Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fecha: 16/4/2022
21-0587
1-KPMG
Dirección:
Acropolis (mall), suite 2300. Avenida winston churchill, Santo Domingo.
Dirección:
Edificio Deloitte. Calle Rafael Augusto Sánchez No. 65. Ensanche Piantini. Santo
Domingo.
Dirección:
Av. Lope de Vega 29. Edificio novo centro.
Dirección:
Av. Pedro Henriquez Urena No. 138, Torre empresarial Reyna II, suite 900, Ens. La
Esperilla, Santo Domingo.
Proceso
Numero de auditoria
Reunión de apertura
Reunión de cierre
Equipo auditor
Objetivo de auditoria
Alcance de auditoria
Criterios de auditoria
Metodología
Sesiones de auditoria
Resumen general
Resultado de auditoria
Conclusiones
Recomendaciones
IV-Sobre el mismo informe del punto #2, identificar los siguientes aspectos
cubiertos en la auditoria:
a) Área que se revisó
Se revisaron 130 requerimientos de norma NTC/ ISO 27001: 2013 repartidos en 7
numerales, y 114 controles del anexo.
b) Detalles que se estudiaron
Contexto de la entidad, sistema de gestión de la seguridad de la información,
determinar el alcance del sistema de gestión de seguridad, liderazgo y compromiso,
política, roles en la entidad, organización de la seguridad de la información, planeación,
acciones para abordar los riesgos y las oportunidades, objetivos de seguridad de la
información y planificación para lograrlos, operación, control y planificación operacional,
gestión de activos, clasificaciónde la información, manejo de medios, comunicación,
seguridad de recursos humanos, etc.
c) Procesos que se evaluaron
La verificación, el hacer, el actuar, y el planear.
d) Factores que se valoraron
Se realizan las evaluaciones de riesgos a intervalos planificados semestralmente,
aplicando la evaluación de riesgos de seguridad de la información. Se evalúa la
prioridad de cada tipo de información mediante una puntuación o valoración del riesgo.
Finalmente, se definen los controles necesarios para asegurar la información que
supere determinado nivel de riesgo establecido, según los criterios de riesgo del
sistema de gestión de seguridad de la información.
V-Sobre el mismo informe del punto #2, identificar el enfoque de auditoria del
Marco Conceptual:
a) Auditoria “alrededor” del computador.
La oficina tecnológica presenta mensualmente un informe de la gestión realizada a nivel
de los servicios especializados de ejecución, administración y operación de seguridad
informática del ministerio de educación nacional, en cuanto a planes de seguridad,
gestión de vulnerabilidades operativas, disponibilidad de dispositivos de seguridad,
gestión de identidad y acceso, cumplimiento del modelo operativo y planes de
actualización tecnológica, entre otros.
b) Auditoria “a través” del computador.
El ministerio cuenta con un centro de datos alterno, para garantizar la disponibilidad de
los servicios críticos de la entidad, teniendo en cuenta las buenas prácticas de
seguridad de la información establecidas en los documentos. Los data center del MEN
están instalados en un centro de datos principal y otro está sujeto a cambios según el
acuerdo AMP; estos cuenta con capacidades de respaldo de energía ininterrumpida,
ajustados a la capacidad de cada uno, sistemas de control de acceso, seguridad
perimetral, sistemas de detección, y prevención de incendios, cableado estructurado,
conexión mediante fibra oscura entre aplicaciones de procesamiento de datos,
monitoreo, plataformas tecnológicas de respaldo y virtualización, redes y comunicación.
c) Auditoria “con” el computador.
Se realizan pruebas a través de aplicaciones específicas como el pentesting, con el fin
de identificar debilidades de seguridad sobre un servidor, aplicación, etc. Estas pruebas
permiten comprobar los controles de seguridad, las aplicaciones web, detectando
vulnerabilidades que un atacante podría explotar, y posteriormente introduciento los
correctivos de remediación y neutralización de la amenaza.