Post on 04-Jul-2015
“AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD
DE LA INFORMACIÓN”
Integrantes Aguilar Asmat, José Pablo
Álvarez Untul, Walter Abel
Cruz Gálvez, Juan Apolinar
Javiel Valverde, Angela Victoria
López Ledesma, Carlos Alfredo
Méndez Asmat, Martin David
Muñoz Nole, Ronald Junior
Quispe Paucar, Margarita Grace
Tapia Cruz, William Manuel
AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN
Escuela de Ingeniería de Sistemas
Facultad de Ingeniería
Ing. :Patricia Gissela Pereyra Salvador TRUJILLO – PERÚ
2014
Danper
ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES.
1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA
1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA
Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad
de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra
Salvador en la Universidad César Vallejo.
Esto dio como consecuencia el desarrollo de un proyecto que el
grupo desarrollara para el responsable de la Empresa Agroindustrial
Danper, siendo una Auditoria Externa.
2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA.
2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL
ÁREA.
Se realizó una primera reunión con el personal que labora en Danper
brindándonos los primeros alcances mostrados en el primer avance
del informe.
3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA.
3.1 OBJETIVO GENERAL
Objetivo General
Evaluar del Cumplimiento de la Política de Seguridad de la
Información.
3.2 OBJETIVOS PARTICULARES
Objetivos Específicos
Verificar si el personal de sistemas tiene el conocimiento de la
Política de Seguridad de la Información.
Revisar y Verificar los usuarios que se encuentran activos en la
empresa y compararlo con el servidor Directorio Activo (AD).
Verificar como esta establecidos los permisos de los usuarios (niveles
y roles).
Evaluar y revisar los registros de auditoria de la seguridad de la
información, capacitaciones, política de gestión de contraseñas.
Verificar y evaluar procedimientos, políticas, manuales, relacionadas
a la seguridad de la información.
Verificar plan de continuidad de negocio y plan de recuperación de
desastres.
4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA.
4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL
DEL AREA DE SISTEMAS.
En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y actividades diarias, según el puesto o cargo que desempeña dentro del área.
La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos deben ser considerados al momento de diseñar un sistema de seguridad.Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente.
La dependencia del sistema a nivel operativo y técnico.La evaluación del grado de capacitación operativa y técnico.Registro del personal del acceso operativo y administrativos a los sistemas.Conocer la capacitación del personal en situaciones de emergencia.Se evaluará en los aspectos de control de acceso el Registro del personal del acceso operativo y administrativos a los sistemas.Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema necesite para realizar sus labores.
4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL
CENTRO DE CÓMPUTO.
Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente brindando seguridad a los usuarios y consiguiente al equipamiento.Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o un accidente dentro de los ambientes que se trabajan.
4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN.
Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de sistemas.Es evidente que es esta evaluación se contemplará la protección y resguardo de la información de la empresa.Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los sistemas asignados.En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario. Para la evaluación de las contraseñas se comprobará a cada usuario:
La asignación de la contraseña Inicial y Sucesiva.
Longitud mínima y composición de caracteres de la contraseña.Vigencia y caducidad de la contraseña. Numero de intentos que se permiten al usuario para el acceso del sistema.
4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y
REGISTRO DE LOS SISTEMAS.
La evaluación de la información, documentación y registro de los
sistema de información serán sometido a un examen detallado de sus
características de seguridad, que culmina con extensas pruebas de
funcionamiento y test.
El grado de examen depende del nivel de confianza deseado por los
objetivos de evaluación.
Para proporcionar diferentes grados de confianza, utilizaremos los
Criterios de Evaluación de Seguridad en Tecnologías de Información
CESTI, este ofrece un servicio de evaluación de la seguridad de
sistemas y productos de las Tecnologías de la Información en
conformidad con los estándares internacionales.
4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y
COMPONENTES.
No se realizara la evaluación de los sistemas ya que lo auditado será
el acceso de la información.
4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS.
El tipo de auditoria a utilizar es Externa. Con una auditoría de
seguridad se da una visión exacta del nivel de exposición de sus
sistemas de Información.
En la auditoría se verifica la seguridad en la autenticidad,
confidencialidad, integridad, disponibilidad y auditabilidad de la
información tratada por los sistemas.
4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA
AUDITORÍA.
Se ha determinado los recursos materiales, humanos, tecnológicos y
económicos:
4.7.1. Recursos materialesEs muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por la empresa. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el usuario.
Los recursos materiales del auditor son de dos tipos:a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del auditado para verificarlos.
b. Recursos materiales Hardware
Los recursos de hardware que el auditor necesita son proporcionados
por la empresa. Los procesos de control deben efectuarse
necesariamente en las Computadoras del auditado.
4.7.2. Recursos Humanos
La cantidad de recursos depende del alcance auditable. Las
características y perfiles del personal seleccionado dependen de la
materia auditable.
Se tiene presente, que la auditoría en general suele ser ejercida por
profesionales universitarios y por otras personas de probada
experiencia multidisciplinaria.
El equipo de Auditoria está conformado por 9 integrantes.
Perfiles de los Auditores Informáticos
CARGO Actividades y conocimientos deseables
JEFE DEL EQUIPO DE PROYECTO AUDITOR DE INFORMÁTICA.
Carlos, López Ledesma.
Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos
Ronald, Muñoz Nole
Responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas
Martin, Méndez Asmat
Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración de las mismas.
Walter, Alvares Untul.
Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación
Experto en Software de Comunicación
Juan, Cruz Galvez.
Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S
Grace, Quispe Paucar
Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.
Técnico de Organización
Angela, Javiel Valverde
Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costes
Manuel, Tapia Cruz
Con conocimiento de Informática. Gestión de costes.
Técnico en Ofimática.
Pablo, Aguilar Asmat.
Técnico de Computación e Informático. Especialista en Gestión Documentaría
4.7.3. Recurso TecnológicoLos recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora,
internet y celular.4.7.4. Recurso Económico.
En este recurso se considera los gastos operativos y de movilidad.
5.1.2 DEFINICIÓN DE OBJETIVOS.
Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información.
Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio
Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios.
Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones).
Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes
independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus
requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor
superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias
aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico.
Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión
de contraseñas. El acceso a información restringida debe estar controlado Se recomienda el uso
de sistemas automatizados de autenticación que manejen credenciales o firmas digitales
Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser
cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie.
Verificar y solicitar procedimientos, políticas, manuales, relacionadas a la seguridad de la información.
Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que
involucré controles humanos, físicos técnicos y administrativos. La Subárea
de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim
ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y
técnicas de hacking.
NORMA TÉCNICA PERUANA 27001:2008
OBJETIVOS DE CONTROL Y CONTROLES
5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA.5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA.
Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD).Verificar como esta establecidos los permisos de los usuarios (niveles y roles).Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas.
5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA.
Estrategias1. Formalizar la AI en la organización, a través de:*Cursos de Acción justificados*Documentos de justificación a Alta Dirección*Difusión de la AI en las Áreas relacionadas*Desarrollo del proceso de AI2. Auditoria Permanente para garantizar a la Alta Dirección:*Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y confiables.*Apoyo a los objetivos del negocio.*Verificación del uso de la Tecnología en el negocio.*Proceso de Evaluación y justificación.*Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de negocio.*Uso de Metodologías, Técnicas, Herramientas.
5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA
5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA
I VISITA PRELIMINARSolicitud de Manuales y Documentos del Área.Recopilación de información de la Área: Estructura, recursos humanos, presupuestos.Elaboración de los cuestionarios.
II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal.Entrevista con los encargados y usuarios más importantes del Área. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldosEvaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseñológico, estado del hardware y software.Evaluación del proceso de datos: seguridad de los datos, seguridad física y procedimientos de respaldo
III REVISION Y PRE INFORMERevisión de los documentos y reportes del trabajoDeterminación del diagnóstico e implicanciasElaboración de la carta a gerenciaElaboración del borrador
IV InformeConclusiones finalesElaboración y presentación del informe
ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES
2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA.
Se aplicara los instrumentos y herramientas para auditoria:
Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e
instrumentos de muestreo, listas de chequeo (Check-list).
Controles administrativos: Recolección de documentos como: políticas y normatividad general
referente a la seguridad del sistema.
Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad.
Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios.
Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad.
Ejemplo: Control de acceso y autorización.
A evaluar:
Controles Administrativos
Existe una política específica del sistema para el manejo de seguridad
Existen políticas para el manejo de sistemas operativos.
Requerimientos para autenticación de usuarios
Existe un ente encargado de dar solución a incidentes de seguridad
Si está respaldada por los directivos
Define procedimientos, son claros y entendibles
Designa personal responsable.
Si hay penalidades y acciones disciplinarias.
Si los procedimientos son actualizados periódicamente.
Si conocen los usuarios y personal adecuado las políticas.
