informes previos de auditoria de procesos de la empresa
CH Auditoría Consultores S.A
DS 11 Administración de datos
Hallazgos:
· Los datos no se procesan de manera precisa y a tiempo, además los resultados se no se entregan de acuerdo a los requerimientos
· No existen procedimientos para el almacenamiento que cumplan con las políticas de la organización y requerimientos regulatorios
· No poseen un medio de inventario de los archivos almacenados los cuales garanticen el acceso a los mismos
· No existen políticas de eliminación de archivos software y hardware
· No existen políticas para el respaldo de sistemas, aplicaciones y datos alineados con el plan de continuidad y requerimientos del negocio
· no consideran un plan de seguridad para la administración de datos
Recomendaciones:
· Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los requerimientos del negocio.
· Definir e implementar procedimientos para el archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la política de seguridad de la organización y los requerimientos regulatorios.
· Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para asegurar su usabilidad e integridad
· Definir e implementar procedimientos para asegurar que los requerimientos de negocio para la protección de datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware
· Respaldo y Restauración Definir e implementar procedimientos de respaldo y restauración de los sistemas, aplicaciones, datos y documentación en línea con los requerimientos de negocio y el plan de continuidad.
· Definir e implementar las políticas y procedimientos para identificar y aplicar los requerimientos de seguridad aplicables al recibo, procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas de seguridad de la organización y requerimientos regulatorios.
DS5 Garantizar la seguridad de los sistemas
Hallazgos:
· La administración de la seguridad se realiza de manera alineada con los requerimientos del negocio, para esto se establecieron proceso que incluyen el establecimiento y mantenimiento de roles, responsabilidades de seguridad, políticas y estándares.
· Los requerimientos del negocio se tienen contemplados y se tiene un plan de seguridad que busca minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
· El plan de seguridad está enmarcado en la infraestructura de TI y cultura de seguridad.
· Existe un plan de comunicación de políticas y procedimientos de seguridad para los interesados y usuarios, este plan se encuentra en el marco del plan general de administración de seguridad.
· No se tiene aun los controles de autenticación de usuarios, pero se está trabajando para establecerlos.
· Las necesidades de acceso están alineadas con las necesidades del negocio y además están documentadas.
· La creación de accesos siguen un procedimiento que es aprobado por los responsables del sistema y los encargados de seguridad, además se complementan con normas de seguridad sobre dónde y en qué momentos se pueden acceder los diferentes sistemas.
· Las actualizaciones de los accesos y normas de autenticación se realizan cada 6 meses y se comportan dentro del presupuesto. Además están establecidos los procedimientos para solicitud, eliminación, actualización y modificación de cuentas de usuarios.
· La revisión de cuentas y privilegios de los sistemas solo se realiza cuando se realiza el estudio para generar las autorizaciones.
· Se realizan monitoreos de seguridad y pruebas periódicas así como también se realizan acciones correctivas sobre las debilidades o incidentes de seguridad identificados, sin embargo no se hace referencia a la documentación de dichos monitoreos y correcciones.
· La tecnología asociada a la seguridad y acceso al sistema es adquirida con el fin de evitar sabotajes y otras falencias de seguridad, además el equipo auditado constata que las políticas son comunicadas a cada uno de los trabajadores y usuarios por medio de reuniones y mensajes.
· Se poseen controles contra software malicioso.
· Se toman todas las medidas necesarias para controlar los ambientes físicos y de comunicación como redes de datos y se ponen a cargo de personal calificado.
Recomendaciones:
· Los controles de autenticación de usuarios son primordiales para la empresa pues garantizan la integridad de la información y de los sistemas, ya que se encuentran desarrollando dichos controles, es aconsejable que establezcan los lineamientos y estrategias de seguridad en base a las necesidades del negocio y que consideren en caso de ser necesario adquirir nuevos equipos de detección y acceso como equipos biométricos. Todos los controles de autenticación deben generar los registros necesarios y estar acordes con el presupuesto aprobado.
· La revisión de cuentas y privilegios se debe hacer de manera periódica porque los cambios que haga el encargado de seguridad no generan tantos inconvenientes como los que ocurren por agentes externos. Según las necesidades de la empresa se recomienda que el plan de revisión de cuentas este hecho para cada mes y se generen informes para los encargados de sistemas y auditoría interna.
· Se deben establecer claramente los formatos para el monitoreo de la seguridad y para reportar errores, actualizaciones y demás cambios, adiciones o eliminación de documentos, cuentas u otros relacionados con seguridad.