1

Políticas de Seguridad informática

Asignatura:
Auditoría de sistemas

Nelson Ariel Dorado Galeano

Juan Pablo Ávila Sales
Juan Camilo Gómez Montenegro
Julieth Camila Alvarado
Jesus Alberto Barba Cadena
María Alejandra Conto Quintero

Tutor:
Jimmy leonardo Velandia

11 de febrero de 2020
 2
Contenido
Introducción .................................................................................................................................. 3

Objetivos ........................................................................................................................................ 4

Conclusiones ................................................................................................................................ 10

Bibliografía: ................................................................................................................................. 11
 3
Introducción

Por medio de este trabajo mostramos la importancia de implementar políticas de seguridad

informática para una empresa, pues como sabemos hoy en día se presentan fraudes a través de

medios electrónicos, por tal motivo despejamos la importancia de aplicarla a vida diaria.
 4
Objetivos

Registrar de forma ordenada, sistemática y detallada los procedimientos y actividades

llevadas a cabo por el auditor de sistemas de una empresa.

Documentar el trabajo realizado para futuras referencias y consultas.

Proporcionar la base para la elaboración de informes.

Facilitar la planificación, ejecución, supervisión y revisión de los trabajos de auditoría.

 5
Uso de Internet y Wifi

Control de acceso (aplicaciones, base de datos, área del Centro de Cómputo, sedes de Las

Empresas filiales), Resguardo de la Información, Clasificación y control de activos, Gestión de

las redes, Gestión de la continuidad del negocio, Seguridad de la Información en los puestos de

trabajo, Controles de Cambios, Protección contra intrusión en software en los sistemas de

información, Monitoreo de la seguridad, Identificación y autenticación, Utilización de recursos

de seguridad, Comunicaciones, Privacidad.

Red Inalámbrica (WIFI)

Acceso a Funcionarios de Las Empresas:

 La red inalámbrica es un servicio que permite conectarse a la red Las Empresas e Internet sin

la necesidad de algún tipo de cableado. La Red inalámbrica le permitirá utilizar los servicios de

Red, en las zonas de cobertura de Las Empresas.

 Donde además de hacer uso del servicio de acceso a los sistemas, podrán acceder al servicio de

Internet de manera controlada.

 Las condiciones de uso presentadas definen los aspectos más importantes que deben tenerse en

cuenta para la utilización del servicio de red inalámbrica, estas condiciones abarcan todos los

dispositivos de comunicación inalámbrica (computadoras portátiles, IPod, celulares, etc.) con

capacidad de conexión Wireless.

 Los ingenieros de soporte tecnológico de la empresa, son los encargados de la administración,

habilitación y/o bajas de usuarios en la red inalámbrica de Las Empresas.

Identificación y activación

 Para hacer uso de la red inalámbrica Wifi, el solicitante necesariamente deberá ser miembro de

alguna de Las Empresas del grupo.

 6
 Como primer paso para hacer uso de este servicio, se deben de registrar los usuarios que

deseen la prestación del servicio mediante el llenado de un formulario y presentando el

dispositivo que se conectará a la red inalámbrica.

 Se debe registrar la dirección MAC de las tarjetas inalámbricas de todos y cada uno de los

dispositivos de comunicación.

 La activación de la cuenta se realizará por un periodo semestral como máximo; salvo casos de

fuerza mayor o anormalidades en el registro (usuarios inexistentes, apagones, fallas, etc.).

 Para conectarse a la red inalámbrica se deberá emplear autenticación tipo WPA2- AUTO-PSK

para lo cual los nombres de usuarios y contraseñas cambiarán periódicamente, con la finalidad de

proporcionarles seguridad en el acceso a los usuarios.

Uso de correo Electrónico corporativo

Correo Electrónico

 Los ingenieros de soporte tecnológico de la empresa se encargarán de asignar las cuentas a los

usuarios para el uso de correo electrónico en los servidores que administra.

 Para efecto de asignarle su cuenta de correo al usuario, el área de Recursos Humanos deberá

llenar una solicitud en formato establecido para tal fin y entregarlo al área de Tecnología, con su

firma y la del Gerente del área.

 La cuenta será activada en el momento en que el usuario ingrese por primera vez a su correo y

será obligatorio el cambio de la contraseña de acceso inicialmente asignada.

 La longitud mínima de las contraseñas será igual o superior a ocho caracteres.

Uso de dispositivos extraíbles

 7
Conjunto de reglas que permiten controlar acceso de aplicaciones y/o dispositivos a los recursos

del sistema, con el fin de prevenir riesgos de infección y/o seguridad; no se bloqueará el acceso a

dispositivos como CD/DVD-ROM, USB o discos externos. Políticas de Seguridad Informática

 Bloqueo a ejecución de aplicaciones desde CD-ROM/DVD-ROM y dispositivos de

almacenamiento removibles incluyendo Autorun.inf.

El usuario no deberá desinstalar la solución antivirus de su computadora pues ocasiona un riesgo

de seguridad ante el peligro de virus.

 Si el usuario hace uso de medios de almacenamiento personales, éstos serán rastreados por la

Solución Antivirus en la computadora del usuario o por el equipo designado para tal efecto.

 El usuario deberá comunicarse con los ingenieros de soporte tecnológico de la empresa en caso

de problemas de virus para buscar la solución.

 El usuario será notificado por los ingenieros de soporte tecnológico de la empresa en los

siguientes casos: o Cuando sea desconectado de la red con el fin evitar la propagación del virus a

otros usuarios de la dependencia. o Cuando sus archivos resulten con daños irreparables por

causa de virus. o Cuando viole las políticas antivirus.

Uso de Celulares y Tablets Corporativos de la empresa

Los equipos de cómputo (computadores, impresoras, portátiles, servidores, tablas y demás

elementos similares) de la Empresa serán utilizados únicamente por el personal autorizado para

el desarrollo de las actividades asignadas.

 Todo funcionario, de la Empresa es responsable del equipo que le sea asignado; el cual será

incluido a su inventario personal, de acuerdo con el procedimiento Egreso de Bienes de

Almacén.
 8
 Los dispositivos móviles (portátiles, tablets, celulares) propiedad de la empresa, no deben ser

desatendidos. El usuario deberá tomar las medidas de seguridad pertinentes que permitan

garantizar la integridad y confidencialidad del activo de información.

 En caso de presentarse una falla o problema de hardware o software en una estación de trabajo

o equipo portátil propiedad de la Empresa, el usuario responsable del mismo deberá informarlo

al Grupo Organización y Sistemas a través de la mesa de ayuda, para una asistencia especializada

y, por ningún motivo, deberá intentar resolver el problema.

Uso de escritorio y fondo de pantalla

Esta política se aplica a la protección de cualquier tipo de información, cualquiera de sus formas

y que pueden estar contenidas en escritorios, estaciones de trabajo, computadores portátiles,

medios ópticos, medios magnéticos, documentos en papel y en general cualquier tipo de

información que se utiliza para apoyar la realización de las actividades laborales. El objetivo es

reducir los riesgos de acceso no autorizado, pérdida o daño a la información durante y fuera de

las horas normales de trabajo.

 Todas las estaciones de trabajo deben usar el papel tapiz Institucional y contar con bloqueo de

sesión automática después de 2 minutos de inactividad, el cual, debe mostrar la pantalla de inicio

de sesión solicitando el ingreso del usuario y contraseña al ser reanudado.

 La información confidencial o sensible, cuando se imprime se debe retirar inmediatamente de

las impresoras.

 Toda vez que el usuario se ausente de su lugar de trabajo debe bloquear su estación de trabajo

para proteger el acceso a las aplicaciones y servicios de la empresa de personal no autorizado.

 Los datos sensibles almacenados en los equipos o sistemas de información, deberán

encontrarse ubicados en rutas que no sean de fácil acceso.

 9
 Al finalizar la jornada de trabajo, el usuario debe guardar en un lugar seguro los documentos y

medios que contengan información confidencial o de uso interno, así mismo debe cerrar la sesión

o salir de todas las aplicaciones correctamente y dejar los equipos apagados (no sólo el monitor).

Copias de Seguridad.

El Grupo de Sistemas debe respaldar con copias de seguridad la información Institucional que

sea de misión crítica, dichas copias deben ser tomadas y probadas de acuerdo al procedimiento

de Copias de Seguridad de la Información.

 El Grupo de Sistemas debe garantizar copia de la información de configuración contenida en la

plataforma tecnológica de la Empresa como equipos tipo servidores, equipos activos de red y

dispositivos de red inalámbricos, dichas copias deben ser tomadas y probadas de acuerdo al

procedimiento de Copias de Seguridad de la Información.

 El Grupo de Sistemas debe garantizar copia de los productos de software que administra,

dichas copias deben ser tomadas y probadas de acuerdo al procedimiento de Copias de Seguridad

de la Información.

 Los medios magnéticos que tienen información crítica deben ser almacenados en otra

ubicación diferente a las instalaciones donde se encuentra ubicada. El sitio externo donde se

resguardan dichas copias, solo tendrá acceso el Grupo Organización y Sistemas.

 Es responsabilidad exclusiva de los usuarios, la creación de copias de seguridad de archivos

usados, custodiados o producidos por estos. Para esto, deben tener en cuenta la Guía para

Proteger Información en Equipos Computacionales.

 10

Conclusiones

Observamos que el riesgo de los auditores se centra en concluir y expresar la opinión de

que los estados financieros tomados en su conjunto se presentan de manera razonable por tal

motivo se dictaminan e informan sobre el presente pasado y futuro de las empresas y poder

actuar de forma inmediata para no permitir errores que se vuelvan imposibles de resolver.
 11
Bibliografía:

Blanco L., Y. (2012). Auditoría integral: normas y procedimientos

(https://201950.aulasuniminuto.edu.co/mod/url/view.php? id=396856) (2a. ed.). Bogotá, CO:

Ecoe Ediciones. Mantilla B., S. A. (2015).

Camacho C., Procedimientos y políticas de los sistemas(2020). Retrieved 11 February 2020, from

http://www.uptc.edu.co/export/sites/default/gel/2017/manual_polit_seguridad.pdf.