Controles Operacionales
Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal,
efectiva administración de usuarios, registro de intrusos, planes de contingencia
Controles Técnicos
Identificación y autenticación, control de acceso , auditoria, detección de intrusos.
3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS DE DESVIACIONES ENCONTRADOS.Formatos resultantes del examen especial de AuditoríaAuditoría de la Dirección de TI.
ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.
1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS.1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS.
1.2.1 Ausencia de bitácora de Mesa de AyudaSe verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que atiende el responsable de soporte.
1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de dominio Windows
Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los sistemas de información.
1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de
Desastres
Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia
a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y
Recuperación de desastres que contemple los procedimientos de recuperación para todas las
áreas críticas de la empresa.
1.2.4 Ausencia de Políticas de Seguridad de Información
Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al
100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información.
1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización
Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios.
1.2.6 Ausencia de procedimientos y controles de incidencias en la Red
Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo
permanente de las incidencias en la red.
2. ELABORAR EL DICTAMEN FINAL.
2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES DETECTADAS.DOCUMENTO DE DESVIACIONES DETECTADAS.Contenidos fundamentales:Objetivos: Emitir los resultados de la auditoría de una manera clara para que se identifique con el cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de decisiones Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias y las posteriores acciones de seguimiento a establecer, Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta. Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no deseadasCategorización de las desviaciones:Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones
encontradas. Para ello deberá acogerse a los criterios que la organización haya establecido, que pueden ser de muchos tipos. Sin embargo generalmente se realizan considerando aspectos como los siguientesIndican que el sistema falla Implican un riesgo importante en la calidad del producto/servicio Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el sistema.
Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen una implantación inadecuada Deben solucionarse inmediatamente.
DICTAMEN FORMALES
En este dictamen se tiene que analizar cuestiones siguientes, que
afectan tanto al proceso de asignación de usuarios y contraseñas e
información.
Primer lugar l alcance del dictamen supone el estudio de la
competencia de la tecnología de la información y el estudio de la
habilidad para guardar información y hacer cumplir con los
procedimiento de y las normas establecidas por la empresa y
acatarlas como indica dicha documentación. en segundo lugar
corresponde tratar los aspectos relativos a la observación de los
requisitos y la exigencias establecidas en los proceso de auditoría de
sistemas de información encargada de la organización,
procedimientos y los regañes establecidos por la administración. Las
normas que desarrollan y al resto del ordenamiento. Esto último
conlleva, necesariamente, un análisis detallado del marco
normativo en que se encuadra la disposición del proyecto.
2.2. ELABORAR EL INFORME Y EL DICTAMEN FORMALES.
3. PRESENTAR EL INFORME DE AUDITORÍA.
LA CARTA DE PRESENTACIÓN.
R & R COMPUTER WORLD.NET E.IR.L. Ciro Alegría 550, Piso 2
Trujillo, Perú Tel: 044-211720
www.R&Rcomputer.com.pe
23 de Febrero de 2014
Empresa Agroindustrial Danper
Carretera industrial s/n - Moche
La Libertad, Trujillo
Perú
Atención: Sr. Eduardo Gorriti Lozano
Analista de Seguridad
Hemos auditado las políticas de seguridad de la información del área de
sistemas de la Empresa Agroindustrial Danper, de acuerdo a la norma
técnica peruana – NTP, generalmente aceptados en Perú, sobre los cuales
hemos emitido nuestro dictamen sin salvedades el 22 de febrero de 2014. No
hemos realizado ningún procedimiento de auditoría después de la fecha de
nuestro dictamen sobre las políticas de la seguridad de la información; por
consiguiente este informe está basado en nuestro conocimiento a esa fecha y
debe ser leído con ese entendimiento.
En la planeación y ejecución de nuestra auditoría de la política de la seguridad de la
información del área de sistemas de la Empresa Agroindustrial Danper. , hemos
considerado el sistema de acceso a cuentas de usuarios, políticas de control de
contraseña, y procedimientos y manuales de la política de seguridad del con el fin
de determinar nuestros procedimientos de auditoría para propósito de expresar una
opinión sobre el estado de la política de seguridad.
R & R COMPUTER WORLD.NET E.I.R.L
Como es de su conocimiento, el área de sistemas es responsable de establecer y
mantener las políticas de seguridad de la información, evaluando los beneficios
esperados de los controles en relación con el costo de implementarlos, así como
asegurarse que sea establecido, y de actualizarlo, si fuera preciso, de acuerdo con
las circunstancias.
Los objetivos del área de sistemas son proporcionar a la compañía seguridad
razonable de la información de la Compañía se encuentran salvaguardados contra
pérdidas por uso o disposición no autorizados, y que las transacciones son
ejecutadas de acuerdo con autorizaciones de la Gerencia y registradas
apropiadamente de modo que permitan la preparación y presentación de la política
de la seguridad de la información de acuerdo con principios de la norma NTP
generalmente aceptados en Perú.
Cabe destacar que el área de sistemas tiene limitaciones que les son inherentes,
por lo que siempre existe la posibilidad de que errores puedan ocurrir y no sean
detectadas por los ingenieros del área de sistemas durante el curso normal de
realizar sus funciones.
Como resultado de nuestra consideración del área de sistema efectuada con el fin
señalado en el primer párrafo de este informe, y de la ejecución de los
procedimientos de auditoría, hemos desarrollado ciertas observaciones y
recomendaciones que fueron discutidas con el responsable del área de sistemas, y
comprenden aspectos relacionados con:
Asuntos de políticas de Seguridad de la Información
Cuentas de usuario
Política de contraseña
Controles y procedimientos.
Este informe, que incluye los comentarios del responsable del área de sistemas, se
emite para información y uso del área de sistemas de la Compañía.
Atentamente, ----------------------------------------------------- R & R COMPUTER WORLD.NET E.I.R.L
EL DICTAMEN DE LA AUDITORÍA.
R & R COMPUTER WORLD.NET E.I.R.L, ha realizado una revisión del ambiente de
procesamiento que soporta la política de seguridad de la información para el
periodo Febrero 2014 de la empresa Agroindustrial Danper. Esta revisión consiste
en verificar la eficacia de los controles generales y así proveer una seguridad
razonable de la integridad de la información procesada.
Nuestra metodología de trabajo se basó principalmente en indagación, revisión de
documentación de Danper. Debido a que es un trabajo realizado como parte de la
Auditoría Externa se realizó con la misma profundidad con la que desarrollamos una
auditoría interna de tecnologías de la información.
De acuerdo a nuestro enfoque de auditoría, el alcance de la revisión ha sido definido
considerando los aspectos de mayor riesgo. Para el presente año, se efectuó una
revisión de los siguientes aspectos:
I. Evaluación del diseño e implementación de los siguientes controles
generales del ambiente de procesamiento de la seguridad:
Seguridad de acceso a cuentas de usuarios,
Políticas de control de contraseña
Procedimientos y manuales de la política de seguridad
II. Pruebas de eficacia operativa sobre los siguientes controles generales de
acuerdo a los riesgos identificados:
Seguridad de Accesos
Política de contraseña
Procedimientos de seguridad
EL INFORME DE SITUACIONES RELEVANTES.
El informe se encuentra dividido en tres partes:
Parte 1: provee una descripción general del ambiente de procesamiento del
área de sistemas evaluado para exponer el contexto de los comentarios del
informe.
Parte 2: provee un resumen de los hallazgos que implican eventuales
riesgos para el procesamiento confiable de la información de la empresa.
Parte 3: provee el detalle de los comentarios con el respectivo riesgo,
recomendación y comentario del responsable.
Parte 1 – Ambiente de Procesamiento
El ambiente de procesamiento del área de sistemas de la compañía evaluado en
la presente auditoría incluye lo siguiente:
Acceso de cuentas – sistema que permite el soporte del alta o baja de
cuentas de usuario.
Política de contraseña – requisitos del nivel de seguridad.
Procedimientos de seguridad: documentos escritos que describe
secuencialmente la forma de realizar las actividades para lograr el
objetivo.
Parte 2 – Principales Hallazgo
Como resultado de nuestra revisión, se han identificado riesgos significativos
a reportar. Señalando ciertas observaciones y recomendaciones que el
responsable del área de sistema de la compañía debe considerar para el
procesamiento confiable de la información.
Los principales hallazgos son los siguientes:
Deficiencias en la gestión de bitácoras de mesa de ayuda.
Deficiencia de mejora sobre políticas de acceso en el controlador de
dominio Windows.
Ausencia de plan de continuidad del negocio y plan de recuperación de
desastres.
Parte 3 – Detalle de los Hallazgos y Recomendaciones
ANEXOS Y CUADROS ADICIONALES.HALLAZGOS
Hallazgo2: La continuidad del suministro de energía no está garantizada.
Hallazgos 5: Inadecuada gestión de accesos a la plataforma tecnológica de la
organización
Certificados:
http://www.danper.com/Web/es/paginas/AseguramientoSistemasCalidad.aspx
Gracias