EVALUACION DE PROCESOS INFORMATICOS

SEMANA 4

MARIANA ANGELA GONZALEZ MONTEALEGRE

12 DE SEPETIEMBRE
TECNICO DE NIVEL SUPERIOR EN INFORMATICA
DESARROLLO
Definición de Políticas de Seguridad
Informática

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas
establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de
la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos,
ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de
los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno
de sus miembros a reconocer la información como uno de sus principales activos, así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Por
tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el
uso y limitaciones de los recursos y servicios informáticos

c. Elementos de una Política de Seguridad

Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se
requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se
considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes

elementos:
a. Alcance de las políticas, incluyendo
facilidades, sistemas y personal sobre la cual
aplica.
b. Objetivos de la política y
descripción clara de los elementos involucrados en su
definición.
c. Responsabilidades por cada uno de los servicios y
recursos informáticos aplicado a todos los niveles de
la organización.
d. Requerimientos mínimos para
configuración de la seguridad de los sistemas que
abarca el alcance de la política.
e. Definición de violaciones y sanciones por no
cumplir con las políticas.
f. Responsabilidades de los usuarios con respecto a la
información a la que tiene acceso.
 Estrategia Estructura Similitud Costo Beneficio

Política de seguridad de la Revisar la situación de los Para poder implementarlo es

información recursos humano En ambos casos se busca necesario de un profesional
verificar si existen o no el cual solo se le pagaría una
políticas sobre cuanto sabe el vez para la implementación
personal, si está capacitado de las políticas y una
correcta implementación
sobre las posibles
podría ahorrar en millones
vulnerabilidades, cual
por perdida de información
informados están, etc. confidencial.
Política de respaldo de En este caso se busca Al igual que la anterior solo
información verificar si existen políticas o es necesario contratar a un
Entrevistas con el personal procesos para cuidar la profesional (podría hacer el
información y cuidar los mismo) y nos ahorraría
de procesos electrónicos equipos informáticos. millones en pérdidas de
información o posibles
ransomware que capturen
nuestra información.

Políticas de monitoreo de Esta parte es para verificar si Crear una política para el
cuentas con alto existen o no políticas sobre manejo de las cuentas no
Identificación del número de
privilegios el manejo de la información ayudara para evitar posibles
de los trabajadores. cambios o que personal no
personas y la distribución
autorizado ingrese o vea
por área: documentos confidenciales
que no corresponde a sus
funciones, por lo que tener
denominación de puestos
un profesional podría
salarios, nivel educacional.
ahorrarnos un costo alto
sobre posible venta de
información a la
competencia por parte de
algún trabajador interno.
Procedimiento de bloqueo o
desbloqueo de cuentas
administrativos
Revisar el grado de En esta pane se verifica si Bloquear a un usuario que ya
cumplimiento de los existen documentación clara no está vinculado a la
documentos para el cumplimiento de empresa es fundamental para
procesos necesarios y evitar posibles hackeos o que
administrativos. ingresen robar información
para vender a la
competencia, solo es
necesario contratar a un
profesional para hacer este
trabajo y ahorrarnos posibles
gastos o perdidas de clientes.

3.- Los métodos que hay que utilizar para las auditoria son:

1. Observar a los trabajadores en el desempeño de sus Labores y Funciones, en los cuales hay que tener en
cuenta los siguientes puntos:

- Cuantificar las funciones reales: analizar las funciones que realizan los trabajadores y como realizan las
funciones, lo cual después se evaluara para mejorar o implementar mejoras.

- Cuantificar la racionalización colectiva sobre la seguridad: es servirá para verificar cuanta seguridad manejan
las personas para que no sean víctimas fraudes, y así después implementar políticas y a qué nivel capacitar a las
personas.

-Generar reportes: verificar las líneas de reporte para asegurarse que se practican, Según las responsabilidades
asignadas y verificar que sus funciones son adecuadas al cargo.

-Inconvenientes de la observación: observar a la gente realizando sus funciones puede llevar a que la gente
cambie sus Habitos, por lo que se debe realizar entrevistas para verificar o tener certeza sobre si cuentan o no
con las destrezas técnicas para sus labores. Los controles que se deben verificar en una auditoria son:

A- Logs de las bases de datos: que nos explican el comportamiento de nuestros sistemas o programas, suelen
escribirse en ficheros. Aunque más adelante pueden ser examinados, estos archivos por sí solos no nos
permitirán detectar si se ha producido un error. verificar cuando y quien realizo alguna modificación, esto con el
fin de asegurarse si las acciones son necesarias o autorizadas.

4.- Para el caso de las técnicas, el muestreo

El muestreo en auditoría se define en la NIA-ES 530 como la “aplicación de los procedimientos de auditoría a
un porcentaje inferior al 100 % de los elementos de una población relevante para la auditoría, de forma que
todas las unidades de muestreo tengan posibilidad de ser seleccionadas con el fin de proporcionar al auditor una
base razonable a partir de la cual alcanzar conclusiones sobre la población”. El muestro no se debe confundir
con la selección de elementos específicos de la población pues los resultados de las pruebas en base a elementos
específicos no proporcionan evidencia en relación al resto de la población no seleccionada, mientras que la
finalidad del muestreo es, la de alcanzar conclusiones respecto del total de una población a partir de la
realización de pruebas sobre una muestra de la población
Utilizaría el muestreo variable cuando el auditor pretender alcanzar conclusiones sobre una población en
términos de importe monetario. El muestreo por unidad monetaria (MUM) y el muestreo de variables clásicas
son métodos de muestreo estadístico de variables. El MUM es el tipo de muestreo más utilizado en pruebas
sustantivas de detalle. Cuando realizamos este tipo de pruebas el objetivo del auditor es verificar si los saldos de
una cuenta o de una transacción están contabilizados adecuadamente. El MUM permite determinar el impacto
monetario de los errores encontrados. Al realizarse en este caso la selección de la muestra en función de los
importes monetarios, la probabilidad de que un ítem sea seleccionado depende de su valor monetario. Este
método permite extraer conclusiones sobre la muestra analizada que son extrapolables al total de la población.
REFERENCIAS BIBLIOGRÁFICAS
(Echenique, Auditoria en Informática, 2013).
(Hernández E. , 1997).