Sei sulla pagina 1di 14

EMPRESA:Centro Cuesta Nacional (CCN) AUDITOR: PLAN DE AUDITORIA DE BASE DE DATOS

PERIODO: 13 de octubre. Al 4 Dic. Del 2009. REA AUDITADA: Departamento de IT.

Objetivos De La Auditoria: Objetivo General: Realizar una evaluacin del sistema gestor de base de datos (SGBD) actual usado por la empresa, su administracin, seguridad, confidencialidad, acceso, uso de los datos. Objetivos Especficos: Determinar la capacidad del personal que administra el SGBD. Evaluar la delimitacin de roles del personal informtico. Evaluar la seguridad lgica y fsica de los datos. Evaluar el diseo y estructura de los datos. Evaluar los niveles de acceso. Evaluar los procedimientos de respaldo de informacin. Evaluar los planes de contingencia, Evaluar la integridad de los datos. Evaluar la confiabilidad de los datos. Evaluar la confidencialidad de los datos. Analizar la carga de datos. Determinar la veracidad de la informacin contenida en el SGBD. Alcances: Empresa: CCN Departamento: IT. El alcance del proyecto comprende la evaluacin de los siguientes puntos: Evaluacin del Departamento de Tecnologa de Informacin en lo que corresponde a: Organizacin. Funciones. Normas y Polticas. Capacitacin. Planes de Trabajo. Controles. Condiciones de Trabajo. Niveles Jerrquicos. Supervisin.

Evaluacin del SGBD y de las Bases de Datos en cuanto a su: Operatividad. Diseo y Estructura de Datos. Seguridad Lgica. Niveles de Concurrencia. Entrada, Salida y Modificacin de Datos. Integridad y Consistencia de Datos. Tolerancia y Tratamiento de Fallos. Procedimientos de Respaldo. Documentacin y Manuales de Uso. Licencias Y/O Cumplimientos De Derechos De Autor.

Evaluacin del Hardware. Adquisicin.

Garanta y Accesoria. Normas y Polticas de Uso Interno. Documentacin y Manuales de Usuario. Capacidad de Proceso y Almacenamiento. Mantenimiento.

Evaluacin de la Seguridad. Seguridad Lgica y Confidencialidad. Seguridad Fsica. Seguridad Contra Virus e Intrusos. Normas y Polticas de Seguridad. Controles de Acceso. Plan de Contingencias. Plan de Continuidad Operacional.

Metodologa Utilizada. A continuacin se presenta la metodologa de investigacin utilizada en el proyecto, para la evaluacin de la empresa con relacin a sus bases de datos. 1. Para la evaluacin del departamento de tecnologa de informacin se llevaran a cabo las siguientes actividades: Solicitud del organigrama del departamento. Solicitud del manual de organizacin funcional (MOF). Solicitud de plan de trabajo. Elaboracin de una entrevista para el personal. Aplicacin de la entrevistas al personal. Anlisis y evaluacin de la informacin. Identificacin de desviaciones. Elaboracin del informe. 2. Para la evaluacin del SGBD y de las bases de datos se llevaran a cabo las siguientes actividades: Elaboracin de entrevista al DBA. Aplicacin de la entrevista al DBA. Elaboracin de pruebas manuales. Aplicacin de las pruebas manuales. Anlisis y evaluacin de la informacin. Identificaron de las desviaciones. Elaboracin del informe. 3. Para la Evaluacin del Hardware se llevaran a cabo las siguientes actividades: Solicitud de contratos de compra y garantas del equipo. Solicitud de documentacin y manuales de usuarios. Solicitud de programas de mantenimiento. Elaboracin de entrevistas y pruebas manuales Aplicacin de entrevistas y pruebas manuales. Anlisis y evaluacin de la informacin. Identificacin de desviaciones. Elaboracin del informe. 4. Para la Evaluacin de la Seguridad llevaran a cabo las siguientes actividades: Solicitud de normas y polticas de seguridad. Solicitud de planes de contingencia. Elaboracin de entrevista para evaluar la seguridad.

Aplicacin de la entrevista. Anlisis y evaluacin de la informacin. Identificacin de desviaciones. Elaboracin del informe. Cronograma de Actividades. Fase I Actividad Das Estimados 3

Visita Preliminar A La Empresa. Recopilar Informacin Organizacional. Visitar Departamento De Informtica. Solicitud Del Organigrama Del Departamento. Solicitud Del Manual De Organizacin Funcional (MOF). Solicitud De Plan De Trabajo. Elaborar Pruebas Y Entrevistas. 10 octubre - 13 Nov. 2009 II Desarrollo de la Auditoria. Evaluacin Del Departamento De Tecnologa De Informacin. Evaluacin Del SGBD Y De Las Bases De Datos. Evaluacin Del Hardware. Evaluacin De La Seguridad. 14 - 22 /Nov. 2009 Revisin Y Pre-Informe. Discutir Resultados De Entrevistas Y Pruebas Manuales. Identificar Desviaciones. Elaborar Borrador De Desviaciones. Discutir Con Los Auditados Las Desviaciones Encontradas. 26 Nov. - 30 Dic 2009 Informe. Elaboracin y Presentacin Del Informe. 3 4 Dic. 2009 Auditor Sup.

III

IV

Santo Domingo, R.D. a 2 de Diciembre del 2009. Lic. Belkis Mendoza Gerente Administrativo. Distinguida Seora: Me permito remitir a usted el informe de resultados de la auditora practicada a las Bases de Datos del Departamento de IT, que se realizo del 10 de Octubre al 4 de Diciembre del ao en curso. La revisin realizada fue de carcter integral y comprendi la evaluacin de la capacitacin del personal, la operacin del SGBD y las Bases de Datos, la plataforma de hardware utilizada y los niveles de seguridad lgicos y fsicos. En el citado informe encontrara el dictamen y las conclusiones a las cuales se llegaron, despus de la aplicacin de las tcnicas y procedimientos de auditora utilizados. Quedo de usted para cualquier aclaracin al respecto. ______________ Lic. Manuel Cuevas. Auditor Supervisor.

Introduccin El presente informe contempla las conclusiones a las que ha llegado nuestra firma de auditores despus de realizar una evaluacin del Sistema Gestor de Base de Datos (SGBD) actual, usado por la empresa CCN., su administracin, seguridad, confidencialidad, acceso y uso de los datos a fin de identificar posibles desviaciones que pudieran estarse presentado y proponer soluciones a las misma para su pronta solucin. La evaluacin se realiza en cumplimiento del programa de estudios, de la materia de Auditoria Informtica de la Universidad Dominicana O&M y a peticin del Ing. Jos Natera en fecha del 04 de Diciembre del 2009, como forma de reforzamiento practico a los conocimientos tericos expuestos en dicha materia. Y previa autorizacin de la empresa auditada, siguiendo las normas y polticas establecidas por la empresa y las metodologas y tcnicas de evaluacin internacionales para la realizacin de estos procesos.

Dictamen de Auditoria Santo Domingo, D.N. a 2 de diciembre del 2009. Lic. Bekis Mendoza Gerente Administrativo. Distinguida Seora: De acuerdo con la peticin realizada por el Ing. Rafael Encarnacion, de la Universidad Dominicana O&M en la materia de Auditoria Informtica, de conformidad con el cumplimiento del programa de estudios de dicha universidad y as mismo, me permito remitir a usted el dictamen de la auditoria practicada al Departamento de IT, enfocada a la administracin, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos de dicha empresa, misma que se llevo a cabo del 10 de Noviembre al 4 de Diciembre del ao en curso. De los resultados obtenidos durante la evaluacin me permito informarle de las siguientes observaciones: Evaluacin del Departamento de IT: Pudimos comprobar que la capacidad del personal y las funciones que realizan son llevadas a cabo de una manera eficiente, si bien no se cuentan con normas escritas, el personal demostr conocer sus funciones. Evaluacin del SGBD y de las Bases de Datos: Durante esta etapa de evaluacin comprobamos que existan deficiencias, en la administracin del SGBD y las Bases de Datos, no se haban implementado normas y polticas que rijan su correcto funcionamiento y operabilidad, provocando que peligren datos de suma importancia para la empresa y que en algunos casos se pudiera producir la paralizacin parcial o total de ciertas operaciones, pero de igual forma evidenciamos la disposicin del personal a resolver dichas deficiencias en el mas corto plazo posible. Evaluacin del Hardware: El hardware utilizado es el correcto para las operaciones que se realizan en la empresa, la periodicidad de mantenimiento son adecuadas, al igual que la documentacin existente para el mismo. Evaluacin de la Seguridad: La seguridad presentada en la institucin es de nivel medio tanto fsica como lgica, los controles de acceso, las polticas y normas de seguridad deben ser revaluadas y en algunos casos implementados, para asegurar la mxima integridad y confiabilidad de los datos. De acuerdo con las pruebas realizadas a la administracin, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos y de acuerdo con los estatutos internacionales establecidos para dicho fin, me permito dictaminar que las desviaciones encontradas en cada una de las evaluaciones realizadas, deben ser corregidas lo mas pronto posible de acuerdo a los trminos convenidos por los encargados de su correccin y nuestros auditores durante la identificacin de las mismas, Enfatizamos que su no solucin a tiempo puede resultar en serios percances al correcto avance presente y futuro de la empresa. Att:_______________ Lic.Manuel Cuevas. Auditor Supervisor.

