Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Departamento de Risaralda Dirección de Control Interno PROCESO

Anuncio 
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
AUDITORIA INTERNA:
Auditoria de seguimiento y evaluación a la
Seguridad Informática.
DIRECTIVO RESPONSABLE:
Ruby Lucia Aguirre Torres.
AUDITOR:
Luis Alexander Vásquez Hernández
FECHA ELABORACIÓN:
Junio - Julio de 2016
DESTINATARIO:
Gobernador
del
Departamento de Risaralda, Dirección de
Informática y Sistemas.
ASPECTOS GENERALES
OBJETIVO(S):
Realizar Evaluación y Seguimiento de las condiciones que garantizan el cumplimiento de
las normas y procedimientos establecidos en las Políticas de Operación de Seguridad
Informática dentro de las instalaciones de la Administración Departamental.
ALCANCE:
La presente auditoría comprendió la inspección a los equipos de cómputo asignados a los
funcionarios y a los manejados por los contratistas de conformidad a las actividades
estipuladas, adscritos a las diferentes Dependencias y Secretarías de la Administración
Departamental encontrados del total de usuarios activos en SAIA.
CRITERIOS:
Procedimientos establecidos para la mitigación de los riesgos plasmados en las Políticas
de Operación de Seguridad Informática, tomado como base bibliográfica y de consultoría
NTC ISO/IEC 27001
METODOLOGIA:
1. Técnica de verificación oral o verbal. (Indagación, entrevistas)
2. Técnica de verificación escrita. (Análisis tabulación, confirmación, certificación,)
3. Técnica de verificación documental. (Comprobación, rastreo)
DESARROLLO DE LA AUDITORÍA
En el desarrollo de la auditoria de Evaluación y Seguimiento de la Seguridad Informática,
de conformidad con el plan de auditorías establecido para el año 2016 por la Dirección de
Control Interno, se solicitó a la Dirección de Informática y Sistemas el reporte total de
Auditoría: Seguridad Informática
Página 1
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
usuarios del aplicativo SAIA, ejecutando una depuración de los usuarios inactivos o
parcialmente inactivos, con el fin de realizar un muestreo razonable y así proceder con las
respectivas visitas a los puestos de trabajo de cada uno de los usuarios.
Se tomó como muestra un total de 105 usuarios, con la finalidad de verificar el
cumplimiento de los procedimientos fijados en las Políticas de Operación de Seguridad
Informática del subproceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
aplicadas por los funcionarios y contratistas de la Administración Departamental.
De acuerdo a lo anterior y en concordancia por lo dispuesto en las Políticas de Operación
de Seguridad Informática, se efectuó la evaluación respectiva, para lo cual se tuvo en
cuenta:
1. Correcta utilización de la infraestructura tecnológica.
1.1
1.2
1.3
Manejo de toma corriente regulado.
Exposición a líquidos.
Higiene en equipos de cómputo.
2. Acceso al sistema y seguridad.
2.1
2.2
2.3
2.4
Manipulación del sistema.
Mal uso del software y hardware.
Manejo de información confidencial o reserva legal.
Uso de indebido de almacenamiento en el equipo (información personal).
3. Buenas prácticas en el uso de internet e intranet.
3.1
3.2
3.3
3.4
Bloqueo de contenido inapropiado y redes Sociales.
Juegos en línea.
Uso del correo electrónico.
Acceso a información de equipos en red sin autorización.
Se comenzó con la respectiva comunicación de la visita a los diferentes Secretarios y
Directores, para que estos a su vez hicieran la debida socialización a los funcionarios o
contratistas de las fechas establecidas para esta actividad. Durante la visita se tomaron
evidencias de los contenidos auditados y se les informó a los usuarios sobre los
incumplimientos que presentaban basados en la lista de chequeo, la cual arroja los
siguientes resultados:
Auditoría: Seguridad Informática
Página 2
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
GESTION DE TECNOLOGÍAS DE LA INFORMACION
ASPECTO: POLITICAS DE OPERACIÓN DE SEGURIDAD INFORMATICA
SECRETARÍA O DEPENDENCIA: GOBERNACION DE RISARALDA
CANTIDAD DE USUARIOS AUDITADOS: 104
TOTALES
No.
PROCESO
1
Políticas de Operación
CONTROL
SI
NO
Conoce las Políticas de Operación de Seguridad
Informática establecidas por la Administración
Departamental
72
32
Existen mecanismos de identificación y
autenticación de usuarios.
80
24
Existen restricción para el acceso a la utilidades
del sistema por parte de personal ajeno al área de
sistemas de la Gobernación de Risaralda
33
71
4
Existen restricciones en el acceso a páginas de
contenido sexual
104
0
5
Existen restricciones en el acceso a las redes
sociales
103
1
104
0
2
3
6
Control de acceso al
sistema
Control de acceso a las
redes
Los equipos de cómputo se encuentra en
condiciones óptimas para prestar su labor
7
Existe mecanismo de identificación de los equipo
de cómputo propiedad de la Gobernación de
Risaralda
104
0
8
Existen líquidos cerca de los equipos de computo
15
89
9
El funcionario y/o contratista posee contenido
multimedia personal en el equipo de computo
22
82
Existen equipos de cómputo que son asignado a
los funcionarios de planta y/o contratistas
3
101
11
El equipo de cómputo asignado del funcionario y/o
contratista tiene software debidamente licenciado
3
101
12
El equipo de cómputo asignado al funcionario y/o
contratista tiene antivirus licenciado
3
101
10
Responsabilidades de
los usuarios
Auditoría: Seguridad Informática
Página 3
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
13
El funcionario y/o contratista ha accedido a
páginas de contenido sexual.
0
104
14
El funcionario acostumbra a bloquear el equipo en
periodos de ausencia de su lugar de trabajo
35
69
15
Se cuenta con una política para no apertura de
correos de fuentes desconocidas
101
3
16
Se evidencia el uso del toma corriente regulado
(naranja) para conexión diferentes a equipos de
computo
100
4
17
Existen acuerdos de confidencialidad entre la
Gobernación de Risaralda y el funcionario cuando
se maneja información confidencial y/o critica
91
13
Se informa a los usuarios la suspensión del
servicio de infraestructura tecnológica por motivos
de mantenimiento programado por los diferentes
medios de comunicación con los que cuenta la
Gobernación de Risaralda
96
8
El antivirus se encuentra debidamente licenciado
99
5
El paquete de juegos de Windows se encuentra
deshabilitado
101
3
Manejo de Correo
electrónico
18
19
Manejo de licencias
20
Tabla 1
1.
CORRECTA UTILIZACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA.
1.1.
Manejo de Toma Corriente Regulado.
Se evidenció que él toma corriente regulado en la mayoría de los casos está
siendo bien utilizado, toda vez que de las 104 visitas solo 4 funcionarios
tenían conectados dispositivos diferentes al equipo de cómputo. Se tomó
evidencia de este hecho y se socializó el motivo por el cual no se deben
conectar dichos dispositivos a la red regulada. (Ver imagen 1).
Auditoría: Seguridad Informática
Página 4
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
Imagen 1
1.2.
Exposición a Líquidos.
Se evidenció que de los 104 usuarios auditados, 15 tenían líquidos cerca al
equipo de cómputo, lo cual sería lo cual constituye un alto riesgo para el
equipo en caso de derrames. (Ver Imagen 2).
Imagen 2
Auditoría: Seguridad Informática
Página 5
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
1.3.
2.
Vigencia: 08-2013
En la totalidad de la muestra se evidenció una correcta higiene en la
totalidad de los equipos de cómputo auditados.
ACCESO AL SISTEMA Y SEGURIDAD.
2.1.
Manipulación del Sistema.
Se evidenció que 71 de los 104 equipos auditados cuentan con permisos de
administrados, causando vulnerabilidad al sistema y comprometiendo así la
seguridad de la información. (Ver imagen 3).
