Subido por John Santamaria

Auditoría de sistemas

Anuncio
Intergrupo
Auditoría de sistemas
Intergrupo
Índice.
ALCANCE ......................................................................................................................................... 3
OBJETIVOS ...................................................................................................................................... 3
Generales ......................................................................................................................................... 3
Recursos........................................................................................................................................... 3
Etapas de trabajo ........................................................................................................................... 3
1.
Recopilación de información básica ............................................................................. 3
2.
Identificación de riesgos potenciales ........................................................................... 5
3.
Objetivos de control .......................................................................................................... 5
4.
Determinacion de los procedimientos de control ..................................................... 5
5.
Pruebas a realizar............................................................................................................... 6
6.
Obtencion de los resultados. .......................................................................................... 7
7. Conclusiones y Comentarios ............................................................................................ 7
8. Redaccion del borrador del informe ................................................................................. 7
9 . Presentación del borrador del informe, al responsable ............................................. 8
10. Redacción del Informe Resumen y Conclusiones...................................................... 8
11.
Entrega del informe a los directivos de la empresa. ............................................ 8
Intergrupo
ALCANCE
La auditoría se realizará al área de desarrollo de software, a la cual, se le hará
seguimiento para analizar el cumplimiento de las políticas de seguridad estipuladas
para este grupo.
OBJETIVOS
Generales
Identificar falencias en la implementación de las políticas de se seguridad
establecidas para los colaboradores del área de desarrollo, y generar alternativas
para su correcto funcionamiento.
Específicos
Evaluar el cumplimiento de las políticas de seguridad en el área de desarrollo de
software.
Generar retroalimentación a los colaboradores para mejorar y promover el cuidado
de la información.
Recursos
El número de personas que integraran el equipo de auditoria será de tres, con un
tiempo máximo de ejecución 1 semana.
Etapas de trabajo
1. Recopilación de información básica
Se envia un cuestionario a los responsables del areas de desarrollo de software. El
objetivo de este cuestionario es saber sobre que politica o que parametros utilizan
para el cuidado de la información.
Los responsables se encargaran de distribuir este cuestionario al area ya
mencionada para que tambien lo completen. Y a si verificar falencias en el area
Es importante tambien reconocer y entrevistarse con los responsables y algunos
colaboradores del area de desarrollo de software para conocer con mayor
profundidad cuales son las falencias que se tiene con respecto a la seguridad de la
información
Cuestionario
Cuestionario de Autoevaluación de seguridad la información
Intergrupo
Si
¿Las actividades de
control implementadas
contribuyen a que la
información que utiliza y
genera sea de calidad,
pertinente,
veraz,
oportuna,
accesible,
transparente, objetiva e
independiente?
¿Cumple
con
los
Principios Institucionales
de Seguridad de la
Información?
¿Los
sistemas
de
información
implementados
aseguran la calidad,
pertinencia, veracidad,
oportunidad,
accesibilidad,
transparencia,
objetividad
e
independencia de la
información?
¿Los
sistemas
de
información
implementados facilitan
la toma de decisiones?
¿Tiene
formalmente
establecido un manual
donde se verifique los
lineamientos
de
la
seguridad
de
la
información del área de
desarrollo de software
¿Cada colaborador tiene
establecidos sus claves y
accesos para ingresar a
los repositorios?
¿Se
evalúa
periódicamente que el
personal
si
este
cumpliendo
con
las
políticas de seguridad de
la información?
Si Parcialmente
No
Observaciones
Intergrupo
¿Tienen
establecidos
repositorios donde se
debe de guardar la
información?
En las entrevistas incluiran:

