Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Ejemplo Auditoría

    Загружено:

    Oscar Fabian Calero Montaño
    19 просмотров42 страницы

    Оригинальное название

    Ejemplo Auditoría.doc

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOC, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOC, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    19 просмотров42 страницы

    Ejemplo Auditoría

    Загружено:

    Oscar Fabian Calero Montaño

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOC, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 42

    TABLA DE CONTENIDO

    INTRODUCCION..................................................................................................................2 LEGAJO PERMANENTE....................................................................................................4


    ANTECEDENTES DE LA ORGANIZACION..........................................................................4
    Misin empresarial.......................................................................................................................................5 Visin empresarial.......................................................................................................................................5 Polticas de calidad.......................................................................................................................................5 Organigrama ...............................................................................................................................................5

    LEGAJO CORRIENTE.........................................................................................................7 MEMORANDO DE PLANEACION.....................................................................................8


    OBJETIVO GENERAL...............................................................................................................8 OBJETIVO ESPECIFICOS.......................................................................................................8 ALCANCE....................................................................................................................................9 RECURSOS..................................................................................................................................9 CRONOGRAMA........................................................................................................................10

    PROGRAMA DE AUDITORIA..........................................................................................11
    CUESTIONARIOS ....................................................................................................................11
    Cuestionario Objetivo No. 1.......................................................................................................................11 Cuestionario Objetivo No. 2.......................................................................................................................12 ...................................................................................................................................................................1

    GUIA DE PROCEDIMIENTO.................................................................................................14 Gua d E! "u"#$% d Cu &'#(%a)#(& ..........................................................................................14 Gua d P)(" d#*# %'( d aud#'()a Cu &'#(%a)#( O+! '#,( N(. 1............................................1Gua d P)(" d#*# %'( d aud#'()a Cu &'#(%a)#( O+! '#,( N(. .............................................1/ CEDULAS DE 0ALLAZGOS..................................................................................................18 0ALLAZGO 1............................................................................................................................18 0ALLAZGO .............................................................................................................................18 0ALLAZGO 1 ............................................................................................................................0 0ALLAZGO 4 ............................................................................................................................0 0ALLAZGO - ............................................................................................................................1 0ALLAZGO / ............................................................................................................................1 0ALLAZGO 2 ............................................................................................................................1 0ALLAZGO 8 ............................................................................................................................0ALLAZGO 9 ............................................................................................................................0ALLAZGO 10 ........................................................................................................................../ 0ALLAZGO 11 ..........................................................................................................................2

    0ALLAZGO 1. ..........................................................................................................................8 0ALLAZGO 11 ..........................................................................................................................9 0ALLAZGO 14 .........................................................................................................................10 0ALLAZGO 1- ........................................................................................................................1. 0ALLAZGO 1/ ........................................................................................................................11

    INFORME DETALLADO: CEDULAS DE RESUMEN...................................................34


    CEDULA DE RESUMEN OBJETIVO 1 ...............................................................................14 CEDULA DE RESUMEN OBJETIVO ..................................................................................1-

    PAPELES DE TRABAJO...................................................................................................36
    PAPEL DE TRABAJO N(1.......................................................................................................1/ PAPEL DE TRABAJO N(........................................................................................................1/ PAPEL DE TRABAJO N(1.......................................................................................................1/ PAPEL DE TRABAJO N(4.......................................................................................................1/ PAPEL DE TRABAJO N(-.......................................................................................................1/ PAPEL DE TRABAJO N(/.......................................................................................................1/ PAPEL DE TRABAJO N(2.......................................................................................................1/ PAPEL DE TRABAJO N(8.......................................................................................................1/ PAPEL DE TRABAJO N(9.......................................................................................................1/

    CEDULA DE RESUMEN GENERAL...............................................................................37 INFORME EJECUTIVO....................................................................................................38 CONCLUSIONES................................................................................................................41 BIBLIOGRAFIA..................................................................................................................42

    INTRODUCCION

    EMPRES XYZ ARCHIVO PERMANENTE ARCHIVO CORRIENTE

    EMPRES XYZ

    LEGAJO PERMANENTE

    AUDITORIA AL SISTEMA OPERATIVO WINDOWS NT

    FECHA DE CORTE: FEBRERO 15 DE 2002 AUDITORES

    xxxxxxxx

    INFORME:

    FECHA: FEBRERO 15 DE 2012

    ARCHIVO: LEGAJO PERMANENTE

    ANTECEDENTES DE LA ORGANIZACION EMPRES XYZ

    M ! "# $%&'$!(' ()

    V ! "# $%&'$!(' ()

    P*)+, -(! .$ -() .(.

    O'/(# /'(%( 1 S$'0 .*' NL1230 4%(!,$' $# &'*.5-- "#6 3 Discos Duros de 9.1 Gb. (arreglo de disco) Procesador !" #$% &A# !"" #g. '.O. (i)do*s NT 'er+er ,."- 'er+ice Pac. /."- a0lica1i+o desarrollado e) 2isual 3o4Pro ('I#EN'). 1 S$'0 .*': C*%&(7 P'*)( #, 2000 4(),$'#*1 &)(#$! .$ -*#, #/$#- (6 Disco Duro de 9.1 Gb. Procesador 3"" #$% &A# 5!/ #g. 22 $75 &*! : C*%&(7 D$!&'*x 2000 (i)do*s 96 8 $75 &*!: H& P$#, 5% II (i)do*s 96- 1 lice)cia PCAN7(8E&E- so91*are e) 3o4 Pro (+alidador de derec$os de el '.O.'.)

    2 $75 &*!: I#,$) C$)$'*#9 P$#, 5% IV (i)do*s 96 2 -*#-$#,'(.*'$!: 2-*%1 28 &5$',*! 1 D(,( S: ,;$: 28 &5$',*!

    EMPRES XYZ

    LEGAJO CORRIENTE

    AUDITORIA AL SISTEMA OPERATIVO WINDOWS NT

    FECHA DE CORTE: FEBRERO 15 DE 2012 AUDITORES

    XXXXX

    INFORME:

    FECHA: FEBRERO 15 DE 2012

    ARCHIVO:

    MEMORANDO DE PLANEACION

    OBJETIVO GENERAL

    E+aluar el cu:0li:ie)1o de las 0ol;1icas de seguridad< uso de 0rogra:as de seguridad = 0rocedi:ie)1os de sal+aguardas de biblio1ecas del sis1e:a o0era1i+o (i)do*s NT e) el >rea de 'is1e:as = Tele:>1ica de EMPRES XYZ<

    OBJETIVO ESPECIFICOS

    1.

    2eri9icar el uso de los 0rocedi:ie)1os de seguridad bri)dados 0or el sis1e:a o0era1i+o (i)do*s NT 'er+er ?ue gara)1i%a) la i)1egridad de la i)9or:aci@) ( C!dula
    de "esumen )

    2.

    E+aluar el sis1e:a de co)1rol e) cua)1o a cu:0li:ie)1o de las 0ol;1icas de seguridad e) el uso = asig)aci@) de cla+es de acceso. (C!dula de "esumen )

    #.

    2eri9icar co)oci:ie)1o = uso de 0rogra:as de seguridad ?ue gara)1i%a) la recu0eraci@) del sis1e:a (C!dula de "esumen )

    2eri9icar el es1ado de los 0rocedi:ie)1os = co)1roles 0ara la 1ra)s:isi@) de da1os ?ue gara)1i%a) la co)9ide)cialidad de la i)9or:aci@). (C!dula de "esumen )

    5.

