miércoles, 21 de marzo de 2012

ASI 2 - Guía de Ejercicios para preparación del exámen

Una empresa tiene los siguientes hallazgos encontrados por el Auditor en Sistemas:

Que riesgos y recomendaciones daría para cada uno? Que controles de la ISO 27002 aplicaría a cada uno?.

Hallazgo1 : Marco de control interno informático

Condición:
La institución no ha adoptado un marco de control interno informático, sobre el cual regir todas las prácticas de control sobre transacciones, tecnología, sistemas y procesos.

Hallazgo 2: Políticas de seguridad que no están vigentes.

Condición
Las políticas de seguridad diseñadas por la gerencia de riesgos, no han entrado en vigor a la fecha.

Hallazgo 3: Políticas de clasificación de información.

Condición
Se tiene identificada la información que para la empresa es crítica y sensible, mas no existen políticas documentadas de clasificación de información.

Hallazgo 4: Acuerdos de Confidencialidad.

Condición
No se han definido acuerdos de confidencialidad con respecto al manejo de la información manipulada por los empleados de la organización.

Hallazgo 5: Correo electrónico.

Condición.
No se han documentado políticas de envíos de información a través del correo electrónico.

Hallazgo 6: Manuales de usuario.

Condición.
No se han documentado manuales de usuario en cada uno de los módulos del sistema de información, careciendo de una herramienta de orientación.

Hallazgo 7: Falta de integración al modulo contable.

Condición.
Las operaciones y controles que se realizan en los diferentes procesos del negocio de la organización carecen de interfaz con el modulo general contable, por lo que se recurre al registro manual para realizar los asientos contables, es decir que cada uno de estos procesos son manejados de manera aislada al modulo central contable.

Hallazgo 8: Acceso a internet no controlado.
Condición
Por medio de observación directa se identifico que el acceso a internet no está controlado, de esta manera se permite el acceso a cualquiera de los sitios en la web aumentando así el riesgo de intrusiones a las redes y servidores de la organización. Algunas de las páginas que se observaron en uso fueron:
www.facebook.com
www.youtube.com

Así como también se observaron activos los chats de:
Messenger de Hotmail
Chat de facebook

Hallazgo 9: Auditoria
Condición
Auditoría interna no ha efectuado una auditoria de sistemas completa sobre las aplicaciones, procesos y personal de tecnología, de la organización, como parte del ejercicio de auditoría.

Hallazgo 10: Falta definición de roles y responsabilidades sobre seguridad.
Condición.
No se han definido y documentado los roles y responsabilidades de seguridad para los empleados (incluso antes de su contratación), proveedores y terceras partes, de acuerdo con las políticas de seguridad de la información de la organización.

Hallazgo 11: Incidentes de seguridad.
Condición.
No se han definido dentro de las políticas, el concepto de incidentes de seguridad y su tratamiento.

Hallazgo 12: Divulgación y medición de Incidentes.
Condición.
No se han documentado las actividades y entidades (internas o externas) a las cuales hay que comunicar los incidentes.

No hay comentarios:

Publicar un comentario

Has tus comentarios