RIESGOS DE CONTROL INTERNO

PRESENTADO POR

ANGIE CATALINA AVILA ORDÓÑEZ. ID: 655584

VIKI LEIDY ENCISO PEÑA ID: 655586

HEIDY MARYEL GOMEZ RONCANCIO: ID: 653680

TATIANA ANDREA LÓPEZ CARO. ID: ID: 628106

DOCENTE

MYRIAM YOLANDA MEZA MARTINEZ

AUDITORIA DE SISTEMAS

NRC: 1442

ACTIVIDAD 2

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

CONTADURÍA PÚBLICA

15 DE MAYO DEL 2020

BOGOTÁ
ACTIVIDAD 2 AUDITORIA DE SISTEMAS

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la
empresa en sus sistemas informáticos, así:

A) Los riesgos del control interno específicamente.

Para auditoria de sistemas (s, f) el Control Interno Informático puede definirse como
el sistema integrado al proceso administrativo, en la planeación, organización,
dirección y control de las operaciones con el objeto de asegurar la protección de todos
los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad
de los procesos operativos automatizados.

Según Tarazona (s, f) básicamente, podemos agrupar las amenazas a la información

en cuatro grandes categorías: Factores Humanos (accidentales, errores); Fallas en los
sistemas de procesamiento de información; Desastres naturales y; Actos maliciosos o
malintencionados; algunas de estas amenazas son:

• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje
 En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o
de informática sin la utilización de herramientas computacionales.

En Raisbeck & Castro si identificamos el problema de la conducta de los empleados que les
gusta comer en su puesto de trabajo, muchas veces han corrido el riesgo de regar líquidos en
el teclado, el resultado se refleja al momento de hacer el aseo.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos

de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
para este caso la compañía RAISBECK & CASTRO tiene el programa de facturación de
Time Manager el cual permite crear usuarios y contraseña a cada uno de los colaboradores
según su necesidad o según el tipo de trabajo que realiza, con el fin de evitar información
errónea. Y también maneja el programa Galena que es donde lleva el registro de todos los
asuntos o casos que manejan los abogados de todos los clientes a nivel nacional e
internacional, también cada uno tiene su usuario y contraseña.

• Riesgo de Manipulación de correos, se identificó que el ingeniero de sistemas a todas las

personas nuevas que van llegando les crea su correo, pero todos tienen la misma contraseña,
este un riesgo en la seguridad de la información.

B) Los riesgos de ingreso a los sistemas informáticos y su autenticación

Según Tarazona (s, f) todos los sistemas informáticos conectados en red poseen
identificadores para poder enviar y recibir la información desde otros sistemas. Esta
identificación se conoce como la dirección IP (Internet Protocol).

Muchos desarrolladores resguardan bien la información porque tienen sus bases de datos
cifradas y accesos protegidos, pero también hay otros desarrolladores que no utilizan las
mejores prácticas en el manejo de la información y pueden dejarla vulnerable", explicó. Por
ello algunos cibercriminales atacan directamente a la base de datos y no a ningún usuario en
particular.

Los sistemas informáticos utilizan niveles pobres de autenticación tanto de sistemas como de
usuarios, lo cual disminuye la posibilidad de actuar contra los atacantes. Para ataques
elaborados como envío de spam, virus o inclusive accesos no autorizados, los atacantes han
desarrollado técnicas que permiten utilizar direcciones simuladas o falsas, cambiando la
dirección original asignada, y de esa forma engañar los procesos de búsqueda e identificación
y en muchos casos se valen de servidores públicos, para que, en caso de ser identificados, se
puedan mover fácilmente a otros sistemas sin dejar rastro, y continuar con sus ataques.

Para el funcionamiento adecuado en sus sistemas de información de Raisbeck & Castro cada
usuario tiene creado sus accesos de manera personal con su usuario y contraseña, para evitar
problemas de manipulación de información con el fin de debe llevar controles incorporados
para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos
de la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

C) Los riesgos a los que la información se expone por la manipulación de un usuario

Cuando la información se encuentra expuesta a usuarios dentro de las organizaciones, dada su

naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberían
ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden
incluir:

● Definición de políticas de seguridad que presenten las correspondientes violaciones

con el fin de dar cumplimiento.
● Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan
dar con éstos y segregación de funciones.
● Controles a nivel contratación de personal.
● Gestión antes, durante y después de la terminación de los contratos.
● Educación y capacitación continua en aspectos de seguridad.
● Procedimientos e instructivos para manejo de información.
 ● Políticas de escritorio y pantalla limpia.
● Cumplimiento de legislación aplicable, entre otros.

En la empresa que estamos auditando si tienen políticas de privacidad tales como,

acceso restringido a las diferentes carpetas en el drive, no todo el personal tiene
acceso a los mismos archivos, cada uno tiene su propio usuario y contraseña para los
diferentes programas, está rotundamente prohibido dejar las contraseñas guardadas en
el equipo y mucho menos en papelitos pegados a la pantalla del computador, una vez
un empleado termina su contrato laboral se le cierran todos los permisos y se bloquea
de todas las plataformas.

D) Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos
de un sistema informático.

Según muycomputerpro (2017), Las impresoras son hoy un dispositivo más de nuestra red
que necesita protección. En este artículo queremos centrarnos en repasar los cinco riesgos
más importantes que enfrenta una impresora actualmente.

1. Ataques maliciosos desde fuera de la empresa: los ciberataques dirigidos contra

empresas son un problema de seguridad creciente que se ha centrado en las impresoras,
en un intento de aprovechar una falta de protección y de utilizarlas como puerta de
entrada a la red.

Esta parte si no la tiene blindada la empresa, porque el servicio de impresión lo presta

un tercero (alquiler de la impresora).

2. Documentos expuestos a la salida del dispositivo: cuando dejamos documentos

impresos en la bandeja de salida por un largo periodo de tiempo éstos pueden acabar
cayendo en malas manos, con todo lo que ello supone.

Esta parte si está protegida porque todo lo que se imprime mal de una vez tiene que
pasarse por la trituradora de papel para destruirlo.
3. Uso y accesos no autorizados: puede ser un peligro importante, ya que las actividades no
autorizadas sobre impresoras desprotegidas pueden permitir la sustracción de documentos
importantes.

En Raisbeck & Castro nadie hace trabajos extra encima de la impresora, solo se
utiliza para imprimir y para escanear y al escanear cada empleado tiene su usuario al
cual le llega el trabajo realizado.

4. Interceptación de datos enviados: cuando movemos los documentos y datos de un

equipo o equipos a la impresora, o desde dispositivos móviles a aquella, se produce una
comunicación que puede quedar expuesta a ataques diversos, incluidos los de tipo
«hombre en el medio». Si cumple.

5. Modificación de parámetros de seguridad: si no protegemos adecuadamente los ajustes

y las configuraciones nuestra impresora puede quedar expuesta a manipulaciones, que
podrían acabar en impresiones falsificadas o en una reducción a propósito de otras
medidas de seguridad para facilitar ataques concretos. Los parámetros de seguridad los
brinda la empresa contratada para el servicio de alquiler de la impresora.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos,
procesos a los sistemas informáticos y salidas de información de los sistemas
informáticos.

● Riesgos en entradas a los sistemas informáticos: Riesgos dinámicos, estáticos,

especulativos, Riesgos financieros, riesgos dinámicos.

● Riesgos en los procesos a los sistemas informáticos: Esto es, amenazas o atentados
a los sistemas de información, los riesgos son: de integridad, estos son interfaces de
usuario, procesamiento, procesamiento de errores, interface, administración de
usuarios.

● Riesgos en las salidas de información de los sistemas informáticos

 -Riegos de relación, uso oportuno de la información greda para aplicativos.
-Riegos de acceso, procesos de negocio, aplicación, administración de la
información, entorno de procesamiento, redes.
- Riegos de utilidad, estos son las técnicas de recuperación o restauración de
información o Backus.
- Riegos en la infraestructura.
- Riesgos de seguridad general.

