BANCO DE RESERVAS

BANCO DE LA
DE RESERVAS DEREPUBLICA
LA REPUBLICA
DOMINICANA
Departamento Auditoría de Sistemas Automatizados
DOMINICANA
Gerencia Auditoría Aplicaciones

Informe Auditoría Prevención Fuga de Datos

Auditoría General
[Mes, año]

Agosto 2021
 Auditoría General
Tel. (XXX) XXX-XXXX | (809) XXX-XXXX
RNC-XXXXXXXX

Santo Domingo, D. N.
21 de agosto de 2021

AUD-DASA-2021
Ingeniero
San Francisco Gotera. TI
Director General de Tecnología
Su Despacho

Distinguido Gotera TI:

Hemos completado la Auditoría Prevención Fuga de Datos, llevada a cabo durante el período comprendido
entre el 8 de agosto y el 21 de agosto de 2021. La misma ha sido realizada de acuerdo a las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna del IIA y al Mandato de Auditoría Interna
PC MILENIUM S.A, actualizado mediante la Sexta Resolución de la Sesión Ordinaria del Consejo de
Directores celebrada el 13/02/2018.

Aspectos más importantes que deben señalarse

se ha encontrado que el sistema encontrado en la administración y en el monitoreo de las redes

corporativas están desactualizados
1. Data center
2. Softwares comprados

Se detecto falta de personal capacitado para el uso de software de administración y monitoreo de la red
corporativa
1) Falta de personal

pudimos ver que no existe un sistema de administración y monitoreo de la red corporativa.

Nuestro informe está organizado en dos secciones: un Resumen Ejecutivo, que ofrece una conclusión general
de los resultados; y un Detalle de las Incidencias, que incluye nuestras recomendaciones, y los planes de
acción correctivos, acordados con el personal directivo y gerencial de las áreas auditadas, quienes son
responsables de implementarlos.

Atentamente,

Ing. Luis Almonte terrero

Auditor General
CDFR//LJMS/ajrs

c.: Lic. Brayan mena, Subadministrador de Operaciones y Tecnología

Ing. Jose gutierrez, Contralor
Lic. Brenda reynoso, Director General de Seguridad
Msto. Junior gonzales, Directora General Procesos y Aseguramiento de la Calidad
Ing. Felix alamdo luciono, Gerente Auditoría Aplicaciones Financieras y Apoyo
 TABLA DE CONTENIDO

I. INTRODUCCIÓN.................................................................................2

II. OBJETIVOS...........................................................................................2

III. ALCANCE..............................................................................................2

IV. PROCEDIMIENTOS.............................................................................3

V. LIMITACIONES....................................................................................4

VI. CONCLUSIÓN.....................................................................................5

VII. GLOSARIO...........................................................................................6

ANEXO:

Detalle de Incidencias:

Logo empresa
Prevención Fuga de Datos
 I. INTRODUCCIÓN

Una fuga de datos o Data Leakage es la pérdida de confidencialidad de la información

de una organización, empresa o individuo, mediante la obtención de la misma o el
conocimiento del contenido de esta por parte de personas no autorizadas para ello.

A menos que se apliquen diligentemente los controles adecuados, cabe esperar que la
información acabe en las manos de gente no deseada. Incluso implementando controles,
el riesgo de una fuga de información no desaparece.

Las fugas de datos pueden ser ocasionadas por causas internas o externas a las
organizaciones:

 Internas: causadas por ejemplo, intencionada o accidentalmente por personal

interno de la organización.
 Externas: por ejemplo, la filtración de los datos personales de los empleados de
una empresa por un incidente de seguridad de un proveedor.

Entre los aspectos positivos observados, debe resaltarse, las consecuencias que produce son
distintas. Por ejemplo, la fuga de datos personales puede ocasionar pérdidas económicas
importantes para las organizaciones bien sea por multas de las agencias reguladoras o por la
pérdida de la confianza de sus clientes. Si se produce una revelación de un secreto comercial,
puede ocasionar la pérdida de una ventaja competitiva que deriva a su vez en perjuicios
económicos.

