Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 AUDITORIA INTERNA: Auditoria de seguimiento y evaluación a la Seguridad Informática. DIRECTIVO RESPONSABLE: Ruby Lucia Aguirre Torres. AUDITOR: Luis Alexander Vásquez Hernández FECHA ELABORACIÓN: Junio - Julio de 2016 DESTINATARIO: Gobernador del Departamento de Risaralda, Dirección de Informática y Sistemas. ASPECTOS GENERALES OBJETIVO(S): Realizar Evaluación y Seguimiento de las condiciones que garantizan el cumplimiento de las normas y procedimientos establecidos en las Políticas de Operación de Seguridad Informática dentro de las instalaciones de la Administración Departamental. ALCANCE: La presente auditoría comprendió la inspección a los equipos de cómputo asignados a los funcionarios y a los manejados por los contratistas de conformidad a las actividades estipuladas, adscritos a las diferentes Dependencias y Secretarías de la Administración Departamental encontrados del total de usuarios activos en SAIA. CRITERIOS: Procedimientos establecidos para la mitigación de los riesgos plasmados en las Políticas de Operación de Seguridad Informática, tomado como base bibliográfica y de consultoría NTC ISO/IEC 27001 METODOLOGIA: 1. Técnica de verificación oral o verbal. (Indagación, entrevistas) 2. Técnica de verificación escrita. (Análisis tabulación, confirmación, certificación,) 3. Técnica de verificación documental. (Comprobación, rastreo) DESARROLLO DE LA AUDITORÍA En el desarrollo de la auditoria de Evaluación y Seguimiento de la Seguridad Informática, de conformidad con el plan de auditorías establecido para el año 2016 por la Dirección de Control Interno, se solicitó a la Dirección de Informática y Sistemas el reporte total de Auditoría: Seguridad Informática Página 1 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 usuarios del aplicativo SAIA, ejecutando una depuración de los usuarios inactivos o parcialmente inactivos, con el fin de realizar un muestreo razonable y así proceder con las respectivas visitas a los puestos de trabajo de cada uno de los usuarios. Se tomó como muestra un total de 105 usuarios, con la finalidad de verificar el cumplimiento de los procedimientos fijados en las Políticas de Operación de Seguridad Informática del subproceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN aplicadas por los funcionarios y contratistas de la Administración Departamental. De acuerdo a lo anterior y en concordancia por lo dispuesto en las Políticas de Operación de Seguridad Informática, se efectuó la evaluación respectiva, para lo cual se tuvo en cuenta: 1. Correcta utilización de la infraestructura tecnológica. 1.1 1.2 1.3 Manejo de toma corriente regulado. Exposición a líquidos. Higiene en equipos de cómputo. 2. Acceso al sistema y seguridad. 2.1 2.2 2.3 2.4 Manipulación del sistema. Mal uso del software y hardware. Manejo de información confidencial o reserva legal. Uso de indebido de almacenamiento en el equipo (información personal). 3. Buenas prácticas en el uso de internet e intranet. 3.1 3.2 3.3 3.4 Bloqueo de contenido inapropiado y redes Sociales. Juegos en línea. Uso del correo electrónico. Acceso a información de equipos en red sin autorización. Se comenzó con la respectiva comunicación de la visita a los diferentes Secretarios y Directores, para que estos a su vez hicieran la debida socialización a los funcionarios o contratistas de las fechas establecidas para esta actividad. Durante la visita se tomaron evidencias de los contenidos auditados y se les informó a los usuarios sobre los incumplimientos que presentaban basados en la lista de chequeo, la cual arroja los siguientes resultados: Auditoría: Seguridad Informática Página 2 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 GESTION DE TECNOLOGÍAS DE LA INFORMACION ASPECTO: POLITICAS DE OPERACIÓN DE SEGURIDAD INFORMATICA SECRETARÍA O DEPENDENCIA: GOBERNACION DE RISARALDA CANTIDAD DE USUARIOS AUDITADOS: 104 TOTALES No. PROCESO 1 Políticas de Operación CONTROL SI NO Conoce las Políticas de Operación de Seguridad Informática establecidas por la Administración Departamental 72 32 Existen mecanismos de identificación y autenticación de usuarios. 80 24 Existen restricción para el acceso a la utilidades del sistema por parte de personal ajeno al área de sistemas de la Gobernación de Risaralda 33 71 4 Existen restricciones en el acceso a páginas de contenido sexual 104 0 5 Existen restricciones en el acceso a las redes sociales 103 1 104 0 2 3 6 Control de acceso al sistema Control de acceso a las redes Los equipos de cómputo se encuentra en condiciones óptimas para prestar su labor 7 Existe mecanismo de identificación de los equipo de cómputo propiedad de la Gobernación de Risaralda 104 0 8 Existen líquidos cerca de los equipos de computo 15 89 9 El funcionario y/o contratista posee contenido multimedia personal en el equipo de computo 22 82 Existen equipos de cómputo que son asignado a los funcionarios de planta y/o contratistas 3 101 11 El equipo de cómputo asignado del funcionario y/o contratista tiene software debidamente licenciado 3 101 12 El equipo de cómputo asignado al funcionario y/o contratista tiene antivirus licenciado 3 101 10 Responsabilidades de los usuarios Auditoría: Seguridad Informática Página 3 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 13 El funcionario y/o contratista ha accedido a páginas de contenido sexual. 0 104 14 El funcionario acostumbra a bloquear el equipo en periodos de ausencia de su lugar de trabajo 35 69 15 Se cuenta con una política para no apertura de correos de fuentes desconocidas 101 3 16 Se evidencia el uso del toma corriente regulado (naranja) para conexión diferentes a equipos de computo 100 4 17 Existen acuerdos de confidencialidad entre la Gobernación de Risaralda y el funcionario cuando se maneja información confidencial y/o critica 91 13 Se informa a los usuarios la suspensión del servicio de infraestructura tecnológica por motivos de mantenimiento programado por los diferentes medios de comunicación con los que cuenta la Gobernación de Risaralda 96 8 El antivirus se encuentra debidamente licenciado 99 5 El paquete de juegos de Windows se encuentra deshabilitado 101 3 Manejo de Correo electrónico 18 19 Manejo de licencias 20 Tabla 1 1. CORRECTA UTILIZACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA. 1.1. Manejo de Toma Corriente Regulado. Se evidenció que él toma corriente regulado en la mayoría de los casos está siendo bien utilizado, toda vez que de las 104 visitas solo 4 funcionarios tenían conectados dispositivos diferentes al equipo de cómputo. Se tomó evidencia de este hecho y se socializó el motivo por el cual no se deben conectar dichos dispositivos a la red regulada. (Ver imagen 1). Auditoría: Seguridad Informática Página 4 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 Imagen 1 1.2. Exposición a Líquidos. Se evidenció que de los 104 usuarios auditados, 15 tenían líquidos cerca al equipo de cómputo, lo cual sería lo cual constituye un alto riesgo para el equipo en caso de derrames. (Ver Imagen 2). Imagen 2 Auditoría: Seguridad Informática Página 5 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 1.3. 2. Vigencia: 08-2013 En la totalidad de la muestra se evidenció una correcta higiene en la totalidad de los equipos de cómputo auditados. ACCESO AL SISTEMA Y SEGURIDAD. 2.1. Manipulación del Sistema. Se evidenció que 71 de los 104 equipos auditados cuentan con permisos de administrados, causando vulnerabilidad al sistema y comprometiendo así la seguridad de la información. (Ver imagen 3). Imagen 3 Teniendo en cuenta el 100% de los equipos auditados, se puede concluir que al 71% de estos se puede acceder y manipularlos, instalar o desinstalar software descargado de internet sin autorización del área de sistema (Ver grafica 1). Auditoría: Seguridad Informática Página 6 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 EXISTEN RESTRICCIÓN PARA EL ACCESO A LA UTILIDADES DEL SISTEMA POR PARTE DE PERSONAL AJENO AL AREA DE SISTEMAS DE LA GOBERNACIÓN DE RISARALDA Si ; 33; 32% No; 71; 68% Grafica 1 2.2. Mal Uso del Software o Hardware. No se evidenció mal uso del software y hardware por parte de los usuarios, las condiciones del hardware son buenas para el normal desempeño sus labores, se evidenció que en 5 de los equipos de cómputo la licencia del antivirus se encontraba vencida (Ver imagen 4). Imagen 4 Auditoría: Seguridad Informática Página 7 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 Las personas auditadas coincidieron que el momento de solicitar asistencia por motivos de mantenimiento de hardware o software al área de Sistemas, esta lo realiza con prontitud, al ser preguntados sobre la suspensión en el servicio de internet, mantenimientos a los aplicativos y demás, estos en su gran mayoría argumentaron ser notificaos por los distintos medios de comunicación (SAIA, SPARK o Correo Electrónico). Teniendo en cuenta el 100% de los equipos auditados, se puede concluir que el 5% de estos tiene la licencia del antivirus vencida (Ver grafica 2). EL ANTIVIRUS SE ENCUENTRA DEBIDAMENTE LICENCIADO No 5% Si 95% Grafica 2 2.3. En ninguno de los casos auditados se evidenció el manejo de información de reserva legal o manejo confidencial, pero no contaban con el hábito de bloquear el equipo al momento de ausentarse de su lugar de trabajo por periodos considerables de tiempo. Del 100% de los usuarios, el 66% no acostumbra a bloquear el equipo. (Ver gráfico 3). Auditoría: Seguridad Informática Página 8 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 EL FUNCIONARIO ACOSTUMBRA A BLOQUEAR EL EQUIPO EN PERIODOS DE AUSENCIA DE SU LUGAR DE TRABAJO Si 34% No 66% Gráfico 3 2.4. Se evidenció almacenamiento de archivos personales por parte de algunos los usuarios en los equipos de cómputo, como lo son fotografías y archivos de música (Ver imagen 5). Auditoría: Seguridad Informática Página 9 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 Imagen 4 Teniendo en cuenta el 100% de los equipos auditados, se pudo concluir que 21% de estos se equipos, contenían archivos de música o fotos personales. (Ver gráfico 4). EL FUNCIONARIO Y/O CONTRATISTA POSEE CONTENIDO MULTIMEDIA PERSONAL EN EL EQUIPO DE COMPUTO. Si 21% No 79% Grafica 4 Auditoría: Seguridad Informática Página 10 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 3. Vigencia: 08-2013 BUENAS PRÁCTICAS EN EL USO DE INTERNET E INTRANET. 3.1. Se evidenció en los equipos de cómputo de los usuarios auditados, existen restricciones para acceder a páginas de contenido sexual, redes sociales y juegos en línea. (Ver imagen 6). Imagen 5 3.2. Se observó en algunos casos, el paquete de juegos de Windows se encontraba habilitado (Ver imagen 7). Auditoría: Seguridad Informática Página 11 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 Imagen 6 Teniendo en cuenta el 100% de los equipos auditados, se puede concluir que el 27% de estos se equipos informáticos, se puede acceder al paquete de juegos de Windows (Ver grafica 5). EL PAQUETE DE JUEGOS DE WINDOWS SE ENCUENTRA DESHABILITADO. No 3% Si 97% Grafica 5 Auditoría: Seguridad Informática Página 12 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 3.3. 3.4. Vigencia: 08-2013 Se evidenció el correcto uso del correo electrónico institucional por parte de las personas auditadas, comprobando un buen tratamiento de los correos sospechosos por parte de los usuarios. No se evidenció el acceso a equipos ajenos a través de intranet sin autorización del propietario o del área de Sistemas por parte de las personas auditadas. HALLAZGOS HALLAZGOS POSITIVOS: Existe una muy buena disposición de los funcionarios por conocer sobre la seguridad de la información. En general se destaca la disponibilidad y trasparencia frente al proceso de auditoría de todas las personas auditadas. HALLAZGOS NEGATIVOS: I. II. III. IV. V. Se evidenció la utilización del toma corriente regulado (Naranja), para conectar aparatos eléctricos diferentes a los equipos de cómputo, la utilización de este circuito regulado para la conexión de equipos diferentes a los informáticos pueden llegar a causar daños irreparables a los demás equipos informáticos que a su vez se encuentre conectados a dicha red. Se comprobó el consumir líquidos cerca a los equipos de cómputo por parte de los usuarios, lo cual ocasionaría daños irreparables a los equipos en caso de derrame. Se observó la caducidad en la licencia del Antivirus de algunos equipos de cómputo. Se evidenció música e imágenes de carácter personal, almacenados en los equipos de cómputo. Se detectó el paquete de juegos habilitado en algunos equipos, lo cual se encuentra prohibida dentro de las Políticas de Operación de Seguridad Informática. OBSERVACIÓN: I. El subproceso de GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN, suscribió el día 13 de enero de 2016 el Plan de Mejoramiento No. 517 por hallazgos negativos en auditoria de Seguimiento y Evaluación a la Seguridad Informática en el año 2015, el cual registra un seguimiento el 22 de julio del presente año, donde se reporta un porcentaje de cumplimiento del 100%, lo cual no es coherente con lo detectado en la presente auditoria, además que al verificar los avance de este plan de mejoramiento no se registran ninguna evidencias teniendo en cuenta los hallazgos relacionados. Auditoría: Seguridad Informática Página 13 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 II. Sería pertinente realizar periódicamente la socialización de las políticas de operación de la seguridad informática a los funcionarios y contratistas de la Administración Departamental por todos los medios (SAIA, SPARK, Correo Electrónico). III. Los equipos informáticos de los funcionarios o contratistas auditados posee gran vulnerabilidad ya que el 68% de las cuentas de los usuario auditadas poseen privilegios administrativos, habilitando al usuario el acceso al sistema con poder de alterarlo en su funcionamiento o la instalación de paquetes informáticos no licenciados, la Norma NTC-ISO-27001 propone procedimientos para mitigar el riesgo como es: IV. V. NTC-ISO-27001/A.11.2.2 nos sugiere: “Se debe restringir y controlar la asignación y uso de privilegios.” NTC-ISO-27001/A.11.2.4 nos sugiere: “La dirección debe establecer un procedimiento formal de revisión periódica de los derechos de acceso de los usuarios.” Es pertinente realizar un barrido por los diferentes puestos de trabajo, con el fin de deshabilitar el paquete de juegos de los equipos de cómputo y con ello dar cumplimiento a las políticas del proceso. NTC-ISO-27001/A.11.6.1 nos sugiere: “Se debe restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso.” NTC-ISO-27001/A.12.4.1 nos sugiere: “Se deben implementar procedimientos para controlar la instalación de software en sistemas operativos.” Sería oportuno involucrar el grupo de trabajo de la Dirección de Informática y Sistemas en los temas tratados en los comités internos o externos, con el fin de enriquecer los procesos con el conocimiento y experiencias del mismo. Auditoría: Seguridad Informática Página 14 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 RECOMENDACIONES I. Las cuentas de usuario deben estar ajustadas al perfil de cada funcionario, uno de los riesgos más altos proviene de la descarga e instalación de aplicaciones desde Internet. Algunas de ellas están hechas por delincuentes informáticos, que con la promesa de un juego, canción o aplicación de ocio, engañan al usuario para que las ejecute en su equipo y así, de paso, también instale programas malignos como virus o software espía. II. Adelantar campañas para el fomento de la cultura del bloqueo manual de la cuenta de usuario por parte de los funcionarios y con esto evitar el libre acceso por parte de personal ajeno a la Administración Departamental. Así mismo asignar contraseñas a las cuentas de usuario para aquellos equipos que aún no poseen. NTC-ISO 27001/A.11.5.5 nos sugiere en los tiempos de inactividad “Las sesiones inactivas se deben suspender después de un periodo definido de inactividad.” III. Es pertinente hacer mayor énfasis en cuanto a la política de tratamiento de correos electrónicos sospechosos, esto teniendo en cuenta que muchos de los usuarios se limitan solo a no abrir dichos correos, sino además, estos correos deben ser clasificados por los usuarios como correo no deseados o como spam. IV. Eliminación de los archivos de música e imágenes personales de los equipos de cómputo. V. Es prudente efectuar un debido mecanismo de control y seguimiento de manera periódica, enfocadas a mitigar el acceso a las redes sociales por parte de los funcionarios o contratistas y demás debilidades detectadas en desarrollo de esta auditoría. VI. Los avances positivos logrados y evidenciados por la Dirección de Sistema, deberán ser debidamente registrados, toda vez que en desarrollo de las próximas revisiones y de las mismas se observen el estar incumpliendo las Políticas de Operación del proceso, estas puedan ser puedan contrarrestadas al vincular directamente al responsable de la acción y no del proceso. Auditoría: Seguridad Informática Página 15 Departamento de Risaralda Dirección de Control Interno PROCESO EVALUACION INDEPENDIENTE Informe Final de Auditoria Interna Versión: 3 Vigencia: 08-2013 CONCLUSIONES Teniendo en cuenta los resultados de la auditoría realizada en el año 2015, se puede concluir que la Administración Departamental ha venido mejorando en la administración de los recursos informáticos. Así mismos se puede decir que los funcionarios han tomado mayor conciencia del buen uso de estos recursos, los cuales son herramientas que facilitan el cumplimiento de sus funciones en el día a día. De otro lado, se debe de seguir trabajando enfocados al aseguramiento de la información, teniendo en cuenta que se evidencian fallas y vulnerabilidades en la seguridad y estabilidad de los sistemas de información frente a las situaciones identificadas con respecto a los perfiles de usuario y las licencias de antivirus caducadas. Luis Alexander Vásquez Auditor. Auditoría: Seguridad Informática Página 16