Está en la página 1de 12

AUDITORA DE SEGURIDAD

Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia,


ya que da con da abarca diferentes aspectos de las actividades cotidianas y sin duda alguna,
su influencia en las instituciones es de suma importancia debido a los altos ndices de
vulnerabilidad y daos ocasionados por la falta de una cultura al tema de la seguridad, lo que
provoca un aumento en los niveles de riesgo. Se puede destacar que la seguridad impacta
como problemtica en aspectos organizacionales, de diseo y tecnolgicos , entre otros.

Nadie asume la responsabilidad de los riesgos, ni la implantacin de medidas de seguridad, ya


que generalmente se adoptan de manera parcial, una vez que el riesgo se ha materializado.

Sin embargo, la ausencia de una cultura preventiva, ocasiona que no se valoricen los beneficios
inmediatos de realizar inversiones razonables en el tema de seguridad, lo que se traduce en
algn momento de la existencia de la institucin , en prdidas no solo econmicas , sino de
imagen.

Desde el punto de vista tecnolgico, aun cuando el software y hardware son elementos de
soporte a las operaciones de la institucin, si no se encuentran inmersas en un proyecto de
seguridad , difcilmente se obtienen los resultados esperados. Si consideramos que los avances
tecnolgicos no cubren 100% de las necesidades en seguridad y adems existe una excesiva
confianza en este tipo de soluciones, ingresamos al mbito de ojala no pase nada lo cual
induce a afrontar riesgos sin conocimiento de causa.

En este orden de ideas, la situacin real suele ser que en las empresas se implementen
soluciones de seguridad de acuerdo con aspectos especficos, que no contemplan una adecuada
definicin de estrategias, normas, procedimientos, etc., que fortalezcan los sistemas de control
enfocados a asumir determinado nivel de riesgo y as fortalecer la toma de decisiones
correspondientes.

Actualmente, y dados los avances tecnolgicos que han venido surgiendo, se constata que cada
vez es ms prioritario para los proveedores, legisladores, auditores, usuarios y accionistas el
contar con elementos que permitan controlar y evaluar los diferentes aspectos de la
tecnologa de la informacin, principalmente lo relacionado con la seguridad, ya que se
reconoce como factor crtico para el xito y la supervivencia de las organizaciones, que su
infraestructura en tecnologas de informacin sea administrada efectivamente. Lo anterior, debido
a que la disposicin de la informacin sin restricciones de tiempo, distancia y velocidad, hacen
que se genere una creciente dependencia en informacin en los sistemas que la proporcionan;
que exista una gran vulnerabilidad, amenazas y ataques que estn dirigidos a bloquear la
informacin que se produce y una gran escala y el costo de las inversiones actuales para la
generacin y seguridad de la informacin.

En todo el mundo y principalmente para la mayora de las empresas, la informacin y la


tecnologa que la soporta, representan los activos ms valiosos, ya que verdaderamente la
informacin y sus sistemas se encuentran incrustados en las mismas, desde los usuarios
finales, hasta su infraestructura tecnolgica.

En este sentido, las empresas tanto del sector pblico como del privado, han venido
reconociendo los beneficios potenciales que la tecnologa puede brindar, y se ha creado una
carrera desenfrenada en la que el xito de las organizaciones, depende de cmo se
comprenden, administren, regulen y controlen los riesgos asociados con la implementacin de
recursos de tecnologa y su vinculacin con los procesos de negocios de las organizaciones.

Por lo anterior, los administradores se encuentran atados al paradigma de determinar la


inversin razonable en tecnologa y su control, y la forma en la cual se debe equilibrar la
relacin de riesgo e inversin controlada en un ambiente tecnolgico, el cual es
absolutamente impredecible.
Con el fin de contar con elementos que permitan mantener la relacin de riesgo e inversiones
controladas y en equilibrio, el concepto de control y regulacin ha generado en la actualidad
conceptos confusos en la tarea ardua de implementar buenos controles en tecnologas de
informacin, los cuales soporten exitosamente la cadena de valor de cada una de las
organizaciones.

Par lograr determinar una evaluacin adecuada con respecto a los controles en tecnologas de
informacin, de manera sustancial, los auditores han tenido que tomar liderazgo en estos
esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y sustentar sus
opiniones frente a la administracin, acerca de los controles internos que garantizan
razonablemente la confiabilidad de la informacin que en ellos se genera y por ende el
cumplimiento de sus metas y objetivos.

En esta sentido, la auditora de seguridad deber valorar aspectos relacionados con los
sistemas operativos, software comercial, de comunicaciones, de base de datos, de proceso, de
aplicaciones e indudablemente las instalaciones y aspectos fsicos. A continuacin se describen
algunos puntos que deben contemplarse al realizar una auditora de seguridad, y determinar si
existen controles adecuados para proteger la integridad y confiabilidad de los equipos, software
e informacin, contra usos y modificaciones no autorizados, por dao y /o prdida.

Organizacional

Determinar si las responsabilidades relativas a la seguridad fsica y lgica se


encuentran debidamente asignadas.
Revisar las normas, polticas y procedimientos dictados para garantizar la seguridad de
los activos del centro (equipo, software e informacin) y determinar si stos definen
claramente las responsabilidades de los usuarios, administradores y personal en general.
Determinar si las tareas asignadas garantizan la seguridad de los activos y si son
difundidas y entendidas en forma correcta. Verificar asimismo, que stas sean consistentes
con las polticas de seguridad comnmente aceptadas.
Determinar el grado de conocimiento general de los grupos usuario e informtico sobre
la importancia de la seguridad fsica y lgica de los activos para su adecuada
salvaguarda.
Revisar el organigrama para determinar si existe un rea responsable de la
administracin de la seguridad e informacin.

Seguridad fsica, Ubicacin fsica de las instalaciones

Determinar la ubicacin del centro de cmputo es adecuada para proteger la integridad de los
activos (equipo, software, e informacin).

Verificar que la sala de cmputo tenga una ubicacin fsica segura, considerando que de
preferencia est ubicada en un lugar lejano de aeropuertos, instalaciones elctricas (ej. Radares,
microondas, etc.) , reas urbanas en mal estado, trafico pesado, materiales voltiles, gasolineras,
etctera.

Que de preferencia est ubicada en el centro de la construccin , es decir, no cerca a las


paredes exteriores ni en el stano ni en el ltimo piso.

Obtener un plano de las instalaciones y realizar las siguientes acciones:

Identificar todos los posibles accesos a las instalaciones, por ej. Techos, ventanas no
necesarias etc.
Determinar si estos accesos son restringidos por el uso de llaves, tarjetas otros
dispositivos de seguridad.
Si se usa una clave o cualquier otro medio que active un cdigo interno, verificar que
ste se cambie peridicamente.
Visitar la sala de cmputo y verificar que no existen seales exteriores que indiquen su
ubicacin a extraos.

Revisar el directorio telefnico y la documentacin emitida por la organizacin, para asegurarse


de que la ubicacin la sala de cmputo no es identificable a travs de ella.

Acceso a las instalaciones

Determinar si las medidas de seguridad implementadas para regular el acceso a las


instalaciones son adecuadas. Verificar el procedimiento, tales como los que se describen a
continuacin, para regular el acceso a las instalaciones:

Eliminar puertas no esenciales al centro de cmputo, ubicando una sola puerta de


acceso con control continuo.
Colocar, donde sea necesario, un guardia o recepcionista, en el punto de entrada durante
todo el tiempo que el centro de cmputo est trabajando.
De ser posible, utilizar una sola ruta de evacuacin en caso de emergencia.
Equipar todos los puntos de entrada y salida con mecanismos de control de acceso.
Restringir el acceso al rea de computadoras slo al personal autorizado..
Requerir que todas las personas autorizadas a efectuar operaciones dentro del rea de
computadoras se registren en una bitcora, en donde indiquen su nombre, firma,
propsito y hora de entrada y de salida.
Identificar al personal autorizado a travs de una credencial con fotografa.
No permitir el acceso al rea de cmputo a los programadores o analistas, excepto bajo
condiciones estrictas de control.

Determinar si los procedimientos para prevenir el acceso de personal no autorizado, son


adecuados y si se aplican en todos los accesos posibles.

Obtener una lista del personal autorizado para acceder a las instalaciones y determinar si su
acceso es necesario, verificar si esta lista es regularmente revisada para decidir si el acceso
de este personal sigue siendo vlido.

Observar el funcionamiento de las instalaciones en diferentes oportunidades y a diversos


horarios para verificar que nicamente se permite el acceso a personal autorizado .

