Auditoria Sistemas de Información
Páginas: 13 (3214 palabras)
Publicado: 11 de diciembre de 2014
AUDITORA
VVHM
Ingeniería y Proyectos S.A.
Auditoría de Gestión de Accesos e Identidades
al 30 de Septiembre del 2014
Áreas Involucradas:
Gerencia de Operaciones, Gerencia de Riesgo, Gerencia de TI
Auditores Responsables:
Patricio Meneses
Raul Jorquera
Santiago de Chile, II Semestre 2014
1. RESUMEN EJECUTIVO
La presente Auditoria de Sistema tiene como objetivodeterminar el estado actual de la gestión del acceso e identidades en los sistemas de información de la empresa Ingeniería y Proyectos S.A. al 30 de Septiembre del 2014, con el fin de entregar una propuesta que logre disminuir los fraudes que pudiesen prevenir de la malversación de las cuentas del personal provocadas por una deficiencia en los controles de acceso e identidades.
La realización deeste informe se basa en la documentación, que nos ha sido facilitada por Ingeniería y Proyectos S.A., de forma digital en archivos de Excel y en forma física, por medio de la “Política de Control de Acceso e Identidades”, documento elaborado por la organización auditada. Además se ha utilizado la información entregada de forma oral, principalmente por el Gerente de tecnología como por los dueñosdel proceso, debido a la importancia de estos para el desarrollo del proceso y la transparencia de los resultados.
Durante la concreción del proceso de auditoría, es posible mencionar algunas dificultades como la poca disponibilidad del personal para la entrega de información vía oral debido a las exigencias relacionadas con el control de identidades. Lo anterior ha implicado, que si bien elproceso se realizó en el tiempo estipulado, no fue posible contar con una apreciación adecuada de los propietarios del proceso, siendo esta una fuente importante para la conformación de la presente opinión.
2. Objetivo General
El objetivo específico de la presente auditoría es realizar una evaluación de las normas, técnicas y procedimientos llevados a cabo por la compañía Ingeniería y SistemasS.A. para lograr seguridad, integridad y confiabilidad de los procesos llevados a cabo en el control de acceso de identidades, manteniendo de esta forma los estándares necesarios para el mantenimiento de la continuidad del negocio. En este sentido, hacer referencia a dos tipos de auditoria: Auditoria Operativa, que guarda relación con la evaluación de la gestión realizada por la empresa enanalisis. Auditoria de Cumplimiento, puesto que en varias oportunidades estudiaremos el grado de cumplimiento de las normativas internacionales proveedoras de los estándares a revisar.
Los objetivos secundarios que sustentarán al objetivo principal son:
Verificar la estructura de la base de datos en la cual se encuentra información encriptada del personal de la empresa.
Establecer los niveles deseguridad en el acceso a las cuentas personales de los trabajadores de la empresa.
Establecer puntos de control para evitar fraudes y robo de información por parte del personal interno como externo de la organización.
Estandarizar los procedimientos necesarios según la normativa de Sistema de Gestión de Seguridad de la Información según la normativa vigente (ISO/IEC 27.001).
Establecer una carta denavegación para las implementaciones de nuevos procesos de seguridad y/o modificaciones en los existentes, con el fin de mantener normativas, procedimientos y políticas actualizadas según la necesidad del negocio.
3. Alcance
El alcance de la presente auditoría se llevó a cabo por la Gerencia de Prevención y Detección de Fraudes comprendiendo la revisión y el análisis de una base de datosque contenía todos los usuarios utilizados para ingresar a los sistemas. Esta base de datos contenía el tipo de usuario, nombre de usuario, nombre de PC e IP de conexión. Esta revisión se realizó en la Gerencia de Sistema, pero específicamente en el área de control de acceso e identificación.
Los datos utilizados fueron utilizados para realizar pruebas para comprobar si es que los controles y...
VVHM
Ingeniería y Proyectos S.A.
Auditoría de Gestión de Accesos e Identidades
al 30 de Septiembre del 2014
Áreas Involucradas:
Gerencia de Operaciones, Gerencia de Riesgo, Gerencia de TI
Auditores Responsables:
Patricio Meneses
Raul Jorquera
Santiago de Chile, II Semestre 2014
1. RESUMEN EJECUTIVO
La presente Auditoria de Sistema tiene como objetivodeterminar el estado actual de la gestión del acceso e identidades en los sistemas de información de la empresa Ingeniería y Proyectos S.A. al 30 de Septiembre del 2014, con el fin de entregar una propuesta que logre disminuir los fraudes que pudiesen prevenir de la malversación de las cuentas del personal provocadas por una deficiencia en los controles de acceso e identidades.
La realización deeste informe se basa en la documentación, que nos ha sido facilitada por Ingeniería y Proyectos S.A., de forma digital en archivos de Excel y en forma física, por medio de la “Política de Control de Acceso e Identidades”, documento elaborado por la organización auditada. Además se ha utilizado la información entregada de forma oral, principalmente por el Gerente de tecnología como por los dueñosdel proceso, debido a la importancia de estos para el desarrollo del proceso y la transparencia de los resultados.
Durante la concreción del proceso de auditoría, es posible mencionar algunas dificultades como la poca disponibilidad del personal para la entrega de información vía oral debido a las exigencias relacionadas con el control de identidades. Lo anterior ha implicado, que si bien elproceso se realizó en el tiempo estipulado, no fue posible contar con una apreciación adecuada de los propietarios del proceso, siendo esta una fuente importante para la conformación de la presente opinión.
2. Objetivo General
El objetivo específico de la presente auditoría es realizar una evaluación de las normas, técnicas y procedimientos llevados a cabo por la compañía Ingeniería y SistemasS.A. para lograr seguridad, integridad y confiabilidad de los procesos llevados a cabo en el control de acceso de identidades, manteniendo de esta forma los estándares necesarios para el mantenimiento de la continuidad del negocio. En este sentido, hacer referencia a dos tipos de auditoria: Auditoria Operativa, que guarda relación con la evaluación de la gestión realizada por la empresa enanalisis. Auditoria de Cumplimiento, puesto que en varias oportunidades estudiaremos el grado de cumplimiento de las normativas internacionales proveedoras de los estándares a revisar.
Los objetivos secundarios que sustentarán al objetivo principal son:
Verificar la estructura de la base de datos en la cual se encuentra información encriptada del personal de la empresa.
Establecer los niveles deseguridad en el acceso a las cuentas personales de los trabajadores de la empresa.
Establecer puntos de control para evitar fraudes y robo de información por parte del personal interno como externo de la organización.
Estandarizar los procedimientos necesarios según la normativa de Sistema de Gestión de Seguridad de la Información según la normativa vigente (ISO/IEC 27.001).
Establecer una carta denavegación para las implementaciones de nuevos procesos de seguridad y/o modificaciones en los existentes, con el fin de mantener normativas, procedimientos y políticas actualizadas según la necesidad del negocio.
3. Alcance
El alcance de la presente auditoría se llevó a cabo por la Gerencia de Prevención y Detección de Fraudes comprendiendo la revisión y el análisis de una base de datosque contenía todos los usuarios utilizados para ingresar a los sistemas. Esta base de datos contenía el tipo de usuario, nombre de usuario, nombre de PC e IP de conexión. Esta revisión se realizó en la Gerencia de Sistema, pero específicamente en el área de control de acceso e identificación.
Los datos utilizados fueron utilizados para realizar pruebas para comprobar si es que los controles y...
Leer documento completo
Regístrate para leer el documento completo.