Son todos aquellos riesgos relacionados con: antivirus, procesos de seguimiento por
medios de Ip, y procedimientos prácticos.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos
de control interno que implementar para mejorar la situación de seguridad en la
empresa en cada uno de los riesgos identificados. Además, descargue de la plataforma el
cuestionario.

● Riesgos en entradas a los sistemas informáticos.

- Adiestrar el personal en las técnicas de extinción de incendios. Se cumple, pero no

todos tienen la capacitación, solo el personal administrativo, se recomienda capacitar
a todas las personas no se sabe en qué momento alguien lo pueda necesitar y si existe
un riesgo la persona que está más cerca del extintor debería saber cómo se utiliza.

- Garantizar que los sistemas de corte de corriente actúen sobre la ventilación, la

calefacción y el aire acondicionado. En este caso la empresa no tiene calefacción ni
aire acondicionado entonces no aplica.

- Controlar el empleo de materiales inflamables. En Raisbeck & Castro no se utilizan

materiales inflamables, no aplica tampoco.
 - Ubicar un sistema de alumbramiento de emergencia. Por el lado de luz como
iluminación no hay problema porque las oficinas cuentan con ventanales muy grandes
y por el lado de energía como tal para los equipos si no hay un sistema de emergencia.

-Garantizar hermetismo y fortaleza en puertas y ventanas. Si aplica, la puerta de

entrada queda lejos de los equipos y las ventanas la forma de abrirlas no da para que
el agua entre cuando llueve y realmente no abren mucho.

- Realizar instalaciones eléctricas con suficiente calidad y capacidad para evitar

sobrecargas. La oficina está habilitada para su fin, ósea todas las instalaciones
eléctricas están acordes a las necesidades.

- Adquirir estabilizadores de voltaje.

Se recomienda comprar un buen estabilizador de voltaje ya que estos ayudan a
minimizar el riesgo de que un equipo se queme y se pierda totalmente.

- Candados especializados y otros sistemas de seguridad física para evitar el traslado

indebido de los equipos, el robo de sus componentes o su utilización no autorizada,
entre otras. En Raisbeck & Castro no tienen este tipo de sistema de seguridad, se
recomienda implementarlo para evitar la pérdida, o traslado y por consiguiente un
daño por golpe al trasladarlo de sitio al equipo.

- Limpieza sistemática y en una forma adecuada. Se pudo notar que le hace falta
hacerle mantenimiento a los equipos más seguido, se recomienda hacerlo cada 6
meses como mínimo y la limpieza del sistema se recomienda hacerlo mínimo cada 15
días según el uso (se refiere a la cantidad de descargas o archivos temporales y las
cookies).

● Riesgos en los procesos a los sistemas informáticos

 - Validación de datos de entrada- Exigir identificación en la entrada. Se recomienda
cambiar las claves periódicamente.

- El acceso restringido y controlado. Si tiene en cuanto a carpeta de información

colgadas en el drive.

- Utilizar software de seguridad para controlar los accesos al sistema y las funciones
de consulta y escritura de los ficheros.
La empresa tiene sus propios sistemas controladores de información.

Instalar un firewall o “muro antifuego”, mantenerlo actualizado y registrar quién

accede al sistema y en qué momento lo hace. Mantener activa su alarma. La empresa
también cumple con este sistema de seguridad.

· Utilizar programas “scanner” para detectar los ataques a sus recursos y de dónde
provienen. También tiene implementado este sistema de seguridad.

● Riesgos en las salidas de información de los sistemas informáticos:

- Manuales de usuario, explotación y/o utilización. La empresa utiliza manuales o

protocolos para cada actividad, cada que alguien tiene una duda debe consultarlos.

-Uso de contraseñas relativamente seguras, para controlar los accesos al sistema.

Se evidenció una falla y es que al crear un nuevo correo el ingeniero de sistemas
encargado le pone a todos la misma contraseña y casi nadie la cambia.

