Auditoria danper

Please download to get full document.

View again

All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
 7
 
 

Slides

  1. Facultad de Ingeniería Escuela de Ingeniería de Sistemas AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN “AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE…
Related documents
Share
Transcript
  • 1. Facultad de Ingeniería Escuela de Ingeniería de Sistemas AUDITORIA Y SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN “AUDITORIA DEL CUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN” Integrantes          Ing. :Patricia Gissela Pereyra Salvador Aguilar Asmat, José Pablo Álvarez Untul, Walter Abel Cruz Gálvez, Juan Apolinar Javiel Valverde, Angela Victoria López Ledesma, Carlos Alfredo Méndez Asmat, Martin David Muñoz Nole, Ronald Junior Quispe Paucar, Margarita Grace Tapia Cruz, William Manuel TRUJILLO – PERÚ 2014
  • 2. Danper
  • 3. ETAPA 1: PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA 1.1 POR SOLICITUD DE PROCEDENCIA EXTERNA Con fecha 2 de febrero se dio inicio al curso de Auditoria y Seguridad de Tecnologías de Información dictado por la Ing. Patricia Gissela Pereyra Salvador en la Universidad César Vallejo. Esto dio como consecuencia el desarrollo de un proyecto que el grupo desarrollara para el responsable de la Empresa Agroindustrial Danper, siendo una Auditoria Externa. 2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA. 2.1 CONTACTO INICIAL CON FUNCIONARIOS Y EMPLEADOS DEL ÁREA. Se realizó una primera reunión con el personal que labora en Danper brindándonos los primeros alcances mostrados en el primer avance del informe.
  • 4. 3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA. 3.1 OBJETIVO GENERAL Objetivo General Evaluar del Cumplimiento de la Política de Seguridad de la Información. 3.2 OBJETIVOS PARTICULARES Objetivos Específicos Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. Verificar y evaluar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Verificar plan de continuidad de negocio y plan de recuperación de desastres.
  • 5. 4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA AUDITORÍA. 4.1 EVALUACIÓN DE LAS FUNCIONES Y ACTIVIDADES DEL PERSONAL DEL AREA DE SISTEMAS. En esta evaluación se verificará si hay cumplimiento de sus funciones asignados y actividades diarias, según el puesto o cargo que desempeña dentro del área. La seguridad del personal será enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen contratiempos, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos deben ser considerados al momento de diseñar un sistema de seguridad. Se debe observar la seguridad del personal que trabaja en el área de sistemas con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente. La dependencia del sistema a nivel operativo y técnico. La evaluación del grado de capacitación operativa y técnico. Registro del personal del acceso operativo y administrativos a los sistemas. Conocer la capacitación del personal en situaciones de emergencia. Se evaluará en los aspectos de control de acceso el Registro del personal del acceso operativo y administrativos a los sistemas. Control de acceso: El acceso se concede teniendo en cuenta lo que el usuario del sistema necesite para realizar sus labores.
  • 6. 4.2 EVALUACIÓN DE LAS AREAS Y UNIDADES ADMINISTRATIVAS DEL CENTRO DE CÓMPUTO. Para realizar esta evaluación se debe tener presente la ubicación, la distribución y la instalación de los equipos, las áreas deben ser diseñadas y estructuradas adecuadamente brindando seguridad a los usuarios y consiguiente al equipamiento. Se debe tener presente, los riesgos que se pueden dar en un desastre natural, algo fortuito o un accidente dentro de los ambientes que se trabajan. 4.3 EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. Se evaluará la seguridad y protección de la información, ya sea en los accesos del área de sistemas. Es evidente que es esta evaluación se contemplará la protección y resguardo de la información de la empresa. Se evaluará la verificación de los accesos y permisos de cada personal que tiene a los sistemas asignados. En cuanto a la autenticación, se verificará las contraseñas correspondientes a cada usuario. Para la evaluación de las contraseñas se comprobará a cada usuario: La asignación de la contraseña Inicial y Sucesiva. Longitud mínima y composición de caracteres de la contraseña. Vigencia y caducidad de la contraseña. Numero de intentos que se permiten al usuario para el acceso del sistema.
  • 7. 4.4 EVALUACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y REGISTRO DE LOS SISTEMAS. La evaluación de la información, documentación y registro de los sistema de información serán sometido a un examen detallado de sus características de seguridad, que culmina con extensas pruebas de funcionamiento y test. El grado de examen depende del nivel de confianza deseado por los objetivos de evaluación. Para proporcionar diferentes grados de confianza, utilizaremos los Criterios de Evaluación de Seguridad en Tecnologías de Información CESTI, este ofrece un servicio de evaluación de la seguridad de sistemas y productos de las Tecnologías de la Información en conformidad con los estándares internacionales. 4.5 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES. No se realizara la evaluación de los sistemas ya que lo auditado será el acceso de la información.
  • 8. 4.6 ELEGIR LOS TIPOS DE AUDITORIAS QUE SERÁN UTILIZADOS. El tipo de auditoria a utilizar es Externa. Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus sistemas de Información. En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas. 4.7 DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA AUDITORÍA. Se ha determinado los recursos materiales, humanos, tecnológicos y económicos: 4.7.1. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por la empresa. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el usuario. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del auditado para verificarlos.
  • 9. b. Recursos materiales Hardware Los recursos de hardware que el auditor necesita son proporcionados por la empresa. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. 4.7.2. Recursos Humanos La cantidad de recursos depende del alcance auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Se tiene presente, que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. El equipo de Auditoria está conformado por 9 integrantes.
  • 10. Perfiles de los Auditores Informáticos CARGO Actividades y conocimientos deseables JEFE DEL EQUIPO PROYECTO AUDITOR INFORMÁTICA. DE DE Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. de Responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Carlos, López Ledesma. Experto en Proyectos Desarrollo Ronald, Muñoz Nole Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Martin, Méndez Asmat Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Walter, Alvares Untul. Experto en Software Comunicación de Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. y Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Juan, Cruz Galvez. Experto en Explotación Gestión de CPD´S Grace, Quispe Paucar Técnico de Organización Experto organizador y Especialista en el análisis información. Angela, Javiel Valverde Técnico Costes de evaluación de coordinador. de flujos de Con conocimiento de Informática. Gestión de costes. Manuel, Tapia Cruz Técnico en Ofimática. Técnico de Computación e Informático. Especialista en Gestión Documentaría Pablo, Aguilar Asmat. 4.7.3. Recurso Tecnológico Los recursos que se han utilizado son de manera personal 01 Pc o 01 Laptop, 01 Impresora, internet y celular. 4.7.4. Recurso Económico. En este recurso se considera los gastos operativos y de movilidad.
  • 11. 5.1.2 DEFINICIÓN DE OBJETIVOS. Verificar si el personal de sistemas tiene el conocimiento de la Política de Seguridad de la Información. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Este objetivo consiste en hacer un seguimiento a los usuarios activos en la empresa, los usuarios. Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones). Aplicaciones web personalizadas (controles ActiveX): Con el crecimiento de la comunidad de fabricantes independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus requisitos de negocio específicos. TCO inferior percibido (menos llamadas a soporte técnico frente a menor superficie de ataques): Muchas empresas creen que al permitir que los usuarios se instalen sus propias aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico. Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. El acceso a información restringida debe estar controlado Se recomienda el uso de sistemas automatizados de autenticación que manejen credenciales o firmas digitales Las claves de administrador de los sistemas deben ser conservadas por la dirección de la empresa y deben ser cambiadas e intervalos regulares de tiempo y en todo caso cuando el personal adscrito lo cambie. Verificar y solicitar procedimientos, políticas, manuales, relacionadas a la seguridad de la información. Todos los sistemas informáticos deben ser protegidos teniendo en cuenta un enfoque multinivel que involucré controles humanos, físicos técnicos y administrativos. La Subárea de Seguridad de la Información elaborará y mantendrá un conjunto de políticas, normas, estándares, procedim ientos y guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y técnicas de hacking.
  • 12. NORMA TÉCNICA PERUANA 27001:2008 OBJETIVOS DE CONTROL Y CONTROLES 5.2 CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORÍA. 5.2.1 DEFINIR LOS OBJETIVOS FINALES DE LA AUDITORÍA. Revisar y Verificar los usuarios que se encuentran activos en la empresa y compararlo con el servidor Directorio Activo (AD). Verificar como esta establecidos los permisos de los usuarios (niveles y roles). Evaluar y revisar los registros de auditoria de la seguridad de la información, capacitaciones, política de gestión de contraseñas. 5.2.2 ESTABLECER LAS ESTRATEGIAS PARA REALIZAR LA AUDITORÍA. Estrategias 1. Formalizar la AI en la organización, a través de: *Cursos de Acción justificados *Documentos de justificación a Alta Dirección *Difusión de la AI en las Áreas relacionadas *Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta Dirección: *Seguridad, Políticas y procedimientos de los recursos de informática, eficientes y confiables. *Apoyo a los objetivos del negocio. *Verificación del uso de la Tecnología en el negocio. *Proceso de Evaluación y justificación. *Elaboración y desarrollo de un proceso de planeación informática, orientado al plan de negocio. *Uso de Metodologías, Técnicas, Herramientas.
  • 13. 5.2.5 DISTRIBUIR LOS RECURSOS QUE SERAN UTILIZADOS EN LAS DIFERENTES ETAPAS, ACTIVIDADES Y TAREAS DE LA AUDITORÍA
  • 14. 5.2.6 CONFECCIONAR LOS PLANES CONCRETOS PARA LA AUDITORIA I VISITA PRELIMINAR Solicitud de Manuales y Documentos del Área. Recopilación de información de la Área: Estructura, recursos humanos, presupuestos. Elaboración de los cuestionarios. II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal. Entrevista con los encargados y usuarios más importantes del Área. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos Evaluación de los sistemas: Evaluación de las licencias y permisos, topología y diseño lógico, estado del hardware y software. Evaluación del proceso de datos: seguridad de los datos, seguridad física y procedimientos de respaldo III REVISION Y PRE INFORME Revisión de los documentos y reportes del trabajo Determinación del diagnóstico e implicancias Elaboración de la carta a gerencia Elaboración del borrador IV Informe Conclusiones finales Elaboración y presentación del informe
  • 15. ETAPA 2: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 2. APLICAR LOS INSTRUMENTOS Y HERRAMIENTAS PARA LA AUDITORÍA. Se aplicara los instrumentos y herramientas para auditoria: Cuestionarios, guías para realizar entrevistas, formularios para encuestas, diseñar los métodos e instrumentos de muestreo, listas de chequeo (Check-list). Controles administrativos: Recolección de documentos como: políticas y normatividad general referente a la seguridad del sistema. Controles operativos: Procedimientos que sirven para asegurar los requerimientos de seguridad. Ejemplo: planes de contingencia, manejo de incidentes de contraseña de usuarios. Controles técnicos: Software que aseguren el cumplimiento de los requerimientos de seguridad. Ejemplo: Control de acceso y autorización. A evaluar: Controles Administrativos Existe una política específica del sistema para el manejo de seguridad Existen políticas para el manejo de sistemas operativos. Requerimientos para autenticación de usuarios Existe un ente encargado de dar solución a incidentes de seguridad Si está respaldada por los directivos Define procedimientos, son claros y entendibles Designa personal responsable. Si hay penalidades y acciones disciplinarias. Si los procedimientos son actualizados periódicamente. Si conocen los usuarios y personal adecuado las políticas. Controles Operacionales Análisis de riesgos, identificación del personal clave, conocimiento y entrenamiento de personal, efectiva administración de usuarios, registro de intrusos, planes de contingencia Controles Técnicos Identificación y autenticación, control de acceso , auditoria, detección de intrusos.
  • 16. 3. IDENTIFICAR Y ELABORAR LOS DOCUMENTOS DE DESVIACIONES ENCONTRADOS. Formatos resultantes del examen especial de Auditoría Auditoría de la Dirección de TI. ETAPA 3: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES. 1. ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE SITUACIONES DETECTADAS. 1.2 SEÑALAR LAS SITUACIONES ENCONTRADAS. 1.2.1 Ausencia de bitácora de Mesa de Ayuda Se verificó que no se actualiza la bitácora centralizada de las solicitudes de usuario que atiende el responsable de soporte. 1.2.2 Oportunidad de mejora sobre políticas de acceso en el controlador de dominio Windows Se verificó la existencia de cuentas con la contraseña igual al identificador de usuario en los sistemas de información. 1.2.3 Ausencia del Plan de Continuidad de Negocios y Plan de Recuperación de Desastres Se observó que la empresa cuenta con un esquema de alta disponibilidad que permite tolerancia a fallos en sus principales servidores, pero no cuenta con un Plan de Continuidad del Negocio y Recuperación de desastres que contemple los procedimientos de recuperación para todas las áreas críticas de la empresa. 1.2.4 Ausencia de Políticas de Seguridad de Información Se observó que la empresa no ha formalizado al y documentado sus políticas de seguridad al 100% de tal manera de garantizar la integridad, disponibilidad y confiabilidad de la información. 1.2.5 Inadecuada gestión de accesos a la plataforma tecnológica de la organización Se verificó que existe un documento formal relacionado a la gestión de accesos de usuarios. 1.2.6 Ausencia de procedimientos y controles de incidencias en la Red Se observó que no se cuenta con un control del equipamiento de red; así como un monitoreo permanente de las incidencias en la red.
  • 17. 2. ELABORAR EL DICTAMEN FINAL. 2.1 ANALIZAR LA INFORMACIÓN Y ELABORAR UN DOCUMENTO DE DESVIACIONES DETECTADAS. DOCUMENTO DE DESVIACIONES DETECTADAS. Contenidos fundamentales: Objetivos: Emitir los resultados de la auditoría de una manera clara para que se identifique con el cumplimiento exacto el auditado al leerlas tenga una orientación o guía para la toma de decisiones Comunicar al resto del equipo auditor los resultados para poder identificar las deficiencias y las posteriores acciones de seguimiento a establecer, Presentar un informe claro que sea útil cuando se revise fuera de la auditoría concreta. Estas notas por tanto tendrán que ser claras, exponer la situación y las causas del incumplimiento de forma que no lleven a malentendidos ni a confusiones o situaciones no deseadas Categorización de las desviaciones: Si el procedimiento de auditoría lo requiere, el auditor deberá categorizar las desviaciones encontradas. Para ello deberá acogerse a los criterios que la organización haya establecido, que pueden ser de muchos tipos. Sin embargo generalmente se realizan considerando aspectos como los siguientes Indican que el sistema falla Implican un riesgo importante en la calidad del producto/servicio Ausencia de, o falta de implantación efectiva de, uno o más elementos requeridos por el sistema. Grupo de no conformidades de la categoría siguiente que por su reincidencia indiquen una implantación inadecuada Deben solucionarse inmediatamente.
  • 18. 2.2. ELABORAR EL INFORME Y EL DICTAMEN FORMALES. DICTAMEN FORMALES En este dictamen se tiene que analizar cuestiones siguientes, que afectan tanto al proceso de asignación de usuarios y contraseñas e información. Primer lugar l alcance del dictamen supone el estudio de la competencia de la tecnología de la información y el estudio de la habilidad para guardar información y hacer cumplir con los procedimiento de y las normas establecidas por la empresa y acatarlas como indica dicha documentación. en segundo lugar corresponde tratar los aspectos relativos a la observación de los requisitos y la exigencias establecidas en los proceso de auditoría de sistemas de información encargada de la organización, procedimientos y los regañes establecidos por la administración. Las normas que desarrollan y al resto del ordenamiento. Esto último conlleva, necesariamente, un análisis detallado del marco normativo en que se encuadra la disposición del proyecto.
  • 19. 3. PRESENTAR EL INFORME DE AUDITORÍA.  LA CARTA DE PRESENTACIÓN. R & R COMPUTER WORLD.NET E.IR.L. Ciro Alegría 550, Piso 2 Trujillo, Perú Tel: 044-211720 www.R&Rcomputer.com.pe R & R COMPUTER WORLD.NET E.I.R.L 23 de Febrero de 2014 Empresa Agroindustrial Danper Carretera industrial s/n - Moche La Libertad, Trujillo Perú Atención: Sr. Eduardo Gorriti Lozano Analista de Se
  • We Need Your Support
    Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

    Thanks to everyone for your continued support.

    No, Thanks