Informe de auditoría de sistema

Asignatura:

Auditoria de Sistemas

Estudiantes:
Ángel Mojica López

Tutor:
Jimmy Leonardo Velandia
NRC: 3485

Corporación Universitaria Minuto de Dios

Facultad de Ciencias Empresariales
Contaduría Pública
28 de Febrero de 2020
Bogotá
 Introducción

En la siguiente actividad presentare el desarrollo y entendimiento de los conceptos generales

de la auditoria de sistemas , el cual me permite identificar los riesgos a que está sujeto el
negocio o empresa y a presentar las posibles alternativas de gestión de auditoria, para
minimizar y controlar los riesgos a los que se encuentra expuesta, al no presentar las
metodologías y métodos de acciones correctivas para ella en su proceso de marcha.
 Informe de Auditoria de sistemas Informáticos
Introducción
El presente informe se realizó con el fin de Evaluar al área de sistemas de la empresa de Aseo,
para dar cumplimiento a la Norma sobre Control y Auditoría Interna, para determinar el estado
actual de dicha empresa
Objetivos Generales:
1. Llevar a cabo la evaluación de la eficacia de las medidas de control establecidas y el grado en
el que se logra el objetivo de control bajo revisión, mediante la consideración de los criterios
identificados y las prácticas estándares de auditoría.
2. Dar seguimiento a las recomendaciones de establecidas en la auditoria.
3. A través de la aplicación de nuestras técnicas y procedimientos, hacemos una evaluación de los
principales riesgos tecnológicos a que se enfrenta la institución, la manera de administrarlos y
controlarlos para un adecuado funcionamiento en las operaciones.
Objetivos Específicos:
1. Evaluar que exista una clara definición de la estructura del área de sistemas.
2. Revisar y evaluar como controla la gerencia de tecnología las actividades de informática.
3. Evaluar que controles existen para brindar un adecuado soporte a los usuarios.
4. Asegurarse que se efectúa seguimiento permanente de las observaciones y recomendaciones
formuladas por los auditores internos, externos.
5. Revisar que las bases de datos utilizadas por los sistemas son administradas correctamente para
asegurar que se mantenga su integridad.
6. Revisar y evaluar los mecanismos establecidos para la seguridad en las aplicaciones o
programas propios de la institución.
7. Evaluar el cumplimiento de las políticas y procedimientos internos de seguridad.
8. Verificar y evaluar las normativas internas en el uso de correo electrónico e Internet.
9 .Comprobar que existen controles para prevenir accesos no autorizados y daños a la
información confidencial de la institución.
10. Examinar y evaluar que las conexiones de red cumple con requisitos de disponibilidad y
seguridad física apropiada.
11. Verificar y evaluar controles para la ubicación y resguardo apropiado de las terminales de
trabajo.

Alcance
Valoración del cumplimiento de control interno informático, con el fin de asegurar que las
medidas de control establecidas estén funcionando como es debido, de manera consistente y
continúa.
Pruebas
Con la información suministrada para el desarrollo de la presente auditoria, se realizó visita
preliminar bajo el método de observación y recolección de la información con el fin de
identificar los riesgo a los cuales se encuentra expuesta la empresa y para ello se durante la
visita se tomaron los siguientes evidencias:
Hallazgos
1. No se tiene un lugar establecido para el funcionamiento adecuado del centro de cómputo.
2. No se tiene configurado el control de claves de acceso para el ingreso al sistema de
cómputo para cada usuario autorizado.
3. No se realiza, ni se tienen copias de seguridad y no se tiene un disco duro para el
almacenamiento de la información fuera del servidor.
4. No se tienen control o restricción al uso del internet y los usuarios tienen acceso a páginas
de internet y a redes sociales.
5. No se tiene control sobre el ingreso al Software contable, no se le asigno y habilito el
usuario y contraseña a cada uno para su control y responsabilidades.
6. Los usuarios y claves de acceso al sistema contables son compartidos y nunca se hace
cambio de contraseñas y claves para tener seguridad y control de la información.
7. No se tiene restricciones en el horario de trabajo.
8. No se tiene control en el manejo de la información- acceso al sistema, se puede borrar y
modificar la información.

Riesgos

Los posibles riesgos que se pueden presentar al no desarrollar un buena planificación para
el control y seguridad en el proceso de desarrollo de la empresa de comercializacion de
productos de aseo es:
1. El no tener un lugar adecuado para el funcionamiento de los equipos de cómputo
genera riesgos de daño (cortos eléctricos, etc) de los equipos, perdida de información y
gastos económico al permitir que estos equipos de trabajo estén expuestos al sol,
agua y comida.
2. El no tener el control de las claves de acceso para el ingreso de los usuarios genera
riesgo de pérdida de información a través de que cualquier usuario puede extraer
información importante, modificar o borrar cualquier información.
3. Otro riesgo importantísimo sobre el cual se presenta en esta empresa es el no realizar
las copias de seguridad, es decir no se guarde la información en un disco duro y en un
sitio reservado fuera de los equipos de funcionamiento del sistema, para el manejo de
la información.
4. El no tener establecido un control de acceso a internet y redes sociales genera riesgo
de contraer virus que dañen la información, o que los utilicen para el robo de la
información.
Hackers que roban la información de las bases de datos que se maneja en la empresa.
5. En cuanto al sistema contable se genera el riesgo de pérdida de la información,
cambios, modificaciones y fraudes en la manipulación de la información financiera por
no tener restringido los perfiles autorizados para el manejo del sistema. Además no se
 debe compartir las claves, debe estar autorizado cada usuario con su clave para el
manejo del sistema
6. Se debe restringir la utilización o servicio de trabajo en los equipos que se maneja la
información esto con el fin de que se evite la pérdida, fraude o robo de información de
ellos.
7. Por ultimo como ya se ha informado la asignación de las claves, contraseñas para el
ingreso a los sistemas debe ser de mayor cuidado para disminuir los riesgo
informáticos y generar un alto nivel de seguridad para la empresa.

Recomendaciones

Físicas

1. Se requiere la creación de la oficina de control interno en la empresa. Que las directivas de la

empresa, a través de un comité de seguridad o a través de la oficina de control interno, dicte
medidas en lo concerniente a la seguridad de los sistemas de información y seguridad física
del centro de cómputo y hacerlas poner en práctica.
2. Motivar en la dirección del centro de cómputo la necesidad de la creación o aplicación de
estándares y procedimientos en lo que respecta al desarrollo de sistemas.
3. Que se tengan por escrito las políticas que lleva a cabo el centro de cómputo en lo que atañe a
niveles de responsabilidad de los empleados sobre los sistemas de información.
4. Definir y establecer planes de contingencia frente a posibles desastres: terremoto, inundación,
incendio.
5. Implementar un programa de entrenamiento hacia el personal que labora en el centro de
cómputo referido no sólo a los sistemas, sino también en torno a manejo de planes de
contingencia, utilización de extintores, formas de evacuación y salvamento.
6. Que toda aplicación desarrollada en el centro de cómputo posea documentación; para
aquellas que no la posean realizarla.
7. Crear el procedimiento de reporte de dificultades en los problemas de documentación.
8. Realizar un plan de capacitación a toda la comunidad en el sentido de hacer uso racional y
eficiente de la red, aprovechando al máximo la infraestructura existente, así como la futura
conexión masiva a Internet.
9. Adecuar los espacios físicos de acuerdo a las necesidades de trabajo
10. Dejar máximo dos entradas (puertas) con control de acceso al centro de cómputo.

Administracion claves y contraseñas

Garantizar  que  el  acceso  lógico  al  equipo  esté  restringido  por  procedimientos  y  políticas 
de  acceso  utilizando  claves o contraseñas.
Verificar  que  existan  procedimientos  autorizados  para  la  asignación   y  actualización    de 
las claves  de  acceso  a  los  equipos.
Solicitar   al   administrador  de  los  equipos  las  listas, tablas  o  matrices  de  las  claves   de
acceso  y  verificar  si  se  incluyen  las  claves  de  acceso  a  dispositivos  periféricos ( discos,
impresoras, unidades  de  cinta, etcétera).
Revisar  los  procedimientos  para  la  administración  de  Claves o contraseñas  y  determinar 
así:
 Están  definidas   de  acuerdo   con  una  norma  establecida
 La  solicitud   y  autorización  se  hace  por  escrito
 Las  características  de   longitud, composición (que  permita  letras  mayúsculas   y 
minúsculas, números  y  caracteres  especiales), encriptado, etc., son   adecuadas para que
éstos no sean fácilmente deducidos.
 Prever  que  las Claves o contraseñas no sean difundidos en  forma inadvertida ni
desplegados durante el proceso de acceso a la red o impresos en alguna salida.
 Prevén  que  los  Contraseña  sean  almacenados  en  archivos  encriptados.
 Contemplan   políticas  de  cambio  frecuente  de  éstos  Por  ejemplo, usar una fecha de
expiración asociada  a los contraseña  o  limitar  su  uso  a  un  número  determinado  de
accesos para obligar su  cambio.
 Prevén  la  eliminación  de  las  claves  de  acceso  de  aquellos  individuos  que  cesan  su 
relación   de  trabajo  con  la  empresa.
 Prevén  la  desconexión  automática  cuando  transcurren  algunos  minutos  de  haber 
utilizado  el  último  acceso   al  sistema (última  instrucción  tecleada)
 Prevén  la  suspensión  del  código  de  acceso,   la  des habilitación del  equipo en  caso  de
que haya varios  intentos  de  acceso   fallidos  durante  el  mismo  día.
 Especifican  la  aplicación  de  sanciones  por  el  mal  uso  de  los  y  divulgación  de  éstos  
a  otras  personas.
 Corroborar  que  el  personal (operativo  y  usuario) está consciente de  los  riesgos y
problemas derivados de  divulgar  su  clave  de  acceso , por  ejemplo,  el  posible  mal uso 
de  la información.
 Verificar  la  aplicación  de  las  sanciones  especificas  en  los  procedimientos   para  la 
divulgación  y el  mal uso  de  las claves o contraseña  .
 Determinar si los  usuarios son  restringidos a terminales  específicas o  días  y  horarios
específicos.
 Verificar  que  el  acceso  al  equipo  de  monitores   es  controlado,  mediante   prácticas,
tales  como  limitar  el  número  de  usuarios  y  ejercer  un  estricto  control  de  las 
actividades  que  realizan.
 Determinar si  el departamento usuario valida  periódicamente los permisos, alcance y
estratificación de las  claves  de  acceso  asignadas  a  cada  uno  de  sus  miembros.
 Comprobar que durante el proceso de información crítica se efectúan comprobaciones
periódicas que permitan  certificar  la  identidad  y  permanencia  del  usuario, mediante
información que solo él conozca. Por  ejemplo:
 Dirección  anterior
 Fecha  y/o lugar  de  nacimiento   de  algún  miembro  de  la  familia
 Color  de  ojos  de  alguien  de  su familia

Acceso  a  la  información

Asegurar  que  el  acceso  a  la  información  está  restringido  con  la  adecuada  estratificación  
de  niveles  de  acceso. Determinar  si  los  procedimientos  prevén   que  las  claves  asignadas   a
los  usuarios  consideren  el  nivel  de  acceso  para:

 Equipos
 Archivos
 Programas  de  las  aplicaciones
 Comandos  del  sistema  operativo, etcétera

 Verificar la  existencia de la documentación  mediante  la cual se justificaron las asignaciones

de claves de acceso a los equipos de información.
 Verificar  que  existan  procedimientos  para  la  asignación  de  claves  de  acceso  temporal 
o  de  emergencia.
 Determinar  si  es  necesario  obtener  una  autorización  especial  para  este  tipo  de accesos 
y  si  este  tipo  de  autorizaciones  se  limitan  a  un  periodo  dado   y  si  se  informa  de 
ello  a  la  administración.
 Verificar  que  estos  accesos  temporales  se  concedan  con  poca  frecuencia.
 Verificar  que  los  procedimientos  de  autorización   para  la  ejecución  de   procesos 
cubren  los  siguientes  elementos:
Recursos  o  protección  de  objetos
 Implementar  autorizaciones  a  diferentes  niveles  con  la  finalidad  de  proteger 
adecuadamente  la  integridad  y  confidencialidad   de  datos  y  programas,  por  ejemplo:
 Archivos,  base  de  datos  o  programas
 Un  grupo  particular  de  registros  en  base  de  datos
 Un  registro  en  particular   o  categorías  de  registros  en  base  de  datos  o  archivo
 Un  campo  en  particular  o  categorías   de  campos  en  base  de  datos  o  archivo
 Diferentes  tipos  de  procesos, etcétera
Perfiles
 Verificar  que  existan  procedimientos   para   la  asignación  de  perfiles  de  acceso  a  los  
sistemas.
 Verificar  que  exista  una  bitácora  automatizada, en  la  que  se  registren:
-Todos  los  intentos  de acceso al sistema, válido e inválido
-Todos  los  requerimientos  hechos  al sistema  para  respaldar  programas, datos,  o 
transacciones.
-Todas  las  modificaciones  de  datos  críticos  o  programas
Verificar  que:
            - Existan  procedimientos  para  detectar  las  posibles  violaciones
            - La  seguridad  de  la  bitácora  está  protegida
            - Periódicamente  se   revise  la  bitácora  por  el  supervisor  indicado

Conclusión: con el análisis y desarrollo de este informe se determinó que la empresa

realmente necesita construir un plan de contingencia para establecer los niveles de control y
seguridad de la información en los sistemas tecnológicos y contables desarrollados en la
empresa
 Conclusión

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo.
 Su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de
la información, a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma de
decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo,

de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de

información, ya que proporciona los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad.
 Referencias
Muñoz Razo Carlos (2002) Auditoria en Sistemas Computacionales Primera Edición Pág 133
a 190 Editorial Pearson Educación.

Costas, S. J. (2011). Seguridad Informática. Editorial Ra-Ma. España. Gómez V., Á. (2011).
Seguridad informática: Básico. ECOE Ediciones,
Bogotá.
Villaurrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad
informática. Consultado el 30 de noviembre en:
http://arco.esi.uclm.es/~david.villa/seguridad/pautas.2x4.pdf