UNIVERSIDAD ESPECIALIZADA DEL CONTADOR

PÚBLICO AUTORIZADO

Facultad de: AUDITORIA

Nombre del Módulo: AUDITORIA DE SISTEMAS

Informe de Auditoria de Sistema de Tecnología de la

Información
Investigadores:

Roberto Samaniego 6-702-225

Emir Montenegro 8-806-1497

Diego Thau E-8-105655

Docente: Beluis Gordón

Panamá, República de Panamá.

Junio 2018
 INFORME DE AUDITORIA S.I

2018-01-01

PARA: Dirección General - Empresa XYZ

DE: Departamento de Auditoria de Tecnología de la Información

ASUNTO: Cumplimiento de Seguridad Lógica y Seguridad Física del

departamento Tecnología de la Información

FECHA: 20/06/2018

__________________________________________________________________

Presentamos en base a su solicitud de revisión de la nueva infraestructura

tecnológica implementada en la organización, cumple con las medidas de seguridad
y aspectos de gobierno TI requeridos.

Objetivo de la Auditoria:

• Evaluar el cumplimiento de los aspectos de Seguridad y Gobierno de TI de

la nueva infraestructura tecnológica implementada en la organización para
dar una seguridad razonable.

Alcance de la Auditoria:

Este informe analiza el nivel de cumplimiento de Seguridad y Gobierno de TI de la

nueva infraestructura tecnológica implementada en la organización, para lograr el
alcance se hará una comparación en base a las mejores prácticas dictaminadas en
los marcos de referencia COBIT5, ITIL e ISO 27001 y 270001. Durante la etapa de
ejecución se realizaron las evaluaciones a cada uno de los componentes del
sistema de Seguridad y Gobierno de TI, mediante el revisión, análisis y evaluación
del cumplimiento de los siguientes documentos:
 • políticas de seguridad lógica
• políticas de gestión de activos
• políticas y procedimientos de continuidad de negocio.

El presente informe corresponde al periodo comprendido entre 1 de enero del

2018 y el 31 de mayo de 2018.

Metodología:

Nuestro trabajo está basado en metodologías que permiten identificar y valorar el

nivel de cumplimiento de aspectos de seguridad. Se han usado los siguientes
métodos de revisión
• Observación
• Análisis de datos y documentos
• Revisión de archivos
• Entrevistas
• Otros

Hallazgos:

Hallazgo No 1: Inadecuada Ubicación del Centro de Datos.

• Condición: El Centro de Datos se encuentra ubicado en un área vulnerable a

eventos naturales de alto riesgos. que pueden comprometer la continuidad del
negocio.
• Causa: Actual ubicación del Centro de Datos, ya que se encuentra en un lugar
propenso a desastres.
• Criterio: ISO 27002, Gestión de Activos, “los activos fundamentales de la
organización es la información por lo que se deben establecer medidas
 adecuadas para protegerlos de las incidencias, quiebras en la seguridad y
alteración no deseada”.
• Efecto: Posible pérdida de la información por una inundación.
• Recomendación: Ubicar el Centro de Datos en un lugar intermedio del edificio.

Hallazgo No. 2: Ausencia de Segregaciones de Funciones.

• Condición: El Operador de Sistemas realiza el ciclo completo de los sistemas

de información.
• Causa: Concentración de funciones en una sola persona.
• Criterio: ISO 27002 Organización de la Seguridad de la Información. “Se debe
estructurar un marco de seguridad que sea eficiente dentro de las empresas y
esto se realizara mediante los roles, tareas, seguridad”
• Efecto: Posible fraude por manipulación de la información.
• Recomendación: Segregar tareas y funciones en otras personas.

Hallazgo No.3: Inadecuado Gestión de Entrega y Despliegue de los Cambios

en los Mantenimientos de los Sistemas.