Imagen 3
Teniendo en cuenta el 100% de los equipos auditados, se puede concluir
que al 71% de estos se puede acceder y manipularlos, instalar o desinstalar
software descargado de internet sin autorización del área de sistema (Ver
grafica 1).
Auditoría: Seguridad Informática
Página 6
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
EXISTEN RESTRICCIÓN PARA EL ACCESO A LA
UTILIDADES DEL SISTEMA POR PARTE DE PERSONAL
AJENO AL AREA DE SISTEMAS DE LA GOBERNACIÓN DE
RISARALDA
Si ; 33; 32%
No; 71; 68%
Grafica 1
2.2.
Mal Uso del Software o Hardware.
No se evidenció mal uso del software y hardware por parte de los usuarios,
las condiciones del hardware son buenas para el normal desempeño sus
labores, se evidenció que en 5 de los equipos de cómputo la licencia del
antivirus se encontraba vencida (Ver imagen 4).
Imagen 4
Auditoría: Seguridad Informática
Página 7
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
Las personas auditadas coincidieron que el momento de solicitar asistencia por
motivos de mantenimiento de hardware o software al área de Sistemas, esta lo
realiza con prontitud, al ser preguntados sobre la suspensión en el servicio de
internet, mantenimientos a los aplicativos y demás, estos en su gran mayoría
argumentaron ser notificaos por los distintos medios de comunicación (SAIA,
SPARK o Correo Electrónico).
Teniendo en cuenta el 100% de los equipos auditados, se puede concluir que el
5% de estos tiene la licencia del antivirus vencida (Ver grafica 2).
EL ANTIVIRUS SE ENCUENTRA DEBIDAMENTE LICENCIADO
No
5%
Si
95%
Grafica 2
2.3.
En ninguno de los casos auditados se evidenció el manejo de información
de reserva legal o manejo confidencial, pero no contaban con el hábito de
bloquear el equipo al momento de ausentarse de su lugar de trabajo por
periodos considerables de tiempo. Del 100% de los usuarios, el 66% no
acostumbra a bloquear el equipo. (Ver gráfico 3).
Auditoría: Seguridad Informática
Página 8
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
EL FUNCIONARIO ACOSTUMBRA A BLOQUEAR EL EQUIPO EN
PERIODOS DE AUSENCIA DE SU LUGAR DE TRABAJO
Si
34%
No
66%
Gráfico 3
2.4.
Se evidenció almacenamiento de archivos personales por parte de algunos
los usuarios en los equipos de cómputo, como lo son fotografías y archivos
de música (Ver imagen 5).
Auditoría: Seguridad Informática
Página 9
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
Imagen 4
Teniendo en cuenta el 100% de los equipos auditados, se pudo concluir que
21% de estos se equipos, contenían archivos de música o fotos personales.
(Ver gráfico 4).
EL FUNCIONARIO Y/O CONTRATISTA POSEE CONTENIDO
MULTIMEDIA PERSONAL EN EL EQUIPO DE COMPUTO.
Si
21%
No
79%
Grafica 4
Auditoría: Seguridad Informática
Página 10
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
3.
Vigencia: 08-2013
BUENAS PRÁCTICAS EN EL USO DE INTERNET E INTRANET.
3.1.
Se evidenció en los equipos de cómputo de los usuarios auditados, existen
restricciones para acceder a páginas de contenido sexual, redes sociales y
juegos en línea. (Ver imagen 6).
Imagen 5
3.2.
Se observó en algunos casos, el paquete de juegos de Windows se
encontraba habilitado (Ver imagen 7).
Auditoría: Seguridad Informática
Página 11
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
Imagen 6
Teniendo en cuenta el 100% de los equipos auditados, se puede concluir
que el 27% de estos se equipos informáticos, se puede acceder al paquete
de juegos de Windows (Ver grafica 5).
EL PAQUETE DE JUEGOS DE WINDOWS SE ENCUENTRA
DESHABILITADO.
No
3%
Si
97%
Grafica 5
Auditoría: Seguridad Informática
Página 12
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
3.3.
3.4.
Vigencia: 08-2013
Se evidenció el correcto uso del correo electrónico institucional por parte de
las personas auditadas, comprobando un buen tratamiento de los correos
sospechosos por parte de los usuarios.
No se evidenció el acceso a equipos ajenos a través de intranet sin
autorización del propietario o del área de Sistemas por parte de las personas
auditadas.
HALLAZGOS
HALLAZGOS POSITIVOS:


Existe una muy buena disposición de los funcionarios por conocer sobre la
seguridad de la información.
En general se destaca la disponibilidad y trasparencia frente al proceso de
auditoría de todas las personas auditadas.
HALLAZGOS NEGATIVOS:
I.
II.
III.
IV.
V.
Se evidenció la utilización del toma corriente regulado (Naranja), para conectar
aparatos eléctricos diferentes a los equipos de cómputo, la utilización de este
circuito regulado para la conexión de equipos diferentes a los informáticos pueden
llegar a causar daños irreparables a los demás equipos informáticos que a su vez
se encuentre conectados a dicha red.
Se comprobó el consumir líquidos cerca a los equipos de cómputo por parte de los
usuarios, lo cual ocasionaría daños irreparables a los equipos en caso de derrame.
Se observó la caducidad en la licencia del Antivirus de algunos equipos de
cómputo.
Se evidenció música e imágenes de carácter personal, almacenados en los
equipos de cómputo.
Se detectó el paquete de juegos habilitado en algunos equipos, lo cual se
encuentra prohibida dentro de las Políticas de Operación de Seguridad Informática.
OBSERVACIÓN:
I.
El subproceso de GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN, suscribió el día
13 de enero de 2016 el Plan de Mejoramiento No. 517 por hallazgos negativos en
auditoria de Seguimiento y Evaluación a la Seguridad Informática en el año 2015, el
cual registra un seguimiento el 22 de julio del presente año, donde se reporta un
porcentaje de cumplimiento del 100%, lo cual no es coherente con lo detectado en la
presente auditoria, además que al verificar los avance de este plan de mejoramiento
no se registran ninguna evidencias teniendo en cuenta los hallazgos relacionados.
Auditoría: Seguridad Informática
Página 13
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
II.
Sería pertinente realizar periódicamente la socialización de las políticas de operación
de la seguridad informática a los funcionarios y contratistas de la Administración
Departamental por todos los medios (SAIA, SPARK, Correo Electrónico).
III.
Los equipos informáticos de los funcionarios o contratistas auditados posee gran
vulnerabilidad ya que el 68% de las cuentas de los usuario auditadas poseen privilegios
administrativos, habilitando al usuario el acceso al sistema con poder de alterarlo en
su funcionamiento o la instalación de paquetes informáticos no licenciados, la Norma
NTC-ISO-27001 propone procedimientos para mitigar el riesgo como es:
IV.
V.

NTC-ISO-27001/A.11.2.2 nos sugiere: “Se debe restringir y controlar la
asignación y uso de privilegios.”

NTC-ISO-27001/A.11.2.4 nos sugiere: “La dirección debe establecer un
procedimiento formal de revisión periódica de los derechos de acceso de
los usuarios.”
Es pertinente realizar un barrido por los diferentes puestos de trabajo, con el fin de
deshabilitar el paquete de juegos de los equipos de cómputo y con ello dar
cumplimiento a las políticas del proceso.

NTC-ISO-27001/A.11.6.1 nos sugiere: “Se debe restringir el acceso a la
información y a las funciones del sistema de aplicación por parte de los
usuarios y del personal de soporte, de acuerdo con la política definida de
control de acceso.”

NTC-ISO-27001/A.12.4.1 nos sugiere: “Se deben implementar
procedimientos para controlar la instalación de software en sistemas
operativos.”
Sería oportuno involucrar el grupo de trabajo de la Dirección de Informática y Sistemas
en los temas tratados en los comités internos o externos, con el fin de enriquecer los
procesos con el conocimiento y experiencias del mismo.
Auditoría: Seguridad Informática
Página 14
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
RECOMENDACIONES
I.
Las cuentas de usuario deben estar ajustadas al perfil de cada funcionario, uno de
los riesgos más altos proviene de la descarga e instalación de aplicaciones desde
Internet. Algunas de ellas están hechas por delincuentes informáticos, que con la
promesa de un juego, canción o aplicación de ocio, engañan al usuario para que
las ejecute en su equipo y así, de paso, también instale programas malignos como
virus o software espía.
II.
Adelantar campañas para el fomento de la cultura del bloqueo manual de la cuenta
de usuario por parte de los funcionarios y con esto evitar el libre acceso por parte
de personal ajeno a la Administración Departamental. Así mismo asignar
contraseñas a las cuentas de usuario para aquellos equipos que aún no poseen.

NTC-ISO 27001/A.11.5.5 nos sugiere en los tiempos de inactividad “Las
sesiones inactivas se deben suspender después de un periodo definido de
inactividad.”
III.
Es pertinente hacer mayor énfasis en cuanto a la política de tratamiento de correos
electrónicos sospechosos, esto teniendo en cuenta que muchos de los usuarios se
limitan solo a no abrir dichos correos, sino además, estos correos deben ser
clasificados por los usuarios como correo no deseados o como spam.
IV.
Eliminación de los archivos de música e imágenes personales de los equipos de
cómputo.
V.
Es prudente efectuar un debido mecanismo de control y seguimiento de manera
periódica, enfocadas a mitigar el acceso a las redes sociales por parte de los
funcionarios o contratistas y demás debilidades detectadas en desarrollo de esta
auditoría.
VI.
Los avances positivos logrados y evidenciados por la Dirección de Sistema,
deberán ser debidamente registrados, toda vez que en desarrollo de las próximas
revisiones y de las mismas se observen el estar incumpliendo las Políticas de
Operación del proceso, estas puedan ser puedan contrarrestadas al vincular
directamente al responsable de la acción y no del proceso.
Auditoría: Seguridad Informática
Página 15
Departamento de Risaralda
Dirección de Control Interno
PROCESO EVALUACION INDEPENDIENTE
Informe Final de Auditoria Interna
Versión: 3
Vigencia: 08-2013
CONCLUSIONES
Teniendo en cuenta los resultados de la auditoría realizada en el año 2015, se puede
concluir que la Administración Departamental ha venido mejorando en la administración
de los recursos informáticos. Así mismos se puede decir que los funcionarios han tomado
mayor conciencia del buen uso de estos recursos, los cuales son herramientas que
facilitan el cumplimiento de sus funciones en el día a día.
De otro lado, se debe de seguir trabajando enfocados al aseguramiento de la
información, teniendo en cuenta que se evidencian fallas y vulnerabilidades en la
seguridad y estabilidad de los sistemas de información frente a las situaciones
identificadas con respecto a los perfiles de usuario y las licencias de antivirus caducadas.
Luis Alexander Vásquez
Auditor.
Auditoría: Seguridad Informática
Página 16
Documentos relacionados
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
ensayo 8
ensayo 8
Informe Semestral de la Unidad de Auditoria Interna correspondiente a la gestión 2014
Informe Semestral de la Unidad de Auditoria Interna correspondiente a la gestión 2014
Informe Anual de Actividades UAI - Gestion 2011
Informe Anual de Actividades UAI - Gestion 2011
Resolución de auditoría interna
Resolución de auditoría interna
AUDITORIA INTERNA
AUDITORIA INTERNA
FI-F-09 PROGRAMA DE AUDITORIA
FI-F-09 PROGRAMA DE AUDITORIA
Cuentas anuales e Informe de Gestión 2010
Cuentas anuales e Informe de Gestión 2010
Informes emitidos CGM
Informes emitidos CGM
57 ISEP
57 ISEP
Descargar
Anuncio
Anuncio