Intergrupo Auditoría de sistemas Intergrupo Índice. ALCANCE ......................................................................................................................................... 3 OBJETIVOS ...................................................................................................................................... 3 Generales ......................................................................................................................................... 3 Recursos........................................................................................................................................... 3 Etapas de trabajo ........................................................................................................................... 3 1. Recopilación de información básica ............................................................................. 3 2. Identificación de riesgos potenciales ........................................................................... 5 3. Objetivos de control .......................................................................................................... 5 4. Determinacion de los procedimientos de control ..................................................... 5 5. Pruebas a realizar............................................................................................................... 6 6. Obtencion de los resultados. .......................................................................................... 7 7. Conclusiones y Comentarios ............................................................................................ 7 8. Redaccion del borrador del informe ................................................................................. 7 9 . Presentación del borrador del informe, al responsable ............................................. 8 10. Redacción del Informe Resumen y Conclusiones...................................................... 8 11. Entrega del informe a los directivos de la empresa. ............................................ 8 Intergrupo ALCANCE La auditoría se realizará al área de desarrollo de software, a la cual, se le hará seguimiento para analizar el cumplimiento de las políticas de seguridad estipuladas para este grupo. OBJETIVOS Generales Identificar falencias en la implementación de las políticas de se seguridad establecidas para los colaboradores del área de desarrollo, y generar alternativas para su correcto funcionamiento. Específicos Evaluar el cumplimiento de las políticas de seguridad en el área de desarrollo de software. Generar retroalimentación a los colaboradores para mejorar y promover el cuidado de la información. Recursos El número de personas que integraran el equipo de auditoria será de tres, con un tiempo máximo de ejecución 1 semana. Etapas de trabajo 1. Recopilación de información básica Se envia un cuestionario a los responsables del areas de desarrollo de software. El objetivo de este cuestionario es saber sobre que politica o que parametros utilizan para el cuidado de la información. Los responsables se encargaran de distribuir este cuestionario al area ya mencionada para que tambien lo completen. Y a si verificar falencias en el area Es importante tambien reconocer y entrevistarse con los responsables y algunos colaboradores del area de desarrollo de software para conocer con mayor profundidad cuales son las falencias que se tiene con respecto a la seguridad de la información Cuestionario Cuestionario de Autoevaluación de seguridad la información Intergrupo Si ¿Las actividades de control implementadas contribuyen a que la información que utiliza y genera sea de calidad, pertinente, veraz, oportuna, accesible, transparente, objetiva e independiente? ¿Cumple con los Principios Institucionales de Seguridad de la Información? ¿Los sistemas de información implementados aseguran la calidad, pertinencia, veracidad, oportunidad, accesibilidad, transparencia, objetividad e independencia de la información? ¿Los sistemas de información implementados facilitan la toma de decisiones? ¿Tiene formalmente establecido un manual donde se verifique los lineamientos de la seguridad de la información del área de desarrollo de software ¿Cada colaborador tiene establecidos sus claves y accesos para ingresar a los repositorios? ¿Se evalúa periódicamente que el personal si este cumpliendo con las políticas de seguridad de la información? Si Parcialmente No Observaciones Intergrupo ¿Tienen establecidos repositorios donde se debe de guardar la información? En las entrevistas incluiran: Lideres Técnicos area Información Colaboradores 2. Identificación de riesgos potenciales Se observara la utilizacion de toda clese de dispositivos de almacenamien de datos, como memerias, usb, disco duros, telefonos moviles, Dentro de los riesgos posibles, se analizara el acceso a internet por donde se pueda genear fugas de informacion. 3. Objetivos de control - - Se analizara la correcta aplicación de las politicas de seguridad de la empresa. Se hara una revisión y estudio de las politicas de seguridad de la informacion en la empresa, con el fin de garantizar que sean entendibles y que esten disponibles para cada uno de los colaboradores. Verificar las formas y medios de divulgacion de las politicas de seguridad para segurar que todos tengan acceso a dicha informacion Evaluar campañas de divulgacion de las pliticas de seguridad 4. Determinacion de los procedimientos de control Se determinaran al documento oficial de políticas de seguridad de la información establecidas por la empresa. En la cual, en el punto número tres del documento de Políticas de seguridad de la información establece los roles. Para nuestro proceso de auditoria se define el rol de: Colaboradores y Terceros: Todos los colaboradores contratados por Intergrupo para la ejecución de funciones definidas para el cumplimiento de la actividad propia de Intergrupo, al igual que los contratistas y proveedores Intergrupo contratados por Intergrupo. Para ellos se definen las siguientes funciones y responsabilidades: de seguridad de la información. pueda estar expuesta la organización. Objetivo N 1: POLÍTICAS GENERALES. Todos los colaboradores y/o proveedores serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido, garantizando el cumplimiento de la política en todo momento. Se realizarán auditorías y controles periódicos sobre el modelo de gestión de Seguridad de la Información de Intergrupo. Las violaciones a las Políticas y Controles de Seguridad de la Información serán reportadas, registradas y monitoreadas. Objetivo N 2: POLÍTICAS ESPECÍFICAS. Uso adecuado de los activos Acceso a Internet Correo electrónico Control de acceso físico Protección y ubicación de los equipos Segregación de funciones Protección contra software malicioso Intercambio de información Control de acceso lógico Gestión de contraseñas de usuario Control de acceso a sistemas y aplicaciones 5. Pruebas a realizar. Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas: Tomar 10 estaciones de trabajo al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo. Intergrupo Facilidad de accesos a información de confidencialidad (usuarios y claves). Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen. 6. Obtencion de los resultados. En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas. 7. Conclusiones y Comentarios En este paso se detallara el resumen de toda la información obtenida, así como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad sean en temas de resguardo de información, manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como son partes responsables de seguridad, mantenimiento y supervisión de las otras áreas. 8. Redaccion del borrador del informe Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos de cada una de las estaciones de trabajo auditadas: Problema encontrado Solución recomendada Intergrupo 9 . Presentación del borrador del informe, al responsable Se le presentara el informe borrador a un responsable del área informática, como se indicó en el punto anterior, con el máximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones futuras. 10. Redacción del Informe Resumen y Conclusiones. Es en este paso es donde se muestran los verdarderos resultados a los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones. La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de los auditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso y también recomendaciones sobre la forma incorrecta de realizar algunos procedimientos. 11. Entrega del informe a los directivos de la empresa. Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del informe final con los resultados obtenidos en la auditoria. Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.