    2eri9icar ?ue las biblio1ecas de desarrollo = 0roducci@) se e)cue)1ra) se0aradas = ?ue se 1e)ga) 0rocedi:ie)1os (C!dula de "esumen ) de asegura:ie)1o de +ersio)es = ac1uali%acio)es

    ALCANCE

    La audi1or;a bri)dara u) ser+icio de a0o=o co)sis1e)1e e+alua)do los 0rocesos de seguridad = el uso adecuado de las $erra:ie)1as de seguridad ?ue bri)da el sis1e:a o0era1i+o (i)do*s NT de la E#P&E' A7B< ubicada e) el D01o. Del 2alle del Cauca< #u)ici0io de Pal:ira. E) u) la0so de 1ie:0o de 1 se:a)a co) 9ec$a de i)icio el 1" de 3ebrero del aCo 5""5 = 9ec$a de 9i)ali%aci@) el 1! de 3ebrero del :is:o aCo< e) ella se e+aluara) los siguie)1es as0ec1os. El alca)ce de la audi1or;a co:0re)deD 1. Pol;1icas = Procedi:ie)1os de seguridad logica. 5. 'is1e:a de co)1rol de seguridad de la i)9or:aci@). 3. Procedi:ie)1os 0ara asegurar el co)1rol de +ersio)es de a0lica1i+os e) 0roducci@) = a0lica1i+os e) desarrollo. ,. Elaboraci@) = 0rese)1aci@) del i)9or:e 9i)al (co)clusio)es = reco:e)dacio)es)

    RECURSOS La audi1or;a al sis1e:a o0era1i+o (i)do*s NT de la E#P&E' A7B< cue)1a co) los siguie)1es recursos 0ro0orcio)ados 0or la e:0resa P$'!*#() 5!5(' * .$) ='$( * C) $#,$ AAAAAAAAAAAAA BBBBBBBBBBBBBB

    R$-5'!*! >+! -*! Dos escri1orios ubicado e) la o9ici)a de la direcci@) ad:i)is1ra1i+a de la E#P&E' A7B< co) cua1ro sillas = dos co:0u1adores< co) co)e4i@) a I)1er)e1< acceso a la biblio1eca ce)1ral.

    P$'!*#() I."#$* ? -(&(- ,(.* &('( '$() @(' )( (5. ,*'+( De acuerdo a los es?ue:as ge)eral:e)1e ace01ados 0ara 1e)er u) adecuado co)1rol< debido a ?ue es1>) debida:e)1e ca0aci1ados< co) al1o se)1ido de :oralidad = 0or su i)de0e)de)cia 0ara co) la caEa los audi1ores 0ro0ues1os ser>)D Os+aldo Be)a+ides #ar1$a Cecilia Or1ego) #ar1$a Pa1ricia Pla%a

    CRONOGRAMA F$-;( D*% #/* 10 .$ F$A'$'* 2002 L5#$! 11 .$ F$A'$'* 2002 M(',$! 12 .$ F$A'$'* 2002 M B'-*)$! 12 .$ F$A'$'* 2002 J5$0$! 18 .$ F$A'$'* 2002 V $'#$! 15 .$ F$A'$'* 2002 S=A(.* 1C .$ F$A'$'* 2002

    A-, 0 .(.

    I#!,()(' S<O

    R$!*)5- "# .$ $D$-5- "# .$) ,'(A(D*

    P'5$A(! ? V() .(- "# E)(A*'(- "# .$ I#>*'%$

    P'$!$#,(- " #

    PROGRAMA DE AUDITORIA

    CUESTIONARIOS C5$!, *#(' * OAD$, 0* N*< 1

    EMPRES XYZ UNIDAD AUDITADA: Area de 'is1e:as OAD$, 0*: 1.2eri9icar el uso de los 0rocedi:ie)1os de seguridad bri)dados 0or el sis1e:a o0era1i+o ?ue gara)1i%a) la i)1egridad de la i)9or:aci@) GP 15 1.1 1.5 CONTROL E4is1e) 0rocedi:ie)1os 0ara asig)ar el )o:bre a los usuarios = su res0ec1i+a cla+e de acceso al sis1e:aF 'o) las cla+es de accesoD a. Peri@dica:e)1e ca:biadasF b. Ca:biadas cada +e% ?ue los e:0leados $alla) 1er:i)ado o ca:biado de res0o)sabilidadF c. Au1oca:biables 'e 1ie)e e) cue)1a el :a)ual de 9u)cio)es 0or cargo 0ara la de9i)ici@) de los 0er9iles del usuarioF 'e $a re+isado la de9i)ici@) de 0er9iles de usuario 0ara el gru0o TODO' de (i)do*s NTF E4is1e u) log ?ue :ues1re los i)1e)1os de acceso 9allidos e) u)a 1er:i)alF 'e $ace segui:ie)1o a es1e log 0ara de1er:i)ar la causa ?ue lo origi)@F X 83 X X X X 8, 8! 8! X X 85 SI REVISO: NO P X PT 81 FECHA: ELABORO

    1.3 1., 1.! 1./

    1. 1.6

    Tie)e) acceso los 0rogra:adores de sis1e:as a cier1os recursos 0ara :odi9icar la cla+e de acceso a los arc$i+os =Go usuariosF 'e $a) 0robado los accesos a arc$i+os se)sibles desde 1er:i)ales de 0rogra:adores = usuarios )o au1ori%adosF

    X X 8,

    C5$!, *#(' * OAD$, 0* N*< 2

    EMPRES XYZ FECHA: UNIDAD AUDITADA: Area de 'is1e:as OAD$, 0*: 5. E+aluar el sis1e:a de co)1rol e) cue)1o a cu:0li:ie)1o de las 0ol;1icas de seguridad e) el uso = asig)aci@) de cla+es de acceso. GP 1C 5.1 CONTROL Co)1e:0la) los co)1ra1os de 1rabaEo ?ue los e:0leados :a)1e)ga) co)9ide)cialidad sobre la i)9or:aci@) cla+e< 1al co:o< cla+es de acceso o ide)1i9icaci@) de usuariosF 5.5 E4is1e) 0ol;1icas = 0rocedi:ie)1os 0araD a. Asig)aci@) de res0o)sabilidad sobre cla+es de accesoF b. LogHo99 au1o:>1ico 0ara 1er:i)ales i)ac1i+asF 5.3 5., c. &es1riccio)es de $orarioF E4is1e) seguridades 0ara 0re+e)ir ?ue las 0erso)as circu)da)1es obser+e) el i)greso de cla+es de accesoF 'e :a)1ie)e) ac1uali%ados los regis1ros de las au1ori%acio)es de ca:bios (&e1iros< ca:bio de cargos = +acacio)es del 0erso)al) 1a) 0ro)1o co:o se $ace 0osible< 0ara 0re+e)ir el acceso )o 5.! 5./ 5. au1ori%adoF E4is1e) 0ol;1icas = 0rocedi:ie)1os 0ara res1ricci@) de $orariosF Es1a 0ro$ibido a los 0rogra:adores 1e)er acceso al so91*are a0lica1i+o = o0eracio)alF 'e 1ie)e) 0rocedi:ie)1os de recu0eraci@) 0ara 1er:i)ales de ca01ura de da1osF X X X 81" 811 X 89 X X X X 86 8 SI NO X REVISO: P PT 8/ ELABORO

    5.6 5.9

    Puede ser ide)1i9icado 1odo 0rocesa:ie)1o de 1ra)saccio)es $ec$as 0or u) 9u)cio)arioF Las co0ias de bac.u0 de las 1ra)saccio)es se :a)1ie)e) u)

    X X X

    8! 815 811

    1ie:0o ra%o)ableF 5.1" 'o) i)cluidos los 0rogra:adores e) los 0rocedi:ie)1os de co)1rol de acceso de la e)1idadF

    GUIA DE PROCEDIMIENTO

    G5+( .$ ED$-5- "# .$ C5$!, *#(' *! OAD$, 0*< Asis1ir e) las ac1i+idades de ide)1i9icaci@) = e+aluaci@) de los di9ere)1es obEe1i+os de la audi1or;a. M$,*.*)*/+( El a)>lisis de las res0ues1as 0ro0orcio)ara u)a +isi@) del es1ado e) cada u)o de los 0u)1os de co)1rol< e) los dis1i)1os 0u)1os cr;1icos de los esce)arios audi1ados.

    'i la res0ues1a es INOI< sig)i9ica ?ue la 0rac1ica del co)1rol )o se cu:0le< es1o ge)erara u) cues1io)a:ie)1o al e)cargado del >rea acerca de su desco)oci:ie)1o =Go )o cu:0li:ie)1o del co)1rol $acie)do re9ere)cia a su e4is1e)cia e) el sis1e:a de co)1rol i)1er)o del ce)1ro de co:0u1o.

    'i la res0ues1a es I'iI sig)i9ica ?ue su 0rac1ica es @01i:a. E) el es0acio IPI< a Euicio = cri1erio del audi1or< si la ac1i+idad se reali%a 0arcial:e)1e.

    G5+( .$ P'*-$. % $#,* .$ (5. ,*'+( C5$!, *#(' * OAD$, 0* N*< 1 Cues1io)ario ObEe1i+o No. 1 OAD$, 0*: 2eri9icar el uso de los 0rocedi:ie)1os de seguridad bri)dados 0or el sis1e:a

    o0era1i+o ?ue gara)1i%a) la i)1egridad de la i)9or:aci@) M$,*.*)*/+( 1.1.'e solici1ara al ad:i)is1rador ?ue se cree u)a cue)1a 0ara de1er:i)ado usuario< co) es1a 0rueba obser+are:os si se 1ie)e) 0rocedi:ie)1os bie) de9i)idos a la $ora de de9i)ir es1os +alores< ade:>s se 0edir> al ad:i)is1rador ?ue )os e)seCe la docu:e)1aci@) res0ec1i+a do)de se e)cue)1ra regis1rado 1odo el 0roceso 0ara la de9i)ici@) de cue)1as = 0ass*ords. 1.5.'e solici1ara al ad:i)is1rador ?ue )os :ues1re si 1ie)e ac1i+os de)1ro de los 0er9iles la caducidad de cla+es de acceso. 1.3. 'e solici1ara el :a)ual de 0rocedi:ie)1os 0ara la de9i)ici@) de 0er9iles de usuario. &e+isa)do ?ue se e)cue)1re) de la :eEor 9or:a. 7 se solici1ara el :a)ual de 9u)cio)es de u) e:0leado al a%ar< luego se 0edir> al ad:i)is1rador ?ue )os :ues1re la de9i)ici@) de 0er9iles de usuario 0ara ese e:0leado< re+isa)do si los es1ablecidos so) los :>s adecuados 0ara su 0er9il labora. 1.,. E) a:bie)1J de 0rueba se $ar> la si:ulaci@) del ca:bio de cargo de u)

    e:0leado< 0ara all; obser+ar cuales 0rocesos se ge)era) e) el >rea de i)9or:>1ica de acuerdo co) su cue)1a. 7 se solici1ara al ad:i)is1rador ?ue )os :ues1re la co)9iguraci@) de los 0er9iles de usuario 0ara el gru0o TODO'< co) es1o +eri9icare:os si se $a) ca:biado los derec$os = seguridad. 1.!. 'e re+isara el 1i0o de :e)saEes ?ue se regis1ra) e) el log 0ara ide)1i9icar ?ue 1i0o de :e)saEe i:0o)e u) i)1erJs de co)1rol.

    1./. 'e solici1ara al ad:i)is1rador de la docu:e)1aci@) ?ue cer1i9i?ue el segui:ie)1o de los e+e)1os cues1io)ables regis1rados e) el log. 1. . 'e re+isara) los 0rocedi:ie)1os 0ara res1ri)gir los recursos de arc$i+os = cla+es de acceso a los 0rogra:adores< 0ara de1er:i)ar si es1os 0rocedi:ie)1os so) los adecuados. 1.6. 'e 0edir> al ad:i)is1rador ?ue desde u)a 1er:i)al de 0rogra:adores = o1ro de 0erso)al )o au1ori%ado a los arc$i+os se)sibles< 0ara 0robar la e4is1e)cia de las res1riccio)es de acceso a los arc$i+os.

    G5+( .$ P'*-$. % $#,* .$ (5. ,*'+( C5$!, *#(' * OAD$, 0* N*< 2

    OAD$, 0*:

    E+aluar el sis1e:a de co)1rol e) cue)1o a cu:0li:ie)1o de las 0ol;1icas de

    seguridad e) el uso = asig)aci@) de cla+es de acceso. M$,*.*)*/+( 5.1.'e +eri9icara e) los co)1ra1os de 1rabaEo si e4is1e algu)a clausula da)do co)9iere la co)9ide)cialidad sobre la i)9or:aci@) cla+e< 1al co:o cla+es de acceso o ide)1i9icaci@) de usuarios a los sis1e:as de i)9or:aci@). 5.5. 'e 0edir> al ad:i)is1rador ?ue )os :ues1re e) a:bie)1J de 0rueba los 0er:isos es1ablecidos 0ara el acceso al sis1e:a o0era1i+o . a. la docu:e)1aci@) de de0ar1a:e)1os. b. 'e solici1ara al ad:i)is1rador ?ue e+ide)cie la e4is1e)cia de res1riccio)es de acceso e) el 0er9il de los usuarios. asig)aci@) de res0o)sabilidad sobre cla+es de acceso 0or

    5.3. se +eri9icara la +igila)cia e) el acceso de 0erso)al )o au1ori%ado a las o9ici)as = se obser+ara la 0osici@) de escri1orios. Ta:biJ) se solici1ara a los res0o)sables de asig)aci@) de cla+es los :J1odos 0ara regular las au1ori%acio)es = la asig)aci@). 5., 'e +eri9icara los re0or1es de ca:bios de cargos = salidas a +acacio)es 0ara co)9ro)1arlos co) los ca:bios de logi)s = cla+es. 5.!. 'e +eri9icara) la e4is1e)cias de las 0ol;1icas = 0rocedi:ie)1os 0ara res1ricci@) de $orarios = su a0licaci@). 5./. 'e +eri9icara el i)9or:e a los 0rogra:adores de la 0ro$ibici@) de al acceso de so91*are a0lica1i+o = o0eracio)al< al igual ?ue la )o1i9icaci@) de la :is:a a 1odos los usuario de sis1e:as. Ade:as de re+isar la correc1a segregaci@) de i)9or:aci@) de las a0licacio)es e) 0roducci@) a los 0rogra:adores 0ara ca:bios = :odi9icacio)es e) los a0lica1i+os. 5. . 'e solici1ara al ad:i)is1rador el :a)ual de 0rocedi:ie)1os 0ara recu0eraci@) de 1er:i)ales 0ara su re+isi@)< a de:>s se e+aluara si la asig)aci@) de es1e 0rocedi:ie)1o a sido correc1a:e)1e dirigido = las 9ec$as de los Kl1i:os le+a)1a:ie)1os de i)9or:aci@) sobre las 1er:i)ales. 5.6. 'e +eri9icara ?ue e4is1a u) log del sis1e:a o0era1i+o = ?ue se regis1re) 1odas las o0cio)es de)1ro de direc1i+asG0la) de audi1or;a. 5.9. 'e 0edir> al ad:i)is1rador o e)cargado de bac.u0s ?ue )os :ues1re su 0rogra:a 0ara co0ias de seguridad< de:os1ra)do el 1ie:0o ?ue se :a)1ie)e) es1as co0ias = si e4is1e u)a e:0resa e41er)a de seguridad ?ue 0res1e el ser+icio de resguardo de co0ias a dis1a)cia geogr>9ica. 5.1" 'e 0regu)1ara = se +eri9icara de)1ro del es1ableci:ie)1o = acceso a la red los 0rogra:adores 1e)ga) u) a:bie)1e i)de0e)die)1e a el a:bie)1e e) 0roducci@)< se +eri9icara ?ue de)1ro de los lis1ados de usuarios del sis1e:a o0era1i+o e) 0roducci@) )o e4is1a u) logi) 0ara 0rogra:adores.

    CEDULAS DE HALLAZGOS

    HALLAZGO 1 P'$/< 1.1 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ FECHA:

    'e solici1o al ad:i)is1rador ?ue se creara u)a cue)1a 0ara u) usuario ?ue $ace 0ar1e del gru0o de e)9er:eras. DESCRIPCION DEL HALLAZGO 'e e)co)1r@ ?ue )o e4is1ia) 0rocedi:ie)1os escri1os 0ara la creaci@) de cue)1as de usuarios = la asig)aci@) de su res0ec1i+a cla+e< si) e:bargo el ad:i)is1rado i)greso el usuario 0ro0ues1o a u) gru0o< = sigui@ u) es1>)dar de9i)ido 0or el :is:o. AMENAZA Debido a ?ue )o se 1ie)e e) cue)1a la correc1a de9i)ici@) de cue)1as de usuarios = asig)aci@) de cla+es< se 0uede) 0rese)1ar 9ugas de i)9or:aci@) =a ?ue al de9i)ir u) )ue+o usuario se 0uede) caer e) el error de D Asig)ar 0er:isos )o acordes co) el 0er9il< asig)ar cla+es 9>ciles de adi+i)ar. RECOMENDACION Es )ecesario de9i)ir 0ol;1icas = 0rocedi:ie)1os claros de asig)aci@) de cue)1as = cla+es ?ue dis:i)u=a el riesgo de e:0odera:ie)1o de la i)9or:aci@). COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 MEDIO ELABORADO REVISADO CEDULA DE RESUMEN C1 PAPELES DE TRABAJO PTE1

    HALLAZGO 2 P'$/< 1.5 UNIDAD AUDITADA: Area de 'is1e:as

    EMPRES XYZ FECHA:

    PROCEDIMIENTO: 'e solici1o al ad:i)is1rador ?ue )os :ues1re de)1ro del 0la) de cue)1as la caducidad de cla+es de acceso. 'e sol;ci1o a u) 9u)cio)ario de la IP' ?ue e)1rara co) su logi) = su cla+e< 0os1erior:e)1e de)1ro de la 0rueba se le solici1ud ?ue $iciera o1ra ac1i+idad 9uera de su si1io de 1rabaEo< 0ara +eri9icar si cerraba la secci@) de 1rabaEo e) su 1er:i)al. DESCRIPCION DEL HALLAZGO 'e 1ie)e) de9i)ido e) el sis1e:a la caducidad de las cla+es si) e:bargo< al solici1ar al 9u)cio)ario escogido al a%ar ?ue $iciera u)a ac1i+idad 9uera de su si1io de 1rabaEo es1e )o cerro su secci@) de 1rabaEo e) su 1er:i)al. AMENAZA El descuido al )o cerrar la sesi@) de 1rabaEo< al re1irarse de su lugar de 1rabaEo< 0uede dar lugar a acceso de 0erso)as )o au1ori%adas a 1ra+Js de es1as 1er:i)ales< causa)do gra+es 0erdidas< = 9raude. RECOMENDACION Es )ecesario ge)erar u) cul1ura e)1re el 0erso)al ?ue labora e) la IP' sobre la res0o)sabilidad de cerrar cada secci@) cua)do se re1ire de su si1io de 1rabaEo< debido al riesgo ?ue e4is1e al deEar la 1er:i)al co) su cla+e do)de o1ras 0erso)as )o au1ori%adas 0ueda) reali%ar ac1i+idades sobre la :is:a. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ELABORADO ALTO REVISADO CEDULA DE RESUMEN C1 PAPELES DE TRABAJO PTE2

    HALLAZGO 2 P'$/< 1.3 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ FECHA:

    'e solici1o al ad:i)is1rador el :a)ual de 0rocedi:ie)1os 0ara la de9i)ici@) de 0er9iles de usuario = se solici1o el :a)ual de 9u)cio)es de u) e:0leado al a%ar< luego se solici1o al ad:i)is1rador ?ue )os :ues1re la de9i)ici@) de 0er9iles de usuario 0ara ese e:0leado< re+isa)do si los es1ablecidos so) los :>s adecuados 0ara su 0er9il laboral.

    DESCRIPCION DEL HALLAZGO Al re+isar los 0er9iles de usuarios se e)co)1ro ?ue solo el !"L es1aba bie) de9i)ido = ?ue el res1o es1aba e) 0roceso de docu:e)1aci@). AMENAZA 'e 0uede) llegar a o1orgar 0ri+ilegios a usuarios )o 0er:i1idos ?ue 0uede) llegar a de1eriorar el sis1e:a de i)9or:aci@). RECOMENDACION Es )ecesario la de9i)ici@) de 0er9iles de usuario acorde co) las 9u)cio)es las cuales debe) es1ar bie) docu:e)1adas< es1o dis:i)u=e el riesgo de $abili1ar 9u)cio)alidades de la a0licaci@) = del sis1e:a o0era1i+o ?ue )o so) )ecesarias = ?ue 0ueda) ?uebra)1ar la seguridad. COMENTARIOS DEL AUDITADO: Al :o:e)1o )o se $a e)1regado el :a)ual de 9u)cio)es = au) )o se $a) dado a co)ocer las 9u)cio)es 0ara cada cargo. NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 BAJO ELABORADO REVISADO CEDULA DE RESUMEN C1 PAPELES DE TRABAJO PTE2

    HALLAZGO 8 P'$/< 1., ? 1.6 UNIDAD AUDITADA: Area de 'is1e:as

    EMPRES XYZ FECHA:

    PROCEDIMIENTO: 'e solici1ara al ad:i)is1rador ?ue )os :ues1re la co)9iguraci@) de los 0er9iles de usuario 0ara el gru0o TODO'< co) es1o +eri9icare:os si se $a) ca:biado los derec$os = seguridad.

    DESCRIPCION DEL HALLAZGO 'J e)co)1r@ ?ue el disco duro 1ie)e 0ar1ici@) NT3'< = ?ue el gru0o TODO' 1oda+;a 1e)ia Co)1rol To1al del +olu:e). As;< los direc1orios s=s1e:roo1 ()or:al:e)1e CDM*i))1)< s=s1e:roo1Ms=s1e:35 = s=s1e:roo1M1e:0< 1ie)e) derec$os de CONT&OL TOTAL< CA#BIO 7 CONT&OL TOTAL res0ec1i+a:e)1e al gru0o TODO'. 'i) e:bargo< los 0rogra:adores :a)1ie)e) u) a:bie)1e de 1rabaEo 1o1al:e)1e i)de0e)die)1e al de 0roducci@). AMENAZA 'e 0uede) 0rese)1ar daCos a la i)9or:aci@)< 1a:biJ) se 0uede 1e)er acceso 0or 0ar1e de u) e:0leado a i)9or:aci@) )o au1ori%ada 0ara Jl. Ade:>s de es1o 0odr;a) 1e)er 0er:iso 0ara eEecu1ar 0rocesos )o au1ori%ados 0ara su labor. RECOMENDACION Los 0er:isos de9i)e) ?uJ recursos 0uede) usar los usuarios o gru0os de usuarios< e)1e)die)do 0or recurso u) 9ic$ero< direc1orio o u)a i:0resora. Los 0er:isos co)1rola) el acceso a direc1orios = 9ic$eros locales< = co:0ar1idos e) la red = deber>) ser co)9igurados 0or el ad:i)is1rador de acuerdo co) el 0er9il laboral de cada usuario. COMENTARIOS DEL AUDITOR NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 BANO ELABORADO REVISADO CEDULA DE RESUMEN C1 PAPELES DE TRABAJO PTE8

    HALLAZGO 5 P'$/< 1.!9 1./ ? 5.6 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ

    FECHA:

    'e le solici1o al ad:i)is1rador del sis1e:a ?ue re+ise los :e)saEes ?ue se regis1ra) e) el log 0ara ide)1i9icar ?ue 1i0o de :e)saEe i:0o)e u) i)1erJs de co)1rol

