FACULTAD DE CIENCIAS SOCIALES, EMPRESARIALES Y EDUCACION

ESCUELA ACADÉMICO PROFESIONAL DE CONTABILIDAD

TRABAJO ACADEMICO
AUDITORIA DE SISTEMAS CONTABLES

APELLIDOS Y NOMBRES:
LÓPEZ LÓPEZ, Lindley Alexander

CODIGO:
2009212731

PROFESOR:
Mg. Ing. Alejandro Díaz Aguilar

TARAPOTO – PERÚ
2019
“No hay inversión más rentable
que la del conocimiento".
(Benjamín Franklin)
 TRABAJO ACADÉMICO

1. Analice las diversas amenazas / ataques que pueden producir daños a

los sistemas y equipos informáticos de una empresa, identifique cuál
de ellos puede hacer más daño a la empresa y determine qué tipos de
controles se puede implementar en dicha empresa, para disminuir el
riesgo o contrarrestar el daño que pueda ocasionar dicha amenaza /
ataque.

RPTA:

Debemos de iniciar comentando que las amenazas surgen a partir de la

presencia de vulnerabilidades que tiene la organización, es decir que una
amenaza sólo existe si hay una vulnerabilidad que pueda ser aprovechada,
e independientemente de que se comprometa o no la seguridad de un
sistema de información. Esto se da cuando los trabajadores no están
concientizados, la falta de inducción en las organizaciones, la aparición de
la ingeniera social y por supuesto la creciente rentabilidad que tienen ahora
los ataques informáticos, provocando en la empresa que los ataques sean
intencionales y en algunos casos provocados.

Existe principalmente dos tipos de ataques bien definidos:

 Intencionales, en este caso deliberadamente se intenta producir un

daño (por ejemplo, el robo de información aplicando la técnica de
Trashing; la propagación de código malicioso y las técnicas de
ingeniería social, el Phishing; teniendo la complicidad de robo de los
mismos trabajadores)., también podemos mencionar el uso de una
mala programación en los sistemas informáticos y el acceso no
autorizado.

 No intencionales, aquí se producen acciones u omisiones de las

mismas que, si bien no buscan explotar una vulnerabilidad, ponen en
riesgo los activos de información y pueden producir un daño, claro
ejemplo tenemos las amenazas relacionadas con los desastres y
fenómenos naturales, principalmente porque no tenemos una
ubicación segura de los equipos informáticos, fallas electrónicas y
lógicas.
Los controles que se pueden implementar, dependen mucho del nivel de
inversión y políticas de seguridad de la empresa, por ejemplo pueden
ser:

 Utilizar técnicas de desarrollo que cumplan con los criterios de

seguridad al uso para todo el software que se implante en los
sistemas, partiendo de estándares y de personal suficientemente
formado y concienciado con la seguridad.

 Implantar medidas de seguridad físicas: sistemas anti incendios,

vigilancia de los centros de proceso de datos, sistemas de
protección contra inundaciones, protecciones eléctricas contra
apagones y sobretensiones, sistemas de control de accesos, etc.

 Codificar la información: criptología, criptografía y criptociencia.

Se debe realizar en todos aquellos trayectos por los que circule
la información que se quiere proteger, no solo en los más
vulnerables. Por ejemplo, si los datos de una base muy
confidencial se han protegido con dos niveles de firewall, se ha
cifrado todo el trayecto entre los clientes y los servidores y entre
los propios servidores, se utilizan certificados y sin embargo se
dejan sin cifrar las impresiones enviadas a la impresora de red,
tendríamos un punto de vulnerabilidad.

 Redes perimetrales de seguridad, o DMZ, estas van a permitir

que se generen reglas de acceso entre los usuarios y servidores
no públicos y los equipos publicados. De esta forma, las reglas
más débiles solo permiten el acceso a ciertos equipos y nunca a
los datos, que quedarán tras dos niveles de seguridad.
 2. Analice las diversas áreas específicas de la Auditoría de Tecnologías
de Información (TI), y determine qué área específica aplicaría para
realizar una Auditoría TI en la UAP. Mencione y explique al menos cinco
razones por la que propone dicha área específica.

RPTA:

La auditoria de TI o Auditoria informática, lo que busca es que haya una

buena práctica en las organizaciones que utilizan normas nacionales e
internacionales para la buena aplicación del mismo, además de eso pues
posee una serie de actividades que comprende la evaluación de las TI, así
como la seguridad de la información.

Aplicaría una Auditoria TI en la UAP en el área de Control de Notas; donde

los docentes registran las notas de las prácticas y exámenes de los
estudiantes, esto lo emplearía por las siguientes razones:

 Conocer la innovación de la implantación de este módulo (los

docentes no conocen bien las implantaciones de este módulo, por tal
motivo tienen problemas al momento de querer ingresar al sistema).
 Las alteraciones y modificaciones de notas que permite a los docentes
editarlas después de ingresarlas (en el caso de equivocación por parte
del docente al momento de subir las notas al sistema).
 También conocer si se utiliza la tecnología adecuada (con este mundo
globalizado ya todo es sofisticado que hasta los propios sistemas se
vuelven difíciles de utilizarlos)
 Preguntarse si los docentes conocen de las últimas innovaciones (en
el caso que no, capacitar e informar de dichas innovaciones para tener
un mejor manejo y conocimiento del sistema).
 Mejorar el activo tecnológico.
 Plantear nuevos perfiles.

3. Para el caso de un Banco Comercial, determine cuál de los cuatro

dominios del COBIT recomendaría utilizar con mayor énfasis. Mencione
y explique al menos cinco razones por la que propone dicho dominio.

RPTA:

En el caso de un Banco Comercial yo utilizaría el Dominio de COBIT:

Servicios y Soporte (DS), ya que este dominio hace referencia a la entrega
 de los servicios requeridos, que engloba desde las operaciones tradicionales
hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer los servicios, donde se deberán establecerse los
procesos de soporte necesarios.

¿Por qué razón implementar este dominio?

Este dominio es importante implementarlo por que nos va a permitir:

 Garantizar que la seguridad de la información esté asociada a las

actividades principales del negocio.
 Garantizar que la seguridad de la información brinde valor y compense
los requerimientos del negocio.
 Garantizar el cumplimiento de las obligaciones legales (de esta
manera se va a gestionar las expectativas de las partes interesadas,
evitando caer en sanciones penales o civiles).
 Apoyar a los requerimientos del negocio (gestionando el riesgo de la
información, teniendo un mayor cuidado de esta).
 La reducción de los costos (nos va permitir mejor la eficacia y la
eficiencia, promoviendo una mejora continua en seguridad de la
información).

4. Investigue una empresa nacional o internacional, que haya

implementado Seguridad Informática, e indique los beneficios que ha
obtenido dicha empresa al implementar dicha Seguridad Informática.

RPTA:

Una de las empresas peruanas que implementó seguridad informática es la

empresa Servicios Postales del Perú (SERPOST), y sus principales
beneficios de esta implementación son:

 Su contribución a efectivizar el riesgo.

 La priorización en el valor de la información.
 La estandarización en los controles y revisiones de los Sistemas de
información.
 Establecer las bases referenciales para el desarrollo de estrategias y
planes referidos a la seguridad de la información.
 Brindar un entorno de trabajo seguro a los usuarios
 Cumplir con los requerimientos regulatorios y legales.
Estos beneficios permitirán seguir lineamientos generales y permitirá a
SERPOST tener Confidencialidad, Integridad y Seguridad de la información
para el bienestar de la misma.
 CONCLUSION

La auditoría de Sistemas es muy importante por que nos va a permitir verificar

los controles en el procesamiento de toda información, desarrollo de sistemas
e instalación con el objetivo de evaluar su efectividad y presentar
recomendaciones a la gerencia quienes serán los encargados de verificar y
juzgar la información.

Es importante utilizar auditoria de Sistemas porque dentro de las

organizaciones tiene un alto valor principal para la compañía, ya que la
competencia puede estar pendiente de la información que le permita mejorar
su rendimiento.