auditoria danper

32
AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓNIntegrantes Aguilar Asmat, José Pablo Álvarez Untul, Walter Abel Cruz Gálvez, Juan Apolinar Javiel Valverde, Angela Victoria López Ledesma, Carlos Alfredo Méndez Asmat, Martin David Muñoz Nole, Ronald Junior Quispe Paucar, Margarita Grace Tapia Cruz, William Manuel AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Escuela de Ingeniería de Sistemas Facultad de Ingeniería Ing. :Patricia Gissela Pereyra Salvador TRUJILLO PERÚ 2014

Upload: manuel-tapia-cruz

Post on 04-Jul-2015

839 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: Auditoria danper

“AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD

DE LA INFORMACIÓN”

Integrantes Aguilar Asmat, José Pablo

Álvarez Untul, Walter Abel

Cruz Gálvez, Juan Apolinar

Javiel Valverde, Angela Victoria

López Ledesma, Carlos Alfredo

Méndez Asmat, Martin David

Muñoz Nole, Ronald Junior

Quispe Paucar, Margarita Grace

Tapia Cruz, William Manuel

AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN

Escuela de Ingeniería de Sistemas

Facultad de Ingeniería

Ing. :Patricia Gissela Pereyra Salvador TRUJILLO – PERÚ

2014

Page 2: Auditoria danper

Danper

Page 3: Auditoria danper

ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS

COMPUTACIONALES.

1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA

1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA

Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad

de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra

Salvador en la Universidad César Vallejo.

Esto dio como consecuencia el desarrollo de un proyecto que el

grupo desarrollara para el responsable de la Empresa Agroindustrial

Danper, siendo una Auditoria Externa.

2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA.

2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL

ÁREA.

Se realizó una primera reunión con el personal que labora en Danper

brindándonos los primeros alcances mostrados en el primer avance

del informe.

Page 4: Auditoria danper

3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA.

3.1 OBJETIVO GENERAL

Objetivo General

Evaluar del Cumplimiento de la Política de Seguridad de la

Información.

3.2 OBJETIVOS PARTICULARES

Objetivos Específicos

Verificar si el personal de sistemas tiene el conocimiento de la

Política de Seguridad de la Información.

Revisar y Verificar los usuarios que se encuentran activos en la

empresa y compararlo con el servidor Directorio Activo (AD).

Verificar como esta establecidos los permisos de los usuarios (niveles

y roles).

Evaluar y revisar los registros de auditoria de la seguridad de la

información, capacitaciones, política de gestión de contraseñas.

Verificar y evaluar procedimientos, políticas, manuales, relacionadas

a la seguridad de la información.

Verificar plan de continuidad de negocio y plan de recuperación de

desastres.

Page 5: Auditoria danper

4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA.

4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL

DEL AREA DE SISTEMAS.

En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y actividades diarias, según el puesto o cargo que desempeña dentro del área.

La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos deben ser considerados al momento de diseñar un sistema de seguridad.Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente.

La dependencia del sistema a nivel operativo y técnico.La evaluación del grado de capacitación operativa y técnico.Registro del personal del acceso operativo y administrativos a los sistemas.Conocer la capacitación del personal en situaciones de emergencia.Se evaluará en los aspectos de control de acceso el Registro del personal del acceso operativo y administrativos a los sistemas.Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema necesite para realizar sus labores.

Page 6: Auditoria danper

4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL

CENTRO DE CÓMPUTO.

Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente brindando seguridad a los usuarios y consiguiente al equipamiento.Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o un accidente dentro de los ambientes que se trabajan.

4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE

INFORMACIÓN.

Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de sistemas.Es evidente que es esta evaluación se contemplará la protección y resguardo de la información de la empresa.Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los sistemas asignados.En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario. Para la evaluación de las contraseñas se comprobará a cada usuario:

La asignación de la contraseña Inicial y Sucesiva.

Longitud mínima y composición de caracteres de la contraseña.Vigencia y caducidad de la contraseña. Numero de intentos que se permiten al usuario para el acceso del sistema.

Page 7: Auditoria danper

4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y

REGISTRO DE LOS SISTEMAS.

La evaluación de la información, documentación y registro de los

sistema de información serán sometido a un examen detallado de sus

características de seguridad, que culmina con extensas pruebas de

funcionamiento y test.

El grado de examen depende del nivel de confianza deseado por los

objetivos de evaluación.

Para proporcionar diferentes grados de confianza, utilizaremos los

Criterios de Evaluación de Seguridad en Tecnologías de Información

CESTI, este ofrece un servicio de evaluación de la seguridad de

sistemas y productos de las Tecnologías de la Información en

conformidad con los estándares internacionales.

4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y

COMPONENTES.

No se realizara la evaluación de los sistemas ya que lo auditado será

el acceso de la información.

Page 8: Auditoria danper

4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS.

El tipo de auditoria a utilizar es Externa. Con una auditoría de

seguridad se da una visión exacta del nivel de exposición de sus

sistemas de Información.

En la auditoría se verifica la seguridad en la autenticidad,

confidencialidad, integridad, disponibilidad y auditabilidad de la

información tratada por los sistemas.

4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA

AUDITORÍA.

Se ha determinado los recursos materiales, humanos, tecnológicos y

económicos:

4.7.1. Recursos materialesEs muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por la empresa. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el usuario.

Los recursos materiales del auditor son de dos tipos:a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del auditado para verificarlos.

Page 9: Auditoria danper

b. Recursos materiales Hardware

Los recursos de hardware que el auditor necesita son proporcionados

por la empresa. Los procesos de control deben efectuarse

necesariamente en las Computadoras del auditado.

4.7.2. Recursos Humanos

La cantidad de recursos depende del alcance auditable. Las

características y perfiles del personal seleccionado dependen de la

materia auditable.

Se tiene presente, que la auditoría en general suele ser ejercida por

profesionales universitarios y por otras personas de probada

experiencia multidisciplinaria.

El equipo de Auditoria está conformado por 9 integrantes.

Page 10: Auditoria danper

Perfiles de los Auditores Informáticos

CARGO Actividades y conocimientos deseables

JEFE DEL EQUIPO DE PROYECTO AUDITOR DE INFORMÁTICA.

Carlos, López Ledesma.

Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Ronald, Muñoz Nole

Responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.

Técnico de Sistemas

Martin, Méndez Asmat

Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos y Administración de las mismas.

Walter, Alvares Untul.

Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación

Experto en Software de Comunicación

Juan, Cruz Galvez.

Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.

Experto en Explotación y Gestión de CPD´S

Grace, Quispe Paucar

Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.

Técnico de Organización

Angela, Javiel Valverde

Experto organizador y coordinador. Especialista en el análisis de flujos de información.

Técnico de evaluación de Costes

Manuel, Tapia Cruz

Con conocimiento de Informática. Gestión de costes.

Técnico en Ofimática.

Pablo, Aguilar Asmat.

Técnico de Computación e Informático. Especialista en Gestión Documentaría

4.7.3. Recurso TecnológicoLos recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora,

internet y celular.4.7.4. Recurso Económico.

En este recurso se considera los gastos operativos y de movilidad.

Page 11: Auditoria danper
Page 12: Auditoria danper

5.1.2 DEFINICIÓN DE OBJETIVOS.

Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información.

Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio

Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios.

Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones).

Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes

independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus

requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor

superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias

aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico.

Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión

de contraseñas. El acceso a información restringida debe estar controlado Se recomienda el uso

de sistemas automatizados de autenticación que manejen credenciales o firmas digitales

Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser

cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie.

Verificar y solicitar procedimientos, políticas, manuales, relacionadas a la seguridad de la información.

Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que

involucré controles humanos, físicos técnicos y administrativos. La Subárea

de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim

ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y

técnicas de hacking.

Page 13: Auditoria danper
Page 14: Auditoria danper
Page 15: Auditoria danper
Page 16: Auditoria danper
Page 17: Auditoria danper

NORMA TÉCNICA PERUANA 27001:2008

OBJETIVOS DE CONTROL Y CONTROLES

5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA.5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA.

Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD).Verificar como esta establecidos los permisos de los usuarios (niveles y roles).Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas.

5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA.

Estrategias1. Formalizar la AI en la organización, a través de:*Cursos de Acción justificados*Documentos de justificación a Alta Dirección*Difusión de la AI en las Áreas relacionadas*Desarrollo del proceso de AI2. Auditoria Permanente para garantizar a la Alta Dirección:*Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y confiables.*Apoyo a los objetivos del negocio.*Verificación del uso de la Tecnología en el negocio.*Proceso de Evaluación y justificación.*Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de negocio.*Uso de Metodologías, Técnicas, Herramientas.

Page 18: Auditoria danper
Page 19: Auditoria danper

5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA

Page 20: Auditoria danper

5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA

I VISITA PRELIMINARSolicitud de Manuales y Documentos del Área.Recopilación de información de la Área: Estructura, recursos humanos, presupuestos.Elaboración de los cuestionarios.

II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal.Entrevista con los encargados y usuarios más importantes del Área. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldosEvaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseñológico, estado del hardware y software.Evaluación del proceso de datos: seguridad de los datos, seguridad física y procedimientos de respaldo

III REVISION Y PRE INFORMERevisión de los documentos y reportes del trabajoDeterminación del diagnóstico e implicanciasElaboración de la carta a gerenciaElaboración del borrador

IV InformeConclusiones finalesElaboración y presentación del informe

Page 21: Auditoria danper

ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES

2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA.

Se aplicara los instrumentos y herramientas para auditoria:

Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e

instrumentos de muestreo, listas de chequeo (Check-list).

Controles administrativos: Recolección de documentos como: políticas y normatividad general

referente a la seguridad del sistema.

Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad.

Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios.

Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad.

Ejemplo: Control de acceso y autorización.

A evaluar:

Controles Administrativos

Existe una política específica del sistema para el manejo de seguridad

Existen políticas para el manejo de sistemas operativos.

Requerimientos para autenticación de usuarios

Existe un ente encargado de dar solución a incidentes de seguridad

Si está respaldada por los directivos

Define procedimientos, son claros y entendibles

Designa personal responsable.

Si hay penalidades y acciones disciplinarias.

Si los procedimientos son actualizados periódicamente.

Si conocen los usuarios y personal adecuado las políticas.

Controles Operacionales

Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal,

efectiva administración de usuarios, registro de intrusos, planes de contingencia

Controles Técnicos

Identificación y autenticación, control de acceso , auditoria, detección de intrusos.

Page 22: Auditoria danper

3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS DE DESVIACIONES ENCONTRADOS.Formatos resultantes del examen especial de AuditoríaAuditoría de la Dirección de TI.

ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES.

1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS.1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS.

1.2.1 Ausencia de bitácora de Mesa de AyudaSe verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que atiende el responsable de soporte.

1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de dominio Windows

Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los sistemas de información.

1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de

Desastres

Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia

a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y

Recuperación de desastres que contemple los procedimientos de recuperación para todas las

áreas críticas de la empresa.

1.2.4 Ausencia de Políticas de Seguridad de Información

Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al

100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información.

1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización

Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios.

1.2.6 Ausencia de procedimientos y controles de incidencias en la Red

Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo

permanente de las incidencias en la red.

Page 23: Auditoria danper
Page 24: Auditoria danper

2. ELABORAR EL DICTAMEN FINAL.

2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES DETECTADAS.DOCUMENTO DE DESVIACIONES DETECTADAS.Contenidos fundamentales:Objetivos: Emitir los resultados de la auditoría de una manera clara para que se identifique con el cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de decisiones Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias y las posteriores acciones de seguimiento a establecer, Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta. Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no deseadasCategorización de las desviaciones:Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones

encontradas. Para ello deberá acogerse a los criterios que la organización haya establecido, que pueden ser de muchos tipos. Sin embargo generalmente se realizan considerando aspectos como los siguientesIndican que el sistema falla Implican un riesgo importante en la calidad del producto/servicio Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el sistema.

Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen una implantación inadecuada Deben solucionarse inmediatamente.

Page 25: Auditoria danper
Page 26: Auditoria danper

DICTAMEN FORMALES

En este dictamen se tiene que analizar cuestiones siguientes, que

afectan tanto al proceso de asignación de usuarios y contraseñas e

información.

Primer lugar l alcance del dictamen supone el estudio de la

competencia de la tecnología de la información y el estudio de la

habilidad para guardar información y hacer cumplir con los

procedimiento de y las normas establecidas por la empresa y

acatarlas como indica dicha documentación. en segundo lugar

corresponde tratar los aspectos relativos a la observación de los

requisitos y la exigencias establecidas en los proceso de auditoría de

sistemas de información encargada de la organización,

procedimientos y los regañes establecidos por la administración. Las

normas que desarrollan y al resto del ordenamiento. Esto último

conlleva, necesariamente, un análisis detallado del marco

normativo en que se encuadra la disposición del proyecto.

2.2. ELABORAR EL INFORME Y EL DICTAMEN FORMALES.

Page 27: Auditoria danper

3. PRESENTAR EL INFORME DE AUDITORÍA.

LA CARTA DE PRESENTACIÓN.

R & R COMPUTER WORLD.NET E.IR.L. Ciro Alegría 550, Piso 2

Trujillo, Perú Tel: 044-211720

www.R&Rcomputer.com.pe

23 de Febrero de 2014

Empresa Agroindustrial Danper

Carretera industrial s/n - Moche

La Libertad, Trujillo

Perú

Atención: Sr. Eduardo Gorriti Lozano

Analista de Seguridad

Hemos auditado las políticas de seguridad de la información del área de

sistemas de la Empresa Agroindustrial Danper, de acuerdo a la norma

técnica peruana – NTP, generalmente aceptados en Perú, sobre los cuales

hemos emitido nuestro dictamen sin salvedades el 22 de febrero de 2014. No

hemos realizado ningún procedimiento de auditoría después de la fecha de

nuestro dictamen sobre las políticas de la seguridad de la información; por

consiguiente este informe está basado en nuestro conocimiento a esa fecha y

debe ser leído con ese entendimiento.

En la planeación y ejecución de nuestra auditoría de la política de la seguridad de la

información del área de sistemas de la Empresa Agroindustrial Danper. , hemos

considerado el sistema de acceso a cuentas de usuarios, políticas de control de

contraseña, y procedimientos y manuales de la política de seguridad del con el fin

de determinar nuestros procedimientos de auditoría para propósito de expresar una

opinión sobre el estado de la política de seguridad.

R & R COMPUTER WORLD.NET E.I.R.L

Page 28: Auditoria danper

Como es de su conocimiento, el área de sistemas es responsable de establecer y

mantener las políticas de seguridad de la información, evaluando los beneficios

esperados de los controles en relación con el costo de implementarlos, así como

asegurarse que sea establecido, y de actualizarlo, si fuera preciso, de acuerdo con

las circunstancias.

Los objetivos del área de sistemas son proporcionar a la compañía seguridad

razonable de la información de la Compañía se encuentran salvaguardados contra

pérdidas por uso o disposición no autorizados, y que las transacciones son

ejecutadas de acuerdo con autorizaciones de la Gerencia y registradas

apropiadamente de modo que permitan la preparación y presentación de la política

de la seguridad de la información de acuerdo con principios de la norma NTP

generalmente aceptados en Perú.

Cabe destacar que el área de sistemas tiene limitaciones que les son inherentes,

por lo que siempre existe la posibilidad de que errores puedan ocurrir y no sean

detectadas por los ingenieros del área de sistemas durante el curso normal de

realizar sus funciones.

Como resultado de nuestra consideración del área de sistema efectuada con el fin

señalado en el primer párrafo de este informe, y de la ejecución de los

procedimientos de auditoría, hemos desarrollado ciertas observaciones y

recomendaciones que fueron discutidas con el responsable del área de sistemas, y

comprenden aspectos relacionados con:

Asuntos de políticas de Seguridad de la Información

Cuentas de usuario

Política de contraseña

Controles y procedimientos.

Este informe, que incluye los comentarios del responsable del área de sistemas, se

emite para información y uso del área de sistemas de la Compañía.

Atentamente, ----------------------------------------------------- R & R COMPUTER WORLD.NET E.I.R.L

Page 29: Auditoria danper

EL DICTAMEN DE LA AUDITORÍA.

R & R COMPUTER WORLD.NET E.I.R.L, ha realizado una revisión del ambiente de

procesamiento que soporta la política de seguridad de la información para el

periodo Febrero 2014 de la empresa Agroindustrial Danper. Esta revisión consiste

en verificar la eficacia de los controles generales y así proveer una seguridad

razonable de la integridad de la información procesada.

Nuestra metodología de trabajo se basó principalmente en indagación, revisión de

documentación de Danper. Debido a que es un trabajo realizado como parte de la

Auditoría Externa se realizó con la misma profundidad con la que desarrollamos una

auditoría interna de tecnologías de la información.

De acuerdo a nuestro enfoque de auditoría, el alcance de la revisión ha sido definido

considerando los aspectos de mayor riesgo. Para el presente año, se efectuó una

revisión de los siguientes aspectos:

I. Evaluación del diseño e implementación de los siguientes controles

generales del ambiente de procesamiento de la seguridad:

Seguridad de acceso a cuentas de usuarios,

Políticas de control de contraseña

Procedimientos y manuales de la política de seguridad

II. Pruebas de eficacia operativa sobre los siguientes controles generales de

acuerdo a los riesgos identificados:

Seguridad de Accesos

Política de contraseña

Procedimientos de seguridad

Page 30: Auditoria danper

EL INFORME DE SITUACIONES RELEVANTES.

El informe se encuentra dividido en tres partes:

Parte 1: provee una descripción general del ambiente de procesamiento del

área de sistemas evaluado para exponer el contexto de los comentarios del

informe.

Parte 2: provee un resumen de los hallazgos que implican eventuales

riesgos para el procesamiento confiable de la información de la empresa.

Parte 3: provee el detalle de los comentarios con el respectivo riesgo,

recomendación y comentario del responsable.

Parte 1 – Ambiente de Procesamiento

El ambiente de procesamiento del área de sistemas de la compañía evaluado en

la presente auditoría incluye lo siguiente:

Acceso de cuentas – sistema que permite el soporte del alta o baja de

cuentas de usuario.

Política de contraseña – requisitos del nivel de seguridad.

Procedimientos de seguridad: documentos escritos que describe

secuencialmente la forma de realizar las actividades para lograr el

objetivo.

Parte 2 – Principales Hallazgo

Como resultado de nuestra revisión, se han identificado riesgos significativos

a reportar. Señalando ciertas observaciones y recomendaciones que el

responsable del área de sistema de la compañía debe considerar para el

procesamiento confiable de la información.

Los principales hallazgos son los siguientes:

Deficiencias en la gestión de bitácoras de mesa de ayuda.

Deficiencia de mejora sobre políticas de acceso en el controlador de

dominio Windows.

Ausencia de plan de continuidad del negocio y plan de recuperación de

desastres.

Page 31: Auditoria danper

Parte 3 – Detalle de los Hallazgos y Recomendaciones

ANEXOS Y CUADROS ADICIONALES.HALLAZGOS

Hallazgo2: La continuidad del suministro de energía no está garantizada.

Hallazgos 5: Inadecuada gestión de accesos a la plataforma tecnológica de la

organización

Certificados:

http://www.danper.com/Web/es/paginas/AseguramientoSistemasCalidad.aspx

Page 32: Auditoria danper

Gracias