Integrantes: Kevin Stuard | Jesús Ortiz

Matriculas: 2021-0347 | 2019-8124

Prof. Cibeles Tavaréz

Materia: Auditoria Informática

Seguridad De Información En una Empresa

1. ¿Existe un plan maestro para el desarrollo de aplicaciones de

sistemas? Pues en verdad no, no existe un plan maestro para el desarrollo
de aplicaciones de sistemas, ya que en verdad el departamento de
informática no está tan desarrollado en sí, la empresa que escogimos a
penas se está desarrollando, por lo que su departamento de informática no
es tan grande como se esperaría, aún así este departamento cumple con las
funciones asignadas y aportan bastante a la misma. Se espera que en un
futuro se puedan implementar más cosas a este departamento.

2. ¿Escribir la lista de proyectos a corto plazo y largo plazo? Pues claro

que hay proyectos para corto y largo plazo en este departamento, ya que
como cualquier departamento se busca hacer mejorías e implementar
nuevas funciones a la misma para que este departamento pueda
desarrollarse de manera exitosa.

Proyecto a corto plazo: Es la implementación de nuevas tecnologías y

software que permitan al equipo de este departamento trabajar de manera
más efectiva y precisa en poco tiempo, la implementación de estos
softwares deberá ser autorizadas por el encargado del departamento y por el
dueño de la empresa, pero se espera que gracias a esta el equipo
informático pueda acabar los proyectos en menor tiempo.
Proyecto a largo plazo: El proyecto a largo plazo es sumamente
ambicioso, este es hacer crecer el departamento al punto en que se pueda
hacer una nueva extensión del mismo, gracias a que el departamento de
informática estará sumamente ocupado para un futuro se espera que con la
implementación de un nuevo departamento de informática se logre cumplir
con todos los proyectos requeridos en un tiempo prudente.

3. ¿Quién autoriza los proyectos de desarrollo de sistemas? La persona

que autoriza los proyectos es el encargado del departamento de informática,
el cual toma las decisiones junto al encargado de la empresa en cuestión.
Todos los proyectos son autorizados por el encargado y luego son pasados
a su superior.

4. ¿Qué programa o software se utiliza para la administración de

proyectos informáticos? En este departamento se utiliza Microsoft
Project, el cual es un conjunto de herramientas para gestionar Proyectos y
Portafolios (PPM) por sus siglas en inglés, que pueden usarse como
Software As a Service (en la nube) o con instalación On Premises.

5. ¿Existe un control estricto de las copias de estos archivos? En verdad

si existe un conjunto de copias para cada archivo que se genere en este
departamento, esto nos permite tener un control de los mismos y tener una
manera de abalarnos o defendernos en cualquier situación que ocurra en la
empresa. Por lo que sí, tenemos un control estricto de las copias de los
distintos archivos, los cuales son guardados de manera segura y en donde
solo personas autorizadas pueden acceder a los mismos.

6. ¿Qué medio se utiliza para almacenarlos? Utilizamos un software

llamado Veeam, el cual es un programa de copia de seguridad y restauración.
Veeam es un software que nos permite realizar protección de datos muy
simple y rápida, sin necesidad de tener el PC inoperativo mientras se realiza la
copia de seguridad. Este programa nos permite realizar la copia de seguridad
en un entorno físico, en un entorno virtual y también directamente en el
Cloud. Este software nos permite protegernos contra el ransomware y otros
ciberataques que podríamos sufrir en nuestro equipo, haciendo copias de
seguridad inmutables y seguras por diseño.

7. ¿Se tiene un responsable, por turno, de los servidores de datos? No

hay responsable por turno de los servidores de datos, hay un conjunto de
personas las cuales tienen la accesibilidad al mismo, pero en verdad la
persona encargada de los mismos es el representante del departamento de
software, el cual tiene que velar por todo en el departamento.

8. ¿Se realizan auditorías periódicas a los medios de almacenamiento?

Claro que se realizan auditorías periódicas a los distintos medios, esto nos
permite tener un control y un conocimiento de estos medios de
almacenamiento, así sabemos en todo momento qué está sucediendo con
los mismos, cuáles son los datos almacenados, y si en algún punto hay
algún tipo de fraude o si faltan datos en los mismos. Las auditorías
periódicas son un punto sumamente importante en nuestra empresa, por lo
que lo tomamos en serio en todo el sentido de la palabra.

9. ¿El lugar donde se ubica el centro de cómputo está seguro de

inundaciones, robo o cualquier otra situación que pueda poner en
peligro los equipos? Pues en verdad si están seguros de cualquier tipo de
catástrofe, ya que a la hora de desarrollar el plano arquitectónico de la
empresa se tomó todo eso en cuenta, por lo que el área de informática y
todos los ordenadores de la misma están protegidos para cualquier tipo de
catástrofe.
10. ¿Cuánto Invierte la empresa para estos equipos? Es necesario que
se lleve este tipo de preguntas, ya que ayuda a presupuestar a corto y largo
plazo los equipos de seguridad que servirán para la empresa.

11. ¿Los Empleados son Capaces de detectar un virus/malware? Es de

vital importancia que todos los empleados de la empresa tengan la
formación necesaria para identificar posibles ataques y virus.

12. ¿Se cuenta con un plan de prevención de riesgos informáticos? Es

bien sabido que hoy en día todos pueden ser victimas de ciberataques por lo
que esto pueden causar la quiebra y el robo de los datos importantes de la
empresa.

13. ¿Los empleados tienen la formación que se necesita para prevenir

errores de seguridad informática? Es importante dotar de herramientas
preventivas a cada uno de los miembros de la empresa, para combatir
cualquier ataque o fraude cibernético.

14. ¿Cómo se protegen los datos de la empresa? Nuestros datos y

procesos estarán en sus instalaciones. El proveedor debería mostrarnos: las
medidas de control de acceso físico y lógico (roles, privilegios ), que tiene
implantados, los mecanismos de autenticación en uso y su cumplimiento
con criterios de buenas prácticas.

15. ¿Qué situaciones sabemos dentro de la empresa que pueda causar

vulnerabilidad en la seguridad de la información? Es una buena
pregunta, ya que nos permite evaluar cuales serían esas situaciones que
podrían causar ese agujero, y un ejemplo de estos; la rotación del personal.

16. ¿Qué políticas de seguridad básica tiene la empresa? Esta pregunta

es bien importante, ya que, si la empresa maneja información sensible,
prácticamente estás obligado a tener un protocolo de seguridad auditable
bajo alguna norma. Haciendo esto aseguraremos la integridad de nuestra
información.

17. ¿Los sitios web que utiliza la empresa está protegido? El origen de
muchos ciberataques puede estar en algo tan sencillo como una infección a
un site WordPress que no ha sido actualizado.

Si tenemos una web corporativa, conviene asegurarse que esté aislada del
resto de nuestra estructura y por supuesto, actualizada con los últimos
parches de seguridad que se hayan lanzado.