectivo riesgo,
recomendación y comentario del responsable.
Parte 1 – Ambiente de Procesamiento
El ambiente de procesamiento del área de sistemas de la compañía evaluado en
la presente auditoría incluye lo siguiente:
Acceso de cuentas – sistema que permite el soporte del alta o baja de
cuentas de usuario.
Política de contraseña – requisitos del nivel de seguridad.
Procedimientos
de
secuencialmente
la
seguridad:
forma
de
documentos
realizar
las
escritos
que
actividades
para
describe
lograr
el
objetivo.
Parte 2 – Principales Hallazgo
Como resultado de nuestra revisión, se han identificado riesgos significativos
a
reportar.
Señalando
ciertas
observaciones
y
recomendaciones
que
el
responsable del área de sistema de la compañía debe considerar para el
procesamiento confiable de la información.
Los principales hallazgos son los siguientes:
Deficiencias en la gestión de bitácoras de mesa de ayuda.
Deficiencia de mejora sobre políticas de acceso en el controlador de
dominio Windows.
Ausencia de plan de continuidad del negocio y plan de recuperación de
desastres.
31. Parte 3 – Detalle de los Hallazgos y Recomendaciones
ANEXOS Y CUADROS ADICIONALES.
HALLAZGOS
Hallazgo2: La continuidad del suministro de energía no está garantizada.
Hallazgos 5: Inadecuada gestión de accesos a la plataforma tecnológica de la
organización
Certificados:
http://www.danper.com/Web/es/paginas/AseguramientoSistemasCalidad.aspx