Informe Preliminar SOs

AUDITORIA INTERNA
INFORME PRELIMINAR
PARA: Sr. Juan Carlos Muñoz, Enc. De Administración de Sistemas
DE: Jenny Madé, Sub-Gerente Auditoría de TI
ASUNTO: Auditoría Sistemas Operativos
COPIA: Sres. Hampton Castillo, Juan Manuel Rodríguez, Wendy Núñez & Francy
Romero
Vicepresidente Ejecutivo & Gerente General, Director de TI, Gerente de
Auditoría & Subgerente de Sistemas de Información
OBJETIVO: Evaluar el cumplimiento de las normas, políticas, procedimientos, funcionamiento de los

controles manuales y automáticos usados por el personal de TI para el desarrollo de sus
funciones, así mismo validar que los riesgos asociados a cada proceso identificado estén
debidamente controlados, permitiendo que se cumplan con los objetivos estratégicos de
la entidad.
ALCANCE: Para esta auditoría evaluamos los riesgos y controles internos implementados por la
Unidad de Tecnología de Información, mediante la aplicación de pruebas selectivas,
reuniones, pruebas CAATs, pruebas de sistemas operativos, de igual manera se validó
el debido cumplimiento de las normas, políticas y procedimientos establecidos en el
Banco y las regulaciones así como también la integridad de las informaciones contenidas
en las plataformas base que sustentan los procesos del área citada.
Adicionalmente, verificamos:
 Revisión de los niveles de seguridad de los controladores de dominio (WIN)
 Revisión de los niveles de seguridad de los servidores HP-UX Linux (Banca2000
& TC Global)
 Revisión de los niveles de seguridad de los servidores de aplicaciones para la
muestra seleccionada
 Verificar el cumplimiento de los procedimientos establecidos para completar
actividades sensitivas (instalación de aplicación, configuración, mantenimiento,
permisología, seguridad de archivos y carpetas) etc.
 Verificar los permisos establecidos a nivel de los servidores de aplicación
 Verificar los usuarios con privilegios administrativos sobre el equipo y archivos
contenidos en el mismo.
 Verificación de los servicios activos y la funcionalidad de los mismos
Página 2 de 434 INFORME PRELIMINAR
PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac
COPIA: Sres. Hampton Castillo, Juan Manuel Ro

Romero
Vicepresidente Ejecutivo & Gerente Gen
Auditoría & Subgerente de Sistemas de Info
OBJETIVO: Evaluar el cumplimiento de las normas, políticas

controles manuales y automáticos usados por el
funciones, así mismo validar que los riesgos asoc
debidamente controlados, permitiendo que se cu
la entidad.
ALCANCE: Para esta auditoría evaluamos los riesgos y co

Unidad de Tecnología de Información, median

Romero

la entidad.


Romero

la entidad.

FECHA: 02/04/2015

Romero

la entidad.


Romero

la entidad.

REF: PG-SOTI-2015-01

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Contenido

Romero

la entidad.

I. RESUMEN DE LOS HALLAZGOS Y RECOMENDACIONES ............................................................................ 3

Romero

la entidad.

II. DESCRIPCIÓN DE LOS HALLAZGOS Y RECOMENDACIONES .................................................................... 3

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

I. RESUMEN DE LOS HALLAZGOS Y RECOMENDACIONES

Romero

la entidad.

II. DESCRIPCIÓN DE LOS HALLAZGOS Y RECOMENDACIONES

Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.1 – CuentasUsuarios Servidores de Aplicación WIN

Romero

la entidad.

Descripción En el proceso de evaluación a los niveles se seguridad del Controlador de Dominio BP y

Romero

la entidad.

de los servidores de aplicaciones de la muestra seleccionada fueron identificadas:

Romero

la entidad.


Romero

la entidad.

1. Usuarios creados localmente en los equipos

Romero

la entidad.

2. Cuentas activas de usuarios que ya no pertenecen a la entidad. (irosa& jetorres)

Romero

la entidad.


Romero

la entidad.

Criterio Manuales de P&P internos:

Romero

la entidad.

Política de TI

Romero

la entidad.


Romero

la entidad.

Marcos de Referencias:

Romero

la entidad.

