Seguridad para la Pyme

SEGURIDAD

Las redes sociales y el anonimato del mundo virtual ofrecen un catálogo de delitos que van desde los ataques a la intimidad, falsedades, sabotajes informáticos, amenazas o calumnias e injurias hasta pornografía infantil, spam, proyectos informático insatisfechos, uso del email de manera ilícita… Todos ellos delitos que se apoyan, generalmente, en el uso de herramientas con una componente informática elevada, ya sea ordenadores, portales web, APP, herramientas de descarga o envío anónimo de archivos, Smartphone,… Todos ellos actúan contra la seguridad en las Pymes.

Afortunadamente la ley dispone, en diferentes artículos del código penal, reflejado y tipificado la mayoría de ellos, por no decir todos de una u otra forma. Además existen diferentes leyes como la LSSI, LOPD, entre otras que permiten un marco de trabajo que ayuda a defender a las víctimas de estos delitos.

En el Gabinete Profesional de Peritos Judiciales, estamos a su disposición para realizar una Certificación de Seguridad en su organización de forma rápida y profesional. En este informe podrá observar los puntos fuertes y débiles de su organización en lo que se refiere a Seguridad de la Información.

PERITOS JUDICIALES FORENSES

Introducción
Con motivo de la auditoría de Seguridad IT que está llevando a cabo, realizaremos una Revisión de los Controles Generales Informáticos.

Objetivo
El objetivo de esta revisión es obtener un conocimiento general del ambiente de control existente en las tecnologías y/o los sistemas de información que soportan aquellos aplicativos que tienen reflejo en los estados financieros.

Alcance
El alcance de esta revisión se centrará en las siguientes áreas:
1. Entorno informático: conocimiento general y de los controles sobre la gestión de las actividades de la tecnología y sistemas de información (entorno informático de la compañía, organización interna, procedimientos establecidos, estrategia de los sistemas de información, proyectos actuales y futuros, etc.).
2. Mantenimiento de aplicaciones: conocimiento general y de los controles que aseguran que los programas cumplen con las funciones para las cuales fueron diseñados; que los sistemas están desarrollados, configurados y configurados apropiadamente; y que los cambios en los programas han sido solicitados, autorizados, ejecutados, probados e implementados correctamente.
3. Operaciones/explotación de los sistemas: conocimiento general y de los controles que aseguran que los sistemas productivos (y las interfaces) son procesados completamente y con exactitud y que las incidencias en los procesos son identificadas y resueltas en su totalidad y en el tiempo apropiado para asegurar la integridad de la información financiera.
4. Seguridad física y lógica: conocimiento general y de los controles que aseguran que solamente los usuarios autorizados disponen de acceso a las aplicaciones y a los datos a través de la autenticación de la identidad del usuario.

El detalle de la documentación inicial que será necesario obtener para la Revisión de los controles Generales de IT se describe en el presente documento.

Para llevar a cabo la revisión será necesario, en principio, mantener una reunión (1-2 horas, aproximadamente) con los responsables de cada una de las áreas descritas anteriormente.
Documentación necesaria para la revisión de IT
1. Entorno IT
1.1. Organigrama del Departamento de IT (número de personas del departamento, estructura del departamento y dependencia funcional).
1.2. Descripción de funciones y responsabilidades del personal de IT.
1.3. Informe de auditorías informáticas anteriores (si procede).
1.4. Descripción de los proyectos, modificaciones y/o implantaciones significativas en las aplicaciones y/o los Sistemas de Información realizados en el último ejercicio.
1.5. Descripción de los proyectos, modificaciones y/o implantaciones significativas en las aplicaciones y/o los Sistemas de Información previstos para el próximo ejercicio.
1.6. Presupuesto de gastos e inversión del Departamento de IT para el ejercicio actual y próximo.
1.7. Inventario de aplicaciones de negocio (para cada una de las aplicaciones de negocio: nombre de la aplicación, si es paquete o desarrollo, lenguaje de la base de datos, modelo de servidor en el que está instalada, fecha de implantación, departamentos usuarios que la utilizan, fecha de la última modificación).
1.8. Inventario de hardware.
1.9. Inventario software y licencias.
1.10. Esquema general de comunicaciones (diagrama de red).

2. Área de mantenimiento de aplicaciones
2.1. Procedimiento formalizado de gestión de mantenimiento/desarrollo de aplicaciones/sistemas en el que se defina como debe realizarse la solicitud, circuito de aprobaciones, priorización de modificaciones, seguimiento, procedimientos de traspasos a producción, elaboración de documentación técnica, funcional y de usuario, fase de pruebas, formación, etc.).
2.2. Listado/sistema de seguimiento de las modificaciones del ejercicio auditado, en el que se detalle información como: identificador del trabajo, estado, fecha de inicio, fecha de finalización prevista, fecha de finalización real, descripción del trabajo, persona encargado del trabajo.
2.3. Listado de los usuarios autorizados para realizar los traspasos a producción de las modificaciones realizadas aprobadas.
2.4. Para una muestra de las modificaciones más significativas realizadas sobre los sistemas:
2.4.1. Obtener los documentos/sistema de solicitud de dichas modificaciones en el que se detalle la siguiente información:
 Fecha de solicitud.
 Persona que realiza la solicitud.
 Descripción de la modificación.
 Evaluación realizada por Desarrollo.
 Aprobación de un responsable del usuario.
 Aprobación de la persona de sistemas.
2.4.2. Obtener los planes de prueba de dichas modificaciones en los que se detalle la siguiente información:
 Descripción de la prueba a realizar.
 Personas asignadas (informática y usuarios).
 Resultados esperados.
 Resultados obtenidos (en caso de resultado no satisfactorio, obtener el informe de incidencias realizado).
 Fechas de realización prevista y real.
 Aceptación formal por parte de los usuarios.
2.4.3. Obtener el registro de traspaso al entorno de producción y la petición formal de dichas modificaciones en los que se detalle la siguiente información:
 Fecha de solicitud.
 Nombre de la persona solicitante.
 Autorización por parte del propietario de la información o quien esté autorizado para realizar dicha función.
 Datos de los programas / ficheros a traspasar.
2.4.4. Obtener la documentación técnica y la de usuario de dichas modificaciones.
3. Área de operaciones/explotación de los sistemas
3.1. Planificación y ejecución de los procesos batch
3.1.1. Procedimiento de gestión de procesos
3.1.2. Planificación
3.1.3. Log y/o registro de ejecución
3.2. Acuerdos de nivel de servicio (SLA) con proveedores externos e informes de seguimiento.
3.3. Informes de rendimiento operativo y monitoreo de los sistemas (ocupación de disco, carga CPU, memoria, comunicaciones, etc.).
3.4. Realización de copias de seguridad y recuperación
3.4.1. Procedimiento de operativa de copias de seguridad
3.4.2. Planificación y configuración de copias
3.4.3. Logs y/o registro de realización de copias
3.4.4. Procedimiento y evidencia de la custodia interna de soportes de copia
3.4.5. Procedimiento y comprobante de envío de los soportes de copia al exterior
3.4.6. Procedimiento de restauración de copias de seguridad
3.4.7. Log y/o registro de pruebas de restauración de soportes
3.5. Registro de incidencias en operación (fecha de la incidencia, descripción de la misma, persona que la resuelve, modo de resolución, fecha de resolución, etc.). (Help Desk)
3.6. Plan de contingencias (DRP) y registro de la última prueba realizada.

 

2 opiniones en “Seguridad para la Pyme”

  1. Hola,

    Hemos estado mirando vuestro portal y creemos que podría interesaros mucho un nuevo producto que vamos a lanzar al mercado próximamente.
    Se trata de una antivirus para empresas enfocado a emprendedores y freelances, garantiza la máxima protección con un precio ajustado a las necesidades de los pequeños negocios.

    ¿Os gustaría probarlo de manera exclusiva? Nos gustaría tener vuestra opinión como expertos en el sector y creemos que es un producto que podría interesar a vuestra comunidad de seguidores.
    Si estáis interesados, os podemos enviar una licencia para probarlo totalmente gratis.
    Y, si os convence, ¿por qué no recomendarlo a vuestros seguidores? 😉

    Gracias!!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *