Carta a garcia
Páginas: 10 (2368 palabras)
Publicado: 3 de enero de 2011
CASO: CONSTRUYENDO HALLAZGOS Y OBSERVACIONES E AUDITORIA DE OPERATIVA
OBJETIVOS
Familiarizar el uso de estilo de redacción de hallazgos observaciones y conclusiones y recomendaciones en las auditoria operativas
TRABAJO REQUERIDO
* Como resultado de una auditoria de gestión realizada por la Oficina de Auditoria Interna se han determinado algunos hallazgos
* Estructure unaobservación, conclusión y recomendaciones previamente identifique y anote en recuadro de la parte derecha el nombre del atributo elementos de la observación correspondiente a la sumilla, condición, criterio, causa, efecto, aclaraciones, opinión del auditoria conclusión y recomendaciones
* Construya la observación, conclusión y recomendación, completa eliminado o agregando los párrafosnecesarios.
INFORMACIÓN PARA EL ANÁLISIS Y SOLUCIÓN CASO.
OBSERVACIÓN CONCLUSIÓN Y RECOMENDACIÓN N°01 EMPRESA ABC
DESCRIPCIÓN DE LA SUMILLA, CONDICIÓN, CRITERIO, CAUSA, EFECTO, ACLARACIONES, OPINIÓN DEL AUDITOR CONCLUSIONES Y RECOMENDACIONES ADMINISTRATIVAS. | CONTENIDO DE OBSERVACIÓN. |
Se considera criterio aplicable al hecho descrito, siendo una práctica generalmente aplicable yaceptada de control y administración en Tecnologías de Información, el Código de Buenas Prácticas para la Gestión de la Seguridad de la Información – ISO 17799 , Capítulo 9, Control de accesos, inciso 9.3.1. Uso de contraseñas, que indica lo siguiente: “e) Cambiar las contraseñas a intervalos de tiempo regulares o en proporción al número de accesos (las contraseñas de las cuentas con privilegiosespeciales deberían cambiarse con mas frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas”. | |
El hecho comentado se ha presentado debido a que no se ha considerado en el diseño del sistema las características de seguridad referidas al control de acceso, como un control que permita reducir el riesgo potencial en el uso de la información que se procesa en el sistema. Delmismo modo, el componente de seguridad debe definirse en todo desarrollo de sistema como una parte integral | |
De la revisión y verificación de los sistemas que dan soporte a las distintas áreas de la empresa, se advierte la existencia de limitaciones en la seguridad referida al acceso lógico de los sistemas, es decir el Password (contraseña), no tiene tiempo de expiración, además de un númerode intentos (3) para después bloquearse, en caso que la contraseña ingresada fuese incorrecta.También se comprobó que la contraseña puede ser de dos o cuatros caracteres no existiendo un estándar definido. | |
Lo expuesto generaría un riesgo potencial, ya que se podría dar algunas de las siguientes posibilidades: * Inadecuado uso de la información de la institución. * Pérdida decontrol de acceso a los sistemas. * Posible acceso de información confidencial por personas ajenas a las áreas. * Divulgación de contraseñas a personas no autorizadas. * Violación de los mecanismos de seguridad de la información | |
“Con respecto a las debilidades mencionadas en relación al manejo de contraseñas, considero pertinente mencionar que para el caso de los sistemas que estánintegrados al Sistema de Seguridad, se utilizarán el login y password de acceso a la red, el que está configurado para caducar a los 180 días. En el caso del SIGA, el sistema está configurado para que las contraseñas caduquen a los 90 días” | |
Se han determinado aspectos susceptibles de mejora en la seguridad relacionada al acceso lógico de los sistemas disponibles en la institución, en cuanto ala administración de los Password (contraseñas), el cual debería tener un tiempo de expiración, además de un número de intentos (3) para luego proceder al bloqueo en caso que la contraseña ingresada fuese incorrecta, evidenciándose esta situación en el Sistema SIGA, advirtiéndose asimismo que la contraseña puede ser de dos o cuatro caracteres, no existiendo un estándar definido. | |
Disponer...
