CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

1. DATOS GENERALES

TRABAJO APLICATIVO

INTEGRANTES: DE LA CRUZ MEDINA, JHONY.(fajony@yahoo.co m) CHAVEZ CONTRERAS, LILIANA. ARROYO RODRIGUEZ ZARELA. TORRES VARGAS, DEIVHY. CARRANZA RIOS, LIZ KARINA. ROSELL ALCANTARA, LESLEE. 1

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

I. DATOS GENERALES 1.1. GIRO DEL NEGOCIO. Rubro Minero. 1.2. DIRECCIONAMIENTO ESTRATGICO ACTUAL 1.2.1. MISION Gold Fields La Cima S.A. est comprometida con la optimizacin de sus operaciones, las mejores prcticas socio ambientales, y un crecimiento rentable y sostenible, desarrollando al mejor talento humano disponible y promoviendo relaciones de confianza y beneficio mutuo con la comunidad de su entorno, para conseguir la mayor rentabilidad para sus inversionistas. 1.2.2. VISION Ser la empresa lder de la minera responsable en el Per, reconocida y respetada, comprometida con el desarrollo sostenible, el respeto por el medio ambiente y la excelencia operacional.

1.3. ORGANIGRAMA

1.4. LUGAR GEOGRAFICO DE LA EMPRESA Departamento: Cajamarca. Provincia: Hualgayoc. Distrito: Hualgayoc.

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Latitud: 06 4545 N. Longitud: 78 37 22 E. 80km de Cajamarca va terrestre.

II.

IDENTIFICACIOND E OBJETOS AUDITABLES OBJETO AUDITABLE: PROCESO DE BACKUP DE LAS BASE DE DATOS DE LAS APLICACIONES DE LA EMPRESA GOLDFIELDS 2.1. MOTIVOS DE LA AUDITORIA 2.1.1. Reportar el estado de la organizacin a la bolsa de valores para mantener el valor accionario. 2.1.2. Cumplir con las normas de internaciones de SOX(Ley Sarbanes Oxley) 2.1.3. Tener disponibilidad de la informacin para mantener la continuidad de negocio. 2.2. TITULO DE LA AUDITORIA APLICABLE EVALUACION AL PROCESO DE BACKUP.

III.

MARCO NORMATIVO REFERENCIAL APLICABLE 3.1. NORMATIVA INSTITUCIONAL 3.1.1. Procedimiento de backup v.16.0 3.1.2. Procedimiento de acceso a la red v5.0 3.1.3. Procedimiento de cambio en aplicaciones v.6.0 3.1.4. Procedimiento de cambio en infraestructura v.3.0

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

IV. ANALISIS DE RIESGOS AL TIPO DE AUDITORIA SELECCIONADA 4.1. PROCESOS A EVALUAR Proceso de extraccin de mineral Descripcin: Es el proceso en el cual estn involucrados el rea de mina y procesos, en apoyo se encuentra el rea de IT con la infraestructura y el soporte a las aplicaciones Procesos de back up

Descripcin: Es el proceso en el cual est involucrada todo el proceso de la compaa la cual es respaldada atreves de equipos y cintas de back up y es resguardada en un site en el centro de cmputo. 4.2. CRITERIOS DE SELECCIN: Por qu el proceso 3.1.1. es un proceso clave en el negocio y el segundo proceso 3.1.2 es un proceso clave de IT 4.3. CLASIFICACION DE ACTIVOS 4.3.1. MATRIZ DE CLASIFICACION PROCESO: PRODUCCION DE CONCENTRADO

CLASE DE ACTIVO

ENTORNO DE TI

NOMBRE ACTIVO Centro de datos Servidores Red wireless de op. Equipos de cmputo de procesos (desktop, laptop ) Equipos gps de alta precisin

CLASIFICACION 5 5 5 3

5 5 5 5 3

TANGIBLE

INFRAESTRUCTURA FISICA

Equipos de gps convencional Equipo monitor en unidades mviles Centro de monitoreo Servicio de comuniaciones, (internet, telefonia)

SERVICIO DE IT

INFRAESTRUCTURA BASICA

Servicio de DNS Base de datos

5 5

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Sistema Operativo Software de antivirus Servicio de seguridad de red(firewall) Servicio de red Software de Aplicacion Energia electrica Correo electronico Servicios de comunicacion , celular y de radio INTANGIBLE Moral Productividad Buena voluntad Experiencia 5 5 5 5 5 3 3 5

3 3 3 3

PROCESO: EJECUCION DE BACKUP CLASE DE ACTIVO ENTORNO DE TI NOMBRE ACTIVO CENTRO DE DATOS CLASIFICACION 5

TANGIBLE

INFRAESTRUCTURA FISICA

SERVIDORES

EQUIPOS DE BACKUP ) CINTAS E BACKUP Servicio de COMUNIACIONES, (INTERNET, TELEFONIA) Servicio de DNS Base de datos

3 5 3

5 5

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Sistema Operativo Software de antivirus Infraestructura Basica Servicio de IT Servicio de seguridad de red(firewall) Servicio de red Software de Aplicacion Energia electrica Correo electronico Intangible Moral Productividad Buena voluntad Experiencia 5 5 5 5 5 3 3 3 3 3 3