    DESCRIPCION DEL HALLAZGO 'e de1ec1o ?ue )o es1aba ac1i+ado )i)gu)o de los log de audi1or;a RECOMENDACIFN 'e debe ac1i+ar los log de audi1or;a es1o 0er:i1e 1e)er u)a +isi@) ge)eral de los sucesos ?ue ocurre e) el sis1e:a = 1e)er u) co)1rol ?ue 0er:i1a ide)1i9icar ?ue usuarios es1>) +iola)do la seguridad del :is:o< es1e 0roceso ad?uiere i:0or1a)cia cua)do el ad:i)is1rador del sis1e:a :o)i1orea los 0osibles :e)saEes de acceso )o au1ori%ado = 1ra)saccio)es )o 0er:i1idas. AMENAZA Al )o :o)i1orear los suceso ?ue se regis1ra) e) el sis1e:a )o se de1ec1ara) los i)1e)1os 9allidos 0or 0ar1e de i)1rusos ?ue 0ueda) llegar a al1erar o e) caso e41re:o des1ruir i)9or:aci@) +i1al de la e:0resa. COMENTARIOS DEL AUDITADO: Cua)do se $i%o la i)s1alaci@) del 'is1e:a o0era1i+o< )o se ac1i+aro) los log de audi1or;a< 1e)ie)do e) cue)1a ?ue audi1or;as a)1eriores lo $ab;a) reco:e)dado = los e)cargados de la i)s1alaci@) era u)a e)1idad e41er)a. NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 CEDULA DE RESUMEN ALTO ELABORADO REVISADO C1 C2 PAPELES DE TRABAJO PTE5

    HALLAZGO C P'$/< 5.1 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO: 'e +eri9ica e) los co)1ra1os de usuarios a los sis1e:as de i)9or:aci@) DESCRIPCION DEL HALLAZGO

    EMPRES XYZ FECHA:

    1rabaEo si e4is1e algu)a cl>usula do)de co)9iere la

    co)9ide)cialidad sobre la i)9or:aci@) cla+e< 1al co:o cla+es de acceso o ide)1i9icaci@) de

    E) los co)1ra1os de 1rabaEo solici1ados a la o9ici)a de 0erso)al de la E#P&E' A7B )o se e)co)1ro )i)gu)a clausula do)de co)9iere la co)9ide)cialidad sobre la i)9or:aci@) cla+e< 1al co:o las cla+es de acceso o ide)1i9icaci@) de usuarios a los sis1e:as de i)9or:aci@). AMENAZA Al 0rese)1arse el re1iro de u) 9u)cio)ario de la i)s1i1uci@)< es1e 0uede llegar a i)9or:aci@) de las cla+es de acceso 0ara sus1raer i)9or:aci@) 0ro0ia de la e:0resa. RECOMENDACIFN Es1ablecer u)a 0ol;1ica clara = co:0ro:e1edora de 1odo el 9u)cio)ario ?ue labora) e) la IP' sobre la i:0or1a)cia de las cla+es de seguridad ?ue se le da) 0ara i)gresar al sis1e:a. De es1a 9or:a creer> co)cie)cia de la res0o)sabilidad ?ue se 1ie)e de la :is:a< 1a:biJ) es )ecesario ?ue la o9ici)a de recursos $u:a)o i)clu=a e) los co)1ra1os las clausulas corres0o)die)1es sobre la co)9ide)cialidad de la i)9or:aci@) 0ro0ia de la e:0resa. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 MEDIO ELABORADO REVISADO CEDULA DE RESUMEN C2 PAPELES DE TRABAJO NO u1ili%ar la

    HALLAZGO 3 P'$/< 5.5 UNIDAD AUDITADA: Area de 'is1e:as

    EMPRES XYZ FECHA:

    HALLAZGO G P'$/< 5.39 ,.3 ? ,., UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ

    FECHA:

    se +eri9ic@ la +igila)cia e) el acceso de 0erso)al )o au1ori%ado a las o9ici)as = se obser+ara la 0osici@) de escri1orios. Ta:biJ) se solici1@ a los res0o)sables de asig)aci@) de cla+es los :J1odos 0ara regular las au1ori%acio)es = la asig)aci@) de cla+es de acceso. DESCRIPCION DEL HALLAZGO 'e obser+@ ?ue el ad:i)is1rador del sis1e:a le $a asig)ado a 1odos los usuarios u) logi) = u) 0ass*ord ?ue ellos al i)icio de secci@) lo :odi9ica) = ?ue es ca:biable cada 3" d;as< :uc$os de ellos 0res1a) su cla+e a o1ro 9u)cio)ario o e) su de9ec1o se le+a)1a) de su si1io de 1rabaEo deEa)do la 1er:i)al ac1i+a. AMENAZA 'e 0uede 0rese)1ar la su0la)1aci@) o 9raude< 0or 0ar1e de 0erso)as )o au1ori%adas ?ue 0uede) :a)i0ular la i)9or:aci@) 0ro0ia de la e:0resa. RECOMENDACIFN 'olici1ar a los usuario la i:0or1a)cia de la co)9iabilidad de la cla+e< la cual debe ser K)ica e i)1ra)s9erible lo cual les 0uede ocasio)ar 0roble:as = $as1a el re1iro de la i)s1i1uci@). COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C2 PAPELES DE TRABAJO NO

    HALLAZGO H P'$/< 5., UNIDAD AUDITADA: Area de 'is1e:as

    EMPRES XYZ FECHA:

    PROCEDIMIENTO: 'e solici1a a la o9ici)a de 0erso)al u) lis1ado de 0erso)al ?ue $a salido a +acacio)es o ?ue $a) 1e)ido ca:bio de cargo 0ara co)9ro)1arlos co) los ca:bios de logi)s = cla+es

    DESCRIPCION DEL HALLAZGO 'e obser+o ?ue $a= 9u)cio)arios ?ue se e)cue)1ra) e) lice)cia (:a1er)idad< o1ras) = re1irados de la i)s1i1uci@) ?ue )o se $a) desac1i+ado o re1irado del sis1e:a. El ad:i)is1rador del sis1e:as i)9or:o ?ue e) )i)gK) :o:e)1o $a) sido re0or1ados 0or 0ar1e de la o9ici)a de recursos $u:a)os. RECOMENDACIFN 'e debe es1ablecer :eca)is:os de co:u)icaci@) e)1re la o9ici)a de recursos $u:a)os = el de0ar1a:e)1o de sis1e:as de la E#P&E' A7B. Do)de i)9or:e 0eri@dica:e)1e ?ue 9u)cio)arios es1>) ac1i+os< e) +acacio)es< lice)cias = ?uie)es se $a) re1irado de la i)s1i1uci@)< es1o co) el 9i) de e+i1ar i)greso de usuarios )o 0er:i1idos = ?ue 0ueda) al1erar la i)9or:aci@) o e) casos e41re:os borrar da1os ?ue 0uede) ser :u= decisi+os e) la i)s1i1uci@). AMENAZA 'e 0uede 0rese)1ar 9raude< 0or 0ar1e de 9u)cio)arios ?ue labore) o laboraro) e) la i)s1i1uci@). COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C2 PAPELES DE TRABAJO PTEC

    HALLAZGO 10 P'$/< 5.! UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ FECHA:

    'e +eri9ico la e4is1e)cias de las 0ol;1icas = 0rocedi:ie)1os 0ara res1ricci@) de $orarios.