II. OBJETIVOS

La auditoría fue realizada con el principal de evaluar el cumplimiento de leyes, estándares,

normas y procedimientos existentes para prevenir la fuga de datos.

 Confirmar la existencia de un software de administración y monitoreo de la red

corporativa.
 Confirmar que la seguridad es administrada de forma adecuada.
 Comprobar que los cambios realizados a las redes sean previamente autorizados, y que
se asegura la calidad de los mismos, antes y luego de estar en operación.
 Confirmar la continuidad de operaciones ante la ocurrencia de eventos no deseados a la
red corporativa.

Prevención Fuga de Datos

1
  Verificar que el sistema se desempeña adecuadamente, asegura recursos suficientes a
los usuarios, servicios y aplicaciones para el cumplimiento de los tiempos esperados, y que
las excepciones sean detectadas, reportadas y corregidas oportunamente.
 Verificar el cumplimiento de las leyes, regulaciones y estándar aplicables relacionados a
la seguridad de la información en las redes corporativas.
 Confirmar la existencia de contratos de confidencialidad con terceros, en los servicios de
mantenimiento e instalación de las redes corporativa

ALCANCE

El alcance de la auditoría incluyó

 Departamento de Documentos y políticas

 Departamento de Sistema de información
 Departamento de Infraestructura

III. PROCEDIMIENTOS

Los trabajos de planeación, ejecución, supervisión y control de la auditoría fueron

realizados acorde a nuestra Metodología de Auditoría Interna.

Se realizaron pruebas de:

 Sistema de información
 Infraestructura
 Data center
 Documentos y políticas

En resumen, la metodología aplicada consistió en las siguientes actividades:

1. Asignación del equipo de trabajo de auditoría.

2. Formalización de inicio con la gerencia.
3. Identificación de objetivos de control y riesgos.
4. Entendimiento de los procesos.
5. Preparación del programa de pruebas.

Prevención Fuga de Datos

2
 6. Ejecución de pruebas de auditoría.
7. Comunicación de las incidencias a la gerencia.
8. Formalización de compromisos correctivos con los auditados.
9. Remisión del informe final.

IV. LIMITACIONES

n/a

Prevención Fuga de Datos

3
 V. CONCLUSIÓN

Como hemos visto a lo largo del documento, la fuga de información es uno de los
incidentes de seguridad más complejos, por su diversidad y por las posibles
consecuencias. Por otro lado, el componente humano y organizativo que subyace a
muchos de los incidentes de fuga de información supone todo un reto en relación con la
aplicación de medidas de seguridad eficaces, con el objetivo de prevenir incidentes. Pero a
pesar de todo, hoy día, las empresas y las organizaciones cuentan con una gran diversidad
de herramientas y medidas que pueden ayudar de manera muy eficaz a prevenir y
minimizar significativamente las consecuencias de un incidente de fuga de información

Prevención Fuga de Datos

4
 VI. GLOSARIO

 [Fuga de datos]: ...  Se denomina fuga de información “al incidente (tanto interno

como externo, y a la vez intencional o no) que pone en poder de una persona ajena a la
organización, información confidencial y que sólo debería estar disponible para
integrantes de la misma.”

 Confidencialidad es la garantía de que la información personal será protegida para que

no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva a cabo por medio
de un grupo de reglas que limitan el acceso a ésta información.

 Riesgo Posibilidad de que se produzca un contratiempo o una desgracia, de que

alguien o algo sufra perjuicio o daño.

Prevención Fuga de Datos

5
Prevención Fuga de Datos
6
 PREPARADO POR:

Juan Jeniel Aguilar de la paz Luis Junior Maria Serrano

Auditor de Sistemas Auditor de Sistemas

Abel Rodríguez
Auditor Senior de Sistemas

REVISADO POR:

Ramón Pérez Msto. Junior gonzales

Auditoría Aplicaciones Director Auditoría de Sistemas
Automatizados

APROBADO POR:

Lic. Brayan mena Ramón Pérez

SubAuditor General Auditor General

Prevención Fuga de Datos

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

ANEXO: