Hemos auditado los Controles en tecnología Informática en la protección sobre la seguridad nacional en la Drug Enforcement administration, así como un análisis de los riesgos, fortalezas, debilidades y vulnerabilidades.
Enviado por monto2435 • 28 de Mayo de 2018 • 1.985 Palabras (8 Páginas) • 555 Visitas
...
Calidad en el trato al usuario.
Equipos básicos para realización diferentes tipos de pruebas Implementación de dispositivos y materiales.
Personal de apoyo por gestión y áreas.
Designación de presupuesto por planificación y presupuesto para adquisición de materiales y Equipos.
Supervisión técnica Indirecta por niveles.
Capacitación externa en servicio.
Personal dedicado exclusivamente a la parte tecnológica.
Empresa que posee una tecnología de punta.
DEBILIDADES:
No cuentan con planeación.
No cuenta con mantenimiento para el equipo de cómputo.
No hay una dirección estratégica clara
Exceso de problemas operativos internos
Instalaciones obsoletas.
RIESGO:
Perdida de la información.
Vulnerabilidad en el sistema Informático.
La seguridad de las oficinas donde se maneja Información Sensitiva no está salvaguardada con todos los requerimientos que exige la ley.
No hay controles Internos.
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficiente e inexistente.
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
CONTROLES SUGERIDOS
En Base a COBIT 5
APO07Gestionar los Recursos Humanos. Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
APO11Gestionar la calidad.
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
APO12Gestionar el riesgo.
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
APO13Gestionar la seguridad.
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
AI2
Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar funciones automatizadas que soporten efectivamente la organización mediante declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entrégales claros.
Ds12 Administración de las instalaciones
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.
Fase 3. Evaluación del cumplimiento de los niveles de seguridad.
Los niveles de seguridad es el conjunto de medidas preventivas y reactivas en los distintos niveles de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. La información y los niveles de seguridad pueden aplicarse o se encuentran en diferentes medios y no solo en medios informáticos.
3.1. Seguridad Física
La seguridad física es un aspecto de suma importancia a la hora del diseño de un sistema informático ayuda a prevenir la detección de un atacante interno o externo si intenta a acceder físicamente a una sala de operaciones de la misma
La Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial.
Aspectos evaluados referentes a la seguridad física:
ITEM
SI
NO
Las áreas usuarias del sistema, tienen accesos restringidos, exclusivamente para los usuarios responsables de la misma.
X
El servidor y las computadoras usuarias del sistema, están conectadas a UPS.
X
Las áreas usuarias del sistema, cuentan acondicionados y si estos no tienen fugas de agua en las instalaciones.
X
Las instalaciones de las áreas usuarias del sistema están diseñadas de tal forma que impidan las fugas de aire frío y entradas de aire caliente, polvo o luz solar.
X
...