Auditoria
Páginas: 15 (3729 palabras)
Publicado: 5 de octubre de 2011
En una empresa, la auditoría interna solicitó el documento con la definición de políticas para el manejo de información electrónica y a cambio, recibió el actual documento.
Con base en el siguiente objetivo de auditoría:
“Llevar a cabo una evaluación a la documentación institucional que establece las políticas para el manejo de información electrónica en la empresa NOMAS LTDA,considerando los aspectos: estructura, pertinencia, alcance, claridad y completitud. Incluya en sus recomendaciones, una nueva propuesta de estructura, para tal documento”.
Elabore el informe de auditoría de sistemas respectivo y plantee dentro del mismo los supuestos que considere pertinentes.
POLITICAS DE SEGURIDAD
La seguridad informática se fundamenta en la existencia de un conjunto depolíticas que brinden instrucciones claras y sean el soporte de la alta gerencia, es por eso que dado el gran dinamismo en la variedad de nuevos ataques y violaciones a la seguridad que existen en la actualidad, todas las políticas relacionadas con seguridad que se definan en la entidad deberán ser revisadas continuamente. Lo anterior, permitirá decidir cuáles políticas son obsoletas, cuáles deben serredefinidas y, lo que es más importante, cuáles políticas nuevas deben ser incorporadas para mantener los esquemas que garanticen una alta seguridad.
1. Seguridad Física
1.1. Políticas
❖ Ningún usuario ajeno al Area de Informática puede ingresar al centro de computo, solamente pueden accesar los operadores y administradores. En caso obligatorio aquellas personas de mantenimiento.1.2. Normas de Seguridad Física
Todos los usuarios de la entidad deberán seguir los siguientes lineamientos de seguridad física con el fin de salvaguardar los recursos técnicos y humanos de la entidad.
1.2.1. Personas
❖ Como mecanismo de prevención los usuarios y/o visitantes no deben comer, fumar o beber en el Centro de Cómputo o instalaciones con equipos tecnológicos, al hacerlo estaríanexponiendo los equipos a daños eléctricos y a riesgos de contaminación sobre los dispositivos de almacenamiento.
❖ Los visitantes y/o usuarios deben portar en un lugar visible el carnet o escarapela que los acredite dentro de las instalaciones de la entidad.
❖ Todo maletín, caja o bolso debe ser revisado por personal de seguridad tanto al momento de acceder a las instalaciones como almomento de salir de ellas.
❖ En el evento que algún usuario deje de tener vínculo laboral con la entidad, sus códigos de acceso deben ser desactivados. Así mismo, el carnet o escarapela y la tarjeta de acceso deben ser devueltos.
❖ El acceso al área de Informática está permitido únicamente a los usuarios de la Oficina, aquellas personas internas y externas que visiten algún funcionario debenser recibidas en la puerta de acceso y atendidos por la persona requerida.
❖ En caso de presentarse el acceso a la Oficina de Informática de una persona externa, debe registrarse en la bitácora ubicada en la recepción, anotando la fecha, nombre, entidad, hora de entrada y hora de salida. Dicha persona debe estar acompañada de un funcionario del área de informática tanto al ingreso como a lasalida de la oficina.
❖ Se debe advertir a los usuarios de la entidad sobre tener especial cuidado de no permitir el paso al personal no autorizado hacia áreas restringidas cuando los funcionarios autorizados están ingresando a las mismas.
1.2.2. Equipos y otros recursos informáticos
❖ Los equipos de computo no deben moverse o reubicarse sin la aprobación previa del Jefe de Areainvolucrado. El traslado de un sitio a otro debe hacerse bajo la supervisión de un usuario del área de informática, previa información del Area Administrativa.
❖ Todo cambio a la configuración de los microcomputadores puede efectuarse únicamente por personal autorizado por la Oficina de Informática.
❖ La Oficina de Informática es la dependencia autorizada para emitir concepto técnico y...
Con base en el siguiente objetivo de auditoría:
“Llevar a cabo una evaluación a la documentación institucional que establece las políticas para el manejo de información electrónica en la empresa NOMAS LTDA,considerando los aspectos: estructura, pertinencia, alcance, claridad y completitud. Incluya en sus recomendaciones, una nueva propuesta de estructura, para tal documento”.
Elabore el informe de auditoría de sistemas respectivo y plantee dentro del mismo los supuestos que considere pertinentes.
POLITICAS DE SEGURIDAD
La seguridad informática se fundamenta en la existencia de un conjunto depolíticas que brinden instrucciones claras y sean el soporte de la alta gerencia, es por eso que dado el gran dinamismo en la variedad de nuevos ataques y violaciones a la seguridad que existen en la actualidad, todas las políticas relacionadas con seguridad que se definan en la entidad deberán ser revisadas continuamente. Lo anterior, permitirá decidir cuáles políticas son obsoletas, cuáles deben serredefinidas y, lo que es más importante, cuáles políticas nuevas deben ser incorporadas para mantener los esquemas que garanticen una alta seguridad.
1. Seguridad Física
1.1. Políticas
❖ Ningún usuario ajeno al Area de Informática puede ingresar al centro de computo, solamente pueden accesar los operadores y administradores. En caso obligatorio aquellas personas de mantenimiento.1.2. Normas de Seguridad Física
Todos los usuarios de la entidad deberán seguir los siguientes lineamientos de seguridad física con el fin de salvaguardar los recursos técnicos y humanos de la entidad.
1.2.1. Personas
❖ Como mecanismo de prevención los usuarios y/o visitantes no deben comer, fumar o beber en el Centro de Cómputo o instalaciones con equipos tecnológicos, al hacerlo estaríanexponiendo los equipos a daños eléctricos y a riesgos de contaminación sobre los dispositivos de almacenamiento.
❖ Los visitantes y/o usuarios deben portar en un lugar visible el carnet o escarapela que los acredite dentro de las instalaciones de la entidad.
❖ Todo maletín, caja o bolso debe ser revisado por personal de seguridad tanto al momento de acceder a las instalaciones como almomento de salir de ellas.
❖ En el evento que algún usuario deje de tener vínculo laboral con la entidad, sus códigos de acceso deben ser desactivados. Así mismo, el carnet o escarapela y la tarjeta de acceso deben ser devueltos.
❖ El acceso al área de Informática está permitido únicamente a los usuarios de la Oficina, aquellas personas internas y externas que visiten algún funcionario debenser recibidas en la puerta de acceso y atendidos por la persona requerida.
❖ En caso de presentarse el acceso a la Oficina de Informática de una persona externa, debe registrarse en la bitácora ubicada en la recepción, anotando la fecha, nombre, entidad, hora de entrada y hora de salida. Dicha persona debe estar acompañada de un funcionario del área de informática tanto al ingreso como a lasalida de la oficina.
❖ Se debe advertir a los usuarios de la entidad sobre tener especial cuidado de no permitir el paso al personal no autorizado hacia áreas restringidas cuando los funcionarios autorizados están ingresando a las mismas.
1.2.2. Equipos y otros recursos informáticos
❖ Los equipos de computo no deben moverse o reubicarse sin la aprobación previa del Jefe de Areainvolucrado. El traslado de un sitio a otro debe hacerse bajo la supervisión de un usuario del área de informática, previa información del Area Administrativa.
❖ Todo cambio a la configuración de los microcomputadores puede efectuarse únicamente por personal autorizado por la Oficina de Informática.
❖ La Oficina de Informática es la dependencia autorizada para emitir concepto técnico y...
Leer documento completo
Regístrate para leer el documento completo.