Scribd Logo
Carica

Benvenuto in Scribd!

  • Trabajo

    Caricato da

    Formación CDF
    83 visualizzazioni3 pagine
    Taller

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Taller

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    83 visualizzazioni3 pagine

    Trabajo

    Caricato da

    Formación CDF
    Taller

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 3

    ACTIVIDAD 3 – MÓDULO 2

    REDACCIÓN DE HALLAZGOS

    CASOS

    La organización “YING SEG INC, construye Sistemas de Control Electrónico según las
    especificaciones de los diseños de los clientes. Usted forma parte de un equipo de auditoria que
    revisa el Proceso de Gestión del SGSI (Control de documentos y registros) en este proceso se
    tiene establecido que los originales de la documentación del sistema operativo, matriz de riesgos,
    procedimientos operativos y contratos de mantenimiento de los equipos de la empresa deben
    estar en la sala de control de documentos. También se audita al proceso de Gestión del Talento
    Humano. Cuando se acerca a la sala de control de documentos, usted observa la puerta abierta,
    observa a los empleados de producción en la sala de control de documentos buscando unos
    planos de los diseños del control electrónico del proyecto “Gate Close II” en el archivo de
    documentos obsoletos. Usted solicita los registros de ingreso y evidencia que los empleados no
    están en la planilla de ingreso, además revisa los derechos asignados y ninguno tiene registro
    de asignación de ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el
    caso y ella indica que son personal de confianza y por lo tanto no deben cumplir con estos
    requisitos establecidos. Roberta se disculpa por el hecho de que el área parece desordenada,
    sin embargo, explica que estuvo de vacaciones por Navidad y Año Nuevo.

    Luego usted pregunta ¿Cómo se controla la documentación del sistema operativo? Roberta lo
    lleva al archivo que contiene dicha documentación; usted selecciona cinco (5) documentos para
    revisar, solicita el listado de documentos maestros y observa que los niveles de revisión de los
    documentos elegidos del archivo contra la lista maestra, todos salvo el Manual Uno tienen la
    versión correcta, este documento debe ser versión 2. Solicita la aprobación de la nueva versión
    y no se encuentra disponible, Roberta dice que cree que la versión del documento nuevo está
    entre los documentos pendientes. Usted solicita a Roberta el procedimiento de control de
    documentos establecido por la organización, ella confiesa que presto su copia a otra área de la
    organización, pero hay una copia del procedimiento enmarcada y fijada en la pared, junto a la
    puerta, para que todos la lean, usted observa que las fotocopias no están controladas. Adicional
    usted pregunta a Roberta ¿cómo se controla el listado maestro de documentos?; ella responde
    que este es un registro codificado F-LD-GSGSI-001 versión 2 e invoca una hoja electrónica en
    su computadora y muestra cómo registra los nuevos documentos que se reciben. Al indagar
    ¿Cómo se controla la entrada al sitio donde se encuentra este computador? Roberta responde
    que la puerta de la sala siempre está cerrada con llave, cuando ella no está.

    Luego solicita explicación de cómo se controlan y distribuyen los cambios de ingeniería, Roberta
    muestra el archivo maestro de informes de cambios de ingeniería, selecciona seis (6) y observa
    que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuyó los cambios y no
    hay acuse de recibo de quienes resultaron afectados, Roberta explica que falta personal y ha
    tenido que depender de la secretaria de ingeniería para pasar las copias a los trabajadores de
    producción y que la secretaria no le devuelve las hojas de acuses de recibo.

    Por otra parte, usted observa un estante con catálogos de varios distribuidores de electrónica,
    usted pregunta a Roberta si estos catálogos se encuentran controlados, ella responde que sólo
    se usan como referencia y nunca los sacan de la sala, dice además que los Ingenieros usan el
    catálogo de partes computarizado cuando necesitan publicar las especificaciones de las partes
    y como son tantos (los físicos) y muy poco se utilizan no se han incluido en el SGSI.