Asegurarse de que cuando la sala de cmputo se encuentre vaca exista una vigilancia
permanente, ya sea a travs de la observacin directa o por la existencia de alarmas o
monitores que prevengan el acceso no autorizado.

Realizar visitas no anunciadas al centro de cmputo, particularmente en el segundo y tercer


turno, para comprobar la efectividad de las medidas de seguridad para el control de acceso.

Verificar que el acceso al equipo del centro de cmputo slo lo realice el personal autorizado.

Visitas Guiadas

Asegurar que cualquier persona con acceso temporal, pote su identificacin y se encuentre
debidamente acompaada por un miembro del personal autorizado.

Verificar que existan procedimientos para identificar y acompaar a los visitantes durante el
tiempo que permanezcan en las instalaciones.

Verificar que se supervisen estrechamente las visitas autorizadas, mediante mecanismos de


control tales como :
Todos los visitantes a los cuales se les otorg permiso para realizar una visita por el
centro de cmputo, deben ser acompaados por personal autorizado.
No permitir visitas en grupos difciles de controlar.
Recuperar todas las tarjetas de identificacin dadas a los visitantes.

Proteccin contra incendios

Determinar si las previsiones contra incendio del centro de cmputo estn acordes con los
estndares generalmente aceptados para tales medidas de proteccin.

Revisar los estndares generalmente aceptados para proteccin contra incendio que publican
las organizaciones nacionales e internacionales y verificar si las medidas que se adoptan en el
centro de cmputo estn de acuerdo con estos estndares, por ejemplo:

Que no exista material combustible en las instalaciones de la sala de cmputo.


Que los cableados elctricos y de comunicaciones se encuentren protegidos con material
aislante y bajo el piso falso.
Que la parte inferior del piso falso se encuentre en buen estado y libre de polvo.
Que exista un sistema contra incendio o que al menos haya extinguidores, as como
verificar su vigencia.
Que dentro de la sala de cmputo exista sealizacin de evacuacin de emergencia y
que se realicen simulacros de evacuacin peridicamente.

Determinar a travs de entrevistas con el administrador del centro de cmputo y sus


colaboradores, qu tanto conocen y piensan que son adecuadas las medidas contra incendio
del centro, comparadas contra los estndares generalmente aceptados.

Revisar ocasionalmente el seguro contra incendio de la organizacin para verificar su vigencia.

Requerir la apreciacin del jefe de bomberos sobre lo adecuado de la pliza, de acuerdo con
las medidas contra incendio implementadas en el centro y los cambios planeados.

Inspeccionar el centro de cmputo para determinar si se aplican las medidas contra incendio.

Entrenamiento en procedimientos de seguridad y su difusin

Asegurarse de que el personal del centro de cmputo recibe entrenamiento peridico sobre
procedimientos y controles de seguridad.

Verificar que el personal recibe un entrenamiento adecuado sobre los procedimientos que
debern seguir en caso de emergencia por fuego, agua o cualquier otro incidente que cause
alarma.

Determinar por observacin directa y entrevistas, si el personal del departamento de servicios


tiene conocimiento de la ubicacin de las alarmas contra incendio, extinguidores, interruptores
regulares y auxiliares de electricidad, interruptores de aire acondicionado, mascarillas y cualquier
otro dispositivo de emergencia que ellos pudieran usar.

Condiciones de proceso

Verificar la existencia de equipo de aire acondicionado y si las operaciones realizadas en el


centro lo ameritan, que exista otro equipo de respaldo.

Verificar que exista equipo de energa ininterrumpiese (UPS) y que su mantenimiento preventivo
y correctivo sea llevado por medio de una bitcora de mantenimiento.
Verificar que existan medidores de temperatura (termmetros) y sta sea menor de 20o C y
mayor de 17o C, as como medidores de humedad relativa, la que deber ser mayor de 40 y
menor de 80%.

Verificar que elementos tales como: luz solar, lluvia, viento, etc., no incidan directamente sobre los
equipos de la sala de cmputo.

Verificar que los manuales de administracin de los equipos estn bien protegidos y solo
puedan ser accesados por personal autorizado.

Verificar que exista suficiente espacio fsico dentro de las instalaciones de la sala de cmputo,
de acuerdo con la densidad de equipos y a los planes a futuro.

Seguridad lgica Administracin de passwords

Garantizar que el acceso lgico al equipo est restringido por procedimientos y polticas de
acceso utilizando passwords.

Verificar que existan procedimientos autorizados para la asignacin y actualizacin de las


claves de acceso a los equipos.

Solicitar al administrador de los equipos las listas, tablas o matrices de las claves de acceso
y verificar si se incluyen las claves de acceso a dispositivos perifricos ( discos, impresoras,
unidades de cinta, etctera).

Revisar los procedimientos para la administracin de passwords y determinar as:

Estn definidas de acuerdo con una norma establecida


La solicitud y autorizacin se hace por escrito
Las caractersticas de longitud, composicin (que permita letras maysculas y minsculas,
nmeros y caracteres especiales), encriptado, etc., son adecuadas para que stos no
sean fcilmente deducidos.
Prevn que los passwords no sean difundidos en forma inadvertida ni desplegados
durante el proceso de acceso a la red o impresos en alguna salida.
Prevn que los passwords sean almacenados en archivos encriptadas.
Contemplan polticas de cambio frecuente de stos Por ejemplo, usar una fecha de
expiracin asociada a los passwords o limitar su uso a un nmero determinado de
accesos para obligar su cambio.
Prevn la eliminacin de las claves de acceso de aquellos individuos que cesan su
relacin de trabajo con la empresa.
Prevn la desconexin automtica cuando transcurren algunos minutos de haber utilizado
el ltimo acceso al sistema (ltima instruccin tecleada)
Prevn la suspensin del cdigo de acceso, o la deshabilitacin del equipo en caso de
que haya varios intentos de acceso fallidos durante el mismo da.
Especifican la aplicacin de sanciones por el mal uso de los passwords y divulgacin
de stos a otras personas.

Corroborar que el personal (operativo y usuario) esta consciente de los riesgos y problemas
derivados de divulgar su clave de acceso , por ejemplo, el posible mal uso de la informacin.

Verificar la aplicacin de las sanciones especificas en los procedimientos para la divulgacin y


el mal uso de los passwords.

Determinar si los usuarios son restringidos a terminales especficas o das y horarios


especficos.
Verificar que el acceso al equipo de monitores es controlado, mediante prcticas, tales como
limitar el nmero de usuarios y ejercer un estricto control de las actividades que realizan.

Determinar si el departamento usuario valida peridicamente los permisos, alcance y


estratificacin de las claves de acceso asignadas a cada uno de sus miembros.

Comprobar que durante el proceso de informacin crtica se efectan comprobaciones


peridicas que permitan certificar la identidad y permanencia del usuario, mediante informacin
que solo l conozca. Por ejemplo:

Direccin anterior
Fecha y/o lugar de nacimiento de algn miembro de la familia
Color de ojos de alguien de su familia

Acceso a la informacin

Asegurar que el acceso a la informacin est restringido con la adecuada estratificacin de


niveles de acceso. Determinar si los procedimientos prevn que las claves asignadas a los
usuarios consideren el nivel de acceso para:

Equipos
Archivos
Programas de las aplicaciones
Comandos del sistema operativo, etctera

Verificar la existencia de la documentacin mediante la cual se justificaron las asignaciones de


claves de acceso a los equipos de informacin.

Verificar que existan procedimientos para la asignacin de claves de acceso temporal o de


emergencia. Determinar si es necesario obtener una autorizacin especial para este tipo de
accesos y si este tipo de autorizaciones se limitan a un periodo dado y si se informa de ello
a la administracin. Verificar que estos accesos temporales se concedan con poca frecuencia.

Verificar que los procedimientos de autorizacin para la ejecucin de procesos cubren los
siguientes elementos:

Recursos o proteccin de objetos

Implementar autorizaciones a diferentes niveles con la finalidad de proteger


adecuadamente la integridad y confidencialidad de datos y programas, por ejemplo:
Archivos, base de datos o programas
Un grupo particular de registros en base de datos
Un registro en particular o categoras de registros en base de datos o archivo
Un campo en particular o categoras de campos en base de datos o archivo
Diferentes tipos de procesos, etctera

Perfiles

Verificar que existan procedimientos para la asignacin de perfiles de acceso a los


sistemas.

Verificar que exista una bitcora automatizada, en la que se registren:

- Todos los intentos de acceso al sistema, vlidos e invlidos

- Todos los requerimientos hechos al sistema para respaldar programas, datos, o


transacciones.
- Todas las modificaciones de datos crticos o programas

Verificar que:

- Existan procedimientos para detectar las posibles violaciones

- La seguridad de la bitcora est protegida

- Peridicamente se revise la bitcora por el supervisor indicado

Dentro de este tipo de auditora, se pueden considerar los siguientes tipos de anlisis, los
cuales realizan diferentes empresas en el mercado, entre las que se destacan:

Diagnsticos

Anlisis completo de los sistemas desde internet (o test de intrusin) identificando las
vulnerabilidades crticas, as como recomendaciones de seguridad, instrucciones para arreglar las
vulnerabilidades adjuntando parches de seguridad necesarios, o recomendando versiones
apropiadas del software que usa el cliente.

Monitoreo en lnea

Instalacin en los sistemas del cliente de un software propio para el seguimiento remito diario
de las posibles incidencias de seguridad, as como la propuesta de planes de accin de
emergencia.

Forenses

Anlisis de la superficie del disco duro programados, aleatorios o puntuales (balo sospecha de
anormalidad),con el fin de asegurar la integridad de los registros y de que estos no han sido
manipulados por un intruso; es decir, rastrear el uso autorizado de los datos almacenados en
diferentes tipos de dispositivos.

Sistemas de alertas y vigilancia tecnolgica

Si vigilan las vulnerabilidades que afectan sistemas en operacin y en caso de algn acceso
no autorizado, se generan reportes de alertas a diferentes niveles descriptivos.

Conclusin

Para lograr determinar una evaluacin adecuada con respecto a los controles en tecnologas
de informacin y en particular lo relacionado con la seguridad, de manera sustancial, los
auditores han tenido que tomar el liderazgo en estos esfuerzos, ya que se enfrentan
cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a la administracin,
acerca de los controles internos que garantizan razonablemente la confiabilidad de la
informacin que en ellos se genera y por ende el cumplimiento de sus metas y objetivos.

AUDITORA DE SEGURIDAD INFORMTICA O AUDITORA DE SEGURIDAD DE SISTEMAS DE


INFORMACIN

Una auditora de seguridad informtica o auditora de seguridad de sistemas de informacin (SI)


es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales para
identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse
en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern
establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial
que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.

Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin


exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.

ndice
1 Fases de una auditora
2 Tipos de auditora
3 Estndares de Auditora Informtica y de Seguridad
4 Vase tambin

Fases de una auditora

Los servicios de auditora constan de las siguientes fases:

Enumeracin de redes, topologas y protocolos


Verificacin del Cumplimiento de los estndares internacionales. ISO, COBIT, etc.
Identificacin de los sistemas operativos instalados
Anlisis de servicios y aplicaciones
Deteccin, comprobacin y evaluacin de vulnerabilidades
Medidas especficas de correccin
Recomendaciones sobre implantacin de medidas preventivas.

Tipos de auditora

Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y


privacidad de las redes locales y corporativas de carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un
complemento fundamental para la auditora perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el anlisis
posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el
sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la
inoperabilidad del sistema, el anlisis se denomina anlisis postmortem.
Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando
vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de
posibilidades de Cross Site Scripting (XSS), etc.
Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como
de cualquier tipo de aplicacin, independientemente del lenguaje empleado

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a
los sistemas de informacin. Acciones como el constante cambio en las configuraciones, la instalacin
de parches, actualizacin de los softwares y la adquisicin de nuevo hardware hacen necesario que los
sistemas estn continuamente verificados mediante auditora.

Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas prcticas sugeridas.
Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es
COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos
como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo
internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una
directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen
los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001.

SEGURIDAD INFORMTICA. IMPORTANCIA EN LA AUDITORA DE ESTADOS FINANCIEROS

Recientemente, en la Tercera Reunin Anual de Crecimiento y Rentabilidad de Accounting Today


(http://www.accountingtoday.com) se prepararon varios tpicos para Contadores que se abordan dentro
del track de tecnologa, como el reciente enfoque en los servicios en la nube y el uso de dispositivos
mviles. Cabe destacar que el objetivo de este artculo no es plantear en qu consisten estas
modalidades de cmputo, sino saber cul es su impacto en materia de seguridad hacia un Contador,
independientemente del origen o destino de la informacin que est a su alcance para realizar sus
actividades cotidianas.

Los sistemas de informacin, incluidos los contables, contienen datos privados y confidenciales que
pueden quedar comprometidos si no se protegen. El uso no autorizado de la informacin de un sistema
puede llegar a ser catastrfico, resultando en un riesgo de prdida de esta, errores en la introduccin de
datos o mal uso de la informacin confidencial. La seguridad de los sistemas de informacin es una
prioridad en la mayora de las organizaciones.

La Ley Sarbanes-Oxley de 2001 se volvi un parteaguas para el reporte de estados financieros de las
organizaciones. El escndalo de Enron y la manipulacin de la informacin reportada por parte de los
altos ejecutivos financieros provoc que el Congreso Norteamericano endureciera su postura hacia las
organizaciones que cotizan en Bolsa, buscando que todo aquel que tiene inters en la organizacin
(empleados, ejecutivos, proveedores o accionistas llamados de manera genrica stakeholder) tenga un
aseguramiento de que la gestin es honesta, transparente y que siempre hay un responsable por lo que
se hace en todos los niveles.

As pues, la Seccin 404 de la Ley Sarbanes-Oxley hizo obligatorio para la Direccin incorporar
controles internos sobre el reporteo financiero, que incluye los sistemas contables que generan los
nmeros que darn a esos reportes.

El tema de cumplimiento de Sarbanes-Oxley o de legislaciones especficas de las diferentes industrias


(como PCI, SAS70, Basilea II, COSO, entre otras) hace cada vez ms importante que todos los
miembros de la organizacin, tecncratas o no, se involucren en manejar funcionalidades enfocadas en
seguridad para recursos tecnolgicos de uso generalizado como el correo electrnico, los aplicativos, o
la creacin y presentacin de documentos para demostrar que somos quienes decimos que somos
(conocido esto en seguridad informtica como: autenticacin).

Muchos de nosotros presentamos declaraciones propias o de otras personas fsicas o morales, cada
mes o cada ao, segn lo que dicta la Secretara de Hacienda y Crdito Pblico (SHCP), por medio del
Servicio de Administracin Tributaria (SAT), y esta dependencia requiere de un mecanismo de
aseguramiento de no repudio; en otras palabras, para casos como este, que el causante no pueda
decir que no emiti una declaracin o un documento determinado. Para ello, se desarroll el mecanismo
de la Firma Digital que se aplica a todos los documentos que, como persona moral o persona fsica, se
someten a la instancia recaudadora.

Al ingresar al portal de un banco o al comprar algo mediante Internet utilizamos un mecanismo de


transmisin segura que crea un tnel entre nuestra PC y el sistema al que accedemos (el servidor en el
banco o el de la entidad con la que se realizan las transacciones de compra-venta).

RIESGOS
Los riesgos que puede enfrentar un sistema contable varan desde transacciones fantasmas hasta que
alguien robe, de manera fsica, una cinta magntica con informacin financiera. Adicionalmente, algunos
otros riesgos a los que est expuesto son:

Robo de identidad y datos de sus empleados o proveedores, que es una particularidad criminal
que constituye una de las mayores actividades fraudulentas en las organizaciones.
Pagos a proveedores inexistentes, que es uno de los recursos ms recurridos en la actividad
ilcita.
Robo o eliminacin intencional de informacin, donde participan empleados resentidos con la
compaa, espas industriales o criminales informticos.
Daos a medios de respaldo, que son el seguro de vida de las organizaciones en caso de
cualquier situacin de contingencia.
Robo de servidores, computadoras personales o equipos porttiles como: tabletas, telfonos
inteligentes, etctera.

MEDIDAS DE SEGURIDAD

Los controles de seguridad pueden prevenir la materializacin de uno de estos riesgos o detectar un
problema cuando este ya se dio. Una vez que se identifican los riesgos para proteger los sistemas, se
pueden aplicar medidas como las siguientes:

