Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entregable 2 Parte 2
Entregable 2 Parte 2
Entregable 2 Parte 2
Entregable II
César Ramos. 2022-0022, Leslie Tapia. 2021-2203, Carlos Frías. 2021-0417,
Alexander Rodríguez. 2022-0005, Diohani Herbert. 2022-0032, Emmanuel
Espinal. 2022-0038, Ismael Martínez. 2022-0057, Jesús Rodríguez. 2022-0067,
Josué Navarro. 2022-0077, Omar Lora. 2022-0119
Sección #1
Lunes Y viernes
Prof. Carlos Daniel Fernández Rodríguez
Santo Domingo, República Dominicana, Santo Domingo Norte
Julio De 2023
Matriz de Riesgos y Controles
2. CONFIRMAR QUE EXISTE UNA CLASIFICACIÓN DE LA INFORMACIÓN ACORDE A LA IMPORTANCIA DE ESTA Y SU VALOR PARA LA INSTITUCIÓN.
1 de 7
Matriz de Riesgos y Controles
2 de 7
Matriz de Riesgos y Controles
4. CONFIRMAR LA EXISTENCIA DE UNA ADECUADA ESTRUCTURA DE SEGURIDAD ENTORNO DEL AMBIENTE DE PRODUCCIÓN.
4.1 Implementar
sistemas de detección de
4.1 Insuficiente Acceso al ambiente de in- Plan de seguridad de la
monitorización de producción por personal Alto Baja trusos y análisis de P información y activos OBJ4 -R1
actividades anómalas no autorizado. comportamiento para tecnológicos
identificar patrones
sospechosos.
4.2 Implementar un
programa de gestión de
parches y actualizaciones
regulares.
4.3 Establecer pruebas de
4.2 Desactualización de Ataques malintencionados Política de gestión de
compatibilidad antes de P
parches en el ambiente realizados de manera exi- Alto Baja parches y actualizacio- OBJ4 -R2
aplicar parches críticos.
de producción tosa nes
4.4 Monitorizar fuentes
de información sobre
vulnerabilidades y
amenazas.
3 de 7
Matriz de Riesgos y Controles
4.5 Implementar
autenticaciones
biométricas
para acceder al ambiente
de producción de
manera efectiva.
4.3 Fallos en la gestión Posible acceso no
4.6 Definir y aplicar P
de acceso a nivel de autorizado a datos Política de control de
Alto Baja políticas de permisos y OBJ4 -R3
usuarios en el ambiente sensibles o sistemas acceso y autorización.
privilegios basadas en
de producción críticos. roles para garantizar la
seguridad y la integridad
de los datos.
4.7 Realizar revisiones
periódicas de los
permisos de los usuarios.
5. Verificar que se cuenten con políticas y procedimiento para confirmar la identidad de los usuarios del dominio para darle servicio de soporte.
4 de 7
Matriz de Riesgos y Controles
6. Confirmar la existencia de un documento de confidencialidad del personal que administra los usuarios del dominio.
6.1 Políticas de
protección de datos
confiden- Políticas de
6.1 Ausencia de política Divulgación de
Alto Baja ciales y las P confidencialidad y OBJ6 -R1
de confidencialidad. información confidencial.
responsabilidades del seguridad
personal en términos de
seguridad.
6.2 Las políticas de
6.2 Documento de confidencialidad se Actualización periódica
Brechas en la protección
confidencialidad Medio Media revisan cada 4 años, C de las políticas de OBJ6 -R2
de los datos.
desactualizado. actualizándose de ser confidencialidad.
necesario.
6.3 Controles de acceso
basados en roles para
garantizar que los em-
6.3 Acceso no controlado
Exposición innecesaria. Medio Baja pleados solo tengan ac- P Controles de acceso. OBJ6 -R3
a la información.
ceso a la información
necesaria para realizar
sus funciones.
7. Verificar que el personal de mesa de servicio ha recibido pautas e información que les permita evitar ser víctima de ingeniería social.
5 de 7
Matriz de Riesgos y Controles
7.1 Proporcionar
7.1 Inexistencia de
capacitación continua al
capacitación sobre Divulgación involuntaria Procedimiento de
personal de mesa de
ingeniería social al de información confiden- Alto Baja P capacitación en OBJ7-R1
servicio sobre las tácticas
personal de mesa de cial Ingeniería Social.
utilizadas en la
servicio.
ingeniería social.
