Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática
Subido por Carla Gareca

Informe de Auditoria Interna Ciclo 1 2023 Banco de la Fortuna

Anuncio 
La Paz, 05 de enero 2023
INFORME:
A.
INFORME DE EVALUACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN
RESUMEN EJECUTIVO
El gobierno corporativo de la entidad financiera BANCO DE LA FORTUNA en coordinación con
la Unidad de Auditoria, realiza la primera evaluación del sistema de gestión de seguridad de la
información con la necesidad de evaluar, mantener y mejorar la Gestión de Seguridad de la
Información, para tal efecto se aplica la normativa vigente y los estándares de la ISO/IEC
27001:2013.
Para esta primer auditoría Ciclo 1 2023 y de acuerdo al programa de auditoría interna el
alcance del mismo está enfocado en la Administración de control de accesos.
B.
OBJETIVO
Evaluar la implementación del proceso de Administración de control de accesos basado en la política de seguridad
de la información.
C.
PROCEDIMIENTOS DE AUDITORIA
D.
1.
Verificar la Administración de Cuentas de Usuarios del Banco de la Fortuna
Verificar la ABM (Altas, Bajas y modificaciones de cuentas de usuarios) del Banco de la Fortuna
Verificar la Gestión de Perfiles del Banco de la Fortuna
Verificar la Administración y control de asignación de navegación de internet del Banco de la Fortuna.
Verificar la Asignación de responsables de software y hardware del Banco de la Fortuna
Verificar la Administración estaciones de trabajo del Banco de la Fortuna
APLICACIÓN DE EVALUACION DE AUDITORIA
Administración de Cuentas de Usuarios
 ¿El departamento de TI, implementó la política para la designación de perfiles de usuarios, al
momento de la incorporación, cambio de cargo en la empresa y retiro del personal?
De acuerdo con la evaluación realizada al Banco de la Fortuna en coordinación con el Departamento
de TI, se evidenció que se implementó la política de administración de accesos basada en el principio
de menor privilegio de acuerdo con la Norma de la ASFI y la matriz de perfiles aprobado por el
Directorio para la aplicación por el Departamento de TI.
 ¿El departamento TI, implementó el procedimiento de privilegios de acuerdo con el cargo
ocupado en la empresa?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que se implementó la
política de administración de accesos y el procedimiento de asignación de accesos, delimitando la
asignación de los privilegios de acuerdo con la Matriz de perfiles.
Se evidencia que la Matriz de perfiles fue elaborado en coordinación con los demás departamentos y
revisado y aprobado por cada gerente.
Se evidencia que la Matriz de perfiles es actualizada de acuerdo con los cambios de estructura que
pueda existir en cada gerencia.
 ¿El departamento de TI, cuenta con periodo de evaluación de los privilegios de las cuentas de
usuarios?
De acuerdo con la evaluación y en cumplimiento con la normativa emitida por el ente regulador, se
evidencia que se realiza mínimamente una evaluación anual para la revisión de los perfiles y accesos
de privilegios del Banco de la Fortuna o cuando alguna gerencia lo solicite.
 ¿Se cuenta con usuarios con alto privilegio en la empresa?, se tiene procedimientos de
administración de estos usuarios?
De acuerdo con la evaluación, el departamento cuenta con el personal responsable para las
asignaciones de los niveles de privilegios y de cumplimiento de la Matriz de Perfiles y accesos de
acuerdo con el cargo a desempeñar dentro de la entidad.
Se evidencia que el Oficial de Seguridad de la Información (OSI) realiza periódicamente un monitoreo
de los usuarios con alto privilegio.
2.
ABM (Altas, Bajas y modificaciones de cuentas de usuarios)
 ¿El departamento de TI, implementó el procedimiento para el alta, baja y modificación de las
cuentas de los usuarios?
De acuerdo con la revisión el Departamento implementó la política y el procedimiento de asignación
de accesos, dentro de la normativa implementada, se evidencia que se cuenta con el procedimiento de
alta, baja y modificaciones de los perfiles de usuarios.
Se evidencia que los perfiles cuentan con accesos de acuerdo con las funciones del cargo.
Para las solicitudes de ABM se evidencia que cuentan con formularios que son cargados a un sistema.
 ¿El departamento de TI, mantiene un registro de las cuentas habilitadas, bloqueadas y
eliminadas?
De acuerdo con la evaluación el Banco de la Fortuna implemento la matriz de perfiles estableciendo
los cargos disponibles y ocupados dentro de la entidad, lo cual se establece medidas de control en el
personal contratado y los perfiles asignados.
 ¿El departamento de TI, cuenta con periodos de revisión y evaluación?
De acuerdo con la evaluación y en cumplimiento con la normativa emitida por el ente regulador, se
cuenta con la evaluación anual para la revisión de los perfiles y accesos de privilegios del Banco de la
Fortuna.
El Oficial de riesgos es el encargado de realizar una revisión de los perfiles y accesos por lo menos una
vez al año y tiene un programa de revisión.
 ¿Dentro del procedimiento de ABM cuál es el papel que desempeña RRHH?
De acuerdo con la evaluación de la coordinación entre el departamento de TI y el departamento de
Recursos Humanos, se maneja un control coordinado para la asignación del perfil al momento de su
contratación o al movimiento del personal de forma vertical o horizontal.
3.
Gestión de Perfiles
 ¿El departamento de IT, implementó la política de gestión de perfiles de usuarios?
De acuerdo con la evaluación realizada al Banco de la Fortuna en coordinación con el Departamento
de TI, se evidenció que se implementó la política de administración de accesos y la matriz de perfiles
de acuerdo con el principio de menor privilegio aprobado por el Directorio para la aplicación por el
Departamento.
Se evidenció que tienen una matriz de accesos por cada cargo, el cual es revisada y aprobada por cada
gerencia respectivamente.
 ¿El departamento de TI, cuenta con el procedimiento de creación del perfil de usuario?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cuentan con el
procedimiento de creación de perfil de usuario y que ha sido revisado y aprobado por cada gerencia
respectivamente.
 ¿El departamento de TI, cuenta con el inventario de sistemas informáticos para la designación
de privilegios?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cuentan con un
inventario general no solo para la designación de privilegios, sino también con un inventario de
software y hardware.
Se evidencia que el OSI realiza la revisión de la designación de privilegios por procedimientos internos
2 veces al año.
 ¿El departamento de TI implementó las restricciones en los sistemas informáticos?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que el acceso a los sistemas
informáticos es de acuerdo con la Matriz de accesos.
 ¿El departamento de TI cuenta con el procedimiento para la administración de contraseñas de
los usuarios?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que si cuentan con el
procedimiento para la administración de contraseñas de los usuarios.
Se evidenció que de acuerdo con el procedimiento las contraseñas deben cambiarse cada 90 días o
dependiendo del sistema. el procedimiento para la administración de contraseñas de los usuarios
 ¿La empresa cuenta con la Matriz de perfiles y accesos debidamente documentada? ¿Quienes
participaron en el armando de esta matriz?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cada gerencia tiene
asignado una persona encargada de participar en la definición de los perfiles y accesos por cargo,
revisado y aprobado por su gerente y validado por el OSI.
Se evidenció que la Matriz de accesos es revisada y actualizada de acuerdo con los cambios existente
en cada gerencia.
 ¿El departamento de TI, cuenta con periodos de revisión y evaluación?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que el OSI realiza la revisión
y evaluación una vez al año todos los sistemas de acuerdo con con la Norma.
 ¿Están establecidos controles adecuados para prevenir la asignación accidental o no autorizada
de permisos adicionales?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que el OSI detecta las
asignaciones accidentales en las revisiones periódicas.
4.
Administración y control de asignación de navegación de internet
 ¿El departamento de TI implementó el bloqueo de puertos de entrada y salida para el resguardo
de la información generada de las operaciones de la empresa?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que se implementó el
bloqueo de puertos de entrada y salida para el resguardo de la información generada de las
operaciones de la empresa.
Se evidenció que tiene bloqueado todos los puertos y que se van habilitando de acuerdo con la
implementación de cada sistema adquirido.
Para la habilitación de puertos se evidencia que, al momento de adquirir un nuevo sistema o software,
se tiene una etapa de aprobación, en esta etapa debe identificarse los requerimientos de accesos y
puertos de entrada y salida que se necesitan. Luego de la aprobación se realiza la implementación en
un ambiente de test para las pruebas respectivas del software, además de la habilitación de puertos.
Posterior a la finalización de las pruebas en ambiente de test, se realiza la implementación en el
ambiente productivo.
 ¿Están establecidas políticas de navegación en internet?
De acuerdo con la evaluación realizada al Banco de la Fortuna, el auditado informó que si está
establecida las políticas de navegación de internet sin embargo no se evidenció que tipos de políticas.
 ¿Con qué periodicidad se realiza sociabilización y educación al usuario respecto a la navegación
segura?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que en cada incorporación
se realiza la sociabilización dentro de la inducción al nuevo personal y una vez al año a todo el personal,
además cuentan con tutoriales para el usuario.
5.
Asignación de responsables de software y hardware
 ¿El Departamento de TI tiene asignados responsables de software y hardware?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cuentan con un
documento que debe firmar el usuario al momento de que le asignen el hardware requerido, respecto
al software se preparan los equipos con software base y se instalan además el software que requiera
de acuerdo con el perfil del usuario. Todo se registra en un sistema en el file de cada usuario.