Lideres Técnicos area Información

Colaboradores
2. Identificación de riesgos potenciales
Se observara la utilizacion de toda clese de dispositivos de almacenamien de
datos, como memerias, usb, disco duros, telefonos moviles,
Dentro de los riesgos posibles, se analizara el acceso a internet por donde se
pueda genear fugas de informacion.
3. Objetivos de control
-
-
Se analizara la correcta aplicación de las politicas de seguridad de la
empresa.
Se hara una revisión y estudio de las politicas de seguridad de la informacion
en la empresa, con el fin de garantizar que sean entendibles y que esten
disponibles para cada uno de los colaboradores.
Verificar las formas y medios de divulgacion de las politicas de seguridad
para segurar que todos tengan acceso a dicha informacion
Evaluar campañas de divulgacion de las pliticas de seguridad
4. Determinacion de los procedimientos de control
Se determinaran al documento oficial de políticas de seguridad de la
información establecidas por la empresa. En la cual, en el punto número tres
del documento de Políticas de seguridad de la información establece los
roles. Para nuestro proceso de auditoria se define el rol de:
Colaboradores y Terceros: Todos los colaboradores contratados por
Intergrupo para la ejecución de funciones definidas para el cumplimiento de
la actividad propia de Intergrupo, al igual que los contratistas y proveedores
Intergrupo
contratados por Intergrupo. Para ellos se definen las siguientes funciones y
responsabilidades:
de seguridad de la información.
pueda estar expuesta la organización.
Objetivo N 1: POLÍTICAS GENERALES.
 Todos los colaboradores y/o proveedores serán responsables
de proteger la información a la cual accedan y procesen, para
evitar su pérdida, alteración, destrucción o uso indebido,
garantizando el cumplimiento de la política en todo momento.
 Se realizarán auditorías y controles periódicos sobre el modelo
de gestión de Seguridad de la Información de Intergrupo.
 Las violaciones a las Políticas y Controles de Seguridad de la
Información serán reportadas, registradas y monitoreadas.
Objetivo N 2: POLÍTICAS ESPECÍFICAS.











Uso adecuado de los activos
Acceso a Internet
Correo electrónico
Control de acceso físico
Protección y ubicación de los equipos
Segregación de funciones
Protección contra software malicioso
Intercambio de información
Control de acceso lógico
Gestión de contraseñas de usuario
Control de acceso a sistemas y aplicaciones
5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:
 Tomar 10 estaciones de trabajo al azar y evaluar la dificultad de
acceso a las mismas.
 Intentar sacar datos con un dispositivo externo.
Intergrupo
 Facilidad de accesos a información de confidencialidad
(usuarios y claves).
 Comprobar que luego de 5 minutos de inactividad los usuarios
se deslogueen.
6. Obtencion de los resultados.
En esta etapa se obtendrán los resultados que surjan de la aplicación de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se
cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion
de los mismos y evitar interpretaciones erroneas.
7. Conclusiones y Comentarios
En este paso se detallara el resumen de toda la información obtenida, así como lo
que se deriva de esa información, sean fallas de seguridad, organización o
estructura empresarial. Se expondrán las fallas encontradas, en la seguridad sean
en temas de resguardo de información, manejo y obtención de copias de seguridad,
en las normativas de seguridad como por ejemplo normativas de uso de passwords
y estudios previos a las adquisiciones para comprobar el beneficio que los mismos
aportarían. Finalmente se verán los temas de organización empresarial, como son
partes responsables de seguridad, mantenimiento y supervisión de las otras áreas.
8. Redaccion del borrador del informe
Se detalla de manera concisa y clara un informe de todos los problemas
encontrados, anotando los datos de cada una de las estaciones de trabajo
auditadas:
 Problema encontrado
 Solución recomendada
Intergrupo
9 . Presentación del borrador del informe, al responsable
Se le presentara el informe borrador a un responsable del área informática, como
se indicó en el punto anterior, con el máximo de detalle posible de todos los
problemas y soluciones posibles recomendadas, este informe se pasara por escrito
en original y copia firmando un documento de conformidad del mismo para adquirir
un compromiso fuerte en la solución de los mismos, de esta forma evitaremos
posibles confusiones futuras.
10. Redacción del Informe Resumen y Conclusiones.
Es en este paso es donde se muestran los verdarderos resultados a los
responsables de la empresa, el informe presentado dará a conocer todos los puntos
evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles
soluciones.
La conclusión tendrá como temas los resultados, errores, puntos críticos y
observaciones de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen
uso y también recomendaciones sobre la forma incorrecta de realizar algunos
procedimientos.
11. Entrega del informe a los directivos de la empresa.
Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del
informe final con los resultados obtenidos en la auditoria.
Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de
los puntos en los que el resultado no haya sido satifactorio o simplemente se quiera
verificar que los que los objetivos de control se sigan cumpliendo a lo largo del
tiempo.
Descargar