E-01-00-01

Grupo de Auditoria Numero 5

HOJA DE HALLAZGO N 4
Ttulo del estudio: Evaluacin de Sistema Informtico Mnica versin 8. Ttulo del hallazgo: Inexistencia de apago a estndares para autentificacin de usuarios ante el sistema. Condicin: Estas posibles fayas presenta un sin nmeros de posibles casos que permitirn desde la sub plantacin de identidades hasta la fuga de informacin por no dar un correcto siguiente de esta problemticas del sistema Mnica. Criterio: Bajo la ISO/IEC 27001, se detalla los que respecta la implantacin toda la normativa para poder realizar mecanismos eficaces de autentificacin de usuario ante un sistema por ejemplo Se cita de manera textual el del ISO/IEC 27001 seccin de A.11, disposicin 5.4 Control Se debe restringir y controlar estrictamente el uso de programas de utilidad que podran superar al sistema y los controles de aplicaciones Denota claramente que se debe dar un apago de asignacin de ID de usuario y de mantener bitcoras de los proceso realizados por esos usuario por medio de sus ID Esta normativa del ISO/IEC 27001 es clara para poder dar control de los aplicativos que se ejecutan dentro de un ambiente de produccin de Mnica con el fin de dar una integridad de los componentes que conforman a Mnica. Causa: La posible causa de la problemtica presente es la no existe ningn apego por parte de los desarrolladores de Mnica 8, ha estndares como lo es ISO/IEC 27001 y dems que se establecen en el mercado. Adems de una inadecuada planificacin dentro del proyecto ya que si existiera una adecuada planificacin se contemplara la incorporacin de controles que obedezcan a estas normativas mas no se presentaran problemticas como esta Efecto: Los efectos de la problemtica podran ser: - Posibles fugas de informacin. - Saboteo de informacin.
1

Fuente: Documentacin de ISO/IEC 27001

E-01-00-02
Grupo de Auditoria Numero 5

Malversacin de informacin del sistema. Posibles suplantacin de identidades Alteracin de datos y modificacin de los mismos si autorizacin.

Recomendaciones. Se debe es asignar privilegios de ejecucin estrictos en ambientes de trabajo. Adems de un constante revisin de log y herramientas de auditoria que permitan el rastreo de posibles intentos de ejecucin de herramientas para la violacin de seguridad u otras. Y agregar mecanismos de proteccin de archivos lgicos por parte del sistema Mnica como lo son alarmas, mensajes de intrusin o candados Conclusin: El sistema debera de dar un re ingeniera de requerimientos para poder cumplir con los estndares y normativa planteadas, pero desde el punto de vista de costos no es viable ya que estas modificaciones implicara la restructuracin de del aplicativo.

Hecho por: Jeffry Cascante Vargas Fecha: 07 de noviembre de 2011

Revisado por: Sindy Porras Fecha: