ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

AUDITORÍA DE SISTEMAS
NRC 8341

Presentado por:

LADY JOHANNA CORREA MUÑOZ

ID 508387

Tutor:

LUIS GUILLERMO ARANGO MACIAS

Corporación Universitaria Minuto de Dios

Contaduría Publica VIII Semestre
Pereira Risaralda
Febrero 2020
 CONTADURÍA PÚBLICA
Auditoría de sistemas
Unidad 2

ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS

Teniendo en cuenta la información suministrada por el representante legal la empresa

posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los sistemas
informáticos pues si bien hoy en día la tecnología ha logrado grandes aportes a la
empresas también es cierto que es necesarios asumir varios tipos de seguridad y
prevención frente al mal uso ya sea por equivocación o mal intencionado de los mismos
empelados. Ya que esto puede ocasionar desde el error más insignificante como hasta
la pérdida del patrimonio.

1. Identificando los riesgos a los que se encuentra expuesta la empresa en su

sistema informático, encontramos:

a) Los riesgos del control interno específicamente:

 Los equipos de cómputo están expuesto al sol y salpicaduras de lluvia
 Residuos de Alimentos en los teclados
 No están protegidos con un usuario ni clave
 No hay copia de seguridad desde hace 4 años
 Libre acceso a las diferentes redes sociales en horas laborales
 Varios usuarios y clave para acceder al software contable
 La contadora y asistente comparten la misma clave y el mismo usuario
 La red de internet implementada no es la más adecuada

b) Los riesgos de ingreso a los sistemas informáticos y autenticación

 Virus informáticos o código malicioso
 Uso no autorizado de Sistemas Informáticos
 Robo de Información
 Fraudes basados en el uso de computadores
 Suplantación de identidad
 Ataques de Fuerza Bruta
 Alteración de la Información
 Divulgación de Información
 Sabotaje, vandalismo
  Espionaje

c) Los riesgos a los que la información se expone por la manipulación de un

usuario.
 Divulgación indebida de información sensible o confidencial, de forma
accidental o bien, sin autorización.
 Modificación sin autorización o bien, de forma accidental, de
información crítica, sin conocimiento de los propietarios.
 Pérdida de información importante sin posibilidad de recuperarla.
 No tener acceso o disponibilidad de la información cuando sea
necesaria

d) Los riesgos que puede surgir de la impresión, reimpresión y extracción de

bases de datos de un sistema informático.
 Gastos innecesarios en reimpresiones
 No contribuir a medio ambiente por el gasto inoficioso de papel
 Documentos que se quedan en la salida de la impresora hay que
tener en cuenta que estos documentos pueden ser confidenciales o
tener información privada de la empresa o los mismos clientes
 Ataque procedente del exterior de la empresa
 Usuarios y acceso no autorizado (sustracción de todo tipo de
documentos)
 Intercepción de datos que se envían (impresiones por wifi ataque y
robos de información)
 Modificar por parte de los usuarios los parámetro de seguridad de la
impresoras (impresiones falsificadas)

2. Clasifique los riesgos en los siguientes procesos:

 entrada a los sistemas informáticos,
 procesos a los sistemas informáticos
 salida de información de los sistemas informáticos.

3. Después del análisis hecho, elabore una propuesta que contenga los
procedimientos de control interno que implantaría para mejorar la situación
de seguridad en la empresa en cada uno de los riesgos identificado.
 PLAN DE PROPUESTA PARA LOS RIESGOS INFORMÁTICOS IDENTIFICADOS

Una vez conocido el área auditada o sistema de información en la fase de

conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera
preliminar que pueden ser las fuentes de riesgos potenciales
Como primera medida se deben establecer políticas de seguridad dentro de la empresa
que permitan proteger la información, garantizar su confidencialidad y reglamentar su
uso y el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida,
deterioro o acceso no autorizado. Además de la información, en las políticas de
seguridad informática se incluyen elementos como el hardware, el software y los
empleados; se identifican posibles vulnerabilidades y amenazas externas e internas; y
se establecen medidas de protección y planes de acción ante una falla o un ataque.
También Capacitar al personal para el cumplimiento de procesos y actividades de
seguridad de la información.

LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE

RIESGO EFECTOS PROPUESTA

Reubicar los equipos de

cómputo que no tenga
exposición directa a
líquidos, salpicaduras, o
Corrosión ambientes con excesiva
Los equipos de cómputo
Resistencia eléctrica o la humedad. Asimismo, se
están expuesto al sol y
conductividad térmica rcomienda los cambios
salpicaduras de lluvia
Cortocircuitos bruscos de temperatura y
esperar a que los sistemas
se aclimaten antes de
encenderlos de nuevo
(portátiles)

Residuos de Alimentos en Los mandos no responden Se recomienda hacer la

los teclados Las teclas se pegan limpieza del equipo con
Atraer plaga (hormigas, pañuelos, cepillos y sobre

cucarachas que dañas
las plaqueta y cableado)
Sustracción de información
confidencial
No están protegidos con un  Cualquier empelado
usuario ni clave puede usarlo y realiza
modificaciones
 Descargar virus
 Perdida de archivos ya
sean eliminados por
No hay copia de seguridad
error y provocado
desde hace 4 años
 Perdida de información
por catástrofe
Libre acceso a las
diferentes redes sociales
en horas laborales
 Posible pérdida de
 cifrar contraseñas de
información.
 Virus
 Modificaciones a
Varios usuarios y clave
archivos o al sistema
para acceder al software
contable
todo prohibir el consumo
de alimentos y líquidos
sobre los equipos, destinar
un área de alimentación en
horas específicas.
Se recomienda que en
cada puestos de trabajo del
área administrativa tenga
un usuario y clave de
acceso para el uso de su
computadora
 Se pueden hacer
respaldos físicos (que
deben ser cambiados
cada cierto tiempo), en
la nube o una
combinación de ambas.
Preferiblemente que se
cuente con una
alternativa que se haga
de manera automática y
periódica.
 encriptar los backups
con una contraseña, en
caso de que quiera
cuidar información
confidencial.
 Sistema de cifrado para
envió y recepción de
información
usuario, datos
personales y
financieros, llamadas,
lista de contactos, el
acceso a páginas web y
al correo electrónico y
La contadora y asistente
comparten la misma clave
conexiones a terminales
y el mismo usuario.
remotos, entre otros
 Señal débil en las
diferentes áreas de la
La red de internet Implantar un modelo de red
empresa.
implementada no es la más basado en cableado
 Retraso en tiempos de
adecuada estructurado.
producción para los
funcionarios.

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y

AUTENTICACIÓN
RIESGO EFECTOS PROPUESTA
 Usuario y contraseña
sabotaje informático  Asignación de una
Uso no autorizado de dirección IP privada.
(suprimir o modificar sin
Sistemas Informáticos autorización funciones o  Utilización de un firewall
datos de computadora con para restringir la
intención de obstaculizar el transmisión.
Robo de Información
funcionamiento normal del  Especificación de la
sistema) comunicación cifrada
TLS.
Fraude informático que
supone el cambio de datos  Configuración de un PIN
para gestionar
o informaciones
información almacenada
contenidas en la en la impresora.
computadora en cualquier
 actualizados los
fase de su procesamiento programas antivirus y
o tratamiento informático, firewall
en el que media ánimo de  personal capacitado en
lucro y genera perjuicio a conocer e  identificar
terceros. amenazas que hayan
 spionaje informático o fuga sido enviadas por email
Fraudes basados en el
uso de computadores
de datos que consiste en
obtener no
autorizadamente datos
almacenados en un fichero
Suplantación de
automatizado, en virtud de
identidad
lo cual se produce la
 violación de de
Instalación la reserva
malwareso
a través de descarga de  Se recomienda
aplicaciones instalar un antivirus
 Ataque a los celulares en los dispositivos
por medio de móviles.
Uso de dispositivos ‘ransomware’, una  evitar páginas y
móviles técnica con la que los aplicaciones con
atacantes secuestran la contenido no seguro
información del  y hacer copias de
dispositivo a cambio de seguridad de forma
una recompensa periódica.
económica.
 Daño de  Ingreso de usuarios y
imagen. Genera un claves
Espionaje impacto negativo de la  cifrado de la
entidad y lleva implícita información confidencial
la pérdida de confianza. corporativa
 Consecuencias  instalación, configuración
legales. Podrían y actualización
conllevar sanciones de cortafuegos
Alteración de la económicas o mantener actualizadas to
Información administrativas. das las aplicaciones de
 Consecuencias nuestros sistemas, etc.
económicas. Estrecham  Sanciones jurídicas y
ente relacionadas con económicas
Divulgación de las anteriores,
Información se encuentran dentro de
aquellas que suponen
un impacto negativo a
nivel económico, con
una disminución de la
 inversión, negocio, etc.
 Instala un buen
antivirus en los equipos y
actualizarlo de forma
permanente.

 No aceptar software de
ningún tipo cuyo origen se
desconozca, y que solicite
la desactivación del
antivirus.  

 No hace clic en los pop-

ups (ventanas
emergentes) que
aparecen en los
Instalación de virus que nos navegadores. Si el
ralentiza el ordenador, navegador web le avisa
Virus informáticos o hacernos perder información de que una página no es
segura,
código malicioso (o, directamente, robárnosla
abandónela inmediatame
para usos ilícitos y nte
peligrosos)
 No aceptar ni abrir fotos
o archivos recibidos de
desconocidos por ninguna
vía, ya sea email,
Messenger, etc.

