CATEGORIA ELEMENTO A EVALUAR SITUACION ACTUAL RIESGO IDENTIFICADO RECOMENDACIONES
Se recomienda el desarrollo El Área de Sistemas no de una Auditoria de funciona correctamente, Sistemas, a fin de encontrar debido a falta de políticas, Las actividades de gestión y los puntos débiles o objetivos, normas, Plan Estratégico de control son efectuadas de procesos mal diseñados. Y metodología, estándares, Sistemas acuerdo al criterio de las luego hacer reingeniería y/o delegación de autoridad, jefaturas correspondientes. rediseño de los procesos asignación de tareas y internos de la empresa, en adecuada administración del base a un plan estratégico recurso humano. serio.
Las políticas no están
definiendo el nivel de Las políticas de seguridad Definir formalmente Políticas Políticas de Seguridad seguridad que tiene la están impartidas y de Seguridad de la de la información. organización, no es un 1: Organización y difundidas superficialmente. información. modelo deseado de Administración de “TI” seguridad. Procedimientos que Documentar Planes En el área de TI se realizan Los requerimientos de los aseguren que las Informáticos de carácter las tareas del día a día usuarios pueden no siempre actividades de “TI” se integral, debidamente acorde a los requerimientos ser atendidos o efectúen de forma segura y autorizados, y de las áreas usuarias. correctamente efectuados. controlada. monitoreados. Se recomienda la designar Función o grupo de No existe un responsable Las políticas de seguridad Jefe de Seguridad de Administración de que administre la Seguridad están en el área de OYM. Información y/o a un grupo Seguridad. de la información. que cumpla esta función. Modelo funcional Segregar funciones y Los usuarios efectúan sus La segregación de aprobado para una brindar mayores o menores requerimientos directamente actividades no es la adecuada segregación de privilegios de usuario acorde a los analistas. adecuada tareas a la función asignada. Independencia del Las actividades Independizar el sector “Control de Calidad de relacionadas al área de No se garantiza el “Control de Calidad de Software” del área a cargo desarrollo, producción y funcionamiento óptimo de Software” del área a cargo del desarrollo y pruebas son realizadas estas actividades. del desarrollo y mantenimiento de sistemas. indistintamente. mantenimiento de sistemas La información puede ponerse en riesgo si el Establecer medidas Procedimientos acceso de dichos terceros adecuadas para la Tiene personal en formales de control de los se produce en el marco de protección de la información, modalidad tercerizada. servicios de outsourcing. una inadecuada como acuerdos de administración de la confidenciabilidad. seguridad. Los nuevos recursos de Tiene diversas plataformas Probable Incompatibilidad Estándares en materia de procesamiento de tecnológicas (HW y SW) con los componentes de hardware y software de información deberán ser producto del reciente otros sistemas del base autorizados considerando su crecimiento de la empresa Organismo. propósito y uso. El Jefe de Seguridad Los procedimientos para el Procedimientos para el Informática, con la finalidad aseguramiento de control de aseguramiento y control de Las actividades de gestión y de garantizar que se actividades de las actividades de control son efectuadas de cumplan todas las políticas y administración de las administración de las acuerdo al criterio de las requerimientos de seguridad plataformas de hw y sw, no 2: Procesamiento de “TI” plataformas de hardware y jefaturas correspondientes. pertinentes debe ser son aceptadas por la software de base. responsable de estos dirección o gerencia. procedimientos. En general las actividades El hecho de registrar logs no Establecer Políticas y de explotación son Registración en logs. tiene mayor valor si no requerimientos de seguridad registradas en los logs de existe tal auditoria. pertinentes. auditoría. formalmente procedimientos Procedimientos para el Las actividades backup y Probablemente No existe un para el seguimiento y control seguimiento y control de las restore de la información es control adecuado de las de las actividades de actividades de explotación. manual actividades de explotación. explotación Estudiar la posibilidad de Las compras de HW y SW incorporar elementos a las son realizados por la misma plataformas de hardware y Procedimientos de Posibles incompatibilidades, jefatura de TI, y a veces software de base que adquisición de hardware y o no optimización de son delegados a la jefatura permitan automatizar software. recursos. de desarrollo y/o actividades que se realizan producción. manualmente, y optimizando recursos. 3: Integridad, Seguridad lógica: Confidencialidad y Función de administración La administración de la Disponibilidad de “TI” No existe tal función Definir funciones. de seguridad seguridad es inexistente La demanda de los usuarios Definir y filtrar logs de Logs de actividades Activar logs de actividades es alta. actividades. No existe una supervisión de actividades por parte de Supervisión de los administradores, dado Asignar personal a cargo de actividades de los No existe supervisión que ellos mismos realizan supervisión de actividades. administradores los requerimientos de los usuarios Tiempo hábil en su mayoría Los usuarios efectúan sus desperdiciado. Los analistas Asignar un grupo de trabajo Segregar funciones requerimientos directamente podrían cumplir funciones intermediario, o de filtro. a los analistas. mucho más provechosas Procedimientos de Optimizar el uso de la El relevamiento de la BD no bien administrada u administración de la información, depurar información es variado. optimizada. seguridad. información relevante. Seguridad física y
ambiental: Sala de equipamiento El CC está cerca de los Peligro de corto circuito. Mantener fuera de alcance central con suficiente baños del piso. posibles desbordes de agua. protección de posibles desbordes de agua Controles de acceso físico y El acceso al CC es No existe un control de Implementar un control de ambientales en la sala adecuado, existe un control salidas ni prevención de salidas, cámaras en el local, actual. en el ingreso. incendios. y prevención de incendios. Las compras de HW y SW Las compras de HW y SW son realizados por la misma No cuenta con un deben ir de acuerdo a los Computador de jefatura de TI, y a veces computador para casos de requerimientos del sistema y Contingencia son delegados a la jefatura contingencias. estos funcionar de desarrollo y/o integralmente. producción. Pruebas integrales de Las actividades backup y Diseñar e implementar recuperación desde Riesgo a errores y perdida restore de la información es procedimientos formales de respaldos, documentarlas y no deseada de información. manual administración de respaldos evaluarlas. Plan de Contingencias y Sólo se tienen un servidor No tiene respaldo ante Contar con un plan de Recuperación de Desastres. principal. contingencias o desastres. continuidad del servicio. Procedimientos para el El desarrollo de los aseguramiento y control de aplicativos son realizados Carencia de documentación Ejecutar procedimientos las distintas etapas del ciclo según el parecer de cada de los sistemas de para el aseguramiento y de vida de los sistemas de analista y su relevamiento información. control. aplicación. de información es variado. Controles que aseguren que los cambios a los El desarrollo de los 4: Desarrollo, adquisición sistemas de aplicación son Implantar la revisión de los aplicativos son realizados y mantenimiento de debidamente controlados e cambios por una función según el parecer de cada Cambios no documentados Sistemas de Información implantar la revisión de los independiente de análisis y analista y su relevamiento cambios por una función desarrollo de información es variado. independiente de análisis y desarrollo. Controles que impidan Las pruebas son llevadas a Diseñar formalmente que los analistas y No protección a las cabo según la naturaleza del procedimientos de desarrolladores accedan al aplicaciones y datos. requerimiento administración de usuarios. ambiente de producción.