Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. DATOS GENERALES
TRABAJO APLICATIVO
INTEGRANTES: DE LA CRUZ MEDINA, JHONY.(fajony@yahoo.co m) CHAVEZ CONTRERAS, LILIANA. ARROYO RODRIGUEZ ZARELA. TORRES VARGAS, DEIVHY. CARRANZA RIOS, LIZ KARINA. ROSELL ALCANTARA, LESLEE. 1
1.3. ORGANIGRAMA
1.4. LUGAR GEOGRAFICO DE LA EMPRESA Departamento: Cajamarca. Provincia: Hualgayoc. Distrito: Hualgayoc.
II.
IDENTIFICACIOND E OBJETOS AUDITABLES OBJETO AUDITABLE: PROCESO DE BACKUP DE LAS BASE DE DATOS DE LAS APLICACIONES DE LA EMPRESA GOLDFIELDS 2.1. MOTIVOS DE LA AUDITORIA 2.1.1. Reportar el estado de la organizacin a la bolsa de valores para mantener el valor accionario. 2.1.2. Cumplir con las normas de internaciones de SOX(Ley Sarbanes Oxley) 2.1.3. Tener disponibilidad de la informacin para mantener la continuidad de negocio. 2.2. TITULO DE LA AUDITORIA APLICABLE EVALUACION AL PROCESO DE BACKUP.
III.
MARCO NORMATIVO REFERENCIAL APLICABLE 3.1. NORMATIVA INSTITUCIONAL 3.1.1. Procedimiento de backup v.16.0 3.1.2. Procedimiento de acceso a la red v5.0 3.1.3. Procedimiento de cambio en aplicaciones v.6.0 3.1.4. Procedimiento de cambio en infraestructura v.3.0
Descripcin: Es el proceso en el cual est involucrada todo el proceso de la compaa la cual es respaldada atreves de equipos y cintas de back up y es resguardada en un site en el centro de cmputo. 4.2. CRITERIOS DE SELECCIN: Por qu el proceso 3.1.1. es un proceso clave en el negocio y el segundo proceso 3.1.2 es un proceso clave de IT 4.3. CLASIFICACION DE ACTIVOS 4.3.1. MATRIZ DE CLASIFICACION PROCESO: PRODUCCION DE CONCENTRADO
CLASE DE ACTIVO
ENTORNO DE TI
NOMBRE ACTIVO Centro de datos Servidores Red wireless de op. Equipos de cmputo de procesos (desktop, laptop ) Equipos gps de alta precisin
CLASIFICACION 5 5 5 3
5 5 5 5 3
TANGIBLE
INFRAESTRUCTURA FISICA
Equipos de gps convencional Equipo monitor en unidades mviles Centro de monitoreo Servicio de comuniaciones, (internet, telefonia)
SERVICIO DE IT
INFRAESTRUCTURA BASICA
5 5
3 3 3 3
PROCESO: EJECUCION DE BACKUP CLASE DE ACTIVO ENTORNO DE TI NOMBRE ACTIVO CENTRO DE DATOS CLASIFICACION 5
TANGIBLE
INFRAESTRUCTURA FISICA
SERVIDORES
EQUIPOS DE BACKUP ) CINTAS E BACKUP Servicio de COMUNIACIONES, (INTERNET, TELEFONIA) Servicio de DNS Base de datos
3 5 3
5 5
4.4.1. MATRIZ DE DESCUBRIMIENTO CODIGO s01 s02 s03 s04 s05 s06 s07 s08 s09 s10 s11 s12 s13 s14 s15 s16 s17 AMENAZAS Descarga Electrica Derrumbe Fluctuacin Elctrica. Fallo de aire acondicionado Fallo de UPS Accidentes del Personal Hackeo Problemas Sociales Retraso en la entrega de suministros Capacidad inadecuada de las comunicaciones Manipulacin de aplicaciones. Robo/perdida Condiciones Ambientales Fraude y Suplantaciones Virus, gusanos, etc Divulgacion de Informacion Perdida de confidencialidad.
4.5. DESCUBRIR VULNERABILIDADES CODIGO s01 s02 s03 s04 s05 s06 s07 s08 s09 s10 s11 s12 s13 s14 s15 s16 s17 s18 s19 s20 s21 CLASE Fsica Software y Hardware Humana Humana Humana Humana Humana Fisica Humana Fisica Humana Humana Fsica Fisica Fisica Humana Humana Humana Fisica Humana Software y Hardware VULNERABILIDADES Sistemas para rayos Carencia de control de acceso a la red Ausencia de plan de recuperacin y continuidad. Falta de sensibilidad del personal en el uso de recursos y servicios de TI. Polticas de firewall inadecuadas Descarga incontrolada y uso de aplicaciones. El acceso al datacenter es mecnico Falta de seguridad en los puertos USB de los computadores Falta de reforzamiento de las polticas de seguridad Proteccion fsica de equipos inadecuadamente. Ausencia de un sistema de extincion automatica contra fuegos. Falta de control en la salida de equipo de computo No hay controles criptograficos El sistema de radios es un sistema abierto carencia de grupo electrogeno dedicado a TI No hay plan de continuidad Baja capacidad de desempeo de los colaboradores Cableado inapropiado No posser un stock actualizado de partes de equipos Ausencia de mantenimiento de equipos Licencias de las aplicaciones no actualizadas
NIVEL DE AFECTACION AL ACTIVO BAJA ALTA MEDIA BAJA Facilidad de explotacin 2 2 2 2 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 3 2 Nivel de afectacin al activo 3 3 1 3 3 2 2 2 2 2 2 2 2 2 2 2 3 3 2 3 2 Valoracin de la vulnerabilidad 2 3 1 2 3 2 2 2 2 2 2 2 2 2 2 2 3 3 1 3 2 MEDIA ALTA
Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. El acceso al datacenter es mecanico. Construccion de data center en plataforma rocosa Carencia de grupo electrogeno dedicado a TI. Falta de seguridad en los puertos USB de los computadores. Falta de reforzamiento de las politicas de seguridad. Falta de control de la salida de equipo de computo. No hay plan de continuidad de negocios.
El sistema de radios es un sistema abierto. No posser un stock actualizado de partes de equipos. Posible incumplimineto del proveedor por un servicio. Asuencia de plan de recuperacion y continuidad. Falta de sensibilidad del personal en el uso de recursos y servicios de TI. Politicas de firewall inadecuadas Descarga incontrolada y uso de aplicaciones. Proteccion fisica de equipos inadecuadamente.
2 2 2 2 2 2 2 2 2 2 2 2 3 2 2 2
2 2 2 2 2 2 2 2 2 2 3 2 3 2 2 2 2
2 2 2 2 2 2 2 2 2 2 3 1 3 2 2 2 2
Contar con infraestructura deteriorada. 2 4.6.2. VALORACION DE LA AMENAZA CRITERIOS DE EVALUACION AMENAZA DEL ACTIVO FACILIDAD DE EXPLOTACION
ALTA
AMENAZAS Descarga Electrica Derrumbe Fluctuacion Electrica. Fallo de aire acondicionado Fallo de UPS Accidentes del Personal
10
11
4.6.3.
ANALISIS DE LA PROBABILIDAD
CRITERIOS DE EVALUACION
Amenzas Descarga Electrica Infiltracion a la red acceso de personal no autorizado Derrumbe indisponibilidad de Servicio infiltration de virus desconocimiento de las poliitcas prdida o robo de equipos falta de reaccion ante un desastre la informacin critica puede ser intervenida
Probabilidad 3 2 2 2 2 2 2 2 2 2
12
fuga de informacion involuntaria falta de reacccion ante una parte malograda Incumplimiento de SLA, servicio indisponibilida de servicio Incuplimiento de politicas filtrado de agentes extraos saturacion de red infiltracion de virus robo o perdida de equipos deterioro de equipo asignado incendio de equipos de computo perdida o robo de equipos la informacion critica puede ser intervenida Fuga de informacion intercepcion de la comunicacin indisponibilida de servicio Incumplimiento de las polilticas de seguridad cables sueltos demora en el reemplazo de partes equipo indisponible al usuario falla de equipos incumplimiento con normas legales falta de disponibilidad de recuperacion de informacion
1 1 1 1 1 1 1 1 1 1 1 1 1 2 1 1 1 1 2 1 1
3 3 3 3 2 3 2 3 3 3 1 3 3 2 2 1 1 3 3 2 3 1
2 2 2 2 2 1 1 2 2 2 1 2 2 2 2 1 1 1 2 2 2 2 1
13
ID Nombre de activo s01 s01 Centro de datos centro s03 de datos centro de datos s03 Equipos de computo s04 de procesos s06 Personal s07 s08 s10 Sistema Operativo
Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. El acceso al datacenter es mecanico. Construccion de data center en plataforma rocosa Carencia de grupo electrogeno dedicado a TI. Falta de seguridad en los puertos USB de los computadores. Falta de reforzamiento de las politicas de seguridad. Falta de control de la salida de equipo de computo. No hay plan de continuidad de negocios. No hay controles criptograficos.
Amenzas Descarga Electrica Infiltracion a la red acceso de personal no autorizado derrumbe indisponibilidad de servicio infiltracion de virus desconocimiento de las poliitcas perdida o robo de equipos falta de reaccion ante un desastre la informacion critica puede ser interveni-
RIESGO 3 2 1 1 2 1 1 2 3 1
14
fuga de informacion involuntaria falta de reacccion ante una parte malograda Incumplimiento de SLA, servicio indisponibilida de servicio Incuplimiento de politicas filtrado de agentes extraos saturacion de red infiltracion de virus robo o perdida de equipos deterioro de equipo asignado incendio de equipos de computo perdida o robo de equipos la informacion critica puede ser intervenida Fuga de informacion intercepcion de la comunicacin indisponibilida de servicio
2 2 2 2 2 1 1 2 2 1 1 2 2 2 2 1
3 2 2 3 1 1 2 3 2 2 3 2 3 3 2 3
3 2 2 3 1 1 1 3 2 1 2 2 3 3 2 2
15
s16 s17 s18 s19 s30 s31 s33 s33 s34 s36 s37 s39
1 1 2 2 2 2 1 2 2 2 1 2 2 1
2 1 2 2 3 3 2 2 2 2 2 1 2 2
1 1 2 2 3 3 1 2 2 2 1 1 2 1
16
s14
No posser un stock actualizado de partes de equipos. Posible incumplimineto del proveedor por un servicio.
s16 s10
Proteccion fisica de equipos inadecuadamente. Equipos de computo de Servidores Equipos de computo de Servidores Ausencia de un sistema de extincion automatica contra fuegos. Falta de control en la salida de equipo de computo
s11 s11
17
No posser un stock actualizado de partes de equipos s19 s30 Ausencia de mantenimiento de equipos Licencias de las aplicaciones no actualizadas
s33 s33 s37 Equipos ubicados en ambientes inadecuados. Procesos no documentados. Pruebas de Restauracin. 4.6.7. MATRIZ DE MEDIDA O SEGURIDAD A APLICAR ID Nombre de activo s01 s01 Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. Amenazas Descarga Elctrica Infiltracin a la red
deterioro del equipo perdida del equipo falta de reaccin ante un incidente falta de reaccin ante un incidente
RIESGO
Centro de datos centro de datos centro de datos Carencia de grupo electrgeno dedicado a s03 TI. Falta de control de la salida de equipo de s07 computo.
CONTROLES Mantenimiento semestral del sistema de para 3 rayos. 2 Permisos de usuarios 2 Control de registro de equipos para acceso a la red 2 adquisicin o instalacin de grupo electrgeno 2 Control de activos para todo el personal
18
s13
s14
s16 s10
19
s11 s11
2 Mantenimiento del sistema contra incendios. 2 Control de activos para todo el personal 2 Registro de ingreso y salida de equipos Instalacin de alarma de seguridad cuando las ofi2 cinas estn sin personal 2 Identificacin de zonas de acceso restringido Distribucin y uso de cadenas de seguridad de los 2 equipos 3 Implementacin de controles criptogrficos. 3 Instalacin de un sistema SFTP 3 encriptacin de data critica 2 Cifrado o encriptacin de COMUNICACIN implementacin o instalacin del grupo electr2 geno. 2 inventarios actualizados semanalmente Mantener una reserva en almacenes con las partes 2 criticas 2 inventarios actualizados semanalmente Mantener una reserva en IT de equipos de prsta2 mo 3 Plan de abastecimiento y mantenimiento. Mantener una reserva en IT de equipos de prsta3 mo
s13 No hay controles criptogrficos s13 s14 s18 El sistema de radios es un sistema abierto carencia de grupo electrgeno dedicado a TI
la informacin critica puede ser intervenida Fuga de informacin intercepcin de la comunicacin indisponibilidad de servicio demora en el reemplazo de partes
s19
falla de equipos
20
s30
s33
s33 s37
deterioro del equipo perdida del equipo falta de reaccion ante un incidente falta de reaccion ante un incidente
3 inventario y compra de licencias. 3 Inventario de software de la compaa delimitar la clave de administrador local de los 3 equipos 3 escaneo de software 2 Aplicar normas tecnicas de ubicacin 2 Aplicar normas tecnicas de ubicacin Documentacion, control y actualizacion de los pro2 cesos de la empresa. Ejecucion semestral de los procesos criticos de la 2 empresa
21
V.
PLAN DE AUDITORIA 5.1. OBJETIVO GENERAL Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles en respaldo de informacin, conociendo la situacin actual del rea de IT y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. 5.2. OBJETIVOS ESPECIFICOS 5.2.1. Mejorar la seguridad de datos, infraestructura, software e instalaciones de IT 5.2.2. Apoyar al cumplimiento de las metas y objetivos de la organizacin, a travs del cumplimiento de los objetivos de IT. 5.2.3. Garantizar la seguridad, utilidad, confianza, privacidad y disponibilidad en el data center. 5.2.4. Minimizar existencias de riesgos en el uso de Tecnologa de informacin 5.2.5. Minimizar los gastos generados por interrupciones en el servicio e indisponibilidad de la informacin. 5.2.6. Capacitar y concientizar sobre controles en los Sistemas de Informacin 5.3. ALINEAMIENTO DE LA AUDITORIA A LA ESTRATEGIA DEL NEGOCIO ESTRATEGIA Excelencia operacional Reportar auditorias de SOX sin observaciones detectadas, a fin d que no afecte el valor accionario en la bolsa de valor ALINEAMIENTO Resultado del informe de auditora POSITIVO, con respecto al proceso de backup, elevara el valor del rea de IT El proceso de backup ayudar a cumplir las normas de SOX
5.4. ALCANCE La auditora en ejecucin est programada a ejecutarse en el periodo del 16 de Marzo del 2013 al 16 de Abril 2013, teniendo como objetivo Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles en procesos de respaldo de informacin, conociendo la situacin actual del rea de IT y las actividades y esfuerzos necesarios para lograr los objetivos propuestos, y como marco normativo los procedimiento internos de IT de la compaa 5.5. ACLARACIONES LO QUE SE HAR 1. La auditora verificar el cumplimiento de la gestin y de las polticas respecto al proceso
2. La auditora brindar recomendaciones y propuestas de mejora para el proceso. 3. Verifica planes de mantenimiento de la infraestructura 4. Verificara si hay planes de continuidad de negocios y de contingencia. 5. Verificara la existencia de planes de restauracin de backup. Y LO QUE NO SE HAR 1. 2. 3. 4. 5. 6. 5.6. LIMITACIONES Horarios de trabajo Lugares dela auditoria La auditora no ejecutar procedimientos de mejora. No cambiar estructuras organizacionales. No cambiar MOF y Roles y Responsabilidades. No modifica presupuestos ni costos. No ejecutar el mantenimiento de equipos ni de software. No aplicar sanciones.
5.7. PERFIL DEL EQUIPO DE AUDITORIA El equipo de trabajo auditor, debe cumplir con: CARACTERISTICAS PROFESIONALES 1. 2. 3. 4. 5. 6. Profesionales en ingeniera de Sistemas y relacionadas Ser titulado, colegiado y acreditado Tener experiencia en el rubro de la auditoria Contar con una opinin profesional y defenderla Emitir un dictamen con firma profesional. Contar con apoyo didctico y normativo vigente.
