Asignatura:

Auditoria de sistemas

NRC 17196

Docente:
Lina Yineth Yara Triana

Política de seguridad de los sistemas de información

Presenta:
María Gisedt Reyes Alvarez ID 569677
Harold Andres Marroquin Veloza ID: 568609
Lizeth Carolina Fara Torres ID: 429210
Monica Daniela Angarita Salazar ID: 477117

Corporación Universitaria Minuto de Dios

Facultad de ciencias administrativas y empresariales
Contaduría pública - Octavo semestre
Ibagué-Tolima
2020
CONTENIDO

Introducción 3

Propósito 4

Política de seguridad de la información 4

Generalidades 5

Alcance 5

Objetivos 5

Responsabilidad 5

Identificación, clasificación y valoración de activos de información 7

Política de clasificación y manejo de la información 7

Seguridad Física y del entorno 7

Administración de las comunicaciones y operaciones 8

Control de Acceso 8

Adquisición, Desarrollo y Mantenimiento de Sistemas Software 8

Términos y Definiciones 8
Introducción

Actualmente en la entidad FERRE SUR SA el activo contiene valiosa información de la

seguridad en los sistemas y requiere contar con medidas de alto nivel que permitan el control y
administración efectiva del desarrollo de las políticas con respecto al manejo de los datos. En la
institución anteriormente mencionada, se presentan amenazas de seguridad en los sistemas, redes
de información y comunicación.

Con la elaboración y mejoramiento de la presente política de seguridad de la información para la

entidad FERRE SUR SA se realizan en base las leyes y demás regulaciones aplicables se
establece el proceso o tratamiento pertinente con la información derivada en el transcurso del
desarrollo acorde a los objetivos misionales.
Propósito

El presente documento puede ser utilizado por la entidad con la finalidad de mitigar el riesgo en
sus activos de información. Además, siendo divulgada con los colaboradores de la entidad para
efectuar su cumplimiento para todos aquellos dentro del alcance sin excepción.
Política de seguridad de la información

Generalidades

La información resguardada en los activos tiene un valor para la entidad y por ende requiere un
tratamiento adecuado y acorde a sus objetivos misionales. Por tanto, el debido control y
aplicación de políticas proporciona mejoras continuas en los activos de la información, así mismo
ayudando en la mitigación de los daños a los que la entidad se encuentra expuesta y asegurando
el eficiente cumplimiento de las funciones asignadas.

Alcance

Esta política es de aplicación por todos los usuarios que estén asignados a desempeñarse en
manejo de los recursos, procesos externos o internos que vinculen contratos con terceros,
dependencia de la entidad FERRE SUR SA este proceso se gestiona en búsqueda de una
adecuada protección y calidad de la información

Objetivos

▪ Resguardar la información de la entidad FERRE SUR SA con la ayuda del desarrollo de

estrategias.
▪ Gestionar procesos que ayuden en la mitigación y tratamiento de las amenazas que enfrenta
posiblemente la entidad.
▪ Mantener la política de seguridad de la información actualizada y vigente frente a los
procesos determinado en base a los riesgos evidenciados.
▪ Instruir a funcionarios para la correcta aplicación de las estrategias establecidas en el
tratamiento de los recursos (activos de información)
Responsabilidad

La política de seguridad de la información se hace de obligatorio cumplimiento por parte de

todos los funcionarios o usuarios e independiente de la dependencia que presenta y funciones que
desempeñe en la entidad.

La directiva de FERRE SUR SA aprueban esta política de seguridad en la información y son

responsables de la autorización de sus modificaciones.

El Comité de gerencia se hace responsable de:

▪ Revisar y realizar las pertinentes actualizaciones frente a las funciones y/o

responsabilidades relacionadas a la seguridad de información con relación a todos los
departamentos operacionales.
▪ Asigna los activos de información y los usuarios directos a los activos de información.
▪ Promover la cultura de cumplimiento de la política de seguridad de la información con
todos los usuarios de la entidad.
▪ Dirigir a los funcionarios en finalidad de obtener un eficiente desarrollo de la política de
seguridad a la información implementada.
▪ Revisar el desarrollo de la política de seguridad en la información y así mismo llevar
control frente a sus incumplimientos.

El Comité de seguridad de la información será responsable de:

● Elaborar, conservar, actualizar, mejorar y difundir el manual de “Responsabilidades

Personales para la Seguridad de la Información.

El Grupo responsable de Seguridad Informática será responsable de:

▪ Cumplir funciones relacionadas a la seguridad de los sistemas de información.

▪ Revisión del cumplimiento de las políticas frente a la seguridad de información.
 ▪ Analizar y llevar control en los incidentes que se presenten en la entidad referente al
manejo de las redes de información.

La Oficina de control interno será responsable:

● Desarrollar opiniones continuas frente a las prácticas e incidentes presentadas para un

óptimo mejoramiento.
● Practicar auditorías periódicas sobre los sistemas y actividades frente a los activos de
información.
● Informar a la gerencia las medidas de seguridad de la información.

Los Usuarios externos serán responsables de:

● Deben aceptar por escrito los términos y condiciones de uso de la información.

● Las cuentas de usuarios deben ser perfiles específicos y actuar con profesionalismo.

Identificación, clasificación y valoración de activos de información

Los usuarios de la información en cada departamento actuarán bajo supervisión del Comité de
seguridad de la información. Deben realizar inventarios de los activos de la información que
están en su posesión teniendo presente su clasificación, valoración, ubicación, acceso y
disponibilidad que compone a los datos de información.

Política de clasificación y manejo de la información

Seguridad Física y del entorno

Se debe designar cada usuario e igualmente realizar su respectiva asignación de funciones con
relación al manejo de los equipos de comunicación y computación en la entidad. Dichos usuarios
realizarán controles manteniendo normas de cuidado, uso y manejo de la información.

Los equipos que contengan información deben encontrarse en un lugar seguro y protegido, a
continuación, algunos controles:

● Controles de acceso y seguridad físicos.

● Detección de incendio e inundaciones.
● Sistemas eléctricos regulados y respaldado por fuentes (UPS).
● Controles de humedad.
● Bajo riesgo en daño por roedores.

Toda la información obtenida en el desarrollo de la actividad debe encontrarse de manera

digital y su manejo debe estar aprobada por el grupo responsable de seguridad informática quien
define límite de responsabilidad en las dependencias. No se permite el alojamiento de
información en unidades externas no autorizadas por escrito por el Comité de seguridad de la
información.

Todos los equipos cómputos y de comunicación se deben encontrar alimentados y regulados

por fuentes (UPS).

Deben presentar soportes de aseguramiento en hardware y software.

La infraestructura debe contar con controles y mantenimientos adecuados al desempeño que

desarrolla dentro de la entidad.

Los departamentos de trabajo deben estar acorde al desempeño que se realizará en la entidad, e
igualmente contando con personal capacitado con esta política.

La información que se requiera por política alojar de forma física debe tener un tratamiento y
proceso de conservación de acuerdo los estándares y/o políticas que elabore y emita el Comité de
seguridad de la información.
 Los departamentos se encuentran en la responsabilidad de cumplir las normas definidas para la
creación de usuarios y la manipulación de copias de seguridad.

Administración de las comunicaciones y operaciones

· Procedimientos que cubre los tipos de incidentes de seguridad (pérdidas de servicio,

datos, de confidencialidad.

· Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto

con la empresa, que cumpla los mismos requisitos de la seguridad para garantizar la
protección de la información de la empresa.

· Es sencillamente regular el papel de estas terceras partes y lograr que se comprometan a

cumplir los mismos estándares de gestión de las comunicaciones y operaciones que se dan en
la empresa.

· Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay
disponible una adecuada capacidad de procesamiento y almacenamiento.

· Deben establecerse criterios de aceptación para nuevos sistemas de información,

actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de
su aceptación.

· Proteger la integridad del Software y la Información.

· Política para el cumplimiento con licencias de software y prohibir el uso de software No

autorizado.

· Política para proteger contra los riesgos asociados al obtener archivos o software de redes
externas.
 · Instalación y actualización regular de Antivirus y software escaneador de computadoras
como una medida preventiva.

· Mantener la integridad y disponibilidad del procesamiento de la información y servicios

de comunicación.

· Hacer copias en forma regular de la información esencial del negocio y del software
como Documentación de los Backups.

· Asegurar la protección de la información en las redes así como de su infraestructura.

· Los administradores de la red deben implementar controles que aseguren a los datos en la
red de accesos no autorizados.

· También se deben implementar controles adicionales para proteger los datos sensitivos
que pasan sobre redes públicas.

