8 de mayo de 2014

Licenciado
Gerson Azcona

Estimado señor:

Para su conocimiento y fines consiguientes, se le remite el Informe final  de auditoría “Departamento de soporte técnico de redes y seguridad”, correspondiente al Plan de Trabajo 2014 de la Sección de Auditoría de Tecnología de Información a mi cargo, realizado por Nelson David Recio Auditor, planteando de estudio exhaustivo y profesional de los factores que pueden estar interactuando y influyendo en la operaciones de la empresa auditada, nuestro análisis auditivo es con cuyo fin de brindar una asesoría y recomendación que puedan dar resultados óptimos.

Cabe resaltar que nuestra responsabilidad es de expresar una “opinión” respecto de la seguridad de los Datos de Carácter Personal de la empresa y sobre la eficiencia de sus controles aplicados.

El análisis y el informe presentado por nuestro grupo de trabajo es acorde a los principios indicados en Cobit, normas ISO y respecto a las leyes vigentes.

Cordialmente

Ing. Nelson David Recio
Tabla de contenido
Introducción 1
Origen del estudio 1.1
Objetivo general 1.2
Alcance y naturaleza 1.3
Antecedentes 2
Resultados 3
Importancia de la auditoria de seguridad 3.1
        Proceso de la seguridad informática 3.2
        Proponer medidas para la identificación, autenticación 3.3
Conclusión 4
Recomendaciones 5



INTRODUCCION

El presente estudio corresponde con una evaluación parcial de la organización y gestión del área de soporte técnico y seguridad, que en esta oportunidad comprendió el Área departamento de soporte técnico redes y seguridad.

Con el propósito de comprobar la existencia de estos procedimientos de control y de verificar su correcta definición y aplicación, determinando la deficiencia que existan al respecto y los riesgos asociados a estas carencias de control.

1.1. Origen del estudio

Esta evaluación forma parte de la calificación final de la clase de auditoria de sistemas, de la carrera de Ingeniería de Sistema de la Universidad Adventista Dominicana.


1.2. Objetivo General


Comprender adecuadamente y evaluar la metodología seguida en el departamento soporte técnico, redes y seguridad, revisar el cumplimiento de estándares y normas de control interno en el desarrollo de aplicaciones y determina si se cumplen las norma de seguridad y control de cambios.

1.3. Alcance y Naturaleza

La naturaleza del estudio corresponde a una auditoría de soporte técnico y seguridad, con una fecha de corte al 7 de mayo de 2014 y comprendió, entre otras, las siguientes actividades:
 Análisis de los Estándares COBIT e TIC (ITGI, 2007a y 2007b), y mejores prácticas relacionadas con el  desarrollo y mantenimiento informático.

 Análisis del Departamento soporte técnico y seguridad.

Durante la ejecución de nuestro trabajo de auditoría se observaron el proceso, organización y relaciones del control OG1.

2.  ANTECEDENTES

Como requisito final de la clase de Auditoria de Sistema, se encargó la tarea de realizar una auditoría al departamento de soporte técnico, redes y seguridad de la Universidad Adventista Dominicana, dicha auditoria es la tarea final de dicha clase. Teniendo en cuenta que jamás se le había realizado  una evaluación de esta dimensión al departamento ya mencionado. La clase corresponde al 8vo semestre de la carrera ing. En sistemas de información correspondido entre Enero – Mayo 2014. Después de haber aprendido y analizado nuestro tema auditar procesaremos esos procesos para la elaboración del mismo.
En esta oportunidad se envía una carta al encargado y esta fue autorizada para la preparación de la Auditoria de la organización y gestión del departamento de soporte técnico, redes y seguridad

3. RESULTADOS

3.1 Importancia de la auditoria de seguridad.

La Protección y seguridad en el entorno tecnológico, para muchos la seguridad puede ser el área principal a auditar, y en realidad es que en muchas entidades se creó la función de auditoria informática para revisar la seguridad, si bien con el paso del tiempo del tiempo ha llegado a abarcar controles relacionados con los sistemas de información.