4.4. IDENTIFICACION DE AMENAZAS

4.4.1. MATRIZ DE DESCUBRIMIENTO CODIGO s01 s02 s03 s04 s05 s06 s07 s08 s09 s10 s11 s12 s13 s14 s15 s16 s17 AMENAZAS Descarga Electrica Derrumbe Fluctuacin Elctrica. Fallo de aire acondicionado Fallo de UPS Accidentes del Personal Hackeo Problemas Sociales Retraso en la entrega de suministros Capacidad inadecuada de las comunicaciones Manipulacin de aplicaciones. Robo/perdida Condiciones Ambientales Fraude y Suplantaciones Virus, gusanos, etc Divulgacion de Informacion Perdida de confidencialidad.

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

s18 s19 s20 s21 s22 s23 s24 s25 s26 s27 s28 s29 s30 Abuso de privilegios ( directivos, administradores de IT) Acceso no autorizado a la red Mala administracion de asignacion de permisos Corrupcion de Datos. No contar con actualizaciones de Software. Accesos de administradores no controlados Falta de compromisos para respetar las politicas y procedimientos Incendio. Inundacion. Terremotos . Sismos. Perdida de colaboradores(conocimiento no documentado) Software Malicioso.

4.5. DESCUBRIR VULNERABILIDADES CODIGO s01 s02 s03 s04 s05 s06 s07 s08 s09 s10 s11 s12 s13 s14 s15 s16 s17 s18 s19 s20 s21 CLASE Fsica Software y Hardware Humana Humana Humana Humana Humana Fisica Humana Fisica Humana Humana Fsica Fisica Fisica Humana Humana Humana Fisica Humana Software y Hardware VULNERABILIDADES Sistemas para rayos Carencia de control de acceso a la red Ausencia de plan de recuperacin y continuidad. Falta de sensibilidad del personal en el uso de recursos y servicios de TI. Polticas de firewall inadecuadas Descarga incontrolada y uso de aplicaciones. El acceso al datacenter es mecnico Falta de seguridad en los puertos USB de los computadores Falta de reforzamiento de las polticas de seguridad Proteccion fsica de equipos inadecuadamente. Ausencia de un sistema de extincion automatica contra fuegos. Falta de control en la salida de equipo de computo No hay controles criptograficos El sistema de radios es un sistema abierto carencia de grupo electrogeno dedicado a TI No hay plan de continuidad Baja capacidad de desempeo de los colaboradores Cableado inapropiado No posser un stock actualizado de partes de equipos Ausencia de mantenimiento de equipos Licencias de las aplicaciones no actualizadas

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

s22 s23 s24 s25 s26 s27 s28 s29 s30 s31 s32 s33 Humana Humana Fisica Fisica Humana Humana Fisica Fisica Fisica Fisica Fisica Humana Backups. Constante viaje del personal de TI Equipos ubicados en ambientes inadecuados. Procesos no documentados. Acceso de los consultores las aplicaciones de la empresa. Ausencia de Politicas de seguridad Pruebas de Restauracion. Existencia de Materiales Inflamables. Contar con infraestructura deteriorada. El sistema de radios es un sistema abierto. No posser un stock actualizado de partes de equipos. Posible incumplimineto del proveedor por un servicio.

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

4.6. ADMINISTRACION DE RIESGO 4.6.1. VALORACION DE LA VULNERABILIDAD CRITERIOS DE EVALUACION

VULNERABILIDA DEL ACTIVO FACILIDAD DE EXPLOTACION

NIVEL DE AFECTACION AL ACTIVO BAJA ALTA MEDIA BAJA Facilidad de explotacin 2 2 2 2 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 3 2 Nivel de afectacin al activo 3 3 1 3 3 2 2 2 2 2 2 2 2 2 2 2 3 3 2 3 2 Valoracin de la vulnerabilidad 2 3 1 2 3 2 2 2 2 2 2 2 2 2 2 2 3 3 1 3 2 MEDIA ALTA

Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. El acceso al datacenter es mecanico. Construccion de data center en plataforma rocosa Carencia de grupo electrogeno dedicado a TI. Falta de seguridad en los puertos USB de los computadores. Falta de reforzamiento de las politicas de seguridad. Falta de control de la salida de equipo de computo. No hay plan de continuidad de negocios.

No hay controles criptograficos.

El sistema de radios es un sistema abierto. No posser un stock actualizado de partes de equipos. Posible incumplimineto del proveedor por un servicio. Asuencia de plan de recuperacion y continuidad. Falta de sensibilidad del personal en el uso de recursos y servicios de TI. Politicas de firewall inadecuadas Descarga incontrolada y uso de aplicaciones. Proteccion fisica de equipos inadecuadamente.

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Ausencia de un sistema de extincion automatica contra fuegos. Falta de control en la salida de equipo de computo No hay controles criptograficos El sistema de radios es un sistema abierto carencia de grupo electrogeno dedicado a TI Baja capacidad de desempeo de los colaboradores Cableado inapropiado No posser un stock actualizado de partes de equipos Ausencia de mantenimiento de equipos Licencias de las aplicaciones no actualizadas Backups. Equipos ubicados en ambientes inadecuados. Procesos no documentados. Acceso de los consultores las aplicaciones de la empresa. Ausencia de Politicas de seguridad Pruebas de Restauracion.

2 2 2 2 2 2 2 2 2 2 2 2 3 2 2 2

2 2 2 2 2 2 2 2 2 2 3 2 3 2 2 2 2

2 2 2 2 2 2 2 2 2 2 3 1 3 2 2 2 2

Contar con infraestructura deteriorada. 2 4.6.2. VALORACION DE LA AMENAZA CRITERIOS DE EVALUACION AMENAZA DEL ACTIVO FACILIDAD DE EXPLOTACION

NIVEL DE AFECTACION BAJA MEDIA ALTA MEDIA BAJA

ALTA

AMENAZAS Descarga Electrica Derrumbe Fluctuacion Electrica. Fallo de aire acondicionado Fallo de UPS Accidentes del Personal

Nivel de Facilidad de afectacion al Valoracion de explotacion activo la Amenaza 1 3 2 1 3 2 2 1 2 3 3 3 2 2 2 2 2 2

10

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Hackeo Problemas Sociales Retraso en la entrega de suministros Capacidad inadecuada de las comunicaciones Manipulacion de aplicaciones. Robo/perdida Condiciones Ambientales Fraude y Suplantaciones Virus, gusanos, etc Divulgacion de Informacion Perdida de confidencialidad. Abuso de privilegios ( directivos, administradores de IT) Acceso no autorizado a la red Mala administracion de asignacion de permisos Corrupcion de Datos. No contar con actualizaciones de Software. Accesos de administradores no controlados Falta de compromisos para respetar las politicas y procedimientos Incendio. Inundacion. Terremotos . Sismos. Perdida de colaboradores(conocimiento no documentado) Software Malicioso. 2 2 2 2 2 2 2 2 2 2 2 2 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 3 3 1 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 3 3 1 3 2 2 2 2 2 2 2 2 2 2 2

11

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

4.6.3.

ANALISIS DE LA PROBABILIDAD

CRITERIOS DE EVALUACION

PROBABILIDAD VULNERABILIDA DEL ACTIVO

AMENAZA DEL ACTIVO BAJA ALTA MEDIA BAJA MEDIA ALTA

VULNERA valoracin de la vulnerabilidad 3 1 1 1 1 1 1 2 1 1 valoracion de la amenaza 3 3 3 3 2 3 2 2 3 3

Amenzas Descarga Electrica Infiltracion a la red acceso de personal no autorizado Derrumbe indisponibilidad de Servicio infiltration de virus desconocimiento de las poliitcas prdida o robo de equipos falta de reaccion ante un desastre la informacin critica puede ser intervenida

Probabilidad 3 2 2 2 2 2 2 2 2 2

12

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

fuga de informacion involuntaria falta de reacccion ante una parte malograda Incumplimiento de SLA, servicio indisponibilida de servicio Incuplimiento de politicas filtrado de agentes extraos saturacion de red infiltracion de virus robo o perdida de equipos deterioro de equipo asignado incendio de equipos de computo perdida o robo de equipos la informacion critica puede ser intervenida Fuga de informacion intercepcion de la comunicacin indisponibilida de servicio Incumplimiento de las polilticas de seguridad cables sueltos demora en el reemplazo de partes equipo indisponible al usuario falla de equipos incumplimiento con normas legales falta de disponibilidad de recuperacion de informacion

1 1 1 1 1 1 1 1 1 1 1 1 1 2 1 1 1 1 2 1 1

3 3 3 3 2 3 2 3 3 3 1 3 3 2 2 1 1 3 3 2 3 1

2 2 2 2 2 1 1 2 2 2 1 2 2 2 2 1 1 1 2 2 2 2 1

13

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

deterioro del equipo perdida del equipo falta de reaccion ante un incidente Fuga de informacion Incumplimiento de las polilticas de seguridad falta de reaccion ante un incidente falla de equipos 4.6.4. ANALISIS DE IMPACTO NE 4.6.5. VALORACION DEL RIESGO 1 1 1 1 1 1 3 3 3 2 3 3 2 2 2 2 1 2 2 1

ID Nombre de activo s01 s01 Centro de datos centro s03 de datos centro de datos s03 Equipos de computo s04 de procesos s06 Personal s07 s08 s10 Sistema Operativo

Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. El acceso al datacenter es mecanico. Construccion de data center en plataforma rocosa Carencia de grupo electrogeno dedicado a TI. Falta de seguridad en los puertos USB de los computadores. Falta de reforzamiento de las politicas de seguridad. Falta de control de la salida de equipo de computo. No hay plan de continuidad de negocios. No hay controles criptograficos.

Amenzas Descarga Electrica Infiltracion a la red acceso de personal no autorizado derrumbe indisponibilidad de servicio infiltracion de virus desconocimiento de las poliitcas perdida o robo de equipos falta de reaccion ante un desastre la informacion critica puede ser interveni-

Probabilidad de ocurrencia IMPACTO 3 3 2 2 2 1 2 2 2 2 2 2 2 1 3 1 1 2 3 1

RIESGO 3 2 1 1 2 1 1 2 3 1

14

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

s11 Software de Aplicacion s11 Equipos de computo Equipos de computo s13 de Servidores Sistema de Comunicas13 cion Radial El sistema de radios es un sistema abierto. No posser un stock actualizado de partes de s14 equipos. Posible incumplimineto del proveedor por un servicio. Asuencia de plan de recuperacion y contis16 nuidad. Falta de sensibilidad del personal en el uso s17 de recursos y servicios de TI. s18 Politicas de firewall inadecuadas s19 Equipos de computo Descarga incontrolada y uso de aplicaciones. s10 de Servidores Equipos de computo de Servi- Proteccion fisica de equipos inadecuadamendores te. Ausencia de un sistema de extincion automas11 tica contra fuegos. Falta de control en la salida de equipo de s11 computo s13 s13 s14 No hay controles criptograficos El sistema de radios es un sistema abierto carencia de grupo electrogeno dedicado a TI da

fuga de informacion involuntaria falta de reacccion ante una parte malograda Incumplimiento de SLA, servicio indisponibilida de servicio Incuplimiento de politicas filtrado de agentes extraos saturacion de red infiltracion de virus robo o perdida de equipos deterioro de equipo asignado incendio de equipos de computo perdida o robo de equipos la informacion critica puede ser intervenida Fuga de informacion intercepcion de la comunicacin indisponibilida de servicio

2 2 2 2 2 1 1 2 2 1 1 2 2 2 2 1

3 2 2 3 1 1 2 3 2 2 3 2 3 3 2 3

3 2 2 3 1 1 1 3 2 1 2 2 3 3 2 2

15

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Baja capacidad de desempeo de los colabo- Incumplimiento de las polilticas de seguriradores dad Cableado inapropiado cables sueltos No posser un stock actualizado de partes de demora en el reemplazo de partes equipos equipo indisponible al usuario Ausencia de mantenimiento de equipos falla de equipos Licencias de las aplicaciones no actualizadas incumplimiento con normas legales falta de disponibilidad de recuperacion de Falla Backups. informacion deterioro del equipo Equipos ubicados en ambientes inadecuados. perdida del equipo Procesos no documentados. falta de reaccion ante un incidente Acceso de los consultores las aplicaciones de la empresa. Fuga de informacion Incumplimiento de las polilticas de seguriAusencia de Politicas de seguridad dad Pruebas de Restauracion. falta de reaccion ante un incidente Contar con infraestructura deteriorada. falla de equipos 4.6.6. MATRIZ DE IDENTIFACION DE RIESGOS ID Nombre de activo s01 s01 Centro de datos centro de datos centro de datos s03 s07 Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. Carencia de grupo electrogeno dedicado a TI. Falta de control de la salida de equipo de computo. Amenzas Descarga Electrica Infiltracion a la red indisponibilidad de servicio perdida o robo de equipos RIESGO 3 2 2 2 2 2

s16 s17 s18 s19 s30 s31 s33 s33 s34 s36 s37 s39

1 1 2 2 2 2 1 2 2 2 1 2 2 1

2 1 2 2 3 3 2 2 2 2 2 1 2 2

1 1 2 2 3 3 1 2 2 2 1 1 2 1

16

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

s08 s13 Sistema de Comunicacion Radial No hay plan de continuidad de negocios. El sistema de radios es un sistema abierto. falta de reaccion ante un desastre fuga de informacion involuntaria falta de reacccion ante una parte malograda Incumplimiento de SLA, servicio indisponibilida de servicio infiltracion de virus 3 3 3 3 2 2 2 2 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 3 3

s14

No posser un stock actualizado de partes de equipos. Posible incumplimineto del proveedor por un servicio.

s16 s10

Asuencia de plan de recuperacion y continuidad.

Proteccion fisica de equipos inadecuadamente. Equipos de computo de Servidores Equipos de computo de Servidores Ausencia de un sistema de extincion automatica contra fuegos. Falta de control en la salida de equipo de computo

robo o perdida de equipos

s11 s11

incendio de equipos de computo perdida o robo de equipos

s13 No hay controles criptograficos

la informacion critica puede ser intervenida

17

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Fuga de informacion intercepcion de la comunicacin indisponibilida de servicio demora en el reemplazo de partes equipo indisponible al usuario falla de equipos incumplimiento con normas legales 3 2 2 2 2 2 2 3 3 3 3 3 3 2 2 2 2

s13 s14 s18

El sistema de radios es un sistema abierto carencia de grupo electrogeno dedicado a TI

No posser un stock actualizado de partes de equipos s19 s30 Ausencia de mantenimiento de equipos Licencias de las aplicaciones no actualizadas

s33 s33 s37 Equipos ubicados en ambientes inadecuados. Procesos no documentados. Pruebas de Restauracin. 4.6.7. MATRIZ DE MEDIDA O SEGURIDAD A APLICAR ID Nombre de activo s01 s01 Vulnerabilidades Sistemas para rayos. Carencia de control de acceso a la red. Amenazas Descarga Elctrica Infiltracin a la red

deterioro del equipo perdida del equipo falta de reaccin ante un incidente falta de reaccin ante un incidente

RIESGO

Centro de datos centro de datos centro de datos Carencia de grupo electrgeno dedicado a s03 TI. Falta de control de la salida de equipo de s07 computo.

CONTROLES Mantenimiento semestral del sistema de para 3 rayos. 2 Permisos de usuarios 2 Control de registro de equipos para acceso a la red 2 adquisicin o instalacin de grupo electrgeno 2 Control de activos para todo el personal

indisponibilidad de servicio perdida o robo de equipos

18

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

2 Registro de ingreso y salida de equipos s08 Sistema de Comunicacin Radial No hay plan de continuidad de negocios. falta de reaccin ante un desastre fuga de informacin involuntaria falta de reaccin ante una parte malograda 3 Realizacin del plan de contingencia 3 ejecucin de pruebas de plan de contingencia 3 Cifrado o encriptacin de informacin 3 Implementacin de un SFTP 2 inventarios actualizados semanalmente Mantener una reserva en almacenes con las partes 2 criticas 2 aplicacin de penalidades en el contrato Mantener una reserva en almacenes con las partes 2 criticas 3 3 3 3 3 2 2 2 2 2 Realizacin del plan de contingencia prueba de plan de continuidad Se cuenta con antivirus en la compaa se ejecutan reportes de ataques en la red el proveedor de enlaces ejecuta revisiones de la red Control de activos para todo el personal Registro de ingreso y salida de equipos Instalacin de alarma de seguridad cuando las oficinas estn sin personal Identificacin de zonas de acceso restringido Distribucin y uso de cadenas de seguridad de los equipos

s13

El sistema de radios es un sistema abierto. No poseer un stock actualizado de partes de equipos.

s14

Posible incumplimiento del proveedor por un servicio.

Incumplimiento de SLA, servicio

s16 s10

Equipos de cmputo de Servidores Equipos de cmputo de Servidores

Ausencia de plan de recuperacin y continuidad.

indisponibilidad de servicio infiltracin de virus

Proteccin fsica de equipos inadecuadamente.

robo o prdida de equipos

19

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Ausencia de un sistema de extincin automtica contra fuegos. Falta de control en la salida de equipo de computo incendio de equipos de computo prdida o robo de equipos

s11 s11

2 Mantenimiento del sistema contra incendios. 2 Control de activos para todo el personal 2 Registro de ingreso y salida de equipos Instalacin de alarma de seguridad cuando las ofi2 cinas estn sin personal 2 Identificacin de zonas de acceso restringido Distribucin y uso de cadenas de seguridad de los 2 equipos 3 Implementacin de controles criptogrficos. 3 Instalacin de un sistema SFTP 3 encriptacin de data critica 2 Cifrado o encriptacin de COMUNICACIN implementacin o instalacin del grupo electr2 geno. 2 inventarios actualizados semanalmente Mantener una reserva en almacenes con las partes 2 criticas 2 inventarios actualizados semanalmente Mantener una reserva en IT de equipos de prsta2 mo 3 Plan de abastecimiento y mantenimiento. Mantener una reserva en IT de equipos de prsta3 mo

s13 No hay controles criptogrficos s13 s14 s18 El sistema de radios es un sistema abierto carencia de grupo electrgeno dedicado a TI

la informacin critica puede ser intervenida Fuga de informacin intercepcin de la comunicacin indisponibilidad de servicio demora en el reemplazo de partes

No posser un stock actualizado de partes de equipos

equipo indisponible al usuario

s19

Ausencia de mantenimiento de equipos

falla de equipos

20

CASO DE ESTUDIO: GOLD FIELDS LA CIMA SA

Licencias de las aplicaciones no actualizadas incumplimiento con normas legales

s30

s33

Equipos ubicados en ambientes inadecuados. Procesos no documentados. Pruebas de Restauracion.

s33 s37

deterioro del equipo perdida del equipo falta de reaccion ante un incidente falta de reaccion ante un incidente

3 inventario y compra de licencias. 3 Inventario de software de la compaa delimitar la clave de administrador local de los 3 equipos 3 escaneo de software 2 Aplicar normas tecnicas de ubicacin 2 Aplicar normas tecnicas de ubicacin Documentacion, control y actualizacion de los pro2 cesos de la empresa. Ejecucion semestral de los procesos criticos de la 2 empresa

21

V.

PLAN DE AUDITORIA 5.1. OBJETIVO GENERAL Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles en respaldo de informacin, conociendo la situacin actual del rea de IT y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. 5.2. OBJETIVOS ESPECIFICOS 5.2.1. Mejorar la seguridad de datos, infraestructura, software e instalaciones de IT 5.2.2. Apoyar al cumplimiento de las metas y objetivos de la organizacin, a travs del cumplimiento de los objetivos de IT. 5.2.3. Garantizar la seguridad, utilidad, confianza, privacidad y disponibilidad en el data center. 5.2.4. Minimizar existencias de riesgos en el uso de Tecnologa de informacin 5.2.5. Minimizar los gastos generados por interrupciones en el servicio e indisponibilidad de la informacin. 5.2.6. Capacitar y concientizar sobre controles en los Sistemas de Informacin 5.3. ALINEAMIENTO DE LA AUDITORIA A LA ESTRATEGIA DEL NEGOCIO ESTRATEGIA Excelencia operacional Reportar auditorias de SOX sin observaciones detectadas, a fin d que no afecte el valor accionario en la bolsa de valor ALINEAMIENTO Resultado del informe de auditora POSITIVO, con respecto al proceso de backup, elevara el valor del rea de IT El proceso de backup ayudar a cumplir las normas de SOX

5.4. ALCANCE La auditora en ejecucin est programada a ejecutarse en el periodo del 16 de Marzo del 2013 al 16 de Abril 2013, teniendo como objetivo Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles en procesos de respaldo de informacin, conociendo la situacin actual del rea de IT y las actividades y esfuerzos necesarios para lograr los objetivos propuestos, y como marco normativo los procedimiento internos de IT de la compaa 5.5. ACLARACIONES LO QUE SE HAR 1. La auditora verificar el cumplimiento de la gestin y de las polticas respecto al proceso

2. La auditora brindar recomendaciones y propuestas de mejora para el proceso. 3. Verifica planes de mantenimiento de la infraestructura 4. Verificara si hay planes de continuidad de negocios y de contingencia. 5. Verificara la existencia de planes de restauracin de backup. Y LO QUE NO SE HAR 1. 2. 3. 4. 5. 6. 5.6. LIMITACIONES Horarios de trabajo Lugares dela auditoria La auditora no ejecutar procedimientos de mejora. No cambiar estructuras organizacionales. No cambiar MOF y Roles y Responsabilidades. No modifica presupuestos ni costos. No ejecutar el mantenimiento de equipos ni de software. No aplicar sanciones.

5.7. PERFIL DEL EQUIPO DE AUDITORIA El equipo de trabajo auditor, debe cumplir con: CARACTERISTICAS PROFESIONALES 1. 2. 3. 4. 5. 6. Profesionales en ingeniera de Sistemas y relacionadas Ser titulado, colegiado y acreditado Tener experiencia en el rubro de la auditoria Contar con una opinin profesional y defenderla Emitir un dictamen con firma profesional. Contar con apoyo didctico y normativo vigente.

CARACTERISTICAS ETICAS 1. 2. 3. 4. 5. Rol Jefe del equipo auditor Ser incorruptible e insobornable. Ser imparcial en los juicios que emite como auditor. Contar con un juicio sereno, tico y moral. Normas de comportamiento tico-moral Norma de carcter social Perfil Profesional en Sistemas de Informacin Vigencia de certificacin Internacional de Auditoria.

Reconocida experiencia en el manejo de temas de auditoria y de gestin. Amplitud de criterios y amplio conocimiento de contexto. Poseer condiciones personales que le permitan encarar eficientemente su tarea. Conocimientos especficos en : - Seguridad fsica aplicada a centro de procesamiento de datos. - Seguridad lgica. Especialista en sistemas de respaldo, arquitectura de sistemas backup, administracin de servidores. Conocimientos especficos en : - Seguridad fsica aplicada a centro de procesamiento de datos. - Seguridad lgica.

Auditor especialista sistemas de respaldo

Asistente de auditoria

Capacidad tcnica Experiencia en respaldo de la informacin. Conocimiento de normas tcnicas aplicadas al respaldo de la informacin.

5.8. ASIGNACION DE ROLES Rol Jefe del equipo auditor

Nombre Liliana Chvez Contreras Jhonny De La Cruz Medina Deivhy Torres Vargas Leslee Rosell Alcntara Zarela Arroyo Rodrguez Liz Carranza Ros

Auditor especialista sistemas de respaldo

Asistente de auditoria

5.9. LISTA DE PERSONAS A ENTREVISTAR Los involucrados directos a entrevistar son aquellos skateholders que forman parte del proceso del respaldo de la informacin, siendo administradores directos o clientes del mismo. A continuacin el detalle:

CARGO GERENTE DE TI. ADMINISTRADOR DE SERVIDORES. ASISTENTE ADMINISTRATIVO. OPERADOR LOGSTICO. GERENTE DE PROCESOS. ADMINISTRADOR DEL SISTEMA DE PROCESOS. PLAN DE PROYECTO Plan de proyecto de auditoria PLAN DE ENTREGABLES

NOMBRE Juan Buhytrn. Francisco Monteverde. Pedro Perez. Mara Linares. Fernando Valera Jorge Zapata

5.10. 5.11.

5.12.

Plan de entregables PRUEBAS DE CUMPLIMIENTO Para poder evidenciar el cumplimiento de los procedimientos de control se tomara en cuenta: Logs de cambios en infraestructura y aplicaciones: servir para obtener una muestra de cualquier cambio en el periodo de la evaluacin y solicitar la documentacin que avale el proceso. Logs de accesos a informacin: se este se obtendr una muestra de solicitudes de acceso a recursos compartidos y ver si estaba debidamente aprobados Log de altas de usuario: con esto podemos solicitar un formato al azar para poder validar el proceso de creacin de cuenta y si se alinea al procedimiento. Log de bajas de usuario: con el este log podemos determinar una muestra y validar si se establece el procedimiento descrito de remover todos los accesos, se solicitara pantallas del active directory y de las aplicaciones para validar que el usuario cesado este deshabilitado. Formatos de backup semanal y mensual, este servir para evidenciar si diariamente se est ejecutando los procesos de backup satisfactorio y si se toma acciones para remediar errores. Logs de entrega de cintas, servir para revisar al azar los formatos usados para entregar y remover cintas del almacn donde se las guarda.

 Logs de acceso a datacenter, con esto podemos validar que todos los accesos al datacenter est debidamente aprobados por el rea de IT. Ejecucin de scripts a nivel de base de datos para validar quienes tienen privilegios de administrador, y poder evidenciar si todos estn debidamente aprobados. Revisin del AD para validar que no se estn usando cuantas genricas. Revisin de logs de aplicaciones para validar que las personas usen el aplicativo desde sus propios terminales y que no se estn compartiendo contraseas. 5.13. PRUEBAS SUSTANTIVAS La prueba sustantiva que se aplica es: 1. Utilizacin de la herramienta ACE, el cual sirve para extraer informacin de SAP que es la extraccin de tablas del sistema y esta informacin contrarrestar con las impresiones de balances y libros contables. 2. Extraer tablas claves de SAP concentrado para poder validar con la informacin manual que se tiene registrado, y con la informacin que est en los sistemas DELTA V y PI SYSTEM y los datos de la balanza. 5.14. TECNICAS Y HERRAMIENTAS Tcnicas: Entrevistas Observacin Anlisis documentar Herramientas: ACE DUMPSEC Cmara de fotos Libreta de campo Pcs Impresoras tiles de escritorio Software de testeo de red Software de testeo de antivirus. CONTROL DE CAMBIOS Los posibles cambios que se pueden presentar son: Cambio de personal delegado para atender a la auditoria Cambio de personal a entrevistar. Indisponibilidad de personal a entrevistar segn el cronograma Indisponibilidad de un personal del equipo de Auditoria

5.15.

5.15.1. Procedimiento de control de cambios Cambio de personal delegado para atender a la auditoria: EL equipo auditor identificara las causas de la indisposicin del personal delegado a atender la auditoria basada en lo informado por Goldfields.

 El equipo auditor evaluara el impacto de esta indisposicin del personal indicado. De acuerdo a la evaluacin el equipo auditor re programara el cronograma de auditoria comunicara de esto a Goldfields. Indisponibilidad de personal a entrevistar segn el cronograma El responsable de ejecutar la entrevista deber dejar constatado que se comunic y se coordin la entrevista. El responsable de ejecutar la entrevista deber obtener una nueva fecha de la ejecucin de la entrevista. El Equipo de auditoria evaluara el impacto en el desarrollo de la auditoria y analizara la factibilidad de reprogramar la entrevista. Segn la evaluacin de impacto se aceptara la fecha comunicada o propondr una nueva fecha de la actividad. Sera actualizado en el cronograma del plan de auditoria.

Indisponibilidad de un personal del equipo de Auditoria El lder del equipo de auditoria evaluara el grado de severidad e impacto que causara la indisposicin del miembro del equipo en el desarrollo de la auditoria. El lder del equipo analizara si las actividades del personal indispuesto pueden ser cubiertas sin afectar cronograma o se tendra que modificar este. De acuerdo a la evaluacin se determinara la continuacin de la auditoria de acuerdo al cronograma establecido o la reprogramacin de este con las modificaciones necesarias.

Cambio de personal a entrevistar: El responsable de ejecutar la entrevista, debe identificar las razones que originan el cambio de la persona a entrevistar. El responsable de ejecutar la entrevista, reporta al jefe de equipo de auditora las razones que originan el cambio. El jefe de equipo evala con el personal responsable de la actividad el impacto del cambio en el proyecto. De no tener mayor impacto, el jefe de equipo de auditora autoriza el cambio de personal entrevistado y de ser necesario reprograma la actividad. Si el impacto es considerable, el jefe de equipo de auditora deniega el cambio y lo registrar como una limitacin al desarrollo de auditora. 5.15.2. Gua de formatos de control de cambios

Gua: Formato Cambio de personal delegado para atender a la auditoria.

Objetivo: Describir los campos que conforman el formato cambio del pe rsonal entrevistado, siendo este el material de consulta para un correcto registro de la informacin requerida.

Fecha de reporte de no disponibilidad de personal: Representa la fecha en que se recibe comunicado de la indisponibilidad de la persona. Motivo: describe el detalle, motivo, causa por el cual se tiene la indisposicin del personal designado. Cliente solicita reprogramacin: Se registra nombre de persona que solicita reprogramacin de auditoria. Cambio autorizado: Indica si el cambio es autorizado o rechazado (Marcar con una aspa las casillas SI o No). Fecha de actividad reprogramada: Asignacin de nueva fecha para la realizacin de la actividad.

Gua formato: Indisponibilidad de personal a entrevistar segn el cronograma.

Objetivo: Describir los campos que conforman el formato indisponibilidad del personal a entrevistar siendo este el material de consulta para un correcto registro.

Fecha programada de la entrevista: Representa la fecha original en que se program la entrevista. Actividad: Se registrara el nombre de la actividad programada. Entrevistado Programado: En este campo se registra el nombre de la persona que inicialmente se program a ser entrevistado. Motivo: Describe el motivo que origina la indisponibilidad del personal a entrevistar. Cambio autorizado: Indica si el cambio es autorizado o rechazado (marcar con una aspa la casilla SI o No). Fecha de actividad reprogramada: En caso de aceptarse el cambo se propone nueva fecha para entrevista.

Gua formato: Indisponibilidad de un personal del equipo de Auditoria

Objetivo: Describir los campos que conforman el formato Indisponibilidad de un personal del equipo de auditoria, siendo este material de consulta para un correcto registro de la informacin requerida.

Fecha programada de la actividad: Representa la fecha original que se program la actividad. Actividad: Registra el nombre de la actividad programada.

Personal del equipo de auditoria: Registra el nombre de la persona que fue asignado para la auditoria. Motivo: Detalla motivo que origina el cambio de la persona a entrevistar. Cambio autorizado: Indica si se realizara un cambio de miembro de equipo indicar Si o No con una aspa. Actividad modificada: Indicara si se modifica la personal en el equipo auditor o se continuara con el equipo sin el miembro faltante.

5.15.3. Formatos de control de cambios al plan de auditoria Formatos

VI.

EJECUCION DE LA AUDITORIA Dentro del proceso de Auditoria podremos identificar procesos con las siguientes calificaciones: Efectivo Parcialmente Efectivo

Inefectivo Ejecucin de auditoria

VII.

INFORME DE AUDITORIA Informe de auditoria

VIII.

CALIFICACION DEL PROCESO DE AUDITORIA

Tabla No 01 Calificacin del Proceso de auditoria Criterios Participacin activa en la auditoria Nivel percibido del equipo auditor Puntualidad del equipo auditor Conclusiones reflejan la situacin real Equipo auditor acepta recomendaciones, SI NO ALTO MEDIO BAJO SI NO SI NO SI

JEA X X

AE X X

AA X X

X X X

X X X

X X X

apelaciones Informe emitido cumple expectativas Leyenda: JEA: JEFE DE REA AE: AUDITOR EXTERNO AA: ASISTENTE DE AREA
IX. CONCLUSIONES DEL PROCESO DE AUDITORA

NO SI NO

a. Mediante el anlisis realizado a la compaa GoldFields, concluimos que posee slidos controles que verifican el trabajo realizado en el rea de TI, as como a todos los procesos que afecta. b. Al intentar dar algunas sugerencias y mejorar los tems de seguridad de datos, infraestructura, software e instalaciones de TI observamos que todo se controla correctamente y la forma de trabajarlos es la idnea. c. Al finalizar este informe, los objetivos de TI se llevan cumpliendo de forma ordenada y adecuada. Es importante resaltar esto pues de esta manera se apoyan de forma correcta el cumplimiento de las metas de la organizacin. d. A nivel de conectividad de redes y TI, el datacenter principal funciona correctamente y est controlado por el personal idneo y capacitado. Con este informe buscamos adems, mejorar las polticas que estn actualmente vigentes y as incrementar el nivel de confiabilidad y funcionamiento. e. La cantidad de riesgos mostrados y evaluados son proporcionales a la cantidad de controles observados, es decir que se tiene una correcta evaluacin de lo que puede suceder vs lo que se puede hacer. f. Queda evidenciado que las capacitaciones que se dan sobre los controles en los Sistemas de Informacin es global y siempre va dirigido a todo el personal, no solo al rea de TI.

X.

RECOMENDACIONES DEL PROCESO DE AUDITORA a. Se recomienda la mejora continua de los procesos y controles auditados, que aunque en la actualidad trabajen correctamente, es necesario recalcar que estos deben ser analizados constantemente para evaluarlos y mejorar su funcionamiento. b. Recomendamos adems utilizar este informe como una herramienta de apoyo para contrastar la gestin realizada actualmente vs lo planeado en un futuro. c. Se recomienda tambin que la capacitacin sea constante a todo el personal de la organizacin en el tema de seguridad de informacin, pues si bien existen muchos controles validados, no podemos nunca descartar el error humano.

d. Finalmente queremos recalcar el tema de la capacitacin, pero esta vez al personal involucrado directamente con T.I, desde el gerente de rea hasta el personal tcnico. XI. BIBLIOGRAFA

Alzate, A. T. (2001). Auditora de Sistemas - Una visin prctica. Colombia: Centro de publicaciones - Universidad Nacional de Colombia. Carvajal, A. (s.f.). ACIS. Recuperado el 20 de Marzo de 2013, de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/17ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf ISSA. (s.f.). SGSI en Per. Recuperado el 21 de Marzo de 2013, de http://issaperu.org/?p=94 Pickett, K. S. (2000). The essential handbook of internal auditing. Barcelona: Wiley & Sons Ltd. Razo, C. M. (2005). Auditora en Sistemas Computacionales. Mexico: Pearson Edaction. sgsi-iso27001. (s.f.). sgsi-iso27001. Recuperado el 21 de Marzo de 2013, de http://sgsiiso27001.blogspot.com/2006/07/gua-para-la-implementacin-de-un-sgsi.html

IX.

ANEXOS