Auditoria y Seguridad Informática Empresa Gas TransBoliviano S.A. (GTB)
Enviado por stefany1313 • 8 de Noviembre de 2018 • Ensayo • 2.590 Palabras (11 Páginas) • 195 Visitas
U.A.G.R.M.[pic 1][pic 2][pic 3]
FACULTAD DE CONTADURIA PÚBLICA O AUDITORIA FINANCIERA
CARRERA: INFORMACION Y CONTROL DE GESTION
Auditoria y Seguridad Informática
Empresa Gas TransBoliviano S.A. (GTB)
Fecha: 06/10/2018[pic 4]
1. SEGURIDAD ACTIVA DE LA EMPRESA
1. Alta, Baja y/o Modificación de los Perfiles de Usuarios
- Alta en sistemas de Información
Se cuenta con procedimientos que indican los requisitos para agregar el nombre del o de los usuarios que tendrán acceso a un determinado Sistema de Información, identificando el tipo de acceso (perfil) y/o rol que éste ejercerá en el sistema, según las especificaciones establecidas en formularios.
De acuerdo al tipo de acceso por usuario, se escala la solicitud de acceso a un Sistema de Información.
- Modificación de Usuario
La modificación de un usuario se ejecuta en base a los lineamientos definidos en procedimiento.
- Baja de Usuario
La baja de usuario se encuentra también debidamente procedimentada, es importante mencionar que la notificación de la baja de un usuario es realizada por el área de Recursos Humanos a la Mesa de Servicio (Help Desk).
El proceso inicia con generar la solicitud para deshabilitación de accesos en caso de rotaciones, se deshabilita la cuenta y/o accesos a sistemas de información del puesto que está dejando y se procede a asignar los accesos que le corresponden en su nuevo puesto, en caso de que se trate de una rotación de puesto.
Revisar los registros (logs) de modificación de usuarios.
2. Autentificación e identificación del usuario
Para cada usuario que requiere acceso a los sistemas de la empresa, se debe otorgar una identificación única dentro de cada uno de los sistemas a los que tenga acceso el usuario.
El uso o creación de identificaciones genéricas o cuentas genéricas está restringido, y debe ser autorizado por el Gerente de Tecnología de la Información.
Todos los accesos a un servicio o aplicación dentro de la empresa deben ser autentificados mediante una contraseña o mediante un servicio de autentificación instalado dentro de la empresa.
2.1 Identificación del usuario (cuenta de acceso)
Para el registro de un nuevo usuario en un sistema que permita la creación de la cuenta utilizando caracteres alfanuméricos se debe seguir el siguiente procedimiento
- Cuenta de acceso Alfanumérica. En forma estándar, se crea con la primera inicial del nombre, seguido por el apellido. Por ejemplo: Carlos Miranda-> CMiranda1. En caso que exista uno igual, se agrega al final la inicial del segundo apellido.
- Para el registro de un nuevo usuario en sistemas que no permitan el uso de caracteres alfanuméricos se sugiere utilizar el código de funcionario asignado por la empresa.
2.2 Contraseñas (Passwords)
El uso de contraseñas asignada al usuario es personal, único e intransferible, el usuario es responsable de mantener la contraseña confidencial y no puede ser compartida con nadie excepto cuando sea requerida por su Gerente de área o el área de Tecnología de la Información por propósito de soporte.
En estos casos el usuario debe cambiar la contraseña una vez finalizada la situación que originó la divulgación de la contraseña.
Propiedades de las contraseñas:
- Longitud contraseña: Está configurada para tener un mínimo de 8 caracteres en los sistemas que así lo soporten, contempla la obligación de incluir números y letras.
- Inicialmente es creada igual al nombre de usuario forzándolo a cambiar la primera vez que ingrese al sistema. En los sistemas que no acepten entrada de letras (Ej.: Dispositivos móviles) la longitud mínima es de 4 caracteres
- Cambios periódicos de contraseña: Los usuarios deben cambiar su contraseña cada 60 días, sin poder repetir la última contraseña. En el caso de cuentas de administración y cuentas de servicio las contraseñas se cambian cada 6 meses.
- Bloqueo automático de cuentas por fallas al introducir contraseña. En los sistemas que lo soporten, toda cuenta se bloquea automáticamente cuando el usuario introduce su contraseña en forma equivocada en 3 ocasiones. Para que la cuenta sea desbloqueada deben informar a Mesa de Servicio.
- En el caso de cuentas de red de Estaciones estas se desbloquean automáticamente después de 30 minutos.
3. Perfiles de acceso
Los perfiles de acceso a los sistemas de información se encuentran definidos en documentos internos de la Gerencia de Tecnología de la Información.
El objetivo de los perfiles de acceso es definir una correcta segregación de funciones para reducir el riesgo de un acceso no autorizado.
Los perfiles se definen a nivel de cargo que ocupa el funcionario. El perfil define los sistemas a los que el usuario tiene acceso y a nivel de cada sistema detalla los accesos autorizados.
En cada alta o modificación de un usuario se debe tomar en cuenta el perfil del usuario a la hora de crear/actualizar el acceso.
La asignación de estos perfiles debe revisarse cada 6 meses para garantizar la correcta asignación de los mismos. Para efectos de trazabilidad se debe contar con un histórico de asignación de perfiles.
4. Accesos remotos
Un acceso remoto se define como la utilización de redes de telecomunicación, para acceder desde un lugar fuera de la empresa, a uno o más servicios que brinda TI dentro de la organización.
4.1 Acceso por VPN
El acceso por VPN está disponible para usuarios con Notebooks asignadas por la empresa y que además son usuarios cuyas actividades requieran tener los mismos accesos a la Red de Datos de la Empresa desde lugares remotos (fuera de la Oficina Central).
4.2 VPN para Contratistas
En el caso de contratistas que requieran acceso remoto a las instalaciones por VPN se solicitará la certificación por parte del contratista que el equipo que acceda a la VPN tenga los mismos niveles de seguridad que un equipo empresarial (Windows Original, Antivirus actualizado, Parches actualizados) y que previamente se haya firmado un documento de confidencialidad por parte del contratista.
...