• Condición: Aplicación de directa en los mantenimientos de los sistemas al

computador de producción.
• Causa: No realizan una adecuada verificación, validación y pruebas
previamente al computador de producción.
• Criterio: ITIL (Transición del Servicio, Gestión de Entrega y Despliegue. “Para
las nuevas versiones se debe hacer los planes de liberación, construir, instalar
e hacer las pruebas y diseñar e implementar los procedimientos para la
instalación”.
• Efecto: Posible errores en la ejecución de los mantenimientos.
• Recomendación: Segregar tareas y funciones en otras personas.
Hallazgo No.4: Ausencia de Segregaciones de Funciones.

• Condición: Jefe de seguridad se encargado de lo controles de seguridad

respectivos y responsable de la base de datos.
• Causa: Concentración de dos funciones críticas en una sola persona.
• Criterio: ISO 27002 Organización de la Seguridad de la Información. “Se debe
estructurar un marco de seguridad que sea eficiente dentro de las empresas y
esto se realizara mediante los roles, tareas, seguridad”.
• Efecto: Posible fraude o ineficiencia en la gestión por exceso de
responsabilidades.
• Recomendación: Segregar funciones, definir un encargado para los controles
de seguridad y un encargado de la base de datos.

Hallazgo No.5: Ausencia de una Gestión de Accesos.

• Condición: No se ha logrado establecer una clasificación de servicios y accesos

por niveles de usuarios.
• Causa: No se ha logrado establecer una gestión de accesos debido a la cantidad
de instituciones que trabajan con la organización.
• Criterio: ITIL, Operación del Servicio, gestión de acceso. “Se debe administrar
los accesos que posean los usuarios y definir niveles. La gestión de accesos
brinda derechos a usuarios para que de esta manera puedan acceder a uno o
varios servicios”. ISO 27002, Gestión de Accesos “Una de las principales
amenazas externas es controlar quien accede a la información dentro de un
aspecto relevante. Como se sabe no todas las personas en una empresa
necesitan acceder para realizar su actividad diarias a todos los datos, sino que
tendremos roles que necesitan un mayor acceso y otros con un acceso mucho
más limitado”
• Efecto: Alta exposición del riesgo de fraude por una inadecuada gestión de
accesos.
• Recomendación: Crear un catálogo de servicios con niveles de usuarios y
privilegios estrictos y justificados.

Hallazgo No.6: Incumplimiento de las Políticas de Seguridad.

• Condición: Ausencia de registros y/o trazabilidad de los datos y servicios.

• Causa: Incumplimiento de las políticas de seguridad recomendadas por los
softwares.
• Criterio: Políticas y Manuales de seguridad establecidas en los softwares
actualmente funcionando en la organización.
• Efecto: Accesos a datos sin autorización y/o hurto de datos sin detectar o
conocer causa y origen del fraude.
• Recomendación: Aplicar todos las políticas y manuales que exigen todos los
softwares.

Hallazgo No.7: Inadecuada Gestión de Contraseñas

• Condición: No se realiza como se describe en la política de tecnología las

actualizaciones de contraseñas.
• Causa: Incumplimiento de las políticas de tecnología y nivel transaccional
elevado.
• Criterio: Políticas de tecnología existentes en el Departamento de Tecnología.
ISO 27002, Criptografía, “Cuando se trata de información crítica o sensible se
pueden establecer diversas técnicas criptográficas para proteger y garantizar su
autenticidad, confidencialidad e integridad”.
• Efecto: Los cambios de contraseña a discreción de los usuarios puede
ocasionar robos de contraseña y por lo tanto ocurrencia de fraudes.
• Recomendación: Aplicar las políticas de gestión de contraseñas establecidas
en el departamento de tecnología.
Hallazgo No.8: Ausencia de Revisiones de Perfiles y Accesos Periódicas.

• Condición: No se realizan revisiones periódicas de los perfiles actuales y sus

accesos y privilegios.
• Causa: Nivel transaccional elevado y ausencia de revisiones periódicas de
perfiles y accesos.
• Criterio: ITIL, Operación del Servicio, gestión de acceso. “Se debe administrar
los accesos que posean los usuarios y definir niveles. La gestión de accesos
brinda derechos a usuarios para que de esta manera puedan acceder a uno o
varios servicios”. ISO 27002, Gestión de Accesos “Una de las principales
amenazas externas es controlar quien accede a la información dentro de un
aspecto relevante. Como se sabe no todas las personas en una empresa
necesitan acceder para realizar su actividad diarias a todos los datos, sino que
tendremos roles que necesitan un mayor acceso y otros con un acceso mucho
más limitado”
• Efecto: Riesgo de hurto de información, perfiles inexistentes y accesos no
autorizados a perfiles.
• Recomendación: Revisar de manera periódica los perfiles actuales con sus
accesos.

Hallazgo No 9: Ausencia de Responsabilidades y Concientización de los

Usuarios.

• Condición: Los usuarios son conscientes del riesgo expuesto en cuanto al uso
adecuado de sus perfiles y contraseñas.
• Causa: Estaciones de computo desatendidas.
• Criterio: Formulario impartido por RRHH acerca de la importancia del uso de
claves personales. ISO 27002, Seguridad Relativa a los RH, “la mayoría de los
incidentes que sufren las organizaciones se debe al error humano. Las empresas
deben formar a un personal con conciencia de seguridad en el que se promueva
la importancia de la información en el desarrollo de sus actividades, además
 promover, mantener y mejorar el nivel de seguridad adecuándolo a las
características de los datos”. ISO 27002, Seguridad física y del entorno, “Cuando
se habla de seguridad no solo es a nivel tecnológico sino también físico, es decir,
no se debe dejar pantallas o documentos a simple vista de esta manera
permitiremos gestionar una adecuada seguridad a partir de los hábitos
organizacionales”.
• Efecto: Acceso restringido a información por terceros y/p hurto de información.
• Recomendación: Cumplir con el formulario establecido por RRHH acerca de la
responsabilidad de los usuarios y sus contraseñas.

Hallazgo No 10: Obtención y Colocación de Aplicaciones a discreción de los

usuarios.

• Condición: Se han adquirido softwares y aplicaciones de acuerdo a solicitudes

de usuarios sin analizar su necesidad, inversión y retorno obtenido.
• Causa: No se evalúan ni se cuestionan los pedidos de softwares y aplicaciones
de los usuarios.
• Criterio: ITIL, Estrategia del Servicio, gestión de la demanda, “Asegurar la
calidad del servicio a través de un balance entre los recursos ofrecidos y
disponibles y la demanda. Se debe evaluar constantemente los patrones de
cambio en la demanda y poder ajustar los servicios de manera eficiente y
oportuna”.
• Efecto: Pérdidas económicas, incurrir en inversiones y costos innecesarios para
la organización.
• Recomendación: Evaluar la demanda de los usuarios de acuerdo a los objetivos
y necesidades de la organización. Evaluar inversión y retorno.
Hallazgo No 11: Ausencia de identificación en los Activos Hardware

• Condición: Los equipos tecnológicos se encuentran sin identificación de

propietario alguna.
• Causa: No se coloca identificación de dueño o propietario de los equipos
tecnológicos.
• Criterio: ITIL, Transición del Servicio, gestión de la configuración y el activo del
servicio, “se debe conocer a detalle toda la infraestructura de TI de la
organización, manteniendo un control detallado de todos los elementos que
configuran el departamento TI”.
• Efecto: Hurto o pérdida de equipos tecnológicos.
• Recomendación: Colocar un registro de propiedad de los equipos tecnológicos,
identificando dueño, actualizaciones y mantenimiento.

Hallazgo No 12: Accesos a personal no autorizado

• Condición: Al área de computo ingresa personal no autorizado.

