AUDITORIA DE SISTEMAS

NRC 3482

POLITICAS DE SEGURIDAD INFORMATICAS

Presentado Por:
JENNY PAOLA PINILLA ESPINEL ID: 161794

Docente:
JIMMY LEONARDO VELANDIA

Bogotá D.C. Colombia Febrero 17 De 2019

 INTRODUCCION
Las políticas de seguridad de la información para la empresa XX S.A.S, busca
establecer medidas para garantizar la seguridad de la tecnología de información, en la
cual se establece los lineamientos para los usuarios acerca de las normas y mecanismos a
cumplir y utilizar para proteger el hardware y software, así como la información
procesada y almacenada en los mismos.

Estas políticas se crean en base al análisis de los riesgos de la información en cada

área de la compañía, y así aplicarla a cada uno de los equipos para que sirvan como
soporte a las actividades realizadas e implementar instrumentos del adecuado manejo de
la información regido por las políticas de seguridad adoptadas.

POLITICAS DE SEGURIDAD INFORMATICAS

Uso de Internet y Wifi

Todos los computadores de la empresa deben estar protegidos con control de

acceso aprobado por el área de TI, estos deben tener un mecanismo de firewall para el
uso de internet ya sea el suministrado en la empresa o cualquier red a la que se conecte
el equipo, el acceso al internet será administrado por el área de tecnología y estos a su
vez se encargaran de vigilar el uso correcto del mismo y por ente están autorizados para
bloquear páginas que no sean necesarias para el cumplimiento de las funciones del cargo
a desempeñar.

Esta prohibido descargar cualquier programa o juego o utilizar el internet para

acceso de redes sociales, en dado caso que se necesite descargar un controlador o
programa de internet se debe comunicar al área de TI para que ellos evalúen la
seguridad y la finalidad y así aprobar su descarga, las descargas solo se dejar realizar con
el usuario administrador el cual solo lo maneja el departamento de TI.

Uso de Correo Electrónico Corporativo

Los colaboradores solo podrán utilizar las direcciones de correo electrónico

corporativas asignadas para atender los asuntos de la compañía, no esta permitido el uso
de correo electrónico para usos no institucionales, no se debe utilizar un correo asignada
a otra persona para recibir o enviar información si se necesita tener acceso a una cuenta
de correo cuando la persona esta de vacaciones se debe realizar el proceso con el área
de tecnología para replicar los correos a otra dirección esto con la autorización de la
persona que esta ausente y de su jefe directo.
 Todos los correos electrónicos son registros de la empresa por ende son
monitoreados para evitar que no atenten contra la seguridad, prevenir una violación a las
políticas de la empresa, o ejecutado acciones no permitidas., por este motivo cada
usuario es responsable de la información enviada y reenviada desde su cuenta de correo.
Se debe depurar continuamente los correos para evitar que se colapse el espacio del
correo.

Uso de dispositivos extraíbles

Cualquier medio magnético extraíble como USB, CD, DVD o discos externos no
pueden ser utilizados en ningún computador o servidor, sin ser previamente analizados y
examinados por el área de tecnología para así evitar virus, es responsabilidad de cada
usuario enviar a realizar esta acción para evitar daños en los equipos y perdida de la
información.

Esta prohibido realizar copias de seguridad o extraer información a estos medios

extraíbles de la compañía, cada usuario es responsable de la información sensible que se
maneje por ende es responsable en caso de perdida o copias que se realicen sin
autorización de la gerencia o el departamento de tecnología.

Uso de Celulares y Tablet Corporativas

Se debe realizar solicitud al departamento de tecnología para la asignación de

Tablet o celular corporativo y así poder controlar que clase de equipo se entregue en
donde se especifica las características de los equipos, estos equipos tienen un software de
localización y se debe solo almacenar información corporativo indispensable para el
cumplimiento de sus funciones.

Estos dispositivos deben contar con una contraseña mínima de 8 caracteres entre
letras signos y números, no esta permitido el uso de redes sociales o acceso a páginas
que no sean indispensables para el cumplimiento de sus funciones, en caso de evidenciar
virus o infección se debe comunicar al área de TI.

Uso de Escritorio y Fondo de Pantalla

El fondo de pantalla será unificado para todos los equipos con un concepto
corporativo no será de libre elección será asignado por el área de tecnología, cada
usuario es responsable de la información almacenada la cual esta establecida una red
interna para este almacenamiento, por ende, el escritorio de los equipos de debe
utilizarse para el almacenamiento de información.

La información almacenada en el escritorio no será tenida en cuenta para las

copias de seguridad, el área de tecnología esta autorizado para realizar validaciones de
almacenamiento para que cumplan con las políticas de seguridad, tampoco se debe
almacenar información personal en el escritorio esta será eliminada.
Pagos Electrónicos

Para realizar los pagos electrónicos solo están habilitadas las IP de los
computadores de tesorería, solo se pueden realizar pagos dentro del horario laboral en
dado caso que ingresen fuera de este horario se bloqueara de forma automática el
usuario bancario, para realizar los pagos es necesario tener dos usuarios uno de
preparación y el otro aprobador.

Se entregará un tercer usuario de auditoria para realizar la validación de las

cuentas inscritas y pagos realizados coincida con los soportes y sean reales, los pagos
electrónicos a través de tarjeta de crédito o pagos PSE deben tener previa autorización
de la gerencia para poder realizarlos.

Copias de Seguridad

Es responsabilidad del área de tecnología la implementación de herramientas para

realizar copias programadas de la información almacenada en los equipos, software y red
de la compañía, estas copias se deben realizar al finalizar cada día, también es
responsabilidad del área de tecnología la custodia o respaldo de la información de la
empresa.

Las copias de seguridad tanto de usuarios como la de los servidores debe estar
encriptada y en servidores externos, para evitar accesos no autorizados, el sitio donde
este ubicado este servidor debe ser un lugar que este asegurado y contar con los
estándares de custodia para evitar daños que produzcan perdida de la información.