Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Realizado a la empresa
RED + M&S SAS
Nombre de integrantes:
Ángela Giselle Calderón
Maicol Andrés Rojas
Nombre docente:
Cesar A. Guerrero
Universidad del Tolima
Auditoria y Legislación Informática
Bogotá D.C
2020
Tabla de contenido
Introducción 3
Objetivos 5
Objetivo general 5
Objetivos específicos 5
Justificación 6
Equipo de trabajo 7
Recursos 7
Humanos 7
Tiempo 7
Controles 8
Marco de Referencia 9
Antecedentes 9
Conclusiones 16
Cibergrafía 23
Introducción
En el área de ingeniería de sistemas nos encontramos con la necesidad saber utilizar los
recursos que se encuentran disponibles con el fin de realizar un análisis a la información
disponible y ver que sucesos son los que se están encontrando en el día a día. Lo ideal es
poder brindar un análisis a una situación del momento actual y presentar los resultados de
una manera evidenciada y real a los hallazgos encontrados. Esto nos conlleva a que en
medio de nuestra responsabilidad y deber como profesionales en el área a transmitir las
evidencias encontradas a las áreas encargadas (directivos o jefes de área) y presentar los
hallazgos y las soluciones mas viables que se podrían aplicar para mejorar de una manera
sustancial la información como un recurso vital dentro de la operación del día a día de la
empresa. Estas soluciones se deben dar de manera integral demostrando todos los aspectos
que estén involucrados y que pueden afectar en tiempo y dinero.
En el área de las mesas de servicio todo conocimiento aplicado el cual genere una mejor
respuesta y cuidado de la información ya sea para la entidad o los usuarios finales, deben
tener una fundamentación de los hechos reales que se dan y mas si se cuenta con la
información vital de clientes, propios o de terceros. Esta información, sumada a las ayudas
tecnológicas y de personal, con capacitaciones y ejercicios prácticos pueden ayudar de
manera sustancial a mejorar la seguridad en los datos que a la final son información y es el
recurso mas valioso para una empresa.
Planteamiento del problema
En la empresa RED + M&S SAS no se tiene un control de cómo se puede ver afectada la
seguridad e integridad de los sistemas informáticos que allí se maneja en lo cual se deben
evaluar aspectos propios de Hardware y/o Software y los cuales también se pueden dar por
error humano y pueden se de carácter malicioso, intencional o penal.
Se realizará un análisis de manera integral a las áreas y personas que están involucrados y
en los cuales se estén presentes y tengan manejo de la información con esto se validaran las
fallas existen actualmente y la mejor manera de corregirlos y así dar un mayor grado de
confianza y seguridad a los clientes y terceros.
Objetivo general
Objetivos específicos
Demostrar que tipos de fallos y la manera en que se puede proteger la información de una
empresa teniendo una visión clara del estado actual de la empresa RED + M&S SAS y
demostrando las falencias que existen y los pasos que se deben tomar para que exista un
protocolo de manejo de datos e información que allí se maneja, al igual la importancia que
es que todos los agentes involucrados tengan conciencia de la importancia de cuidar su
activo mas valioso y los beneficios que esto representa.
Planificación y gestión del proyecto
Equipo de trabajo
Recursos
Humanos
El numero de personas que integraran el equipo de auditoria será de dos personas. Para la
elaboración del informe cada integrante del grupo utilizara un PC el cual se describe con
sus respectivas características en los enlaces a continuación:
Tiempo
El tiempo que se estimara para el desarrollo del proyecto será un total de cuatro (4) meses
en el cual se destinara 2 horas semanales de cada uno de los participantes del equipo de
trabajo y los cuales se enfocaran durante la preparación análisis, diseño y presentación del
proyecto en las cuales se detallaran en el cronograma de trabajo.
Controles
Antecedentes
COSO
http://www.coso.org
• COBIT
http://www.isaca.org
• Orange Book
http://www.multics.demon.uk/orange/index.htm
• British Standard 7799
http://www.itsec.gov.uk
• MAGERIT
http://www.map.es/csi/pg5m21.htm
• SIGEN
http://www.sigen.gov.ar
• AGN
http://www.agn.gov.ar
• BCRA
http://www.bcra.gov.ar/
Cada una de estas tiene características individuales, únicas y se aplican según el tipo de
empresa, la cantidad de empleados y como este su actividad comercial
Ejecución del proyecto
De esta manera, se obtendrá una visión mas global del sistema. Es importante también
reconocer y entrevistarse con cada uno de los empleados de la empresa para conocer con
mayor profundidad el hardware y el software utilizado
Otro riesgo posible que se debe contemplar es el de cómo se esta verificando la seguridad
del propio software y la correcta configuración y/o actualización de los equipos esto se
debe verificar en sus licencias y respectivas, actualizaciones y nuevas versiones.
3. Objetivos de control
También se debe dejar por escrito de una manera muy clara y detallada cuales deben ser las
políticas o procedimientos que se tengan al momento de la adquisición de nuevo hardware
o software y las personas encargadas de verificar que estos controles se cumplan.
Se debe realizar una programación de actualización, y mantenimiento de todos los equipos
de tecnología con que cuente la empresa y dejar definido en que momento se realizaran
nuevas adquisiciones.
Se deben indicar los procedimientos apropiados para aplicar en la empresa y que estos se
cumplan de la mejor manera posible
Paso N 1:
• Cada usuario debe tener un usuario y contraseña segura para acceder a los equipos.
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando
mayúsculas y minúsculas).
o Los usuarios se desloguearan después de 5 minutos sin actividad.
• Se deberá establecer si los equipos realmente cuentan con esta característica y si lo
usuarios hacen uso de los mismos
• Los nuevos usuarios deberán ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relación laboral, se
deberá establecer si esto esta sucediendo en realidad, verificar el contrato de
confidencialidad.
• Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).
Luego del informe entregado, la empresa nos indica los cambios que ya se han hecho y los que
tienen ya pensados para realizar en un futuro próximo. Estos se detallan uno a uno. De la misma
manera se informa en este proyecto
Paso N 1:
• Cada usuario debe tener un usuario y contraseña segura para acceder a los equipos.
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando
mayúsculas y minúsculas).
o Todos los usuarios crearon claves mas seguras para el ingreso a sus PC.
• Se deberá establecer si los equipos realmente cuentan con esta característica y si lo
usuarios hacen uso de los mismos.
o Esto se validará luego de que se organicen de una mejor manera las
funciones de cada uno de ellos.
• Los nuevos usuarios deberán ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relación laboral, se
deberá establecer si esto esta sucediendo en realidad, verificar el contrato de
confidencialidad.
o Esto se encargará la persona de contratación, pero aun no se da una fecha
estimada de aplicación
• Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).
o Por parte de la persona de contratación queda pendiente el documento en el
cual se debe restringir el uso. Después de esto se validará la adquisición de
un software que administre esto.
https://www.isotools.cl/principales-causas-los-fallos-la-seguridad-la-informacion/
https://www.universidadviu.com/tres-tipos-seguridad-informatica-debes-conocer/
https://www.mintic.gov.co/portal/inicio/Micrositios/Soy-
ciberseguro/Consejos/18767:Contrasenas-seguras