hallazgos de auditoria de sistemas de informacion

FACULTAD DE INGENIERÍA

ESCUELA ACADÉMICO PROFESIONAL

DE INGENIERÍA DE SISTEMAS

AUDITORÍA DE SISTEMAS INFORMACIÓN DE LA EMPRESA INDUSTRIAS BREDISA SAC.

INTEGRANTES:

DOCENTE:

LIMA – PERÚ

2012-II

1.- NOMBRE DE LA EMPRESA A AUDITAR “INDUSTRIAS BREDISA S.A.C.”

DATOS DE LA EMPRESA.

HISTORIALa empresa INDUSTRIAS BREDISA S.A.C fundada el 09 de octubre del 2011, con número de RUC: 20545350077 está dedicada al sector a la fabricación de solventes químicos. Actualmente esta empresa es una SOCIEDAD ANONIMA CERRADA y tiene como situación ACTIVO. Registra como domicilio legal Dirección Legal: Mza. B Lote. 44 Distrito / Ciudad: Puente Piedra Departamento: LimaActualmente se encuentra en pleno crecimiento y está desarrollando nuevas estrategias para ampliar su mercado.

MISIÓN Diseñar, fabricar y distribuir en forma segura y cuidando el medio ambiente solventes con calidad, para satisfacer las necesidades de los clientes. Utilizando las mejores prácticas en nuestro proceso con tecnología de punta, potenciando la formación, crecimiento, motivación del talento humano generando valor para los accionistas. VISIÓN Ser el fabricante de solventes más competitivo del mercado nacional. POLÍTICA DE CALIDAD

En BREDISA estamos comprometidos a diseñar, fabricar y comercializar solventes que permitan satisfacer permanentemente los requerimientos de nuestros clientes, garantizando un crecimiento rentable y sostenido

PRINCIPIOS Y VALORES Integridad: Los trabajadores de Industrias BREDISA siempre actuamos de buena fé y con nuestros mejores propósitos. Todas nuestras acciones están enmarcadas dentro del más alto sentido ético y moral. Respeto y Confianza: En Industrias BREDISA confiamos en las capacidades e intenciones de los demás. Profesamos el respeto mutuo en todas nuestras relaciones.

Innovación: En Industrias BREDISA anticipamos las necesidades del mercado para ser los primeros en satisfacerlas. Excelencia: Nuestra gestión está orientada a la creación del máximo valor posible en todo lo que hacemos, en miras a aumentar constantemente nuestra competitividad. Compromiso mutuo: Industrias BREDISA se compromete a brindar a sus trabajadores la oportunidad para que cada uno potencie su desarrollo personal y profesional, limitado solo por la habilidad y el deseo individual. Promovemos a nuestros trabajadores únicamente considerando su capacidad y calidad de trabajo. Asimismo, Industrias BREDISA se compromete a ofrecer condiciones de trabajo seguras y a impulsar acciones en pro de la conservación del medio ambiente. Los trabajadores de Industrias BREDISA asumimos los objetivos de la empresa como nuestros, por lo que nos comprometemos al máximo para contribuir al logro de los mismos.

TIPO DE AUDITORÍA: AUDITORÍA DE SISTEMAS DE INFORMACIÓN EN LA EMPRESA INDUSTRIAS BREDISA SAC. La presente Auditoría toma como base. ISO/IEC Nº 17799COBIT OBJETIVOSOBJETIVO GENERAL:

Efectuar una evaluación y diagnostico preliminar del estado al sistema de información de la Empresa INDUSTRIAS BREDISA SAC. Con los estándares COBIT, ISO/IEC Nº 17799

Objetivos Específicos para la auditoria de Sistemas de Información

• Evaluar el cumplimiento de una metodología adecuada para los sistemas de Información.

● Evaluar políticas de proceso de adquisición y mantenimiento de software aplicativo. Controles y requerimientos de seguridad, desarrollo y disponibilidad de aplicaciones de acuerdo con los requerimientos del negocio en tiempo razonable

● Evaluación de la administración proyectos si satisface el requerimiento de negocio de TI, si se entregan los resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados.

● Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias.

● Evaluar marco de trabajo de gobierno TI, incluye la definición de estructura, procesos, liderazgo, roles y responsabilidades organizacionales

• Verificar si los Sistemas de información están alineados con el plan estratégico de la empresa.

• Analizar si existe un plan para el control a las modificaciones de los Sistemas Informáticos.

• Evaluar los sistemas y procedimientos para determinar si presentan

deficiencias o irregularidades.

• Evaluar si los métodos de control son adecuados y eficaces.

• Analizar los controles y procedimientos tanto organizativos como

operativos.

• Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad.

• Evaluar la existencia de riesgos en los Sistemas de Información.

• Analizar la gestión de privilegios en los Sistemas de Información

Alcance

Esta auditoria se aplica al área de Sistemas y Tecnologías de la información de la empresa INDUSTRIAS BREDISA SAC, que tendrá un tiempo de duración de 12 semanas con un costo aproximado S/. 20.420,00Nuevos Soles, autorizado por el Gerente General de la empresa Luis Suarez Trinidad, a cargo de un grupo de estudiantes de la Universidad Cesar Vallejo de Lima Norte.Se ha dispuesto que el gerente y los encargados del área de Sistemas y Tecnologías de información colaboren brindando la mayor información posible. Así mismo se ha autorizado al área administrativa brindar solo la documentación relacionada a la auditoria. Las entrevistas y los permisos para el ingreso de los auditores serán notificados como mínimo con un día de anticipación, y se reserva la disponibilidad del tiempo del personal dándole prioridad a sus actividades programadas Como máximo podrán ingresar 2 personas, en el horario de miércoles y jueves de 8:30 a.m. a 6:00 p.m, por el tiempo que dure la auditoria. El costo de la auditoria no podrá exceder lo presupuestado, de ser asi debe ser sustentado con documentos.

4 DEFINICION

4.1 Alcance de Auditoria Física

El alcance de la auditoria de sistemas de información que realizaremos, está dada sola en la Oficina de la TI de la empresa INDUSTRIAS BREDISA, que cubre 12 metros cuadrados que se encuentra en el primer piso del local de la empresa y que consta las siguientes áreas: Gerencia General, almacén, comunicaciones, Dirección técnica, Contabilidad y secretaria

5.- RECURSOS Y TIEMPO.

5.1 AUDITORES

JEFE DE AUDITORIA

AUDITORES

5.2 TIEMPO

El tiempo que se llevará a cabo el proceso de auditoría es el siguiente

Comienzo miércoles 29/08/12

Final miércoles 05/12/12

5.3 PLANEAMIENTO EN EL MS PROYECT

fig. 01: Estadísticas del Proyecto de Auditoría

fig. 02: Hoja de Recursos

fig. 03: Diagrama de Seguimiento

Nombre de tarea Duración Comienzo Fin

Proyecto auditoria de desarrollo 29 días mié 29/08/12 mié 05/12/12

Inicio 7,5 días mié 29/08/12 jue 20/09/12

estudio de viabilidad de la auditoria 2 días mié 29/08/12 jue 30/08/12

entrevista con el gerente de la empresa 2 días mié 05/09/12 jue 06/09/12

organizar el grupo de trabajo 2 días mié 12/09/12 jue 13/09/12

definir el objetivo 4 horas mié 19/09/12 mié 19/09/12

definir el alcance 4 horas mié 19/09/12 mié 19/09/12

determinar roles y funciones 4 horas jue 20/09/12 jue 20/09/12

planeamiento 4 días mié 26/09/12 jue 04/10/12

plan de visitas a la empresa 4 horas mié 26/09/12 mié 26/09/12

plan de revisión de documentos 4 horas mié 26/09/12 mié 26/09/12

plan de adopción de metodología 1 día jue 27/09/12 jue 27/09/12

plan de adopción de estándares 1 día mié 03/10/12 mié 03/10/12

plan de adopción de herramientas 4 horas jue 04/10/12 jue 04/10/12

plan de determinar funciones 4 horas jue 04/10/12 jue 04/10/12

ejecución 12 días mié 10/10/12 jue 15/11/12

Adopción y asignación de herramientas 4 horas mié 10/10/12 mié 10/10/12

Solicitud de Manuales y Documentaciones 4 horas mié 10/10/12 mié 10/10/12

Elaboración de los cuestionarios. 2 días jue 11/10/12 mié 17/10/12

Aplicación del cuestionario al personal. 2 días jue 18/10/12 mié 24/10/12

Entrevistas a líderes y personal más relevantes de

la dirección

1 día jue 25/10/12 jue 25/10/12

Análisis de las claves de acceso, control, seguridad,

confiabilidad y respaldos

1 día mié 31/10/12 mié 31/10/12

Evaluación de la estructura orgánica 4 horas jue 01/11/12 jue 01/11/12

Evaluación de los Recursos Humanos y de la

situación Presupuestal y Financiera

4 horas jue 01/11/12 jue 01/11/12

Evaluación de los sistemas: relevamiento de

Hardware y Software, evaluación del diseño lógico

y del desarrollo del sistema

2 días mié 07/11/12 jue 08/11/12

Evaluación del Proceso de Datos: seguridad de los

datos, control de operación y procedimientos de

respaldo.

2 días mié 14/11/12 jue 15/11/12

cierre 5 días mié 21/11/12 mié 05/12/12

Revisión de los papeles de trabajo 1 día mié 21/11/12 mié 21/11/12

Determinación del diagnóstico e Implicancias 2 días jue 22/11/12 mié 28/11/12

Elaboración del informe 1 día jue 29/11/12 jue 29/11/12

presentación del informe 1 día mié 05/12/12 mié 05/12/12

Tabla 01: Tareas y Fechas (visitas de color)

6.- IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS POTENCIALES.

OBJETIVO ESPECÍFICO Evaluar políticas de proceso de adquisición y mantenimiento de software aplicativo

Hallazgo AI2 entrevista Nro.1: no realiza algún procedimiento para comprobar que los aplicativos cumplan con los requerimientos del negocio

Detalle: no realiza algún procedimiento para comprobar que los aplicativos cumplan con los requerimientos del negocio

Según la COBIT 4.1 en el punto AI2.8 Aseguramiento de la Calidad del SoftwareDesarrollar, implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener que se especifique en la definición de los requerimientos y en las políticas y requerimientos de calidad de la organización

RECOMENDACIONES :.

