Informe del proyecto

Of
Curso DISA 3.0

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 1

 CERTIFICADO
Informe del proyecto de curso DISA 3.0

Por la presente se certifica que hemos superado con éxito el curso de formación DISA 3.0
realizado en el portal DLH del 7 de noviembre de 2020 al 29 de noviembre de 2020 y
contamos con la
asistencia requerida. Presentamos el proyecto titulado:-

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH

Por la presente confirmamos que nos hemos adherido a las directrices emitidas por DAAB,
ICAI para el proyecto
. También certificamos que este informe de proyecto es el trabajo original de nuestro grupo
y que cada uno de nosotros
ha participado y contribuido activamente en la preparación de este proyecto. No hemos
compartido los detalles del proyecto ni hemos recibido ayuda para preparar el informe del
proyecto de nadie, excepto de los miembros de nuestro grupo
.

1. Nombre CA VIKASH DISA nº 63671

SHARMA

2. Nombre CA NEELAM DISA nº 63711

KOTHARI

3. Nombre CA YASHESH DISA nº 63656

GARGDelhi
Lugar:

Fecha: 17 de noviembre de 2020

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 2

 Índice

Carta de presentación
Detalles del estudio de caso/proyecto (problema)

S. NO. Índice Nº de página

1 Introducción 6-7

2 Fondo 8

3 Entorno auditado 8

4 Condiciones y alcance de la 9
asignación
5 Documentos revisados 9

6 Disposiciones logísticas 10

7 Metodología y estrategia 11-12

8 Referencias 13

9 Conclusiones y recomendaciones 14-16

10 Conclusión 17

Para,

El Director Financiero,

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 3

Jupiter Capital Services Ltd

Sub: Presentación del informe de auditoría de seguridad de la red.

Estimado señor,

En términos de nuestra carta de compromiso de fecha 10 de noviembre de 2020, VNY &

Associates, Chartered Accountants ha llevado a cabo una auditoría de seguridad
independiente de la Red en las operaciones remotas de Jupiter Capital Services Ltd. Este
encargo se centró principalmente en realizar una auditoría de la seguridad de la red para
comprobar el grado de seguridad de la red para las operaciones en ubicaciones remotas,
incluidas las operaciones de trabajo desde casa.

Hemos realizado la auditoría conforme a la carta de encargo. Intentamos averiguar la causa

del problema y también recomendamos a la dirección que hiciera un seguimiento. La
información aquí contenida y nuestro informe son confidenciales. Se destina exclusivamente
al uso y la información de la Empresa, y sólo en relación con el propósito para el que se ha
realizado la auditoría. Debe tenerse en cuenta que cualquier reproducción, copia o cita de
este informe o de cualquier parte del mismo sólo podrá hacerse con nuestra autorización
previa por escrito.

En el siguiente informe hemos resumido las observaciones de la auditoría junto con las
recomendaciones para subsanar las deficiencias de control y los riesgos asociados.

Gracias,

Atentamente,

Para M/s VNY & Associates

Expertos contables

A. Detalles del estudio de caso/proyecto (problema)

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 4

 El sector de las NBFC (sociedades financieras no bancarias) ha crecido en tamaño y
complejidad a lo largo de los años. El Banco de Reserva de la India ha venido publicando
directrices periódicas sobre Auditoría de Sistemas y controles para las NBFC. Teniendo en
cuenta la necesidad de los reguladores, los clientes y como diferenciador del mercado,
Jupiter Capital Services Ltd decidió proactivamente hacer arreglos para la auditoría
independiente de la seguridad de la red de la operación remota, incluyendo el trabajo
desde casa y, a partir de entonces, una serie de discusiones se llevaron a cabo por el
equipo de la entidad con el auditor IS para entender los diferentes módulos, modelos,
características y controles se prepararon teniendo en cuenta las reglas de negocio de la
banca y los requisitos reglamentarios.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 5

 B. Informe del proyecto (solución)
Título: Auditoría de seguridad de la red de operaciones remotas,
incluida la WFH

1. Introducción

SOBRE EL AUDITADO

Jupiter Capital Services Ltd es una de las principales NBFC registradas bajo la regulación del
RBI como Sociedad de Inversión Básica No Receptora de Depósitos Sistémicamente
Importante. Tiene oficinas en las principales ciudades del país.

Jupiter Capital Services Ltd proporcionar diferentes tipos de préstamos a los clientes, pero las
principales áreas son:-.

• Préstamos comerciales
• Préstamos a la vivienda
• Préstamos para vehículos

Además de las anteriores, existen tres Unidades Estratégicas de Negocio (UEN)

• División de Tecnología para ofrecer soluciones integrales de ingeniería

• División jurídica para asuntos relacionados con préstamos y garantías.
• División de Negocios Internacionales para prestar servicio en todo el mundo.

Jupiter Capital Services Ltd tiene su sede central en Mumbai y 5 oficinas regionales. Al
tratarse de una NBFC, todos los procesos empresariales deben estar asegurados a un alto
nivel.

SOBRE EL AUDITOR

La empresa auditora de este encargo es VNY & Associates. La firma se estableció en 2015 y
tiene una experiencia de 5 años en el campo de la Auditoría, Fiscalidad, Auditoría de
Sistemas, etc.

Composición

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 6

Socios - 3

Nº de empleados: 15

Nº de artículos: 20

Situado en: Saket, Delhi

En este caso, la auditoría estará a cargo de un equipo dirigido por CA Vikash Sharma con 8
miembros, incluidos 2 empleados remunerados y 6 artículos.

El equipo de auditoría para este encargo concreto está formado por los siguientes miembros
cualificados:

S.no Nombre Cualificación

1 Vikash Sharma CA, DISA Jefe de equipo
2 Neelam Kothari CA, DISA Miembro
3 Yashesh Garg CA, DISA Miembro

VNY & Associates Chartered Accountants es una de las famosas empresas de censores
jurados de cuentas de la India y se dedica a prestar servicios de auditoría de sistemas de
información en toda la India. También estamos reconocidos como proveedores de servicios
de Auditoría de Sistemas de Información y nuestras principales competencias se enumeran a
continuación:

• Revisión de procesos SAP, Oracle y JDE

• Revisión y formulación de políticas, procedimientos y prácticas de la sociedad de la
información
• Revisión de los controles de acceso físico y lógico
• Consultede controles del sistema operativo
• Consultede Controles de Sistemas de Aplicación
• Consultede controles de bases de datos
• Consulte de Gestión de Redes
• Revisión de los procesos de "soporte de aplicaciones" y "mantenimiento de sistemas
• Revisión de los "Planes de recuperación en caso de catástrofe y continuidad de las
actividades
• Revisión del entorno de la SI
• Evaluación de riesgos y sugerencias
• Revisiones de la reingeniería de procesos empresariales
• Revisiones posteriores a la implantación de procesos y prácticas empresariales y
sugerencias

2. Antecedentes del auditado

Jupiter Capital Services Ltd. utiliza las tecnologías de la información como

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 7

 herramienta clave para facilitar los procesos empresariales y mejorar los servicios a
sus clientes. La alta dirección de la empresa ha sido muy proactiva a la hora de dirigir
la gestión y el despliegue de las tecnologías de la información. La mayoría de las
aplicaciones de misión crítica de la empresa se han informatizado y conectado en red
con la seguridad adecuada.

La implementación de la seguridad de la red ha permitido a la empresa que sus

usuarios autorizados se conecten sin problemas con todos sus proveedores, clientes
y socios legítimos para lograr una mayor eficiencia empresarial y con la seguridad
adecuada que le ayuda a lograr una excelencia de conexión superior y seguridad
empresarial.

3. Entorno auditado
La creación de redes en operaciones remotas en Jupiter Capital Services Ltd ha
planteado retos únicos derivados de la necesidad de asegurar adecuadamente la red
en cada dispositivo. A cada empleado se le ha proporcionado un ordenador portátil
independiente para su trabajo, y ellos llevan los dispositivos a la ubicación del cliente
y cargan los datos desde allí. Algunos empleados trabajan desde casa para ahorrar
costes operativos.

La empresa ya ha implementado la política de seguridad de la red por separado para

los dispositivos utilizados en ubicaciones remotas o para los empleados que trabajan
desde su lugar de trabajo.

Comunicación de los clientes sobre su visión del negocio relevante para el préstamo
debe hacerse sólo a través de redes seguras, ya que este tipo de información es
sensible y debe protegerse.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 8

 4. Condiciones y alcance de la asignación
La Auditoría del Sistema de Información debe ejecutarse según la Carta de Auditoría preparada
por la empresa y acordada por los Auditores. El objetivo, la autoridad, las responsabilidades y
la rendición de cuentas se definen en la Carta de Auditoría.

Cumplir las normas pertinentes emitidas por el ICAI y las normas aceptadas mundialmente a
efectos de auditoría de sistemas de información y establecer un marco de seguridad de la
información para garantizar que se cubren todos los aspectos necesarios de la seguridad de la
información.

Nuestro ámbito de actuación es el siguiente

• Revisión de la seguridad y los controles en la capa de red.
• Revisión de todas las funcionalidades clave y de los controles de seguridad y acceso
relacionados, tal y como se han diseñado a nivel de parámetros.
• Revise cómo se han diseñado e incorporado en el paquete las reglas de negocio del
proceso bancario y los requisitos normativos.
• Revisión del proceso que conecta el dispositivo remoto a la red mediante VPN.
• Mapeo de las mejores prácticas de seguridad y controles para evaluar cómo se diseñan
e integran la seguridad y el control.
• Revisión de los asuntos pendientes del año pasado y del año en curso.
• Garantizar que las posibles infracciones de los sistemas y procedimientos del banco se
pongan inmediatamente en conocimiento de la dirección para que puedan adoptarse
las medidas correctoras y reparadoras oportunas y evitar que se repitan.

5. Documentos revisados
• Política de seguridad informática para los dispositivos móviles utilizados en una red
• Política de seguridad de la red que enumera los derechos y responsabilidades de todo el
personal, empleados y consultores.
• Política de uso aceptable de la red.
• Acuerdo de seguridad firmado con los proveedores de la red.
• Plan de contingencia en caso de fallo de la red o violación de la seguridad.
6 Logística necesaria
• La empresa pondrá a su disposición el tiempo informático, los recursos de software y los
medios de apoyo necesarios para la tarea.

• Durante el curso de la Auditoría IS, los auditores utilizarán ACL, IDEA Software, SQL Commands,
Baseline Security Analyzer, Belarc Security Advisor, Free Port Scanner y Third Party Access
Control Software como técnicas de asistencia de auditoría informática (CAAT) para la
verificación del sistema con Windows 10 ordenador conectado al servidor que tiene el sistema
operativo abc con el uso de Mumbai y Ahmedabad sucursal de uno de los clientes de la
empresa.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 9

 • Como auditor, utilizaremos la Instalación Integrada de Pruebas (ITF) para auditar los requisitos
normativos integrados en el software de aplicación. Utilizaremos datos correctos e incorrectos
para comprobar la capacidad de notificación de errores del software de red.

• Los programas automatizados de diagramas de flujo se utilizarían para interpretar el código

fuente del software de aplicación y generar diagramas de flujo que indiquen el flujo de
información.

• Se utilizaría el Programa de Mapeo, que identifica los códigos no ejecutados en la codificación

del software, lo que nos ayudará a llamar la atención de la dirección y del equipo de desarrollo
del software.

Documentación requerida:
• Manuales de usuario y manuales técnicos
• Código fuente del programa informático
• Normas, reglamentos, directrices y circulares emitidos para la empresa
• Políticas de seguridad de la empresa, etc.

• Política de seguridad de la red que enumera los derechos y responsabilidades de todo el

personal, empleados y consultores.
• Política de uso aceptable de la red.
7 Metodología y estrategia
Al realizar una auditoría de seguridad inicial, es importante utilizar los requisitos de
cumplimiento más actualizados para mantener los protocolos de seguridad. Esto define
claramente lo que los CISO deben tener en cuenta, y ayuda a dar forma y establecer el futuro
de su supervisión y evaluaciones de seguridad automatizadas. La auditoría se llevará a cabo
para comprobar que se han adoptado y actualizado las siguientes medidas

Paso 1: Alcance del perímetro de seguridad

El alcance del proceso de auditoría consiste en definir claramente. Debe incluir todas las capas
de acceso: conexiones por cable, inalámbricas y VPN. De este modo, el alcance de la auditoría
incluirá en última instancia todo el software y los dispositivos, en todas las ubicaciones, para
definir en última instancia el perímetro de seguridad de la empresa.

Paso 2: Definir las amenazas

El siguiente paso consiste en enumerar las amenazas potenciales para el perímetro de
seguridad. Las amenazas más comunes a incluir en este paso serían:
El malware -gusanos, troyanos, spyware y ransomware- es la forma más popular de amenaza
para cualquier organización en los últimos años.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 10

 Exposición de los empleados : asegurarse de que los empleados de todas las sedes cambian
sus contraseñas periódicamente y utilizan un cierto nivel de sofisticación (especialmente con
las cuentas sensibles de la empresa), así como protección contra ataques de phishing y estafas.
Intrusos malintencionados : una vez que se ha producido el embarque -empleados,
contratistas e invitados-, existe el riesgo de robo o uso indebido de información sensible.
Ataques DDoS - Los ataques distribuidos de denegación de servicio se producen cuando varios
sistemas inundan un sistema objetivo, como un servidor web, lo sobrecargan y destruyen su
funcionalidad.
BYOD, IoT : estos dispositivos tienden a ser algo más fáciles de piratear y, por lo tanto, deben
ser completamente visibles en la red.
Violaciones físicas, catástrofes naturales ... menos frecuentes pero extremadamente dañinas
cuando se producen.

Paso 3: Priorización y puntuación del riesgo

Hay muchos factores que intervienen en la creación de las prioridades y la puntuación del
riesgo.
Tendencias en ciberseguridad : trabajar con un sistema de control de acceso a la red que tenga
en cuenta las amenazas más comunes y actuales junto con las menos frecuentes, podría
ahorrarle a usted y a sus CISO mucho tiempo y reducir costes, al tiempo que defiende a la
organización en un marco óptimo.
Cumplimiento : incluye el tipo de datos que deben manejarse, si la empresa
almacena/transmite información financiera o personal sensible, quién tiene acceso
específicamente a qué sistemas.
Historial de la organización - Si la organización ha sufrido una violación de datos o un
ciberataqueen el pasado.
Tendencias del sector : a la hora de crear un sistema de puntuación, hay que tener en cuenta
los tipos de violaciones, pirateos y ataques que se producen en su sector.

Paso 4: Evaluación de la situación actual en materia de seguridad

En este punto debería empezar a disponer de una postura de seguridad inicial para cada
elemento incluido en su definición inicial del alcance. Lo ideal es que, con los sistemas de
control de acceso adecuados, ningún sesgo interno afecte a su auditoría inicial ni a las
evaluaciones de riesgos continuas que se realicen más adelante de forma automática.
https://www.portnox.com/use-cases/ransomware-protection/https://www.portnox.com/use-
cases/ransomware-protection/Además, asegurarse de que todos los dispositivos conectados
cuentan con los últimos parches de seguridad, cortafuegos y protección contra malware
garantizará una mayor precisión en sus evaluaciones continuas.

Paso 5: Formulación de respuestas automáticas y medidas correctoras

Establecer el correspondiente conjunto de procesos diseñados para eliminar los riesgos
analizados en el paso 2 incluye algunas soluciones que deberían incluirse en este paso:

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 11

 Supervisión de la red : el establecimiento de una supervisión automatizada continua y la
creación de evaluaciones de riesgos automatizadas permitirán mejorar la gestión de riesgos.
Los ciberdelincuentes suelen trabajar para acceder a las redes. La activación de un software
que tenga en cuenta automáticamente los nuevos dispositivos, las actualizaciones/cambios de
software, los parches de seguridad, las instalaciones de cortafuegos y la protección contra
malware es la mejor forma de protegerse para cualquier organización. Lo ideal sería que sus
CISO recibieran alertas de cualquier dispositivo, software, actividad, intentos de acceso
desconocidos y mucho más que sean cuestionables, para estar un paso por delante de
cualquier actividad dañina, ya sea maliciosa o no. Actualizaciones de software : asegurarse de
que todos los miembros de la red disponen de las últimas actualizaciones y parches de
software, cortafuegos, etc. Es muy recomendable aprovechar esta función integrada en el
software de control de acceso a la red que le avisa cuando se necesitan.
Copias de seguridad y segmentación de datos : pasos relativamente sencillos pero cruciales,
ya que, obviamente, las copias de seguridad de datos coherentes y frecuentes junto con la
segmentación garantizarán un daño mínimo en caso de que su organización caiga alguna vez
en manos de malware o ciberataques físicos.
Formación y concienciación de los empleados : formación para los nuevos empleados y
actualizaciones continuas de seguridad para todos los empleados con el fin de garantizar que
se aplican las mejores prácticas en toda la empresa, como la detección de campañas de
phishing, el aumento de la complejidad de las contraseñas, la autenticación de dos factores,
etc.

8 Referencias
Durante el curso de la Auditoría de Seguridad de la Red de la NBFC, los Auditores IS de la empresa
han cumplido con las normas y directrices que se detallan a continuación:

• Ley de Tecnología de la Información de 2000.

• Sección 7(A) de la Ley -Auditoría de documentos, es decir, formulario electrónico.
• Artículo 43A de la Ley - Personas jurídicas que tratan datos sensibles.
• Artículo 72(A) de la Ley - Divulgación de la información sin el consentimiento del
persona afectada The Banking Regulation Act, 1949.
• ISO 27001- Sistema de información-
• COBIT 5
• Normas y directrices de auditoría y aseguramiento de TI publicadas por ISACA
• ISO 1206 - Utilización del trabajo de otros expertos
• Circular emitida por el Banco de Reserva de la India el 13.01.2016
• ISO 19600- Conformidad
• ISO 31000- Evaluación de riesgos

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 12

• ISO 22301- Continuidad de las actividades Planificación
• Circular del DBOD sobre banca por Internet
• Nota orientativa para los bancos sobre riesgos y controles en informática y telecomunicaciones
Sistema
• Otras normas aceptadas mundialmente emitidas por las autoridades competentes
• www.isaca.org/cobit
• www.rbi.gov.in
• www.dbs.gov.in

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 13

 9 Conclusiones y recomendaciones
(i) El Programa de Auditoría IS es el que se detalla a continuación

Sr. Preguntas Sí No Documentación

No.

1 Revisar los diagramas de red para comprender √ Hecho

la infraestructura de red.

2 Revise los controles de acceso físico y lógico a la √ Hecho

red.

3 Revisar las políticas, normas, procedimientos y √ Hecho

orientaciones aplicables en la red.

4 Revisar el concepto de Maker-checker para √ Hecho

reducir el riesgo de errores y usos indebidos y
garantizar la fiabilidad de los datos y la
información.
5 Revisar la Seguridad de la Información y la √ Hecho
Ciberseguridad;

6 Revisar la adecuación para presentar las √ Hecho

declaraciones reglamentarias al RBI

7 Revisar la política de PBC debidamente √ Hecho

aprobada por el Consejo, garantizando su
supervisión periódica por el Consejo.

8 Revisar si se cumplen adecuadamente los √ Hecho

requisitos relativos a los servicios financieros
móviles, los medios sociales y los certificados de
firma digital.

9 Disposición de copias de seguridad de los datos √ Hecho

con pruebas periódicas.

10 Compruebe si las conexiones a Internet están √ Hecho

protegidas a través de industria reconocido
cortafuegos.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 14

(ii) Observaciones y recomendaciones:-

No. Controlar Observación Recomendación

1. Política de Adecuado documentación para Es aconsejable que cada empleado

seguridad la política de seguridad es conozca la política de seguridad y
elaborada por la dirección y se reciba la formación adecuada en el
aplica de vez en cuando, pero no se momento de su incorporación.
ejecuta eficazmente en el software.

2. Catástrofe Existe la opción de un Plan de Es aconsejable disponer

Plan de Recuperación de Catástrofes para el obligatoriamente de un plan de
recuperación cliente en caso de violación de la recuperación de desastres en el
seguridad o fallo de la red. sistema.

