Recomendaciones de Informe auditoria

Enviado por MonikaL9 • 23 de Agosto de 2017 • Informes • 2.486 Palabras (10 Páginas) • 456 Visitas

Página 1 de 10

[pic 1]

Caso: Normas internacionales 27002

A continuación, se dará a conocer un caso real sobre la situación encontrada en una auditoria de sistemas practicada a la empresa productora de papel Colipapel S.A.

Con la información suministrada y en grupos de a 2 estudiantes deberán emitir y socializar un informe con las recomendaciones soportadas en la norma ISO 27002.

MISION

Ofrecer al mercado mundial, con énfasis en la región Andina, pulpa, papel y productos derivados de clase global, complementados con una oferta de servicio personalizado y oportuno obtenido a través de una cultura de calidad integral.

Buscar siempre el desarrollo del potencial y bienestar de nuestros colaboradores, asumiendo una responsabilidad conjunta con la comunidad interna y externa.

Obtener los resultados financieros que aseguren la consecución de los recursos necesarios para la reconversión tecnológica permanente de la empresa y para maximizar el valor económico agregado a los inversionistas.

Descripción General

COLIPAPEL S. A. fue fundada el 19 de noviembre de 1977 por W. R. Grace and Co. (EE.UU.) bajo la razón social de Pulpa y Papel Colombianos, PULPACOL. El 11 de octubre de 1958, la razón social cambió a Pulpa y Papeles Grace Colombianos S.A., PAGRACO. La fabrica produce papel bond, cartulinas, papel seda, papel iris, propalcote y papel aluminio. La empresa tiene certificados en calidad sus procesos de producción, despacho e inventarios.

A continuación se mencionarán los hallazgos encontrados en la auditoria de sistemas dentro de los 4 lineamientos desarrollados que son:

Políticas de Seguridad
Seguridad Física y Ambiental
Seguridad Lógica y de datos
Seguridad Administrativa.

OBJETIVO

Identificar los riesgos a los cuales está expuesta la empresa Colipapel en materia de sistemas de la información e infraestructura tecnológica y emitir las recomendaciones que han de ser aplicadas por los responsables de iniciar, implementar y mantener la seguridad en la empresa.

ALCANCE

La auditoria de sistemas se desarrolló en las instalaciones de la Empresa haciendo énfasis en el lugar dispuesto como el área de sistemas y centro de cómputo. Se desarrollarán los lineamientos de Seguridad física y ambiental, Seguridad Lógica o de datos y la seguridad administrativa.

DESARROLLO DE LA AUDITORIA

POLITICAS DE SEGURIDAD

HALLAZGOS

No se evidencia la existencia de un documento escrito de políticas de sistemas que garanticen el correcto desarrollo de los procesos donde tiene parte activa el área de sistemas y que tiene que ver desde la adquisición desarrollo y mantenimiento de los sistemas de información y hasta el desarrollo de pruebas o simulacros de un plan de contingencias para verificar que este plan sea totalmente efectivo.

Al no existir una norma escrita sobre la seguridad de los sistemas de información aplicada a la empresa , se evidencia un alto riesgo de pérdida de información y pérdida económica por no tener unos controles suficientes que detecten las causas de aquellos sucesos críticos que se espera nunca pasen.

RECOMENDACIONES

Elaborar Las políticas de seguridad de la información de la empresa construyéndolas aplicando los lineamientos que crean los más ajustados a la empresa como por ejemplo lo reglamentado según los British Standard BS 7799 homologado con la norma ISO 17799.
Estas políticas de sistemas deben estar autorizadas y firmadas por el gerente de la empresa e incluidas dentro de la caracterización que adelantan en su proceso de obtención de la certificación de calidad.

Se recomienda conformar un comité de control interno donde se haga activa la participación del área de sistemas como miembro activo de opinión en temas de seguridad, capacitación y gestión entre muchos otros contemplados en las políticas de sistemas.

