Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de sistemas
NRC 17196
Docente:
Lina Yineth Yara Triana
Presenta:
María Gisedt Reyes Alvarez ID 569677
Harold Andres Marroquin Veloza ID: 568609
Lizeth Carolina Fara Torres ID: 429210
Monica Daniela Angarita Salazar ID: 477117
Introducción 3
Propósito 4
Generalidades 5
Alcance 5
Objetivos 5
Responsabilidad 5
Control de Acceso 8
Términos y Definiciones 8
Introducción
El presente documento puede ser utilizado por la entidad con la finalidad de mitigar el riesgo en
sus activos de información. Además, siendo divulgada con los colaboradores de la entidad para
efectuar su cumplimiento para todos aquellos dentro del alcance sin excepción.
Política de seguridad de la información
Generalidades
La información resguardada en los activos tiene un valor para la entidad y por ende requiere un
tratamiento adecuado y acorde a sus objetivos misionales. Por tanto, el debido control y
aplicación de políticas proporciona mejoras continuas en los activos de la información, así mismo
ayudando en la mitigación de los daños a los que la entidad se encuentra expuesta y asegurando
el eficiente cumplimiento de las funciones asignadas.
Alcance
Esta política es de aplicación por todos los usuarios que estén asignados a desempeñarse en
manejo de los recursos, procesos externos o internos que vinculen contratos con terceros,
dependencia de la entidad FERRE SUR SA este proceso se gestiona en búsqueda de una
adecuada protección y calidad de la información
Objetivos
El Grupo responsable de Seguridad Informática será responsable de:
Los usuarios de la información en cada departamento actuarán bajo supervisión del Comité de
seguridad de la información. Deben realizar inventarios de los activos de la información que
están en su posesión teniendo presente su clasificación, valoración, ubicación, acceso y
disponibilidad que compone a los datos de información.
Se debe designar cada usuario e igualmente realizar su respectiva asignación de funciones con
relación al manejo de los equipos de comunicación y computación en la entidad. Dichos usuarios
realizarán controles manteniendo normas de cuidado, uso y manejo de la información.
Los equipos que contengan información deben encontrarse en un lugar seguro y protegido, a
continuación, algunos controles:
Los departamentos de trabajo deben estar acorde al desempeño que se realizará en la entidad, e
igualmente contando con personal capacitado con esta política.
La información que se requiera por política alojar de forma física debe tener un tratamiento y
proceso de conservación de acuerdo los estándares y/o políticas que elabore y emita el Comité de
seguridad de la información.
Los departamentos se encuentran en la responsabilidad de cumplir las normas definidas para la
creación de usuarios y la manipulación de copias de seguridad.
· Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay
disponible una adecuada capacidad de procesamiento y almacenamiento.
· Política para proteger contra los riesgos asociados al obtener archivos o software de redes
externas.
· Instalación y actualización regular de Antivirus y software escaneador de computadoras
como una medida preventiva.
· Hacer copias en forma regular de la información esencial del negocio y del software
como Documentación de los Backups.
· Los administradores de la red deben implementar controles que aseguren a los datos en la
red de accesos no autorizados.
· También se deben implementar controles adicionales para proteger los datos sensitivos
que pasan sobre redes públicas.
· La documentación de sistemas puede contener información sensitiva por lo que debe ser
almacenada con seguridad.
Control de Acceso
El control de acceso se establece limitando el uso de aplicaciones de los computadores lo cual
sirve para identificar el usuario y por lo tanto con este dato el sistema, otorgará niveles de acceso
en las aplicaciones, es decir niveles como los siguientes: solo lectura, lectura modificación,
creación, eliminación de registros, ejecutar, copiar etc. Acceso a los sistemas utilizando
tecnología biométrica.
se realiza una revisión de los diagramas de red los cuales muestran los puntos de conexión entre
computadores, terminales y equipos periféricos como los módem. Esta información es importante
porque se puede enlazar las direcciones físicas con los accesos lógicos de terminales, actualmente
existe software especializado de administración de redes que proveen esta información.
Las rutas de acceso son caminos de lógicos de acceso a información computarizada, estas
empiezan generalmente con un terminal y terminan con los datos accesados. A lo largo de este
camino existen componentes de hardware y software. Conocer esta ruta es importante porque
permite determinar puntos de seguridad física y lógica la secuencia típica de los caminos lógicos
como terminales, el software de telecomunicaciones, el software de de procesamiento de
transacciones, el software de aplicación y el software de administración de bases de datos.
Con base en el desarrollo de las actividades económicas de la empresa el uso de las TIC
(tecnologías de la información y la comunicación) se hacen indispensables para el buen proceder
de sus actividades, los sistemas de software deberán ser obtenidos de terceros con su respectiva
legalidad.
La oficina de sistemas estará encargada del desarrollo del sistema de software correspondiente
para la empresa, este deberá contener las pautas, técnicas y tratamientos, que cumplan con la
función de mitigar los riesgos informáticos para con los activos de la información.
Términos y Definiciones
Política: es una actividad orientada en forma ideológica a la toma de decisiones de un grupo para
alcanzar ciertos objetivos.
Información: es un conjunto de datos que tuvieron un previa supervisión y pueden ser utilizada
en la toma de decisiones.
Activo de información: en el contexto de la norma ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”.
Evidencia de auditoría: Las pruebas que obtiene el auditor durante la ejecución de la auditoría,
que hace patente y manifiesta la certeza o convicción sobre los hechos o hallazgos que prueban y
demuestran claramente éstos, con el objetivo de fundamentar y respaldar sus opiniones y
conclusiones.
Grupo responsable de Seguridad Informática: está integrado por representantes que manejan
información sensible que se encargan de supervisar el cumplimiento de la política emitida.
Técnicas de auditoría: Métodos que el auditor emplea para realizar las verificaciones planteadas
en los programas de auditoría, que tienen como objetivo la obtención de evidencia.
Conclusiones
El anterior trabajo fue realizado en base a conocimientos adquiridos durante el trayecto del
curso de auditoría de sistemas e igualmente fue apoyado en manuales ya realizados los cuales
tienen su respectivo enlace en la webgrafía del presente. siendo necesario, para el exitoso
desarrollo de la auditoría implementada en la entidad FERRE SUR SA proporcionándole
políticas enfocadas al resguardo de los activos de información debido a prevención y mitigación
de riesgos según las amenazas con las que la entidad cuenta actualmente.
Webgrafía
https://portal.icetex.gov.co/Portal/docs/default-source/documentos-el-icetex/biblioteca/manuales-
de-la-entidad/m11-manual-politicas-seguridad-digital-v4.pdf
https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf