IDENTIFCAR 4 RAZONES

No se cuenta con usuarios para cada trabajador

No existe confidencialidad de los datos.
El uso de memorias USB para el manejo de copias de seguridad de la información
Los backups de la BD son esporádicos.

ALCANCE DE LA AUDITORÍA

El alcance de la auditoria evaluará la Seguridad de la información en el Proceso de Ventas

del Sistema de Información SISTEMATIC de la Empresa Farmacéutica VIP FARMA, ubicada
en la ciudad de Cartavio de acuerdo a Plan y Cronograma de Auditoria. Aplicando las normas
internacionales de auditoria, criterios, metodologías y orientaciones – COBIT 4.1 y NTP ISO-
IEC 27001, durante el periodo de marzo a junio del presente año 2019.

OBJETIVOS

a. Objetivo General
Evaluar la seguridad de la información del Sistema del Aula virtual del Colegio de
Ingenieros del Perú (INFOCIP).
b. Objetivos Específicos
OE1. Evaluar controles de acceso de usuarios del Aula virtual.
OE2. Evaluar la integridad de la base de datos del Aula virtual.
OE3. Evaluar la infraestructura física del centro de datos.
OE4. Evaluar la usabilidad del aula virtual
Revisar y evaluar la documentación del sistema NISIRA
Evaluar la Disponibilidad del Sistema SAEGB
Evaluar la seguridad física y del entorno en la oficina de informática
Evaluar la integridad de los datos registrados en la base de datos
Evaluar los accesos a la información.
ESCRIBIR UN REQUERIMIENTO POR CADA OBJETIVO:
O.E.1-Evaluar la Disponibilidad del Sistema SAEGB
Verificar la existencia de procedimientos para la recuperación de fallas.

O.E.2-Evaluar la seguridad física y del entorno en la oficina de informática

Revisar los riegos de los recursos físicos
Revisar la protección de los recursos físicos
Verificar el tendido de red, comprobando la protección del cableado de red (switches,
router).

O.E.3-Evaluar la integridad de los datos registrados en la base de datos

O.E.4-Evaluar los accesos a la información.

Solicitar las lista de usuarios
Revisar los permisos de los usuarios de acuerdo a los roles asignados
Verificar el estado de los usuarios.
Evaluar los controles de acceso de usuarios al Aula virtual
● Verificar el proceso de acceso al sistema del aula virtual.
● Verificar el nivel de información que tiene acceso cada perfil de usuario
Evaluar la integridad de la base de datos del Aula virtual
● Verificar la existencia de datos nulos en la base de datos.
● Verificar duplicidad de los datos.
● Verificar la existencia de campos vacíos en la base de datos.
Evaluar la infraestructura física del centro de datos.
● Verificar la protección del hardware
● Verificar los ambientes si son adecuados para su funcionamiento
● Verificar los medios de almacenamiento de datos.
● Perímetro de seguridad física
● Controles físicos de entrada del personal
● Protección contra las amenazas externas y de origen ambiental
Evaluar la usabilidad del aula virtual.
● Verificar el nivel de disponibilidad del sistema a nivel de usuario.
● Verificar la accesibilidad del sistema.
● Verificar el diseño del contenido del sistema.

Seguridad:
a. Con respecto a los objetivos establecidos en la auditoría
● La falla o falta de controles y políticas TI en la empresa representan un riesgo muy alto
que predispone sucesos de origen físico y por personal produciendo un comienzo medio
de peligrosidad.
● Falla la validación de entrada de datos y eso puede ocasionar que se obtenga
información sin ningún tipo de valor para la organización.
● Falta usar técnicas de usabilidad y accesibilidad para que el sistema pueda adaptarse
a las necesidades del usuario.
● Falla de una forma no tan considerable al haber presencia de campos vacíos, que
provienen de datos no capturados o no actualizados.
● Con respecto a los roles y permisos de cada usuario, existe una política clara y
definida.
● El manejo de las contraseñas usa el método de encriptación lo cual ayuda a la
seguridad para el acceso de la información.

b. Con respecto a las Observaciones

● Definir controles de entrada y salida de los ambientes restringido, al personal no
autorizado.
● El servidor principal no está en un ambiente seguro, y no cuentan con alarmas de
incendio en caso de emergencia. Así mismo no cuentan con ningún procedimiento de
contingencia en caso de desastre natural.
● Hacer un control de los usuarios que operan los equipos físicos.
● Mitigar no la validación de entrada de datos.
● Realizar wireframes y consultar con los usuarios si el sistema cumple con las
expectativas de los usuarios para luego ponerlo en producción.
● Realizar una actualización necesaria o colocar null a los campos vacíos, para buscar
la integridad de los datos.