Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 21 vistas

    Ejercicio de Auditoria

    Cargado por

    Cecilia Yánez
    1) Los equipos de red se encontraban en una bodega de libre acceso y datos sensibles no enmascarados estaban en el servidor de desarrollo. Además, no se cumplía con la política de escritorios limpios. 2) El proceso automático de pagos no era monitoreado durante toda su ejecución. 3) Se recomienda mejorar los procedimientos de seguridad y monitoreo de procesos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Ejercicio de Auditoria

    Cargado por

    Cecilia Yánez
    21 vistas7 páginas
    1) Los equipos de red se encontraban en una bodega de libre acceso y datos sensibles no enmascarados estaban en el servidor de desarrollo. Además, no se cumplía con la política de escritorios limpios. 2) El proceso automático de pagos no era monitoreado durante toda su ejecución. 3) Se recomienda mejorar los procedimientos de seguridad y monitoreo de procesos.

    Descripción original:

    Ejercicio de auditoria

    Título original

    Ejercicio de auditoria

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    1) Los equipos de red se encontraban en una bodega de libre acceso y datos sensibles no enmascarados estaban en el servidor de desarrollo. Además, no se cumplía con la política de escritorios limpios. 2) El proceso automático de pagos no era monitoreado durante toda su ejecución. 3) Se recomienda mejorar los procedimientos de seguridad y monitoreo de procesos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    21 vistas7 páginas

    Ejercicio de Auditoria

    Cargado por

    Cecilia Yánez
    1) Los equipos de red se encontraban en una bodega de libre acceso y datos sensibles no enmascarados estaban en el servidor de desarrollo. Además, no se cumplía con la política de escritorios limpios. 2) El proceso automático de pagos no era monitoreado durante toda su ejecución. 3) Se recomienda mejorar los procedimientos de seguridad y monitoreo de procesos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 7

    INFORME SEGUROS S.

    A-2017-001

    PARA: GERENTE GENERAL DE EMPRESA SEGUROS S.A.


    CC: DIRECTOR DE TECNOLOGÍAS DE LA INFORMACIÓN

    ASUNTO: Revisión al proceso de seguridad de información y proceso de contingencias de la


    empresa SEGUROS S.A.

    FECHA DEL INFORME: 28 de octubre de 2017

    ANTECEDENTES

    La presente auditoría se realizó de acuerdo a lo solicitado por el Gerente general de la empresa de


    SEGUROS S.A, para verificar el buen funcionamiento del área de TI en los ámbitos solicitados.

    OBJETIVOS

    1. Verificar el cumplimiento de la normativa interna en los procesos de contingencia de la


    empresa Seguros S.A.
    2. Constatar el buen funcionamiento del sistema de seguridad de la información en la
    empresa de Seguros S.A.

    ALCANCE

    La presente evaluación comprenderá el análisis y verificación al proceso de seguridad de


    información, y el proceso de contingencias para el proceso de pagos y mora de la empresa
    Seguros S.A desde el 1 de mayo del 2017 al 1 de octubre del 2017.

    PROCEDIMIENTOS APLICADOS

    - Entrevista a los técnicos, operadores, desarrolladores, líderes de proyecto, jefes de


    operaciones, desarrollo, producción y usuarios.
    - Revisión de información correspondiente a procedimientos de contingencia, normativa
    interna.
    - Verificación del cumplimiento de las normas internas referente a seguridad de
    información dentro del área de tecnología.
    - Revisión de normas, estándares, procedimientos y políticas.
    - Revisión de informes de pruebas de contingencias realizadas
    DOCUMENTACIÓN SOLICITADA
    ● Documentación de normativa interna de la empresa.
    ● Información procesos de contingencia en caso de desastres naturales.
    ● Manuales de los procesos Batch que se ejecutan de manera automática.
    ● Informes de revisiones y validaciones de la ejecución de procesos Batch.
    ● Políticas de Seguridad de Información.
    ● Manuales procesos de contingencias de los aplicativos de la empresa.
    ● Documentación de la estrategia de continuidad del negocio.
    ● Manual de administración de usuarios y perfiles

    RESUMEN EJECUTIVO

    La presente revisión realizada en la empresa Seguros S.A, ha permitido identificar varios hallazgos
    muy importantes para la empresa debido a que representan pérdidas económicas, de tiempo y de
    confiabilidad para la empresa y de no ser atendidos inmediatamente pueden llegar a costarle más
    dinero y prestigio a la empresa.

