Prueba

Solo disponible en BuenasTareas
  • Páginas : 11 (2547 palabras )
  • Descarga(s) : 0
  • Publicado : 2 de marzo de 2011
Leer documento completo
Vista previa del texto
INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A

Auditoria Técnica en seguridad de la Informacion
Primera auditoria técnica anual
Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad Oberta de Catalunia, especialista en software para redes de la universidad de los Andes, ingeniero de sistemas universidad Incca de Colombia

2007

GLOBALTEKSECURITY

TECNOLOGÍASGLOBALES PARA LA SEGURIDAD DE LA INFORMACIÓN

Tecnologías globales para la seguridad de la información

I n formación Confidencial

Tipo de documento

Reporte de auditoría en seguridad de la información para la organización XXXXXXXXXXXXXXXXXX, S.A

Clase de servicio

Auditoria técnica anual en seguridad de la información

Fecha de creación Versión

Mayo 9 de de 2007 1.0.0 Tecnologías globales para la seguridad de la información

1.0

Resumen Ejecutivo

Introducción Basados en el principio de mejoras continuas que rige el SGSI de xxxxxxxxxx S.A, este documento de auditoría técnica de seguridad al sistema de gestión ISO 27001 implementado en esta organización, busca mostrar los resultados finales de la auditoría finalizada el 10 de abril de 2007. Este estudio se realizocon el objetivo de disminuir los incidentes de seguridad informática mediante la revisión de la confidencialidad del código fuente de los desarrollos de software de la organización dado los incidentes ocurridos en el área de desarrollo.

Visión general de la metodología empleada El tipo de auditoría elegido para esta revisión fue la auditoria “Revisión de los mecanismos de control de acceso a lainformación y revisión de la gestión del ciclo de vida de los sistemas” que está basada en la metodología de controles ISO/IEC 17799, específicamente se hizo la revisión de los capítulos que tienen que ver con los mecanismos de control de acceso a la información y como estaba la clasificación y los controles de los activos según la mencionada norma, además se utilizaron las normas NIST para laelaboración de las encuestas. Para la revisión de los controles específicos de las aplicaciones en desarrollo se utilizo NIST y OWASP dado lo particular de la auditoria.

Conclusiones principales Fortalezas • La organización cuenta con excelentes sistemas para la detección de intrusos que centralizan las bitácoras o logs para hacer investigación de incidentes. Fueron de mucha utilidad para validaren los logs los ataques realizados a las aplicaciones mediante la prueba de intrusión. El personal interno tiene una alto grado de conciencia respecto de las políticas de seguridad de la información (pero no el personal externo temporal) El software que ya está desarrollado e implementado cuenta con muy buenos diseños detallados. Esto no ocurre con los nuevos desarrollos. Al revisar el sistema degestión documental se encuentra un excelente seguimiento a los incidentes porque se determinaron nuevos requerimientos para evitarlos



• •

Tecnologías globales para la seguridad de la información





Se encuentra un sistema muy efectivo de seguimiento a los accesos de los usuarios pues este confirmo que un programador temporal externo usaba una cuenta con permisos mayores queno le había sido autorizada para la red local, este usuario programador confirmo al auditor líder que lo logro con un programa no autorizado llamado sniffer que conoció en su clase seguridad informática impartida por la universidad donde estaba por graduarse pero que él no lo hizo con mala intención. Se cuenta con buenos controles para generar los passwords de los usuarios, pues se trato deromperlos y no se logro hacerlo en 2 semanas.

Debilidades • • • • Los empleados temporales externos no tienen la suficiente conciencia de las políticas de seguridad de la información. Recursos humanos no tiene registros de los resultados de las capacitaciones al personal externo respecto de las políticas de seguridad de la información. No existe encripción de los datos confidenciales como son el...
tracking img