ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Recomendaciones de Informe auditoria


Enviado por   •  23 de Agosto de 2017  •  Informe  •  2.486 Palabras (10 Páginas)  •  507 Visitas

Página 1 de 10

[pic 1]

Caso:  Normas internacionales 27002

A continuación, se dará a conocer un caso real sobre la situación encontrada en una auditoria de sistemas practicada a la empresa productora de papel Colipapel S.A.

Con la información suministrada y en grupos de a 2 estudiantes deberán emitir y socializar un informe con las recomendaciones soportadas en la norma ISO 27002.

  MISION

Ofrecer al mercado mundial, con énfasis en la región Andina, pulpa, papel y productos derivados de clase global, complementados con una oferta de servicio personalizado y oportuno obtenido a través de una cultura de calidad integral.

Buscar siempre el desarrollo del potencial y bienestar de nuestros colaboradores, asumiendo una responsabilidad conjunta con la comunidad interna y externa.

Obtener los resultados financieros que aseguren la consecución de los recursos necesarios para la reconversión tecnológica permanente de la empresa y para maximizar el valor económico agregado a los inversionistas.

 Descripción General

COLIPAPEL S. A. fue fundada el 19 de noviembre de 1977 por W. R. Grace and Co. (EE.UU.) bajo la razón social de Pulpa y Papel Colombianos, PULPACOL. El 11 de octubre de 1958, la razón social cambió a Pulpa y Papeles Grace Colombianos S.A., PAGRACO. La fabrica produce papel bond, cartulinas, papel seda, papel iris, propalcote y papel aluminio. La empresa tiene certificados en calidad sus procesos de producción, despacho e inventarios.

A continuación se mencionarán los hallazgos encontrados en la auditoria de sistemas dentro de los 4 lineamientos desarrollados que son:

  • Políticas de Seguridad
  • Seguridad Física y Ambiental
  • Seguridad Lógica y de datos
  • Seguridad Administrativa.

OBJETIVO

Identificar los riesgos a los cuales está expuesta la empresa  Colipapel en materia de sistemas de la información e infraestructura tecnológica y emitir las recomendaciones que han de ser aplicadas por los responsables de iniciar, implementar y mantener la seguridad en la empresa.

ALCANCE

La auditoria de sistemas se desarrolló en las instalaciones de la Empresa haciendo énfasis en el lugar dispuesto como el área de sistemas y centro de cómputo.  Se desarrollarán los lineamientos de Seguridad física y ambiental, Seguridad Lógica o de datos y la seguridad administrativa.

DESARROLLO DE LA AUDITORIA

POLITICAS DE SEGURIDAD

HALLAZGOS

  • No se evidencia la existencia de un documento escrito de políticas de sistemas que garanticen el correcto desarrollo de los procesos donde tiene parte activa el área de sistemas y que tiene que ver desde la adquisición desarrollo y mantenimiento de los sistemas de  información y hasta el desarrollo de pruebas o simulacros de un plan de contingencias para  verificar que este plan sea totalmente  efectivo.

  • Al no existir una norma escrita sobre la seguridad de los sistemas de información aplicada a la empresa , se evidencia un alto riesgo de pérdida de información y pérdida económica por no tener unos controles suficientes que detecten las causas de aquellos sucesos críticos que se espera nunca pasen.

 

RECOMENDACIONES

  • Elaborar Las políticas de seguridad de la información de la empresa construyéndolas aplicando los lineamientos que crean los más ajustados a la empresa como por ejemplo lo reglamentado según los British Standard BS 7799 homologado con la norma ISO 17799.  
  • Estas políticas de sistemas deben estar autorizadas y firmadas por el gerente de la empresa e incluidas dentro de la caracterización que adelantan en su proceso de obtención de la certificación de calidad.

  • Se recomienda conformar un comité de control interno donde se haga activa la participación del área de sistemas como miembro activo de opinión en temas de seguridad, capacitación y gestión entre muchos otros contemplados en las políticas de sistemas.

SEGURIDAD FISICA Y AMBIENTAL

HALLAZGOS

  • Se evidencio un archivo en Excel muy bien organizado de 758 activos correspondientes al inventario de comunicaciones e informática, llevado por una persona ajena al área de sistemas con las siguientes observaciones:
  • Elementos sin número de inventario
  • Elementos que no tienen registrado el estado de su garantía
  • Elementos sin registro de serie, modelo y marca  

(referencia papel de trabajo INVENTARIO PT HC001)

  • No se encuentra un servidor alterno para manejo de aplicaciones, respaldo en copias de seguridad, o posibles contingencias.

