AUDITORIA DE LA SEGURIDAD empresa Distribuciones Mariano

[pic 1]

Contenido

ANTECEDENTES.        3

OBJETIVO        3

ALCANCE        4

RESUMEN EJECUTIVO        5

METODOLOGÍA        6

DESARROLLO DEL TRABAJO        7

PLAN DE ACCIÓN        10

Política de control de acceso        10

Descripción De La Recomendación        10

Acciones        10

Beneficios        10

Gestión de Activos        11

Descripción De La Recomendación        11

Acciones        11

Beneficios        11

GESTION DE LA INFORMACIÓN        12

Descripción De La Recomendación        12

Acciones        12

Beneficios        12

HÁBITOS        13

Descripción De La Recomendación        13

Acciones        13

Beneficios        13

ANEXO I.- PLANIFICACIÓN        14

ANEXO II.- REUNIONES        17

ANEXO III.- DOCUMENTACIÓN A RECEPTAR        17

ANEXO IV – EVIDENCIAS SOLICITADAS        18

Bibliografía        18

ANTECEDENTES.

La empresa Distribuciones Mariano, se dedica a la venta e instalaciones de material eléctrico a particulares y a profesionales, para que la empresa tenga más ventas se ha implementado un portal web al que tendrán acceso las personas particulares y profesionales, las instalaciones de la empresa Distribuciones Mariano se encuentran ubicada en la ciudad de Quevedo – Ecuador, cuenta con una infraestructura tecnológica CPD, cabe recalcar que contiene una base de datos Oracle y que todo el servicio de desarrollo y mantenimiento lo tiene subcontratado con otra empresa.

El auge de ciberataques ha hecho que la empresa Distribuciones Mariano realice una contratación de servicios de auditoria RonAuditors, para verificar el nivel de seguridad actual de la información tratada en la empresa y corroborar el nivel de riesgos tecnológicos, mejoras de la seguridad y efectividad de los controles, para llegar a la meta de tener un control sobre la confidencialidad, integridad y disponibilidad de la información de la empresa.

OBJETIVO

Lo datos que maneja la empresa son muy importantes para la Distribuciones Mariano, ya que gracias a ello la empresa tiene un mejor desempeño con sus clientes, el objetivo de la seguridad de la información es garantizar que las amenazas no puedan llegar afectar la integridad de los datos, para ello hay que minimizar el daño y maximizar la seguridad de dicha información.

La integridad de los datos no es más que asegurarse que los datos no sean cambiados a lo largo de su ciclo de vida, esto incluye el almacenamiento, las actualizaciones, las transferencias, copia de seguridad, etc. Cada vez que se procesan los datos existe un riesgo de que se corrompan, accidental o maliciosamente.

El no pensar en el futuro puede ocasionar daños catastróficos, cuanto más rápido se reconoce un problema más fácil será tratarlo, el personal de tecnología de la información también trabaja en la protección de ataques externos con herramientas como cortafuegos, antivirus, y análisis periódicos de código malicioso.

Distribuciones Mariano define la importancia de tener protegido los datos y los sistemas que lo mantienen, para el correcto desempeño de los negocios mediante su plataforma. Con el propósito de asegurar la integridad de los datos se ha colocado como su principal objetivo contratar una auditoria de Seguridad de la Información, entre otros.

Previo a un conversatorio con el gerente de la Distribuidora Mariano, se llevó a cabo el trabajo de auditoria el cual quedara reflejado en el siguiente informe, sustentando la información obtenida durante:

• Reuniones mantenidas con la empresa encargada de la base de datos, trabajadores y personal administrativo de Distribuidora Mariano.
• Verificación de las normativas para el tratamiento de información e informes técnicos.
• Observaciones relevantes sobre el plan de contingencia sobre la seguridad de la información.

Esta revisión esta limitada a las acciones realizadas desde el 01 de abril de 2021 hasta el 30 de abril del mismo año.

