INFORME FINAL 239-10 CORPORACIÓN NACIONAL FORESTAL AUDITORÍA DE SISTEMAS - MARZO 2011
Fecha de Resolución | 30 de Marzo de 2011 |
Emisor | Auditoría Administrativa |
Servicio | CORPORACION NACIONAL FORESTAL |
Número de informe | 239/2010 |
Tipo de informe | Informe Final de Auditoría |
Nivel | Central |
Del resultado de la auditoría practicada, así como del análisis y ponderación de los antecedentes aportados en respuesta a las observaciones formuladas por esta Contraloría General, cabe concluir que la Corporación Nacional Forestal ha realizado acciones que permiten solucionar en parte las observaciones, cuya efectividad será evaluada en una próxima visita de auditoría.:
No obstante, corresponde que la Corporación adopte las siguientes medidas: 1.Acorde at punto IV.1, sobre comunicaciones electrónicas, implementar los controles necesarios a fin de mitigar los riesgos de interceptación, obtención, alteración y otras formas de acceso no autorizado, aplicado a las fuentes de información sensible de la Corporación (relacionado con la transmisión y recepción de las comunicaciones electrónicas).
-
Respaldar las comunicaciones electrónicas durante un mínimo de 6 años, además de demostrar el levantamiento exitoso de los respaldos que esta Corporación mantiene en la plataforma TI.
-
Otorgar validez a las comunicaciones electrónicas por medio de un Ministro de Fe, certificándolas mediante firma electrónica.:
-
En cuanto at punto IV.2, sobre incidentes de seguridad, Ia Entidad Forestal deberá formalizar y aplicar procedimientos a fin de registrar las actividades necesarias para reportar eventos que sean perjudiciales a la plataforma TI de Ia CONAF. Asimismo, deberá implementar los procedimientos orientados a informar oportunamente los incidentes de seguridad TI al encargado de seguridad, definiendo además, seguimientos a los incidentes reportados.
-
Definir y aplicar formalmente las actividades del desarrollo de políticas de seguridad, estableciendo puntos de enlace con sus encargados y con otros organismos públicos. Además de nombrar al Comité de Gestión de Seguridad de la Información, orientado a la revisión y monitoreo de los incidentes de seguridad de la información, en cuanto a lo indicado en el acápite IV.3, referente a seguridad organizacional.
-
Desarrollar las políticas asociadas a la Segregación de Funciones, aplicables a los sistemas TI críticos de Ia Corporación, según lo señalado en la sección IV.4, sobre control de acceso, SAFF.
-
Definir, aplicar y registrar formalmente el proceso de control de cambios aplicable a sus sistemas críticos, de acuerdo a lo indicado en la sección IV.5 del presente informe, relativa a control de cambios.
-
Solucionar los errores de código de su Portal, reportados por la herramienta web...
Para continuar leyendo
Solicita tu prueba