OBJETIVOS
Familiarizar el uso de estilo de redacción de hallazgos observaciones y conclusiones y recomendaciones en las auditoria operativas
TRABAJO REQUERIDO
* Como resultado de una auditoria de gestión realizada por la Oficina de Auditoria Interna se han determinado algunos hallazgos
* Estructure unaobservación, conclusión y recomendaciones previamente identifique y anote en recuadro de la parte derecha el nombre del atributo elementos de la observación correspondiente a la sumilla, condición, criterio, causa, efecto, aclaraciones, opinión del auditoria conclusión y recomendaciones
* Construya la observación, conclusión y recomendación, completa eliminado o agregando los párrafosnecesarios.
INFORMACIÓN PARA EL ANÁLISIS Y SOLUCIÓN CASO.
OBSERVACIÓN CONCLUSIÓN Y RECOMENDACIÓN N°01 EMPRESA ABC
DESCRIPCIÓN DE LA SUMILLA, CONDICIÓN, CRITERIO, CAUSA, EFECTO, ACLARACIONES, OPINIÓN DEL AUDITOR CONCLUSIONES Y RECOMENDACIONES ADMINISTRATIVAS. | CONTENIDO DE OBSERVACIÓN. |
Se considera criterio aplicable al hecho descrito, siendo una práctica generalmente aplicable yaceptada de control y administración en Tecnologías de Información, el Código de Buenas Prácticas para la Gestión de la Seguridad de la Información – ISO 17799 , Capítulo 9, Control de accesos, inciso 9.3.1. Uso de contraseñas, que indica lo siguiente: “e) Cambiar las contraseñas a intervalos de tiempo regulares o en proporción al número de accesos (las contraseñas de las cuentas con privilegiosespeciales deberían cambiarse con mas frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas”. | |
El hecho comentado se ha presentado debido a que no se ha considerado en el diseño del sistema las características de seguridad referidas al control de acceso, como un control que permita reducir el riesgo potencial en el uso de la información que se procesa en el sistema. Delmismo modo, el componente de seguridad debe definirse en todo desarrollo de sistema como una parte integral | |
De la revisión y verificación de los sistemas que dan soporte a las distintas áreas de la empresa, se advierte la existencia de limitaciones en la seguridad referida al acceso lógico de los sistemas, es decir el Password (contraseña), no tiene tiempo de expiración, además de un númerode intentos (3) para después bloquearse, en caso que la contraseña ingresada fuese incorrecta.También se comprobó que la contraseña puede ser de dos o cuatros caracteres no existiendo un estándar definido. | |
Lo expuesto generaría un riesgo potencial, ya que se podría dar algunas de las siguientes posibilidades: * Inadecuado uso de la información de la institución. * Pérdida decontrol de acceso a los sistemas. * Posible acceso de información confidencial por personas ajenas a las áreas. * Divulgación de contraseñas a personas no autorizadas. * Violación de los mecanismos de seguridad de la información | |
“Con respecto a las debilidades mencionadas en relación al manejo de contraseñas, considero pertinente mencionar que para el caso de los sistemas que estánintegrados al Sistema de Seguridad, se utilizarán el login y password de acceso a la red, el que está configurado para caducar a los 180 días. En el caso del SIGA, el sistema está configurado para que las contraseñas caduquen a los 90 días” | |
Se han determinado aspectos susceptibles de mejora en la seguridad relacionada al acceso lógico de los sistemas disponibles en la institución, en cuanto ala administración de los Password (contraseñas), el cual debería tener un tiempo de expiración, además de un número de intentos (3) para luego proceder al bloqueo en caso que la contraseña ingresada fuese incorrecta, evidenciándose esta situación en el Sistema SIGA, advirtiéndose asimismo que la contraseña puede ser de dos o cuatro caracteres, no existiendo un estándar definido. | |
Disponer...
Leer documento completo
Regístrate para leer el documento completo.