Cambiar con frecuencia las contraseas de acceso a los sistemas, con el fin de que tengan un
aceptable nivel de complejidad (combinando maysculas, minsculas, nmeros y caracteres
especiales).
Encriptar o cifrar la informacin, con el fin de que si esta es interceptada por alguien ms en su
transmisin entre emisor y receptor, tenga un alto nivel de complejidad para descifrarla.
Revisar y auditar con periodicidad los reportes contables u otro relativo al negocio, lo cual
permite detectar con oportunidad si existe alguna desviacin de los parmetros esperados en la
operacin.
Tomar previsiones para que la informacin de respaldo se resguarde en sitios alternos, con el fin
de maximizar las posibilidades de recuperacin. Esto involucra la informacin en medios
magnticos y la que existe en medios fsicos; asimismo, la digitalizacin de facturas facilita que
los requerimientos de espacio sean cada vez menores.
Mantener buenos hbitos como usuario en los sistemas. Por lo general, tenemos la idea de que
corresponde al Departamento de Sistemas velar por el buen funcionamiento de los recursos de
informacin, pero las buenas prcticas comienzan con el mismo usuario: cuidando sus
contraseas, instalando solo las aplicaciones autorizadas, no abriendo archivos de dudosa
procedencia y resguardando el acceso fsico a los sistemas.

CONCLUSIN

Dentro del gobierno corporativo de las organizaciones, el cual busca que las decisiones dentro de la
organizacin estn alineadas con los objetivos del negocio, existe, a su vez, el subconjunto del gobierno
de tecnologa de la informacin, de manera que las decisiones de TI (entre ellas las de seguridad
informtica) tambin lo estn.

La informacin es propiedad de la organizacin que la genera y utiliza para fines del negocio. De
acuerdo con esto, todos los miembros de la organizacin tienen responsabilidad sobre el manejo
consciente de los recursos de informacin, desde lo que se abre en el correo hasta lo que se navega en
Internet, pasando por lo que instalamos o conectamos en nuestras mquinas. El Contador Pblico es
uno de los principales artfices de la dinmica del negocio por la criticidad de la informacin que maneja,
y adoptar una postura de compromiso con la seguridad de la organizacin puede elevar el nivel de
blindaje de los recursos de informacin.
IMPORTANTE

Realizar:
1. Los o las estudiantes con nmeros impares en la lista,
debern plasmar en sus apuntes para socializar en el
prximo encuentro, lo siguiente:
a. Cinco ejemplos de seguridad general que existan en
su organizacin.
b. Tome dos de esos ejemplos y describa el proceso
(paso a paso) para cumplir con ese protocolo de
seguridad

2. Los o las estudiantes con nmeros pares en la lista,


debern plasmar en sus apuntes para socializar en el
prximo encuentro, lo siguiente:
a. Cinco ejemplos de seguridad relacionado con los
sistemas de informacin que existan en su
organizacin.
b. Tome dos de esos ejemplos y describa el proceso
(paso a paso) para cumplir con ese protocolo de
seguridad

Anexo lista de estudiantes.


Estudiantes
1 ALVAREZ GALLEGO, ANGELICA M.

2 ANGULO, GIOVANNY

3 ARARAT CARABALI, ANA L.

4 ARISTIZABAL GARCES, ANA M.


5 BORJA GOMEZ, CAROL S.

6 CABEZAS CUERO, SANDRA M.

7 CARDONA GUTIERREZ, YULY Y.

8 CORTES CASTILLO, DOLY M.

9 ERAZO CEBALLOS, LILY

10 FERNANDEZ PRADO, ELVIA

11 FRANCO HERNANDEZ, LUZ E.

12 GRANADOS PARRA, KELLY J.

13 GUEVARA ORTEGA, JACKELINE

14 HERNANDEZ BELALCAZAR, CARLOS A.

15 IZQUIERDO MOSQUERA, JADY Y.

16 JIMENEZ ALZATE, MARIA F.

17 MENDEZ MENDEZ, MARY L.

18 NARVAEZ HINESTROZA, ELVIA

19 NIEVES ANDRADE, CAROLINA

20 OROZCO, VIVIANA

21 PEREA TORRES, ANA

22 PLAZA VIVEROS, SANDRA M.

23 QUIONES MORENO, JENNIFER

24 REY SOLER, LINDA Y.

25 RUIZ MUOZ, NORMA C.


26 RUIZ ROMERO, LEIDY A.
27 SALGADO ARIAS, ADRIANA

28
SANCHEZ RODRIGUEZ, MELFI Y.
29 VELASQUEZ FLOREZ, FREYSER

30 VERGARA TABA, ERICK


31 YUSTY RENTERIA, BEATRIZ E