Informe de auditoria

Transcripción

1 Informe de auditoria N auditoria: Empresa auditada: Industria Nacional de Licores. Norma de referencia: COBIT 4.1. Alcance de la auditoria: La auditoria permitirá observar que controles o mecanismos están siendo empleados en la empresa para garantizar la seguridad de los sistemas de información. Equipo auditor: grupo 7 CHauditores S.A. Fechas de realización: 17 de mayo de Numero de hojas: Fecha del informe: 24 de mayo de 2010.

2 Introducción. En el siguiente documento se presentara un informe detallado del proceso Ds5 Garantizar la seguridad de los sistemas, en el cual se analizaran la información obtenida durante el proceso de auditora, se harán las recomendaciones pertinentes y se evaluara en la escala de madurez. Este proceso debe estar contemplado principalmente en el PETI, y como documentos de apoyo los documentos de plan estratégico empresarial y el plan de negocios. Estos resultados se basan en las herramientas que se aplicaron al grupo auditor y la explicación que estos dieron a cada una de las respuestas.

3 Objetivo general Determinar si la Industria Nacional de Licores ha establecido y mantiene roles y responsabilidades de seguridad, tiene procesos, políticas y estándares de procedimientos de TI que permitan realizar monitoreos de seguridad y pruebas periódicas para poder tomar medidas correctivas sobre las debilidades o incidentes de seguridad identificados. Objetivos específicos: Conocer que planes de seguridad se están llevando a cabo dentro de la empresa. Determinar de qué forma está aprovechando los recursos de TI para la elaboración de planes de seguridad. Determinar que los planes de seguridad que hay en la empresa estén alineados con las metas del negocio. Dar a conocer recomendaciones que le faciliten a la empresa mejorar las falencias que se hayan encontrado durante la auditoria y que permitan que las metas del negocio se alcancen satisfactoriamente.

4 DEPARTAMENTO, ÁREA, O PROCESO AUDITADO Procesos Ds5 Garantizar la seguridad de los sistemas. Nº HOJA ASPECTOS A VERIFICAR (NOTES INICIALES DEL AUDITOR) Nº Auditoria: a. Evaluar el plan de seguridad de TI. b. Evaluar el plan de administración de usuarios. c. Verificar que se esté llevando a cabo un plan de vigilancia, monitorea y de prueba de la seguridad. d. Verificar que la tecnología implementada para la seguridad este bien protegida. e. Verificar que las políticas y procedimientos en relación con las llaves criptográficas estén implementadas de forma correcta. f. Chequear que las medidas de prevención, detección y corrección de software malicioso se estén llevando a cabo correctamente. g. Evaluar la seguridad en la red. 1 Fecha inicio: 17 de mayo de 2010 Hora inicio: 5:00 pm Fecha final: 17 de mayo de 2010 Hora final: Entradas Planes estratégicos y tácticos de TI. Arquitectura de información; clasificación de datos asignados. Estándares de tecnología. Evaluación de riesgo. Especificaciones de controles de seguridad en las aplicaciones. OLAs. Salidas Definición de incidentes de seguridad. Requerimientos específicos de entrenamiento sobre conciencia de seguridad. Reportes de desempeño de proceso. Cambios de seguridad requerimientos. Amenazas y vulnerabilidades de seguridad. Nivel de madurez 5:47 pm Auditor/es: Diego Alejandro Gómez José Alejandro Arias 0 No existente. 1 x Inicial/Ad hoc. 2 Repetible pero intuitiva. 3 Proceso definido 4 Administrado y medible 5 Optimizado Inicial/Ad hoc La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles. OBSERVACIONES / NOTES / COMENTARIOS DEL AUDITOR

5 Deben tener un registro de los riesgos que se están teniendo en cuenta para la implementación de los planes de seguridad ya que en caso tal que llegue un nuevo empleado y que este se encargue de realizar los planes no sabrá cuales riesgos fueron los evaluados y lo más seguro es que el genere un nuevo plan de seguridad. Es recomendable que utilicen otras herramientas para concientizar a las personas sobre los riesgos que se presentan en el área de TI, ejemplo simulacros de riesgos donde los usuarios vean los riesgos frente a frente y de las reacciones de los usuarios pueden generar nuevos puntos para la ceración de los planes de seguridad. Se recomienda a los encargados de llevar a cabo los planes de seguridad que tengan una documentación de las herramientas que utilizan para llevar a cabo estos planes para así en un futuro si llega un nuevo empleado sepa que herramientas son las que se están utilizando. Sería bueno que tuvieran algún software o en su defecto algún proceso para llevar un registro de los riesgos que se han presentado y sus respectivas prevenciones así a este ya que en caso tal que de que aun usuario se le vuelva a presentar este problema el mismo pueda ver las soluciones que se le han dado antes.