CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

CONTADURÍA PÚBLICA

MATERIA
AUDITORIA DE SISTEMAS

CUESTIONARIO
ACTIVIDAD 8
ACTIVIDAD 9
ACTIVIDAD 10

PRESENTADO POR
YUSENYS MARIA FABRA PADILLA
WILLIAM FERNEY VILLOTA
HELENA PATRICIA CARLOSAMA CORDOBA

10 DE SEPTIEMBRE DE 2019 MOCOA- PUTUMAYO

 INTRODUCCIÓN

Actualmente la seguridad informática viene tomando un auge muy importante en el mundo,

para nadie es ajeno saber que en las distintas empresas se maneja información muy imponte
de sus actividades, la cual está constantemente en peligro de ser destruida, descifrada o
clonada para ser utilizada en diversos fines. Es entonces donde tener una seguridad
informática es la clave y para ello es necesario usar distintas herramientas que formen un
escudo para la empresa y que minimicen los riesgos a los cuales están expuestos.
Es así como en el presente cuestionario se pretende mostrar la importancia de la auditoria
sobre seguridad de redes y sistemas distribuidos en una empresa.
 OBJETIVOS
 Analizar los medios que utiliza el ICBF para impedir el acceso no autorizado a
los sistemas de información, bases de datos y servicios de información.

 Comprender los conceptos fundamentales de auditoria sobre seguridad de redes y

sistemas distribuidos en una empresa y las funciones que debe cumplir el profesional
en un área determinada de auditoría.

 Analizar que cultura hay en los colaboradores del ICBF sobre buenas prácticas
aplicadas a la seguridad y privacidad de la información.

 Gestionar incidentes de seguridad y privacidad de la información, seguridad

informática o seguridad, teniendo en cuenta los lineamientos y estándares definidos,
a través de una oportuna identificación, atención y respuesta con el fin de mitigar el
impacto asociado a la pérdida de la confidencialidad, integridad y disponibilidad de
la información del ICBF
 SEGURIDAD DE AUTORIZACIÓN DE ACCESOS
APLICADO A BIENESTAR FAMILIAR (ICBF)
PREGUNTAS SI NO OBSERVACIONES

1. ¿Se han adoptado medidas de seguridad X

en la dirección de la organización?

X
2. ¿Existe una persona responsable de la
seguridad?

X
3. ¿Existe personal de vigilancia en la
institución?

4. ¿Se controla el trabajo fuera de horario? X

El objetivo es proteger la Base de

5. ¿Se identifica a la persona que ingresa?
6. Existe vigilancia en los ambientes donde
se concentra el mayor número de equipos X
electrónicos las 24 horas?
7. ¿Son controladas las visitas y
demostraciones en el centro de cómputo
de la organización?
Datos contra accesos no
X autorizados, se tiene un control
de las personas que ingresan
mediante una cámara de
seguridad
El encargado del área de sistemas,
se encarga de controlar y vigilar
X todo lo que concierne a este
departamento.

SEGURIDAD EN GENERAL

1. ¿Se controla el préstamo de:

• Elementos magnéticos para traslado de información……………………… (SI)

• Equipos informáticos………………………………………………………. (SI)
• Software…………………………………………………………..... ………(SI)

2. ¿Se cuenta con copias de los archivos en un lugar distinto al de la computadora?

…………………………………………………………….....................(SI)

3. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas
de seguridad, etc.) para garantizar su integridad en caso de incendio, inundación,
terremoto, vandalismo, etcétera
RTA/
Las copias de seguridad están protegidas en su totalidad, ya que la empresa posee
copias de seguridad necesarias ante un eventual caso.

4. ¿Se tienen establecidos procedimientos de actualización para estas copias de

seguridad? …………………………………………………………..(SI)

5. ¿Existe la oficina de auditoría interna en la institución?

……………………………………………………………………….(SI)

6. ¿Esta oficina de auditoría interna conoce todos los aspectos de los sistemas?
……………………………………………………………………….(SI)

7. ¿Con que frecuencia se auditan los sistemas de información?

RTA/
Cada año el área de sistemas, programa auditorias con el objetivo de obtener
resultados que le permitan una mejora continua.
 ACTIVIDAD 9
SEGURIDAD EN LAS BASES DE DATOS
APLICADO A ICBF

1. ¿Cuál es la protección del sistema frente a los ataques externos del ICBF?
Buscamos ofrecer una perspectiva integral y especializada acompañado a la empresa en
garantizar la seguridad. Disponibilidad y fiabilidad de sus procesos de negocios mediante la
detección y resolución de las vías de entradas por los delincuentes.