• Causa: Incumplimiento de los controles de tarjeta de acceso a área no
autorizada.
• Criterio: ITIL, Operación del Servicio, gestión de acceso. “Se debe administrar
los accesos que posean los usuarios y definir niveles. La gestión de accesos
brinda derechos a usuarios para que de esta manera puedan acceder a uno o
varios servicios”. ISO 27002, Gestión de Accesos “Una de las principales
amenazas externas es controlar quien accede a la información dentro de un
aspecto relevante. Como se sabe no todas las personas en una empresa
necesitan acceder para realizar su actividad diarias a todos los datos, sino que
tendremos roles que necesitan un mayor acceso y otros con un acceso mucho
más limitado”.
• Efecto: Hurto y acceso a equipo tecnológico y datos.
• Recomendación: Mantener un control estricto de tarjetas de acceso y usuario
autorizados.

Hallazgo No 13: Ausencia de Seguros de entrada en Área de Computo

• Condición: Las entradas a las áreas de computo se encuentran sin seguros

apropiados.
• Causa: Inexistencia de seguros de entrada.
• Criterio: ITIL, Operación del Servicio, gestión de acceso. “Se debe administrar
los accesos que posean los usuarios y definir niveles.
La gestión de accesos brinda derechos a usuarios para que de esta manera
puedan acceder a uno o varios servicios”. ISO 27002, Gestión de Accesos “Una
de las principales amenazas externas es controlar quien accede a la información
dentro de un aspecto relevante. Como se sabe no todas las personas en una
empresa necesitan acceder para realizar su actividad diarias a todos los datos,
sino que tendremos roles que necesitan un mayor acceso y otros con un acceso
mucho más limitado”.
• Efecto: Posible hurto de equipos y datos del área de computo.
• Recomendación: Instalar seguros de entrada apropiados a todas las áreas de
tecnología.

Hallazgo No 14: Irregularidad en el mantenimiento de la Planta Eléctrica.

• Condición: No se realiza mantenimiento a la planta eléctrica de manera

periódica.
• Causa: Por criterio de ahorro económico se revisa y se da mantenimiento a la
planta eléctrica estrictamente cuando surge la necesidad.
• Criterio: ITIL, Diseño del Servicio, Gestión de la Disponibilidad, “garantizar que
se cumplan los niveles de disponibilidad acordados”. ITIL, Diseño del Servicio,
Gestión de la Continuidad, “garantizar la continuidad de los servicios en cierto
periodo y evitando el menor impacto posible en los servicios más relevantes”.
• Efecto: Alto exposición a riesgo de continuidad de negocio.
• Recomendación: Establecer un cronograma de mantenimiento continuo a la
planta eléctrica.

Hallazgo No 15: Inadecuada ubicación de los Backups realizados

• Condición: Los backups realizados del día se encuentran ubicados en un área

vulnerable a eventos naturales de alto riesgos. que pueden comprometer la
continuidad la información.
• Causa: Actual ubicación de los bakups.
• Criterio: ISO 27002, Gestión de Activos, “ los activos fundamentales de la
organización es la información por lo que se deben establecer medidas
adecuadas para protegerlos de las incidencias, quiebras en la seguridad y
alteración no deseada”.
• Efecto: Posible pérdida de la información de los backups por inundación.
• Recomendación: Ubicar los backups a un nivel intermedio del edificio.

Conclusión:

Los niveles de cumplimiento que la seguridad lógica, seguridad física y continudad

de negocios de los sistemas de información de la organización no se gestionan de
manera adecuada. Es decir, la organización es vulnerable a riesgos de TI.

Somos de la opinión que la organización no tiene implementado un marco de

tecnología de la información (COBI, ISO, ITIL). Sus políticas y procedimientos de la
organización tienen oportunidades de mejoras, para que puedan garantizar una
seguridad razonable.

De acuerdo con lo convenido, el presente informe se someterá a consideración de

la alta gerencia, a fin de que se realicen los ajustes necesarios mediante un plan de
acción.
Recomendaciones:

• Desarrollar y reforzar los manuales de procedimientos y políticas de

seguridad de TI, basada en algunos de los marcos antes mencionados.
• Generar un programa de sensibilización para el cumplimiento de
procedimientos y políticas.

EMIR MONTENEGRO

Gerente de Auditoría:

Diego Thau

Auditor Senior:

Roberto Samaniego

Auditor Junior: