POLITICA DE SEGURIDAD INFORMATICA

PRESENTADO POR

EUCARIX INSIGNARES LINARES

ELIANA GIRALDO QUITIAN

ERIKA RUBIO TORRES

PAOLA BARREIRO

PRESENTADO A

DIEGO SANCHE

CORPORACION UNIVERSITARIA MINUTO DE DIOS UNIMINUTO

AUDITORIA DE SISTEMAS

CONTADURIA PÚBLICA

OCTAVO SEMESTRE

2019
OBJETIVOS

General
Lograr una auditoria completa que le permita al cliente, una tranquilidad en los aspectos
sistemáticos de su empresa teniendo en cuenta los estándares requeridos, y los parámetros
preestablecidos, cumpliendo con las normas vigentes

Específicos
Identificar las posibles amenazas de las cuales pueda ser víctima, tratando de evitarlos
Realizar una revisión de los procesos que se llevan en la empresa, para el área de sistema.
Buscar alternativas de seguridad que limiten los riesgos de la empresa
Gestionar la creación de planes de mejora para la seguridad informática de la empresa

Alcance y Delimitaciones
El alcance de esta auditoria estará limitado a la revisión de los procesos sistemáticos de la
compañía EMC SERVICIOS que puedan afectar de manera directa o indirecta la obtención
de estados financieros o informes que entorpezcan la toma de decisiones de la compañía.

Metodología

- Recolección de la información: pedir los manuales de funciones del área de sistema,

para conocer como son los procedimientos que se desarrollan en la compañía.
- Pedir copia de la relación de los usuarios que tengan acceso a la información de la
compañía y a los equipos informáticos, además de los perfiles con los que cuentan cada
uno de ellos, para saber quiénes tienen más opción de modificar la información.
- Pedir soportes de las copias de seguridad, además de la confirmación de las licencias de
seguridad, de software y demás programas que deben tener licencia para el buen
funcionamiento de los sistemas informáticos de la compañía
Pruebas
Se tomara copias que permitan corroborar que los procesos y las licencias sean legales
Elaborar una guía de chequeo que permita confirmar datos e información

INSTRUCCIONES DE INTERPRETACIÓN

La presente información ha sido creada con el fin de que los diferentes empleados de la
empresa EMC SERVICIOS, pueda interpretar los datos aquí recopilados, sin la necesidad
de que dichas personas, sean ingenieros de sistemas o personan con conocimientos
avanzados en el área de sistemas.

Las presentes políticas fueron creadas y organizadas tratando de buscar una mejora en los
problemas que pueda obtener la compañía en el área sistemática de la misma, siguiendo los
lineamientos establecidos, por la normativa colombiana, siempre en pro de proteger la
información de la compañía

El presente documento establece solamente las políticas de seguridad de sistemas

establecidas para la empresa EMC SERVICIOS

 Nivel de seguridad Organizativo

- Seguridad Organizacional
1. Políticas de Seguridad
2. Excepciones y responsabilidades
- Clasificación y control de los activos
1. Responsabilidad por los activos
2. Clasificación de la información
- Seguridad ligada al personal
1. Capacitación de usuarios
2. Respuesta a incidentes y anomalías de seguridad
  Nivel de seguridad lógico
- Control de acceso
- Administración del acceso de usuarios
- Seguridad de acceso de terceros
- Control de acceso a la red
- Control de acceso a las aplicaciones
- Monitoreo de acceso y uso del sistema
-
 Nivel de seguridad Física
- Seguridad física y ambiental
- Seguridad de los equipos
- Controles generales

POLITICA DE SEGURIDAD INFORMATICA

OBJETIVO

Suministrar a los empleados y terceros asociados directamente a la empresa EMC

SERVICIOS SAS, que conozcan las políticas y normar implementadas en la organización,
para proteger los activos sistemáticos de la compañía, evitando así pérdidas materiales,
informáticas y demás posible información que se encuentre en los equipos de la compañía