 Utiliza el escáner de
antivirus siempre antes de
manipular cualquier
archivo recibido, incluso
aunque provenga de
fuentes fiables como
contactos del trabajo o
amigos.
 LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA
MANIPULACIÓN DE UN USUARIO.
RIESGO EFECTOS PROPUESTA
Divulgación indebida de  incumplimiento de  establecer normas para
información sensible o confidencialidad e la transición de IPv4 a
confidencial, de forma integridad de la IPv6 debido a que todos
accidental o bien, sin información los equipos informáticos
autorización.  Ausencia de de la entidad soportan
Modificación sin transferencia de la nueva versión de IP
autorización o bien, de conocimiento y falta de  Invertir en un software o
forma accidental, de capacitación sistema de información
información crítica, sin  Acciones no adecuadas para el almacenamiento
conocimiento de los en el tratamiento de los y consulta de la
propietarios. activos de información documentación física
Pérdida de información e informáticos existente
importante sin posibilidad
 Daño de documentos y  Adquisición de una
de recuperarla. nube para
deterioro del papel.
No tener acceso o
 No existen transición de almacenamiento de
disponibilidad de la
protocolo de IP información.
información cuando sea
 Crear cuentas de
necesaria
usuario con claves

LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y

EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO.
RIESGO EFECTOS PROPUESTA
Genera gastos de papel y
tinta y energía
Gastos innecesarios en  Concientizar a los
reimpresiones empleados

 Alternativas de
No contribuir a medio almacenamiento
ambiente

 Configurar la
impresora
  Reutilizar el papel

Documentos que se Perdida de documentos  controlar las personas

quedan a la salida de la que pueden ser que imprimen los
impresora: confidenciales o tener documentos
información privada de la  Estarán protegidos por
empresa o los mismos el cortafuegos de la
clientes, éstos pueden empresa;
acabar cayendo en malas  estarán incluidos en las
políticas de seguridad
manos, con todo lo que ello
que aplican al resto de
supone. sistemas informáticos y
Modificar parámetros de la Dispositivo expuesto a equipos de red;
seguridad de las manipulaciones, que  estarán conectados a
impresoras conllevarían impresiones un servidor de colas de
falsificadas o en una impresión que las
reducción a propósito de gestione, configure y
medidas de seguridad que audite adecuadamente
de forma centralizada;
faciliten ataques concretos.
 contarán con un servicio
de impresión segura,
protegiendo mediante
autenticación de usuario
o PIN la impresión de
los documentos, esto
Usuarios y acceso no sustracción de todo tipo de impedirá la pérdida de
autorizado documentos documentos impresos;
 no tendrán acceso
directo a internet sin
pasar por el cortafuegos
de red corporativo, ni
 Impresiones por wifi ataque siquiera para tareas de
y robos de información mantenimiento por parte
del servicio de soporte;
 el acceso a la interfaz
de configuración web de
la impresora se hará de
forma cifrada (https),
Intercepción de datos que
únicamente por
se envían personal autorizado;
 se cambiarán los
usuarios y contraseñas
por defecto que puedan
llevar configuradas de
fábrica
 se desactivarán los
Ataque procedente del puertos de
exterior de la empresa comunicaciones y
servicios web que no
sean necesarios o no se
estén utilizando, como
el puerto USB, servidor
FTP, correo electrónico,
fax, etc.;
 se mantendrá
actualizado el firmware
para solucionar las
posibles
vulnerabilidades de
seguridad detectadas; si
la impresora es muy
antigua y no dispone de
soporte, se debe
sustituir por otra más
segura o desconectarla
de la red;
 se cifrarán las
comunicaciones con los
equipos clientes para
proteger el envío de la
documentación
confidencial;
 si la impresora se
conecta a la wifi, se
extremarán las
precauciones en la
configuración de la wifi
 para proteger el acceso
inalámbrico
 se cifrará el contenido
de sus discos duros
internos para proteger la
información
almacenada en ellos, y
se procederá a realizar
un borrado seguro del
mismo cuando se
sustituya o deseche el
dispositivo o su disco
duro de
almacenamiento

BIOGRAFÍAS

https://tecnologia-facil.com/como-hacer/prevenir-accesos-no-autorizados-pc/

http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02%20PLAN%20DE
%20GESTION%20DEL%20RIESGO%20EN%20SPI.pdf

https://www.incibe.es/protege-tu-empresa/blog/como-puedo-prevenir-fuga-informacion-dentro-
empresa

https://revistadigital.inesem.es/informatica-y-tics/mitigar-la-fuga-de-informacion/#:~:text=Las
%20consecuencias%20que%20puede%20tener,impl%C3%ADcita%20la%20p%C3%A9rdida%20de
%20confianza.

http://www.ebooks7-24.com.ezproxy.uniminuto.edu/stage.aspx?il=5032&pg=&ed=

https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidas-
ciberseguridad