CONTADURIA PUBLICA Auditoria de sistemas Unidad 2 CONTROL INTERNO EN AUDITORIA DE SISTEMAS Usted es invitado 2 que haga una propuesta de auditoria de sistemas a una empresa que se dedica a la comercializacién de productos de aseo; para entender el alcance de Ia auditoria, usted se entrevista con el representante legal de Ia empresa, quien le manifiesta sus preccupaciones de la siguiente forma: Somos una empresa nueva, levamos 4 afios en el mercado con un excelente resultado comercial y financiero, iniciamos comercializando productos en una oficina en la que laborabamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como gerente. Hoy en dia somos un equipo de 18 personas, dos en contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco cjecutives comerciales y nucve personas en logistica. ‘Mi preocupacién radica en que yo quiero seguir ereciendo, pero hay mucho desorden en los Procesos y tengo la dificultad que cuando requiero informaciSn, no logro tenerla a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador administrative y el almaccnista tienen asignado un equipo de eémputo, pero no sc ha estabilizado cl trinsito de la informacion, E! computador del almacén se ha dafiado tres veces en dos afios. Manejamos Ja informacién de inventarios en Excel y en varias ocasiones he recibido archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo. Hace unos dias necesit® una orden de compra de diciembre del afio pasado, la cual estaba en el equipo de la asistente administrativa y Ia respuesta que me dio fue que el archivo se le perdié.En dos afios he cambiado tres veces de proveedor de Internet, scrvicio que nunca funciona; ala red que tiene 20 gigas de velocidad se concctan los 19 equipos de cémputo y 19 dispositives méviles, pero parecen insuficiente; todos nos conectamos por WIFI. Con esta informacién, usted se dispone a hacer Ia visita preliminar para observar identificar riesgos; en su visita comprueba las siguientes condiciones: 1. Los equipos de cémputo estin ubicado fiente a las ventanas por la que todo el dia estin expuestos al sol y, en algunas ocasiones, a salpicaduras de agua. 2. Los trabajadores consumen alimentos sobre sus equipos de cSmputo. 3. Los computadores no estin configurados con claves de usuario ni de administrador para acceder, cada usuario es administrador de su equipo y puede realizar las acciones que desce en él, cualquier usuario puede prender un computador o tener acceso a la informacién que se almaccna. 4. Ningin computador tiene clave de ingreso, en los cuatro afios que Heva la empresa nunca se ha realizado una copia de seguridad de los archives ofimaticos, para el caso del programa de contabilidad, este realiza de manera automitica la copia de seguridad y la almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la maquina, 5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas paginas y a las redes sociales en el horario laboral; a la hora de la inspeccién, la mayoria de quienes manejan los equipos se encontraban navegando en YouTube. 6. Para acceder al sofhvare contable, los usuarios se identifican con usuario y contrasefia; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios desconocidos. 7. A lahora de la auditoria, se detecta que el asistente contable trabaja con el usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y contrascifas,8. No existen restricciones de horas para trabajar y los usuarios pucden imprimir, reimprimir y extract archivos planos sin restriccién alguna. 9. Eno referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin restriccién alguna, pero el computador identifica el tipo de modificacién, la hora y el responsable. solucion ANALISIS DEL CASO CONTROL INTERNO EN AUDITORIA DE SISTEMAS. Teniendo en cuenta Ia informacién suministrada por el representante legal la empresa posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los sistemas informiticos pues si bien hoy en dia la tecnologia ha logrado grandes aportes a la empresa también es cierto que es necesarios asumir varios tipos de seguridad y prevencién frente al mal uso ya sea por equivocacién 0 mal intencionado de Jos mismos empelades. Ya que esto puede ocasionar desde el error mas insignificante como hasta la pérdida del patrimonio, 1. Mentificando los riesgos a los que se encuentra expuesta la empresa en su sistema informatico, encontramos: a) Los riesgos del control interno especificamente: + Los equipos de computo estin expuesto al sol y salpicaduras de Huvia Residuos de Alimentos en los teclados ‘* No estan protegidos con un usuario ni clave = No hay copia de seguridad desde hace 4 afios © Libre acceso las diferentes redes sociales en horas laborales ‘© Varios usuarios y clave para acceder al software contable © Lacontadora y asistente comparten ta misma clave y usuario © Lared de internet implementada no es la mis adecuada b) Los ricsgos de ingreso a los sistemas informaticos y autenticacién © Vinus informaticos 0 cédigo maliciaso ‘© Usono autorizado de Sistemas Informiticos ‘+ Robo de Informacion © Fraudes basados en el uso de computadores © Suplantacién de identidad © Ataques de Fuerza Bruta © Alteracién de la Informacién+ Divulgacién de Informacién © Sabotaje, vandalismo © Espionaje ©) Los riesgos a los que Ia informacién se expone por la manipulacién de un usuario, ‘= Divulgacién indebida de informacién sensible o confidencial, de forma accidental o bien, sin autorizacién. = Modificacién sin autorizacién o bien, de forma accidental, de informacién e to de los propietarios. ‘© Pérdida de informacién importante sin posibilidad de recuperarla. = No tener acceso 0 disponibilidad de la informacién cuando sea necesaria 4) Los riesgos que puede surgir de la impresi6n, reimpresién y extraccién de bases de datos de un sistema informitico. ‘© Gastos innecesarios en reimpresiones + No contribuir a medio ambiente por el gasto inoficioso de papel © Documentos que se quedan en la salida de la impresora hay que tener en cuenta que estos documentos pueden ser confidenciales o tener informacién privada de la empresa o los mismos clientes © Ataque procedente del exterior de la empresa © Usuarios y acceso no autorizado (sustaccién de todo tipo de documentos) © Intercepeién de datos que se envian (impresiones por wifi ataque y robes de informacién) © Modificar por parte de los usuarios los parimetros de seguridad de las impresoras (impresiones falsificadas) 2. Clasifique los riesgos en los siguientes procesos: © entrada a los sistemas informatics, © procesos a los sistemas informaticos ‘© salida de informacién de los sistemas informiticos. 3. Después del anilisis hecho, elahore una propuesta que contenga los procedimientos de control intemo que implantarfa para mejorar ta situacién de seguridad en la empresa en cada uno de los riesgos identificado,PLAN DE PROPUESTA PARA LOS RIESGOS INFORMATICOS IDENTIFICADOS Una vez conocido el area auditada o sistema de informacién en la fase de conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las. fucntcs de ricsgos potenciales Como primera medida se deben establecer politicas de seguridad dentro de la empresa que permitan proteger la informacién, garantizar su confidencialidad y reglamentar su uso y el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida, deterioro o acceso no autorizado. Ademds de la informacién, en las politicas de seguridad informatica se incluyen elementos como el hardware, el software y los empleados; se identifican posibles vulnerabilidades y amenazas externas ¢ internas; y se establecen medidas de proteccién y planes de accién ante una falla o un ataque. ‘También Capacitar al personal para el cumplimiento de procesos y actividades de seguridad de Ja informacién, LOS RIESGOS DEL CONTROL INTERNO ESPFECIFICAMENTE RIESGO I EFECTOS: PROPUESTA Los equipos de computo bCorrosion estin cxpuesto al sol y bResistencia eléctrica o la salpicaduras de lluvia conductividad térmica »Cortocircuitos Reubicar los equipos de cémputo que no tenga exposicion directa. a liquidos, salpicaduras, 0 ambientes con excesiva humedad. Asimismo, se yecomienda los cambios briscos de temperatura y esperar a que los sistemas seaclimaten antes-_— de encenderlos de nuevo (ponttiles) Residuos de Alimentos en los teclados bos mandos no responden bas teclas se pegan Lataer plaga (hormigas, cucarachas que daias las plaqueta y cableado) Se recomienda hacer la limpieza del equipo con pafiuclos, cepillos y sobre todo prohibir el consumo de alimentos y liquidos sobre los equipos, destinar un rea de alimentaci6n en horas especificas No estan protegidos con un usuario ni clave pSustraccion de informacion confidencial * Cuslquier —empelado puede usarlo y realiza modificaciones «Descargar virus Se recomienda que en cada pucsto de trabajo del area administrativa tenga un usuario y clave de acceso para el uso de su computadora No hay copia de seguridad desde hace 4 afios © Perdida de archivos ya sean eliminados por error y provacado © Perdida de informacion por catastrofe * Se pueden hacer respaldos fisicos (que deben ser cambiados cada cierto tiempo), en lo mbe 0 una combinacién de ambas. Preferiblemente que se cuente con una alternativa que se haga de manera automitica y periédica © encriptar los Backus con tuna contraseia, en caso de que quiera cuidar informacién confidencial Libre acceso a las diferentes redes sociales en horas laborales + Posible pérdida de informacion. + Virus * Sistema de cifrado para envié y recepcién de informaciénVarios usuarios y para acceder al software * cifrar contraseias de usuario, datos personales y financieros, Hamadas. contable ‘© Modificaciones a] lista de contactos, el archivos o al sistema acceso a paginas web y al correo electrénico y = conexiones a terminales Ta contadoray_asistente i Temotos, entre otros comparten Ia misma clave © Sefal débil en las diferentes reas de la La ted de intemet implementada no es adecuada empresa + Retraso en ticmpos produccién para funcionarios. la mis de los Implantar un modelo de red basado en cableado estructurado. LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMATICOS Y AUTENTICACION RIESGO. EFECTOS: PROPUESTA Uso no autorizado Psabotaje informatico (suprimir 0 modificar sin autorizacién funciones 0 datos de computadora con intencién de obstaculizar a de Sistemas Informiticos ‘Robo de Informacién funcionamiento normal del sistema) }Fraude informatice que supone el cambio de datos o informaciones contenidas en la computadora en cualquier fase de su procesamiento 0 tratamiento informatico, en el que media inimo de luero y genera perjuicio a terceros. fespionaje informatico o fuga de Usuario y contraseia wacién de una direccién IP privada Utilizacién de un firewall para restti la fransmisién. Especificacion dela comunicacién cifrada TLS. Configuracién de un PIN para gestionar_informacién almacenada en la impresora. actualizados los programas antivirus y firewall personal capacitado en conocer e —_identificar amenazas que hayan sido enviadas por emailFraudes basados en el uso de computadores Suplantacién de identidad datos que consiste en obtener no aulorizadamente datos almacenados en un fichero automatizado, en virtud de lo cual se produce fa v de ta reserva_o secreto de Uso de dispositives méviles + inifenatactin ddcansaibvera da través de descarga de aplicaciones © Ataque a los celulares por medio de “ransomware’, una técnica con Ia que los atacantes secuestran la informacién del dispositive a cambio de una recompensa econémica. © Se recomienda instalar un antivirus en los dispositives maviles. © evitar paginas y aplicaciones con contenido no seguro © y hacer copias de seguridad de forma periédica. Espionaje Alteracion de la Informacién Divulgacién de Informacién © Daio de imagen. Genera un impacto negativo de Ia entidad y Heva_implicita Ia pérdida de confianza. © Consecuencias legales. Podrian _conllevar administrativas. © Consecuencias econdmicas. Estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto a nivel nega econémico, con una disminucién de da inversion. negocio, etc. Ingreso de usuarios y claves cifrado de la informacién confidencial corporativa instalaci6n, configuracién y actualizacién de cortafuegos mantener actualizadas todas las aplicaciones de nuestros sistemas, etc. Sanciones juridicas Virus _informaticos malicioso Tnstalacién de virus que nos ralentiza el ordenador, hacernos perder___informacién (0, Instala un buen antivirus en los equipos y actualizarlo deTorma permanente. + No aceptar software de ningin tipo cuyo origen se desconozca, y que solicite la desactivacién del antivirus. le No hace clic en los pop- ups (ventanas —_emergentes) que aparecen en los navegadores. Si el navegador web le avisa de que una pagina no es segura, Girectamente, robimosla para | 2battlénela inmediatamente uusosilicitos y peligroses) =|). aceptarni abrir fotos oarchives recibidos de desconocidos por ninguna via, ya scam, Messenger, etc. Je