3. Red Los diagramas de red no siguen las Diagrama debe Conforme a

Diagrama convenciones de diagramación. No estándar convenios. En
utiliza los iconos de dispositivos debe actualizarse a medida que se
convencionales para representar produzcan cambios en la red.
dispositivos como routers,
conmutadores L-3, etc.
4. Registro de La política de registro de auditoría Se debe aplicar una política
auditoría no es coherente en todos los coherente de registros de auditoría
servidores en términos de registro en todos los servidores y se deben
de red, tamaño del archivo de realizar copias de seguridad de los
registro y retención. período. registros con prontitud y borrarlos
Auditoría Registros manualmente para obviar la
Las configuraciones de todos los necesita para sobrescritura.
servidores permiten sobrescribiren En caso necesario, el tamaño del
5. Acceso VPN Los nuevos empleados obtienen La VPN añade una capa adicional de
acceso VPN, pero el empleado seguridad al ocultar las direcciones
antiguo que trabaja en IP, cifrar los datos y enmascarar la
remoto ubicación ubicación del usuario. Asegúrese de
no proporciona acceso VPN y están que todos sus empleados remotos
trabajando utilizando la red pública tienen acceso al servicio VPN. Si es
normal necesario, organice una reunión o
comparta tutoriales sobre cómo
utilizar eficazmente una VPN para
proteger la red de la empresa.
6. Tercera fiesta Los empleados están utilizando el El equipo informático debe elegir
acceso remoto servicio de Escritorio remoto para muy bien el RDS antes de iniciar
celebrar reuniones sin obtener el cualquier intercambio de
ajuste de información o

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 15

 plataforma adecuación de la red por el equipo celebración de reuniones.
informático
7. Multi factor La empresa no dispone de El equipo de TI debe establecer
autenticación autenticación multifactor, sólo se sistemas de autenticación
utiliza el identificador de inicio de multifactor para cada empleado que
sesión para conectarse a la red. necesite iniciar sesión en su
empresa usuarioperfil
remotamente. Combinación de ID
de usuario junto con una
contraseña de un solo uso (OTP)
enviada al número personal
Otras recomendaciones para las operaciones a distancia:-
• Haga obligatoria la autenticación de dos factores (2FA) .
• Eduque a sus empleados sobre los riesgos de ciberseguridad y sus
vulnerabilidades cuando trabajan desde casa.
• Enseñe a sus empleados a identificar el phishing y las medidas que deben
tomar en caso de sufrirlo.
• Proporcione un punto de contacto y directrices claras en caso de que se
produzca un fallo de seguridad.
• Haga obligatorio el uso de una solución estándar de gestión de contraseñas.
• Realice auditorías de phishing para comprobar la preparación de sus
empleados remotos.
• Asegúrese de que se realizan copias de seguridad periódicas.
•uso Mantenga "sólo lectura" como valor predeterminado al conceder permisos de
compartido de archivos.
• Utilice una solución de filtrado de correo electrónico para filtrar tanto los
mensajes entrantes como los salientes.
• Protégete contra el spam, el malware y el phishing utilizando filtros de correo.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 16

 10 Conclusiones
Hemos llevado a cabo la auditoría de seguridad de la red de Jupiter Capital Services Ltd
centrándonos en las operaciones a distancia, incluido el trabajo desde casa, según los
términos y el alcance acordados entre la dirección y los auditores. Hemos tenido en
cuenta las normas internacionales de información emitidas por ISACA a la hora de realizar
la auditoría. Hemos probado a fondo el programa informático, luego también nuestro
informe es propenso al riesgo de auditoría asociado a la propia auditoría.

Aunque la empresa ha conseguido proteger su red, hemos identificado áreas clave

relacionadas con la autenticación para conectarse a la red, el desconocimiento por parte
de los empleados de la política de seguridad de la empresa, la falta de planes de
recuperación de desastres, el uso de RDS de terceros sin consultar al equipo de TI, etc.
Hemos formulado recomendaciones sobre nuestros hallazgos que pueden resultar útiles a
la dirección.

También hay otros hallazgos que es importante resolver lo antes posible. Existen
directrices en caso de violación de la seguridad; no hay controles de autorización
adecuados para conectarse a la red, etc. Hemos formulado a la dirección las
recomendaciones necesarias para superar nuestras conclusiones.

Las recomendaciones sugeridas por nosotros son de naturaleza sugestiva y no obligatoria,

la dirección puede buscar soluciones alternativas a los hallazgos.

Auditoría de seguridad de la red para operaciones a distancia, incluida la WFH Página 17