Tecnologia
Páginas: 5 (1133 palabras)
Publicado: 10 de marzo de 2013
Objetivo: Verificar la eficiencia y efectividad de los controles generales de TI
Técnicas a usar: Cuestionario, observación, análisis
Procedimiento:
1. Solicitar información a la empresa
2. Recibir la información de la empresa
3. Verificar los datos necesarios
4. Analizar la información
5. Formulación de Hallazgos y sus respectivas evidencias
6. Socialización de los hallazgos con laempresa
7. Ratificar o desvirtuar los hallazgos
Desarrollo del procedimiento:
1. Solicitar información a la empresa
Mediante el oficio de 14-nov-2012 se solicitó a la entidad la siguiente información relacionada con las Tecnologías de Información (TI):
1. PETI (Plan Estratégico de Tecnologías de Información), Plan de acción de TI
2. Personal de sistemas asignado a la empresa
3.Diagrama de la red o esquema de ubicación de los servidores de bases de datos, de aplicaciones, de dominio de la red, y componentes de la red.
4. Procedimiento de acceso lógico a los aplicativos por parte de los funcionarios (cómo es el manejo de las cuentas de usuario y roles o perfiles, qué parámetros de seguridad existen como por ejemplo los cambios de contraseña, …etc).
5. Procedimiento degeneración y restauración de copias de respaldo.
6. Inventario de hardware y software de los equipos de cómputo, que incluya el funcionario encargado de cada equipo.
7. Relación de licencias de software que soporten los programas instalados en todos los computadores.
8. ¿Qué controles tienen implementados para detectar o evitar que los funcionarios instalen software libremente?
9. Procedimiento paraactualización de la plataforma de antivirus y cómo es el monitoreo de los equipos de cómputo para detectar posibles virus informáticos.
10. Procedimiento para control de acceso al centro de cómputo
11. ¿Qué controles físicos y lógicos existen para brindar seguridad al centro de cómputo?
12. Plan de recuperación ante desastre, Plan de continuidad de negocio y Planes de contingencia implementados.13. Qué aplicativos soportan los procesos misionales de la empresa, detallando qué actividades soportan cada uno de ellos.
2. Recibir la información de la empresa
Luego la Entidad respondió las preguntas del oficio mediante el oficio No 1071 de 19-nov-2012 en los siguientes términos:
1. PETI (Plan Estratégico de Tecnologías de la Información), Plan de Acción TI, esta Secretaria no cuentacon ninguno de los Dos.
2. El personal de sistemas está asignado como calidad de Contratista. Los servicios de soporte técnico es realizado por cada ingeniero en su área. Para el 2011 el contrato del ing duró (09) meses del 01/04/2011 al 30/12/2011 como OPS.
3. Como tal, la empresa no cuenta con un Diagrama o esquema de red digital o físico, Actualmente cuenta con una red LAN, Servidor deDominio de red Windows Server 2008 que realiza administración de los usuarios y los privilegios de la red.
4. Cada usuario se responsabiliza por el mecanismo de acceso lógico asignado, esto es su identificador de usuario y password necesarios para acceder a la información e infraestructura, es responsabilidad de cada usuario la confidencialidad de los mismos.
Elidentificador de usuario dentro de la red es único y personalizado, no está permitido el uso del mismo identificador de usuario por varios miembros del personal. Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la persona encargada de manejar el Servidor para que se le realice la acción que le permita ingresar un nuevo password, la contraseña no caduca, pero bajosospecha de que el password es conocido por otra persona debe cambiarse inmediatamente.
5. Se genera dos copias de seguridad. El primero reposa en el disco duro del servidor y el segundo en cada equipo de cómputo. Las personas responsables de dichas copias son los funcionarios de cada equipo.
6. Se encuentra en proceso de creación.
7. Se están buscando para entregar al equipo auditor.
8....
Técnicas a usar: Cuestionario, observación, análisis
Procedimiento:
1. Solicitar información a la empresa
2. Recibir la información de la empresa
3. Verificar los datos necesarios
4. Analizar la información
5. Formulación de Hallazgos y sus respectivas evidencias
6. Socialización de los hallazgos con laempresa
7. Ratificar o desvirtuar los hallazgos
Desarrollo del procedimiento:
1. Solicitar información a la empresa
Mediante el oficio de 14-nov-2012 se solicitó a la entidad la siguiente información relacionada con las Tecnologías de Información (TI):
1. PETI (Plan Estratégico de Tecnologías de Información), Plan de acción de TI
2. Personal de sistemas asignado a la empresa
3.Diagrama de la red o esquema de ubicación de los servidores de bases de datos, de aplicaciones, de dominio de la red, y componentes de la red.
4. Procedimiento de acceso lógico a los aplicativos por parte de los funcionarios (cómo es el manejo de las cuentas de usuario y roles o perfiles, qué parámetros de seguridad existen como por ejemplo los cambios de contraseña, …etc).
5. Procedimiento degeneración y restauración de copias de respaldo.
6. Inventario de hardware y software de los equipos de cómputo, que incluya el funcionario encargado de cada equipo.
7. Relación de licencias de software que soporten los programas instalados en todos los computadores.
8. ¿Qué controles tienen implementados para detectar o evitar que los funcionarios instalen software libremente?
9. Procedimiento paraactualización de la plataforma de antivirus y cómo es el monitoreo de los equipos de cómputo para detectar posibles virus informáticos.
10. Procedimiento para control de acceso al centro de cómputo
11. ¿Qué controles físicos y lógicos existen para brindar seguridad al centro de cómputo?
12. Plan de recuperación ante desastre, Plan de continuidad de negocio y Planes de contingencia implementados.13. Qué aplicativos soportan los procesos misionales de la empresa, detallando qué actividades soportan cada uno de ellos.
2. Recibir la información de la empresa
Luego la Entidad respondió las preguntas del oficio mediante el oficio No 1071 de 19-nov-2012 en los siguientes términos:
1. PETI (Plan Estratégico de Tecnologías de la Información), Plan de Acción TI, esta Secretaria no cuentacon ninguno de los Dos.
2. El personal de sistemas está asignado como calidad de Contratista. Los servicios de soporte técnico es realizado por cada ingeniero en su área. Para el 2011 el contrato del ing duró (09) meses del 01/04/2011 al 30/12/2011 como OPS.
3. Como tal, la empresa no cuenta con un Diagrama o esquema de red digital o físico, Actualmente cuenta con una red LAN, Servidor deDominio de red Windows Server 2008 que realiza administración de los usuarios y los privilegios de la red.
4. Cada usuario se responsabiliza por el mecanismo de acceso lógico asignado, esto es su identificador de usuario y password necesarios para acceder a la información e infraestructura, es responsabilidad de cada usuario la confidencialidad de los mismos.
Elidentificador de usuario dentro de la red es único y personalizado, no está permitido el uso del mismo identificador de usuario por varios miembros del personal. Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la persona encargada de manejar el Servidor para que se le realice la acción que le permita ingresar un nuevo password, la contraseña no caduca, pero bajosospecha de que el password es conocido por otra persona debe cambiarse inmediatamente.
5. Se genera dos copias de seguridad. El primero reposa en el disco duro del servidor y el segundo en cada equipo de cómputo. Las personas responsables de dichas copias son los funcionarios de cada equipo.
6. Se encuentra en proceso de creación.
7. Se están buscando para entregar al equipo auditor.
8....
Leer documento completo
Regístrate para leer el documento completo.