    Roberta lo lleva al proceso de gestión de talento humano, donde encuentran al director, Aníbal
    Ramírez usted se presenta y solicita donde están establecidas las competencias del personal,
    las funciones y responsabilidades en seguridad en la información, Aníbal entrega un archivo. En
    el archivo evidencia cumplimiento de selección de personal, términos y condiciones de la relación
    ACTIVIDAD 3 – MÓDULO 2
    REDACCIÓN DE HALLAZGOS

    laboral, conformidad con educación y formación en la seguridad en la información. Al solicitar


    cinco (5) hojas de vida al azar, también verifica el proceso disciplinario de algunos empleados y
    contratista, es conforme con los requisitos. Por último, revisa la devolución de activos y
    comunicación de la eliminación de derechos del personal que salió de la organización en los
    últimos ocho (8) meses y encuentra los registros pertinentes, Aníbal explica que a través de una
    interacción estrecha entre gerentes y empleados han evitado una descripción específica de
    perfiles de cargos, usted busca en el listado maestro de documentos y no hay existencia de la
    definición indicada por él. Al indagar con Aníbal sobre los contratos de trabajo de cuatro (4)
    cargos distintos. Aníbal explica que en estos se encuentran los controles adecuados, usted
    verifica la información y está de acuerdo, usted registra esta información en su lista de
    verificación. Agradece a Roberta y Aníbal; por último, regresa a la sala de reuniones privada
    para redactar el informe de auditoría.

    Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde: ¡LOS


    HECHOS, SOLO LOS HECHOS

    DESARROLLO

    AUDITORIAS DE SGSI: SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: A.11.2

    Hallazgos: Se observa la puerta abierta en la sala de control de documentos, esto afecta


    seguridad física (A.11.2), ya que no se cuenta con un control de acceso a los espacios.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI: SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: 18.1.3

    Hallazgos: Se observa la puerta abierta en la sala de control de documentos, esto afecta


    la protección de registros frente falsificación, modificación o acceso no autorizado.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: 7.5.3. b

    Hallazgos: Al no estar la información protegida adecuadamente, es decir se encuentra la


    puerta abierta, afecta el numeral 7.5.3.b., ya que se debe garantizar que la información
    esté protegida adecuadamente.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: 7.5.3. e

    Hallazgos: Frente al Manual Uno que no está en la versión correcta, esto afecta al
    numeral 7.5.3.e, ya que se debe realizar control de los cambios en la información
    documentada.
    ACTIVIDAD 3 – MÓDULO 2
    REDACCIÓN DE HALLAZGOS

    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: A.9.2

    Hallazgos: No hay un control de acceso a la sala de control de documentos, por lo tanto,


    es posible que cualquier funcionario o personal externo acceda a la información
    almacenada.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: A.13.2.1.

    Hallazgos: Teniendo en cuenta que dos (2) de los documentos de cambio de ingeniería
    no cuentan con las firmas de recibido, es importante revisar las políticas y procedimientos
    para transferencia de información, para que se tenga claridad de la importancia del
    procdimiento.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: A.18.2.2.

    Hallazgos: Teniendo en cuenta que dos (2) de los documentos de cambio de ingeniería
    no cuentan con las firmas de recibido, es responsabilidad de la persona encargada del
    área que se de cumplimiento a las políticas de seguridad.
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Proceso de Gestión del SGSI Estándar y Número de Elemento: 7.4.e

    Hallazgos: Teniendo en cuenta que dos (2) de los documentos de cambio de ingeniería
    no cuentan con las firmas de recibido, se debe revisar los procesos para llevar a cabo la
    comunicación, ya que es importante que todos en la organización conozcan el proceso a
    llevar para manejar un control de la comunicación
    Auditor: Gustavo Adolfo Rodríguez Alonso

    AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


    Proceso revisado: Gestión del talento humano Estándar y Número de Elemento: 7.2

    Hallazgos: No hay evidencias del control indicado por el área de talento humano frente a
    la descripción de perfiles del cargo
    Auditor: Gustavo Adolfo Rodríguez Alonso

    Potrebbero piacerti anche