Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Studocu no está patrocinado ni avalado por ningún colegio o universidad. Informe final - Un sistema es un elemento completo donde cada uno de sus componentes se vincula ADSI (Servicio Nacional de Aprendizaje) Studocu no está patrocinado ni avalado por ningún colegio o universidad. Informe final - Un sistema es un elemento completo donde cada uno de sus componentes se vincula ADSI (Servicio Nacional de Aprendizaje) Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula https://www.studocu.com/co/document/servicio-nacional-de-aprendizaje/adsi/informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula/45772225?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula https://www.studocu.com/co/course/servicio-nacional-de-aprendizaje/adsi/5131262?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula https://www.studocu.com/co/document/servicio-nacional-de-aprendizaje/adsi/informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula/45772225?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula https://www.studocu.com/co/course/servicio-nacional-de-aprendizaje/adsi/5131262?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Bogotá Abril 10 de 2013 Señores Revisor Fiscal Designado por Grant Thornton Ulloa Garzón. Instituto de Ortopedia Infantil Roosevelt La Ciudad Respetados señores: Les agradecemos por el tiempo destinado al Instituto Roosevelt en el procesos de auditoría de sistemas adelantado en días interiores, igualmente por su apoyo al desarrollo tecnológico de nuestra organización mediante sus valiosas y profesionales recomendaciones dejadas como resultado de este ejercicio. Anexamos documento con la respuesta a cada una de las recomendaciones, las cuales serán incluidas en un plan de mejoramiento institucional para garantizar su implementación en el transcurso del presente año. Cordial saludo, José Ignacio Zapata Sánchez Director General Instituto de Ortopedia Infantil Roosevelt. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora Recomendación Gobierno de T.I. Plan estratégico de tecnología La dirección de tecnología de IOIR tiene documentado el plan estratégico de tecnología, el plan estratégico de tecnología hace parte del plan estratégico corporativo. El PETI es de gran importancia para el IOIR que como herramienta a la gerencia sirve para definir la situación actual de tecnología en la organización, este documento debe incluir el análisis y plan de acción para la evolución de la infraestructura tecnológica, orientado a evitar la obsolescencia tecnológica y evaluar las nuevas tecnologías que pueden ser integradas a la compañía. Una vez desarrollado el plan estratégico de tecnología se debe elaborar un plan de capacidad de TI. Un aspecto esencial de la Gestión de la Capacidad es el de asignar recursos adecuados de hardware, software y personal adecuado para cada servicio prestado por el área de tecnología con el fin de minimizar la segregación de funciones. Potencializar el Plan Estratégico de Tecnología con el plan de capacidad, este plan debe estar aprobado por la gerencia y permitir una supervisión continúa que asegure el logro de las metas y actividades del área tecnológica. Sugerimos el marco de referencia ITIL para la documentación del plan de capacidad RESPUESTA Se realizara el plan de capacidad para potencializar el Plan Estratégico teniendo en cuenta el marco de referencia ITIL, de acuerdo con las recomendaciones realizadas por el auditor. Plan de capacitación No se evidencia un plan de capacitación del personal de tecnología, el cual asegure la correcta administración de la infraestructura tecnológica actual y futura. La dirección de Tecnología del IOIR en conjunto con Recursos Humanos debe identificar, organizar, capacitar y desarrollar a los empleados que administran la infraestructura de Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 Oportunidad de Mejora Recomendación Riesgo Pérdida de competitividad Supervisión alta en las labores del empleado Disminución de la productividad tecnología, con el fin de reducir los riesgos en la integridad y seguridad de la información. RESPUESTA Este plan si existe y en la actualidad ya se está ejecutando con el apoyo de un auxilio económico por parte de instituto. Seguridad de la Información. Desempeño de la función: La función de seguridad de la información actualmente está a cargo de la Coordinación de sistemas, y aunque cuenta con personal que dispone de los conocimientos necesarios para desempeñar la función, no es una práctica segura la asignación de esta función en esta Coordinación como en ninguna otra que tenga responsabilidades de administración de T.I. Riesgo. Inadecuada segregación de funciones. Conflictos de interés. Inoportunidad en la detección de situaciones de riesgo. Incumplimiento de normatividad Disponer de un área o cargo específico con independencia de la administración de T.I., que pueda monitorear e implementar controles sobre esta área funcional. Una adecuada segregación de la función de Seguridad de la Información permitiría la verificación independiente de la aplicación de políticas de seguridad en las diferentes plataformas y componentes clave de TI, incluyendo la administración de usuarios. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora Recomendación interna vigente Contemplar la opción de apoyo en esta actividad de los órganos de control interno de IOIR, por ejemplo crear el cargo de Oficial de Seguridad de la Información o Auditoría interna. RESPUESTA Se realizará el estudio y contratación con una entidad externa especializada en seguridad de TI para garantizar adecuada administración de los riesgos respectivos y la seguridad de la información institucional. Documentación de la política de seguridad de la información Se evidencia en la documentación del proceso de TI y en particular de los procesos anexos donde se definen y/o describen controles, que estos documentos no tienen control de versión y fecha de vigencia, aprobación y quien es el responsable de la elaboración de la política ej. “Política de seguridad de la información” La política no se encuentra potencializada pues describe registro de usuarios, administración de acceso y contraseñas, pero no contiene descripción de políticas de correo electrónico ejemplo trasmisión de datos,políticas de uso de internet, confidencialidad de la información, derechos de autor y sanciones. Riesgo. Ejecución de procedimientos no autorizados. Dificultad para establecer responsabilidades. Incumplimiento de normatividad interna. Implementar procedimientos de administración de versiones y fechas de publicación y actualización de la documentación claves de T.I., así como, identificación clara en todos los casos de los responsables de su elaboración y aprobación. Potencializar la política de seguridad de la información incluyendo: políticas de correo electrónico “trasmisión de información”, políticas de uso de internet, confidencialidad de la información, propiedad intelectual “ Derechos de autor” y sanciones por violación a la política de seguridad de la información. Implementar control de lectura y aceptación por parte de todos los funcionarios de la entidad. Fortalecer los mecanismos de control de actualización con el fin de garantizar que Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 Oportunidad de Mejora Recomendación la que se encuentre publicada oficialmente. RESPUESTA Se realizarán los ajustes respectivos al procedimiento de control de versiones de tal forma que permita identificar las fechas de las actualizaciones respectivas así como los responsables, igualmente se ajustara la política de seguridad de la Información incluyendo las recomendaciones y los tópicos realizados por el auditor. No se evidencia procedimiento documentado sobre monitoreo periódico de políticas de seguridad de la información con el fin de garantizar su permanencia y actualización oportuna. Riesgo. Pérdida de confidencialidad de la información. Implementar y/o documentar procedimiento de monitoreo periódico a las políticas de seguridad de la información, así como, los hallazgos y los planes de acción consecuentes. Los procedimientos de monitoreo se pueden ejecutar por ejemplo sobre: roles y perfiles, bloqueo de servicios como puertos USB, cambio periódico de claves de acceso, no reutilización de las mismas, bloqueo de instalación, desactualización de software y hardware, etc. RESPUESTA Una vez ajustada e implementada la política de seguridad de la información, se diseñara e implementará un mecanismos de seguimiento y cumplimiento con las directrices de la política de seguridad de la información. Pruebas de Hacking Ético: No se evidencia la ejecución de pruebas de intrusión a la red de Instituto Ortopedia Infantil Roosevelt. El objetivo fundamental del Ethical Hacking (hackeo ético) es explotar las vulnerabilidades existentes en los sistemas valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y "demostrar" que un sistema es vulnerable, esta información es de gran ayuda a las organizaciones al momento de Evaluar la posibilidad de realizar un Hacking Ético, con el fin de evaluar las vulnerabilidades, una vez evaluadas tomar medidas preventivas en contra de posibles fallas de seguridad y así minimizar los riesgos sobre confidencialidad de la información del instituto de Ortopedia Roosevelt. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora Recomendación tomar las medidas preventivas en contra de posibles ataques malintencionados. Riesgo. Inoportunidad en la identificación y/o cierre de vulnerabilidades en la red de la Instituto Roosevelt Perdida de confidencialidad. RESPUESTA Se realizara la evaluación de proponentes para contratar las pruebas de Ethical Hacking y se autorizara su realización. Operación de T.I. Administración del Directorio Activo. Se evidencia usuarios genéricos en el ingreso al dominio de Windows del directorio activo. De acuerdo a la política de seguridad de la información el ítem a) “Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas”. De acuerdo a lo anterior no es una práctica segura. La seguridad de la información es garantizar que los recursos reciban un apropiado nivel de protección. Riesgo: Posibilidad de ejecución de actividades no autorizadas. Identificación inoportuna o dificultad para establecer responsabilidades. Documentar la revisión general de la información de los usuarios y grupos registrados en el Directorio Activo con el fin de garantizar la integridad y seguridad de la misma. En lo posible omitir la utilización de usuarios genéricos, y en caso de requerirse por necesidades operativas, implementar controles que permitan garantizar la identificación clara del funcionario que lo esté utilizando en determinado momento. RESPUESTA Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 Oportunidad de Mejora Recomendación De acuerdo a las necesidades del instituto, teniendo en cuenta que en el área asistencial cada computador es usado por muchas personas en diferentes horarios que no son fijos, el instituto ha requerido la necesidad que crear usuarios genéricos con restricción máxima de seguridad, es decir solamente pueden ejecutar el ícono de la aplicación correspondiente. Garantizamos la seguridad de la información mediante la asignación de perfiles y permisos a cada usuario de acuerdo con su cargo para acceso a la aplicación de historia clínica, en este caso. Control de cambios. Se observa un documento escrito por parte proveedor servinte el cual contiene el cambio. Pero no se tiene centralizado la administración de cambios en un documento. Riesgo. Posibles pasos a producción de soluciones que no hayan surtido todos los pasos requeridos. Puesta en producción de soluciones que no cumplan los requerimientos y seguridades lo que va en detrimento de la eficiencia y seguridad de la operación. Dificultad para establecer responsabilidades. Todos los cambios, incluyendo los mantenimientos de emergencia en las aplicaciones, parches relacionados con las aplicaciones dentro del ambiente de bases de datos y producción, deban administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación, esto garantiza la integridad del ambiente de producción. Toda la información sensible en las tablas de datos de las aplicaciones debe identificarse mediante un proceso formal documentado, con el fin de tener la propiedad de ser auditadas en caso de modificaciones, copia de datos y eliminación de registros. Es importante efectuar y documentar monitoreo y verificación periódica con base a las fechas de Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora Recomendación catalogación de los objetos con el fin de garantizar que se ha cumplido con los pasos y controles definidos que apliquen según la topología del cambio y que la información está documentada y completa sin excepción.RESPUESTA Se diseñara e implementará un mecanismos de control de cambios para la actualización de las aplicaciones y las modificaciones a la base de datos. Backup y Restauración. Generar un cronograma de pruebas de restauración de las copias de seguridad. Riesgo Pérdida de la información. Hacer pruebas a los backup completos e incrementales. Establecer el tiempo real de retorno a la operación cuando se presente un incidente de daño completo en el servidor. Para administrar eficientemente los backup (almacenaje externo e interno) y la restauración de la información, recomendamos que: El procedimiento debe estar documentado, actualizado el control de backups y evidencia de las restauraciones realizadas (certificación del usuario). Las copias de respaldo internas se deben almacenar con las seguridades físicas necesarias como son el acceso restringido al área de sistemas y gabinetes metálicos con llave. Realizar pruebas de backup y restauración en Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 Oportunidad de Mejora Recomendación conjunto con diferentes áreas. Identificar los tiempos de rotación de las copias que se almacenan externamente por Sigesa, para establecer la perdida máxima de información en caso de un desastre. El procedimiento de recuperación o reinstalación de cada sistema debe incluir la información de configuración, parametrización y lista de chequeo funcional que debe realizar el usuario final. RESPUESTA Se realizará revisión y ajuste al procedimiento de realización de copias de seguridad, teniendo en cuenta las recomendaciones hechas por el auditor. En la actualidad estamos implementando un centro de datos alterno en donde contaremos con la infraestructura necesaria para hacer las pruebas recuperación de las copias de seguridad. Segregación de funciones No hay adecuada segregación de funciones, el administrador del Clinical Suit es quién actualiza, administra la base de datos, realiza el mantenimiento de la base de datos, programa y verifica copias de seguridad, prueba, pone en producción y capacita a los usuarios en la aplicación. Adicionalmente también tiene funciones sobre la seguridad de la información del IOIR. Lo anterior no es una práctica segura de seguridad de la información. Realizar una evaluación sobre la responsabilidad del administrador de bases de datos, el cual permita identificar si existe sobre carga de responsabilidades frente a los procesos y así tener una segregación de funciones con el personal necesario encaminados a mejorar todos los procesos y proyectos del IOIR. Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la captura del conocimiento Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora Recomendación (documentación), compartir el conocimiento, planeación de la sucesión y respaldos de personal. RESPUESTA Se realizará la evaluación de las funciones y responsabilidades con el apoyo de talento humano y se realizarán los ajustes necesarios. Plan de Contingencia Tecnológico (DRP) El IOIR tiene procedimientos de contingencia a través de copias de seguridad, adicional cuenta con procedimientos generales incluidos en el documento MCFO – 0003 V3 con el nombre “Contingencia institucional ante interrupción de redes de apoyo de recursos físicos”, se evidencia procesos de restauración en las aplicaciones como también procedimientos manuales en caso de no haber sistema. No se evidencia pruebas de los diferentes escenarios y componentes críticos, solo se evidencias algunas pruebas de restauración en la base de datos de la aplicación core Clinical Suit. El IOIR no tiene un Sito Alterno de Procesamiento. Riesgo Indisponibilidad de los servicios tecnológicos en caso de presentarse un evento de seguridad mayor. Documentar el DRP con los resultados de las revisiones realizadas periódicamente que permiten hacer correcciones, ajustes, actualizaciones y ampliaciones al documento inicial. Definir y formalizar cronograma de pruebas para el periodo 2013 en el cual se incluyan todos los escenarios y componentes críticos, alcance de las pruebas, resultados esperados y responsables de ejecución. Incluir todos los componentes clave de TI en los planes de contingencia y Continuidad con el fin de garantizar la oportunidad y disponibilidad de los servicios y la información crítica del negocio. Evaluar la definición e implementación de centro alterno de procesamiento con el fin de garantizar la disponibilidad de servicio en caso de falla del centro de datos principal por desastres naturales. RESPUESTA En la Actualidad estamos realizando las adecuaciones necesarias para implementar un sitio alterno como contingencia en el lugar en donde trasladaremos el Call Center. Una Vez realizado realizaremos y ejecutaremos el cronograma de pruebas documentando los resultados. Inventario de Software Se evidencia un archivo en Excel únicamente con el nombre de la aplicación y cantidades, pero no especifica el detalle de su control ejp. El El inventario de software se debe integrar en un solo documento y adicionalmente dejar con mayor nivel de detalle. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 Oportunidad de Mejora Recomendación inventario de hardware que contenga instalada la licencia. El inventario de Hardware contiene la licencia de Windows, Ofimática y antivirus, pero no se evidencia ejp. Clinical Suit, Vmware, base de datos, aplicaciones que tiene instaladas los servidores etc. Riesgo Incumplimiento sobre derechos de autor contenidas en el Informe de gestión de IOIR y avalado por Revisoria fiscal. Inadecuado control de instalaciones. Posible incumplimiento sobre derechos de autor Realizar revisiones periódicas de los equipos para controlar que el software instalado sea el autorizado por la alta gerencia. El inventario de software debe tener un formato único y contener la siguiente información: Tipo de Inventario, Fecha de adquisición, Fecha de actualización, Firmas de responsables de elaborado- revisado-aprobado, Fecha de vencimiento de las licencias y renovaciones, Descripción del software (utilitario, lenguaje, aplicativo, seguridad), Tipo de software (corporativo, libre), Versión, Número de parte, Número de licencia, Número de licencias instaladas, Número de licencias disponibles, Equipos en que se tienen instaladas, Nombre del proveedor. Indicar en el inventario en que equipo se encuentra instalado el software (ubicación). RESPUESTA En la actualidad contamos con una base de datos de inventario de hardware a la cual le haremos los ajustes necesarios para incluir el software que tiene instalado cada computador. Y de esta forma generar un informe de inventario de software. Centro de Datos No se tiene bitácora de acceso al centro de datos del Instituto, el cual se pueda identificar las actividades realizados en el centro de datos. Riesgo Dificultad para establecer responsabilidades ante incidentes en seguridad de la información Documentar una bitácora de entrada al centros de datos con el fin de realizar un seguimiento y control a las actividades realizadas por los administradores de centro de datos. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368 https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula Oportunidad de Mejora RecomendaciónRESPUESTA Se implemento la bitácora de control de acceso en donde se registra la entrada de las personas autorizadas y el motivo del acceso al centro de datos. Controles en el modulo de facturación Se realizo una prueba de seguimiento a los controles generales de TI en el modulo de facturación del sistema Clinical Suit, en nuestras pruebas se evidencio un adecuado control de acceso a la aplicación, así mismo se revisó los perfiles de los usuarios del modulo el cual no encontramos inconsistencias. Realizamos una prueba de integridad de la información tomando como muestra la factura 855113 y 861359, verificando sus valores y realizando cálculos de integridad la cual no presentaron inconsistencias. Al revisar el archivo de facturación del mes de diciembre se observa saltos en el consecutivo de las facturas así: COLOMBIANA DE SALUD SA. 607452 15.562,00 CAFESALUD ARS 608511 52.900,00 Al investigar en el área de facturación del instituto este error de consecutivo es de la facturación manual elaborado por un estudiante, el cual fue reportado el incidente a soporte de Tecnología, sin embargo no se pudo evidenciar el reporte en el área de tecnología. Documentar el seguimiento al incidente presentado por consecutivo de facturación manual. Sugerimos que los estudiantes de pasantías de institutos educativos, no realicen procesos y funciones operativas de responsabilidad en este caso “facturación”. Los responsables de generar las facturas son los jefes de área y los operarios del sistema Clinical Suit. RESPUESTA Este caso lo tenemos en proceso de revisión y análisis con el proveedor del aplicativo, la solicitud es generar la restricción para que el consecutivo que genera el sistema por esta fuente documento no pueda ser manipulado por el usuario que ingresa la información. Descargado por Juan Mendoza (juande031294@gmail.com) lOMoARcPSD|15824368
Compartir