¿Con que herramienta de control de la administración de software y hardware cuenta?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cuentan con un
sistema de administración de TI.

¿Quién define la asignación de software y hardware?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que cada gerencia solicita
presupuesto para hardware y/o software y una vez aprobado solicitan la gestión de adquisición a la
Gerencia de TI.

¿Están implementados controles adecuados para prevenir la introducción accidental o no
autorizada de software o hardware en la red de la organización?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que el perfil de los usuarios
no tiene permisos para la instalación de software, en caso de necesitar una instalación solicitan a TI
ya que son los únicos perfiles que tienen permisos para esta acción.
Se evidencia que para el control de hardware en la red de la organización es a través de la validación
de la MAC de cada equipo para el acceso a la red.
6.
Administración estaciones de trabajo
 ¿El departamento de TI implementó el bloqueo de puertos externos (USB u otros) para el
resguardo de la información generada de las operaciones de la empresa?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que se bloqueó los puertos
externos de USB además de grabadores de CD para evitar fuga de información.

¿Como controlan la seguridad de una estación de trabajo desatendida?
De acuerdo con la evaluación realizada al Banco de la Fortuna, se evidenció que se tiene dentro de las
políticas el bloqueo de las estaciones 3 minutos luego de no existir actividad en la sesión.
Se evidenció que realizan campañas de educación al usuario para el bloqueo de sus estaciones al
momento de levantarse de sus escritorios.
Adicionalmente a la revisión de la implementación de los procesos descritos, se evidencia que la Gerencia
General y el Directorio, están involucrados continuamente en el Sistema de Gestión de la Seguridad de la
Información ya que son quienes aprueban los cambios de procedimientos existentes o la aprobación de nuevos
procedimientos, además de la aprobación de presupuesto para la implementación de estos.
Se evidencia también que existe una revisión anual de los procedimientos para validar cuales están vigentes y
cuales deben modificarse o darse de baja.
E.
HALLAZGOS DE AUDITORIA

H1: Para la política de ABM (Altas, Bajas y modificaciones de cuentas de usuarios), El Oficial de
riesgos es el encargado de realizar una revisión de los perfiles y accesos por lo menos una vez al
año. Se observa que el Oficial de Seguridad de la Información no tiene participación en la revisión
de los perfiles y accesos.
Impacto: Al no haber una involucración mayor del OSI los controles son correctivos y no
preventivos para garantizar la seguridad y la integridad de la información y los sistemas de la
empresa.
Nivel de Riesgo: Alto

H2: Para la política de ABM (Altas, Bajas y modificaciones de cuentas de usuarios), si bien existe
una participación de RRHH, está limitada a solo validar el cumplimiento del procedimiento de
incorporación y rotación del personal de acuerdo a solicitud de cada gerencia. Se observa que cada
gerencia es encargada de definir su estructura e informar a RRHH para la gestión correspondiente.
Impacto: RRHH debería estar involucrada en la definición de la estructura de cada Gerencia no
solamente para gestionar las contrataciones y/o movimientos, sino también para la definición de
los cargos y estructura como empresa, ya que conocen la forma de definir las competencias para
cada cargo, además de tener una visión general de todos los cargos a nivel de empresa.
Riesgo: Alto

H3: Para la política de Gestión de Perfiles se observa que no se tiene claridad sobre la Matriz de
perfiles y la Matriz de Accesos. No se identifica si son diferentes Matrices o es una sola donde se
centraliza tanto los perfiles como los Accesos.
Impacto: El no conocer claramente la existencia de Matriz de perfiles y Matriz de Accesos, ocasiona
que se comentan errores al procesar requerimientos y/o se obvien controles.
Riesgo: Crítico.

H4: Para la política de Gestión de Perfiles se observa que no se evidencia la existencia de políticas
de fortaleza de la contraseña y políticas de la confidencialidad de la contraseña.
Impacto: El manejar contraseñas débiles y sin su debido resguardo abre vulnerabilidades en los
sistemas informáticos.
Riesgo: Crítico

H5: Para la política de Gestión de Perfiles se observa que no se evidenció un cronograma de
revisiones de todos los sistemas. El nivel de riesgo y el impacto
Impacto: Al no tener un cronograma de revisión de los sistemas y limitarse a una revisión anual
puede omitirse la revisión del algún sistema.
Riesgo: Medio
H6: Para la política de Gestión de Perfiles se observa que las acciones realizadas para prevenir
asignaciones accidentales son correctivas y no preventivas. El nivel de riesgo y el impacto
Impacto: Al no contar con acciones preventivas se corre el riesgo de fuga de información no
detectadas a tiempo y/o evitar que sucedan.
Riesgo: Crítico


H7: Para la política de Administración y control de asignación de navegación de internet en la
habilitación de puertos de entrada y salida, se observa que no existe una aprobación de la Gerencia
de TI para pasar de un ambiente de test a un ambiente productivo.
Impacto: El no contar con una validación y aprobación previa de que se siguieron los
procedimientos y controles necesarios antes de pasar al ambiente productivo, puede ocasionar
que no se detecten de forma temprana errores en la implementación del mismo.
Riesgo: Alto

F.
RECOMENDACIÓN








G.
H8: Para la política de Asignación de responsables de software y hardware, para prevenir la
introducción accidental o no autorizada de software o hardware en la red de la organización no
tienen controlado el acceso a internet a través de redes wifi no autorizadas (compartir internet por
celulares).
Impacto: Al no tener controlado el acceso a internet a través de wifi no autorizado conlleva a
posibles fugas de información, además de volver vulnerable la red.
Riesgo: Alto
H1: El oficial de riesgo informático se encarga de identificar y evaluar los riesgos informáticos,
mientras que el oficial de seguridad de la información se encarga de proteger la información y los
sistemas informáticos. Por lo que se recomienda que ambos trabajen juntos para garantizar la
seguridad y la integridad de la información y los sistemas de una organización.
H2: Se recomienda que la definición de nuevos cargos y/o movimientos de personal sea RRHH quien
analice y evalúe y la Gerencia General quien apruebe.
H3: Se recomienda mayor sociabilización al personal de TI sobre las definiciones de las Matrices
existentes para un correcto procesamiento de accesos y control de los mismos.
H4: Se recomienda la definición y documentación de políticas para el manejo de contraseñas fuertes
y su debido resguardo
H5: Se recomienda la elaboración de cronograma de revisión de sistemas, de tal forma que puedan
organizarse de acuerdo con los tiempos y recursos con los que cuenten para lograr la revisión de
todos los sistemas existentes.
H6: Se recomienda evaluar acciones preventivas a implementar para evitar la asignación accidental.
H7: Se recomienda la participación de la Gerencia de TI en la validación previo a pasar a productivo,
para que pueda asegurarse que se siguió con los procedimientos adecuados para identificar errores
de forma temprana.
H8: Se recomienda la implementación de controles para evitar el acceso a redes wifi no autorizadas
para evitar vulnerabilidades en la red de la empresa.
PERSONAL ENCARGADO DE LA EVALUACION
Sandra Ocampo - Auditor Líder
Cristian Murillo - Auditor
Javier Rocabado - Auditor Técnico
Marco Rubin – Auditor
Luis Silva - Auditor Técnico
H.
TIEMPO DE EJECUCION
Del 03-02-2023 al 07-02-2023
Documentos relacionados
COMERCIO Y MARKETING
COMERCIO Y MARKETING
p er f il es eq u ip odetrabajod ir ec c iì ndeart ic ulac iì nyg est iì n
p er f il es eq u ip odetrabajod ir ec c iì ndeart ic ulac iì nyg est iì n
Vigésima semana del Tiempo Ordinario Martes "Pues nosotros lo
Vigésima semana del Tiempo Ordinario Martes "Pues nosotros lo
A pesar de su componente épico
A pesar de su componente épico
Buena fortuna - Colombia Aprende
Buena fortuna - Colombia Aprende
RPT CON MODIFICACIONES DIRECTORES GENERALES
RPT CON MODIFICACIONES DIRECTORES GENERALES
VIDRIERÍAS Y TRASLÚCIDOS TABIQUE DE PERFILES DE VIDRIO
VIDRIERÍAS Y TRASLÚCIDOS TABIQUE DE PERFILES DE VIDRIO
10202 Juegos de unión universales tipo I
10202 Juegos de unión universales tipo I
El perfil por competencias
El perfil por competencias
Perfiles de cargos en seguridad y salud en el trabajo de acuerdo a la normatividad Tarea
Perfiles de cargos en seguridad y salud en el trabajo de acuerdo a la normatividad Tarea
Descargar
Anuncio
Anuncio