Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Upo 2 PDF
Upo 2 PDF
5.1
5.2
5.3
5.4
Seguridad.................................................................................................... 13
5.5
Monitoreo .................................................................................................... 15
5.6
6.2
6.3
6.4
6.5
6.6
Anexos................................................................................................................ 25
7.1
7.2
7.3
8
Documento de Seguridad para Ficheros Automatizados de Datos de Carcter
Privado. ...................................................................................................................... 28
1 Carta al Director
Estimado Ricardo Gmez Serna.
Nos dirigimos a Ud. para hacerle llegar las conclusiones a las que nuestro
equipo auditor ha llegado sobre la auditora realizada a la empresa que Ud. dirige.
En primer lugar, en cuanto a la planificacin que se tiene para el gasto en
hardware que se va a comprar o invertir hemos detectado que el nico documento que
tienen para guiarse a la hora de comprar ordenadores y componentes son las
necesidades que cada empleado requiere, recomendamos que exista un documento
que sirva de gua para esas compras, as se evitaran problemas como el que tengan
que hacer una sobre inversin cuando no es necesaria.
Sera conveniente que tuvieran bien definido un plan de riesgos, as como un
plan de continuidad, en el caso de que ocurra un desastre como la prdida de todos
los equipos y las instalaciones sea posible continuar con la actividad de la empresa.
Sobre la toma en consideracin de las opiniones de los usuarios no hay ningn
procedimiento documentado sobre la recogida de dichas opiniones tanto negativas
como positivas, recomendamos que exista un flujo directo al responsable de cada rea
para que sean ms eficazmente tratadas.
Tambin se deberan hacer estudios ergonmicos ms exhaustivos. Sera de
mucha ayuda tener estos estudios a la hora de hacer nuevas peticiones.
Basndonos en la gestin de documentos importantes para su modelo de
negocio hemos observado una deficiencia enorme en el tratamiento de ficheros
privados. Hemos encontrado que no tienen una seguridad acorde a la importancia de
su empresa, lo cual puede provocar consecuencias fatales a todos los niveles, desde
econmicos, jurdicos, hasta incluso socio-culturales. Los manuscritos que maneja la
empresa no son almacenados, distribuidos, ni alterados de forma segura. Nos da la
impresin de que se encuentran expuestos a las intenciones de aquellas personas que
quieran hacer un uso indebido de ellos. Estamos seguros que comprender que esta
situacin se debe abordar lo antes posible desde todos los frentes que hemos indicado
en el informe detallado de la auditora.
Se ha observado que el personal dedicado a la gestin de contraseas se
supervisa a s mismo. No se realiza, por tanto, una adecuada segregacin de
funciones. Aunque no es competencia de esta auditora, es una actividad principal de
control interno destinada a prevenir errores, irregularidades o fraudes, por lo que
recomendamos la supervisin de este aspecto y las modificaciones necesarias para
subsanar este error.
Otro problema aadido son las contraseas, las cuales no siguen un formato
adecuado posibilitando un acceso inadecuado por parte de los
empleados. Recomendamos que instalen sistemas de control de intrusiones ms
eficientes que los que tienen actualmente. Tambin es un riesgo crtico la no
existencia de copias de seguridad fuera de la empresa.
La planificacin a corto plazo no se lleva a cabo adecuadamente repercutiendo
esto en todas las actividades de la empresa. Tampoco se llevan a cabo evaluaciones
sobre el estado de la misma. Podramos decir que se tienen claros los objetivos pero
no los pasos que hay que seguir para conseguirlos.
Por ltimo se observa un general descontrol a la hora de llevar las inversiones
a cabo, ya que los motivos que las propician se alejan de las necesidades reales de la
empresa.
Reciba un cordial saludo de parte del equipo auditor.
b)
c)
5. Impresin
6. Circulacin
Direccin general
Las tres funciones principales del director general son las siguientes:
Estrategia de ventas
Estudios de mercado
Tener un control de las necesidades del consumidor
Intentar satisfacer la demanda del mercado
Llevar un perfecto control de los pedidos, preparacin y entrega de los
mismos.
Promociones de venta y publicidad. Coordinar y controlar el lanzamiento de
campaas publicitarias y de promocin.
Atencin al cliente. Proporcionar la atencin adecuada a los clientes con un
servicio amable, oportuno y honesto.
3 Organigrama de la Empresa
4 Alcance de la Auditoria
Criterios de informacin en los que se centra el estudio (calidad, integridad,
confidencialidad) y los recursos de Tecnologa de la Informacin que estn siendo
revisados (tecnologa, datos)
5 Informe de la Auditoria
A continuacin se muestran las conclusiones obtenidas a partir de las
observaciones, datos, entrevistas y experiencias de varios empleados.