7.2 Proporcionar al
personal de mesa de
7.2 Ausencia de
servi-
materiales informativos P Procedimiento de
Posibilidad de revelar cio acceso a recursos que
sobre la ingeniería social Alto Baja capacitación en OBJ7-R2
datos sensibles. detallen las tácticas de
al personal de mesa de ingeniería social Ingeniería Social.
servicio. utilizadas por los
atacantes.
7.3 Establecer un proceso
7.3 Ausencia de estándar para verificar la
procedimientos para identidad de las
verificar la identidad de personas que se P Procedimiento de
Facilitación de ataques de
las personas que se Alto Baja comunican con el verificación de identidad OBJ7-R3
suplantación.
comunican personal de al brindar soporte.
con el personal de mesa mesa de servicio antes
de servicio. de divulgar información
sensible.
8. Confirmar la existencia de políticas para la destrucción de los reportes, equipos tecnológicos, etc.
8.1 Escáneres de
identificación en cada Procedimiento de
8.1 Definición
Robar información puerta de las oficinas Gestión de Acceso y
inadecuada de acceso no Alto Baja P OBJ8-R1
confidencial. 8.2 Guardias de Seguridad en las
autorizado.
seguridad que verifiquen Instalaciones.
el carné de la empresa.
6 de 7
Matriz de Riesgos y Controles
8.3 Autentificación de 2
pasos. Procedimiento de
8.4 Cada mes se tiene Gestión de Acceso y
8.2 Falta de encriptación. Manipulación de perfiles. Alto Media P OBJ8-R2
que cambiar la Seguridad de Cuentas de
contraseña de cada Usuario
usuario.
7 de 7
Matriz de Riesgos y Controles
8 de 7
Programa de Pruebas
El propósito de este papel de trabajo es presentar el plan detallado de los trabajos a realizar durante la fase de ejecución de la auditoría los cuales deben estar
agrupados por objetivos de control e identificar las pruebas a realizar para cada uno de ellos.
Cada paso del programa debe tener la fecha y la firma de quien los realizó y hacer referencia a los papeles de trabajo relacionados.
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Objetivo 1: Verificar que la información sensitiva de la empresa no se encuentre expuesta.
Se realizará una revisión de los perfiles de acceso Al revisar los perfiles de acceso se encontró
05/08/2023
actuales para identificar cualquier definición Departamento todo en orden. Todos los perfiles tenían la
OBJ1-R1 A Leslie Isabel
inadecuada. Se verificó si los perfiles tienen acceso a de Seguridad información necesaria para cumplir sus
Tapia
información confidencial que no deberían tener. funciones.
Se realizará una evaluación de las contraseñas 05/08/2023
utilizadas en los sistemas. Se verificará si hay Departamento Se observó que las políticas de las contraseñas Leslie Isabel
OBJ1-R2 A
políticas de contraseñas establecidas y si se están de Seguridad se seguían adecuadamente. Tapia
siguiendo adecuadamente.
05/08/2023
Se revisarán los registros de acuerdos de
Departamento Al revisar los acuerdos, se confirmó que todos Leslie Isabel
OBJ1-R3 confidencialidad existentes para confirmar si los A
de Seguridad los empleados firmaron dichos documentos. Tapia
empleados han firmado los documentos requeridos.
Objetivo 2: Confirmar que existe una clasificación de la información acorde a la importancia de esta y su valor para la institución.
1 de 8
Programa de Pruebas
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
asignó un empleado para el apoyo y las
Se revisaron las instalaciones en busca de controles respuestas de las preguntas.
de Acceso. Dentro de las instalaciones se vieron
Se pregunto a los empleados sobre el monitoreo de Dirección de mecanismos de seguridad biométricos para el
05/08/2023
las áreas para la detección de anomalías. TIC/ acceso a las salas con información, los equipos
OBJ2-R1 tenían contraseñas para proteger la A Carlos A. La
Se pregunto al personal si fueron capacitados sobre Departamento
información, se observan cámaras para el Hoz
las diversas situaciones que puedan ocurrir. de Seguridad
Se pregunto al personal sobre los programas de monitoreo de las áreas y del personal, dentro de
seguridad que utilizan para evitar malwares y virus los equipos se observan antivirus y programas
antimalware para proteger los equipos, el
personal está capacitado tanto en las TIC como
en las informaciones para evitar filtro de datos
y problemas con los equipos.
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
Se pregunto al personal sobre el proceso de Dirección de asignó un empleado para el apoyo y las
05/08/2023
protección de datos y copias de seguridad. TIC/ respuestas de las preguntas.
OBJ2-R2 A Carlos A. La
Se pregunto al personal sobre el acceso a los datos y Departamento Nos comentaron que realizan copias de
Hoz
los roles de usuarios para estos. de Seguridad seguridad frecuente de los datos y que llevan
un sistema de roles para que no todos tengan
acceso a estos.
2 de 8
Programa de Pruebas
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
asignó un empleado para el apoyo y las
Dirección de
Se reviso el control del acceso del área. respuestas de las preguntas. 05/08/2023
TIC/
OBJ2-R3 Se pregunto al personal sobre los programas de los equipos tenían usuarios con diferentes roles A Carlos A. La
Departamento y contraseñas para proteger la información,
seguridad que utilizan para evitar malwares y virus Hoz
de Seguridad dentro de los equipos se observan antivirus y
programas antimalware para proteger los
equipos, el acceso a la red privada está
restringido.
Objetivo 3: Comprobar que la protección de la información está acorde a su importancia para la institución.
3 de 8
Programa de Pruebas
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Luego de las revisiones realizadas al Manual de
Se revisará el Manual de Políticas de Seguridad de 05/08/2023
Políticas de Seguridad de la Información que
la Información que ofrece la institución, CÓDIGO: Alexander
ofrece la institución, y verificar que cuenten con
OBJ3-R3 MC-TI-01. Además de verificar el acceso a la Institución A De Jesús
sistema para la verificación y protección de la
plataforma, y visualizar la seguridad física de las R.P.
información, en base a la política de
instalaciones.
administración de control de acceso.
Objetivo 4: Confirmar la existencia de una adecuada estructura de seguridad entorno del ambiente de producción.
4 de 8
Programa de Pruebas
Objetivo 5: Verificar que se cuenten con políticas y procedimiento para confirmar la identidad de los usuarios del dominio para darle servicio de soporte.
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
05/08/2023
Revisar el acceso a la plataforma online de la Plataforma Se encontraron controles de acceso adecuados Diohani J.
OBJ5-R1 A
institución. online basados en políticas. Calvo
Herbert
05/08/2023
Revisar el acceso a la plataforma y realizar preguntas La información de la institución está protegida Diohani J.
OBJ5-R2 Institución A
al personal. según políticas establecidas. Calvo
Herbert
05/08/2023
Verificar el acceso a la plataforma y la seguridad Se cuenta con sistema para verificación y Diohani J.
OBJ5-R3 Institución A
física. protección de la información. Calvo
Herbert
Objetivo 6: Confirmar la existencia de un documento de confidencialidad del personal que administra los usuarios del dominio.
5 de 8
Programa de Pruebas
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Tras entrevistar al personal, analizar los
privilegios de acceso, y revisar los registros de
Verificar si el acceso a la información confidencial acceso proporcionado por el departamento de 05/08/2023
Departamento
OBJ6-R3 está adecuadamente controlado y restringido a las TI; se confirmó la existencia de controles de A Emmanuel
de TI
personas autorizadas. acceso basados en roles, garantizando que los Espinal
empleados solo tengan acceso a la información
necesaria para realizar sus funciones.
Objetivo 7: [Objetivo No. 1 Matriz Riesgos y Controles]
6 de 8
Programa de Pruebas
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
05/08/2023
Se están registrando todas las entradas de
Implementar un sistema que se encargue de Josué
usuario y administrando todo tipo de
OBJ8-R1 verificar los que están autorizados para trabajar con ITLA A Alejandro
manipulación de datos tanto el que los
los datos de la empresa. Navarro
manipula como el que lo solicito.
Peralta
Resulto ser que con el tiempo se encontró una 05/08/2023
Tener más seguridad con las bases de datos de la vulnerabilidad con los id en las bases de datos Josué
empresa en si para poder tener más seguridad con el y esto nos impulsó a convertir los id y las Alejandro
OBJ8-R2 ITLA A
tema de los id y las contraseñas que ocultan grandes contraseñas que se encuentras guardadas y Navarro
capas de datos. ocultan datos en auto generables y de una Peralta
manera peculiarmente aleatoria.
05/08/2023
Proporcionar más información social a la hora de que
Se llevo a cabo esta prueba y está verificando y Josué
alguien haga entrada a la empresa, Validar
anotando en una base de datos todo lo que se Alejandro
OBJ8-R3 identificación con seguridad privada en las puertas ITLA A
mueve en la empresa, a la hora que se mueve y Navarro
principales y las puertas a oficinas se implementen
como se mueve. Peralta
escáneres.
7 de 8
Programa de Pruebas
8 de 8