Desarrollar, implementar los recursos y ejecutar un plan de aseguramiento de calidad del software


Hallazgo AI2 entrevista Nro.7: no existe un plan de gestión de riesgos de seguridad

Detalle: no existe un plan de gestión de riesgos de seguridad de la aplicación aprobado por la dirección

Según la COBIT 4.1 en el punto AI2.4 Seguridad y Disponibilidad de las Aplicaciones Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.

RECOMENDACIONES :.

Desarrollar un plan de gestión de riesgos de seguridad. Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos


Hallazgo AI2 entrevista Nro.8: no existe un plan implementación y configuración de las aplicaciones adquiridas

Detalle: cuando se compra SW la empresa desarrolladora se encarga de implementarla y configurarla

Según la COBIT 4.1 en el punto AI2.5 Configuración e implementación de software aplicativo adquiridoConfigurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.

RECOMENDACIONES :

Desarrollar un plan Configuración e implementación software de aplicaciones adquiridas para conseguir los objetivos de negocio.

OBJETIVO ESPECÍFICO Evaluación de la administración proyectos si satisface el requerimiento de negocio de TI, si se entregan los resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados.

Hallazgo PO10 entrevista Nro.2: no existe una política estructurada

Detalle: la organización no tiene una política escrita sobre Proyectos

Según la COBIT 4.1 en el punto PO10.2 Marco de Trabajo para la

RECOMENDACIONES :.

Administración de ProyectosEstablecer y mantener un marco de trabajo para la administración de proyectos que defina el alcance y los límites de la administración de proyectos, así como las metodologías a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de trabajo y los métodos de soporte se deben integrar con los procesos de administración de programas.

Establecer y mantener un marco de trabajo para la administración de proyectos

OBJETIVO ESPECÍFICO Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias.

Hallazgo DS12 cuestionario Nro.6: Existe tiempo se encuentra sin servicio el negocio debido a incidentes ambientales

Cuestionario Nro.6:

Detalle: no se ha realizado un estudio del caso medidas de protección contra factores ambientales

Según la COBIT 4.1 en el punto DS12.4 Protección Contra Factores Ambientales Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.

RECOMENDACIONES :

Diseñar e implementar medidas de protección contra factores ambientales.

OBJETIVO ESPECÍFICO Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias

Hallazgo DS12 cuestionario Nro.7: riesgos de seguridad debido a incidentes de seguridad física o

Detalle: no se ha realizado un estudio del caso acceso físico.

fallos, violaciones a la seguridad y acceso no autorizado

Cuestionario Nro.7

Según la COBIT 4.1 en el punto DS12.3 Acceso FísicoDefinir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.

RECOMENDACIONES :.

Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con lasnecesidades del negocio, incluyendo las emergencias

OBJETIVO ESPECÍFICO Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias

Hallazgo DS12 cuestionario Nro.8: no se elaboran bitácoras de mantenimiento de alarmas y pruebas de simulacro, de intrusión y detección en instalaciones y cobertura de los guardias

Cuestionario Nro.8:

Detalle: No existe Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía

Según la COBIT 4.1 en el punto DS12.5 Administración de Instalaciones Físicas Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y

RECOMENDACIONES :.

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía.

salud

OBJETIVO ESPECÍFICO Evaluar marco de trabajo de gobierno TI, incluye la definición de estructura, procesos, liderazgo, roles y responsabilidades organizacionales

Hallazgo MI4 cuestionario Nro.3: no se presenta a la dirección, periódicamente informes de metas y objetivos alcanzados

Cuestionario Nro.3:

Detalle: se presenta a la dirección, ocasionalmente informes de metas y objetivos alcanzados

Según la COBIT 4.1 en el punto ME4.6 Medición del Desempeño Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para permitir a la alta dirección revisar el progreso de la empresa hacia las metas identificadas.

RECOMENDACIONES :.

Informar a dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para permitir a la alta dirección revisar el progreso de la empresa hacia las metas identificadas.


Hallazgo MI4 cuestionario Nro.4: no existe un procedimiento de rendición de cuentas

Cuestionario Nro.4:

Detalle: no se ha definido un procedimiento de rendición de cuentas ante la dirección

Según la COBIT 4.1 en el puntoME4.1 Establecimiento de un Marco de Gobierno de TI

Definir, establecer y alinear el marco

RECOMENDACIONES :.

Basar el marco de trabajo en un adecuado proceso de TI y modelo de

de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. Basar el Marco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendición de cuentas y prácticas inequívocas para evitar una rotura en el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que está alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado y cuestiones de gobierno de TI.

control y proporcionar la rendición de cuentas y prácticas inequívocas para evitar una rotura en el control interno y la revisión


Hallazgo MI4 cuestionario Nro.4: no existen actas de comités de gerencia o similares a los cuales asista el departamento de TI

Cuestionario Nro.4:

Detalle; No se tiene conocimiento de ello.