-Programas antivirus actualizados. Si cumple.

- Hacer que el sistema de control funcione las 24 horas del día, profundizando en los
controles en horas no laborables. Si cumple, este sistema funciona todas las 24 horas
del día.

-Estudiar las necesidades de los usuarios y establecer autorizaciones selectivas y

jerarquizadas (“privilegio s”) para acceder a los diferentes recursos informáticos:
computadoras, terminales, datos, soportes magnéticos, etc. Si cumple.

-Cubrir la máquina con forro o cubierta similar (sellada), al concluir el trabajo.

No cumple, todos dejan el computador sin tapar y muchos sin cerrarlo, se recomienda
tener más cuidado a la hora de terminar el trabajo dejarlos cerrados y si se puede los
equipos de escritorio dejarlos cubiertos por un forro cada uno.

-Proteger el teclado con una carcasa metálica o plástica, o en su defecto, guardarlo

bajo llave. No cumple, nadie deja guardado ni el teclado ni el equipo al terminar su
jornada laboral, se recomienda implementar esta medida de seguridad.

- Establecer la limpieza periódica de equipos, superficies de trabajo, suelos,

superficies bajo el falso piso, etc. Si se cumple, todos los días la señora del aseo
limpia todo minuciosamente.

-Utilizar los productos de limpieza y pulimento antiestáticos. Si cumple, se utilizan

los implementos adecuados para esta labor.

-Establecer procedimientos de seguridad acordes al valor de los recursos a proteger.

-Establecer, de ser posible, equipos especializados en copias o Backus, y ubicarlos

fuera del área y/o del edificio.
Las copias de seguridad se guardan en el servidor.

- Establecer y controlar la ejecución de un plan de copiado. Si existe, cada uno guarda

su información en las carpetas adecuadas en el server.
- Chequear periódicamente el estado del equipo. Establecer un programa de
mantenimiento preventivo. Se recomienda hacerlo más seguido, ya que pasan más de
6 meses y no se les hace mantenimiento a los equipos.

- Incluir en el seguro del APD y sus medios. Si cumple.

-Asegurarse que los empleados encargados de actualizar las páginas Web toman
precauciones de seguridad, como cambiar regularmente las contraseñas y registrarse
al salir de los archivos Web antes de dejar sola la PC. Si cumple.

-Tener establecida una política de copias de respaldo de las páginas Web, tal y como
se deben tener con otras informaciones importantes. No cumple, se recomienda
establecer esta política de seguridad.

-Establecer políticas sobre la información que se debe publicar o no, y mantener

informados a los empleados sobre esas políticas. Si cumple.

-Realizar auditorías periódicas de seguridad, al menos sobre aquellos aspectos más

susceptibles de ser violados, como la política de contraseñas o passwords o las
identificaciones de los usuarios. No cumple totalmente, se recomienda
implementarlas.

- Cuidar la utilización de los recursos informativos por aquellos empleados que

trabajan desde la casa. Velar por que se apliquen las mismas medidas que en la
entidad. En este caso lo han recomendado ya que en este momento precisamente por
la cuarentena decretada por el gobierno todos están trabajando desde la casa ya las
medidas de seguridad las implementa cada empleado en su casa.
Bibliografía

auditoria de sistemas (s, f) control interno informático recuperado de:

https://noris14.wordpress.com/2011/06/10/control-interno-informatico/

Tarazona (s, f) amenazas informáticas y seguridad de la información recuperado de:

file:///C:/Users/Tatiana%20Lopez/Downloads/965-Texto%20del%20art%C3%ADculo-3375-
2-10-20180126%20(1).pdf

Muycomputerpro (2017), seguridad e impresión, descubre los cinco riesgos más importantes,
Recuperado de:
https://www.muycomputerpro.com/zona-impresion-profesional/seguridad-e-impresion-cinco-
riesgos/

https://www.muycomputerpro.com/zona-impresion-profesional/seguridad-e-impresion-cinco-
riesgos/