Situaciones Relevantes Situaciones Manejo inadecuado de los datos de la nomina.

Causas Los datos de nomina son manejados por el encargado de nmina y su asistente, pero ambos utilizan la misma PC para acceder a ellos.

Solucin Se recomienda la instalacin de este software en otra PC, porque en caso de que la PC que contiene el software actualmente tenga algn problema, atrasara las actividades relacionadas con esta an teniendo un respaldo de la informacin que contiene dicha PC. Es recomendable tener un equipo de respaldo aunque sea con los mnimos requerimientos, ya que si algo le ocurre al equipo que posee el SGBD se paralizaran las actividades de la empresa. Nos parece que el tiempo estimado para el cambio de contraseas es muy extenso y no cumple con los estndares internacionales para el cambio de las mismas, que es como mnimo de 30 das, recomendamos su cambio por lo menos cada 30 das no solo para cumplir con los estndares, sino tambin para asegurar la confidencialidad e integridad de los datos. Recomendamos a la empresa, que dentro de su presupuesto incluya la adquisicion o arrendamiento de un espacio fsico que le permita guardar dichos archivos y backups a parte del espacio destinado actualmente para dicha operacin, y que de este modo asegure la disponibilidad de dicha informacin en caso de un desastre o percance ajeno a la empresa. Se debe crear el Manual de Organizacin Funcional va escrita, aunque cada quien parezca conocer sus asignaciones, para evita la usurpacin de funciones, adems servir de referencia para futuros empleados. Se debe crear un plan de operativo anual para as poder establecer con anticipacin las actividades que sern realizadas en el periodo de un ao y as poder mantener la organizacin de la empresa. Antes que nada, deben de verificar que la red est en ptimas condiciones para que la informacin pueda fluir de manera adecuada y realizar una revisin profunda de las sentencias de consultas a fin de optimizarlas al mximo. Recomendamos definir y poner en prctica un conjunto de normas y procedimientos de control que garanticen la reduccin de

No se cuenta con un equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.

No lo haban tomado en cuenta, ya que no se han presentado irregularidades en las revisiones mensuales que se realizan al mismo.

Periodo de cambio de contraseas demasiado extenso.

Las contraseas son cambiadas cada dos meses.

El lugar de almacenamiento de los archivos confidenciales y los backups, se encuentran dentro de la misma empresa.

La empresa no dispone de una sucursal o espacio fsico fuera de la institucin para almacenar dichos documentos y copias.

Inoperabilidad de un Manual de Organizacin Funcional.

No ha sido desarrollado por el departamento, ya que consideran que cada quien conoce su funcin.

No existe un plan de operativo anual.

No lo han creado porque las actividades bsicas son consideradas rutinarias y las especiales las desarrollan conforme surgen.

Tiempos de respuestas extensos a la hora de realizar consultas.

Entienden que es por la gran cantidad de informacin que poseen.

Procedimientos de control que regulen la redundancia de datos no implementados.

Tales procedimientos de control no han sido definidos.

alta de verificacin de los controles y las relaciones que se realizan.

Todos estos controles y las relaciones quedan establecidos en el diseo de la Base de Datos.

Procedimientos formales para la operacin del SGBD no estipulados.

El administrador del SGBD no los ha creado.

Tiempos de verificacin de archivos validos muy extenso, alrededor de cada 2 semanas.

Se considera que el volumen de transacciones no es tan alto como realizar dicha verificacin ms a menudo.

No se cuenta con un equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.

No lo haban tomado en cuenta, ya que no se han presentado irregularidades en las revisiones mensuales que se realizan al mismo.