· La documentación de sistemas puede contener información sensitiva por lo que debe ser
almacenada con seguridad.

Control de Acceso
El control de acceso se establece limitando el uso de aplicaciones de los computadores lo cual
sirve para identificar el usuario y por lo tanto con este dato el sistema, otorgará niveles de acceso
en las aplicaciones, es decir niveles como los siguientes: solo lectura, lectura modificación,
creación, eliminación de registros, ejecutar, copiar etc. Acceso a los sistemas utilizando
tecnología biométrica.

se realiza una revisión de los diagramas de red los cuales muestran los puntos de conexión entre
computadores, terminales y equipos periféricos como los módem. Esta información es importante
porque se puede enlazar las direcciones físicas con los accesos lógicos de terminales, actualmente
existe software especializado de administración de redes que proveen esta información.

Las rutas de acceso son caminos de lógicos de acceso a información computarizada, estas
empiezan generalmente con un terminal y terminan con los datos accesados. A lo largo de este
camino existen componentes de hardware y software. Conocer esta ruta es importante porque
permite determinar puntos de seguridad física y lógica la secuencia típica de los caminos lógicos
como terminales, el software de telecomunicaciones, el software de de procesamiento de
transacciones, el software de aplicación y el software de administración de bases de datos.

Adquisición, Desarrollo y Mantenimiento de Sistemas Software

Con base en el desarrollo de las actividades económicas de la empresa el uso de las TIC
(tecnologías de la información y la comunicación) se hacen indispensables para el buen proceder
de sus actividades, los sistemas de software deberán ser obtenidos de terceros con su respectiva
legalidad.

La oficina de sistemas estará encargada del desarrollo del sistema de software correspondiente
para la empresa, este deberá contener las pautas, técnicas y tratamientos, que cumplan con la
función de mitigar los riesgos informáticos para con los activos de la información.

Términos y Definiciones

Política: es una actividad orientada en forma ideológica a la toma de decisiones de un grupo para
alcanzar ciertos objetivos.
Información: es un conjunto de datos que tuvieron un previa supervisión y pueden ser utilizada
en la toma de decisiones.

Activo de información: en el contexto de la norma ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”.

Evidencia de auditoría: Las pruebas que obtiene el auditor durante la ejecución de la auditoría,
que hace patente y manifiesta la certeza o convicción sobre los hechos o hallazgos que prueban y
demuestran claramente éstos, con el objetivo de fundamentar y respaldar sus opiniones y
conclusiones.

Comité de Seguridad de la Información: Está integrado por diferentes representantes de la

entidad FERRE SUR SA con la finalidad de proporcionar y dirigir estrategias para mejorar el
sistema de gestión de seguridad de la información.

Grupo responsable de Seguridad Informática: está integrado por representantes que manejan
información sensible que se encargan de supervisar el cumplimiento de la política emitida.

Limitaciones al alcance de la auditoría: Factores externos a la unidad de auditoría que hayan

impedido al auditor obtener toda la información y explicaciones que considere necesarias para
cumplir con los objetivos de su trabajo.

Supervisión: Requisito esencial en la auditoría que conduce a un adecuado control y dirección en

todas las etapas, para que asegure que los procedimientos, técnicas y pruebas que se realizan, se
vinculen en forma competente y eficaz con los objetivos que se persiguen.

Técnicas de auditoría: Métodos que el auditor emplea para realizar las verificaciones planteadas
en los programas de auditoría, que tienen como objetivo la obtención de evidencia.
Conclusiones

El anterior trabajo fue realizado en base a conocimientos adquiridos durante el trayecto del
curso de auditoría de sistemas e igualmente fue apoyado en manuales ya realizados los cuales
tienen su respectivo enlace en la webgrafía del presente. siendo necesario, para el exitoso
desarrollo de la auditoría implementada en la entidad FERRE SUR SA proporcionándole
políticas enfocadas al resguardo de los activos de información debido a prevención y mitigación
de riesgos según las amenazas con las que la entidad cuenta actualmente.

Webgrafía

El anterior trabajo está realizado en base a conocimientos previamente adquiridos e igualmente

en información obtenida de los siguientes link:

https://portal.icetex.gov.co/Portal/docs/default-source/documentos-el-icetex/biblioteca/manuales-
de-la-entidad/m11-manual-politicas-seguridad-digital-v4.pdf

https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf