CONCENTRADO EN LOS MANTENIMIENTOS Y CLÁUSULAS.

PRESENTADO POR:
WILMER ANDRES AROCHA RICO
JOSÉ EDUARDO HERNÁNDEZ POLANCO

PRESENTADO A:
ING. ROBERT ANTONIO GUZMAN CAVADIA

FUNDACIÓN UNIVERSITARIA ÁREA ANDINA

AUDITORIA DE LA SEGURIDAD
INGENIERÍA DE SISTEMAS
2019
 INTRODUCCIÓN

El proceso de auditoria informática dentro de una organización comprende un activo

en su implementación, cada vez más; por la alta competitividad y exigencia de los
inversionistas o clientes son más comunes las auditorias con el fin único de mejorar
los servicios y el prestigio de las organizaciones, además de brindar mayor
tranquilidad a los clientes sobre el manejo de sus datos y activos dentro de la misma.
Una de las áreas de gran relevancia, que debemos tener presente en vigilar son los
contratos en los mantenimientos y las cláusulas que estos contengan; este es el
tema que analizaremos aplicado a una pequeña organización (C.R. Buenavista)
También encontraremos el proceso de recopilación de información pertinente de
esta organización y por último se propone un formato sobre los lineamientos y
parámetros establecidos dentro de la auditoria de la seguridad informática.
AUDITANDO LOS CONTRATOS DE MANTENIMIENTO

1. Indagar y recopilar información pertinente de una organización en un

área determinada (puede ser el área donde se desempeña) sobre los
contratos de mantenimiento.
Se realiza en primer lugar una auditoria inicial con el objetivo de conocer y evaluar
el estado de los computadores que están conectados, los servidores, así como la
infraestructura de comunicaciones y demás detalles de la red informática de la
organización CREM. Y notamos muchas falencias en la organización en el área
de seguridad informática. no cuenta con un Sistema de Gestión de Seguridad
Informática, no existen políticas de seguridad informática ni de la información
implementadas en el interior de esta organización, nos explicó el Señor Gerente.
La organización CREM no posee contratos de mantenimiento ni preventivos ni
correctivos con ninguna empresa de Servicio Técnico, las tareas de reparación
de equipos las realiza un particular y se le solicita el servicio cuando se presentan
las fallas en los dispositivos, haciendo este solo labores de mantenimiento
correctivas.
Por esta razón se le recomienda la implementación de un Sistema de Seguridad
Informático Basado en la norma ISO/IEC 127000.
2. Analizar los contratos de mantenimiento en cuanto a las
actualizaciones, cambios y entrada en vigor de las cláusulas.
A continuación, se proponen algunas cláusulas que se deben tener en cuenta al
momento de hacer un contrato de Mantenimiento de Equipos de cómputo, de
hardware y de software.
Señor Gerente CREM.

CLÁUSULA 1. DEFINICIONES

1.1. Hardware: Son todos los componentes físicos que hacen parte del
sistema informático.
1.2. Software: Conjunto de programas que se ejecutan en un dispositivo
informático.

1.3. Mantenimiento Preventivo: Mantenimiento que se realiza periódicamente en

los equipos.
1.4. Mantenimiento Correctivo: Mantenimiento que se realiza por parte de la
empresa contratada para solucionar problemas físicos o de software de los
sistemas.
CLÁUSULA 2. OBJETIVO
Brindar servicios de mantenimiento preventivo y correctivos a todos los equipos
que hacen parte de este contrato.
CLÁUSULA 3. PERIODOS DE VIGENCIA

Es la vigencia que tendrá el contrato desde el día de su firma, considerándose a

partir de esta fecha, siempre que las partes no soliciten su suspensión o
cancelación.

CLÁUSULA 4. CONDICIONES DEL SERVICIO

Constituye el objeto del presente Contrato la prestación por parte de la empresa

contratada para los servicios de mantenimiento preventivos y correctivos.

5. EXCLUSIONES

5.1. Hardware
5.1.1. Servicios de Mantenimiento solicitados a consecuencia de cualquier índole
ajeno a la empresa contratada

5.2. Software

5.2.1.- Prestar Servicios de Mantenimiento Correctivo a problemas ocasionados

por Software no suministrado por la empresa contratada.
CLÁUSULA 6. ACCESO AL EQUIPO

El usuario suministrará el acceso hasta los componentes objeto del presente

Contrato, al personal enviado por la empresa contratada para los servicios de
mantenimiento, perenemente que sea preciso para cualquiera de las acciones
examinadas en este Contrato.
CLÁUSULA 9. AMPLIACIÓN, CANCELACIÓN ÍTEMS BAJO CONTRATO

9.1.- En el caso de que cliente adquiera Hardware o Software adicionales durante

la vigencia de este Contrato, la empresa contratada con 60 días de antelación a la
finalización de la garantía de estos enviará el Anexo correspondiente a cliente,
haciendo constar la fecha de entrada en vigor, precio de los productos y cualquier
otra información relevante.
9.2.- El Cliente informara por escrito a la empresa contratada para los servicios de
mantenimiento, al menos con 30 días de antelación, si quiere dar de descenso en
el actual Contrato algún componente de este.
 No se obtendrán crear bajas arbitrarias de un producto de Software del cual haya
varias licencias activas en el mismo local, (salvo en casos excepcionales y
solicitando dichas bajas mediante escrito donde CREM certifique las razones que
justifiquen tal medida), es decir, todas las licencias de un mismo producto de
Software forzosamente deben de estar bajo el mismo tipo de cobertura.
CLÁUSULA 10. PAGOS Y PRECIOS

10.1.- Los precios de los Servicios de Mantenimiento de los equipos y productos

contratados, serán facturados por trimestres naturales adelantados durante la
primera semana del trimestre, y deberán ser abonados por CREM a los” X” días de
la fecha de emisión de la factura.

3. Una vez analizados los contratos de mantenimiento y clausulas dentro de la

organización, establecer mediante un formato (descargado de internet - de
su preferencia) los lineamientos y parámetros establecidos dentro de la
auditoria de la seguridad informática.
La Política de seguridad: debe incluir los objetivos de seguridad de la información
de la organización, tener en cuenta los requisitos de negocio, legales y
contractuales en cuanto a seguridad, estar alineada con la gestión de riesgo
general, establecer criterios de evaluación de riesgo y ser aprobada por la
Dirección
Asignación de responsabilidades de seguridad: En toda actividad debe existir un
responsable. Durante el proceso de certificación cada tarea debe estar definida
para que una o unas personas de la organización la realicen
Formación y capacitación para la seguridad: debe realizarse una concienciación
de todo el personal en lo relativo a la seguridad de la información.
Registro de incidencias de seguridad: durante el proceso, debe realizarse un
registro de los eventos casuales (incidencias), y determinar su impacto y
frecuencia. Determinar controles de detección y respuesta a dichos incidentes.
Gestión de continuidad del negocio: el SGSI definido, debe estar enfocado en
mantener la continuidad del negocio, por lo tanto, este objetivo no puede perderse
en el camino de implementación del sistema de seguridad
Salvaguarda de registros de la organización: la información hace parte de los
activos de la organización, por lo tanto, ésta debe preservarse y cuidarse como tal.
Los registros de la organización ya sea del negocio o relacionados con el sistema
de seguridad deben cumplir con las propiedades fundamentales: confidencialidad,
integridad y disponibilidad.
Protección de datos personales: hacen parte de la información de la organización
y por ello deben ser protegidos
Derechos de propiedad intelectual: contar con las licencias y/o permisos para el
uso de software en la organización

Scientia et Technica Año XVII, No 47, abril de 2011.

Responsabilidades del auditor:

• Velar por el cumplimiento de la política de seguridad de la información en

la organización.

• Identificar y reportar posibles debilidades en los procesos, procedimientos

y recursos tecnológicos que permitan la materialización de riesgos
asociados con la información.

Responsabilidades de la Organización en general:

• Brindar niveles razonables de seguridad a la información que los clientes

entregan a la empresa al realizar compra de productos o servicios por
Internet, reduciendo la materialización de posibles amenazas que
conlleven a la divulgación o modificación no autorizada de dicha
información.
• Garantizar el cumplimiento de las diferentes normativas nacionales en
materia de Seguridad de la información y protección de datos personales
en los diferentes países en los que tiene presencia la empresa.
• Asegurar los procedimientos manuales o automatizados que involucran
intercambio de información de clientes con los terceros contratados para la
prestación del servicio de atención telefónica de quejas.
• Aumentar las ventas, el posicionamiento de la marca y mejorar la
experiencia de compra de los clientes generando una sensación real de
seguridad, confianza y respaldo al solicitar productos o servicios de la
empresa por canales no presenciales.
• Ofrecer un canal estable y seguro que permita a los clientes relacionarse
con la marca y adquirir sus productos o servicios a cualquier hora del día,
cualquier día del año.

Recomendaciones/Plan de Mejora

1. Acceso a las aplicativos sin autorización: Se ha detectado acceso a las

aplicaciones por parte de usuarios no autorizados.
• Uso de dispositivos biométricos para la autenticación
 • Restricciones por dirección IP

2. Vulnerabilidades en la web: Se ha detectado debilidades web accediendo

indebidamente a información de la organización.
• Uso Certificados (ssl).
• Limitación del tiempo de conexión
3. Falta de pedagogía: se percibió la necesidad de incrementar la formación
de los empleados en cuanto a los temas de seguridad informática. El
componente humano es importante para advertir los ciberataques.
• Formar personales concientizados en las medidas de seguridad
concernientes a la informática.
• Contratación de un Profesional en Ingeniería de Sistemas con
conocimiento amplio en el tema.
4. Acciones ante incidentes de seguridad: Los incidentes no son evitables,
pero si se pueden mitigar al máximo
• Implementación de medidas de respuestas
• Uso de medidas de detección de incidentes

5. Efectividad de cambios: Se ha detectado dificultad de algunos

trabajadores para adatarse al uso de nuevos Programas y dispositivos.
• Capacitación para el correcto uso de los nuevos Software
implementados.
• Simulacros antes de la implementación.

6. Control de acceso a la red: se detectó acceso a la red de personas no

autorizadas.
• Crear Lista de Control de Acceso ACL.
• Identificación de equipos en la red.

7. Salidas de información: Es uno de los riesgos más comunes.

• Asignar privilegios a los usuarios según corresponda.
• Mantener un proceso de autorización y registro.

8. Fraude y robo de información: Se detectó perdida de la información en

algunos usuarios.
• Uso de Software antivirus
• Uso de Firewalls
9. Falta de planificación: Por falta de planificación se pone en riesgo el activo
mayor en sí, la organización podría estar en decaída.
• La creación de un grupo de trabajo orientado a la planificación de
 metas y objetivos.
• Entre otras cosas Implementar un Sistema de Gestión de Seguridad
Informática.

10. Software seguro: El Software implementado debe suplir todos los

requerimientos en su naturaleza, pero de igual forma este debe ser
seguro.
• Utilización de Software con licencia.
• Instalaciones de las Actualizaciones y parches de seguridad.
 CONCLUSIONES

La actualidad demanda más y mejores servicios por parte de las organizaciones,

por esta razón las auditorias informáticas desempeñan una función muy relevante
puesto pone al descubierto aquellos vacíos que se desconocen en ocasiones dentro
de algunas entidades, en cuanto a los sistemas de gestión de seguridad
informáticos las auditorias sirven de escáner para el análisis y estudio de los
procesos que este vigila en el buen funcionamiento de la empresa.
La auditoría informática abarca un grupo de procedimientos evaluativos no solo de
los equipos de cómputo, sino también los sistemas de información en general, que
estos sean seguros y confiables. Además de apuntar a la eficacia y eficiencia de los
procesos llevados a cabo en la organización, de los mismos usuarios dentro de la
organización.
 BIBLIOGRAFIA

• https://www.mineducacion.gov.co/cvn/1665/articles189503_archivo_doc.do
c
• http://www.insht.es/InshtWeb/Contenidos/Documentacion/FichasTecnicas/
NTP/Ficheros/4 01a500/ntp_460.pdf
• https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-
informacion.pdf
• http://www.bib.uia.mx/tesis/pdf/014663/014663_04.pdf
• https://instituciones.sld.cu/dnspminsap/files/2013/08/Metodologia-PSI-
NUEVAProyecto.pdf https://areandina.instructure.com/courses/1919
• http://openaccess.uoc.edu/webapps/o2/bitstream/10609/35821/4/ajacomel
_TFM_0614_AN EXO2.docx