Nivel 1: SEGURIDAD ORGANIZATIVA

1.1 SEGURIDAD ORGANIZACIONAL

1.1.1 Política de seguridad

- Las conexiones de red de la organización, son de uso exclusión para actividades

laborales, y relacionadas directamente con las actividad operativas y administrativas de
la compañía, cualquier uso adicional que no se ligue a las actividades de la compañía,
será una violación a las políticas aquí establecidas.
- La gerencia administrativa de EMC SERVICIOS, delegara al área de sistemas para que
realice el debido seguimientos al correcto manejo de las tecnologías de la información
de la empresa, que garantice un cumplimiento a las normativas aquí establecidas,
además de que le dará la completa potestad para crear una matriz de riesgo en la cual se
velara por:

1. Proteger los activos tecnológicos de la empresa

2. Cumplir las políticas
3. Capacitar a los empleados en seguridad informática
4. Realizar copias de seguridad que protejan la información
5. Informar sobre problemas informáticos
6. Prestar alta atención sobre el manejo de las equipos Cada usuario tendrá su equipos
dentro de la compañía, será él expresamente el responsable por los desarrollos y
ejecuciones de sus equipos
7. El área de sistemas será el encargado de mantener en perfecto orden los servidores y
equipos de la empresa

1.1.2 Excepciones de Responsabilidad

- Las personas que por órdenes de sus superiores realicen actividades o acciones que
puedan ocasionar malos entendidos a otros usuarios
- Aquellas personas que no tengan un contrato de confidencialidad y protección de la
información.
- Las persona que ostenten un cargo administrativo superior y que les permita la
manipulación de la información debido a la responsabilidad que tiene.
1.2 CLASIFICACION Y CONTROL DE LOS ACTIVOS

1.2.1 Responsabilidad por los activos

- Cada departamento tiene completa responsabilidad sobre cada activo físico, y la

información que reposa en cada uno de ellos, además de que debe buscar, la
preservación del bien (computador, discos, hardware)
- El área de sistemas es el encargado de la preservación de la información contenida en
los dispositivos sistemáticos.

1.2.2 Clasificación de la información

- Pública
- Interna
- Confidencial

1.3 SEGURIDAD LIGADA AL PERSONAL

1.3.1 Capacitación de usuarios:

Los empleados serán capacitados por el área de sistemas en lo referente al mínimo

conocimiento de seguridad informática, en función de las actividades que desarrolle cada
uno de ellos.

1.3.2 Respuesta a incidentes y anomalías de seguridad:

- Realizar copias de seguridad periódicamente, para proteger la información

- Cualquier alerta de hardware malintencionado deberá ser reportada por la
persona que lo descubra
- Revisión periódica de los puestos de trabajo
NIVEL 2: SEGURIDAD LOGICA

2.1 SEGURIDAD LOGICA

2.1.1 Control de Acceso

- La persona encargada del área de sistemas, deberá crear a cada empleado, un

usuario único y una contraseña personal e intransferible, para la utilización de
cada equipo de la compañía
- Los distintos software de la compañía, al igual que los equipos deben de tener
usuario único por cada empleado
- La solicitud de contraseñas adicionales, o compartimientos entre los empleados
deberá ser denegada.

2.1.2 Administración del acceso de usuarios

Los roles establecidos en los diversos activos sistemáticos de la compañía, serán

establecidos por la gerencia de la compañía, y estos permiten que realice una trazabilidad
en la información, logrando así una secuencia de los movimientos de cada usuario que
pueda realizar algún tipo de modificación en la información de la compañía

2.1.3 Seguridad de acceso de terceros

El ingreso de personas terceras a la compañía deberá estar limitada, solicitando para el

ingreso documentos de identidad y corroborar que el documento suministrado por parte de
los visitantes sea legal, además de estar siempre pendiente de ellos, y evitar que conecten
cualquier dispositivo a los equipos o redes de la compañía.

2.1.4 Control de acceso de red

La conexión de dispositivos ajenos a la compañía, debe de esta prohibida, además de la

conexión de las redes wifi debe estar protegida por contraseñas, y encriptaciones necesarias
2.1.5 Control de acceso a las aplicaciones

No permitir que terceros entren a los software de la empresa, ya que pueden instalar
programas mal intencionados, además de que el acceso de terceros a aplicaciones como los
programas contables, pueden alterar cifras que no generen confianza en la información que
se posee.

2.1.6 Monitoreo de acceso y uso del sistema

Monitorear los tiempos de trabajo de los empleados, y limitar los ingresos solo en horas
laborales, bloqueando así que puedan ingresar en el sistema en horas no laborales y que
puedan realizar actividades que puedan perjudicar a la compañía, de ser necesario que los
empleados que deban de quedarse horas extras soliciten permiso por anticipado a la
gerencia para poder laborar en horas diferentes

NIVEL 3: NIVEL DE SEGURIDAS FISICIA

3.1 Seguridad Física y Ambiental

- Los equipos deben tener conexiones separadas de otro tipo de cables.

- El servidor debe ser un equipo independiente de los de trabajo normales
- Establecer una área alterna para las personas de sistema en el cual puedan
realizar sus actividades, y que permita la conservación de la información de la
empresa

3.3 Seguridad de los equipos

- Antivirus y licencias que permitan el buen funcionamiento de los equipo

3.4 Controles Generales

- Los puntos de trabajo con información relevante no pueden recibir unidades

externas a las de la compañía
- Todas las áreas laborales deben contar con los mínimos elementos para su
conservación (extintores, alarmas, lámparas de emergencia).
4. DICTAMEN

Hemos auditado los procedimientos sistemáticos de nómina de la empresa EMC Servicios

SAS a 30 de agosto de 2019 y sus correspondientes liquidaciones. Dichos informes fueron

preparados bajo la responsabilidad de la administración. Una de nuestras obligaciones es

expresar una opinión sobre los procedimientos con base a la auditoria.

Realizamos la auditoria basándonos en las políticas informáticas de acuerdo con las

normas de auditoria generalmente aceptadas en Colombia, estas normas requiere que se

planifiquen y se lleven a cabo de tal manera que se obtenga seguridad razonable sobre la

situación del ente económico. Una auditoria incluye el examen, sobre una base selectiva, de

las evidencias que respaldan las cifras y las notas informativas sobre la nómina.

En nuestra opinión, la información contable de nómina arriba mencionados, presentan

razonablemente la situación de la compañía EMC Servicios SAS al 30 de agosto de 2019 por

los periodos terminados en estas fechas, de conformidad con normas o principios de

contabilidad generalmente aceptados en Colombia, aplicados uniformemente.

Reporte sobre otros requerimientos legales

Además, basado en el alcance de nuestra auditoría en sistemas informáticos, informamos que

la Compañía ha llevado su contabilidad conforme a las normas legales y a la técnica contable;

las operaciones registradas en los libros de contabilidad y los actos de los administradores se

ajustan a los estatutos y a las decisiones de la Asamblea de Accionistas y de la Junta

Directiva; la correspondencia, los comprobantes de las cuentas y los libros de actas y de

registro de acciones se llevan y se conservan debidamente; el informe de gestión de los

administradores guarda la debida concordancia con los estados financieros básicos, y la

Compañía no se encuentra en mora por concepto de aportes al Sistema de Seguridad Social

Integral. Nuestra evaluación del control interno, efectuada con el propósito de establecer el

alcance de las pruebas de auditoría, no puso de manifiesto que la Compañía no haya seguido

medidas adecuadas de control interno y de conservación y custodia de sus bienes y de los de

terceros que estén en su poder.

CONCLUSIONES:

COMPONENTE 1: PROCESOS, SERVICIOS Y CLIENTES DEL PROCESO

- La empresa tiene como objetivo ir a la vanguardia de la tecnología para que sus

procesos estén siempre al día, de ahí que se trata de mejorar el servicio de una mejor
manera y que los clientes siempre nos prefieran y hablen de la buena calidad, además
somos conocidos por ser una empresa seria y responsable, con un reputación intachable.

- Los funcionarios tienen sentido de pertenencia y se incentiva el cuidado al medio

ambiente, a hacer cumplir sus normas y a estar capacitados para prestar un buen
servicio y tener una buena relación con nuestros clientes.