Documente Academic
Documente Profesional
Documente Cultură
º 2
Elaborado por:
Presentado a:
Auditoria de sistemas
1. Haga un listado en el que identifiquen los riesgos a los que se encuentra expuesta la
empresa en sus sistemas informáticos así:
Es importante asignar una persona que supervise el proceso interno de la empresa, por
motivo que se evidencia que se ha presentado irregularidades en los procedimientos en
cada área y no existe ajustes, verificaciones y control para el desarrollo de cada proceso
de la organización, en el cual se presenta un riesgo en la información importante de la
empresa.
Todo sistema de seguridad informática contiene un conjunto de partes que deben funcionar
de manera correcta, para así evitar contratiempos y amenazas que podrían poner en riesgo el
funcionamiento y patrimonio de una empresa.
Por lo general, existen dos tipos de control de acceso de seguridad informática, que son el
control de acceso autónomo y el control de acceso en red:
- Los sistemas de control de acceso de seguridad informática resultan muy útiles para
autorizar o denegar el ingreso de un usuario, así como también para prevenir fraudes
al momento de identificar o autenticar a una persona que intenta ingresar al sistema.
- Los controles de acceso autónomo son mecanismos que permiten restringir o
administrar de manera segura el acceso físico a un espacio o instalación, como, por
ejemplo, una oficina, un ascensor, una caseta de vigilancia o un salón.
Para ello, debe contarse con un software de control, especialmente desarrollado para llevar
un registro efectivo y fidedigno de todas las incidencias que pueden suscitarse, incluyendo
fecha y horario de las mismas, además de la identificación de cada usuario.
c. Los riesgos a los que la información se expone por la manipulación de un
usuario.
Los riesgos más importantes en la impresión son los documentos que se quedan a la
salida de la impresora:
2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos,
procesos a los sistemas informáticos y salidas de información de los sistemas
informáticos.
a. Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una organización; ; no obstante estos riesgos se
manifiestan en los siguientes componentes de un sistema:
- Interface del usuario: Los riesgos en esta área generalmente se relacionan con las
restricciones, sobre las individualidades de una organización y su autorización
de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de
trabajo y una razonable segregación de obligaciones.
- Procesamiento: Los riesgos en esta área generalmente se relacionan con el
adecuado balance de los controles efectivos y preventivos que aseguran que el
procesamiento de la información ha sido completado.
- Procesamiento de errores: Los riesgos en esta área generalmente se relacionan
con los métodos que aseguren que cualquier entrada/proceso de información de
errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados
con exactitud completamente.
b. Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la
información creada por una aplicación. Estos riesgos se relacionan directamente
a la información de toma de decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
c. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas,
datos e información.
- Procesos de negocio: Las decisiones organizacionales deben separar trabajo
incompatible de la organización y proveer el nivel correcto de ejecución de
funciones.
- Aplicación: La aplicación interna de mecanismos de seguridad que provee a los
usuarios las funciones necesarias para ejecutar su trabajo.
- Administración de la información: El mecanismo provee a los usuarios acceso a
la información específica del entorno.
- Entorno de procesamiento: Estos riesgos en esta área están manejados por el
acceso inapropiado al entorno de programas e información.
- Redes: En esta área se refiere al acceso inapropiado al entorno de red y su
procesamiento.
- Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
d. Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de
riesgo:
- Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de
que los problemas ocurran.
- Técnicas de recuperación/restauración usadas para minimizar la ruptura de los
sistemas.
- Backups y planes de contingencia controlan desastres en el procesamiento de la
información.
e. Riesgos en la infraestructura: Estos riesgos se refieren a que en las
organizaciones no existe una estructura información tecnológica efectiva
(hardware, software, redes, personas y procesos) para soportar adecuadamente
las necesidades futuras y presentes de los negocios con un costo eficiente.
- Planeación organizacional: Los proceso en esta área aseguran la definición del
impacto, definición y verificación de la tecnología informática en el negocio.
- Definición de las aplicaciones: Los procesos en esta área aseguran que las
aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los
procesos de negocio.
- Operaciones de red y computacionales: Los procesos en esta área aseguran que
los sistemas de información y entornos de red están operados en un esquema
seguro y protegido, y que las responsabilidades de procesamiento de
información son ejecutadas por personal operativo definido, medido y
monitoreado.
- Administración de sistemas de bases de datos: Los procesos en esta área están
diseñados para asegurar que las bases de datos usadas para soportar aplicaciones
críticas y reportes tengan consistencia de definición, correspondan con los
requerimientos y reduzcan el potencial de redundancia.
f. Riesgos de seguridad general: Los estándar IEC 950 proporcionan los
requisitos de diseño para lograr una seguridad general y que disminuyen el
riesgo:
- Riesgos de choque de eléctrico: Niveles altos de voltaje.
- Riesgos de incendio: Inflamabilidad de materiales.
- Riesgos de niveles inadecuados de energía eléctrica.
- Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
- Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos
de control interno que implementaría para mejorar la situación de seguridad en la
empresa en cada uno de los riesgos identificado. además, descargue de la plataforma el
anexo “cuestionario de auditoria”
Propuesta:
LISTA DE CHEQUEO
AUDITORIA COMPUTACIONAL
AUDITORIA
FECHA: 7 DE MARO DE 2020 NUMERO: 1
RESPONSABLE: WILJNER GALLEGO CARGO: SUPERVISOR
AREA: INVENTARIOS
CUMPLE
ITEM ACTIVIDAD OBSERVACIONES
SI NO N/A
1.0 HARDWARE
Los equipos se encuentran
1.1 en funcionamiento X
Los accesorios se
encuentran en buen estado y
1.2 en funcionamiento X
Se realiza mantenimiento
1.3 periódicamente a los equipos X MENSUALMENTE
Se encuentran los equipos
1.4 limpios y libres de polvo X
El espacio donde se
encuentra el equipo es el
1.5 adecuado X
Cada equipo ha sido
1.6 asignado a cada empleado X
Las instalaciones eléctricas
están en adecuado
1.7 funcionamiento X
2.0 SOFTWARE
Los programas utilizados
cuentan con las licencias
2.1 correspondientes X
Existe una persona
encargada de resguardar el
software adquirido por la
2.2 empresa X
El software utilizado es el
adecuado para la
2.3 organización X
Se cuenta con software
2.4 antivirus en cada equipo X
Se realiza mantenimiento
2.5 preventivo al software X
4.0 INFORMACIÓN
Se pide clave de acceso al
4.1 iniciar los equipos X
Todo el personal puede
cambiar las contraseñas de PERSONA
4.2 inicio X AUTORIZADA
Periódicamente se realiza
4.3 cambio a las contraseñas X
Cada funcionario tiene
4.4 contraseña para su equipo X
Se cuenta con administrador
4.5 de contraseñas X
Luego de varios intentos
fallidos se bloquea
4.6 automáticamente el equipo X
Para desbloquear el equipo
se cuenta con personal
4.7 calificado X
7.0 SEGURIDAD
La organización cuenta con
medidas de seguridad para el
7.1 ingreso al área de sistemas X
Existe personal de vigilancia
7.2 en la organización X
Se encuentra vigilada
7.3 satelitalmente la organización X
Se registra el ingreso de
personal ajeno al área de
7.4 sistemas X
Se revisa que no quede
abierta o este descompuesta
la puerta y las ventanas de la
7.5 oficina X
Se tiene prohibido el ingreso
de alimentos y bebidas al
área de sistemas para evitar
7.6 daños en los equipos X
FIRMA
BIBLIOGRAFÍA