INFORME DE AUDITORIA DE LA SEGURIDAD DE LA INFORMACION DEL SISTEMA DE INFORMACION
Guisela OtaloraResumen11 de Mayo de 2017
732 Palabras (3 Páginas)256 Visitas
INFORME DE AUDITORIA
AUDITORIA DE LA SEGURIDAD DE LA INFORMACION DEL SISTEMA DE INFORMACION
INTRODUCCIÓN
Se realiza el servicio de auditoría a la empresa GRANDECO SRL ya que presenta muchas deficiencias en la seguridad de la información del sistema de información. Esta auditoría se realiza bajo la responsabilidad del equipo de trabajo de la empresa ABC, a partir del 25 de mayo hasta el 30 de junio del presente año.
Este informe será entregado al gerente general de la empresa Grandeco SRL, para que tome las medidas necesarias.
OBJETO DE LA AUDITORIA
Objetivo General
Analizar y evaluar la eficiencia y eficacia de la seguridad de la información del sistema de información para lograr niveles adecuados de integridad, disponibilidad y confidencialidad de la información observando el cumplimiento del marco normativo.
Objetivo Específico
Garantizar que la información almacenada solamente sea utilizada por las personas autorizadas.
Lograr la disponibilidad de la información para el usuario en todo momento.
Verificar que los datos del sistema no sean modificados por personal no autorizado.
ALCANCE
El periodo a examinar corresponde al ejercicio comprendido a partir del 30 mayo del 2016 hasta el 30 de junio y comprende el análisis de la seguridad de la información del sistema de información generada en la empresa GRANDECO SRL basado en el marco normativo.
METODOLOGÍA UTILIZADA
Se utiliza el informe COSO II, la administración de riesgos de una empresa; identificación, evaluación y gestión integral de riesgos.
OBSERVACIONES Y RECOMENDACIONES
DEBILIDADES | RECOMENDACIONES |
La empresa solo realiza una actualización mensual de los datos. | Debido al caudal de la información que maneja la empresa, se sugiere realizar backups tres veces a la semana, para asegurar la integridad y disponibilidad de la información del sistema. |
El sistema de información no cuenta con control de acceso de los usuarios. | Se recomienda a la empresa poner usuarios y contraseña a cada área de trabajo como también a cada trabajador para tener un mejor control y confidencialidad la información. |
CONCLUSIONES
Mediante el análisis efectuado a la seguridad de la información se llegó a la siguiente conclusión:
Se están vulnerando los CONTROLES PREVENTIVOS ya que en la empresa no existe el control de acceso a los usuarios ni se realiza las copias de seguridad.
También pudimos evidenciar que se está vulnerando los CONTROLES FÍSICOS Y LÓGICOS entre los cuales tenemos:
Autenticidad: no cuenta con contraseñas para el acceso al sistema.
Privacidad: los datos que se introdujeron en el sistema no tienen la protección debida en caso de que ocurra algún accidente.
Exactitud: no existen controles automáticos y lógicos ya que no cambian periódicamente las contraseñas de acceso tal como lo establece el artículo 15 inciso b) de las POLÍTICAS EN INFORMACIÓN.
Al igual pudimos evidenciar que existen CONTROLES DE OPERACIÓN porque la empresa no realiza respaldos históricos periódicamente de la información generada en el sistema de información vulnerando el artículo 15 inciso d) de las POLITICAS DE LA INFORMACION.
Todos los puntos mencionados anteriormente afectan al cumplimiento de las POLÍTICAS EN INFORMÁTICA incumpliendo el artículo 3 que establece que dichas reglas son de aplicación obligatoria.
[pic 1][pic 2]
Lic. Tatiana Taborga P. Lic. Liliana Jiménez J.
...