2. ¿Dónde reportan los posibles incidentes de seguridad?

● Se reportarán a la mesa de servicio a los diferentes canales como
● Enviando un mensaje de correo electrónico con la solicitud de la dirección
● Llamando a la línea de atención 018000913434

3. ¿Cuáles son las inconvenientes de un sistema gestor de base de datos en el ICBF?

EN ALGUNOS CASOS PUEDE PRESENTARSE
● Dificultad a acceso de los datos
● Aislamiento de datos
● Anomalías en el acceso concurrente
● Problemas de seguridad

4. ¿Qué medidas de seguridad maneja EL ICBF?

● Se impone seguridad de varios niveles tanto para los usuarios como para los datos.
● se utilizan mecanismos de protección.
5. ¿Cuáles son las responsabilidades del sistema gestor de la base de datos?.
● Respaldo y recuperación.
● Seguridad e integridad.
● Control de concurrencia.
● Consulta y actualización.
6. ¿Cuáles son las o funciones principales del administrador de la base de datos del
ICBF?
Mantenimiento rutinario
De la base de datos son:
Copia de seguridad periódica de la base de datos, bien sobre cinta o sobre servidores
remotos, para prevenir la pérdida de datos en caso de desastres como inundaciones.
Asegurarse de que haya suficiente espacio libre en disco para las operaciones normales y
aumentar el espacio en disco según sea necesario.
Supervisión de los trabajos que se ejecuten en la base de datos y asegurarse de que el
rendimiento no se degrada por tareas muy costosas iniciadas por algunos usuarios.

7. ¿Cómo actúan si recibieran una notificación telefónicamente o por medio de

correo de un posible incidente de seguridad?
La mesa de servicio es la encargada de categorizar en la herramienta
Que se maneja para iniciar con la atención, allí se generará un ticket /número de servicio de
acuerdo a los siguientes criterios básicos:

● Hubo daño o pérdida de información.

● Si se presentó fuga o robo de información.
● Hubo robo de credencias o información mediante Phishing.
● Se presentó modificación no autorizada de la información.
● Se presentó suplantación de identidad.
● Se presentó un acceso no autorizado.
● Se presentó pérdida o alteración de registros de base de datos.
● Se presentó una pérdida de un activo de información.

8. ¿En caso de que se presente un incidente de seguridad relacionados con Datos

Personales donde acuden?

Se reporta a la Superintendencia de Industria y Comercio, por el Oficial de Datos a través del

formato de F2.P5.GTI Reporte Incidentes.

9. ¿Qué requisitos obtienen para la seguridad de la base de datos?

La base de datos se protege contra el fuego, el robo y otras formas de destrucción.
Los datos deben ser re construibles, ya que siempre pueden ocurrir accidentes.
Los datos deben poder ser sometidos a procesos de auditoria.

10. ¿Medidas de seguridad?

FÍSICAS: Controlar el acceso al equipo. Mediante tarjetas de acceso…
PERSONAL: Acceso solo de personal autorizado Identificación directa de personal…
 SGBD: Uso de herramientas que proporcione el SGBD perfiles de usuario, vistas,
restricciones de uso de vistas.

11. ¿Cuáles son las características más importantes para tener en cuenta en su
empresa?
● La Confidencialidad de la información,
● La Integridad de la información,
● La Disponibilidad de la información,

12. ¿Qué recomendaciones daría para mantener una seguridad de la información?

Siempre debemos proteger el sistema frente a ataques externos, La protección frente a caídas
o fallos en el software o en el equipo
La protección frente a manipulación por parte de usuarios no autorizados.

ACTIVIDAD 10
CUESTIONARIO DE AUDITORIA SOBRE SEGURIDAD DE REDES Y
SISTEMAS DISTRIBUIDOS EN LA EMPRESA ICBF

N° PREGUNTA SI NO OBSERVACIONES
1 ¿Su empresa cuenta con un departamento de X
sistemas?
2 ¿Cuenta con una red integrada de sistemas? X
3 ¿Se han instalado equipos que protejan la X
información y los dispositivos en caso de
variación de voltajes?
4 ¿Hacen revisiones sorpresivas del contenido X La entidad programa revisiones para
del disco para verificar la instalación de la verificación de instalaciones no
aplicaciones no relacionadas a la gestión de la relacionadas con la actividad de la
empresa? empresa
5 ¿Se tiene programas de detección e X
inmunización de virus?
6 ¿Existen manuales que permitan el adecuado X La entidad cuenta con guías y
manejo del disco y accesorios de manuales que permiten el adecuado
almacenamiento masivo? uso de los discos duros.
7 ¿Se revisan los programas nuevos a instalar X
antes de entrar en funcionamiento?
8 ¿Existe un programa de mantenimiento X
preventivo para cada dispositivo del sistema de
cómputo?
9 ¿Existen normas o procesos que impidan hacer X La entidad no tiene permitido bajo
modificaciones en la configuración de los ningún pretexto hacer
equipos? modificaciones sin previa
autorización.
10 ¿Existen inventarios de hardware y equipos de X
cada una de las oficinas?
11 ¿Existen manuales y protocolos para reporte de X
incidentes informáticos?
12 ¿Se tienen formatos definidos para cambio de X
equipos en cada lugar de oficina?
13 ¿Cuentan con un manual de procedimientos X
para manejo de riesgos informáticos?
14 ¿Se implementa una política de seguridad de la X
información en la empresa?
 REFLEXIONES
 Es muy importante contar con un sistema de red de información, ya que este permite
minimizar los riesgos y tener un mejor manejo de la información que circula en cada
uno de los equipos que utilizan los trabajadores de la empresa.

 Generar una auditoria al sistema informático que presenta una empresa que permita
evaluar que tan fuerte es la seguridad que se brinda frente al cuidado de la información
y que otras herramientas son necesarias para aplicar.

 La empresa a la cual se le aplico el cuestionario, actualmente está trabajando en tener

la certificación con ICONTEC en seguridad e la información, permitiendo así blindar
la información que maneja con un adecuado sistema de manejo de la información.

 Se destaca la importancia que tiene la seguridad de bases de datos en una empresa ya

que en cualquier momento se puede presentar riesgos en los cual será afectada la
información
De igual forma se debe tener en cuenta dos niveles muy importantes los cuales son
Relación. Puede permitir o impedir que el, usuario tenga acceso directo a una
relación.
Vista: puede permitir o impedir que el usuario tenga acceso a la información que
aparece en su vista.
 CONCLUSIONES

 La aplicación de diversas herramientas como lo es el sistema distribuido permite en

una empresa minimizar los riesgos a los cuales está expuesta la información, ya que
estos están unidos a una sola central permitiendo tener un mayor control.
 La seguridad de las redes es supremamente importante en toda empresa ya que el
tenerla permite que se este fuerte frente a la amenaza de hackers y Virus entre otro
tipo de riesgos que la información de la empresa pueda tener.

 Es necesario mantener un estado de alerta y actualización permanente: la seguridad

es un proceso continuo que exige aprender sobre las propias experiencias.
 Las organizaciones no pueden permitirse considerar la seguridad como un proceso o
un producto aislado de los demás. La seguridad tiene que formar parte de las
organizaciones.
 Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que
los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en
las herramientas de seguridad con las que cuentan para hacerle frente a posibles
ataques informáticos que luego se pueden traducir en grandes pérdidas.
 Los ataques están teniendo el mayor éxito en el eslabón más débil y difícil de
proteger, en este caso es la gente, se trata de uno de los factores que han incentivado
el número de ataques internos. No importando los procesos y la tecnología,
finalmente el evitar los ataques queda en manos de los usuarios.

 Todos los incidentes de seguridad deberán estar clasificados en la herramienta de

gestión con la que cuenta el Instituto, una vez clasificado el incidente de seguridad
este deberá ser categorizado de acuerdo con su impacto y urgencia en la herramienta
de gestión con la que cuenta el Instituto colombiano de bienestar familiar.
 BIBLIOGRAFIA

carrasco, m. (22 de Agosto de 2005). scrib. Obtenido de Auditoria de la seguridad fisica y logica :
https//es.scribd.com/doc/104007826/auditoria-de-la-seguridad-fisica-y-logica

Cristhian Alberto Narvaez, H. S. (2012). Auditoria de la seguridad fisica y logica . Managua

nicaragua .

SANDRA CAROLINA VALDIVIEZO CRIZÓN. (2012). AUDITORÍA DE SEGURIDAD FÍSICA Y LÓGICA DE

LOS SISTEMAS . Riobanba -Ecuador .

Tumero, P. (2018). monografias.com. Obtenido de Administración del control de accesos,

adecuado a los sistemas de información:
https://www.monografias.com/trabajos102/administracion-del-control-accesos-
adecuado-sistemas-informacion