Documente Academic
Documente Profesional
Documente Cultură
0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I
Objetivo.
Realizar la evaluacin de los controles aplicados a los procesos copia, restauracin, y resguardo de la
informacin, con la persona encargada de sistemas de la empresa SOTRANDES S.A.S (Sociedad
Transportadora de los Andes) en el periodo en, de acuerdo a los procedimientos internos de la
institucin y a la norma NTC-ISO/IEC 27001 y buenas prcticas de TI.
Alcance.
Se va a tomar del periodo del ao 2016 del mes de abril del da 1 hasta el 13 de mayo del 2016 como
muestra de los procesos que se estn llevando acabo y registros o documentos los cuales contenga
evidencia de cmo se ha llevado la aplicacin de las polticas de seguridad que se tiene en la
corporacin.
Definicin de la Muestra:
Muestra #1:
EVENTO OBSERVADO:
Se detect que todos los funcionarios de la compaa pueden acceder a la informacin visualizando los
mismos datos en el sistema.
RECOMENDACIN:
La organizacin debe:
c) Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.
1) la organizacin,
2) la tecnologa,
1) los objetivos y procesos del negocio,
2) las amenazas identificadas,
3) la eficacia de los controles implementados, y
4) eventos externos, tales como cambios en el entorno legal o
5) reglamentario, en las obligaciones contractuales, y en el clima social.
e) Realizar auditoras internas del SGSI a intervalos planificados (vase el numeral 6).
NOTA Las auditoras internas, denominadas algunas veces auditoras de primera parte, las
realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos.
f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (vase el numeral 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.
h) Registrar acciones y eventos que podran tener impacto en la eficacia o el
desempeo del SGSI (vase el numeral 4.3.3).
Muestra # 2:
EVENTO OBSERVADO:
Se detect que los equipos presentan vulnerabilidad en la informacin ya que no cuentan con
antivirus, no cuentan con un sistema operativo actualizado por lo cual se genera una alta probabilidad
de una intrusin maliciosa a los datos como lo puede ser a travs de un sniffer, spyware o malware.
RECOMENDACIN:
asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se
hayan sobrescrito de forma segura, antes de la eliminacin.
A.9.2.7 Retiro de activos
Control
Ningn equipo, informacin ni software se deben retirar sin autorizacin previa.
Muestra # 3:
EVENTO OBSERVADO:
Se evidencio que los funcionarios del rea de sistemas realizan modificaciones en los archivos
previamente actualizados.
RECOMENDACIN:
CONCLUSION
Se requiere una adecuada restructuracin del control de los datos que cumpla los requerimientos de
seguridad de la informacin en la empresa Sotrandes S.A.S, debido a que los controles que existen
actualmente no cumplen las medidas de seguridad que debe tener la empresa transportadora con el fin
de salvaguardar los activos y asegurar el que las actividades que realizan los funcionarios en la empresa
Sotrandes S.A.S se efectan con normalidad de acuerdo a las polticas de seguridad de la informacin
ptimas.
RESULTADOS DE LA AUDITORIA
Se evaluaron los controles encargados de mitigar los riesgos de perdida de la informacin para el rea
de sistemas:
Se verifico el procedimiento preventivo contra desastres naturales que afecten a las tecnologas
de informacin y que estos estn alineados con la continuidad y seguridad de la informacin.
Se evaluaron los controles preventivos que se aplican para mitigar los riesgos que afectan a la
infraestructura fsica del centro.
Donde los resultados de las pruebas obtenidos reflejan que los funcionarios conocen las polticas que
existen dentro de la organizacin, adems se evidencia que hay una resolucin que indica las pautas y
uso responsable de las tics y de correo institucional, tambin se obtuvo como resultado el que los
funcionarios estn expuestos a perdida de informacin debido a la falta de infraestructura y software
para realizar copias de seguridad.
De acuerdo a los controles establecidos por el centro de formacin se identific que este sigue como
parmetro principal de buenas practicas la norma ISO 27001 ya que SOTRANDES S.A.S no se encuentra
certificado en dicha norma, pero si en la ISO 9001, la cual genero la implementacin de un sistema para
la gestin de la calidad que tiene como uno de sus pilares la norma NTC-ISO 27001.
Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I
LISTA DE DISTRIBUCION
Copia de este informe se ha entregado a las siguientes personas:
NOMBRE CARGO
Javier Ortiz Gerente General
Julio Rodrguez Ingeniero de Sistemas
Esteba Arbelez Coordinador de Sistemas
ANEXOS
1. Ingreso al servidor
2. Inventario
3. Mantenimiento
4. Proceso de Backup
5. Programas instalados
6. Usuarios registrados
Notas:
1. Copia de este informe debe ser devuelto al auditor firmado en seal de aceptacin y
confirmacin de lo acordado en la revisin, dentro de los siguientes cinco (5) das calendario.
Cumplido este trmino se dar como aceptado el informe.
2. El auditado cuenta con un plazo mximo de cuatro semanas a partir de la entrega de este
informe para que formule y comunique le Plan de Accin para el tratamiento de las No
Conformidades y Observaciones que se relacionan y enviar copia de ste al auditor lder para
el seguimiento correspondiente.
Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I
NOMBRE FIRMA
Elabor
Esteban Arbelez Hernndez
Auditor Lder
Aprob