Entradas

Hallazgo en una auditoria Genesis Torres

 Durante la revisión de los procedimientos de alta y baja de usuarios, así como la asignación de permisos en los sistemas críticos (ERP y CRM), se identificó que no existe un proceso formal y documentado para la revisión periódica de los derechos de acceso de los usuarios privilegiados. Se evidenció que las cuentas con permisos administrativos permanecen activas indefinidamente, incluso después de que los usuarios cambian de rol o dejan la organización, sin una justificación clara ni una fecha de caducidad establecida. Evidencia: Entrevistas con el personal de TI y Recursos Humanos. Revisión de logs de acceso y listados de usuarios de los sistemas ERP y CRM, donde se encontraron cinco (5) cuentas con privilegios administrativos asignadas a exempleados o usuarios que ya no requieren dichos accesos. Ausencia de registros o actas de reuniones que demuestren la revisión periódica de los permisos de acceso privilegiado. Implicación (Riesgo Potencial): La falta de una revisión periód...
Publicar un comentario
Leer más

Hallazgo en un Proyecto - Ricardo Marín

     En el marco de un reciente proyecto de auditoría de seguridad de la información para un estudio universitario, nuestro equipo tuvo la oportunidad de analizar en profundidad los controles de una organización anónima. Durante este ejercicio, identificamos un hallazgo que, si bien técnico en su naturaleza, resalta la importancia fundamental de prácticas básicas pero críticas en ciberseguridad.      El hallazgo se centró en la ausencia de cifrado de datos en tránsito y en reposo . La descripción detallada reveló que la información confidencial, tanto la que se transmitía a través de la red como la que se almacenaba en bases de datos y otros medios, carecía de la protección criptográfica adecuada.      Las consecuencias de esta omisión eran significativas y de gran alcance, ya que implicaba desde varios aspectos sensibles como la exposición de datos confidenciales a individuos no autorizados, con el riesgo latente de interceptación o rob...
Publicar un comentario
Leer más

Hallazgo Lilian Perez 30.346.086

  Hallazgo: Falta de  plan de contingencia La ausencia de un plan de contingencia robusto y bien definido es un hallazgo crítico que expone a la organización a riesgos significativos y potencialmente devastadores. Este plan es una estrategia operativa vital que involucra el uso de recursos alternos, como equipos externos o sistemas de respaldo, para asegurar la continuidad del sistema en funcionamiento ante cualquier eventualidad. Su propósito fundamental es permitir una rápida recuperación y minimización del impacto en caso de fallos, desastres naturales, ataques cibernéticos o cualquier incidente que comprometa la operatividad del sistema de producción principal. No disponer de este puede acarrear consecuencias graves tanto para el equipo de trabajo como para la estabilidad y reputación de la organización en su totalidad. Un plan de contingencia detalla cómo una organización responderá de manera organizada y eficiente ante eventos imprevistos, disruptivos o críticos para ...
Publicar un comentario
Leer más

NORMAS COSO (GENESIS TORRES)

  Las normas COSO (Comité de Patrocinio de las Iniciativas de Investigación sobre Control Interno) son un marco de trabajo ampliamente utilizado para la gestión de riesgos y el control interno en organizaciones. En el contexto de la auditoría de sistemas, COSO proporciona un enfoque estructurado para evaluar y mejorar los controles internos relacionados con la tecnología de la información.  ¿Cómo se aplican las normas COSO a la auditoría de sistemas? Evaluación de los componentes de COSO: La auditoría de sistemas debe evaluar cómo los componentes de COSO (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión) se aplican a los sistemas de información. Identificación de riesgos de TI: El auditor debe identificar los riesgos de TI que pueden afectar la seguridad, integridad y disponibilidad de los sistemas. Evaluación de controles de TI: El auditor debe evaluar la efectividad de los controles ...
Publicar un comentario
Leer más

ISO 9000 AÑO 2000 FREDDY MORALES

  La mejora del desempeño organizacional, basada en el aprendizaje y la innovación, requiere cada vez más de procesos estructurados de gestión de información y conocimientos. Partiendo de estas directrices, el siguiente trabajo tiene como objetivos describir los referentes teóricos sobre la gestión del conocimiento (GC) en su proceso de desarrollo y consolidación; analizar la evolución de las últimas ediciones de las normas de sistemas de gestión de la calidad (serie ISO 9000), en cuanto a la inclusión de elementos de gestión de información, conocimiento, innovación y aprendizaje organizacional. Por último, presenta como propuesta un modelo integrador orientado a la gestión del conocimiento operativo y al control de la información documentada en centros de investigación universitarios.  La Norma ISO 9000  describe los fundamentos de los sistemas de administración de la calidad y especifica la terminología para los sistemas de administración de la calidad .
Publicar un comentario
Leer más

ISO 27002:2022 (Lilian Perez)

ISO 27002 es un estándar internacional que establece una serie de directrices y mejores prácticas para los controles de seguridad de la información que son utilizadas por la mayoría de las empresas con el fin de gestionar y mitigar los riesgos para sus activos de información. Se diferencia de la ISO 27001 ya que esta es una norma de apoyo que guía cómo se pueden implementar los controles de seguridad de la información. Dicho estándar cuenta con una estructura dividida en 17 capítulos. Los capítulos iniciales (0-4) ofrecen una introducción, el alcance de la norma, los términos y definiciones relevantes, así como una descripción de la estructura del documento. Los capítulos 5-8 detallan los controles de seguridad de la información, agrupados en controles organizacionales (37), controles de personas (8), controles físicos (14) y controles tecnológicos (34). Finalmente, los anexos A y B proporcionan información adicional sobre el uso de atributos y la correspondencia con ot...
Publicar un comentario
Leer más

Normas COBIT 5 y 2019. Qué son, para qué sirven, y cuáles son sus beneficios (Ricardo Marín)

       En el complejo entorno empresarial actual, la información y la tecnología (I&T) son fundamentales para la innovación, el crecimiento y la eficiencia operativa. Para ayudar a las organizaciones a gestionar y gobernar sus activos de I&T de manera efectiva, ISACA (Information Systems Audit and Control Association) ha desarrollado COBIT, un marco de referencia reconocido globalmente , con dos versiones especialmente relevantes, COBIT 5 , y su evolución, COBIT 2019 . Antes de adentrarnos en estas versiones más recientes, es útil entender cómo y por qué surgió este influyente marco.      COBIT no apareció de la noche a la mañana como el extenso marco de gobierno que conocemos hoy. Sus raíces se remontan a principios de la década de 1990, cuando la comunidad de auditoría de sistemas de información identificó la necesidad de contar con un conjunto de controles y objetivos de control estandarizados para los procesos de TI. La primera versión, co...
Publicar un comentario
Leer más