  • No hay una UPS con suficiente capacidad que soporte una caída de energía sin dejar de funcionar los equipos requeridos para el normal funcionamiento de los procesos de sistemas básicos en  la empresa .
  • El servidor recién adquirido no cuenta con una protección física adecuada, se encuentra instalado sobre el rack del cuarto de sistemas al aire libre propenso de contaminación, desconexión o caída al piso.
  • No existe en el área de sistemas algún tipo de gaveta destinada como CINTOTECA para salvaguardar los CD´s, DVD´s, o cualquier medio físico magnético que guarde información, como copias de seguridad, licencias o programas informáticos requeridos en  la empresa .
  • No hay un área dispuesta como cuarto de servidores, no existe una privacidad para los medios electrónicos que guardan la información y que estén libres de humo, polvo, o cualquier agente contaminante.  No hay una ventilación adecuada en el área destinada como centro de cómputo. (referencia papel de trabajo FOTOS PT HC002)
  • Se encontró un débil sistema de seguridad para el acceso al centro de cómputo por puestas y ventanas, se evidenció la utilización de los equipos en altas horas de la noche mediante  registros de acceso en el sistema y esta información la confirmó el encargado del centro de cómputo.

RECOMENDACIONES

  • La organización debería identificar los activos pertinentes en el ciclo de vida de la información, y documentar su importancia. El ciclo de vida de la información debería incluir su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción. La documentación se debería mantener en inventarios dedicados o existentes, según sea apropiado. El inventario de activos debería ser exacto, actualizado, consistente y alineado con otros inventarios. Para cada uno de los activos identificados, se debería asignar la propiedad del activo  y se debería identificar la clasificación.
  • Se debieran diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles debieran incluir la validación de la input data, procesamiento interno y output data. Se pueden requerir controles adicionales para los sistemas que procesan, o tienen impacto sobre, la información confidencial, valiosa o crítica. Estos controles se debieran determinar sobre la base de los requerimientos de seguridad y la evaluación del riesgo.
  • Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) para apagar o el funcionamiento continuo del equipo de soporta las operaciones comerciales críticas. Los planes de contingencia para la energía debieran abarcar la acción a tomarse en el caso de una falla de energía prolongada. Se debiera considerar un generador de emergencia si se requiere que el procesamiento continué en el caso de una falla de energía prolongada. Se debiera tener disponible un adecuado suministro de combustible para asegurar que el generador pueda funcionar durante un período prolongado.
  • Cuando sea aplicable, se debieran elaborar las barreras físicas para prevenir el acceso físico no autorizado y la contaminación ambiental, los perímetros de un edificio o local que contienen los medios de procesamiento de información debieran ser físicamente sólidos (es decir, no debieran existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado).

SEGURIDAD LOGICA O DE DATOS

HALLAZGOS

  • No se evidenció un inventario organizado,  impreso o en otro medio que muestre lo existente en licencias antivirus y todos los programas o aplicativos adquiridos por  la empresa , y que se encuentran instalados en los equipos de computo
  • Las copias de seguridad facilitadas en el área de sistemas no cumplen con un estándar en su forma de etiquetado, (fechas, horas, tipos de archivo, aplicativo, No. CD, responsable…), no existe una bitácora donde se registre todas las copias realizadas ni el procedimiento y metodología  para su realización (diaria, mensual, una anual, padre. hijo, abuelo…).
  • Existen usuarios creados dos veces en el aplicativo Dinámica Gerencial como es el caso del usuario Edy Milena Pinilla Quiñones, Martha Yaneth Peña, Jhon Parra, y ocho veces creado el usuario Desbloqueador.
  • Los Usuarios utilizan claves de acceso al sistema demasiado cortas y se presume que de pronto fáciles de averiguar, esto se dá por la falta de una norma que mencione los parámetros claros y la forma de asignar claves por los usuarios.
  • No existe una norma como soporte para la exigencia de la prohibición para bajar y cargar Software de Internet, Se encuentran equipos que tienen el software ARES instalado desde el 2008 y que es muy propenso a descargar virus, lo utilizan para descargar música, videos, juegos y cualquier otro programa. Otros software  ilegales son Party Casino (juego), reproductores de música, programas de diseño, aplicativos de teléfonos celulares, la revisión se efectuó a 15 equipos de forma aleatoria.
  • No hay un manual de Soporte e Instalación para el usuario, para las tareas que tienen que ver con los servidores, aplicativo Dinámica Gerencial, manejo de red,
  • En la prueba realizada a 12 equipos de cómputo que tienen acceso a internet, y durante el tiempo que cada usuario está a cargo de su equipo, a continuación se muestra la tabulación de los resultados obtenidos sobre los accesos a 4 páginas no autorizadas, y otro grupo de páginas que en su mayoría tampoco son de interés para sus labores ya que corresponden a entretenimiento, noticias, música, xxx. Es notorio que por el volumen de consulta se está generando gran pérdida de tiempo en las labores diarias.