Incidencias encontradas no registradas.

No existen normas que requieran su registro.

No existen medidas que regulen los procedimientos ha realizar cuando un soporte es desechado y como consecuencia, no se borran los archivos de los dispositivos de almacenamientos al ser desechados. No se mantiene un registro de las personas autorizadas a manejar los soportes (Backups). Destruccin de los archivos defectuosos no verificada.

No se han creado dichas medidas

redundancia de datos Estos controles y las relaciones deben ser verificados cada cierto tiempo aunque en el diseo se haya establecido, para saber y darse cuenta si se estn realizando de una manera ptima y si satisface a los usuarios de la mejor manera. Se debe realizar un documento que le sirva como parmetro a los usuarios, ya que sin en algn momento se sienten confundidos o bien tienen alguna duda, puedan tener un apoyo. Creemos que el tiempo dedicado a esta tarea debe de ser mayor, alrededor de la mitad del tiempo en que se realiza actualmente, es decir, debe ser por lo menos semanalmente para garantizar la mnima perdida de datos y aumentar la confiabilidad de los mismos frente a fallos inesperados del sistema. Es recomendable tener un equipo de respaldo aunque sea con los mnimos requerimientos, ya que si algo le ocurre al equipo que posee el SGBD se paralizaran las actividades de la empresa. Recomendamos el registro de las incidencias encontradas, en un documento ya sea escrito o digital, a fin de tener un control de las mismas y sirvan para referencias futuras y mejoras en el mantenimiento y optimizacin de los procesos. As como la creacin de normas y polticas que velen por su correcto cumplimiento. Es recomendable que se creen medidas que regulen tales procedimientos para desechar los soportes debido a que su incorrecto desecho puede provocar que informacin privada llegue a donde no tiene que llegar. Aunque solo los administradores tengan acceso a los soportes, es importante que se cree dicho registro a fin que sirva de control sobre el uso que se da a los mismos. Recomendamos que se certifiquen dichos procedimiento, para asegurar que los archivos estn realmente defectuosos, y que no por el contrario se trate de una fuga de informacin por parte de personal mal intencionado.

Como solo los administradores tienen acceso a los mismos no han visto necesario que se cree un registro. No se han establecido dichos procedimientos.

ANEXOS Entrevista al Personal Existe un manual de organizacin funcional (MOF)? No las funciones son asignadas verbalmente. Es aplicado este manual? --Los estndares y procedimientos existentes promueven una filosofa adecuada de control? Por una parte si porque cada quien tiene definida sus tareas pero eso no evita que otros puedan efectuar dado el caso la tarea de otra persona. El rendimiento de cada empleado se evala regularmente de acuerdo a estndares establecidos? Si es medido por medio de la evaluacin del desempeo del personal de la ONAP en conjunto con todo el personal de la institucin semestralmente. Existe un plan operativo anual? No se establecen cada cierto tiempo segn necesidades surgidas. Existe un plan de entrenamiento y capacitacin continua al personal? Si, existen capacitaciones en diferentes reas, segn surja la necesidad. Mediante que interfaz se accede a los datos de la empresa? Mediante la interfaz propia de las aplicaciones. Los datos son cargados correctamente en la interfaz grafica? Si, aunque a veces las consultas de datos tardan un poco. Tiene cada personal una terminal asignada? Si, a excepcin del encargado de nomina cuya terminal es compartida por el y su asistente. Se puede utilizar el Terminal de un compaero para retirar o introducir informacin al sistema? Solo en el caso de la terminal donde se maneja la nomina, pero solo teniendo el usuario y contrasea necesario. Tiene el personal de otros departamentos libre acceso a este? No est prohibido por los encargados el acceso de personal de otros departamentos a este. Puede el personal de otro departamento retirar informacin de este? No est prohibido por los encargados. Existe un sistema de seguridad que regule los accesos al sistema? Solo contraseas y usuarios. Se utilizan contraseas de usuario? -------Quin asigna las contraseas al personal? Todas son asignadas por el administrador de la Base de Datos. Con que regularidad se cambian las contraseas? Cada dos meses. Quin es el responsable de signar las nuevas contraseas? El administrador. Tiene el personal acceso a toda la informacin contenida en las base de datos?

No segn sus permisos y privilegios. Le es permitido al personal retirar datos del sistema fuera de la empresa? No esta terminantemente prohibido por la Institucin. Al realizar consultas de datos, estos siempre cargan correctamente en la aplicacin? Si. En caso de fallos con las aplicaciones que procedimientos se realizan? Se llama a soporte y en caso de que estos no puedan resolver el problema se contacta con el administrador. Puede el personal modificar la informacin introducida al sistema? Segn sus permisos y privilegios. Cmo calificara el desempeo del sistema? Aceptable, pero podra mejorarse con sistemas mas avanzados. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? Si, solo el personal autorizado puede tener acceso a los mismos. Considera adecuado el ambiente de trabajo? Si, son buenas las instalaciones. Cree que el personal que labora en este departamento es suficiente? Si, es suficiente. Entrevista de Evaluacin del SGBD y de las Bases de Datos Qu Gestor de Base de Datos utilizan? Microsoft Access 2003. Posee La Empresa La Licencia De Dicho Sistema Gestor? Si. En qu fecha fue adquirida la licencia de dicho sistema gestor? En agosto del 2007. Cubre la licencia el costo de actualizacin del sistema gestor? No. Ha usado la empresa un sistema gestor diferente al actual anteriormente? No. En caso de ser si: Porque se emigro de dicho gestor? -------Donde se encuentra instalado el sistema gestor? En un servidor dedicado al manejo del mismo. Quin disea las bases de datos? El administrador de la misma. Qu modelo de datos se utiliza? Modelo Relacional. Cules son los conocimientos del DBA en el manejo y administracin de SGBDs? Ingeniero en Sistemas, con vasto conocimiento en el manejo de base de datos.

Cules son sus funciones dentro del departamento? Dar soluciones al manejo de los datos de la institucin, monitorear el uso de las aplicaciones de los datos, crear usuarios, crear contraseas, restricciones etc. Existe un auxiliar del DBA? No. Se verifica que los controles y relaciones de datos se realizan de acuerdo a normalizacin libre de error? No, no se verifican. En caso de ser no, por qu no se verifican? Bueno estos no se verifican porque en el diseo de la Base de Datos se establecen los controles y las relaciones de los datos que son realizadas en base a dicha normalizacin. Existe personal restringido que tenga acceso a la BD? No. El SGBD es dependiente de los servicios que ofrece el sistema operativo? No, no es dependiente. La interfaz que existe entre el SGBD y el SO es el adecuado? Si es adecuada. Existen procedimientos formales para la operacin del SGBD? No, no hay nada formal. En caso de existir procedimientos formales, estn actualizados? ------En caso de existir procedimientos formales, cual es la periodicidad de actualizacin de los procedimientos? ------Son suficientemente claras las operaciones que realiza la BD? Si estn adecuadas para el entendimiento del usuario Existe un control que asegure la justificacin de los procesos en el computador? (que los procesos que estn autorizados tengan una razn de ser?) En realidad no hay nada estipulado, los controles de los procesos son manejados por el Administrador de la Base de Datos, los cuales son establecidos de acuerdo a la funcin que desempea el personal. Se procesan las operaciones dentro del departamento de computo? Solo algunas, las dems en sus respectivos puestos de trabajo. Se verifica con frecuencia la validez de los inventarios de los archivos magnticos? Si es verificado cada dos semanas. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? Si. Qu tan frecuentes son estas discrepancias? Muy raras. Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? No, ya quien maneja las restauraciones es el administrador, quien est bien capacitado en la realizacin de este proceso y con su experiencia no requieren documentarlo.

Existe un control estricto de copias de estos archivos? Si estos son manejados solo por el administrador. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? No, no son borrados. Se registra como parte del inventario las nuevas cintas magnticas que recibe el departamento de cmputo? Si, se registran. Se realizan auditorias peridicas a los medios de almacenamiento? Revisiones cada dos semanas. Se tiene relacin del personal autorizado para manipular la BD? No est en una relacin fsicamente, pero est claro que solo el administrador puede manipularla. Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? Si, mensualmente. Qu tipo de mantenimiento? Se le hace una revisin, se analiza con antivirus, se verifica que todo est trabajando de manera ptima. Poseen un dispositivo de respaldo en caso de algn problema o inconveniente? No, no existe. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existen equipos capaces de soportar el trabajo? Si los equipos son modernos y capaces de soportarlo. El SGBD tiene capacidad de teleproceso? Si. Se ha investigado si los tiempos de repuesta satisfacen a los usuarios? Si segn los usuarios las respuestas son buenas a excepcin por las consultas realizadas a la nomina que tardan un poco. Qu sucedera si no se puede usar el sistema gestor de base de datos? Se paralizaran ciertas operaciones. Qu implicaciones tiene el que no se obtenga el sistema gestor y cuanto tiempo podramos estar sin utilizarlo? Implica el retraso o paralizacin de ciertas operaciones, y el tiempo que tardara en reponerse depende de la gravedad del problema. Existe un procedimiento alterno a los problemas que ocasionara? No, no existe, por lo menos no documentado. Que se ha hecho para un caso de emergencia? No se presentado un caso como este aun, pero en caso de presentarse se restaurara el sistema lo mas pronto posible con la copia de respaldo mas reciente. Entrevista de Evaluacin del Hardware. En qu fecha fue adquirido el equipo que sirve de plataforma al sistema gestor? En agosto del 2004. Con que compaa fue adquirido el equipo? Fue adquirido de la compaa DELL va online.

Qu condiciones de garanta y asesoramiento fueron ofrecidas por la empresa? Tres aos en servicios y un ao en piezas. Cules son las caractersticas del equipo? Servidor PowerEdge para pequeas empresas. Procesador: Intel Pentium 4 a 3.0 Ghz con tecnologa HT. Memoria: 2 GB, expansible a 4 GB Almacenamiento: 80 GB S.O.: Windows XP SP2 Quin verifico que dichas caractersticas fueran suficientes? El encargado del departamento de informtica con accesoria del administrador de la Base de Datos. Cumplen estas caractersticas los requerimientos mnimos del sistema gestor? Si, perfectamente Qu cantidad de terminales soporta este equipo? 50. Es suficiente esta cantidad en relacin a las terminales a las que da servicio? Si, si lo es. Existen normas y polticas que regulen el uso de estos equipos? Si solamente puede ser utilizada por el administrador de la Base de Datos. Existen y estn disponibles los manuales de usuarios? Si, vinieron con el equipo. Entrevista de Evaluacin de la Seguridad. Aspectos Lgicos Existen medidas, controles, procedimientos, normas y estndares de seguridad? Si como, los privilegios de los usuarios, acceso por usuario y contrasea, backup de los datos. Etc. Existe un documento donde este especificado la relacin de las funciones y obligaciones del personal? No, no estn escritas. Existen procedimientos de notificacin y gestin de incidencias? No, no existe. Existen procedimientos de realizacin de copias de seguridad y de recuperacin de datos? Si, aunque no escritos. Existe una relacin del personal autorizado a conceder, alterar o anular el acceso sobre datos y recursos? No, no existe pero el personal conoce quien est autorizado para hacerlo, adems de que los permisos otorgados a los usuarios los limitan de hacer dichas alteraciones. Existe una relacin de controles peridicos a realizar para verificar el cumplimiento del documento? ------Existen medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado? No. Existe una relacin del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que tratan datos personales? No, no existe una relacin fsica pero como he dicho antes se conoce quienes tienen acceso. Existe una relacin de personal autorizado a acceder a los soportes de datos?

No, no existe, ya que no lo hemos credo necesario. Existe un perodo mximo de vida de las contraseas? Si dos meses. Existe una relacin de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos? No, no existe. Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar documentadas en el Documento de Seguridad.? Si sus derechos son los fundamentales para llevar acabo sus tareas, y si estn documentados. Hay dadas de alta en el sistema cuentas de usuario genricas, es decir, utilizadas por ms de una persona, no permitiendo por tanto la identificacin de la persona fsica que las ha utilizado? No cada persona que se loguea al sistema introduce su propio usuario y contrasea. En la prctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad? Si. El sistema de autenticacin de usuarios guarda las contraseas encriptadas? Si, cada sistema trae su proteccin de las contraseas. En el sistema estn habilitadas para todas las cuentas de usuario las opciones que permiten establecer: Un nmero mximo de intentos de conexin Todos los sistemas permite un mximo de tres intentos fallidos despus deber ser intentando el acceso con otro usuario. Un perodo mximo de vigencia para la contrasea, coincidente con el establecido en el Documento de Seguridad. El sistema no establece la necesidad de cambio de contrasea, las mismas son cambiadas manualmente. Existen procedimientos de asignacin y distribucin de contraseas? Si, es asignada por el administrador a los usuarios personalmente. Cmo se crean las contraseas asignadas a los usuarios? Las contraseas se crean mediante un programa que crea contraseas automticamente de contenido alfanumrico y de una longitud de 7 cifras. Aspectos Fsicos Existen procedimientos para la realizacin de las copias de seguridad? No. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta o disco, el cual fue inadvertidamente destruido? No. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? Si. Qu medio se utiliza para almacenarlos? - Mueble con cerradura - Bveda - Otro(especifique) Se encuentran en un cuarto resguardado bajo llaves, al cual solo tienen acceso el administrador y los dueos de la compaa.

