Hemos auditado los Controles en tecnología Informática en la protección sobre la seguridad nacional en la Drug Enforcement administration, así como un análisis de los riesgos, fortalezas, debilidades y vulnerabilidades.
yaal1015Tarea7 de Febrero de 2017
2.130 Palabras (9 Páginas)427 Visitas
[pic 1]LAMD AUDITORES, S.A.
INFORME DE AUDITORES INDEPENDIENTES
USA GOVERMENT
Hemos auditado los Controles en tecnología Informática en la protección sobre la seguridad nacional en la Drug Enforcement administration, así como un análisis de los riesgos, fortalezas, debilidades y vulnerabilidades.
Responsabilidad de la administración
La administración es responsable por la veracidad de la información proporcionada referente a los controles en tecnología Informática en la protección sobre la seguridad nacional.
Responsabilidad del Auditor
Nuestra responsabilidad consiste en expresar una opinión sobre Controles aplicados a la protección sobre la seguridad nacional en la Drug Enforcement administration, basada en nuestra Auditoría. Nuestro examen fue practicado de acuerdo a las normas de aceptación internacional instituidas bajo el marco de referencia de COBIT en su versión 5.0.
Esta norma requiere que evaluemos cada uno de los objetivos de COBIT en su versión 5.0, planifiquemos y realicemos una auditoría basado en la verificación de la aplicación de dichos objetivos con el propósito de obtener un razonable grado de seguridad de que los Controles en tecnología Informática en la protección sobre la seguridad nacional está siendo aplicados e forma adecuada.
Consideramos que la evidencia de Auditoría que hemos obtenido es suficiente y apropiada para proporcionar a base para sustentar nuestra opinión.
Opinión
En nuestra opinión los Controles en tecnología Informática en la protección sobre la seguridad nacional en la Drug Enforcement administration.
INFORME DE AUDITORIA DE LOS CONTROLES EN TECNOLOGÍA INFORMÁTICA EN LA PROTECCIÓN SOBRE LA SEGURIDAD NACIONAL
1. ANTECEDENTES
Se realiza la presente evaluación en el marco de las normas de aceptación internacional instituidas bajo el marco de referencia de COBIT en su versión 5.0.
2. OBJETIVOS
2.1. Objetivo General
- Evaluar los Controles en tecnología Informática en la protección sobre la seguridad nacional y emitir un Informe de Evaluación de Controles de TI que sugiera los controles necesarios a aplicar en el área observada.
2.2. Objetivo Específicos
- Identificar vulnerabilidades
- Efectuar un análisis de riesgos sobre la situación presentada.
- Sustentar los hallazgos de falta de seguridad mediante la revisión las áreas susceptibles de riesgo.
- Sugerir controles para los hallazgos presentados
- Emitir informe sobre fortalezas y debilidades, en donde se resumirán todas las recomendaciones que contribuyan con la gerencia en el mejoramiento y aprovechamiento del área evaluada.
- Emitir carta a la gerencia con el fin de señalar a la administración el resultado de la evaluación realizada y los controles sugeridos basándose en el marco referencial de COBIT 5.0.
3. Alcance
La evaluación de los Controles en tecnología Informática en la protección sobre la seguridad nacional abarcara lo siguiente:
Marco legal: Cumplimiento de las leyes y normas aplicables al área de tecnología (Controles administrativos, licenciamiento, manual de usuario)
Percepción de usuarios: Evaluar qué esperan los usuarios del sistema, sus sugerencias y necesidades en referencia al servicio ofrecido.
Niveles de seguridad: Evaluar la suficiencia de las medidas de control adoptadas por la entidad, en el lugar que se encuentra el servidor y en las áreas usuarias a fin de detectar que las condiciones sean las apropiadas para el funcionamiento óptimo del sistema. (Seguridad Física, Seguridad Técnica, Seguridad Lógica, Pistas de auditoría)
Funcionamiento del Sistema: evaluación de cada una de las fases o etapas del funcionamiento del sistema.
Plan de contingencias: Evaluar la existencia de un plan de contingencia completo el cual permita implementar operaciones de emergencia rápida.
La evaluación de la protección sobre la seguridad nacional en la Drug Enforcement administration se realizará en el periodo comprendido del 25 de junio al 16 de julio de 2016
1.2.4. Contenido y Plazo para la discusión del Informe
4. Metodología:
Fase 1. Evaluación del Cumplimiento de las leyes y normas aplicables al área de tecnología.
Fase 2. Evaluación qué esperan los usuarios del sistema, sus sugerencias y necesidades en referencia al servicio ofrecido.
Los usuarios del sistema son los que utiliza una computadora, sistema operativo, servicio o cualquier sistema, además se utiliza para clasificar a diferentes privilegios, permisos a los que tiene acceso un usuario o grupo de usuario, para interactuar o ejecutar con el ordenador o con los programas instalados en este.
Aspectos evaluados referentes a lo qué esperan los usuarios del sistema:
ITEM | SI | NO |
Seguridad en el sistema de Informática | x | |
Comunicación, Educación y Capacitación | x | |
Tienen Políticas de seguridad | x | |
Se implementan los controles Internos | x | |
Implementan plan de Riesgos de los equipos | x | |
La información se hace mediante autorización y de forma controlada. | X | |
Autentican la verificación de la identidad del usuario | x | |
Cuentan con mantenimiento de Integridad | x |
FORTALEZAS:
Personal profesional con buen nivel de captación técnica y profesional.
Cuenta con manuales y Protocolos de Trabajo.
Buenas relaciones interpersonales.
Calidad en el trato al usuario.
Equipos básicos para realización diferentes tipos de pruebas Implementación de dispositivos y materiales.
Personal de apoyo por gestión y áreas.
Designación de presupuesto por planificación y presupuesto para adquisición de materiales y Equipos.
Supervisión técnica Indirecta por niveles.
Capacitación externa en servicio.
Personal dedicado exclusivamente a la parte tecnológica.
Empresa que posee una tecnología de punta.
DEBILIDADES:
No cuentan con planeación.
No cuenta con mantenimiento para el equipo de cómputo.
No hay una dirección estratégica clara
Exceso de problemas operativos internos
Instalaciones obsoletas.
RIESGO:
Perdida de la información.
Vulnerabilidad en el sistema Informático.
La seguridad de las oficinas donde se maneja Información Sensitiva no está salvaguardada con todos los requerimientos que exige la ley.
No hay controles Internos.
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficiente e inexistente.
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
CONTROLES SUGERIDOS
En Base a COBIT 5
APO07Gestionar los Recursos Humanos. Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
APO11Gestionar la calidad.
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
APO12Gestionar el riesgo.
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
APO13Gestionar la seguridad.
...