    DESCRIPCION DEL HALLAZGO 'e obser+o ?ue )i)gK) usuario 1ie)e de9i)ido las res1ricci@) de $orarios. RECOMENDACIFN 'e debe es1ablecer res1riccio)es de $orario 0ara a?uellos 9u)cio)arios ?ue 1ie)e) de9i)ido u) $orario de 1rabaEo es1>)dar< co) el 9i) de e+i1ar el acceso e) $oras )o 0er:i1idas ?ue co) lle+e) a al1eracio)es e) los sis1e:as de i)9or:aci@). Cua)do el usuario re?uiere acceso a su cue)1a 9uera del $orario )or:al de 1rabaEo< deber> re?uerirlo 0or escri1o al ad:i)is1rador I)9or:>1ica co) 0re+ia au1ori%aci@) del Ee9e de di+isi@). AMENAZAS El 0erso)al 0uede llegar a sus1raer i)9or:aci@) de la e:0resa e) los $orario )o co)+e)cio)ales es1ablecidos 0or la e:0resa. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO PAPELES DE TRABAJO PTE3 CEDULA DE RESUMEN C2

    HALLAZGO 11 P'$/< 5./ ? 5.1" UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO: 'e 0rocedi@ e) +eri9icar el i)9or:e

    EMPRES XYZ FECHA: a los 0rogra:adores de la 0ro$ibici@) del acceso de

    so91*are a0lica1i+o = o0eracio)al< al igual ?ue la )o1i9icaci@) de la :is:a a 1odos los usuario de sis1e:as. Ade:as de re+isar la correc1a segregaci@) de i)9or:aci@) de las a0licacio)es e) 0roducci@) a los 0rogra:adores 0ara ca:bios = :odi9icacio)es e) los a0lica1i+os = ?ue 0ri+ilegios 1e)ia sobre las de:>s a0licacio)es = 1er:i)ales.

    DESCRIPCION DEL HALLAZGO 'e e)co)1ro ?ue )o $a= es1ablecido u) i)9or:e a los 0rogra:adores de la 0ro$ibici@) de al acceso de so91*are a0lica1i+o = o0eracio)al< al igual ?ue )o $a= u)a )o1i9icaci@) de la :is:a a 1odos los usuario de sis1e:as. 'i) e:bargo se 1ie)e u) a:bie)1e de 0rueba i)de0e)die)1e do)de el i)ge)iero 0rogra:ador el cual )o 1ie)e acceso a )i)gK) recurso de la red. RECOMENDACIFN Au)?ue e) la 0rac1ica se $a es1ablecido u) a:bie)1e de 1rabaEo i)de0e)die)1e se debe de docu:e)1ar = dar a co)ocer a 1odas las 0erso)as ?ue i)1er+ie)e) e) los 0rocesos. AMENAZA La 9al1a de di+ulgaci@) de 0ol;1icas 0uede lle+ar a ?ue )ue+os 9u)cio)ario dJ acceso a 0erso)al )o au1ori%ado ?ue 0ueda al1erar el sis1e:a de i)9or:aci@). COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C2 PAPELES DE TRABAJO NO

    HALLAZGO 12 P'$/< 5.9 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ FECHA:

    'e le solici1o al ad:i)is1rador del sis1e:as i)9or:aci@) do)de es1able%ca co)?ue 1ie:0o se :a)1ie)es las co0ias de bac.u0 de las 1ra)saccio)es DESCRIPCION DEL HALLAZGO 'e 1ie)e es1ablecido u) sis1e:a de bac.u0< diario< :e)sual = a)ual do)de se 1ie)e co0ias de abuelo< 0adre e $iEo< 0ero )o e4is1e docu:e)1aci@) do)de es0eci9i?ue el 0rocedi:ie)1o 0ara reali%ar el bac.u0. A de:>s se e)co)1ro ?ue )o se reali%a) bac.u0 los s>bados< do:i)gos = 9es1i+os.

    RECOMENDACIFN Elaborar u) :a)ual de bac.u0 do)de se es1i0ule el 0roceso de bac.u0 = :a)1e)er u)a bi1>cora de ro1aci@). De es1a 9or:a se 0odra dar so0or1e e) caso de 0erdida o de1erioro de la i)9or:aci@). AMENAZA Debido a ?ue la IP' )o 1ie)e u) 0la) de bac.u0s ?ue cubra los 9i)es de se:a)a se 0uede 0rese)1ar la 0erdida de gra)des +olK:e)es de i)9or:aci@)< si) 1e)er )i)gK) 1i0o de res0aldo 0ara su recu0eraci@). COMENTARIOS DEL AUDITADO: e) el :o:e)1o se es1a elabora)do u) :a)ual de 0rocedi:ie)1os 0ara la eEecuci@) de los bac.Hu0. NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C2 PAPELES DE TRABAJO NO

    HALLAZGO 12 P'$/< 3.19 3.59 3.39 3.,9 3.!9 3./ ? 3. UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ

    FECHA:

    'e solici1o al ad:i)is1rador< el 0rogra:a de seguridad co) res0o)sabilidades a0ro0iada:e)1e asig)adas a i)di+iduos o 0erso)as cla+es< 0ara +eri9icar su e4is1e)cia. DESCRIPCION DEL HALLAZGO 'e e)co)1ro ?ue au) )o se 1ie)e) 0rogra:as de seguridad< )i se $a) es1ablecido res0o)sables de es1a ac1i+idad = au) se e)cue)1ra) e) 0roceso de desarrollo del a)>lisis de riesgos< au)?ue 1ie)e) bie) de9i)idos los e?ui0os de :isi@) cri1ica ?ue e) caso de 9allo 1ie)e) co:o so0or1arlo< )o se $a a1erri%ado su 0roceso de acci@) e) 9or:a escri1a.

    RECOMENDACIFN Es )ecesario elaborar u) 0rogra:a de seguridad e) el cual se de1alle los sis1e:as de recu0eraci@)< 0la) de co)1i)ge)cias = :o)i1oreo de seguridad 9;sica = logica< ?ue 0er:i1a 1e)er accio)es de9i)idas. AMENAZA Perdida 1o1al de los sis1e:as de i)9or:aci@)< debido a ?ue baEo cual?uier a:e)a%a 1ie)e) u) al1o riesgo de +ul)erabilidad si) de9i)ici@) de res0ues1a 9re)1e al e+e)1o. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO PAPELES DE TRABAJO NO CEDULA DE RESUMEN C2

    HALLAZGO 18 P'$/< ,.1 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO: ali:e)1aci@) desde las :is:as DESCRIPCION DEL HALLAZGO

    EMPRES XYZ FECHA:

    'e +eri9ico si e4is1e) co)1roles sobre la 1ra)s:isi@) de i)9or:aci@) a e)1idades e41er)as = su

    'e obser+o ?ue au) )o se $a) es1ablecido co)1roles 0ara la 1ra)s:isi@) de da1os< )i se reali%a u)a re+isi@) a las 1ra)s:isio)es a O'IOP < ade:as se e)cue)1ra ?ue 1odas las 1er:i)ales se e)cue)1ra) co) 1odos los 0er:isos dis0o)ibles e) el :o:e)1o del i)greso del :is:o e)1e e41er)o. RECOMENDACIFN Es )ecesario $acer uso de $erra:ie)1as 0ro0ias del sis1e:a o0era1i+o ?ue res1ri)Ea el acceso a i)1rusos a los recursos 0ro0ios de la e)1idad = el uso de u1ili1arios ?ue bri)de) la 0osibilidad de :o)i1oriar las ac1i+idades de)1ro de las 1ra)s:isio)es de da1os. AMENAZA E) el es1ado ac1ual se 0uede) 0rese)1ar 9ugas de i)9or:aci@) a 1erceros = la :odi9icaci@) o des1rucci@) a los arc$i+os ?ue co)1ie)e) i)9or:aci@) cla+e de la i)s1i1uci@).

