Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López

Slides:



Advertisements
Presentaciones similares
Seguridad Informática
Advertisements

Revisiones de Control enfocadas a la Evaluación de Control Interno
Intranets P. Reyes / Octubre 2004.
OUTSOURCING O SUBCONTRATACION
DS11 ADMINISTRAR LOS DATOS
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Auditoría Informática
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Tema de Tesis: “Creación de un Marco de Control para la Administración del Riesgo Operativo relacionado con la Tecnología de Información como modelo para.
Diana Carolina Rojas Alarcón Gilberto Castro Boris Motta
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Normas de Control Interno para Tecnología de la Información Res
Curso de Actualización Conceptos Básicos de Seguridad
GUÍA PARA LA AUDITORÍA INFORMÁTICA
COBIT César Pallavicini Z.
Ing. Geovanni Aucancela Soliz
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López
Enfoque de Control Interno..COBIT
ESCUELA POLITÉCNICA DEL EJÉRCITO
Introducción a la gestión
COBIT César Pallavicini Z.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE LA SEGURIDAD EN SISTEMAS DE SOFTWARE
AUDITORIA DE SISTEMAS DE INFORMACIÓN
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
Metodología de Control Interno, Seguridad y Auditoría Informática
AUDITORÍA DE LA OFICINA TÉCNICA ESPINOSA-ARANDA.  Luís Espinosa, director de la empresa.  Evaristo Aranda, codirector de la empresa.  8 empleados más.
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
DE SEGURIDAD INFORMÁTICA.
Identificación y Adquisición de Soluciones Automatizadas Informática II Período 2010-II.
Organización del Departamento de Auditoria Informática
Tópicos selectos de sistemas de información
PLAN DE INTEGRACIÓN DE LAS TIC EN EL CENTRO
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
PLAN DE INTEGRACIÓN DE LAS TIC EN EL CENTRO
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
Sistemas y Computadores de Gestión Agosto 2005 Problemática del Manejo Institucional de la Información en las Organizaciones.
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
EVALUACIÓN DE LOS SISTEMAS Ing. José Manuel Poveda.
Una red es un sistema donde los elementos que lo componen (por lo general ordenadores) son autónomos y están conectados entre sí por medios físicos y/o.
INSTALACIÓN Y ADMINISTRACIÓN DE REDES DE ÁREA LOCAL
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López Antonio Martín Menor de Santos Francisco José Oteo Fernández.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.
Andrés Felipe Abril Romero – David Palacio Vargas A PLICACIÓN DEL COBIT EN EL PROCESO DE REGISTRO DE MATERIAS DE LA UNIVERSIDAD DEL Q UINDÍO.
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
MATERIA: Fundamentos de TI ALUMNOS: Manuel de Jesús Palacio Hernández.
(Control Objectives for Information and related Technology)
FEBRERO DE DESARROLLO WEB Características:  Ser dinámica  Contar con Instancia que la soporte y respalde  Cumplir con la metodología del Ciclo.
Daniela Ovando Santander Auditoria de Sistemas
INTRODUCCIÓN.
Auditoria Computacional
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Auditoría de Sistemas.
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
SGT Modelo Seguridad Modelo Continuidad Modelo Capacidad Modelo Mejora Modelo Administrativo DGCS SGCSGFSGTSCI.
EVALUACIÓN DE CALIDAD DEL SOFTWARE Y GOBIERNO EN LÍNEA EN PORTALES WEB APLICANDO PROCESOS DE AUDITORÍA.
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Administración de la función informática. IFB-0402
Transcripción de la presentación:

Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López Antonio Martín Menor de Santos Francisco José Oteo Fernández

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Definición de la empresa DIGSOL es una cadena española dedicada a la venta de diversos productos informáticos. En sus inicios, sólo contaban con una tienda que vendía diferentes componentes informáticos. En el año 2004 se crea DIGSOL LOW, una línea de productos de bajo precio.

Definición de la empresa En 2006 se funda DIGSOL LOW06, especializada en telefonía móvil. Se inaguran tiendas en nuevas ciudades españolas y en alguna ciudad portuguesa. En el 2008, se implanta un sistema de venta a través de la Web.

Definición de la empresa En la actualidad cuenta con un total de 60 tiendas, repartidas entre España y Portugal, además de diferentes sedes en distintas ciudades españolas. Su objetivo de negocio es colocarse y mantenerse entre las 10 empresas más competitivas en este sector.

Definición de la empresa Organigrama

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Alcance de la auditoría La auditoría se ha realizado en la sede que la empresa tiene en Ciudad Real, afectando a todos sus departamentos. Se han inspeccionado los siguientes aspectos: Infraestructura hardware y software (riesgos, adquisición, seguridad, planes, etc.) Integridad y confidencialidad de los datos

Alcance de la auditoría Para ello, se han seleccionado los siguientes puntos del COBIT: PO1: Definir un plan estratégico de TI PO2: Definir la arquitectura de la información PO9: Evaluar y administrar los riesgos de TI AI3: Adquirir y mantener infraestructura tecnológica AI5: Adquirir recursos de TI AI6: Administrar cambios DS3: Administrar el desempeño y la capacidad DS4: Garantizar la continuidad del servicio DS5: Garantizar la seguridad de los sistemas

Alcance de la auditoría DS9: Administrar la configuración DS11: Administrar los datos DS12: Administrar el ambiente físico Dichos puntos se han agrupado en las siguientes categorías: Ausencia de un plan estratégico de Tecnologías de la Información PO1 (Problemas de alineamiento de TI con el negocio, organigrama y portfolio) AI3 y AI5 (Falta de un plan de inversión y un responsable para la adquisición de hardware)

Alcance de la auditoría Gestión de la configuración y control de cambios AI6 y DS9 (Problemas con el control y gestión de cambios) Integridad, disponibilidad y confidencialidad de los datos PO2 (Falta de diccionario de empresa y reglas de sintaxis, y problemas con la integridad de la información) DS3 (No hay seguimiento de la carga de trabajo) DS11 (Problemas con la administración de datos a nivel físico/lógico y ausencia de procedimiento de deshecho de la información)

Alcance de la auditoría Deficiencia en la seguridad de la información y en las instalaciones AI3 (Problemas con las instalaciones hardware) PO2, DS5, DS11, DS12 (Problemas con la seguridad en la red y seguridad física) Evaluación de riesgos, plan de contingencia y plan de continuidad PO9 y DS4

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Seguridad de la información y las instalaciones. Ausencia de medidas que limiten o controlen el acceso a las instalaciones. Mal diseño y ubicación del centro de datos. Servidor y datos accesibles. Tratamiento incorrecto de datos, documentos físicos y copias de seguridad. Comportamiento inadecuado de los empleados respecto a la seguridad. Ausencia de procedimientos para destruir información.

Seguridad de la información y las instalaciones.

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Integridad, disponibilidad y confidencialidad de los datos. Ausencia de un servidor de respaldo. Mala ubicación de los datos. Mala distribución de archivos de datos y permisos inadecuados. Ausencia de políticas de asignación de cuentas y control de acceso a datos. Ausencia de un diccionario de datos. Comunicaciones por red inseguras.

Integridad, disponibilidad y confidencialidad de los datos.

Contenidos Definición de la empresa Alcance de la auditoría Procesos Seguridad de la información y las instalaciones. Integridad, disponibilidad y confidencialidad de los datos. Conclusiones

Conclusiones Al no tener integradas las TI en la empresa, aparecen problemas como: Priorización incorrecta del desarrollo de proyectos Inversiones innecesarias en adquisiciones de TI Falta de investigación y actualización de las TI actuales Falta de aprovechamiento de las TI actuales

Conclusiones Al no tener definidas medidas de seguridad: Ausencia de limitación y control de acceso a instalaciones. Existiendo riesgos de seguridad. Por no estudiar la ubicación del centro de datos: Riesgos ambientales, posibles problemas eléctricos y riesgos para el servidor.

Conclusiones Al no existir un plan de administración de los datos: Riesgo de acceso inadecuado a los archivos de datos. Falta de control sobre el acceso al servidor y a los datos. Malas prácticas a la hora de eliminar información.

Conclusiones Dado que la gestión de la configuración y el control de cambios no se mantiene adecuadamente: Existen aplicaciones obsoletas y software personal no alineado con el negocio que comprometen la seguridad informática de la empresa. Se utilizan licencias caducadas aún disponiendo de licencias válidas.

Conclusiones Ausencia de un plan de evaluación y gestión de riesgos formalizado: Plan de gestión y evaluación de riesgos no válido, ya que fue elaborado por algunos de los miembros del Consejo de Administración y no existe ningún informe. Además, no se tratan mucho de los riesgos, lo que puede provocar grandes pérdidas a la empresa ante una posible catástrofe o contingencia.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.