    De estos hallazgos podemos destacar la atención a destiempo de las contingencias en el proceso


    de pagos por falta de designación de responsabilidades y un buen plan de contingencias y también
    destacamos el descuido a los equipos de redes ubicados en una bodega de libre acceso y el
    incumplimiento a ciertas normas de seguridad.

    COBIT 5 : APO13 Gestionar la seguridad

    1. Equipos de red descuidados funcionando en una bodega de libre acceso.

    El subdirector de infraestructura es el responsable de mantener los equipos de red


    resguardados y velar por la seguridad y buen funcionamiento de los equipos y conexiones
    de red, sin embargo poco se ha hecho por cumplir con esta misión.

    En la presente revisión de seguridad se observó que se encuentran los equipos de red


    funcionando dentro de una bodega, en la misma que se guardan implementos de aseo de
    pisos y baños y a la que tiene acceso el personal de limpieza todos los días y de la misma
    manera las personas que lo requieran.

    Se trata de un hallazgo de muy ALTO riesgo ya que los equipos de red se encuentran
    expuestos a ser manipulados por personas no apropiadas voluntaria o involuntariamente,
    también se encuentran expuestos a ser salpicados de agua o cualquier líquidos de aseo
    que se encuentran en esta bodega todo esto conlleva a que en cualquier momento se
    llegue a tener fallas en la red por causas que se pueden prevenir, además puede verse
    afectada la red por alguna desconexión intencional hecha por cualquier persona que
    ingrese a la bodega ya que la bodega no se encuentra cerrada bajo llave.

    De conformidad con lo descrito en COBIT 5, se deben considerar los siguientes


    lineamientos:

    DSS01 Prácticas, Entradas/Salidas y Actividades del Proceso (cont.)


    Asegurar que los sitios de TI están construidos y diseñados para minimizar el impacto del
    riesgo del entorno (p.ej. robo, aire, fuego, humo, agua, vibración, terrorismo, vandalismo,
    productos químicos, explosivos). Considerar zonas específicas de seguridad o celdas a
    prueba de incendio (p. ej. ubicando los entornos/servidores de producción y de desarrollo
    alejados entre sí).

    DSS01.05 Gestionar las instalaciones. Gestionar las instalaciones, incluyendo equipos de


    electricidad y comunicaciones, en línea con las leyes y regulaciones, requerimientos
    técnicos y de negocio y directrices de salud y seguridad en el trabajo.

    Recomendación:
    Se recomienda apartar un cuarto limpio y frío específicamente para los equipos de red del
    área de desarrollo de la empresa Seguros S.A, adicional se recomienda que el acceso a
    este cuarto sea solo para los trabajadores que se encuentran a cargo de las redes y que
    permanezca cerrado.

    2. Datos sensibles de producción a desarrollo no enmascarados

    El área de seguridad es la encargada de mantener segura y resguardada la información


    sensible, sin embargo en esta evaluación se evidenció la existencia de datos no
    enmascarados en el servidor de desarrollo, esta novedad se presentó debido a la
    necesidad de resolver bags presentados en el sistema de producción, que para corregirlos
    indican los operadores fueron bajados datos de producción a Desarrollo y finalmente
    nunca fueron eliminados ni en mascados de la base de desarrollo

    Al tratarse de información sensible, a pesar de no ser grandes cantidades de información,


    se considera de ALTO riesgo ya que esa información puede ser utilizada con fines
    maliciosos y está siendo expuesta a personal no autorizado.

    De acuerdo a lo recomendado en COBIT 5, se deben considerar los siguientes


    lineamientos:

    APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la


    información.
    Mantener un plan de seguridad de información que describa cómo se gestionan y alinean
    los riesgos de seguridad de información con la estrategia y la arquitectura de empresa.
    Asegurar que las recomendaciones para implementar las mejoras en seguridad se basan
    en casos de negocio aprobados, se implementan como parte integral del desarrollo de
    soluciones y servicios y se operan, después, como parte integral de las operaciones del
    negocio.

    Recomendación.- Se recomienda realizar un mecanismo de enmascaramiento de


    información para todo tipo de descarga de datos de producción a los servidores de
    calidad y de desarrollo para la realización pruebas

    3. No se cumple con la política de escritorios limpios

    Para La empresa de Seguros S.A cuenta con la política de escritorios limpios dentro de la
    empresa, política que busca no exponer información importante de la empresa en el
    puesto de trabajo, ya sea que esta se encuentre en cuadernos, hojas, dispositivos
    electrónicos o cualquier medio vulnerable sobre el escritorio.

    La política debería ser cumplida por todos los trabajadores de la empresa, sin embargo
    esta política solo la cumple el personal de TI, siendo el resto del personal quienes dejan
    sobre sus escritorios todo documento con datos importantes que pueden ser fácilmente
    Sustraídos por otras personas y dar un mal uso de la misma.

    De conformidad a las recomendaciones dadas en COBIT 4.1, se deben considerar los


    siguientes lineamientos:

    DSS01 Prácticas, Entradas/Salidas y Actividades del Proceso (cont.)


    Mantener en todo momento a los sitios de TI y las salas de servidores limpias y en una
    condición segura (es decir, sin desorden, sin papel ni cajas de cartón, sin papeleras llenas,
    sin productos químicos o materiales inflamables). El marco de trabajo y los métodos de
    soporte se deben integrar con los procesos de administración de programas.

    Recomendación.- Se recomienda realizar revisiones periódicas del cumplimiento de las


    políticas internas de la empresa concientizando a los trabajadores del peligro que
    representa tener expuesta toda la información sensible al alcance de todos.

    DETALLE DE LOS HALLAZGOS


    PROCESO COBIT 5 : APO06 Prácticas, Entradas/Salidas y Actividades del Proceso (cont.)

    1. Proceso automático de pagos no monitoreado a tiempo.

    La empresa de seguros cuenta con varios procesos automáticos, los cuales de acuerdo a la
    normativa interna deben ser monitoreados por los operadores durante su ejecución.

    El proceso de pagos se ejecuta a media noche sin embargo, los operadores solo trabajan
    hasta las nueve de la noche y luego de esto los procesos quedan abandonados hasta el
    siguiente día.
    El nivel de riesgo se considera como ALTO ya que puede afectar la correcta ejecución de
    los procesos que tengan dependencia del proceso de pago, además de producir retrasos
    en la ejecución del resto de procesos, desencadenando molestias en los usuarios y
    generando desconfianza en los clientes.

    De conformidad con lo descrito en COBIT 5, se deben considerar los siguientes


    lineamientos:

    MEA01. Supervisar, evaluar y valorar el rendimiento y la conformidad Descripción del


    Proceso: Monitorear que los procesos se están ejecutando según las metas y métricas
    acordadas de desempeño y conformidad y que se provee reportes de manera sistemática
    y oportuna.

    Recomendación: Se recomienda monitorear todos los procesos que se ejecutan durante


    la noche y la madrugada y en caso de existir novedades se recomienda implementar un
    mecanismo para la ejecución inmediata de las contingencias correspondientes con el fin
    de evitar fallos en los procesos dependientes del proceso de pago y novedades en el
    sistema el siguiente día.

    2. Responsabilidad para la ejecución de contingencias del proceso de pagos no designada


    formalmente.

    El área de operaciones de la empresa Seguros S.A cuenta con varios técnicos para
    monitorear la ejecución automática de procesos entre ellos el proceso de pagos y de
    mora, sin embargo no están designados de manera formal la responsabilidad de ejecutar
    las contingencias por los procesos fallidos, motivo por el cual en caso de producirse alguna
    novedad en el proceso, los operadores tienen dudas para tomar acciones sobre la
    ejecución de contingencias, esto ocasiona más retrasos en la culminación de procesos y
    molestias en los usuarios y clientes.
    Estas situaciones se producen debido a que los operadores no han sido capacitados y
    actualizados en el plan de contingencias de cada uno de los procesos y no tienen claro
    cuáles son las actividades puntuales que se deben realizar.

    Esta problemática se ha considerado de un nivel de riesgo ALTO, debido a que a pesar de


    que los problemas en los procesos automáticos no ocurren frecuentemente, cuando estos
    problemas suceden la mayoría de técnicos no están preparados ni seguros de las acciones
    a realizar provocando más retraso en la culminación de los procesos y terminan siendo los
    analistas y desarrolladores quienes solucionan las novedades.

    De acuerdo a lo recomendado en COBIT 5, se deben considerar los siguientes


    lineamientos:

    APO01 Prácticas, Entradas/Salidas y Actividades del Proceso


    Definir el enfoque, los roles y las responsabilidades de cada función dentro de la
    estructura organizativa relativa a TI.
    EDM02 Prácticas, Entradas/Salidas y Actividades del Proceso
    Comprender y considerar cómo de efectivos son los roles, responsabilidades, asignaciones
    y organismos de toma de decisiones actuales asegurando la creación de valor de las
    inversiones, servicios y activos de TI.

    Recomendación.- Se recomienda entregar responsabilidades de manera formal a cada


    operador fijando trabajos sobre la ejecución de continencias de cada proceso,
    acompañado de la entrega de un manual de contingencias puntual y legible y adicional se
    recomienda realizar un plan de capacitación a todos los operadores sobre las
    contingencias de las cuales son responsables de ejecutar.

    3. Plan de contingencia de aplicativos no probado y no funcional en caso de un desastre


    natural

    El área de tecnología cuenta con un manual de contingencia para el levantamiento de


    aplicativos tal como lo indica su reglamento, sin embargo durante esta evaluación se ha
    detectado que este plan de contingencia no ha sido ejecutado debido a que nunca se ha
    presentado una novedad de tal magnitud, de esta manera la empresa de Seguros S.A. solo
    cuenta con un plan de contingencias teórico nunca probado y a medida los cambios en los
    aplicativos se siguen dando estos cambios no se van reflejando en la documentación de
    estos aplicativos ni en los manuales de contingencia

    Se considera una novedad de ALTO riesgo debido a que no existen garantías de que se
    ejecuten con éxito las contingencias para subir y recuperar los aplicativos en caso de
    desastres naturales, se ha evidenciado esto debido a que no se encuentran documentos e
    informes de pruebas del plan de contingencia que haya sido probado con éxito.

    De conformidad a las recomendaciones dadas en COBIT 5.1, se deben considerar los


    siguientes lineamientos:

    DSS04 Gestionar la Continuidad


    DSS01 Prácticas, Entradas/Salidas y Actividades del Proceso: Comparar medidas y planes
    de contingencia respecto a los requerimientos de las pólizas de seguros e informar de los
    resultados. Atender a los puntos de no-conformidad de manera oportuna.
    BAI07 Prácticas, Entradas/Salidas y Actividades del Proceso
    Actualizar inmediatamente la documentación sobre sistemas y procesos de negocio
    relevantes, información de configuración y documentación del plan de contingencia, según
    sea apropiado.

    Recomendación: Mantener actualizado el plan de contingencias en caso de desastres


    naturales y de la misma manera realizar pruebas del plan de contingencia paso a paso
    para validar su efectividad y guardar los informes de pruebas realizadas.

    CONCLUSIONES

    ● El proceso de seguridad de información es muy importante dentro de la empresa Seguros


    S.A, pues este proceso le genera mucho valor para la empresa siempre y cuando sea
    ejecutado de la mejor manera, y sea validado de manera exigente el cumplimiento en
    todos sus ítems, gracias a este proceso la empresa se exige en cuidar más de su
    información que es también el conjunto de datos de sus clientes quienes depositan su
    plena confianza en la empresa.
    ● El cumplimiento de las recomendaciones citadas en el informe llevará a la empresa a
    mitigar riesgos de pérdida de tiempo y dinero en el futuro y de realizarse en el menor
    tiempo, serán menores las pérdidas y los inconvenientes.

    ● Es importante que se impulse en la empresa el empoderamiento de procesos y una


    reconocida forma es designar responsabilidades a los empleados y capacitarlos, esto
    evitará incumplimientos o malos entendidos en las labores diarias en el caso de esta
    empresa evitaría desatinos en la atención de contingencias en los diferentes procesos.
    ● El jefe de tecnología tiene arduo trabajo por realizar, pero muy necesario para eliminar
    inconvenientes que se encuentran suscitando en el área de operaciones y de seguridad de
    información.

    También podría gustarte