Auditoria de la

Seguridad
TALLER EJE N°3
Jonathan Fabián Garzón Torres
Análisis Contrato de Mantenimiento
Comando De Reclutamiento y Control
Reservas del Ejercito

 Contexto : El comando de Reclutamiento del Ejercito cumple su misión a

través de un sistema de información el cual se encuentra en un datacenter
tercerizado, los parámetros de seguridad se encuentran puntualizados a
través de numerales contractuales que son verificados por una supervisión
para garantizar la seguridad de la información y la continuidad del negocio.
Contrato:

 Este contrato cuenta con clausulas contractuales o numerales específicos

enfocado a la seguridad física y lógica de la información del sistema
misional del Comando.
Seguridad de la Información
Seguridad de la Información
Seguridad de la Información
Plan de Recuperación ante Desastres
Continuidad de negocio por ANS
Formato de auditoria sobre el Contrato
Cuestionario de auditoría COREC
Cuestionario de auditoría Fecha:
Empresa: COREC EJERCITO- CONTRATO Entrevistado: Revisado por:
Cargo: Versión:
Área: sistemas

Generalidades SÍ NO N/A Observaciones

¿Se encuentra el área de producción separada de las otras áreas de la

x
empresa?
¿Se encuentran segregadas las funciones dentro del área? x

Se establece a traves de un
¿Están establecidas las líneas de autoridad y responsabilidad dentro del representante legal y un personal
x
área? solicitado contractualmente para
cada rol

¿El área de sistemas tiene acceso al efectivo de la compañía? x

¿Se realiza una retroalimentación constante de la misión y visión de la

x
organización?
¿Las decisiones tomadas por jefes o gerentes de otras áreas afectan al área
x
de sistemas?

¿Existe un control de los requerimientos y solicitudes que le realizan al área? x

¿El área de sistemas tiene relación directa con las demás áreas de la
x
empresa?

Sistema de Gestión de Seguridad y Salud en el Trabajo SG-SST SÍ NO N/A Observaciones

¿Se efectúan controles o revisiones del buen estado de los equipos de La scaracteristicas minimas
x
cómputo? exigidas en el Datacenter es TIER III
 ¿Se realiza una retroalimentación constante de la misión y visión de la
x
organización?
¿Las decisiones tomadas por jefes o gerentes de otras áreas afectan al área
x
de sistemas?

Formato de auditoria sobre el Contrato

¿Existe un control de los requerimientos y solicitudes que le realizan al área? x

¿El área de sistemas tiene relación directa con las demás áreas de la
x
empresa?

Sistema de Gestión de Seguridad y Salud en el Trabajo SG-SST SÍ NO N/A Observaciones

¿Se efectúan controles o revisiones del buen estado de los equipos de La scaracteristicas minimas
x
cómputo? exigidas en el Datacenter es TIER III
¿Las inspecciones son realizadas por personal especializado como técnicos
x
o mecánicos electrónicos?

¿Los empleados siguen las pautas de prevención de accidentes? x

¿Los empleados se ven expuestos a algún riesgo?

x
(Nombre algunos)
¿Tienen a su disposición extintores preferiblemente de polvo para fuegos tipo
x
A, B y C?
¿Los empleados reciben la dotación y herramientas requeridas por la ARL? x
¿La ARL cumple una función de prevención y asistencia a los empleadores y
x
empleados?
¿Se realizan pausas activas al menos dos veces por turno para evitar el riesgo
x
de entumecimiento o tunel carpiano?
Seguridad de la información SÍ NO N/A Observaciones

¿La administración es consciente de la importancia de implementar un

x
estudio del sistema de información de la empresa?
¿Los datos de clientes y proveedores se salvaguardan por parte del sistema? x

¿Existe una cláusula en los contratos de los empleados del área que los
x
obligue a conservar discreción sobre los datos de la empresa?
¿Se implementan medidas de seguridad en los computadores de los
x
empleados para evitar que estos ejecuten programas peligrosos?
¿El desarrollo de software es evaluado por un supervisor a cargo que verifique
x
su funcionalidad y seguridad?
Se solicita a traves de un numeral
¿Existe un programa de protección de la información contra virus, spyware y
x especifico de seguridad de la
diferentes ataques cibernéticos?
 ¿Los datos de clientes y proveedores se salvaguardan por parte del sistema? x

¿Existe una cláusula en los contratos de los empleados del área que los
x
obligue a conservar discreción sobre los datos de la empresa?

Formato de auditoria sobre el Contrato

¿Se implementan medidas de seguridad en los computadores de los
x
empleados para evitar que estos ejecuten programas peligrosos?
¿El desarrollo de software es evaluado por un supervisor a cargo que verifique
x
su funcionalidad y seguridad?
Se solicita a traves de un numeral
¿Existe un programa de protección de la información contra virus, spyware y
x especifico de seguridad de la
diferentes ataques cibernéticos?
informacion

Capacitación y atención al empleado SÍ NO N/A Observaciones

¿Se retroalimenta al personal según las últimas novedades informáticas? x

¿Se realizan reuniones para conocer las sugerencias de los empleados

x
respecto a los procesos del área? ¿Cada cuánto se realizan?
¿Se toma en cuenta el personal de sistemas para ascensos en esta y
x
diferentes áreas?
¿Existe algún beneficio o subsidio para educación o plan carrera que permita
x
el desarrollo personal y profesional de los empleados?
¿El área tiene un plan de acción eficiente para prever la ausencia de algún
x
trabajador por enfermedad o calamidad?

Gestión de proyectos y desarrollo de software SÍ NO N/A Observaciones

¿Existe una buena comunicación con la persona encargada de suministrar los

x
recursos al área?
¿Existe alguien destinado a aprobar los proyectos del área? x

¿Se utiliza algún tipo de control a la ejecución de los proyectos? x

¿Existen tiempos definidos para presentar resultados de los proyectos de

x
desarrollo e innovación?
¿Los empleados de otras áreas hacen parte de la producción de los
x
proyectos? ¿Estos participan de forma activa?

Procesos del área de sistemas SÍ NO N/A Observaciones

¿Cuentan con la tecnología adecuada para cumplir con las metas de los
x
procesos?

¿Una sola persona se encarga de elaborar los manuales de procesos? x

 ¿Existen tiempos definidos para presentar resultados de los proyectos de
x
desarrollo e innovación?
¿Los empleados de otras áreas hacen parte de la producción de los
x
proyectos? ¿Estos participan de forma activa?

Formato de auditoria sobre el Contrato

Procesos del área de sistemas

¿Cuentan con la tecnología adecuada para cumplir con las metas de los
SÍ NO N/A Observaciones

x
procesos?

¿Una sola persona se encarga de elaborar los manuales de procesos? x

¿Existen manuales de funciones y procedimientos dentro del área? x

¿Son conocidos dichos manuales y procedimientos por todo el personal del

x
área?
Se tiene verificacion permanente a
traves de una supervision y unos
¿Se realiza una evaluación de los procesos para implementar mejoras? x
entregables evidencia del
cumplimiento del contrato
¿Existen cuellos de botella?
x
(Mencione algunos casos)

¿Existe duplicidad de funciones? x

¿Existe un control de tiempos para cada proceso? x ANS dispuestos en el contrato

¿Existen tiempos muertos en los que no se aproveche las herramientas? x

¿Los empleados se encuentran capacitados en los procesos para cubrir algún

x
reemplazo o incapacidad?
Mantenimiento de software y hardware SÍ NO N/A Observaciones

¿Existe una buena comunicación con otras áreas para realizar mantenimiento
x
de equipos y programas?
Los tickets generados ayudan a
¿Existe un ticket o turnero que permita organizar las solicitudes que recibe el determinar la afectacion de Niveles
x
área? de servicio para posibles sanciones
ante indisponibilidad del sistema.
¿Se realiza un control a las herramientas obsoletas, averiadas o en mal
x
estado?
¿Existe algún control para las herramientas de la empresa como cables de
 ¿Los empleados se encuentran capacitados en los procesos para cubrir algún
x
reemplazo o incapacidad?
Mantenimiento de software y hardware SÍ NO N/A Observaciones

Formato de auditoria sobre el Contrato

¿Existe una buena comunicación con otras áreas para realizar mantenimiento
x
de equipos y programas?
Los tickets generados ayudan a
¿Existe un ticket o turnero que permita organizar las solicitudes que recibe el determinar la afectacion de Niveles
x
área? de servicio para posibles sanciones
ante indisponibilidad del sistema.
¿Se realiza un control a las herramientas obsoletas, averiadas o en mal
x
estado?
¿Existe algún control para las herramientas de la empresa como cables de
datos, mouse, teclados, parlantes, auriculares y otros implementos utilizados x
por los empleados?

¿Los empleados se encuentran a gusto con el servicio prestado por el área de

x
sistemas?
¿Todas las piezas del hardware a cargo de cada empleado cuentan con
x
etiqueta o placa de identificación?
Percepción del cliente SÍ NO N/A Observaciones

¿El área desarrolla sistemas adecuados para las necesidades de los

x
clientes?
¿El personal del área reconoce las situaciones que viven los clientes e
implementa mejoras a los procesos conforme a los resultados de las x
encuestas de satisfacción?

¿Existen demoras o reprocesos para los clientes a causa de fallas en el

x
sistema?
¿El cliente se siente a gusto con el servicio prestado por la empresa en sus
x
canales informáticos?
Conclusiones:
 Basados en los lineamientos y estándares de auditoria de seguridad se puede
establecer que el contrato analizado cumple con los requisitos mínimos que
garantizar la integridad, disponibilidad y seguridad de la información
 No se cuenta con un BCP para el sistema misional de reclutamiento, pero se
garantiza servicio a través de los ANS establecidos contractualmente.
 Al contar una certificación TIER III el datacenter cumple con requerimientos
cuanto a su diseño, estructura, desempeño, fiabilidad, inversión y retorno de
inversión.
GRACIAS