5.1
No existe un plan a largo plazo formal, bien documentado que especifique que
es lo que se quiere conseguir, sino una idea por parte de la direccin que no
est muy bien definida.
Como consecuencia de esto se deriva otro problema bastante serio, y es que
no existe un plan de infraestructura tecnolgica, con las siguientes
implicaciones:
o
5.2
Las recomendaciones que hacemos para evitar esta situacin son numerosas y
deben ser puestas en marcha inmediatamente, tambin se ofrece una alternativa para
la gestin de los cambios:
2. Comprobar que el procedimiento de notificacin y gestin de incidencias contiene
necesariamente un registro en el que se haga constar el tipo de incidencia, el
momento en que se ha producido, la persona que realiza la notificacin, a quin se
le comunica y los efectos que se hubieran derivado de la misma.
El protocolo de notificacin de incidencias se realizar mediante formularios
impresos que contienen el tipo de la misma, una descripcin detallada, la fecha y hora
en que se produjo, persona(s) que realiza(n) la notificacin, persona(s) a quien va
dirigida y efectos que podra producir. El Administrador se encarga de automatizar
dicho formulario tras su notificacin.
3. Comprobar que el responsable del fichero se encarga de que exista una relacin
actualizada de usuarios que tengan acceso autorizado al sistema de informacin
y de establecer procedimientos de identificacin y autenticacin para dicho acceso.
10
11
17. Comprobar que cuando los soportes vayan a salir fuera de los locales en que se
encuentren ubicados los ficheros como consecuencia de operaciones de
mantenimiento, se adoptan las medidas necesarias para impedir cualquier
recuperacin indebida de la informacin almacenada en ellos.
Recomendamos que se elabore un documento formal dnde se recojan todas las
responsabilidades legales de la empresa para con los archivos suceptibles de ser
protegidos contra usos indeseables para el modelo de negocio de la editorial. As
cmo las medidas implementadas por la empresa para evitar estos usos. Los autores
de los manuscritos debern conocer estas medidas y las responsabilidades jurdicas, y
estar de acuerdo con ellas, que asumir la empresa en caso de uso indebido de los
documentos. Se adjunta un modelo contractual,no necesariamente final, en el que la
empresa puede apoyarse para elaborar el documento final. Los auditores debern ser
consultados ante posibles modificaciones del modelo adjunto, en alas de proteger los
intereses de la empresa.
5.3
Adquisicin y Mantenimiento
12
5.4
Seguridad
13
14
5.5
Monitoreo
A pesar de que existen algunos mtodos para el control interno (p.ej logs de
acceso al sistema en cada mquina) la editorial carece de una poltica de la funcin de
servicios de informacin relacionadas con el monitoreo y el reporte de los controles
internos, as como tampoco en la frecuencia de las revisiones. Se trata de un riesgo
crtico, por tanto se recomienda definir un mecanismo que permita llevar un control de
forma peridica. Esta poltica tambin debera reflejar las medidas a tomar en caso de
que no se cumplan las condiciones impuestas por el control interno dndose a conocer
por escrito a los empleados pertinentes. As tambin, una vez que se tomara en
consideracin un control interno, y ste se llevara a cabo, sera conveniente que
existiera una revisin administrativa del mismo, de forma que la poltica pudiera
retroalimentarse y aprender de ella misma, hacindola cada vez ms confiable.
Asimismo, el control interno debe de partir de una buena base. Para ello, se deben de
hacer un estudio y eleccin de que datos son los ms idneos para llevar un
seguimiento de los controles internos.
5.6
15
16
6 Papeles de Trabajo
6.1
6.2
18
19
6.3
- Auditor: Nos puede decir su nombre completo para que conste en acta?
Salvador Trigo Lpez
- Auditor: Cargo que desempea en la empresa?
Soy el director general de toda la empresa. Incluyendo todas las sedes en Francia e
Italia.
- Auditor: Nos puede decir que formacin tiene usted?
Soy licenciado en direccin y administracin de empresas, adems poseo un ttulo de
mster por la universidad Carlos III de tcnicas avanzadas de gestin empresarial.
- Auditor: Podra hacer una breve descripcin de su labor en la empresa?
Soy el mximo responsable de garantizar la consecucin de los objetivos comerciales
y del posicionamiento de la marca en el mercado nacional e internacional. As mismo
me encargo de la planificacin estratgica comercial y de la negociacin con grandes
clientes. En definitiva soy "l que tiene la ltima palabra".
- Auditor: Sabe cul es el presupuesto del que dispone la empresa para informtica?
No hay un presupuesto especfico para ese rea. Se invierte en informtica segn las
necesidades de los empleados y del modelo de negocio. Hace poco encargamos a
una empresa de desarrollo sofware un programa para ayudar a los Editores a realizar
su trabajo. Cost muchsimo dinero.