Este almacn est situado: En el mismo edificio del departamento o en otro lugar Cual? En el mismo edificio. Se certifica la destruccin o baja de los archivos defectuosos? No. Explique la forma en que estn protegidas fsicamente las copias de seguridad (bveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc. Las copias de seguridad estn almacenadas en un cuarto bajo llave, que cuenta con sistemas detectores de humo y extinguidores, fuera de estos no existen ms proteccin para las mismas Existen procedimientos que aseguran que, de todos los ficheros con datos de carcter personal, se realiza copia al menos una vez cada semana? No. Hay procedimientos que aseguran la realizacin de copias de todos aquellos ficheros que han experimentado algn cambio en su contenido? Si, los Backups realizados cada dos semanas. Existen controles sobre el acceso fsico a las copias de seguridad? Si, estas solo son verificadas por el administrador encargado de las misma y su superior. Slo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen las copias de seguridad? Si. Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transportan fuera de las instalaciones? No, no son transportadas fuera de la institucin. Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las procesan? Si, en discos duros extrables. Existe un inventario de los soportes existentes? Si. Dicho inventario incluye las copias de seguridad? Si. Existen procedimientos de actualizacin de dicho inventario? Si, El inventario esta automatizado y se actualiza cada vez que se ingresa un nuevo soporte. Existen procedimientos de etiquetado e identificacin del contenido de los soportes? Si. Existen procedimientos en relacin con la salida de soportes fuera de su almacenamiento habitual? Si, se registra su salida en la aplicacin destinada para estos fines. Se evalan los estndares de distribucin y envo de estos soportes? No, porque no salen de la empresa. Se Obtiene una relacin de los ficheros que se envan fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envo, el estamento que realiza el envo y el destinatario? ----------Se Comprueba que todos los soportes incluidos en esa relacin se encuentran tambin en el inventario de soportes mencionado anteriormente?

----------Se Obtiene una copia del Registro de Entrada y Salida de Soportes y se comprueba que en l se incluyen: Los soportes incluidos en la relacin del punto anterior (y viceversa) Los desplazamientos de soportes al almacenamiento exterior (si existiera) ----------Se Analiza los procedimientos de actualizacin del Registro de Entrada y Salida en relacin con el movimiento de soportes? Si. Existen controles para detectar la existencia de soportes recibidos/enviados que no se inscriben en el Registro de Entrada/Salida? No. Se Comprueba, en el caso de que el Inventario de Soportes y/o el Registro de Entrada/Salida estn informatizados, que se realizan copias de seguridad de ellos, al menos, una vez a la semana? Si, se realizan, pero cada dos semanas, junto con el Backup general. Qu medidas se toman en el caso de extravo de algn dispositivo de almacenamiento? Se verifica el registro para saber si fue retirado o desechado por algn motivo, de lo contrario se realiza una bsqueda del mismo. Existe, como parte del Documento de Seguridad, de una relacin de usuarios con acceso autorizado a la sala donde se almacenan los soportes? No. Se Verifica que la inclusin del personal en la relacin anterior es coherente con las funciones que tienen encomendadas? ---------Se Determina que personas tienen llaves de acceso, tarjetas,etc. de acceso a la sala? Si. Se Analizan los procedimientos de descarga a cinta de este registro de accesos y el perodo de retencin de este soporte? No. Existen procedimientos de realizacin de copias de seguridad del registro de accesos y el perodo de retencin de las copias? Si. Se verifica la asignacin de privilegios que permitan activar/desactivar el registro de accesos para uno o ms ficheros? No, no se verifica, por que los registros son realizados por el administrador. Se comprueba que el registro de accesos se encuentra bajo el control directo del responsable de seguridad pertinente? No, se comprueba porque esta a cargo de los mismos administradores.