Gerencia de sistemas de información

Mónica Chávez Calderón

Evaluación de Procesos Informáticos

Instituto IACC

21 de septiembre de 2020
 Desarrollo

1.- Estableciendo 4 políticas y 4 estrategias para ser aplicadas en una auditoría de un sistema de
información contable:

Políticas:

Política de seguridad de la información:

 La información es un activo fundamental y todos sus accesos, usos y procesamiento,
deberán ser sólidos con las políticas y estándares emitidos por la empresa en cada
ambiente en particular.
 La información debe ser protegida, por el equipo encargado de esta tarea, de una manera
coherente con su importancia, valor y necesidad fundamental, siguiendo las reglas
constituidas en las políticas puntuales de seguridad de la información, sus métodos
asociados y en lo recomendado por el responsable asignado de dicha información. Para
esto, la dirección de la empresa, deberá suministrar los recursos que permitan
implementar los controles necesarios, para proveer el nivel de protección correspondiente
al valor de los activos.
 Toda la información creada o procesada por la empresa, debe ser considerada como
“Pública”, a menos que se establezca otro nivel de clasificación, pudiendo ser esta,
“Reservada” o “Secreta” de acuerdo a lo instaurado en la ordenanza jurídica vigente.
Regularmente se deberá revisar la clasificación, con el fin de mantenerla o modificarla
según se estime conveniente.
 La empresa proporcionara las herramientas para que la información pueda ser accedida y
utilizada por el personal que, de acuerdo a sus funciones así lo requiera. Sin embargo, se
reserva el derecho de revocar al personal, el privilegio de acceso a la información y
tecnologías que la soportan, si la situación y las condiciones así lo ameriten.

Política de la información de usuarios:

 Si la institución procesa y mantiene información de usuarios externos que sean datos

personales y/o sensibles de acuerdo a la normativa vigente, la organización se
compromete a asegurar que dicha información no será divulgada sin previa autorización y
estará protegida de igual manera que la información interna.

 Si se requiere compartir información de los usuarios externos de la empresa con

instituciones externas, con motivo de subcontratar servicios, a éstas se le exigirá la firma
de un contrato de confidencialidad y de no divulgación previa a la entrega de la
información antes mencionada.
Política de respaldo de la información:

La aplicación de esta política abarca a toda la información alojada, tanto en servidores físicos
como en equipos virtuales, equipos comunicacionales y estaciones de trabajo, que contengan
datos, aplicaciones y configuraciones establecidas para la empresa.
La empresa garantizara y facilitara los recursos necesarios para la adquisición de implementación
física y/o virtual, como así también las licencias que correspondan para la correcta ejecución de
la presente política.
Los tipos de respaldo serán los siguientes:
o Servidores virtuales: completo y gradual.
o Bases de datos en servidores físicos: completo.
o Equipos de comunicación: completo, luego de cada cambio realizado.
o Equipos del personal administrativo: de libre elección del usuario propietario de la
información, quien será el responsable absoluto sobre la gestión de la misma.

Política para la administración de identidades y tratamiento de cuentas de usuario:

Para esta política deberán tenerse en cuenta, las siguientes recomendaciones:

La matriz de acceso debe definir para cada tipo de cuenta de usuario las características de
bloqueo, objetivo de uso de cuenta y el responsable del desbloqueo en caso de que la cuenta se
inhabilite, ya sea automáticamente por intentos fallidos de acceso, como por inactividad o como
acción previa a una posible baja.
Los perfiles de trabajo estarán conformados por dos tipos de cuentas: nominales, asociadas a una
persona, identificada por su inicial de nombre más el apellido, y las cuentas genéricas, asociadas
a servicios o cuentas por omisión del fabricante, por ejemplo: ADMINISTRADOR.

Dentro de estas clases de cuentas de usuario existirán los siguientes tipos, que deberán cumplir
con la asignación de los niveles de acceso de lectura o grabación de archivos, menú de
aplicaciones y recursos de la red otorgados:

 Cuentas de “Administrador”, o de altos privilegios, para la administración de la red y sus

recursos.
 Cuentas de “Mantenimiento”, provista por los fabricantes de software y hardware en caso
de soporte.
 Cuentas de “Servicio”, asociadas a la ejecución de interfaces y monitoreo.
 Cuentas “Por defecto”, creadas por el fabricante para ejecutar procesos internos del
sistema y que no pueden ser gestionadas, o bien aquellas creadas automáticamente
durante la instalación, que luego deberán ser bloqueadas o eliminadas
Estrategias:

Para llevar a cabo lo solicitado, se deberá recopilar la información necesaria para definir si las
funciones están bien establecidas, si la estructura organizacional es la apropiada a las
necesidades, si el control institucional es el conveniente, si se cumplen las directrices de la
compañía, entre otros aspectos.

Estudios de viabilidad: Investigación para determinar los costos y beneficios de uso a largo plazo
de los equipos computacionales, dentro de este se realizan las recomendaciones para la
adquisición de los componentes que correspondan.

Planeación de cambios, modificaciones y actualización: Determinar las metas y actividades a

desarrollar, los cambios y/o modificaciones, y los plazos para que sean ejecutados.

Plan de seguridad: Debe permitir en lo posible, anteponerse ante una posible fuga o falla en el
sistema, ya sea interna o externamente, esto con el fin de que haya el menor impacto para la
empresa.

Evaluación de los recursos humanos: Se deben establecer promociones y oportunidades de

superación en el personal, el personal debe ser educado y capacitado

Estudio de viabilidad Implementación a mediano plazo, evaluación

de equipos computacionales, análisis y
planteamientos para mejoras
Costos de los posibles nuevos componentes
Planeación de cambios, modificaciones y A corto plazo, definir metas, tareas a realizar,
actualización y calcular los tiempos de ejecución
Plan de seguridad A largo plazo, evaluación del sistema,
planificación de eventos de falla futuros,
creación de soluciones.
Evaluación de recursos humanos A largo plazo, evaluar al personal, gestionar
capacitación, realizar reconocimientos en
casos dados, con el fin de incentivar la
superación y la realización de una buena
gestión.
Entrevista del personal durante la ejecución de sus funciones, esto permitiría observar el
desempeño de la persona asignada y que se encuentre autorizada para realizar una función
determinada y verificar que efectivamente se encuentre capacitada para realizar dicha función,
esto además posibilitara presenciar en cómo se ponen en práctica las políticas y procedimientos.
Cabe señalar que toda la información recopilada en esta auditoria se obtendrá a partir de
cuestionarios, graficas de flujo y anotaciones narradas, esta investigación permitirá determinar si
existen fallas significativas en el sistema, los tipos de errores o irregularidades que pudiesen
suceder, los procedimientos de control que deberán prevenir o detectar dichos eventos y si los
procedimientos que se necesiten, se están cumpliendo.
Existen 3 tipos de controles que deberán ser ejecutados:
Controles preventivos: Hace referencia, como su nombre lo indica, a prevenir sucesos que
pudiesen afectar el correcto funcionamiento del sistema, reducen los riesgos a los que se
encuentran expuestos los recursos.
Controles de detección: Estos hacen alusión, a llevar un registro en la ocurrencia del riego
Controles correctivos: Como se indica, estos serán los encargados de determinar las acciones a
seguir, una vez detectado el riesgo.

Para la recolección de información se utilizará la técnica de muestreo estadístico, este muestreo

permitirá, una vez que se defina el tamaño de la muestra, seleccione los objetos y se evalúen los
datos de la muestra, se llegará a un resultado. Dicho resultado permitirá tener un panorama
adecuado en cuanto al funcionamiento del sistema contable.
 Bibliografía

Instituto IACC 2020, Gerencia de sistemas de información, semana 4, Evaluación de procesos

informáticos.

2. Técnicas e instrumentos para realizar una auditoria informática y de sistemas - Auditoria en

Informatica CUN. (s. f.). Auditoria en Informatica CUN. Recuperado 21 de septiembre de 2020,

de https://sites.google.com/site/auditoriaeninformaticacun/evidencias

Altamirano, G., Remache, E., & Mena, M. (2017, 27 septiembre). POLÍTICA DE RESPALDO

DE INFORMACIÓN DE LA PUCE SEDE AMBATO. Pontificia Universidad Católica del

Ecuador. https://www.pucesa.edu.ec/wp-content/uploads/2019/04/PoliticaRespaldoInformaci

%C3%B3nVresumida.pdf

colaboradores de Wikipedia. (2020, 9 septiembre). Sistema de información gerencial. Wikipedia,

la enciclopedia libre. https://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n_gerencial

Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead

Auditor ISO/IEC 27001. (s. f.). Administración de identidades y tratamiento de cuentas de

usuario. Magazcitum. Recuperado 21 de septiembre de 2020, de

https://www.magazcitum.com.mx/?p=3325

G., J. (2015, 18 septiembre). Auditoria en informática, Organización, Planes y Estructuras.

SlideShare. https://es.slideshare.net/JasminG/auditoria-en-informtica-organizacin-planes-y-

estructuras
Martínez, V. (2018, 24 diciembre). Estrategia y Plan de Auditoría de Información Financiera de

acuerdo con las Normas Internacionales. AUDITOOL. https://www.auditool.org/blog/auditoria-

externa/4118-estrategia-y-plan-de-auditoria-de-informacion-financiera-de-acuerdo-con-las-

normas-internacionales

Sistemas, A. D. E. (2012, 7 junio). MUESTREO. Auditorias de sistemas.

https://auditoriadesistemascontaduriaucc.blogspot.com/2012/06/muestreo.html