- Auditor:Entonces su empresa no tiene ningn plan de Tecnologas de Informacin?
Bueno, creemos que no hace falta para nuestra labor. Somos una editorial y nos
debemos centrar en sacar al mercado libros que gusten a la audiencia y crtica y
publicitarlos de la mejor manera posible.
- Auditor: Siguen, en su empresa, alguna metodologa que oriente en la consecucin
de los planes estratgicos?
No se sigue una metodologa concreta que cubra las necesidades de formulacin y
modificacin de planes estratgicos. En su lugar se mantienen unas polticas y
procedimientos propios
- Auditor: Me puede comentar algo sobre los programas que usa a diario para
elaborar su trabajo?,est contento con ellos?,considera que presentan deficiencias
muy graves?
Tengo todos los programas que usamos en la empresa en el ordenador, cmo
Director General tengo un acceso privilegiado a todos ellos, tengo una contrasea
personal de cuatro dgitos que cambio a menudo. En ciertos programas cmo los que
tienen que ver con el departamento editorial o el departamento de contabilidad tengo
20
6.4
21
22
6.5
23
- Auditor: Que hacen con las copias que se han aprobado para editar?
Una vez que el archivo est aprobado por todos los editores y ha sido,
posteriormente, "armado" y aprobado de nuevo, el manuscrito se queda en el
programa almacenado a la espera de que algn editor avise a la direccin
administrativa y sta se encargue de entregar el fichero a la imprenta.
- Auditor: Existe alguna forma unvoca de identificar las copias que se hace cada
trabajador en cualquier fase del proceso interno de la empresa?
Lo desconozco. Si se refiere a algn tipo de "marca de agua" imborrable... habra que
preguntrselo a la empresa desarrolladora del software.
- Auditor: Considera esto cmo la mejor forma de guardar este tipo de
documentacin?
Ningn sistema, creo, est libre de riesgos a la hora de manejar documentacin
importante. S se podra mejorar?, supongo que todas las medidas de seguridad que
se tomen con una obra antes de ser publicada son pocas.
6.6
24
7 Anexos
7.1
Nombre
Raul Garcia
Isidoro Pea
Isabel Belloso
Rafael Salido
Luisa Patn
Patricia Mata
Lourdes Rincn
Ral Martnez
Sofa Pozo
Alejandro Morales
Juan Camacho
Alberto Robles
Juan Polo
Ignacio Jaramillo
-
Login
raulg
pea
isa.belloso
rafa.salido
luisap
pmata
lourdes
rmartinez
spozo
morales
jcamacho
robles
jpolo
ignacio.jaramillo
Contrasea
3h4566
hh554h
h5t94b
111111
tt99y6
rfgh7y
123456
e398t9
59sof3
am32ma
33cc43
112233
4rt56y
we4rt5
7.2
26
7.3
27
28
Nivel medio: Se aplicarn a los ficheros con datos de carcter personal. Ficheros que
contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual o
los recabados para fines policiales sin consentimiento (en este ltimo caso, tambin
debern ser de titularidad pblica).
Nivel alto: Ficheros que contengan informacin relativa a las creaciones
propiedad de los autores que tengan relacin contractual con la empresa.
En concreto, los ficheros sujetos a las medidas de seguridad establecidas en
este documento, con indicacin del nivel de seguridad correspondiente, son los
siguientes:
- Clientes [Nivel Medio],
- Ficheros Privados [Nivel Medio].
En el Anexo I se describen detalladamente cada uno de los ficheros o
tratamientos, junto con los aspectos que les afecten de manera particular.
29
30
31
32
CAPTULO III.
PERSONAL
PROCEDIMIENTO
GENERAL DE
INFORMACIN AL
Las funciones y obligaciones de cada una de las personas con acceso a los
datos de carcter personal y a los sistemas de informacin estn definidas de forma
general en el Captulo siguiente y de forma especfica para cada fichero en la parte del
Anexo I correspondiente.
Para asegurar que todas las personas conocen las normas de seguridad que
afectan al desarrollo de sus funciones, as como las consecuencias del incumplimiento
de las mismas, sern informadas mediante clusulas de responsabilidad incluidas en
sus contratos y al tomar posesin del cargo.
Adems, Editorial X se compromete a remitir de forma peridica informacin
sobre seguridad: circulares, recordatorios, nuevas normas, al personal que estime
oportuno mediante correo interno de la empresa.
Los usuarios ajenos a la empresa sern informados de sus derechos y
responsabilidades as como de cualquier otra informacin relevante mediante avisos
en la pgina web de la entidad.
33
CAPTULO V. PROCEDIMIENTO DE
RESPUESTA ANTE LAS INCIDENCIAS.
NOTIFICACIN,
GESTIN
34
DEL
INCUMPLIMIENTO
DEL
35