I.

Debilidades de control interno

a) Asuntos operativos y tecnológicos

Hallazgo n.° 1

Condición

Durante la revisión de los controles establecidos por la Administración para la actualización de

sistema antivirus, observamos que en la política de seguridad sobre los virus informáticos se
establece que es responsabilidad del usuario mantener el agente del antivirus ejecutándose en su
PC para que el antivirus pueda actualizarse oportunamente y adecuadamente. En dicha política
no se establece que medias se deben tomar si el usuario no realiza dicha actualización, de
manera que existan controles mitigantes.

Criterio:
Protección de la información contra códigos malicioso de conformidad con las mejores
prácticas establecidas en ISO 27001, en el que se indica que dentro de los procedimientos a
desarrollar para un efectivo control es crear procedimientos para usar el antivirus, dar
formación para su uso y para afrontar los ataques, así como disponer de un software espía que
se encargue de rastrear el trabajo que se realiza y que se envíe a alguien externo.

Causa:
Falta de implementación de controles alternos una vez identificado que alguna PC no se ha
actualizado adecuadamente el antivirus en el tiempo establecido por la Administración.

Efecto.
Vulnerabilidad en los equipos de cómputos que no actualizan la versión y que puede dar
entrada a códigos maliciosos a la red de la entidad.

Recomendación

Recomendamos establecer mecanismos y procedimientos para identificar que equipos no han

actualizados la versión de antivirus correspondiente considerando una ejecución de los equipos
que están conectados a la red y que aún no cumplen con dicho requerimiento; así mismo dar un
seguimiento al personal con una adecuada capacitación y conciencia en que deben realizar
dicho proceso para evitar que la entidad este expuesta a vulnerabilidades de ataques. El
antivirus debe monitorear el sistema continuamente así como determinar que la información de
archivos adjuntos en correos electrónicos y descargas debe ser revisada.

Hallazgo n°.2

Condición:
En la revisión efectuada a la política de seguridad del sistema operativo de red, observamos
que en lo relacionado a bloqueos automáticos de cuentas de usuarios después de tres intentos
fallidos no se establece como el área de sistemas controla y documenta los casos de usuarios
que han llegado al límite establecido en la política.

2
Referente a la automatización al bloquearse el usuario no se indica en la política como el área
de sistema monitorea la efectividad del sistema.

Criterio:

Controles de accesos a los sistemas operativos. Las buenas prácticas de ISO 27002, sugieren
que la utilización de un software de controles de accesos puede ser útil ya que proporciona un
registro de los intentos de accesos tanto exitosos como fallidos.
También menciona la importancia de los controles de seguridad lógica cuya identificación y
autenticación del usuario mitiga el riesgo de accesos de usuarios no autorizados.

Causa:

Falta de control y de documentación que sustente los seguimientos y registros realizados de

casos de usuarios que han sido bloqueados por llegar al límite permitido según la política, así
como la inexistencia de monitoreo de la eficacia del sistema en las respuestas a los usuarios.

Efecto:

No permite una evaluación objetiva de la política de seguridad del sistema operativo

implementada, que pueda sustentar la toma de decisiones en pro de mejora.

Recomendación:

Recomendamos definir controles que permitan documentar la periodicidad y las razones por las
cuales los usuarios han sido bloqueados y la efectividad de las respuestas realizadas por el
sistema en el tiempo establecido.
De tal manera que facilite la toma de decisiones en la gestión de seguridad de los sistemas
operativos de red y que los cambios o mejoras puedan identificarse oportunamente.