Taller de items auditoria de sistemas
Enviado por Bryan Villamil • 1 de Septiembre de 2019 • Trabajo • 1.853 Palabras (8 Páginas) • 128 Visitas
[pic 2]
[pic 3][pic 4]
TABLA DE CONTENIDO
1. Lista de Chequeo - Base 2
- Lista de Chequeo - Base
Con el fin de realizar un diagnóstico de los sistemas de información, se solicita indicar Si o No, para cada uno de los siguientes ítems y frente a ellos describa concretamente como se ejecuta el procedimiento, sin importar si está documentado o no lo está. Debe describirse claramente el procedimiento con el fin de documentar apropiadamente la política de Seguridad Informática, en caso de escribir justificar el porqué.
CUENTA CON | SI / NO | DESCRIPCIÓN DEL PROCEDIMIENTO |
1-Sistema de Gestión de Seguridad Informática | ||
2-que nivel de certificación de estudios posee el Líder de Gerencia de la Información | ||
2-Inventario de activos informáticos | ||
3-Matriz de riesgos de Seguridad Informática | ||
4-Planes de mejoramiento de Seguridad Informática | ||
5-Plan de contingencia Seguridad de la Información | ||
6-Procedimiento de asignación de credenciales a los usuarios | ||
7-Procedimiento de asignación de contraseñas a la red WIFI | ||
8-Procedimiento de ingreso del personal a la Institución | ||
9-Procedimiento de egreso del personal a la Institución | ||
10-Procedimiento de generación de contraseñas | ||
11-Procedimiento de generación y restauración de Back Up | ||
12-Procedimiento de Manejo de discos extraíbles | ||
13-Procedimiento de control de acceso a internet | ||
14-Cronograma de mantenimiento de activos informáticos | ||
15-Reportes de mantenimiento de activos informáticos | ||
16-Hojas de vida de activos informáticos | ||
17-Compromiso de confidencialidad firmado por funcionarios | ||
18-Actas de capacitación a los usuarios internos en Seguridad Informática | ||
19-Fotografías de capacitación a los usuarios internos en Seguridad Informática | ||
20-Política de escritorio limpio | ||
21-Manual de uso del Software de Gestión si se cuenta con él. | ||
22-Manual de funciones del personal de TIC (Si no lo hay describa las actividades de cada uno) | ||
23-Programa de capacitaciones del área de sistemas al personal de la Institución | ||
24-Procedimiento de asignación de credenciales a los usuarios que hacen uso del software de gestión. | ||
25-Procedimiento de bloqueo de páginas de uso no institucional (Facebook, Twitter, YouTube, emisoras online, etc.) | ||
26-Procedimiento de acceso al centro de cómputo o servidores, infraestructura de red del área de tecnologías de la Información | ||
27-Procedimientos para el mantenimiento de Software | ||
28-Procedimientos de adquisición de nueva tecnología | ||
29-Procedimientos de actualización de la página web de la entidad | ||
30-Procedimiento de acceso a la página web de la entidad | ||
31-Procedimiento de conexión de dispositivos móviles al wifi de la Institución (Si se permite) | ||
32-Procedimiento de conexión de unidades de memoria (USB) extraíbles a los equipos de cómputo | ||
33-Procedimiento de uso aceptable de los activos informáticos | ||
34-Procedimiento de documentación de pérdidas de información por parte de los usuarios | ||
35-Procedimiento de instalación de software en equipos y restricciones de instalación de software no institucional | ||
36-Procedimiento de encriptación de mensajes de correo electrónico con información confidencial | ||
36-Procedimiento de desarrollo de software seguro | ||
37-Procedimiento de establecimiento de proceso disciplinario contra empleados que de alguna u otra manera rompan la disponibilidad, confidencialidad e integridad de la información | ||
38-Procedimiento de asignación de turnos para la atención de la unidad funcional de tecnologías de la Información | SI | En los puntos de atención físicos existe un digiturno para cada usuario que desea hacer uso de alguno de los servicios del catalogo de servicios ofrecido. |
39. Política de protección de datos personales. | si | la politica de protección de datos es publica y puede ser consultada en https://www.terpel.com/Global/POLITICA%20DE%20TRATAMIENTO%20DE%20LA%20INFORMACION%20TERPEL.pdf |
39. Registro nacional de base de datos. | No | En este momento se está trabajando en la consolidación de la información para enviarla. |
40. Política o procedimientos para la protección de derechos de autor | si | La política puede ser consultada en |
41. Modelo de Seguridad y Privacidad de la Información. | si | El modelo de hecho fue catalogado como caso de éxito de digiware http://www.digiware.net/sites/default/files/terpel.pdf |
42. Procedimiento de Seguridad de la Información | si | se encuentra dentro del mismo modelo de seguridad y privacidad implementado. http://www.digiware.net/sites/default/files/terpel.pdf |
43. Procedimiento para establecer Roles y responsabilidades | si | El procedimiento se realiza desde la gestión de desarrollo humano, donde se tienen establecidos todos los procesos de manual de funciones. |
44. Procedimiento para la Gestión Clasificación de Activos | si | El área de compras lleva un control riguroso de todos los activos de la compañía, incluyendo la depreciación y vida útil. |
45. Procedimiento para Gestión Documental | si | El sistema de calidad certificado con ISO 9001, tiene como tarea velar por que los procedimientos de gestión documental se ejecutan adecuadamente. |
46. Procedimiento para establecer y/o Gestionar de Riesgos | si | La empresa cuenta con un procedimiento de control de riesgo mediante matrices que logran medir el impacto vs la probabilidad de ocurrencia, bajo la norma ISO 9001 |
47. Controles de Seguridad de la Información | si | Si los controles se basan en la restricción de por roles y perfiles de usuario, que los limita a la visibilidad de la información netamente necesaria, así como la del control de bloqueo de dispositivos extraíbles y navegación web. |
48. Indicadores Gestión de Seguridad de la Información | No | En este momento se está trabajando en la definición de cuáles serían los indicadores pertinentes. |
49. Procedimiento para Continuidad de Negocio | si | El procedimiento está definido para realizar procesos de continuidad de negocio apoyándose en tecnologías de nube donde reposa el sitio de contingencia de servicios críticos. |
50. Procedimiento para realizar un análisis de Impacto de Negocio | si | el procedimiento se basa en la en la revisión minuciosa y constante de la matriz DOFA de la compañía para poder detectar aquellas debilidades y oportunidades que se presentan en el mercado para ver de qué forma logra impactar el negocio. |
51. Procedimiento para establecer Seguridad en la Nube | si | Como el sitio de contingencia se encuentra en ambientes cloud, el procedimiento está definido para aplicación de seguridad rigurosa y controles actuales. |
52. Plan de comunicación, sensibilización, capacitación | si | Mensualmente se realizan varias campañas de sensibilización a todo el personal de la compañía, de igual manera se envía semanalmente por medios digitales tecnotips que mantienen al personal al tanto de temas de interés sobre seguridad de la información. |
53. Programa, Plan y Procedimiento para la realización de Auditoría informática | si | se realiza una auditoría interna aleatoria semestralmente para verificar y controlar los procesos de calidad, del mismo modo se realiza una auditoría anual externa para buscar la mejora continua de los procesos y procedimientos. |
54. Procedimiento para establecer una adecuada evaluación de desempeño | si | El procedimiento parte de la política de gestión del desempeño que se compone de 4 fases. 1- Evaluación 2- Autoevaluación 3- Evaluación jefe inmediato 4- Retroalimentación |
55. Procedimiento para establecer Mejora continúa alineada con los procesos de calidad de la organización. | si | El procedimiento de mejora continua está alineado con el programa de auditoría informática que se realiza, dado que con la unión de los resultados de la auditoría interna y la externa se busca la mejora continua de los procesos y procedimientos. |
56. Lineamientos para las terminales de áreas financieras de la entidad | si | el proceso está definido para que solo las personas designadas tengan el acceso correspondiente a determinada estación de trabajo, limitando el acceso a personal no autorizado por permisos de usuario que se gestionan desde el gestor de identidades centralizado. |
57. Aseguramiento y/o Transición de protocolo IPv4_IPv6 | No | Hasta el momento la empresa en su área de tecnología espera que el modelo IPV6 se establezca perfectamente en el país para hacer su transición. |
58. Procedimiento para Gestión de Incidentes | Si | LA EMPRESA implementará medidas eficientes de prevención y control para lo cual adoptará procedimientos y herramientas necesarias para su prevención en el desarrollo de su objeto social. Este sistema de gestión comprende la identificación, medición, control y monitoreo de riesgos LA/FT. Las políticas que se adopten permiten el eficiente, efectivo y oportuno funcionamiento del sistema y se traducen en reglas de conducta y procedimientos que orienten la actuación de LA EMPRESA, sus administradores, empleados y socios. https://www.terpel.com/Global/Accionistas/manual-de-politicas-terpel-3-dic-2017.pdf |
59. Normograma del área de gerencia de la información. | Si | En cumplimiento de las disposiciones de la Ley 1581 de 2012 y del Decreto reglamentario 1377 de 2013 que desarrollan el derecho de habeas data, solicitamos su autorización para que Organización Terpel S.A. (en adelante Terpel) pueda recopilar, almacenar, archivar, copiar, analizar, usar y consultar los datos. https://www.terpel.com/en/contactenos/ |
60. Cumplimiento a la ley 1712 de 2014 | Si | el derecho de acceso a la información no radica únicamente en la obligación de dar respuesta a las peticiones de la sociedad, sino también en el deber de los sujetos obligados de promover y generar una cultura de transparencia, lo que conlleva la obligación de publicar y divulgar documentos y archivos que plasman la actividad estatal y de interés público, de forma rutinaria y proactiva, actualizada, accesible y comprensible, atendiendo a límites razonables del talento humano y recursos físicos y financieros”. https://www.superservicios.gov.co/sites/default/archivos/Servicios%20al%20Ciudadano/resolucion_superservicios_27435_2018_datos_abiertoa.pdf |
61. Control de cambios al software de la organización. | Si | Para hacer cualquier tipo de cambio en el software de la empresa debe pasar por una revisión técnica formal después de esto se deberá pasar al director de proyecto si es un cambio local y si el cambio tiene un impacto en todo el software de la organización debe pasar por el comité de control de cambios. |
62. Caracterización del área de TIC | Si | Optimizar el uso de las tecnologías de la Información y las comunicaciones del pais con el fin de garantizar la entrega de información oportuna, eficiente y mejorar la prestación de los servicios. |
63. Política para el tratamiento de datos personales | Si | En Organización Terpel S.A. (En adelante Terpel) sabemos que sus datos personales son importantes y por esto queremos proteger su privacidad. En esa medida, como parte de las actividades de actualización de datos de nuestros accionistas y en general para el desarrollo de las diferentes actividades de Terpel le será requerida la entrega de datos personales y de contacto, frente a lo cual, cumpliendo con la normatividad legal vigente de protección de datos personales, le agradecemos su aceptación a la presente autorización de tratamiento de estos. https://www.terpel.com/en/Accionistas/politica-para-tratamiento-de-datos-personales/ |
64. Diseño topológico de la red. | Si | La empresa cuenta con redes LAN para sus oficinas y diferentes topologías buscando la que más le sea conveniente y a nivel internacional cuenta con una red WAN para poder comunicarse con sus otras oficinas en Latinoamérica. |
65. Plan de desarrollo tecnológico y de renovación de tecnología. | Si | En esta empresa se implementa el PMBOK en el cual se realiza un levantamiento de información, después un análisis de esta; damos pasos a unas proyecciones y recomendaciones y al último se hace entrega de el plan de renovación tecnológica. |
66. PETIC | SI | Un claro punto de la inversión y seguimiento TIC en la entidad: https://www.terpel.com/en/Sala-de-prensa/Noticias/Terpel-revoluciona-el-concepto-de-estaciones-de-servicio-en-Colombia2/ |
67. Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información | Si | La empresa cuenta con un plan de riegos de seguridad y una política de protección de datos, con esto se da paso a una identificación y calificación de los riesgos, una valoración de ese riesgo, mapas de calor de donde se presentan mas riegos y la política de privacidad de información las podemos ver ítems atrás. |
68. Plan Desarrollo Informático | Si | Cada año este PDI es demostrado con un reporte de sostenibilidad en el cual muestra que Terpel s.a cada vez avanza mas en fin de lograr objetivos y metas trazadas durante cada plan de desarrollo informático para los años |
69. Manual de manejo de Residuos tecnológicos | No | Terpel s.a esta en busca de un manual el cual ayude a solucionar sus residuos tecnológicos dando paso a empresas que hagan de esos residuos algo útil para el medio ambiente ya que siendo este lo primordial para nosotros. |
70. Sistema de Control de Acceso | Si | Terpel s.a se encarga de tener un control riguroso de acceso el cual permita saber inmediatamente si algún trabajador o tercero desea provocar fallas en la empresa. |
71. Manual de Sistemas de información | Si | Terpel s.a da capacitaciones y manual de su software a personas que tengan que manipularlos con el fin de hacer más fácil y eficiente el trabajo. Se trabaja bajo varias normas y prohibiciones con el fin de hacer el software más seguro. https://www.terpel.com/Global/co-p-04-codigo-de-conducta-v-09-vf.pdf |
...