ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Auditoria y Seguridad Informática Empresa Gas TransBoliviano S.A. (GTB)

stefany1313Ensayo8 de Noviembre de 2018

2.590 Palabras (11 Páginas)226 Visitas

Página 1 de 11

U.A.G.R.M.[pic 1][pic 2][pic 3]

FACULTAD DE CONTADURIA PÚBLICA O AUDITORIA FINANCIERA

CARRERA: INFORMACION Y CONTROL DE GESTION

Auditoria y Seguridad Informática

Empresa Gas TransBoliviano S.A. (GTB)

        

Fecha: 06/10/2018[pic 4]

1. SEGURIDAD ACTIVA DE LA EMPRESA

1. Alta, Baja y/o Modificación de los Perfiles de Usuarios

  • Alta en sistemas de Información

Se cuenta con procedimientos que indican los requisitos para agregar el nombre del o de los usuarios que tendrán acceso a un determinado Sistema de Información, identificando el tipo de acceso (perfil) y/o rol que éste ejercerá en el sistema, según las especificaciones establecidas en formularios.

De acuerdo al tipo de acceso por usuario, se escala la solicitud de acceso a un Sistema de Información.

  • Modificación de Usuario

La modificación de un usuario se ejecuta en base a los lineamientos definidos en procedimiento.

  • Baja de Usuario

La baja de usuario se encuentra también debidamente procedimentada, es importante mencionar que la notificación de la baja de un usuario es realizada por el área de Recursos Humanos a la Mesa de Servicio (Help Desk).

El proceso inicia con generar la solicitud para deshabilitación de accesos en caso de rotaciones, se deshabilita la cuenta y/o accesos a sistemas de información del puesto que está dejando y se procede a asignar los accesos que le corresponden en su nuevo puesto, en caso de que se trate de una rotación de puesto.

Revisar los registros (logs) de modificación de usuarios.

2. Autentificación e identificación del usuario
Para cada usuario que requiere acceso a los sistemas de la empresa, se debe otorgar una identificación única dentro de cada uno de los sistemas a los que tenga acceso el usuario.
El uso o creación de identificaciones genéricas o cuentas genéricas está restringido, y debe ser autorizado por el Gerente de Tecnología de la Información.
Todos los accesos a un servicio o aplicación dentro de la empresa deben ser autentificados mediante una contraseña o mediante un servicio de autentificación instalado dentro de la empresa.

2.1 Identificación del usuario (cuenta de acceso)

Para el registro de un nuevo usuario en un sistema que permita la creación de la cuenta utilizando caracteres alfanuméricos se debe seguir el siguiente procedimiento

  • Cuenta de acceso Alfanumérica. En forma estándar, se crea con la primera inicial del nombre, seguido por el apellido. Por ejemplo: Carlos Miranda-> CMiranda1. En caso que exista uno igual, se agrega al final la inicial del segundo apellido.
  • Para el registro de un nuevo usuario en sistemas que no permitan el uso de caracteres alfanuméricos se sugiere utilizar el código de funcionario asignado por la empresa.

2.2 Contraseñas (Passwords)
El uso de contraseñas asignada al usuario es personal, único e intransferible, el usuario es responsable de mantener la contraseña confidencial y no puede ser compartida con nadie excepto cuando sea requerida por su Gerente de área o el área de Tecnología de la Información por propósito de soporte.
En estos casos el usuario debe cambiar la contraseña una vez finalizada la situación que originó la divulgación de la contraseña.
Propiedades de las contraseñas:

  • Longitud contraseña: Está configurada para tener un mínimo de 8 caracteres en los sistemas que así lo soporten, contempla la obligación de incluir números y letras.
  • Inicialmente es creada igual al nombre de usuario forzándolo a cambiar la primera vez que ingrese al sistema. En los sistemas que no acepten entrada de letras (Ej.: Dispositivos móviles) la longitud mínima es de 4 caracteres
  • Cambios periódicos de contraseña: Los usuarios deben cambiar su contraseña cada 60 días, sin poder repetir la última contraseña. En el caso de cuentas de administración y cuentas de servicio las contraseñas se cambian cada 6 meses.
  • Bloqueo automático de cuentas por fallas al introducir contraseña. En los sistemas que lo soporten, toda cuenta se bloquea automáticamente cuando el usuario introduce su contraseña en forma equivocada en 3 ocasiones. Para que la cuenta sea desbloqueada deben informar a Mesa de Servicio.
  • En el caso de cuentas de red de Estaciones estas se desbloquean automáticamente después de 30 minutos.

3. Perfiles de acceso 
Los perfiles de acceso a los sistemas de información se encuentran definidos en documentos internos de la Gerencia de Tecnología de la Información.
El objetivo de los perfiles de acceso es definir una correcta segregación de funciones para reducir el riesgo de un acceso no autorizado.
Los perfiles se definen a nivel de cargo que ocupa el funcionario. El perfil define los sistemas a los que el usuario tiene acceso y a nivel de cada sistema detalla los accesos autorizados.
En cada alta o modificación de un usuario se debe tomar en cuenta el perfil del usuario a la hora de crear/actualizar el acceso.
La asignación de estos perfiles debe revisarse cada 6 meses para garantizar la correcta asignación de los mismos. Para efectos de trazabilidad se debe contar con un histórico de asignación de perfiles.

4. Accesos remotos
Un acceso remoto se define como la utilización de redes de telecomunicación, para acceder desde un lugar fuera de la empresa, a uno o más servicios que brinda TI dentro de la organización.

4.1 Acceso por VPN

El acceso por VPN está disponible para usuarios con Notebooks asignadas por la empresa y que además son usuarios cuyas actividades requieran tener los mismos accesos a la Red de Datos de la Empresa desde lugares remotos (fuera de la Oficina Central).

4.2 VPN para Contratistas
En el caso de contratistas que requieran acceso remoto a las instalaciones por VPN se solicitará la certificación por parte del contratista que el equipo que acceda a la VPN tenga los mismos niveles de seguridad que un equipo empresarial (Windows Original, Antivirus actualizado, Parches actualizados) y que previamente se haya firmado un documento de confidencialidad por parte del contratista.

Este tipo de acceso debe ser aprobado por el Gerente de Tecnologías de la Información.
Debe existir un registro de los accesos remotos por parte de terceros que debe ser revisado por el Jefe de Infraestructura.

4.3 Correo

Para el acceso al sistema de correo desde clientes externos solo está permitido el uso de protocolos seguros, como ActiveSync de Microsoft para Outlook y HTTPS para conexiones por OWA. El servicio está disponible para todos los usuarios autorizados con correo empresarial.
No se permite el uso de protocolos SMTP o POP3 para el acceso de clientes remotos por considerarse inseguros.

4.4 Mensajería Instantánea
El acceso a la mensajería instantánea solo es posible utilizando protocolo HTTPS, no se permite el acceso con otro protocolo. El acceso está restringido solo para los dispositivos autorizados que cuenten con un certificado de la empresa.

4.5 Conexión a entidades externas 
La conexión de la red de la empresa con una entidad externa solo es posible por dos vías:

  • Enlace de datos privados punto a punto.
  • Enlaces públicos utilizando VPN.

En ambos casos el tráfico se encuentra controlado por un Firewall que tiene a su cargo las siguientes funciones:

  • Control de IP´s que pueden acceder en ambos sentidos
  • Control de puertos y aplicaciones permitidas entre ambas redes
  • Registros de auditoría.

4.6 Soporte Remoto
El soporte remoto está permitido solo a través de puertos de comunicación cifrados como HTTPS.

5. Cuentas Administrativas
Las cuentas de red Privilegiadas o Administrativas son aquellas cuentas que permiten el acceso irrestricto a un área definida.

6. Análisis de Riesgo  

Cada dos años se debe ejecutar un Análisis de Riesgo del Área de Tecnología de la Información.  

Como resultado del Análisis de Riesgo Tecnológico se debe formular un plan de acción destinado a  mitigar los riesgos encontrados, este plan debe ser presentado al Gerente de Tecnología de la Información.  

7. Análisis de Vulnerabilidades  

Cada dos años se debe ejecutar un Análisis de Vulnerabilidades, esta tarea debe ser ejecutada contratando una empresa externa.

Si el análisis de vulnerabilidad detecta vulnerabilidades graves se debe proceder a implementar un plan de acción inmediato para mitigar las vulnerabilidades encontradas.  

8. Herramientas de acceso a Base de Datos  

Las herramientas para acceso de Base de Datos son utilitarias que permiten realizar a quien los usa:

  • Alta/Baja/Modificación de los datos almacenados en la base de datos.  
  • Alta/Baja/Modificación de la estructura de la base de datos.  
  • Gestionar y comprobar conexiones de datos remotas.
  • Respaldar y restaurar la información de la base de datos.  
  • Gestionar los niveles de seguridad de acceso a la base de datos.  
  • Gestionar los espacios de disco ocupados por las bases de datos.  

La instalación de estas herramientas tiene las siguientes restricciones:  

...

Descargar como (para miembros actualizados) txt (16 Kb) pdf (227 Kb) docx (404 Kb)
Leer 10 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com