Según la COBIT 4.1 en el puntoME4.2 Alineamiento Estratégico.Garantizar que existe un entendimiento compartido entre el negocio y la función de TI. Trabajar con el consejo directivo para definir e implementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación estratégica a la gerencia respecto a TI, garantizando así que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI.

RECOMENDACIONES :implementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación estratégica a la gerencia respecto a TI

OBJETIVO ESPECÍFICO Evaluación de suficiencia en los planes de contingencia de los sistemas de información.

Hallazgo1: No hay un documento en el cual están descritos los planes para la continuidad de las operaciones del Área de Sistemas de InformaciónANEXO 4 - PREGUNTA 1

Detalle: No hay un documento en el cual están descritos los planes para la continuidad del negocio frente a posibles interrupciones en las operaciones de la empresa.

Según la ISO/IEC 17799 en el punto 14.1.2 Continuidad del negocio y evaluación del riesgo. Se debieran identificar los eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información

RECOMENDACIONES :.

• Recomendación: Establecer un plan de continuidad de las operaciones en caso de interrupciones de cualquier tipo

OBJETIVO ESPECÍFICO

Hallazgo N°2: Las copias de respaldo no son almacenadas en ambientes adecuados.

ANEXO - 1

• Detalle: Las copias de respaldo están siendo almacenados en ambientes que pueden ser atacados por desastres, como incendios, terremotos, inundaciones, entre otros.

Según la ISO/IEC 17799 en el punto 10.5 Respaldo o Back-Up. Se debieran establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración oportuna.

• Recomendación: Hacer copias de seguridad de la información en ambientes alejados y con la debida protección contra desastres y el desgaste por el tiempo..


• Hallazgo N° 3: No tienen un periodo definido para realizar las copias de respaldo.

ANEXO 4 -PREGUNTA 2, 4

• Detalle: Las copias de respaldo se están realizando sin un periodo definido, por lo tanto puede haber problemas de pérdida de datos.

Según Cóbit en el punto DS4.8 Recuperación y Reanudación de los Servicios de TI Se deben Planear las acciones a tomar durante el período en que TI está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los interesados, realizar procedimientos de reanudación, etc.

• Recomendación: Hacer copias de seguridad con un periodo definido dependiendo la relevancia de la información y la velocidad con que aumenta..

OBJETIVO ESPECÍFICO Evaluar el cumplimiento de una metodología adecuada para los sistemas de Información.

Hallazgo 4: El área no utiliza una metodología adecuada para los sistemas de informaciónANEXO 4 -PREGUNTA 4, 5

Detalle: El área de Sistemas de información no usa una metodología que monitoree la contribución de los Sistemas de Información al desempeño corporativo.

Según COBIT en el punto ME1 Monitorear y Evaluar nos dice que se debe establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI, y Monitorear la contribución de TI al negocio.

Recomendación: Establecer una metodología adecuada para los Sistemas de Información así poder beneficiar a la empresa.

.

OBJETIVO ESPECÍFICO Verificar si los Sistemas de información están alineados con el plan estratégico de TI.

Hallazgo 5: No hay un Plan Estratégico de TI alineado con los Sistemas De Información

ANEXO 4 -PREGUNTA 5

Detalle: El Plan Estratégico que tiene el Área de TI es el mismo de toda la empresa y no es uno que describa al detalle los objetivos del área de TI ni sus metas, tampoco habla sobre los sistemas de información y su importancia para el desarrollo de la empresa.

Según Cóbit en el punto P01 Definir un Plan Estratégico de TI. Nos dice que la planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio.

Recomendación: Implementar un Plan Estratégico para el Área de TI alineado con las metas y sus objetivos de la Empresa, tomando en cuenta además la importancia de los sistemas de información para el cumplimiento de ello.

OBJETIVO ESPECÍFICO Analizar si existe un plan para el control a las modificaciones de los Sistemas Informáticos.

Hallazgo 6: No existe un correcto control de las modificaciones de los sistemas informáticos.

ANEXO 4 -PREGUNTA 7

Detalle: Los sistemas informáticos están siendo modificados por el equipo de desarrollo de software pero muchas de estas modificaciones no son documentadas.

Según la Norma ISO/IEC 17799 en el punto 12.5.3 Restricciones sobre los cambios en los paquetes de software nos dice que no se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios debieran ser estrictamente controlados.

Recomendación: Evitar realizar modificaciones y en el caso de que se realizara una hacerlo con cuidado y debidamente documentado.

.


Hallazgo 7: No existe un plan para el proceso de mantenimiento

ANEXO 4 -PREGUNTA 8

Detalle: El equipo de soporte de los Sistemas Informáticos no tiene un plan establecido para el proceso de mantenimiento

Según la Norma ISO/IEC 12207 en el punto 5.5 Proceso de Mantenimiento nos dice que el proceso de mantenimiento contiene las actividades y tareas del responsable de mantenimiento

Recomendación: Implementar un plan para el proceso de mantenimiento que sea beneficioso para la empresa.

.

OBJETIVO ESPECÍFICO Evaluar los sistemas y procedimientos para determinar si presentan deficiencias o irregularidades

Hallazgo 8: No existe un procedimiento para determinar deficiencias o irregularidades en Sistema de Información

ANEXO 4 -PREGUNTA 8, 9

Detalle: El equipo de soporte de los Sistemas Informáticos no tiene un plan establecido para determinar deficiencias o irregularidades en los sistemas de información, esto lo hacen sin llevar un orden.

Según Cobit en el punto DS9.3 Revisión de Integridad de la Configuración nos dice que se debe revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica.

Recomendación:

Establecer un plan para determinar deficiencias e irregularidades en los Sistemas de Información para beneficio de la empresa.

.

OBJETIVO ESPECÍFICO Evaluar si los métodos de control son adecuados y eficaces.

Hallazgo N° 9: No existe una política de control del acceso a los Sistemas de Información

ANEXO - 2

Detalle: El acceso al sistema se realiza sin ningún control y esto es perjudicial para la empresa

Según la ISO/IEC 17799 en el punto 11.1.1 Política de control del acceso. Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se deben establecer claramente en la política de control de acceso. Los controles de acceso son tanto lógicos como físicos y estos deben ser considerados juntos. Se debe proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que deben cumplir los controles de acceso.

Recomendación: Establecer una política del control de Acceso a los Sistemas de Información para los usuarios y personal del Área de Sistemas de Información.

.


Hallazgo N°10: No existe un control de acceso al sistema operativo

ANEXO - 3

Detalle: El acceso al sistema operativo por los usuarios no está siendo controlado, pudiendo este afectar el desempeño de los Sistemas de Información.

Según la ISO/IEC 17799 en el punto 11.5 Control del acceso al sistema operativo. Evitar el acceso no autorizado a los sistemas operativos.Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados.

Recomendación:

Controlar el acceso al sistema operativo por los usuarios.

.


Hallazgo N°11: No existe un control contra códigos maliciosos en los sistemas de información

ANEXO 4 -PREGUNTA 15

Detalle: El área de TI no tiene un control establecido contra códigos maliciosos que afecten a los sistemas de información.

Según la ISO/IEC 17799 en el punto 10.4.1 Controles contra códigos maliciosos nos dice que la protección contra códigos maliciosos se debe basar en la detección de códigos maliciosos y la reparación de software, conciencia de seguridad, y los apropiados controles de acceso al sistema y gestión del cambio..

Recomendación:

Establecer una política sobre el control de códigos maliciosos en los sistemas de información

.

OBJETIVO ESPECÍFICO Analizar los controles y procedimientos en los sistemas de información tanto organizativos como operativos.

Hallazgo N°12: No existe un plan para Soluciones de operaciones en los sistemas de información.


Detalle: En el área de TI no está implementado un plan para Soluciones de operaciones en los sistemas de información, lo que dificultara la utilización de los sistemas de información.

Según Cóbit en el punto A14.1 Plan para Soluciones de Operaciones nos dice que se debe desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura.

Recomendación:

Documentar un plan para Soluciones de operaciones en los sistemas de información.

.


Hallazgo N°13: No existe capacitaciones seguidas a los miembros de la gerencia sobre el uso de los Sistemas de

Detalle: En el área de TI no se brinda capacitaciones seguidas a los miembros de la gerencia sobre el uso de los Sistemas de

Información.ANEXO 4 -PREGUNTA 13

Información, estas se hacen solo a solicitud de los mismos.

Según Cóbit en el punto A14.2 Transferencia de Conocimiento a la Gerencia del Negocio nos dice que se debe Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesión del sistema y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicación.

Recomendación:

Se debe brindar capacitaciones periódicas a los miembros de la gerencia sobre el uso de los Sistemas de Información.

OBJETIVO ESPECÍFICO Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad

Hallazgo N°14: No existe planes de continuidad de los Sistemas de Información.


Detalle: En el área de TI no existe documento alguno que describa los planes de continuidad de los Sistemas de Información, no pudiendo continuar con sus operaciones luego de que se materialice una amenaza.

Según Cóbit en el punto DS4.2 Planes de Continuidad de TI nos dice que se debe desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI

Recomendación: Se deben documentar planes de continuidad de los Sistemas de Información, para asegurar el bien de le Empresa.


Hallazgo N°15: No existe planes de reanudación de servicios y

Detalle: En el área de TI no existe documento alguno que describa los

recuperación de los Sistemas de Información


planes recuperación y reanudación de servicios de los Sistemas de Información, no está documentado pero si oralmente saben que deben hacer.

Según Cóbit en el punto DS4.8 Recuperación y Reanudación de los Servicios de TI nos dice que se debe planear las acciones a tomar durante el período en que TI está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los interesados, realizar procedimientos de reanudación, etc

Recomendación:Se deben implementar planes de reanudación de servicios y recuperación de los Sistemas de Información.


Hallazgo N°16: No se verifica la capacidad de los Sistemas de Información


Detalle: No se verifica la capacidad de los Sistemas de Información para asegurar la disponibilidad de la información.

Según la ISO/IEC 17799 en el punto 10.3.1 Gestión de la capacidad nos dice que se deben identificar los requerimientos de capacidad de cada actividad nueva y en proceso.Se deben aplicar la afinación y monitoreo del sistema para asegurar y, cuando sea necesario, mejorar la disponibilidad y eficiencia de los sistemas. Se deben establecer detectives de controles para indicar los problemas en el momento debido.

Recomendación: Se deben verificar la capacidad de los Sistemas de Información para asegurar la disponibilidad de la información.

.

OBJETIVO ESPECÍFICO Evaluar la existencia de riesgos en los Sistemas de Información

Hallazgo N°17: No se evalúan los riesgos en los Sistemas de InformaciónANEXO 4 -PREGUNTA 19

Detalle: No existe la evaluación de riesgos en los sistemas informáticos, por lo que estos están propensos a su impacto.

Según Cóbit en el punto PO9.4 Evaluación de Riesgos de TI nos dice que se debe evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio.

.Recomendación:

Se deben evaluar los riesgos en los Sistemas de Información, para evitar el futuro impacto de estos.


Hallazgo N°18: No existe un Plan de Acción frente a Riesgos en los Sistemas de Información


Detalle: No existe un Plan de Riesgos para los Sistemas de Información, en el cual detalle las acciones recomendadas para la disminución del mismo.

Según Cóbit en el punto PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos nos dice que se debe priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificación de costos, beneficios y la responsabilidad de la ejecución. Obtener la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas están a cargo del dueño (s) de los procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección.

.Recomendación:

Se deben implementar un Plan de Acción de Riesgos, acordes con las características de los Sistemas de Información.

OBJETIVO ESPECÍFICO Analizar la gestión de privilegios en los Sistemas de Información

Hallazgo N°19: No se están documentando los privilegios en los Sistemas de Información


Detalle: No se están documentando los privilegios en los Sistemas de Información, si se dan privilegios pero sin un documento formal.

Según la ISO/IEC 17799 en el punto 11.2.2 Gestión de privilegios nos dice que los sistemas de información deben controlar la asignación de privilegios a través de un proceso de autorización formal.

Recomendación:Se deben documentar los privilegios en los Sistemas de Información.

.


Hallazgo N°20: No se están documentando los cambios de funciones


Detalle: Cuando se realiza un cambio o término de una función en la empresa, no se están documentando los privilegios en los Sistemas de Información.

Según Cóbit en el punto PO7.8 Cambios y Terminación de Trabajo nos dice que se deben tomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del conocimiento, asignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función.

.Recomendación:

Se deben documentar los privilegios en los Sistemas de Información.

CONCLUSIONES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

• No existen planes de contingencia de los sistemas de información, además las copias de respaldo no son almacenadas en lugares adecuados.

• El Área de TI no tiene una metodología adecuada para los sistemas de Información.

• Ya que el Área de TI no cuenta con un Plan Estratégico documentado los Sistemas de información están alineados con este.

• No existe un plan para el control a las modificaciones de los Sistemas Informáticos.

• No existe procedimientos para determinar si presentan deficiencias o irregularidades los Sistemas de Información.

• Si bien existen perfiles para el acceso a los sistemas de Información este no está documentado y parametrizado, solo existen guías con los usuarios y sus permisos.

• Falta implementar un Plan para soluciones de operaciones.• Si bien existen procedimientos para la continuidad de los

Sistemas de Información estos no están documentados adecuadamente.

• No existen planes de acción frente riesgos en los Sistemas de Información

• No se tienen debidamente documentados privilegios y cambios de funciones en los Sistemas de Información.

ANEXOS 1Las copias de respaldo están siendo guardadas en usb, las cuales están siendo usadas para manejar información y esto es un riesgo ya que se puede perder la informacion o ya que puede ser infectado por un virus, no tiene un ambiente epecifico para guardar las copias de respaldo en cuanto a su documentación.

ANEXO-2

Dentro del propio Excel se encuentra la base de datos, cualquier persona puede ingresar a la base de datos y ver los clientes con quienes trabajan

ANEXO - 3

No existe un control de usuarios en el sistema operativo de tal manera que cualquier usuario puede ingresar a la cuenta del administrados

ANEXO 4.0

● AI2 Adquirir y mantener software aplicativoHERRAMIENTAEntrevista1 ¿Se realizó algún procedimiento para comprobar que los aplicativos

cumplan con los requerimientos del negocio?No

2 ¿En las compras de aplicaciones se ha verificado que el software cumpla con las legislaciones y regulaciones?Si, antes de adquirir un SW se realiza un estudio en donde unas de las cosas que se determina es que cumpla con las leyes que lo regulan

3 ¿Existe algún procedimiento de gestión de cambios de requerimientos durante el desarrollo y compra de aplicativos?La empresa no desarrolla SW, pero al comprar aplicativos si se realiza la gestión de cambios pertinente

4 ¿Existe algún plan para el mantenimiento de aplicaciones de software?Si se realizan periódicamente

5 ¿Existe un análisis entre diferentes aplicativos TI, que involucre análisis de costo inicial, costo en el tiempo, funcionalidades, soportes y consultorías?Si realiza un análisis previo, cuando se adquiere SW para la empresa

6 ¿Se han identificado claramente las necesidades del negocio y con qué módulos del aplicativo se solucionan?La solución informática utilizada suple las necesidades de la organización

7 ¿Existe un plan de gestión de riesgos de seguridad de la aplicación aprobado por la dirección?No, no contamos con este

8 ¿Existe un plan implementación y configuración de las aplicaciones adquiridasNo, cuando se compra SW la empresa desarrolladora se encarga de implementarla y configurarla

● PO10 Administrar proyectosHERRAMIENTAEntrevista.

1 ¿En qué medida la organización ha integrado formalmente los proyectos en el trabajo?Los proyectos de TI se ejecutan según criterios de la empresa, ya sean para optimizar o apoyar los procesos.

2 ¿Tiene la organización una política escrita sobre Proyectos?No, no existe una política estructurada

3 ¿Imparte la organización formación sobre Proyectos?Si, dentro de la gerencia de planta se formulan proyectos después de un estudio en el área de investigación de la empresa

4 ¿Se realizan los proyectos a tiempo y dentro del presupuesto?5 En ocasiones se realizan exitosamente, algunos no culminan en el

tiempo presupuestado6 ¿Existe una definición clara y documentada del alcance de cada

proyecto?Si, se define de forma escrita cada proyecto con sus objetivos y alcances

7 ¿Están claramente identificados los riesgos de cada proyecto así como los mecanismos que minimizan estos riesgos?Si, estos están incluidos dentro del informe inicial de cada proyecto, los cuales son tenidos en cuenta para que el proyecto sea aceptado

8 ¿Existe un plan de Calidad de cada proyecto debidamente aprobado por todas las partes interesadas?El plan de calidad también está incluido en el informe del proyecto, con el objetivo de garantizar el cumplimiento 100% del proyecto

9 ¿Los cambios en cronograma, costos, alcance, calidad del proyecto son debidamente documentados?Si cada cambio que se realice durante la ejecución del proyecto debe ser informado y documentado previamente

● AI5 Adquirir recursos de TIHERRAMIENTAEntrevista

1 ¿Existen políticas para la adquisición de los recursos de TI en la organización?Si

2 ¿Existen procesos de capacitación de personal para el manejo de procesos relacionados con la adquisición de recursos?Si, contamos con personal capacitado para realizar un análisis estricto para adquirir TI

3 ¿Qué criterios se tienen en cuenta al momento de adquirir recursos y como se asegura que estos representen un beneficio para la Organización?Se realiza un análisis de costo beneficio para saber que viabilidad tiene para implementarla en la organización.

4 ¿Existe alguna función específica que controle la entrada ilegal de recursos de TI, es decir que vaya en contra de las políticas establecidas por la Organización para ello?Sí, todo recurso de TI que entra a la organización debe estar acorde a las políticas que define el PETI

5 ¿Qué tipo de documentación se realiza para registrar formalmente la adquisición de recursos tecnológicos y toda la información relacionada?

6 ¿Qué procedimientos y controles de seguridad existen para la evaluación, selección y adquisición de software?

7 ¿Qué tipo de aprobaciones (o de quien) se tienen en cuenta para adquirir recursos tecnológicos?Va desde el gerente de tecnologías y el financiero, pero quien determina la última palabra es el gerente general

● DS12 Entregar y dar soporteHERRAMIENTACuestionario

1 ¿Se definieron y diseñaron centros de datos para el equipo de TI y se tuvieron en cuenta las normas de seguridad física y las leyes de seguridad y de salud en el trabajo?SI_X_ NO____ N/A____OBSERVACIONES:____________________________________

2 ¿Se definieron e implementaron medidas de seguridad física alineadas con los requerimientos del negocio?Perímetro de seguridadZonas de seguridadUbicación de equipo críticoÁreas de envío y recepciónResponsabilidades del monitoreo Procedimientos de reporte y de resolución de incidentesSI__ X ___ NO____ N/A____OBSERVACIONES: __________________________________________________

3 ¿Se diseñaron e implementaron medidas de protección contra factores ambientales y equipo especializado para monitorear y controlar el ambiente?SI__ X ___ NO____ N/A____OBSERVACIONES: __________________________________________________

4 ¿Se administran las instalaciones y equipo de comunicaciones y energía, de acuerdo con los reglamentos, requerimientos técnicos y lineamientos de seguridad y salud?SI__X _ __ NO____ N/A____OBSERVACIONES: __________________________________________________

5 ¿Se definieron e implementaron procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio?SI__ X ___ NO____ N/A____OBSERVACIONES:_____ existen buenas políticas de seguridad _______________

6 Se ha minimizado el tiempo que se encuentra sin servicio el negocio debido a incidentes ambientales?SI_____ NO____ N/A__X _ OBSERVACIONES:__ no se ha realizado un estudio del caso ______________________

7 ¿Se han minimizado los riesgos de seguridad debido a incidentes de seguridad física o fallos, violaciones a la seguridad y acceso no autorizado?SI_____ NO____ N/A__X__OBSERVACIONES:___no se ha realizado un estudio del caso _____________

8 ¿Se elaboran bitácoras de mantenimiento de alarmas y pruebas de simulacro, de intrusión y detección en instalaciones y cobertura de los guardias?SI_____ NO_X__ N/A____OBSERVACIONES:__________________________________________________

● ME4 Proporcionar gobierno de TIHERRAMIENTAEntrevista:

1 ¿Cuáles son los objetivos de TI y como ayudan a cumplir con los objetivos del negocio?

● Servir de apoyo para todas las áreas de la organización.● Mejorar la calidad de los recursos humanos en el área de sistemas.● Obtener resultados medibles de las tecnologías incorporadas.2 ¿Cómo se rinden cuentas ante la dirección, de las gestiones realizadas

en TI?Se tiene documentación de cada una de las fases gestionadas en los proyectos

3 ¿La dirección consulta con el departamento de Tecnología acerca decisiones estratégicas que se toman en el negocio?Si

4 ¿Qué actitud tiene la gerencia en cuanto a la inversión en tecnología?La gerencia está abierta a todas las propuestas de tipo tecnológico realizadas por parte del área de sistemas, estas propuestas se evalúan y se mide la factibilidad de que se conviertan en proyectos a desarrollar.

5 ¿Cómo garantiza el cumplimiento de las regulaciones legales relevantes y las políticas de la organización?Existen políticas de seguridad que garantizan la legalidad y el manejo interno de las TI en la organización.

Cuestionario.1 ¿Existe un PETI aprobado por la dirección el negocio?

SI2 ¿En el PETI se tiene en la cuenta las leyes y regulaciones?

SI

3 ¿Se presenta a la dirección, periódicamente informes de metas y objetivos alcanzados?NO, se realiza periódicamente

4 ¿Se ha definido un procedimiento de rendición de cuentas ante la dirección?No

5 ¿Existen actas de comités de gerencia o similares a los cuales asista el departamento de TI?No se tiene conocimiento de ello

6 ¿Existen estudios de impacto en los cuales se identifique el efecto de los planes de TI sobre la operación del negocio?Si, en el PETI, se estiman los beneficios que aporta el área de sistemas a cada una de las demás áreas de la empresa.

7 ¿La evaluación del riesgo TI está integrada a la evaluación del riesgo de toda la empresa?Si, cuando se realiza cualquier actividad en el área de sistemas se tiene en cuenta el efecto que esta ocasiona al negocio.

8 ¿Existen evaluaciones del proceso de TI por parte de otras unidades funcionales de la empresa?Si

9 ¿Existe un procedimiento que garantice un ambiente de desarrollo y pruebas que soporte la efectividad y eficiencia de las mismas?Si, existen equipos de trabajo bien definidos con labores específicas dentro del área de sistemas

10 ¿Existe algún documento que defina claramente las características mínimas de los recursos de la organización para garantizar el correcto funcionamiento de las soluciones TI?Si, en el PETI existe una regulación de especificaciones de HW que soporte el SW utilizado y en las políticas de seguridad del área de sistemas se mencionan regulaciones para los ambientes de trabajo (infraestructura física) y especificaciones de SW, HW y redes, para garantizar la efectividad de los ambientes TI.

ANEXO - 4

1)- Existe un plan de contingencia para los sistemas de evaluaciónSi ( ) no (X)2)- Tienen un tiempo definido para realizar una copia de respaldo de la información que se maneja en la empresa.Si ( ) no(X)4)- Cada cuanto tiempo realizan una copia de seguridad del sistema de información1 mes ( ) 2 mese ( ) 3 meses ( ) no está definido (X)5)- Tienen o utilizan una guía adecuada para la utilización de los sistemas de información que contribuya al beneficio de la empresaSi ( ) no(X)6)- El plan estratégico está alineado a los sistemas de informaciónSi ( ) no(X)7)- Existe un plan para el control de las modificaciones de los sistemas informáticosSi ( ) no(X)8)- Existe un periodo en el cual se realiza un mantenimiento a los sistemas de informaciónSi ( ) no(X)9)- Se realiza un mantenimiento a los sistemas de información.Si ( ) no(X)10)- Existe una procedimiento en el cual puedan determinar si presentan irregularidades en los sistemas de informaciónSi ( ) no(X)11)- Si se presenta un problema en los sistemas de información existe un plan de contingencia para la recuperación de la informaciónSi ( ) no(X)12)- Existe un plan de continuidad para los sistemas de informaciónSi ( ) no(X)13)- Realizan capacitaciones sobre el uso de los sistemas de informaciónSi ( ) no(X) 14)- Se tienen procedimiento establecidos para aplicarlos en el uso de los sistemas de informaciónSi ( ) no(X)15)- La empresa tiene un control de los códigos maliciosos que pueden afectar su informaciónSi ( ) no(X)16)- Existe un plan de acción frente a los riesgos que pueden sufrir los sistemas de información

Si ( ) no(X)17)- Cambian los privilegios de entrada cuando ingresa un nuevo personalSi ( ) no(X)17.1) - Se documentan cada privilegio dado a un nuevo usuarioSi ( ) no(X)18)- Conoce la capacidad de los sistemas de información, están de acorde a los requisitos de la empresa.Si ( ) no(X)19)- Tienen algún plan de contingencia si ocurre algún problema en los sistemas de informaciónSi ( ) no(X) 20)- Se documentan los cambios de funciones que se dan en la empresaSi ( ) no(X)

hallazgos de auditoria de sistemas de informacion

Documents