Prueba
Páginas: 11 (2547 palabras)
Publicado: 2 de marzo de 2011
INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A
Auditoria Técnica en seguridad de la Informacion
Primera auditoria técnica anual
Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad Oberta de Catalunia, especialista en software para redes de la universidad de los Andes, ingeniero de sistemas universidad Incca de Colombia
2007
GLOBALTEKSECURITY
TECNOLOGÍASGLOBALES PARA LA SEGURIDAD DE LA INFORMACIÓN
Tecnologías globales para la seguridad de la información
I n formación Confidencial
Tipo de documento
Reporte de auditoría en seguridad de la información para la organización XXXXXXXXXXXXXXXXXX, S.A
Clase de servicio
Auditoria técnica anual en seguridad de la información
Fecha de creación Versión
Mayo 9 de de 2007 1.0.0 Tecnologías globales para la seguridad de la información
1.0
Resumen Ejecutivo
Introducción Basados en el principio de mejoras continuas que rige el SGSI de xxxxxxxxxx S.A, este documento de auditoría técnica de seguridad al sistema de gestión ISO 27001 implementado en esta organización, busca mostrar los resultados finales de la auditoría finalizada el 10 de abril de 2007. Este estudio se realizocon el objetivo de disminuir los incidentes de seguridad informática mediante la revisión de la confidencialidad del código fuente de los desarrollos de software de la organización dado los incidentes ocurridos en el área de desarrollo.
Visión general de la metodología empleada El tipo de auditoría elegido para esta revisión fue la auditoria “Revisión de los mecanismos de control de acceso a lainformación y revisión de la gestión del ciclo de vida de los sistemas” que está basada en la metodología de controles ISO/IEC 17799, específicamente se hizo la revisión de los capítulos que tienen que ver con los mecanismos de control de acceso a la información y como estaba la clasificación y los controles de los activos según la mencionada norma, además se utilizaron las normas NIST para laelaboración de las encuestas. Para la revisión de los controles específicos de las aplicaciones en desarrollo se utilizo NIST y OWASP dado lo particular de la auditoria.
Conclusiones principales Fortalezas • La organización cuenta con excelentes sistemas para la detección de intrusos que centralizan las bitácoras o logs para hacer investigación de incidentes. Fueron de mucha utilidad para validaren los logs los ataques realizados a las aplicaciones mediante la prueba de intrusión. El personal interno tiene una alto grado de conciencia respecto de las políticas de seguridad de la información (pero no el personal externo temporal) El software que ya está desarrollado e implementado cuenta con muy buenos diseños detallados. Esto no ocurre con los nuevos desarrollos. Al revisar el sistema degestión documental se encuentra un excelente seguimiento a los incidentes porque se determinaron nuevos requerimientos para evitarlos
•
• •
Tecnologías globales para la seguridad de la información
•
•
Se encuentra un sistema muy efectivo de seguimiento a los accesos de los usuarios pues este confirmo que un programador temporal externo usaba una cuenta con permisos mayores queno le había sido autorizada para la red local, este usuario programador confirmo al auditor líder que lo logro con un programa no autorizado llamado sniffer que conoció en su clase seguridad informática impartida por la universidad donde estaba por graduarse pero que él no lo hizo con mala intención. Se cuenta con buenos controles para generar los passwords de los usuarios, pues se trato deromperlos y no se logro hacerlo en 2 semanas.
Debilidades • • • • Los empleados temporales externos no tienen la suficiente conciencia de las políticas de seguridad de la información. Recursos humanos no tiene registros de los resultados de las capacitaciones al personal externo respecto de las políticas de seguridad de la información. No existe encripción de los datos confidenciales como son el...
Auditoria Técnica en seguridad de la Informacion
Primera auditoria técnica anual
Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad Oberta de Catalunia, especialista en software para redes de la universidad de los Andes, ingeniero de sistemas universidad Incca de Colombia
2007
GLOBALTEKSECURITY
TECNOLOGÍASGLOBALES PARA LA SEGURIDAD DE LA INFORMACIÓN
Tecnologías globales para la seguridad de la información
I n formación Confidencial
Tipo de documento
Reporte de auditoría en seguridad de la información para la organización XXXXXXXXXXXXXXXXXX, S.A
Clase de servicio
Auditoria técnica anual en seguridad de la información
Fecha de creación Versión
Mayo 9 de de 2007 1.0.0 Tecnologías globales para la seguridad de la información
1.0
Resumen Ejecutivo
Introducción Basados en el principio de mejoras continuas que rige el SGSI de xxxxxxxxxx S.A, este documento de auditoría técnica de seguridad al sistema de gestión ISO 27001 implementado en esta organización, busca mostrar los resultados finales de la auditoría finalizada el 10 de abril de 2007. Este estudio se realizocon el objetivo de disminuir los incidentes de seguridad informática mediante la revisión de la confidencialidad del código fuente de los desarrollos de software de la organización dado los incidentes ocurridos en el área de desarrollo.
Visión general de la metodología empleada El tipo de auditoría elegido para esta revisión fue la auditoria “Revisión de los mecanismos de control de acceso a lainformación y revisión de la gestión del ciclo de vida de los sistemas” que está basada en la metodología de controles ISO/IEC 17799, específicamente se hizo la revisión de los capítulos que tienen que ver con los mecanismos de control de acceso a la información y como estaba la clasificación y los controles de los activos según la mencionada norma, además se utilizaron las normas NIST para laelaboración de las encuestas. Para la revisión de los controles específicos de las aplicaciones en desarrollo se utilizo NIST y OWASP dado lo particular de la auditoria.
Conclusiones principales Fortalezas • La organización cuenta con excelentes sistemas para la detección de intrusos que centralizan las bitácoras o logs para hacer investigación de incidentes. Fueron de mucha utilidad para validaren los logs los ataques realizados a las aplicaciones mediante la prueba de intrusión. El personal interno tiene una alto grado de conciencia respecto de las políticas de seguridad de la información (pero no el personal externo temporal) El software que ya está desarrollado e implementado cuenta con muy buenos diseños detallados. Esto no ocurre con los nuevos desarrollos. Al revisar el sistema degestión documental se encuentra un excelente seguimiento a los incidentes porque se determinaron nuevos requerimientos para evitarlos
•
• •
Tecnologías globales para la seguridad de la información
•
•
Se encuentra un sistema muy efectivo de seguimiento a los accesos de los usuarios pues este confirmo que un programador temporal externo usaba una cuenta con permisos mayores queno le había sido autorizada para la red local, este usuario programador confirmo al auditor líder que lo logro con un programa no autorizado llamado sniffer que conoció en su clase seguridad informática impartida por la universidad donde estaba por graduarse pero que él no lo hizo con mala intención. Se cuenta con buenos controles para generar los passwords de los usuarios, pues se trato deromperlos y no se logro hacerlo en 2 semanas.
Debilidades • • • • Los empleados temporales externos no tienen la suficiente conciencia de las políticas de seguridad de la información. Recursos humanos no tiene registros de los resultados de las capacitaciones al personal externo respecto de las políticas de seguridad de la información. No existe encripción de los datos confidenciales como son el...
Leer documento completo
Regístrate para leer el documento completo.