PAGINAS VISITADAS

No. INGRESOS

FACEBOOK

3.822

CORREOS ELECTRONICOS

8.840

BUSCADORES

11.797

MESSENGER

12.072

OTRAS PAGINAS

126.256

TOTAL

14.787

[pic 2]

(referencia papel de trabajo INTERNET PT HC003)

  • El sistema no genera un archivo permanente de pistas de auditoria

RECOMENDACIONES

  • Se debieran hacer copias de respaldo de la información y software y se debieran probar regularmente en concordancia con la política de copias de respaldo acordada.
  • A la información de respaldo se le debiera dar el nivel de protección física y ambiental apropiado (ver cláusula 9) consistente con los estándares aplicados en el local principal; los controles aplicados a los medios en el local principal se debiera extender para cubrir la ubicación de la copia de respaldo
  • Realizar chequeo periódico para eliminar o bloquear los IDs de usuario y cuentas redundantes.
  • Chequear que el nivel de acceso otorgado sea apropiado para el propósito comercial y que sea consistente con la política de seguridad de la organización; por ejemplo, no compromete la segregación de los deberes.
  • La asignación de claves secretas se debiera controlar a través de un proceso de gestión formal.
  • Establecer una política formal prohibiendo el uso de software no-autorizado
  • Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse;
  • Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas.
  • En ciertas circunstancias, los derechos de acceso pueden ser asignados sobre la base de estar disponibles para más personas que el usuario empleado, contratista o tercera persona;

SEGURIDAD ADMINISTRATIVA

HALLAZGOS

  • En el mapa de procesos suministrado, no aparece involucrado el área de sistemas como participe en los procesos de apoyo  de la empresa .
  • El área de sistemas no cuenta con una publicación o registro institucional que le identifique o posicione dentro de la organización.
  • Mediante entrevista formal con la ingeniera responsable del área en el momento de esta auditoría, se evidenció que el responsable del área de sistemas es una ingeniera que asumió sus obligaciones y derechos mediante contrato firmado con  la empresa , pero que no mantiene en el puesto ya que es un contrato de orden de prestación de servicios, la titular del contrato delega funciones de forma oral a dos ingenieras más que actúan en dos turnos por día, no se evidenció una formalización escrita por parte de los involucrados en este pacto que den la  seguridad y confianza en el momento de cualquier exigencia de responsabilidades.
  • Se encuentra que en el manual de actividades a desarrollar por los operadores externos, el proceso de ingeniería de sistemas pertenece a un macroproceso llamado administración el cual no existe en el mapa de procesos y que el tipo de proceso o subproceso al que pertenece es el llamado de apoyo administrativo el cual tampoco existe en el mapa de procesos y mencionan un UEN o UFA de planeación, el cual tampoco existe.
  • No existe un manual o procedimiento de continuidad del negocio o un plan de contingencia que garantice el normal funcionamiento de los sistemas de información.
  • La póliza todo riesgo PYME, venció el 1 de mayo de 2009.
  • No se evidenció respuesta alguna de parte del doctor Gustavo Jiménez coordinador de Almacén respecto a las solicitudes del 25 de marzo de 2009 donde solicitan compras de licencias office, adecuación del centro de cómputo, solicitud de UPS y cotización de página web.

RECOMENDACIONES

  • Se debiera establecer un marco referencial gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.
  • La gerencia debe proporcionar una dirección clara y un apoyo gerencial visible para las iniciativas de seguridad.
  • Las actividades de la seguridad de la información debieran ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.
  • Establecer un manual o procedimiento de continuidad del negocio.
  • Renovar poliza

VALORACION DEL RIESGO

[pic 3]

Fin del informe

A LA ADMINISTRACIÓN Y RESPONSABLES DEL ÁREA DE SISTEMAS

Se han examinado el área de sistemas de la empresa COLIPAPEL,  que es la responsable de guardar la información  de la entidad. Dicha información y su seguridad es responsabilidad de la empresa, nuestra responsabilidad consiste en expresar una opinión sobre el estado de dicha información con base en la auditoría realizada.

...

Descargar como (para miembros actualizados) txt (16 Kb) pdf (217 Kb) docx (64 Kb)
Leer 9 páginas más »
Disponible sólo en Clubensayos.com