CARACTERISTICAS ETICAS 1. 2. 3. 4. 5. Rol Jefe del equipo auditor Ser incorruptible e insobornable. Ser imparcial en los juicios que emite como auditor. Contar con un juicio sereno, tico y moral. Normas de comportamiento tico-moral Norma de carcter social Perfil Profesional en Sistemas de Informacin Vigencia de certificacin Internacional de Auditoria.
Reconocida experiencia en el manejo de temas de auditoria y de gestin. Amplitud de criterios y amplio conocimiento de contexto. Poseer condiciones personales que le permitan encarar eficientemente su tarea. Conocimientos especficos en : - Seguridad fsica aplicada a centro de procesamiento de datos. - Seguridad lgica. Especialista en sistemas de respaldo, arquitectura de sistemas backup, administracin de servidores. Conocimientos especficos en : - Seguridad fsica aplicada a centro de procesamiento de datos. - Seguridad lgica.
Asistente de auditoria
Capacidad tcnica Experiencia en respaldo de la informacin. Conocimiento de normas tcnicas aplicadas al respaldo de la informacin.
Nombre Liliana Chvez Contreras Jhonny De La Cruz Medina Deivhy Torres Vargas Leslee Rosell Alcntara Zarela Arroyo Rodrguez Liz Carranza Ros
Asistente de auditoria
5.9. LISTA DE PERSONAS A ENTREVISTAR Los involucrados directos a entrevistar son aquellos skateholders que forman parte del proceso del respaldo de la informacin, siendo administradores directos o clientes del mismo. A continuacin el detalle:
CARGO GERENTE DE TI. ADMINISTRADOR DE SERVIDORES. ASISTENTE ADMINISTRATIVO. OPERADOR LOGSTICO. GERENTE DE PROCESOS. ADMINISTRADOR DEL SISTEMA DE PROCESOS. PLAN DE PROYECTO Plan de proyecto de auditoria PLAN DE ENTREGABLES
NOMBRE Juan Buhytrn. Francisco Monteverde. Pedro Perez. Mara Linares. Fernando Valera Jorge Zapata
5.10. 5.11.
5.12.
Plan de entregables PRUEBAS DE CUMPLIMIENTO Para poder evidenciar el cumplimiento de los procedimientos de control se tomara en cuenta: Logs de cambios en infraestructura y aplicaciones: servir para obtener una muestra de cualquier cambio en el periodo de la evaluacin y solicitar la documentacin que avale el proceso. Logs de accesos a informacin: se este se obtendr una muestra de solicitudes de acceso a recursos compartidos y ver si estaba debidamente aprobados Log de altas de usuario: con esto podemos solicitar un formato al azar para poder validar el proceso de creacin de cuenta y si se alinea al procedimiento. Log de bajas de usuario: con el este log podemos determinar una muestra y validar si se establece el procedimiento descrito de remover todos los accesos, se solicitara pantallas del active directory y de las aplicaciones para validar que el usuario cesado este deshabilitado. Formatos de backup semanal y mensual, este servir para evidenciar si diariamente se est ejecutando los procesos de backup satisfactorio y si se toma acciones para remediar errores. Logs de entrega de cintas, servir para revisar al azar los formatos usados para entregar y remover cintas del almacn donde se las guarda.
Logs de acceso a datacenter, con esto podemos validar que todos los accesos al datacenter est debidamente aprobados por el rea de IT. Ejecucin de scripts a nivel de base de datos para validar quienes tienen privilegios de administrador, y poder evidenciar si todos estn debidamente aprobados. Revisin del AD para validar que no se estn usando cuantas genricas. Revisin de logs de aplicaciones para validar que las personas usen el aplicativo desde sus propios terminales y que no se estn compartiendo contraseas. 5.13. PRUEBAS SUSTANTIVAS La prueba sustantiva que se aplica es: 1. Utilizacin de la herramienta ACE, el cual sirve para extraer informacin de SAP que es la extraccin de tablas del sistema y esta informacin contrarrestar con las impresiones de balances y libros contables. 2. Extraer tablas claves de SAP concentrado para poder validar con la informacin manual que se tiene registrado, y con la informacin que est en los sistemas DELTA V y PI SYSTEM y los datos de la balanza. 5.14. TECNICAS Y HERRAMIENTAS Tcnicas: Entrevistas Observacin Anlisis documentar Herramientas: ACE DUMPSEC Cmara de fotos Libreta de campo Pcs Impresoras tiles de escritorio Software de testeo de red Software de testeo de antivirus. CONTROL DE CAMBIOS Los posibles cambios que se pueden presentar son: Cambio de personal delegado para atender a la auditoria Cambio de personal a entrevistar. Indisponibilidad de personal a entrevistar segn el cronograma Indisponibilidad de un personal del equipo de Auditoria
5.15.
5.15.1. Procedimiento de control de cambios Cambio de personal delegado para atender a la auditoria: EL equipo auditor identificara las causas de la indisposicin del personal delegado a atender la auditoria basada en lo informado por Goldfields.
El equipo auditor evaluara el impacto de esta indisposicin del personal indicado. De acuerdo a la evaluacin el equipo auditor re programara el cronograma de auditoria comunicara de esto a Goldfields. Indisponibilidad de personal a entrevistar segn el cronograma El responsable de ejecutar la entrevista deber dejar constatado que se comunic y se coordin la entrevista. El responsable de ejecutar la entrevista deber obtener una nueva fecha de la ejecucin de la entrevista. El Equipo de auditoria evaluara el impacto en el desarrollo de la auditoria y analizara la factibilidad de reprogramar la entrevista. Segn la evaluacin de impacto se aceptara la fecha comunicada o propondr una nueva fecha de la actividad. Sera actualizado en el cronograma del plan de auditoria.
Indisponibilidad de un personal del equipo de Auditoria El lder del equipo de auditoria evaluara el grado de severidad e impacto que causara la indisposicin del miembro del equipo en el desarrollo de la auditoria. El lder del equipo analizara si las actividades del personal indispuesto pueden ser cubiertas sin afectar cronograma o se tendra que modificar este. De acuerdo a la evaluacin se determinara la continuacin de la auditoria de acuerdo al cronograma establecido o la reprogramacin de este con las modificaciones necesarias.
Cambio de personal a entrevistar: El responsable de ejecutar la entrevista, debe identificar las razones que originan el cambio de la persona a entrevistar. El responsable de ejecutar la entrevista, reporta al jefe de equipo de auditora las razones que originan el cambio. El jefe de equipo evala con el personal responsable de la actividad el impacto del cambio en el proyecto. De no tener mayor impacto, el jefe de equipo de auditora autoriza el cambio de personal entrevistado y de ser necesario reprograma la actividad. Si el impacto es considerable, el jefe de equipo de auditora deniega el cambio y lo registrar como una limitacin al desarrollo de auditora. 5.15.2. Gua de formatos de control de cambios
Objetivo: Describir los campos que conforman el formato cambio del pe rsonal entrevistado, siendo este el material de consulta para un correcto registro de la informacin requerida.
Fecha de reporte de no disponibilidad de personal: Representa la fecha en que se recibe comunicado de la indisponibilidad de la persona. Motivo: describe el detalle, motivo, causa por el cual se tiene la indisposicin del personal designado. Cliente solicita reprogramacin: Se registra nombre de persona que solicita reprogramacin de auditoria. Cambio autorizado: Indica si el cambio es autorizado o rechazado (Marcar con una aspa las casillas SI o No). Fecha de actividad reprogramada: Asignacin de nueva fecha para la realizacin de la actividad.
Objetivo: Describir los campos que conforman el formato indisponibilidad del personal a entrevistar siendo este el material de consulta para un correcto registro.
Fecha programada de la entrevista: Representa la fecha original en que se program la entrevista. Actividad: Se registrara el nombre de la actividad programada. Entrevistado Programado: En este campo se registra el nombre de la persona que inicialmente se program a ser entrevistado. Motivo: Describe el motivo que origina la indisponibilidad del personal a entrevistar. Cambio autorizado: Indica si el cambio es autorizado o rechazado (marcar con una aspa la casilla SI o No). Fecha de actividad reprogramada: En caso de aceptarse el cambo se propone nueva fecha para entrevista.
Objetivo: Describir los campos que conforman el formato Indisponibilidad de un personal del equipo de auditoria, siendo este material de consulta para un correcto registro de la informacin requerida.
Fecha programada de la actividad: Representa la fecha original que se program la actividad. Actividad: Registra el nombre de la actividad programada.
Personal del equipo de auditoria: Registra el nombre de la persona que fue asignado para la auditoria. Motivo: Detalla motivo que origina el cambio de la persona a entrevistar. Cambio autorizado: Indica si se realizara un cambio de miembro de equipo indicar Si o No con una aspa. Actividad modificada: Indicara si se modifica la personal en el equipo auditor o se continuara con el equipo sin el miembro faltante.
VI.
EJECUCION DE LA AUDITORIA Dentro del proceso de Auditoria podremos identificar procesos con las siguientes calificaciones: Efectivo Parcialmente Efectivo
VII.
VIII.
Tabla No 01 Calificacin del Proceso de auditoria Criterios Participacin activa en la auditoria Nivel percibido del equipo auditor Puntualidad del equipo auditor Conclusiones reflejan la situacin real Equipo auditor acepta recomendaciones, SI NO ALTO MEDIO BAJO SI NO SI NO SI
JEA X X
AE X X
AA X X
X X X
X X X
X X X
apelaciones Informe emitido cumple expectativas Leyenda: JEA: JEFE DE REA AE: AUDITOR EXTERNO AA: ASISTENTE DE AREA
IX. CONCLUSIONES DEL PROCESO DE AUDITORA
NO SI NO
a. Mediante el anlisis realizado a la compaa GoldFields, concluimos que posee slidos controles que verifican el trabajo realizado en el rea de TI, as como a todos los procesos que afecta. b. Al intentar dar algunas sugerencias y mejorar los tems de seguridad de datos, infraestructura, software e instalaciones de TI observamos que todo se controla correctamente y la forma de trabajarlos es la idnea. c. Al finalizar este informe, los objetivos de TI se llevan cumpliendo de forma ordenada y adecuada. Es importante resaltar esto pues de esta manera se apoyan de forma correcta el cumplimiento de las metas de la organizacin. d. A nivel de conectividad de redes y TI, el datacenter principal funciona correctamente y est controlado por el personal idneo y capacitado. Con este informe buscamos adems, mejorar las polticas que estn actualmente vigentes y as incrementar el nivel de confiabilidad y funcionamiento. e. La cantidad de riesgos mostrados y evaluados son proporcionales a la cantidad de controles observados, es decir que se tiene una correcta evaluacin de lo que puede suceder vs lo que se puede hacer. f. Queda evidenciado que las capacitaciones que se dan sobre los controles en los Sistemas de Informacin es global y siempre va dirigido a todo el personal, no solo al rea de TI.
X.
RECOMENDACIONES DEL PROCESO DE AUDITORA a. Se recomienda la mejora continua de los procesos y controles auditados, que aunque en la actualidad trabajen correctamente, es necesario recalcar que estos deben ser analizados constantemente para evaluarlos y mejorar su funcionamiento. b. Recomendamos adems utilizar este informe como una herramienta de apoyo para contrastar la gestin realizada actualmente vs lo planeado en un futuro. c. Se recomienda tambin que la capacitacin sea constante a todo el personal de la organizacin en el tema de seguridad de informacin, pues si bien existen muchos controles validados, no podemos nunca descartar el error humano.
d. Finalmente queremos recalcar el tema de la capacitacin, pero esta vez al personal involucrado directamente con T.I, desde el gerente de rea hasta el personal tcnico. XI. BIBLIOGRAFA
Alzate, A. T. (2001). Auditora de Sistemas - Una visin prctica. Colombia: Centro de publicaciones - Universidad Nacional de Colombia. Carvajal, A. (s.f.). ACIS. Recuperado el 20 de Marzo de 2013, de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/17ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf ISSA. (s.f.). SGSI en Per. Recuperado el 21 de Marzo de 2013, de http://issaperu.org/?p=94 Pickett, K. S. (2000). The essential handbook of internal auditing. Barcelona: Wiley & Sons Ltd. Razo, C. M. (2005). Auditora en Sistemas Computacionales. Mexico: Pearson Edaction. sgsi-iso27001. (s.f.). sgsi-iso27001. Recuperado el 21 de Marzo de 2013, de http://sgsiiso27001.blogspot.com/2006/07/gua-para-la-implementacin-de-un-sgsi.html
IX.
ANEXOS