SEGURIDAD FISICA Y AMBIENTAL

HALLAZGOS

Se evidencio un archivo en Excel muy bien organizado de 758 activos correspondientes al inventario de comunicaciones e informática, llevado por una persona ajena al área de sistemas con las siguientes observaciones:
Elementos sin número de inventario
Elementos que no tienen registrado el estado de su garantía
Elementos sin registro de serie, modelo y marca

(referencia papel de trabajo INVENTARIO PT HC001)

No se encuentra un servidor alterno para manejo de aplicaciones, respaldo en copias de seguridad, o posibles contingencias.

No hay una UPS con suficiente capacidad que soporte una caída de energía sin dejar de funcionar los equipos requeridos para el normal funcionamiento de los procesos de sistemas básicos en la empresa .

El servidor recién adquirido no cuenta con una protección física adecuada, se encuentra instalado sobre el rack del cuarto de sistemas al aire libre propenso de contaminación, desconexión o caída al piso.

No existe en el área de sistemas algún tipo de gaveta destinada como CINTOTECA para salvaguardar los CD´s, DVD´s, o cualquier medio físico magnético que guarde información, como copias de seguridad, licencias o programas informáticos requeridos en la empresa .

No hay un área dispuesta como cuarto de servidores, no existe una privacidad para los medios electrónicos que guardan la información y que estén libres de humo, polvo, o cualquier agente contaminante. No hay una ventilación adecuada en el área destinada como centro de cómputo. (referencia papel de trabajo FOTOS PT HC002)

Se encontró un débil sistema de seguridad para el acceso al centro de cómputo por puestas y ventanas, se evidenció la utilización de los equipos en altas horas de la noche mediante registros de acceso en el sistema y esta información la confirmó el encargado del centro de cómputo.

RECOMENDACIONES

La organización debería identificar los activos pertinentes en el ciclo de vida de la información, y documentar su importancia. El ciclo de vida de la información debería incluir su creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción. La documentación se debería mantener en inventarios dedicados o existentes, según sea apropiado. El inventario de activos debería ser exacto, actualizado, consistente y alineado con otros inventarios. Para cada uno de los activos identificados, se debería asignar la propiedad del activo y se debería identificar la clasificación.
Se debieran diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles debieran incluir la validación de la input data, procesamiento interno y output data. Se pueden requerir controles adicionales para los sistemas que procesan, o tienen impacto sobre, la información confidencial, valiosa o crítica. Estos controles se debieran determinar sobre la base de los requerimientos de seguridad y la evaluación del riesgo.
Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) para apagar o el funcionamiento continuo del equipo de soporta las operaciones comerciales críticas. Los planes de contingencia para la energía debieran abarcar la acción a tomarse en el caso de una falla de energía prolongada. Se debiera considerar un generador de emergencia si se requiere que el procesamiento continué en el caso de una falla de energía prolongada. Se debiera tener disponible un adecuado suministro de combustible para asegurar que el generador pueda funcionar durante un período prolongado.
Cuando sea aplicable, se debieran elaborar las barreras físicas para prevenir el acceso físico no autorizado y la contaminación ambiental, los perímetros de un edificio o local que contienen los medios de procesamiento de información debieran ser físicamente sólidos (es decir, no debieran existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado).

SEGURIDAD LOGICA O DE DATOS

HALLAZGOS

No se evidenció un inventario organizado, impreso o en otro medio que muestre lo existente en licencias antivirus y todos los programas o aplicativos adquiridos por la empresa , y que se encuentran instalados en los equipos de computo
Las copias de seguridad facilitadas en el área de sistemas no cumplen con un estándar en su forma de etiquetado, (fechas, horas, tipos de archivo, aplicativo, No. CD, responsable…), no existe una bitácora donde se registre todas las copias realizadas ni el procedimiento y metodología para su realización (diaria, mensual, una anual, padre. hijo, abuelo…).
Existen usuarios creados dos veces en el aplicativo Dinámica Gerencial como es el caso del usuario Edy Milena Pinilla Quiñones, Martha Yaneth Peña, Jhon Parra, y ocho veces creado el usuario Desbloqueador.
Los Usuarios utilizan claves de acceso al sistema demasiado cortas y se presume que de pronto fáciles de averiguar, esto se dá por la falta de una norma que mencione los parámetros claros y la forma de asignar claves por los usuarios.
No existe una norma como soporte para la exigencia de la prohibición para bajar y cargar Software de Internet, Se encuentran equipos que tienen el software ARES instalado desde el 2008 y que es muy propenso a descargar virus, lo utilizan para descargar música, videos, juegos y cualquier otro programa. Otros software ilegales son Party Casino (juego), reproductores de música, programas de diseño, aplicativos de teléfonos celulares, la revisión se efectuó a 15 equipos de forma aleatoria.
No hay un manual de Soporte e Instalación para el usuario, para las tareas que tienen que ver con los servidores, aplicativo Dinámica Gerencial, manejo de red,
En la prueba realizada a 12 equipos de cómputo que tienen acceso a internet, y durante el tiempo que cada usuario está a cargo de su equipo, a continuación se muestra la tabulación de los resultados obtenidos sobre los accesos a 4 páginas no autorizadas, y otro grupo de páginas que en su mayoría tampoco son de interés para sus labores ya que corresponden a entretenimiento, noticias, música, xxx. Es notorio que por el volumen de consulta se está generando gran pérdida de tiempo en las labores diarias.