Utiliza el escéner de antivirus siempre antes. de manipular cualquier archivo secibido, incluso aunque provenga de fuentes fiables como contactos del trabajo 0 amigos. LOS RIESGOS A LOS QUE LA INFORMACION SE EXPONE POR LA MANIPULACION DE UN USUARIO. RIESGO. EFECTOS PROPUESTA Divulgacién indebida de] incumplimiento de |» establecer_normas para informacién sensible _oconfidencial, de forma] confidencialidad € accidental o bien, sin| integridad de la autorizacién. informacion ‘Modificacion sin] Ausencia de autorizacién o bien, de] transferencia de forma accidental, de informacion critica, sin conocimiento de —_ los propietarios. conocimiento y falta de capacitacién * Acciones no adecuadas en el tratamiento de los Pérdida de informacién importante sin posibilidad actives de informacion e informaticos de recuperarla. No tener acceso. 0 disponibilidad dela informacién cuando sea necesaria * Daiio de documentos y deterioro del papel. * No existen transicién de protocolo de IP Ta transicién de IPvt a IPG debido a que todos Jos equipos informéticos de Ia entidad soportan Ia nueva versi6n de IP Invertir en un software 0 sistema de informacién para el almacenamiento y consulta de la documentacién —_fisica existente Adquisicién de una nube para almaccnamiento de informacién Crear cuentas de usuario con claves LOS RIFSGOS QUE PUEDE SURGIR DE LA IMPRESION, REIMPRESION Y EXTRACCION DE BASES DE DATOS DE UN SISTEMA INFORMATICO. RIESGO EFECTOS PROPUESTA Gastos innecesarios en © Concientizar a los reimpresiones empleados © Alternativas de Genera gastos de papel y ehmcremmenio No contribuir a medio ambiente tinta y energia © Configurar la impresora © Reutilizar el papel ‘Documentos que se quedan ala salida de la impresora: Peidida de documentos que pueden ser confidenciales 0 tener informacién privada de Ja empresa o los mismos cliemes, éstos pueden acabar_cayendo en malas controlar las personas que imprimen las documentos Estarin protegidos por el cortafuegos de la empresa; estarin ineluidos en lasmanos, con todo lo que ello supone. ‘Modificar pardmetros de la seguridad de las impresoras Dispositive expuesto a manipulaciones, que conllevarian —impresiones falsificadas 0 en una reduccién a propésito de medidas de seguridad que faciliten ataques concretos Usuarios y acceso no autorizada sustraccién de todo tipo de documentos Intercepcién de datos que ‘Ataque procedente del exterior de la empresa Impresiones por wif ataque y robos de informacién Politicas de seguridad que aplican al resto de sistemas informaticos y equipos de red; estardn conectados aun servidor de colas de impresién que las, gestione, configure y audite adecuadamente de forma centralizada; contarin con un servicio de impresién segura, protegiendo mediante autenticacién de usuario © PIN Ia impresién de los documentos, esto impedird la pérdida de documentos impresos; no tendran acceso directo a intemet sin pasar por el cortafuegos de red corporativo, ni siquiera para tareas de mantenimiento por parte del servicio de soporte; el acceso a la interfaz de configuracién web de la impresora se hard de forma cifrada (https), Gnicamente por personal autorizado: se cambiardn los usuarios y contrasefias por defecto que puedan llevar configuradas de fabrica se desactivardn los puertos de comunicaciones y servicios web que no estén utilizando, como el puerto USB, servidor FTP, conreo electrénico, fax. etc se mantendré actualizado el firmware parasolucionar las posibles vulnerabilidades de seguridad detectadas: si Ja impresora es muy antigua y no dispone de soporte, se debe sustituir por otra mas segura 0 desconectaria de la red; se cifrardn las comunicaciones con los equipos clientes para proteger el envio de la documentacién confidencial; si la impresora se conecta ala wifi, se extremarin Pt10:05 all > 4 Safari < Auditoria de sistemas actividad: Aa BIOGRAFIAS S%20GESTION%20DEL%:20RIESGO%20ENS20SPLodf ttps://www Jncibe.es/protege-tu-empresa/blog/como-puedo-prevenir-fuga-informacion-dentro- emaresa hitos://wwnv incibe.es/protege-tu-empresa/blog/sabias las impresoras necesitan-medidas siberseguridad hites://login.ezproxy.uniminuto edullogin Ha leido 1 de 3 documentos gratis por este mes. Disfrute millones de documentos y mas, gratis por 30. Lea Gratis Por 30 100% leido pagina 13 de 13