Auditoría a la empresas.a.
Páginas: 14 (3256 palabras)
Publicado: 2 de junio de 2010
I. ¿Qué áreas y procedimientos de la compañía mejoraría?
1. Políticas de seguridad informática
Se debe definir una política de seguridad informática de forma clara y de acatamiento obligatorio si se quiere dar resguardo y protección a la información y a los equipos de cómputo con los que opera esta compañía.
Entre los aspectos que se debe contemplar está:
* Establecer procedimientosdefinidos mediante planillas y formularios que regulen todas las gestiones, tanto de incorporación y salida de un usuario del sistema, como para la asignación de cuentas de correos, funciones y tareas.
Los formularios o planillas sirven además como respaldo de la gestión y facilitan el seguimiento tanto para la unidad de Recursos Humanos, como para el Departamento de Informática, igualmente paralos jefes y supervisores.
Fijar procedimientos y metodologías es también muy útil para el registro y documentación de los trámite propios del Departamento de Computo, tanto para las adquisiciones nuevas, actualizaciones, cambios, procesos de respaldo. Toda gestión debería quedar correctamente documentada.
* Crear un sistema de tiquetes sería una buena opción para el mantenimiento delsistema. Los usuarios podrían reportar las fallas y el departamento de informática las corrige, quedando todo debidamente documentado.
* Debe de haber también una política que regule y aplique sanciones en casos de compartir información como son las contraseñas.
* En relación con las cuentas de correo de trabajo debe haber limitaciones y restricciones. Debe implementarse un filtro que regule lasalida y entrada de ciertos archivos que en lo absoluto tienen que ver con la labor que se realiza en la empresa, como ejemplo los MP3 o los punto exe.
* Las aplicaciones de Chat y de messaging deben de limitarse según la política que defina la empresa y dependiendo de las necesidades del negocio, ya que pueden ser provechoso en cierta medida.
* En cuanto a las aplicaciones de FileSharing, estas se deben eliminar completd amente ya que son una puerta de entrada a gran cantidad de virus. El firewall debe cerrar estos portillos. También se debe de aplicar como una política de empresa.
* La implementación de la firma digital sería otro tema asociado a las políticas que la empresa podría tomar en cuenta, tanto para los correos como para cualquier documentación digital oficial.Esto sería según la necesidad real que tenga la empresa. Los documentos de alta confidencialidad deberían utilizar un sistema de encriptación, por ejemplo GPG.
* Se debe desarrollar una política para la realización de back ups y respaldos, que sean de forma automática, metodológica y asentada con responsabilidad. No solo para el material digital, sino también de todo aquel material físico eimpreso, tales como planos, manuales e instructivos. Todo material de respaldo debe estar documentado y encriptado.
Es necesario además considerar el almacenaje y la custodia de estos respaldos. Los expertos hablan de realizar hasta cuatro replicas en servidores en todas partes del mundo, considerando todos los riesgos posibles existentes y nunca es recomendable que los respaldos físicos salgan delárea de trabajo.
La política debe incluir, además, un procedimiento periódico de revisión y recuperación de los respaldo, para valorar así su utilidad.
* A modo organizacional se debería establecer responsabilidades fijas. Se deben generar reportes medibles y solicitados por la gerencia.
2. Permisos y restricciones:
* La designación de los permisos es uno de los temas a los que sedebe prestar atención, en especial velando por la seguridad del sistema. Este es un procedimiento que no debería ser manual, por el contrario, deber ser de política de sistema restringido mediante una gestión automatizada.
Las funciones y los permisos se deben de habilitar por grupos previamente creados por el administrador. Al dar de alta a un usuario el administrador lo vincula con el grupo...
1. Políticas de seguridad informática
Se debe definir una política de seguridad informática de forma clara y de acatamiento obligatorio si se quiere dar resguardo y protección a la información y a los equipos de cómputo con los que opera esta compañía.
Entre los aspectos que se debe contemplar está:
* Establecer procedimientosdefinidos mediante planillas y formularios que regulen todas las gestiones, tanto de incorporación y salida de un usuario del sistema, como para la asignación de cuentas de correos, funciones y tareas.
Los formularios o planillas sirven además como respaldo de la gestión y facilitan el seguimiento tanto para la unidad de Recursos Humanos, como para el Departamento de Informática, igualmente paralos jefes y supervisores.
Fijar procedimientos y metodologías es también muy útil para el registro y documentación de los trámite propios del Departamento de Computo, tanto para las adquisiciones nuevas, actualizaciones, cambios, procesos de respaldo. Toda gestión debería quedar correctamente documentada.
* Crear un sistema de tiquetes sería una buena opción para el mantenimiento delsistema. Los usuarios podrían reportar las fallas y el departamento de informática las corrige, quedando todo debidamente documentado.
* Debe de haber también una política que regule y aplique sanciones en casos de compartir información como son las contraseñas.
* En relación con las cuentas de correo de trabajo debe haber limitaciones y restricciones. Debe implementarse un filtro que regule lasalida y entrada de ciertos archivos que en lo absoluto tienen que ver con la labor que se realiza en la empresa, como ejemplo los MP3 o los punto exe.
* Las aplicaciones de Chat y de messaging deben de limitarse según la política que defina la empresa y dependiendo de las necesidades del negocio, ya que pueden ser provechoso en cierta medida.
* En cuanto a las aplicaciones de FileSharing, estas se deben eliminar completd amente ya que son una puerta de entrada a gran cantidad de virus. El firewall debe cerrar estos portillos. También se debe de aplicar como una política de empresa.
* La implementación de la firma digital sería otro tema asociado a las políticas que la empresa podría tomar en cuenta, tanto para los correos como para cualquier documentación digital oficial.Esto sería según la necesidad real que tenga la empresa. Los documentos de alta confidencialidad deberían utilizar un sistema de encriptación, por ejemplo GPG.
* Se debe desarrollar una política para la realización de back ups y respaldos, que sean de forma automática, metodológica y asentada con responsabilidad. No solo para el material digital, sino también de todo aquel material físico eimpreso, tales como planos, manuales e instructivos. Todo material de respaldo debe estar documentado y encriptado.
Es necesario además considerar el almacenaje y la custodia de estos respaldos. Los expertos hablan de realizar hasta cuatro replicas en servidores en todas partes del mundo, considerando todos los riesgos posibles existentes y nunca es recomendable que los respaldos físicos salgan delárea de trabajo.
La política debe incluir, además, un procedimiento periódico de revisión y recuperación de los respaldo, para valorar así su utilidad.
* A modo organizacional se debería establecer responsabilidades fijas. Se deben generar reportes medibles y solicitados por la gerencia.
2. Permisos y restricciones:
* La designación de los permisos es uno de los temas a los que sedebe prestar atención, en especial velando por la seguridad del sistema. Este es un procedimiento que no debería ser manual, por el contrario, deber ser de política de sistema restringido mediante una gestión automatizada.
Las funciones y los permisos se deben de habilitar por grupos previamente creados por el administrador. Al dar de alta a un usuario el administrador lo vincula con el grupo...
Leer documento completo
Regístrate para leer el documento completo.