AUDITORIA DE SISTEMAS A

JUAN CARLOS BONILLA GONZALEZ

Vamos a tener dos auditores los cuales deben ser agenos al preceso de llegar a ser de la organización y en lo posible ser extern
tener un proceso dentro de la organización o empresa que se encarge de ejecutar las auditorias, esto es muy importante ya qu
de esta manera generar mejora continua en la organización. Por otro lado si es externa la auditoria es mas efectiva y las empr
bueno contar con un auditor interno quien realizaria la primera inspección y despues un auditor externo que evalue lo realizad
externas.

# RIESGO OBJ. DE CONTROL

Mantener un alto grado de disponibilidad

R1.Seguridad fisica Fallas en el servicio electrico
en el servicio

Mantener protegido el lugar donde se

R2.Seguridad fisica Incendio
encuentra los servidores

Mantener Aislado los equipos de fuentes

R3.Seguridad fisica Inundación
de agua (Tubos, grifos, Aire acondicionado)

Importante considerar mantener los

servidores en lugares donde garantices la
R4.Seguridad fisica Catastrofes naturales
integridad fisica de los mismos y de la data
que manejan

Los datos de los usuarios solo deben de

R5.Seguridad logica Integridad de datos estar disponibles para la empresa Driver
car

Solo el personal debidamente autorizado

R6.Seguridad logica Intrución al sistema
tendra acceso al sistema

Garantizar un alto grado de disponibilidad

R7.Seguridad logica Perdida de información
de la información
R8.Seguridad logica Infección por malware/virus Proteger los sistemas de infecciones o
incidencias en los puestos de trabajo

Las herramientas deben ser manipuladas

R9.Seguridad logica Manipulación indevida de por Ingenieros que tengan gran
herramientas de administración conocimiento en el tratamiento de
información

No establecer el equipo de
Se debe buscar personal que tenga
R10.Gestión cursos proyecto adecuado para
contenido y gestión de cursos experiecia en el area de educación y TICS

No generar la publicidad Garantizar a Driver car, que se va a realizar

R11 Publicidad y
adecuada para llamar mas publicación llamativa y veridica de los
mercadeo
usuarios a inscribirce a los cursos servicios que ofrece la misma
 AUDITORIA DE SISTEMAS ACTIVIDAD 3 DRIVER CAR
UNIPANAMERICANA FUNDACIÓN UNIVERSITARIA

organización y en lo posible ser externos, esto nos ayudara a que las politicas, instructivos se lleven a cabo de la forma adecuada. Por lo g
ditorias, esto es muy importante ya que personas ajenas al proceso podran visualizar de forma mas clara los procesos que estan fallando (
a auditoria es mas efectiva y las empresas las utilizan para validar ante un ente que estan realizando de forma correcta la operación. En nu
auditor externo que evalue lo realizado por el auditor interno y realice su propia inspección. Con esto validamos que todo este acorde a la

CONTROL P. CUMPLIMIENTO

Existe procedimiento? - Validar la ultima fecha de

mantenimiento de la misma. -Tener estadisticas de perdidas de
Procedimiento de mantenimiento
energia en el sector y picos de voltaje. - Validar que estos equipos
PLANTA ELECTRICA
se encuentren en tomas de energia regulada e interconectada
con la plata electica

Procedimiento de mantenimiento de Existe procedimiento? - Validar la cantidad manima de extintores

extintores, detectores de humo y que deben estar presentes en el lugar donde va a reposar el
rociadores servidor. - Procedimiento

Existe procedimiento? -Validar la ubicación de tuveria de agua en

Documentación de Planos de
las instalaciones - Generar plan de contingencia y procedimiento
infraestructura que se debe seguir para solucionar el mismo

Procedimiento de plan estrategico de Existe procedimiento? -Validar replica del servidor en otros
tecnologias de la información continentes

Procedimiento según lo establecido en

Existe procedimiento? -Verificar normativas, procedimientos y
la ley 1273 del 2009 (Ley de Protección
de información y de los datos) politicas para el tratamiento y gestión de datos

Existe procedimiento? - Verificar politicas y estructura gerarquica

Procedimientos o politicas para
(Roles) para permisos sobre el sistema de gestión de información,
asignación de roles y permisos dentro
servidores y demas herramientas que administren, gestionen o
del sistema
consulten información en la misma.

Existe procedimiento? -Procedimiento que permita tener claro

Procedimientos de copias de seguridad como se lleva a cabo la gestión de Backups dentro de la
(Backups) organización Driver Car. - Procedimiento para tratar incidentes de
disponibilidad del servicio que se esta prestando

Procedimiento de instalación y
configuración de firewall y antivirus en
los diferentes puestos de trabajo
Existe procedimiento? -Se cuenta con herramientas certificadas
que permitan escanear los equipos y la red para validar presencia
de Malware y Virus en los mismos. - Se cuenta con
procedimientos para validar

Existe procedimiento? - Es importante que se establesca por

medio de el consejo o junta directiva de tecnologia las pruebas
Procedimiento de selección de personal
que debe realizar la persona que manipule la información en los
para administración y manipulación de servidores. - Se cuentan con politicas internas de privacidad y
herramientas que gestiones datos
manejo de la información, todo acorde con la ley. esto por que la
personales, pruebas eticas y tecnicas.
información que va a manipular es para el publico una parte y
datos personales de los usuarios

Procedimiento para involucras a Existe procedimiento? - Es importante generar una estructura al

ingenieros al proyecto, como pre interior del proceso de tecnologia, para que las actividades que
requisito tener experiencia en gestión se deban desarrollar sean un engranaje y todo pueda funcionar
de proyectos de educación de forma correcta

Es importante validar que la información que se va a publicar

tenga todos los criterios de seguridad y tener claro que no se
Procedimiento para involucrar personal pueden puede publicar datos como (Numeros de cuenta,
para Mercadeo y comunicaciones
documentos de identificación, nombres y apellidos, telefonos de
usuarios o administrativos)
ARIA

de la forma adecuada. Por lo general recomiendan

procesos que estan fallando (No conformidades) y
ma correcta la operación. En nuestro ejercicio seria
amos que todo este acorde a las politicas internas y

P.SUSTANTIVA

Ampliar muestras y generarlas de forma

periodica

Validar procedimiento para gestión de

este tipo de incidentes y validar que las
personas a cargo de este tengan
conocimiento de como tratar los mismos

Generar inspecciones n un tiempo

pruedente para evitar con tiempo las
posibles complicaciones

Aplicar leyes y procedimientos basicos

contempladas por ley para tratamiento
de información personal

Aplicar directrices minimas dadas por el

MINTIC para la seguridad y protección
de la información

Aplicar buenas practicas para

generación de Backups. De igual forma
se deben realizar pruebas periodicas en
las cuales se validen que los Backups
estan realizados de forma correcta y
estan prestos a restaurar en caso de
algun incidente
Por medio del cuadrante magico de
Gartner validar que soluciones se
adaptan a las necesidades de nuestra
empresa para proteger de todo tipo de
malware o virus en los servidores o
equipos de la misma

Ampliar las politicas de seguridad de la

información y generar compromisos
para que la información sea tratada de
forma correcta, validar procedimientos
muy detallados para esta gestión

Generar estructura del proceso de

tecnologia para que los mismos tengan
una gestión y servicios integrales, esto
con el fin de generar una cobertura
mayor en conocimientos y pueda
generar un trabajo sincronico. Esto
ayuda a optimizar trabajos y a
complementarce uno a otro

Validar procedimiento de generación de

contenido para el sitio web y generar
procedimientos para poder realizar
publicaciones de contenido.