Cobit

Romero

la entidad.

Itil

Romero

la entidad.

Causa Deficiencias en el proceso de administración de cuentas de usuarios

Romero

la entidad.

Insuficiencia de controles a los procesos asociados

Romero

la entidad.


Romero

la entidad.

Riesgo Ejecución, gestión y entrega de procesos:

Romero

la entidad.

Que se realicen actividad no autorizada y que se realicen actividades de usurpación de

Romero

la entidad.

cuentas.

Romero

la entidad.


Romero

la entidad.

Fraude Internos: Posibilidad que usuarios mal intencionados hagan uso de cuentas de

Romero

la entidad.

usuarios activas en perjuicio de la entidad o para beneficios propios.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación CuentasUsuarios Servidores de Aplicación WIN

Romero

la entidad.

Prioridad Alto

Romero

la entidad.

Descripción Evaluar la posibilidad de crear un mecanismo de control que les permita desactivar

Romero

la entidad.

aquellas cuentas de usuarios que no pertenecen a la entidad

Romero

la entidad.


Romero

la entidad.

Respuesta de la Los usuarios mencionados (irosa y jetorres) fueron desactivados. Para que esto se

Romero

la entidad.

Administración realice proactivamente mesa de ayuda debe informar a los departamentos de la salida

Romero

la entidad.

de personal indicando a cuales sistemas tenía acceso para proceder a desactivarlos.

Romero

la entidad.

Nosotros no tenemos el control ni la manera de saber cuándo un empleado deja de

Romero

la entidad.

pertenecer a la empresa, mesa de ayuda es quien tiene que crear el procedimiento de

Romero

la entidad.

informarnos cuando un empleado sale para así como cuando nos solicita crear los

Romero

la entidad.

usuarios, nos solicite también desactivarlo.

Romero

la entidad.


Romero

la entidad.

Fecha de Inmediata, si mesa de ayuda nos solicita la acción en el momento oportuno.

Romero

la entidad.

implementación

Romero

la entidad.

Contactos y Roles Francy Romero

Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.2 - Rastros de Auditoría Servidores HP-UX

Romero

la entidad.

Descripción En la revisión de la seguridad de los servidores HP-UX svrdban y svrdbtc, se identificó

Romero

la entidad.

que no están registrando los rastros de auditoría de los intentos fallidos de inicio de

Romero

la entidad.

sesión de los usuarios en el sistema.

Romero

la entidad.


Romero

la entidad.

Manual de TI

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Cobit

Romero

la entidad.

Itil

Romero

la entidad.

Causa Carencia controles en el proceso de instalación, configuración y mantenimiento de

Romero

la entidad.

Sistemas Operativos e inadecuada supervisión de los mismos.

Romero

la entidad.

Riesgo Operacional: Posibilidad de pérdidas por fallas en los procesos internos.

Romero

la entidad.


Romero

la entidad.

Ejecución, Gestión y Entrega de Procesos: Que se realicen actividad no autorizada y

Romero

la entidad.

que las mismas puedan pasar desapercibida y/o no identificadas debido a que no contamos

Romero

la entidad.

con los logs transaccionales de los mismos.

Romero

la entidad.


Romero

la entidad.

Interrupción de Procesos y Fallas en los Sistemas: Pérdidas derivadas de

Romero

la entidad.

interrupciones del negocio o de fallas en los sistemas de información.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Activar rastros / logs de auditoría HP-UX

Romero

la entidad.

Prioridad Alto

Romero

la entidad.

Descripción Evaluar la posibilidad de configurar y activar los rastros de auditoría de los intentos

Romero

la entidad.

fallidos de inicio de sesión de los usurarios en el servidor e implementar el control

Romero

la entidad.

para la revisión periódica de dichos logs.

Romero

la entidad.

Respuesta de la Se requiere del soporte de algún suplidor externo para poder completar esta tarea. (Ej:

Romero

la entidad.

Administración SINERGIT) debe ser autorizado por Francy Romero y/o Juan Manuel Rodriguez.

Romero

la entidad.

Francy Romero: Sujeto a una cotización y aprobación por parte del negocio, estamos

Romero

la entidad.

en proceso de solicitarla.

Romero

la entidad.

Fecha de 22-05-2015

Romero

la entidad.

implementación

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.3 - Administración seguridad usuarios locales HP-UX

Romero

la entidad.

Descripción En la revisión de la seguridad de los servidores HP-UX svrdban y svrdbtc se identificó

Romero

la entidad.

que:

Romero

la entidad.


Romero

la entidad.

 El sistema está configurado como "Non-shadowed" por lo que las contraseñas de

Romero

la entidad.

los usuarios se mantienen en un archivo el cual es de acceso abierto (lectura) a

Romero

la entidad.

todos los usuarios, con lo cual.

Romero

la entidad.

 El usuario "jabreu" se encuentra activo, sin embargo pertenece a Jonathan Abreu,

Romero

la entidad.

quien ya no forma parte del personal activo del Banco.

Romero

la entidad.

 Las cuentas "scomagnt, snbackup" que se encuentran activas en el servidor, sin

Romero

la entidad.

embargo no se dispone de documentación que avale la necesidad y uso de las

Romero

la entidad.

mismas.

Romero

la entidad.

 El usuario "ccabrera"el cual se encuentra activo, sin embargo pertenece a César

Romero

la entidad.

Cabrera, quien ya no forma parte del personal activo de Banco.

Romero

la entidad.

 El usuario "Guerrero" se encuentra activo, sin embargo pertenece a Cristhian

Romero

la entidad.

Guerrrero, quien ya no forma parte del personal activo del Banco.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Manual de TI

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Cobit

Romero

la entidad.

Itil

Romero

la entidad.

Causa Carencia en los controles en el proceso de creación de usuarios locales, configuración del

Romero

la entidad.

sistema y administración de contraseñas.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Ejecución, Gestión y Entrega de Procesos: Que se realicen actividad no autorizada y

Romero

la entidad.

que las mismas no sean identificadas oportunamente.

Romero

la entidad.


Romero

la entidad.

Prácticas y Errores de Empleados: Que se ejecuten procesos críticos de forma errónea

Romero

la entidad.

por falta de conocimiento, que los datos de la entidad a nivel de base de datos puedan ser

Romero

la entidad.

manipulado de forma malintencionada en perjuicio de los clientes y de sus objetivos

Romero

la entidad.

fundamentales.

Romero

la entidad.


Romero

la entidad.

Fraude Internos: Posibilidad que usuarios mal intencionados hagan uso de las funciones

Romero

la entidad.

e informaciones para beneficios propios y/o en perjuicio de la entidad.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Administración seguridad usuarios locales HP-UX

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Evaluar la posibilidad de:

Romero

la entidad.


Romero

la entidad.

 Cambiar la configuración del sistema a un modo seguro, de forma que las

Romero

la entidad.

contraseñas se almacenen en un archivo separado y protegido.

Romero

la entidad.

 Se implementen los mecanismos de control para la desactivación oportuna de

Romero

la entidad.

los usuarios locales de empleados no activos en el Banco.

Romero

la entidad.

 Se determine y documenten el uso y necesidad de las cuentas de servicios y

Romero

la entidad.

de usuarios que se encuentren activas en el servidor, y se desactiven aquellas

Romero

la entidad.

que no sean requeridas.

Romero

la entidad.


Romero

la entidad.

Respuesta de la Los casos resaltados en color verde fueron resueltos, los usuarios mencionados fueron

Romero

la entidad.

Administración deshabilitados. Los demás están pendientes debido a que poner el sistema Trusted no

Romero

la entidad.

se tiene claro el impacto que esto puede generar en la base de datos de producción del

Romero

la entidad.

core bancario. Los usuarios scomagnt, snbackup no se tienen documentación que

Romero

la entidad.

indique para que se utilizan, en caso de requerir desactivarlos necesito autorización de

Romero

la entidad.

Francy Romero y/o Juan Manuel Rodriguez.

Romero

la entidad.

Francy Romero: No contamos con las informaciones ni la documentación,

Romero

la entidad.

actualmente estamos trabajando en recopilarlas.

Romero

la entidad.

Fecha de 15-06-2015

Romero

la entidad.

implementación

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.4 - Servicios ftp, telnet y tftp activos

Romero

la entidad.

Descripción En la revisión de la seguridad de los servidores HP-UX svrdban y svrdbtc se identificó

Romero

la entidad.

que los servicios ftp, telnet y tftp se encuentran actualmente activos y no se dispone

Romero

la entidad.

documentación de porqué son requeridos dichos servicios.

Romero

la entidad.


Romero

la entidad.

 Legislaciones Aplicables

Romero

la entidad.

 Disposiciones Regionales

Romero

la entidad.

 Manual de Política y Procedimientos de TI

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

 Cobit 4.0

Romero

la entidad.

 ITIL

Romero

la entidad.

Causa Carencia en los controles de seguridad y configuración del sistema operativo e

Romero

la entidad.

insuficiencia de supervisión en los mismos

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Verificar configuración servicios ftp, telnet y tftp

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Evaluar la posibilidad de determinar y evaluar el uso y necesidad del uso de los

Romero

la entidad.

servicios de ftp, telnet y tftp; de ser requeridos que se documente el porqué de su

Romero

la entidad.

uso.

Romero

la entidad.

Respuesta de la La posible solicitud o autorización para que estos servicios estén activos antecede mi

Romero

la entidad.

Administración presencia en la empresa y desactivarlos sin conocer las consecuencias puede ocasionar

Romero

la entidad.

inestabilidad en el sistema. Para desactivar estos servicios (no documentados del por

Romero

la entidad.

qué se necesitan) necesito autorización de mis supervisores Francy Romero y/o Juan

Romero

la entidad.

Manuel Rodriguez.

Romero

la entidad.

Francy Romero: No podemos dar evidencia de la justificación de servicios activos

Romero

la entidad.

desde hace años en los servidores y de los cuales no existe ninguna documentación.

Romero

la entidad.

La forma en que desactivar esto puede impactar el negocio es impredecible, por lo que

Romero

la entidad.

necesitamos tiempo para hacer pruebas controladas.

Romero

la entidad.

Fecha de 15-06-2015

Romero

la entidad.

implementación

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.5 - Patches de seguridad

Romero

la entidad.

Descripción En la revisión de la seguridad de los servidor HP-UX svrdban y svrdbtc se identificó que

Romero

la entidad.

no disponen de los últimos patches liberados por HP para la versión HP-UX B.11.31

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

 Cobit 4.0

Romero

la entidad.

 ITIL

Romero

la entidad.

Causa Carencia en los controles en la administración del sistema operativo e inadecuada

Romero

la entidad.

supervisión en los procesos de configuración.

Romero

la entidad.


Romero

la entidad.

.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Instalación patches de seguridad

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Evaluar la posibilidad de revisar las actualizaciones liberadas por el fabricante para la

Romero

la entidad.

versión actual del sistema operativo del servidor e instalarlas.

Romero

la entidad.


Romero

la entidad.

Implementar mecanismos de control de cambio para documentar y el proceso de

Romero

la entidad.

actualización del sistema operativo.

Romero

la entidad.

Respuesta de la Antes de implementar estos Parchos se requiere de la certificación de que no afectaría

Romero

la entidad.

Administración la producción (BASE DE DATOS CORE BANCARIO), actualmente no disponemos

Romero

la entidad.

de un ambiente pre-productivo donde probar dichos parchos.

Romero

la entidad.

Francy Romero: Estamos evaluando la compra de equipos para consolidar los

Romero

la entidad.

ambientes no productivos, inmediatamente contemos con estos ambientes controlados

Romero

la entidad.

haremos las pruebas y podremos determinar la posibilidad de ejecutar estas acciones.

Romero

la entidad.

Fecha de 15-08-2015

Romero

la entidad.

implementación

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.6 - Event Viewer

Romero

la entidad.

Descripción Se observó que la configuración y tiempo de sobre escritura de los Event Viewer de los

Romero

la entidad.

servidores de las aplicaciones abajo citadas no se corresponden con las sugerencias de las

Romero

la entidad.

buenas prácticas de seguridad de Sistemas de Información.

Romero

la entidad.


Romero

la entidad.

Servidores de Aplicación:

Romero

la entidad.

- Nohelia

Romero

la entidad.

- TeamMate

Romero

la entidad.

- Monitor Plus

Romero

la entidad.

- Dynamics

Romero

la entidad.

- Banca Seguro

Romero

la entidad.

- Eikon

Romero

la entidad.

- Aperta

Romero

la entidad.

- Eikon

Romero

la entidad.

- Aperta

Romero

la entidad.

- Bizagi

Romero

la entidad.

Criterio Se observó que la configuración y tiempo de sobre escritura de los Event Viewer de los

Romero

la entidad.

servidores de las aplicaciones arriba citadas no se corresponden con las sugerencias de

Romero

la entidad.

las buenas prácticas de seguridad de Sistemas de Información.

Romero

la entidad.

Causa Posibilidad de que se ejecuten acciones por no autorizado y que las mismas no pueda ser

Romero

la entidad.

identificada oportunamente.

Romero

la entidad.

Insuficiencia de controles de procedimientos de revisión

Romero

la entidad.

Riesgo Ejecución, Distribución y Gestión de Procesos:

Romero

la entidad.

Que se realicen actividad no autorizada y que las mismas puedan pasar desapercibida y/o

Romero

la entidad.

no identificadas debido a que no contamos con los logs transaccionales de los mismos.

Romero

la entidad.


Romero

la entidad.

Interrupción de operaciones y Fallas en los Sistemas:

Romero

la entidad.

Pérdidas derivadas de interrupciones del negocio o de fallas en los sistemas de

Romero

la entidad.

información.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Event Viewer

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Reconsiderar la configuración sugerida y evaluar la posibilidad de crear un

Romero

la entidad.

procedimiento de revisión periódico.

Romero

la entidad.


Romero

la entidad.

- Security: 20-30 MB (Overwrite after 14 days)

Romero

la entidad.

- System: 16 MB (Overwrite after 14 days)

Romero

la entidad.

- Application: 16 MB (Overwrite after 14 days)

Romero

la entidad.

Respuesta de la Favor enviar si se tiene el documento de las buenas prácticas de seguridad a las que

Romero

la entidad.

Administración se hace mención para retención de logs y proceder a evaluarlo para implementarlo.

Romero

la entidad.

Fecha de 15-07-2015

Romero

la entidad.

implementación

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.7 - Permisologia Directorios

Romero

la entidad.

Descripción Se identificaron usuarios finales con permisos especiales sobre los siguientes

Romero

la entidad.

directorios, para los servidores de aplicación abajo en detalle, lo cual incrementa la

Romero

la entidad.

posibilidad de fallas e interferencias en el buen funcionamiento de las aplicaciones.

Romero

la entidad.


Romero

la entidad.

Servidores de Aplicación

Romero

la entidad.

- Nohelia

Romero

la entidad.

-TeamMate

Romero

la entidad.

- Monitor Plus

Romero

la entidad.

- Dynamics

Romero

la entidad.

- Banca Seguro

Romero

la entidad.

- Eikon

Romero

la entidad.

- Aperta

Romero

la entidad.

- Eikon

Romero

la entidad.

- Aperta &

Romero

la entidad.

- Bizagi

Romero

la entidad.

Directorios:

Romero

la entidad.

- %systemdrive%

Romero

la entidad.

- %systemroot%\

Romero

la entidad.

- %systemroot%\system32

Romero

la entidad.

- %systemroot%\system32\drivers

Romero

la entidad.

- %systemroot%\system32\config

Romero

la entidad.

- %systemroot%\repair

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

 Cobit 4.0

Romero

la entidad.

 ITIL

Romero

la entidad.

Causa Carencia de controles en el proceso de configuración y administración del SO de los

Romero

la entidad.

servidores de aplicación.

Romero

la entidad.

Riesgo Prácticas y errores de empleados:

Romero

la entidad.

Que se ejecuten procesos críticos de forma errónea por falta de conocimiento o de forma

Romero

la entidad.

intencional perjuicio de la entidad y sus objetivos fundamentales.

Romero

la entidad.


Romero

la entidad.

Interrupción de operaciones y Fallas en los Sistemas:

Romero

la entidad.

Pérdidas derivadas de interrupciones del negocio o de fallas en los sistemas de

Romero

la entidad.

información.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Permisologia Directorios

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Evaluar la posibilidad de eliminar los accesos a usuarios finales sobre los directorios

Romero

la entidad.

antes mencionado para los servidores de la muestra

Romero

la entidad.


Romero

la entidad.

Respuesta de la Todos los directorios mencionados son directorios propios del sistema operativo y si

Romero

la entidad.

Administración por alguna razón algún grupo de usuarios tiene permisos explícitos en estos, seria por

Romero

la entidad.

el uso de la aplicación, se desconoce a falta de documentación la repercusión del

Romero

la entidad.

cambio/modificación de estos permisos ante el funcionamiento de los aplicativos.

Romero

la entidad.

Para ser removidos/modificados estos permisos necesitaría autorización de mis

Romero

la entidad.

supervisores Francy Romero y/o Juan Manuel Rodriguez.

Romero

la entidad.

Fecha de

Romero

la entidad.

implementación 15-08-2015

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.

Hallazgo ISS.8 - Recursos Compartidos

Romero

la entidad.

Descripción Durante el proceso de revisión a los niveles de seguridad de los SOs de los servidores de

Romero

la entidad.

aplicación identificamos recursos compartidos (Share) de los cuales no pudimos obtener

Romero

la entidad.

el uso, funcionalidad y aprobación por parte del área usuaria.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

 Cobit 4.0

Romero

la entidad.

 ITIL

Romero

la entidad.

Causa Carencia de controles en el proceso de instalación y configuración de los SOs

Romero

la entidad.

e inadecuada supervisión de los mismos.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Prácticas y Errores de Empleados: Que se ejecuten procesos críticos de forma errónea

Romero

la entidad.

por falta de conocimiento, que los datos de la entidad contenidos en los recursos

Romero

la entidad.

compartidos puedan ser manipulado de forma malintencionada.

Romero

la entidad.


Romero

la entidad.


Romero

la entidad.


Romero

la entidad.

Recomendación Recursos Compartidos

Romero

la entidad.

Prioridad Medio

Romero

la entidad.

Descripción Evaluar la posibilidad de hacer una revisión de los accesos sobre los recursos

Romero

la entidad.

compartidos así como fortalecer el cumplimiento de lo descrito en las políticas

Romero

la entidad.

internas.

Romero

la entidad.

Respuesta de la Solicitar a Mesa de Ayuda hacer un levantamiento con los usuarios de los shares

Romero

la entidad.

Administración mencionados para poder depurarlos/documentarlos y hacer las correcciones de lugar.

Romero

la entidad.

Francy Romero: No somos nosotros los dueños de este proceso, nosotros ejecutamos

Romero

la entidad.

las solicitudes de mesa de ayuda. Cuando tengamos el listado de los usuarios de los

Romero

la entidad.

shares procederemos a dar fecha de compromiso.

Romero

la entidad.

Fecha de

Romero

la entidad.

implementación Sujeto a listado suministrado por mesa de ayuda

Romero

la entidad.


Romero

la entidad.

Aprobador final

Romero

la entidad.


Romero

la entidad.

Juan Carlos Muñoz

Romero

la entidad.

Propietario

Romero

la entidad.


Romero

la entidad.


Informe Preliminar SOs

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Informe Preliminar SOs

Hochgeladen von

Copyright:

Verfügbare Formate

AUDITORIA INTERNA

PARA: Sr. Juan Carlos Muñoz, Enc. De Administración de Sistemas

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

OBJETIVO: Evaluar el cumplimiento de las normas, políticas, procedimientos, funcionamiento de los

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

Página 5 de 434 INFORME PRELIMINAR

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

Página 7 de 434 INFORME PRELIMINAR

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI

ASUNTO: Auditoría Sistemas Operativos

COPIA: Sres. Hampton Castillo, Juan Manuel Ro

OBJETIVO: Evaluar el cumplimiento de las normas, políticas

ALCANCE: Para esta auditoría evaluamos los riesgos y co

PARA: Sr. Juan Carlos Muñoz, Enc. De Administrac

DE: Jenny Madé, Sub-Gerente Auditoría de TI