Si buscamos definiciones, la norma ISO 7498-2 ya indicaba que auditoria de la seguridad es: (una revisión y examen independientes respecto a los registro y actividades de un sistema a fin de verificar si los controles son adecuados para garantizar el cumplimiento con la política establecida y con los procedimientos operativos, para detectar problemas de seguridad y para recomendad posibles cambios en los controles, en la política y en los procedimientos).

3.2. Proceso de la seguridad informática

El proceso para la implementación de la administración de la seguridad de la información es complejo, y requiere de una serie de procesos integrados que devienen en la minimización de los riesgos y en el control apropiado de los recursos tecnológicos y de la información. Basados en  el ISO 17799.

La seguridad en Tecnología de Información deberá ser administrada de tal forma que las medidas de seguridad se encuentren en línea con los requerimientos del Poder Judicial.

Para ello, es preciso el desarrollo e implementación de un plan de seguridad de tecnología que considere:

1. Estrategia para la administración de los riesgos relacionados con Tecnología de Información.
2. Administración de la seguridad informática.
3. Respuesta a incidentes de seguridad.
4. Mantenimiento de la seguridad.
5. Infraestructura de seguridad.

Implementar una partición de funciones y compromisos que excluya la eventualidad de que un solo individuo resuelva un proceso crítico. Para eso, se deber asegurar asimismo que el personal lleve a cabo exclusivamente aquellos trabajos delegados para sus relativos puestos.

• Uso de sistemas de información.
• Entrada de datos.
• Operación de cómputo.
• Administración de redes.
• Administración de sistemas.
• Administración de seguridad.

3.3 Proponer medidas para la identificación, autentificación

El acceso y el uso de los recursos de deberán restringirse a través de los mecanismo adecuado de autentificación de usuarios con las reglas de acceso. Este  componente deberá evitar que personal no autorizado, a los sistemas (redes) obtengan acceso a los recursos de cómputo, Asimismo deberán implantar procedimientos para conservar la efectividad de los mecanismos de autentificación y acceso (por ejemplo, cambios periódicos de contraseñas o passwords).

4. CONCLUSIONES

La estructura organizativa del Departamento de soporte técnico, redes y seguridad  padece de una figura que formalmente se responsabilice por  la seguridad informática de los datos y activos.

No obstante, el informe pertinente mezcla dos percepciones distintas, que  son seguridad de la información y seguridad informática; por lo que se llegan a conclusiones erróneas, tales como que el encargado de la seguridad informática debería ubicarse fuera del alcance de cualquier personal que no esté calificado para transitar o penetrar por esa área.

Las Normas de Control Interno más bien pretenden fortalecer los procesos mediante la integración de los controles, de tal manera que corresponde al departamento de soporte técnico y redes la implementación de las medidas de seguridad informática, que merecen los varios activos tecnológicos, los procesos donde se utilizan y la información resultante.

En relación con los estándares y las mejores prácticas vigentes, la administración de la seguridad informática alcanza una serie de tareas complicadas, que probablemente merezcan la colaboración de más de un funcionario.

Por su parte, el departamento de soporte técnico y redes ha realizado importantes esfuerzos por mejorar la seguridad informática en la Institución, cuyas tareas más recientes se sintetizan en el oficio 423-I-2004.

5. RECOMENDACIONES

Al departamento de soporte técnico, redes y seguridad.

1. Implantar francamente y por escrito las funciones y actividades que debe desenvolver la unidad a cargo de la seguridad informática, de conformidad con los estándares actuales que rigen la materia.

2. Inspeccionar las actividades establecidas a la unidad responsable de la seguridad informática, vigilando que se elaboren primero las tareas que de aprobación con el análisis de riesgos resulten ser prioritarias.
3. Junto con la dirección de la organización buscar un lugar más cómodo y seguro para la protección de los activos tecnológico de dicha institución de forma prioritaria.