Informe de seguimiento 305-16 comisión nacional de riego auditoría de sistemas - diciembre 2017.
| Número de informe | 305/2016 |
| Fecha | 29 Diciembre 2017 |
| Emisor | I Contraloría Regional Metropolitana de Santiago |
INFORMES VINCULADOS
| Número | Tipo | Nombre |
|---|---|---|
| 305/2016 | Informe Final de Auditoría | INFORME FINAL 305-16 COMISION NACIONAL DE RIEGO AUDITORIA AL MACROPROCESO DE TECNOLOGIAS DE LA INFORMACION - AGOSTO 2016 |
OBJETIVO
De acuerdo con las facultades establecidas en la ley N° 10.336, de Organización y Atribuciones de la Contraloría General de la República, se realizó el seguimiento a las observaciones contenidas en el Informe Final N° 305, de 2016, sobre auditoría al macroproceso de Tecnologías de Información, TI, en la Comisión Nacional de Riego, CNR, con la finalidad de verificar el cumplimiento de las medidas requeridas por este Órgano de Control. Los funcionarios que ejecutaron esta fiscalización fueron la señora Gloria Serrano Becerra y don Rodrigo González Arostegui.
CONCLUSIONES
Observaciones que se subsanan.
Falta de mecanismos de revisión periódica a la integridad de la información.
Omisión de pruebas al plan de continuidad del negocio.
Carencia de un programa de actualización al plan de contingencia.
Falta de controles físicos considerados en el procedimiento de control de acceso a la sala de servidores.
Debilidades en el control de acceso a redes externas.
Ausencia de estrategias de recuperación ante desastres.
Carencia de una política que instruya sobre el uso del correo electrónico institucional.
Falta de seguridad en el sitio externo de almacenamiento.
Autentificación débil en el sistema electrónico Ley 18.450.
Falta de revisión de permisos de acceso.
Deficiencias en el control y gestión del inventario TI.
Falencia en el control de acceso al sistema electrónico Ley 18.450.
Ausencia de controles que restrinjan el cambio de perfilamiento.
Hallazgo de vulnerabilidad sin subsanación.
Sistema permite consultar datos de los postulantes a concursos a través del formulario de búsqueda.
Deficiencias en la seguridad física del site principal de la CNR.
Deficiencias en la seguridad física del site de contingencia del Servicio.
Falta de registro de actividades efectuadas en el sistema electrónico Ley 18.450.
Observaciones que se mantienen
Falta de un proceso formal de inducción a las medidas de seguridad TI adoptadas.
Falta de controles de acceso a la información confidencial de proyectos.
Deficiencias de controles de acceso a la base de datos.
Cierre de incidencia sin medida adoptada.
Vunerabilidades de seguridad informadas en la auditoria externa en el año 2014 y no...
Falta de mecanismos de revisión periódica a la integridad de la información.
Omisión de pruebas al plan de continuidad del negocio.
Carencia de un programa de actualización al plan de contingencia.
Falta de controles físicos considerados en el procedimiento de control de acceso a la sala de servidores.
Debilidades en el control de acceso a redes externas.
Ausencia de estrategias de recuperación ante desastres.
Carencia de una política que instruya sobre el uso del correo electrónico institucional.
Falta de seguridad en el sitio externo de almacenamiento.
Autentificación débil en el sistema electrónico Ley 18.450.
Falta de revisión de permisos de acceso.
Deficiencias en el control y gestión del inventario TI.
Falencia en el control de acceso al sistema electrónico Ley 18.450.
Ausencia de controles que restrinjan el cambio de perfilamiento.
Hallazgo de vulnerabilidad sin subsanación.
Sistema permite consultar datos de los postulantes a concursos a través del formulario de búsqueda.
Deficiencias en la seguridad física del site principal de la CNR.
Deficiencias en la seguridad física del site de contingencia del Servicio.
Falta de registro de actividades efectuadas en el sistema electrónico Ley 18.450.
Observaciones que se mantienen
Falta de un proceso formal de inducción a las medidas de seguridad TI adoptadas.
Falta de controles de acceso a la información confidencial de proyectos.
Deficiencias de controles de acceso a la base de datos.
Cierre de incidencia sin medida adoptada.
Vunerabilidades de seguridad informadas en la auditoria externa en el año 2014 y no...
Para continuar leyendo
Solicita tu prueba