ALCANCE

Alcance a nivel de organización

• El alcance a nivel de organización acoge la empresa encargada de TI, recursos humanos, el área comercial y soporte al usuario

Alcance a nivel de Ubicación

• A nivel de ubicación, el alcance comprende en la matriz de Distribuidora Mariano en Quevedo – Ecuador

 Alcance a nivel de sistemas de información

• La infraestructura de la organización la cual brinda soporte a la Distribuidora Mariano encargada de tratar la información de tecnología, recursos humanos, el área comercial y soporte al usuario.

RESUMEN EJECUTIVO         

Los directivos de Distribuidora Mariano saben la importancia de asegurar sus datos por ello contrataron a una empresa experta en sistemas y tecnologías, no obstante, la empresa quiere realizar una auditoría para saber si la compañía a la cual se contrató está cumpliendo con lo establecido para garantizar la confiabilidad y disponibilidad de los datos.

En vista al trabajo realizado, se puede detallar que la situación de Distribuidora Mariano en materia de seguridad informática se encuentra en una escala del 1 al 4 la empresa tiene una escala de 2, la empresa tiene algunas políticas implantadas para la confiabilidad, integridad, disponibilidad y trazabilidad de la información, que se encuentran ejecutadas la gran mayoría a la mitad y eso causara un gran riego para la empresa.

La forma que se está tratando la seguridad de la información de Distribuidora Mariano es un poco rudimentaria, el servidor donde se encuentra alojado toda la base de datos no se encuentra con las normas de climatización y seguridad de las misma ya que se encuentra a la intemperie, en la cual se debería seguir estándares, protocolos y procesos para que la información no se ve afectada en ningún ámbito.

No obstante, la empresa contratada para realizar la seguridad informática se destaca en dar una excelente gestión en métodos criptográficos en la base de datos y a los usuarios para que no les resulte muy fácil a los ciber atacantes robar cierto tipo de información.

Es necesario enfatizar que desde nuestro punto de vista y experiencia en materia de seguridad de la información en empresas, podemos corroborar que hay que mejorar cierto tipos de aspectos como la infraestructura donde está ubicado el servidor, prevenir fugas de información aplicando métodos estratégicos, planear estrategias al momento de algún secuestro de información, acciones al detectar algún tipo de proceso que quiera dañar la integridad de los datos, y tener más de una opción al realizar algún backup.

Presentaremos a continuación las deficiencias encontradas:

• Poca sensibilización al tratar la seguridad de la información.
• No esta normado como tratar la seguridad de la información.
• No está definido como o quien es el responsable de la seguridad de la información cuando no está el encargado TIC.
• Poco control en el tratado de la seguridad de la información.
• No hay memoria técnica de la estructura de la red.
• No existe segmentación de red, seguridad de red inalámbrica, o un diseño especifico de la red.
• Las terminales de los trabajadores no tienen ningún tipo de antivirus.

Sugerimos que estos aspectos actualmente encontrados dentro de la empresa sean corregidos de manera inmediata para que la disponibilidad y la integridad de los datos se vea afectada.

Adjunto norma ISO 27001 (Sistema de Gestión de Seguridad de la Información). Para el cumplimiento de la misma.

• Políticas de seguridad de la información: A. 5.
• Organización de la seguridad de la información: A.6.
• Seguridad de los recursos humanos: A. 7.
• Gestión de Activos: A.8.
• Controles de acceso: A.9.
• Seguridad física y ambiental: A.11.
• Seguridad operacional: A.12.
• Seguridad de las comunicaciones: A.13.
• Adquisición, desarrollo y mantenimiento del sistema: A.14.
• Gestión de incidentes de seguridad de la información A.16.
• Cumplimiento: A.18. (EXCELENCIA, 2021)

METODOLOGÍA

La metodología utilizada comprende a la recolección de información obtenida de la empresa Distribuidora Mariano mediante los estándares internacionales tales como la norma ISO/IEC 27001, el resultado será obtener la eficiencia aplicando dicho estándar.

...