PAGINAS VISITADAS	No. INGRESOS
FACEBOOK	3.822
CORREOS ELECTRONICOS	8.840
BUSCADORES	11.797
MESSENGER	12.072
OTRAS PAGINAS	126.256
TOTAL	14.787

[pic 2]

(referencia papel de trabajo INTERNET PT HC003)

El sistema no genera un archivo permanente de pistas de auditoria

RECOMENDACIONES

Se debieran hacer copias de respaldo de la información y software y se debieran probar regularmente en concordancia con la política de copias de respaldo acordada.
A la información de respaldo se le debiera dar el nivel de protección física y ambiental apropiado (ver cláusula 9) consistente con los estándares aplicados en el local principal; los controles aplicados a los medios en el local principal se debiera extender para cubrir la ubicación de la copia de respaldo
Realizar chequeo periódico para eliminar o bloquear los IDs de usuario y cuentas redundantes.
Chequear que el nivel de acceso otorgado sea apropiado para el propósito comercial y que sea consistente con la política de seguridad de la organización; por ejemplo, no compromete la segregación de los deberes.
La asignación de claves secretas se debiera controlar a través de un proceso de gestión formal.
Establecer una política formal prohibiendo el uso de software no-autorizado
Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse;
Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas.
En ciertas circunstancias, los derechos de acceso pueden ser asignados sobre la base de estar disponibles para más personas que el usuario empleado, contratista o tercera persona;

SEGURIDAD ADMINISTRATIVA

HALLAZGOS

En el mapa de procesos suministrado, no aparece involucrado el área de sistemas como participe en los procesos de apoyo de la empresa .
El área de sistemas no cuenta con una publicación o registro institucional que le identifique o posicione dentro de la organización.
Mediante entrevista formal con la ingeniera responsable del área en el momento de esta auditoría, se evidenció que el responsable del área de sistemas es una ingeniera que asumió sus obligaciones y derechos mediante contrato firmado con la empresa , pero que no mantiene en el puesto ya que es un contrato de orden de prestación de servicios, la titular del contrato delega funciones de forma oral a dos ingenieras más que actúan en dos turnos por día, no se evidenció una formalización escrita por parte de los involucrados en este pacto que den la seguridad y confianza en el momento de cualquier exigencia de responsabilidades.
Se encuentra que en el manual de actividades a desarrollar por los operadores externos, el proceso de ingeniería de sistemas pertenece a un macroproceso llamado administración el cual no existe en el mapa de procesos y que el tipo de proceso o subproceso al que pertenece es el llamado de apoyo administrativo el cual tampoco existe en el mapa de procesos y mencionan un UEN o UFA de planeación, el cual tampoco existe.
No existe un manual o procedimiento de continuidad del negocio o un plan de contingencia que garantice el normal funcionamiento de los sistemas de información.
La póliza todo riesgo PYME, venció el 1 de mayo de 2009.
No se evidenció respuesta alguna de parte del doctor Gustavo Jiménez coordinador de Almacén respecto a las solicitudes del 25 de marzo de 2009 donde solicitan compras de licencias office, adecuación del centro de cómputo, solicitud de UPS y cotización de página web.

RECOMENDACIONES

Se debiera establecer un marco referencial gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.
La gerencia debe proporcionar una dirección clara y un apoyo gerencial visible para las iniciativas de seguridad.

Las actividades de la seguridad de la información debieran ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.
Establecer un manual o procedimiento de continuidad del negocio.
Renovar poliza

VALORACION DEL RIESGO

[pic 3]

Fin del informe

A LA ADMINISTRACIÓN Y RESPONSABLES DEL ÁREA DE SISTEMAS

Se han examinado el área de sistemas de la empresa COLIPAPEL, que es la responsable de guardar la información de la entidad. Dicha información y su seguridad es responsabilidad de la empresa, nuestra responsabilidad consiste en expresar una opinión sobre el estado de dicha información con base en la auditoría realizada.

...

Descargar como (para miembros actualizados) txt (16.4 Kb) pdf (217.1 Kb) docx (63.5 Kb)

Leer 9 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Informe Auditorias Iso 9001
SEDE PUERTO MONTT INFORME AUDITORIA “NORMA ISO 9001” DOCENTE JAIME VEGA INTEGRANTE: LUIS VIDAL Notificación de Auditorías internas Fecha de Notificación 15-06-2011 Área Auditada Gestión

9 Páginas • 1490 Visualizaciones
Informe Auditoria
ALGUN DIA INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMÁTICA Del 1 de enero 2004 al 30 de marzo de 2010 Informe de Acción de

16 Páginas • 1136 Visualizaciones
INFORME AUDITORIA DE GESTION Y EXAMEN ESPECIAL
CAPITULO 1 ASPECTOS GENERALES DEL CONTROL DE GESTIÓN 1.1. DEFINICIÓN El control de Gestión es el examen de la eficiencia, eficacia, economía y equidad en

26 Páginas • 1606 Visualizaciones
Informe Auditoria
El rol protagónico de la Atención Primaria no se limita únicamente al aumento de la resolutividad, es decir, entregar más y mejores prestaciones de salud,

2 Páginas • 818 Visualizaciones
Informe Auditoria Forense
Informe de una Auditoria Forense en una empresa que presta servicios médicos. Guatemala 10 de Abril de 2011 Licenciado Edwin Solórzano Carrillo Coordinador Regional Sur

6 Páginas • 1494 Visualizaciones
Informe Auditoria Externa
INFORME DE AUDITORIA INTERNA TRANSELCA INTRODUCCIÓN Las Leyes 142 de 1994 y 689 de 2001, establecen la obligatoriedad de que las empresas prestadoras de servicios

6 Páginas • 952 Visualizaciones
Recomendacion De Auditoria
PROPUESTA –RECOMENDACIONES DE MEJORAMIENTO SUGERIDAS EN LAS POLITICAS Y PROCEDIMIENTOS OPERACIONALES Empecemos por sugerir que si la empresa XYZ desea expandir su negocio, es recomendable

4 Páginas • 652 Visualizaciones
EL INFORME AUDITORIA OPERATIVA
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN UNIDAD TEPEPAN TEMA: EL INFORME AUDITORIA OPERATIVA PRESENTAN; MEXICO D.F. 28 DE MAYO DE 2013 AGRADECIMIENTOS.

4 Páginas • 727 Visualizaciones
INFORME AUDITORIA INTERNA FALABELLA
• Índice I. INTRODUCCION ………………………………………………………………………………. 3 II. DESCRIPCION DE LA EMPRESA ……………………………………………………………4 III. ANALISIS MICRO Y MACRO ENTORNO……………………………………………….…..12 IV. ANALISIS FODA………………………………………………………………………………...14 V. ANALISIS PORTER………………………………………………………………………….….15 VI.

22 Páginas • 1745 Visualizaciones
FORMATO DE INFORME AUDITORIA INTERNA POR PROCESO
FORMATO DE INFORME AUDITORIA INTERNA POR PROCESO CÓDIGO: FI-CI-OCONT-003-005 VERSIÓN. 004-28-06-2012 PROCEDIMIENTO RELACIONADO: AUDITORÍAS INTEGRALES PÁGINAS: 1 de 3 Asegúrese de estar utilizando la versión

2 Páginas • 753 Visualizaciones