    COMENTARIOS DEL AUDITADO: e) el :o:e)1o )o se $a) dado ca0aci1aci@) sobre el :a)eEo de es1a $erra:ie)1a< las cuales sea) solici1ado 0or 0ar1e del 0erso)al ?ue labora e) el ce)1ro de co:0u1o de la IP'. NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO PAPELES DE TRABAJO PTEG CEDULA DE RESUMEN C8

    HALLAZGO 15 P'$/< ,.6 UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO: 'e +eri9ico ?ue el ser+idor

    EMPRES XYZ FECHA:

    se e)cue)1re 9uera de la li)ea de 9uegos< es decir co)e4io)es

    i)Eus1i9icadas a I)1er)e1 = si e4is1e) sis1e:as de alar:as ?ue i)di?ue la 0ersis1e)cia de e)1rada de i)1rusos = el sis1e:a de :o)i1oreo a 1er:i)ales ?ue co)1e)ga) al1o riesgo de 0e)e1racio)es. DESCRIPCION DEL HALLAZGO 'e e)co)1ro ?ue au)?ue e4is1e u) so91*are es0eciali%ado e) 1ra)s:isi@) de da1os = ?ue co)1ie)e u) sis1e:a de seguridad e9icie)1e< )o se 1ie)e u) al1o co)oci:ie)1o de su 9u)cio)a:ie)1o. RECOMENDACIFN Es )ecesario ca0aci1ar al 0erso)al a cargo de 0ues1os e) 0rac1ica. AMENAZA Por el desco)oci:ie)1o de es1a $erra:ie)1a se 0uede 0rese)1ar acceso de 0erso)as )o deseadas ?ue 0ueda) co)sul1ar =Go :odi9icar la i)9or:aci@) de seguridad de la $erra:ie)1a. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C8 PAPELES DE TRABAJO NO al )o ser :o)i1oriadas las ac1i+idades de)1ro de la 1ra)s:isi@) de da1os = la )o u1ili%aci@) de 1oda la 9u)cio)alidad a )i+el la 1ra)s:isi@) de da1os 0ara ?ue se 0o1e)cialice) 1odos los recursos ?ue co)1ie)e es1a $erra:ie)1a (Pca)=*$ere) = sea)

    HALLAZGO 1C P'$/< !.! ? !./ UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ FECHA:

    'e solici1o al Ee9e de sis1e:as )os :os1rara el :eca)is:o i:0le:e)1ado de)1ro de la orga)i%aci@) 0ara ?ue los o0eradores )o 1e)ga) acceso a los c@digos 9ue)1es. DESCRIPCION DEL HALLAZGO 'e e)co)1ro ?ue los 9ue)1es de los 0rogra:as so) e)1regados 0or el 0rogra:ador = e) su :o:e)1o so) al:ace)ados e) u) ser+idor de co)1i)ge)cias< ?ue los 9u)cio)arios 0uede) accesar = :odi9icar los 0rogra:as = crear eEecu1ables. RECOMENDACIFN Es )ecesario ?ue los 9ue)1es sea) e)1regados al coordi)ador del 0ro=ec1o los 9ue)1es< 0ara ser al:ace)ados e) u) lugar i)de0e)die)1e a los usuarios< 0ara as; e+i1ar ?ue sea) :odi9icados. AMENAZA La :odi9icaci@) de los arc$i+os 9ue)1es co) 9i)es lucra1i+os. COMENTARIOS DEL AUDITADO Ni)gu)o NIVEL DE ATENCION DEL RIESGO 4ALTO9 MEDIO9 BAJO6 ALTO ELABORADO REVISADO CEDULA DE RESUMEN C5 PAPELES DE TRABAJO PTEH

    INFORME DETALLADO: CEDULAS DE RESUMEN


    C1 CEDQLA DE &E'Q#EN OBJETIVO 1 EMPRES XYZ FECHA:

    &E3E&ENCIA' 81< 85< 83< 8, = 8!


    UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    'e solici1o el :a)ual de 0rocedi:ie)1os 0ara la de9i)ici@) de 0er9iles de usuario = el :a)ual de 9u)cio)es de u) e:0leado al a%ar< luego se solici1o al ad:i)is1rador ?ue )os :ues1re la de9i)ici@) de 0er9iles de usuario 0ara ese e:0leado = 0ara el gru0o 1odos< re+isa)do si los 0er9iles so) los :as adecuados = e) u) a:bie)1e de 0rueba la creaci@) de u) )ue+o usuario< ade:as se 0idi@ al ad:i)is1rado )os :os1rara el 1i0o de :e)saEe ?ue se regis1ra) e) los logs. RECOMENDACIFN Es )ecesario la de9i)ici@) de 0er9iles de usuario acorde co) las 9u)cio)es de acuerdo al cargo del 0erso)al< las cuales debe) es1ar bie) docu:e)1adas< lo ?ue 0er:i1ir> direccio)ar el :a)ual de 0ol;1icas 0ara creaci@) de cue)1as = cla+es< es )ecesario ade:as la ca0aci1aci@) del 0erso)al sobre seguridad logica (cla+es de acceso). A de:>s se sugiere ac1i+ar los log de audi1or;a es1o 0er:i1e 1e)er u)a +isi@) ge)eral de los sucesos ?ue ocurre e) el sis1e:a = 1e)er u) co)1rol ?ue 0er:i1a ide)1i9icar ?ue usuarios es1>) +iola)do la seguridad del :is:o< es1e 0roceso ad?uiere i:0or1a)cia cua)do el ad:i)is1rador del sis1e:a :o)i1orea los 0osibles :e)saEes de acceso )o au1ori%ado = 1ra)saccio)es )o 0er:i1idas. ELABORADO APROBADO

    C2

    CEDULA DE RESUMEN OBJETIVO 2 &E3E&ENCIA'D 8!< 8/< 8 < 86< 89< 81" = 811
    UNIDAD AUDITADA: Area de 'is1e:as PROCEDIMIENTO:

    EMPRES XYZ

    FECHA:

    'e +eri9ic@ ?ue los 0er9iles de usuarios es1J) acordes a D $orario< 1ie:0o de caducidad de las cla+es = usuarios desac1i+ados< de acuerdo a los co)1ra1os< lice)cias del 0erso)al = 0erso)al re1irado< ade:as se re+iso los 0rocesos de relaci@) e)1re 0rogra:adores = el a:bie)1e de 0roducci@). RECOMENDACIFN 'e sugiere ?ue la o9ici)a de recursos $u:a)o i)clu=a e) los co)1ra1os las clausulas corres0o)die)1es sobre la co)9ide)cialidad de la i)9or:aci@) 0ro0ia de la e:0resa< de igual :a)era ?ue se :a)1e)ga u)a co:u)icaci@) 0er:a)e)1e e i):edia1a de los ca:bios de cargos< re1iros o lice)cias co) el 9i) de ?ue el ad:i)is1rador del sis1e:a realice la ac1uali%aci@) 0er1i)e)1e e) el 0la) de cue)1as de usuarios. ELABORADO APROBADO

    PAPELES DE TRABAJO

    PAPEL DE TRABAJO N*1 PAPEL DE TRABAJO N*2 PAPEL DE TRABAJO N*2 PAPEL DE TRABAJO N*8 PAPEL DE TRABAJO N*5 PAPEL DE TRABAJO N*C PAPEL DE TRABAJO N*3 PAPEL DE TRABAJO N*G PAPEL DE TRABAJO N*H

    CEDULA DE RESUMEN GENERAL

    CEDULA DE RESUMEN GENERAL EMPRES XYZ REFERENCIAS : C19 C29 C#9 C Y C5 OBJETIVO GENERAL UNIDAD AUDITADA: Area de 'is1e:as

    FECHA:

    La co)9iguraci@) ac1ual del sis1e:a o0era1i+o de la E#P&E' A7B 0er:i1e libre acceso de usuario< 1a)1o i)1er)os co:o e41er)os< debido a ?ue )o se 1ie)e) 0ol;1icas claras de creaci@) = 0er9iles de usuario< 0la) de co)1i)ge)cias = :o)i1oreo de seguridad 9;sica = logica = 0rogra:as de bac.u0s< ?ue 0er:i1a 1e)er accio)es de9i)idas = res0aldo 9re)1e a 0erdida =Go 9uga de i)9or:aci@) 0ro0ia de la E#P&E' A7B< ade:as de desco)oci:ie)1o de las u1ili1arios ?ue 0o1e)cialice) el sis1e:a de alar:a co)1ra accesos )o 0er:i1idos

    ELABORADO

    APROBADO

    INFORME EJECUTIVO

    Pal:ira< 5" de 3ebrero de 5""5 'eCoresD Dra. DDDDDDD Ne9a Di+isi@) de 'alud E#P&E' A7B El 0ri)ci0al obEe1i+o de la audi1or;a 9ue E+aluar el cu:0li:ie)1o de las 0ol;1icas de seguridad< uso de 0rogra:as de seguridad biblio1ecas del = 0rocedi:ie)1os de sal+aguardas de sis1e:a o0era1i+o (i)do*s NT e) el >rea de 'is1e:as = Tele:>1ica de

    la EMPRES XYZ9 e) u) la0so de 1ie:0o de 1 se:a)a co) 9ec$a de i)icio el 1" de 3ebrero del aCo 5""5 = 9ec$a de 9i)ali%aci@) el 1! de 3ebrero del :is:o aCo< e) ella se e+aluaro) los siguie)1es as0ec1os 1. Pol;1icas = Procedi:ie)1os de seguridad logica. 5. 'is1e:a de co)1rol de seguridad de la i)9or:aci@). 3. Procedi:ie)1os 0ara asegurar el co)1rol de +ersio)es de a0lica1i+os e) 0roducci@) = a0lica1i+os e) desarrollo.

    H())(@/*! La co)9iguraci@) ac1ual del sis1e:a o0era1i+o de la E#P&E' A7B 0er:i1e libre acceso de usuario< 1a)1o i)1er)os co:o e41er)os< debido a la 9al1a de 0ol;1icas claras de creaci@) = 0er9iles de usuario< 0la) de co)1i)ge)cias< :o)i1oreo de seguridad 9;sica = logica = 0rogra:as de bac.u0s< ?ue 0er:i1a 1e)er accio)es de9i)idas = res0aldo 9re)1e a 0erdida =Go 9uga de i)9or:aci@) 0ro0ia de la E#P&E' A7B< ade:as de desco)oci:ie)1o de los u1ili1arios ?ue 0o1e)cialice) el sis1e:a de alar:a co)1ra accesos )o 0er:i1idos = la 9al1a de 0la)eaci@) e) el :o:e)1o de el :o)1aEe del sis1e:a o0era1i+o (i)do*s NT.

    R$-*%$#.(- *#$!

    'e reco:ie)da elaborar u) 0rogra:a de seguridad e) el cual se de1alle los sis1e:as de recu0eraci@)< 0la) de co)1i)ge)cias = :o)i1oreo de seguridad 9;sica = logica< ade:as de 0rogra:as de bac.u0s< ?ue 0er:i1a 1e)er accio)es de9i)idas = res0aldo 9re)1e a 0erdida =Go 9uga de i)9or:aci@) 0ro0ia de la E#P&E' A7B.

    Es )ecesario docu:e)1ar el :a)ual de 0ol;1icas 0ara creaci@) de cue)1as = cla+es< = ca0aci1ar al 0erso)al sobre seguridad a )i+el de sis1e:as i)9or:>1icos.

    'e sugiere ac1i+ar los log de audi1or;a es1o 0er:i1e 1e)er u)a +isi@) ge)eral de los sucesos ?ue ocurre e) el sis1e:a = 1e)er u) co)1rol ?ue 0er:i1a ide)1i9icar ?ue usuarios es1>) +iola)do la seguridad del :is:o< es1e 0roceso ad?uiere i:0or1a)cia cua)do el ad:i)is1rador del sis1e:a :o)i1orea los 0osibles :e)saEes de acceso )o au1ori%ado = ac1i+idades )o 0er:i1idas.

    'e sugiere ?ue la o9ici)a de recursos $u:a)o i)clu=a e) los co)1ra1os las clausulas corres0o)die)1es sobre la co)9ide)cialidad de la i)9or:aci@) 0ro0ia de la e:0resa< de igual :a)era ?ue se :a)1e)ga u)a co:u)icaci@) 0er:a)e)1e e i):edia1a de los ca:bios de cargos< re1iros o lice)cias co) el 9i) de ?ue el ad:i)is1rador del sis1e:a realice la ac1uali%aci@) 0er1i)e)1e e) el 0la) de cue)1as de usuarios.

    'e reco:ie)da u1ili%ar las $erra:ie)1as 0ro0ias del sis1e:a o0era1i+o ?ue res1ri)Ea el acceso a i)1rusos a los recursos 0ro0ios de la e)1idad = ca0aci1ar al 0erso)al a cargo de la 1ra)s:isi@) de da1os 0ara ?ue se 0o1e)cialice) 1odos los recursos ?ue co)1ie)e la $erra:ie)1a i)9or:>1icas ?ue 0osee la IP'.

    'e sugiere ?ue los 9ue)1es de los a0lica1i+os sea) e)1regados al coordi)ador del 0ro=ec1o< 0ara ser al:ace)ados e) u) lugar i)de0e)die)1e a los usuarios< 0ara as; e+i1ar ?ue sea) :odi9icados co) 9i)es lucra1i+os.

    E) 1Jr:i)os ge)erales los $alla%gos e)co)1rados radica) e) la 9al1a de 0la)eaci@) = su0er+isi@) e) la i)s1alaci@) = co)9iguraci@) del sis1e:a o0era1i+o< al igual ?ue la res0ec1i+a docu:e)1aci@) do)de se de9i)a) 0ol;1icas = 0la)es ?ue :i1igue) los riesgos e) los sis1e:as de i)9or:aci@). Es0era:os ?ue )ues1ras sugere)cias sea) 1e)idas e) co)sideraci@)< as; :is:o la soluci@) de cual?uiera de sus i)?uie1udes. Po)e:os a su e)1era dis0osici@) )ues1ros co)oci:ie)1os = ser+icios 0ara 9u1uras audi1or;as.

    AQDITO&E'D

    AAAAAAAAAAAAA BBBBBBBBBBBBBB

    CONCLUSIONES

    Los as0ec1os de seguridad e) u) sis1e:a de i)9or:aci@) so) de los :>s i:0or1a)1es = cr;1icos e) u)a e:0resa< = a los ?ue :e)os a1e)ci@) se les 0res1a. E) raras ocasio)es )os de1e)e:os a 0e)sar e) los 0osibles sucesos = e+e)1os ?ue co)lle+a) a co)secue)cias desas1rosas 0ara los i)1ereses de las orga)i%acio)es.

    La res0o)sabilidad de i:0la)1ar = :a)1e)er :edidas de seguridad e) u) sis1e:a de i)9or:aci@) recae e) el sis1e:a o0era1i+o co:o e) las 0erso)as e)cargadas de ad:i)is1rarlo = la 9acilidad de uso $ace ?ue cada +e% sea) :>s +ul)erables a a1a?ues. Por o1ro lado< cada +e% :>s i)9or:aci@) cr;1ica se al:ace)a = 1ra)s:i1e de 9or:a elec1r@)ica. Los :eca)is:os de seguridad debe) gara)1i%ar ?ue los sis1e:as 9u)cio)e) si) i)1erru0ci@) = ?ue la i)9or:aci@) se :a)1e)ga si) al1eraci@).

    Los re?uisi1os de seguridad 0ara u) sis1e:a es1ablece) clara:e)1e las bases 0ara desarrollar u) 0rogra:a de seguridad ?ue< al i:0la)1arse correc1a:e)1e = 0or co:0le1o< $aga al sis1e:a seguro = e9icie)1e.

    Los :eca)is:os de seguridad ade:as de i:0la)1arse a )i+el del sis1e:a o0era1i+o< se debe) $acer 1a:biJ) a )i+el del a:bie)1J< del $ard*are< e1c.

    BIBLIOGRAFIA

    BIBLIOGRAFIA M )$#I*5 -< 'is1e:as o0era1i+os< #aGra*8ill

    INTERNET
    $110DGG***.sis1e:as.dgsca.u)a:.:4 $110DGG***.:i)9i).gob.g1G0oli1icasGa13.$1:

    Вам также может понравиться