AUDITORIA DE SEGURIDAD INFORMATICA

Presentado por:
LILIANA VARGAS RODRIGUEZ

Presentado a:
WALTER CAICEDO

NUCLEO TEMATICO: AUDITORIA III

UNIVERSIDAD DE CUNDINAMARCA. EXT, CHIA.

FACULTAD DE CIENCIAS ADMINISTRATIVAS ECONOMICAS Y CONTABLES
23/MAYO/2020
 INTRODUCCION

La auditoría de informática se realizará sobre la seguridad física y lógica de los

sistemas informáticos en los computadores del área de contabilidad de la empresa
TRES PIMIENTAS GOURMET, analizar cómo operan los sistemas en esta área,
el hardware y software que utilizan en esta área de la empresa.
De acuerdo con el método de observación realizada, se determinaron
procedimientos para poder realizar la sistematización de los procesos que se
están llevando en la empresa de forma segura y garantizando la seguridad los
recursos de información.
Dentro de los elementos relevantes de esta auditoria se encuentran los objetivos
que desea alcanzar el cliente, las políticas de la empresa en el área de
contabilidad y el software contable, como operan los sistemas y que tan
importante es tener una buena seguridad de informática en esta área.
Por esta razón se realizará una auditoria a la seguridad del sistema de
información, determinando el estado actual del área y estableciendo los
mecanismos a realizar.
 OBJETIVOS

OBJETIVO GENERAL
Disminuir las vulnerabilidades y amenazas de seguridad en el uso de hardware y
software del área de contabilidad, con la auditoria del sistema de gestión de
seguridad de la información para la empresa Tres Pimientas Gourmet.

OBJETIVOS ESPECÍFICOS
Para llevar a cabo la ejecución de esta auditoria se deben tener en cuenta los
siguientes criterios:
 Realizar un levantamiento de información del estado actual de la empresa
en el área de contabilidad.
 Elaborar un plan de auditoría de acuerdo a la información recolectada.
 Realizar las respectivas recomendaciones de acuerdo a los resultados
obtenidos de la auditoria.
 Realizar un informe de auditoría para la compañía.

ALCANCE Y LIMITACIONES

La Auditoria se llevará a cabo a la Seguridad del Sistema de Información

únicamente en el área de contabilidad, de la Empresa Tres pimientas Gourmet,
permitiendo establecer las amenazas, riesgos, vulnerabilidades y fallas que se
estén presentando. Para después elaborar un informe, describiendo el plan de
mejoramiento a implementar con las políticas de seguridad.
IDENTIFICACIÓN DE LA ORGANIZACIÓN

1. BASE LEGAL: RAZÓN Y OBJETO SOCIAL, NIT, ESTRUCTURA JURÍDICA

ACTUAL.

Nombre: Tres Pimientas Gourmet E.U

NIT: 900.411.469-9
Régimen tributario: Régimen Común
Domicilio: Bogotá CR 8 d N° 157 34
Objetivo principal: Servicios de Cátering para eventos.

2. RESEÑA HISTÓRICA.

Es una empresa de carácter familiar, especializada en servicio de catering empresarial y

social. Cuenta con altos estándares de calidad e innovación y con una gran trayectoria por
parte de nuestro chef y propietario que por más de 27 años ha reunido y fusionado
grandes recetas provenientes de los mejores restaurantes, clubes, embajadas, hoteles y
colegas que compartiendo su gran conocimiento han dado como resultado una gran
variedad de platos tanto de nuestra cultura nacional como de la cultura internacional y así
llegar a ser el resultado de satisfacer uno a uno de los paladares más exigentes que
asisten a sus reuniones empresariales y sociales

3. ORGANIGRAMA.

GERENCIA GENERAL

GERENCIA ADMINISTRATIVA LOGISTICA

AREA FINANCIERA INTERNA EXTERNA

CONTADOR COCINA ATENCION AL CLIENTE

TESORERIA
AUX. CONTABLE

CHEF MESEROS
AUXILIARES
De acuerdo a lo identificado por el análisis no cuenta directamente con empleados para
los cargos de Meseros, teniendo en cuenta que la empresa contrata los servicios de los
mismos mediante contrato de prestación de servicios.

4. SECTOR Y SUBSECTOR ECONÓMICO AL QUE PERTENECE SU ACTIVIDAD

(CIIU)

Pertenece a la división 56 CIIU Actividades de servicio de comidas y bebidas. Si

clasificación la 562; actividades de catering para eventos y otros servicios de comida.
Código 5621 de acuerdo al RUT catering para eventos.

5. SUBSIDIARIAS, PLANTAS INDUSTRIALES Y DIRECCIÓN OFICINAS

PRINCIPALES.

No cuenta con subsidiarias ni plantas industriales su dirección principal es en Bogotá

CR 8 d N° 157 34

6. EDAD DE LA EMPRESA.

La empresa se ubica en una edad Joven por ser menor a 6 años.

7. TAMAÑO DE LA EMPRESA.

El tamaño de la Empresa es Microempresa considerando que no cuenta con más de 10

trabajadores de forma directa.

8. FASE DEL NEGOCIO. (CRECIMIENTO, SOSTENIMIENTO, COSECHA O

SALIDA).
La empresa se encuentra en fase de crecimiento dentro del mercado, ya que se
encuentra evolucionando para mejorar sus servicios y crecer como empresa para poder
sostenerse en el mercado y buscar un reconocimiento y posicionamiento.

9. NUMERO DE EMPLEADOS.

Inicialmente tienen contratación por nomina Los Gerentes, Chef encargado de la cocina,
un auxiliar de cocina, una persona encargada de logística y de coordinar los eventos, un
auxiliar logístico y un auxiliar contable.
La contadora esta por prestación de servicios medio tiempo, al igual que los Meseros.
 10. Servidores y Equipos de Intercambio de Datos

 La empresa no posee servidor.

 Encargado del control de acceso en el área de contabilidad.
 Sistema Operativo Windows 2010, equipos marca Sony y Lenovo.
 Dos (2) zonas de acceso inalámbrico.
 Red de internet.
 Un swithes de red.
 Un router y un duplicador de señal wifi.

11. Sistemas de Seguridad, Prevención y Control de Acceso

 No cuenta con sensores de movimiento y alarmas de seguridad.

 No cuenta con cámaras de seguridad IP.
 No cuenta con puertas de seguridad en el área de contabilidad.
 Un extintor multipropósito amarillo

Equipos de Cómputo
La sede principal de la empresa, específicamente en el área de contabilidad,
dispone de dos (2) equipos de cómputo, de uso exclusivo para el contador y el
auxiliar contable.

TAREAS, FUNCIONES Y RESPONSABILIDADES DEL EQUIPO AUDITOR O

AUDITOR.
 Esta auditoría de informática de seguridad incluye el estudio de la
seguridad utilizada en los programas y equipos del área de contabilidad
junto con una evaluación preliminar después del estudio realizado
concluyendo con un dictamen o informe final acerca de las mismas.
 Es responsabilidad del auditor (a) expresar una opinión sobre los controles
realizados por la empresa para el funcionamiento e implementación de los
programas y la seguridad para el área de contabilidad, cumpliendo con los
principios éticos como la independencia.
 Se asegurará que la evidencia de la auditoria de seguridad de informática
que se ha obtenido es suficiente y apropiada para proporcionar una opinión
acerca de ello.
 Realizar evaluación a los equipos de cómputo y software.
 Una vez haya estudiado el sistema informático a auditar, como auditor debo
establecer los requisitos mínimos, aconsejables y óptimos para su
adecuación a la finalidad para la que ha sido diseñado.
  Verificar si la organización cuenta con sistemas actualizados.
 Evaluar y revisar todo el estado de las operaciones del área de contabilidad
 Analizar la eficiencia y eficacia de los sistemas de información y seguridad
en el área de contabilidad.
 Examinar el uso adecuado de los recursos informáticos o tecnológicos del
área de contabilidad.
 Realizar una evaluación del uso de los equipos en el área de contabilidad y
observar los resultados, para así poder realizar una auditoría satisfactoria.
 Una vez visto y analizado los resultados de la auditoria se da el paso a
determinar si el programa o sistemas en el área de contabilidad son
adecuados y cumplen con los objetivos que requiere las directivas de la
empresa para aportar seguridad a la empresa

PLAN DE TRABAJO:

Tipo de auditoria: Auditoria informática de seguridad

Alcance de la auditoria El auditor(a) reconoce, analiza y evalúa el sistema con

que opera el área de contabilidad y la seguridad que se
tiene para esta misma operación determinando al final
si es adecuado y cuenta con todos los estándares de
cumplimiento para el desarrollo y función del sistema
en esta actividad.
Lugar de realización de la La auditoría se realizará en las instalaciones de la
auditoria. empresa Tres Pimientas Gourmet en el área de
contabilidad donde se contará con la presencia del
contador y el auxiliar contable para cualquier soporte o
información.
Cronograma La auditoría se realizará los días 20,21, 22 y 23 de
mayo del año en curso, en los cuales cada día se
realizará una inversión de tiempo de 2 horas para
contemplar un total de 8 horas durante cuatro días. Se
realizarán cuestionarios tanto de la información de los
programas y su seguridad y equipos como
cuestionarios de la operatividad en tiempo real de los
equipos.
El costo de la auditoria será de: $1.200.000 mil pesos
donde cada hora utilizada por el auditor tendrá un
costo de $150.000 mil pesos
La entrega del informe final se hará el sábado 23 de
mayo a las 6:00 pm
Recursos: Se contará con la presencia del auditor calificado en
ciberseguridad, contador calificado y experto en
sistemas operativos.
Además, contara con los equipos para el análisis de los
programas de la misma organización.
ETAPA 1 RECOPILACION DE INFORMACION BASICA:
 Se realiza el reconocimiento de la infraestructura física y tecnológica, como
también la recolección de información y documentación para el desarrollo
de la auditoria.
 Se entrega cuestionarios al contador responsable del área de contabilidad,
cuyo objetivo de los cuestionarios es saber que equipos utilizan, y los
procesos que realizan en ellos, así como la seguridad física y lógica con
que cuentan dichos equipos.
 Manuales diseñados para los usuarios, manuales de operación de sistema
de información propios o de terceros.
 También se espera conocer los accesos que tienen los funcionarios de la
empresa a dichos equipos, los permisos de seguridad del software
contable, de esta manera se obtendrá una visión más global del manejo y
políticas en el área de contabilidad con respecto al uso de los
computadores.
 De igual manera es importante obtener una entrevista con el responsable
del sistema del área para conocer con mayor profundidad el hardware y
software utilizado.
ETAPA 2 IDENTIFICACION DE RIESGOS POTENCIALES
 Manuales diseñados para los usuarios, manuales de operación de sistema
de información propios o de terceros.
 Se debe evaluar la forma de adquisición de los equipos y software que
utiliza el área de contabilidad.
 Los procedimientos para adquirirlos deben estar regulados y aprobados
bajo los estándares de la empresa y los requerimientos mínimos para
ejecutar los programas de base.
 Dentro de los riesgos posibles, se contemplan los huecos de seguridad del
propio software contable y la correcta configuración y/o actualización de los
equipos críticos como el cortafuego.
 Otro riesgo potencial es que los softwares que utiliza el área no cuenten
con una licencia, y que la adquisición se haya realizado de forma indebida
poniendo en riesgo legal a la empresa.
 Riesgo de seguridad física, que los equipos se encuentren a disposición de
todo el personal sin claves o restricción de acceso pudiendo alterar la
informacion allí contenida.
ETAPA 3 OBJETIVO DE CONTROL:
 Se evaluarán las existencias y la aplicación correcta de las políticas de
seguridad, emergencia y disaster recovery de la empresa.
 Se hará revisión de los manuales de política de la empresa, que los
procedimientos de los mismos se encuentren actualizados, que sean claros
y que el personal los conozcan y comprendan.
 Debe existir en la empresa un programa de seguridad para la evaluación de
riesgos que puedan existir, respecto a la seguridad dl mantenimiento de los
equipos, programas y datos.

DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL

Se deben determinar los procedimientos adecuados para aplicar a cada uno de los
objetivos definidos anteriormente.
Existencia de normativa de hardware
 El hardware debe estar correctamente identificado y documentado.
 Se debe contar con las facturas de compra de los mismos con el fin de
contar con el respaldo y garantía de los fabricantes y no incurrir en
ilegalidad.
 Se debe contar con un plan de mantenimiento preventivo con registro de
fechas, problemas, soluciones, y próximo mantenimiento programado.
Política de acceso a equipos
 Cada usuario debe contar con un nombre de usuario y contraseña, para
acceder a los equipos.
 Las claves deben ser seguras, (mínimo 8 caracteres, alfanuméricos, incluir
mayúsculas y minúsculas).
 Por seguridad, se recomienda que los usuarios se desconecten después de
5 minutos de inactividad, esto con el fin de evitar que alguien más tenga
acceso al software mientras el usuario responsable seta ausente.
 En caso de autorizar nuevos usuarios, deberán ser autorizados mediante
contratos de confidencialidad y deben mantenerse luego de finalizada la
relación laboral.
 Uso restringido de medios removibles (USB, CD, discos externos) con el fin
de evitar que se incluya un virus al equipo o en el peor de los casos se
extraiga informacion importante.
Pruebas de cumplimiento
 Son los procedimientos que se llevaran a cabo a fin de verificar el
cumplimiento de los objetivos establecidos. Entre ellas las siguientes
técnicas:
  Tomar los equipos del área y evaluar la dificultad de acceso a las
mismas.
 Intentar extraer datos con un dispositivo externo.
 Evaluar la facilidad para desarmar un PC
 Evaluar facilidad de acceso a informacion de confidencialidad (usuarios
y claves)
 Verificacion de contratos.
 Comprobar que luego de 5 minutos de inactividad los usuarios se
desconecten.
 Evaluar la seguridad de energía eléctrica, uso de reguladores de voltaje
y supresor de picos, para que los equipos que se encuentren
conectados a los enchufes, no sufran bajadas y subidas eléctricas.
 Evaluar las instalaciones donde se encuentran ubicados los equipos, las
puertas de acceso.
Obtención de los resultados
De acuerdo con las pruebas de cumplimiento realizadas, se encontraron las
siguientes amenazas, en la seguridad informática en el área de contabilidad, cuya
valoración será justificada de acuerdo a su nivel de riesgo o amenaza
Alta – Media – Baja
Aplicaciones informáticas
 Errores de configuración: Se valoró como mediana, ya que la
configuración que realicen los usuarios podrían presentar suplantaciones, y
cierre de notas, robo de información, afectando la organización.
 Escapes de información: se valora la dimensión como Alta, ya que, si hay
escape de información, ésta podría ser modificada o usada para beneficios
propios, perdiendo confidencialidad y confianza.
 Destrucción de información: Se consideró como una amenaza alta en
disponibilidad y confidencialidad, ya que donde puedan versen afectadas
los activos de información.
 Modificación de la información: En la integridad de los datos, se calificó
muy alta, debido a que la afectaría directamente. Provocando caos
informático y arrojando datos erróneos a la hora de las consultas.
Redes de comunicaciones
 Desastres naturales: Se pueden llegar a presentar, debido a las
condiciones geográficas donde se encuentra, el cual tendría un detrimento
muy alto, ya que podría causar una paralización de todas las actividades.
 manipulación de configuración: en las dimensiones de confidencialidad y
autenticidad son consideradas de alto riesgo, ya que la configuración la
administra la empresa que presta el servicio.
  Acceso no autorizado: En esta dimensión ésta valorada en un nivel alto,
 ya que, aunque se encuentran normas de seguridad implementadas y el
área se encuentra cerrada, en el momento de la auditoria se evidencio
acceso de personal diferente al autorizado.
 Errores de mantenimiento / actualización de equipos (Hardware): Es
valorada con un alto impacto, debido a que a pesar que se cuenta unas
políticas de mantenimiento y se realiza un mantenimiento preventivo a los
equipos la periodicidad no es constante y no cuentan con un cronograma.
 Avería de origen físico y lógico: Se valoró la dimensión en alto, debido a
que no se cuenta con gabinetes para routers, switch y cables.

HALLAZGOS
Hardware
 La empresa cuenta con personal para realizar el mantenimiento preventivo,
correctivo en los equipos del área de contabilidad, pero la programación
que se realiza no se cumple según lo planeado.
 Los procedimientos realizados en el mantenimiento correctivo y preventivo,
no son normalizados los procedimientos técnicos, provocando que la
solución no sea la más efectiva o la más eficaz.
 No existen restricciones para el uso de dispositivos de almacenamiento tipo
USB, provocando la infección fácilmente en el sistema o en el peor de los
casos, extracción de informacion.
 Si se presenta una falla irrecuperable de hardware en un equipo de
cómputo de uso crítico, no se cuenta con planes de contingencias que
permitan hacer un proceso de recuperación que se pueda comprometer.
Software
 No se tiene implementado un resguardo de los datos que permitan
recuperar la continuidad del negocio ante una contingencia, ya que aunque
se realizan copias de seguridad, su resguardo no es muy seguro.
 Se tiene un servicio ocasional de soporte contratado con un tercero para
atender las eventualidades que se presenten.
 No se cuenta con procedimientos definidos, ni registro de aplicación de
actualizaciones de software o parches de seguridad en los sistemas base
críticos.
Redes

 No se realiza un monitoreo al sistema que permita identificar amenazas

internas o externas, lo que no permite prevenir situaciones críticas que
puedan suceder o identificar si se está siendo vulnerado el sistema,
situación que puede estar sucediendo dado que hay momentos en los
cuales la navegabilidad se pone muy lenta, a pesar de contar con un ancho
de banda suficiente para los procesos que se realizan en la red.
 La red Wifi presenta alta vulnerabilidad, dado que los usuarios y todos los
funcionarios de la organización se conectan permanentemente, no solo
para uso institucional sino también personal en sus celulares, debido a la
falta de restricciones.
Instalaciones físicas
 El estado del cableado estructurado encontrado en la sede principal se
encuentra desorganizados, como también se encontró que cualquier
persona tiene acceso a dichos recursos provocando así inseguridad.
 Las condiciones ambientales y de seguridad que presenta la empresa en la
sede principal son las siguientes: no cuenta con un sistema inteligente de
prevención contra incendios, no cuenta con cámaras de seguridad, ni
puertas de seguridad.
Consecuencias
 Suplantación de identidad.
 Pérdida y robo de información.
 Alteración de la información.
 PRESENTACION DE INFORME
Durante la ejecución de la presente auditoria, desarrollada en la empresa Tres
Pimientas Gourmet, se basó en identificar todos los activos de la empresa en el
área de contabilidad.
La realización de la auditoria se contó con un buen cronograma de actividades, los
cuales ayudaron a implementar un programa detallado de cada punto que se va
evaluar y/o auditar.
En la auditoria se presenta un informe del trabajo que se describe y se detalla los
hallazgos encontrados en dicha auditoria y así mismo se hace una recomendación
a la posible solución, presentando las recomendaciones técnicas.
RECURSO AUDITADO HARDWARE
 El cronograma de mantenimiento no se cumple satisfactoriamente.
 Los procedimientos de mantenimiento preventivo y correctivo no son
realizados correctamente.
 No existen restricciones en la utilización de dispositivos de
almacenamientos tipos USB.
 No se cuenta con planes de contingencias que permitan hacer un proceso
de recuperación de la información los cuales puedan comprometer a la
empresa.
Causas:
 No se cuenta con el apoyo de parte del sector administrativo de la empresa
para para cumplir con el plan de mantenimiento
 No hay una normatividad que restrinja o aplique medidas para el uso de los
dispositivos de almacenamiento.
 Desconocimiento de planes de contingencia que le permita la recuperación
del activo más importante que es la información.
Solución:
 Crear concientización del valor de los activos tecnológicos a la parte
administrativa de la empresa, para así poder cumplir con el plan de
mantenimiento.
 Utilizar políticas y mecanismos de restricción o medidas adecuadas como
capacitaciones para el uso seguro de los dispositivos de almacenamiento
USB en los equipos de cómputo de la empresa, específicamente en el área
de contabilidad.
 Implementar planes de contingencia que permita la recuperación de la
información a los activos informáticos de la empresa.
RECURSO AUDITADO SOFTWARE
 No existe un plan de resguardo de los datos.
 No se cuenta con un servicio de soporte permanente.
 No se cuenta con un plan o programa de actualización de software
establecido.
Causas:
 El responsable del área no realiza la debida supervisión al caso al no
resguardar de manera adecuada las copias de seguridad
periódicamente.
 No se le da la debida importancia de mantener un soporte permanente
para atender eventualidades que se presenten.
 No dan la debida importancia de mantener los diferentes softwares
actualizados.
Solución:
 Implementar un resguardo de datos, los cuales le permita realizar copias de
seguridad periódicamente y así recuperarlos y darle continuidad al servicio
ante una contingencia.
 Establecer un servicio de soporte permanente contratado por un tercero
para atender las eventualidades que se presenten.
 Se debe verificar que se cumplan con el plan de actualizaciones en las
fechas establecidas.
RECURSO AUDITADO REDES
 No se realiza un monitoreo al sistema que permitan identificar las
amenazas internas o externas. Ya que la navegabilidad es lenta, a pesar de
contar con un ancho de banda suficiente para los procesos que se realizan
en la red.
 Falta de restricción a la red wifi.
 Ingeniería social.
Causas:
 El desconocimiento de aplicar estos sistemas de monitoreo sobre
amenazas.
 El jefe inmediato encargado del control de la red wifi, no da la debida
 supervisión.
 Los usuarios no se monitorean y hacen uso indebido de las contraseñas
de las redes wifi. Por falta de capacitación en seguridad informática.
Solución:
 Implementar un sistema de monitoreo que permita identificar las
amenazas internas o externas, permitiéndole prevenir situaciones críticas.
 Implementar un sistema de control de restricciones a la red, que permita
dar permisos a los usuarios de dicha red.
 Dar capacitaciones a los usuarios en seguridad informática, según lo
establecido en los cronogramas
RECURSO AUDITADO INSTALACIONES FÍSICAS
 En las instalaciones de la empresa en el área de contabilidad, se determinó
que el cableado estructurado, donde las canaletas que soportan este
cableado se encuentra en malas condiciones y no cuenta con gabinetes o
armarios, no cumpliendo con los requisitos mínimos de instalación. De igual
forma no existe restricción al acceso a estos recursos.
 Las condiciones ambientales y de seguridad que presenta la empresa, en
área de contabilidad son las siguientes: no cuenta con un sistema
inteligente de prevención contra incendios, no cuenta con cámaras de
seguridad ni puertas de seguridad.
Causas:
 Falta de presupuesto e iniciativa por parte de los encargados, para el
mantenimiento de la red de la empresa.
 No cuenta con una política que los rija y la falta de iniciativa por parte de la
administración.
Solución:
 Implementar un proyecto de mantenimiento de redes que le permitan
mejorar el servicio a la empresa.
 Efectuar políticas que establezcan condiciones ambientales y de seguridad
en la prevención de incendios, la restricción al acceso a estos lugares, entre
otros.
RECURSO AUDITADO SEGURIDAD INFORMÁTICA
 Suplantación de identidad.
 Pérdida y robo de información.
 Alteración de la información.
Causas:
 No cuentan con conocimiento sobre seguridad informática en la
suplantación.
 No cuentan con copias de seguridad y pocos controles al acceso a la
información.
 No tiene un sistema de validación de usuarios.
 No cuentan con un sistema de respaldo de la información.
Solución
 Capacitación en los modelos de seguridad existentes.
 Crear copias de seguridad y controles de acceso a la información.
 Implementar un sistema de validación de usuarios.
 Tener un sistema de respaldo de la información.

CONCLUSIONES

Basado en esta auditoría, se puede realizar una auditoria informática a casi

cualquier sistema, en su forma elemental.
La debida documentación en las técnicas de vanguardia, para la auditoria de
sistemas informáticos, es vital, debido a que por tratarse de un campo tecnológico
diariamente los recursos implementados evolucionan en función de que los
auditores y auditados pueden acceder a un mejor desarrollo de sus metas en la
parte de seguridad informática.

Gracias al levantamiento de información llevado a cabo, se evidencia que la

empresa Tres pimientas Gourmet en el área de contabilidad, presenta un nivel de
riesgo bastante alto, ya que la normatividad que presenta actualmente es muy
vulnerable a ataques informáticos, pero con el apoyo de las directivas de la
empresa y todo el personal, se puede contrarrestar este tipo de situaciones.

Es de vital importancia mejorar las instalaciones alámbricas de red del área de

contabilidad, teniendo en cuenta las normas internacionales, para la seguridad.

Se establece de suma importancia realizar capacitaciones al personal, acerca de

temas relacionados con la seguridad de la información, garantizando la
concientización del valor de la información dentro de una organización, y que se
tenga conocimiento de la posibilidad de ocurrencia de incidentes.

Además, se deben establecer políticas de seguridad en la empresa, previniéndola

de riesgos a los activos informáticos.
Es importante que se haga énfasis en la concientización de seguridad tanto en
niveles superiores de personal en una empresa, como en los demás empleados.

RECOMENDACIONES
Se debe socializar y aprobar la ejecución de los controles propuestos.
Se deben realizar análisis periódicos de los riesgos, permitiendo analizar los
riesgos; para de esta forma poder verificar y monitorear las acciones internas.
Las directivas administrativas deben apoyar este estudio de seguridad informática
y aplicarlo a la menor brevedad posible.
Los usuarios y funcionarios de la empresa deben recibir una capacitación y
socialización de la auditoria en el área de contabilidad, aplicar las políticas de
seguridad informática en pro de las mejores prácticas.
La metodología implementada debe ser utilizada exclusivamente para realizar
auditorías de riesgos en el área de seguridad informática en el área de
contabilidad, ya que contiene actividades que puede ser aplicada en toda la
empresa.
Para una investigación a profundidad se debe realizar un estudio y análisis de
metodologías existentes y se tomen en consideración, técnicas y herramientas de
comparación avanzadas, que sea para aplicar las empresas.
 ANEXOS
Empresa: Tres Pimientas Gourmet E.U. Nit. 900.411.469-9
CUESTIONARIO DE AUDITORIA DE SEGURIDAD INFORMATICA EN EL AREA
DE CONTABILIDAD

Cuestionario de seguridad Física Si No P/P

1 El área cuenta con cámaras de seguridad? X 1

2 La oficina tiene puertas de seguridad? X 1

3 La empresa cuenta con personal de seguridad? X 3

4 Se registra el acceso de terceros a la empresa? X 3

5 Los interruptores de energía y cables de red se X 3

encuentran protegidos?
6 Los computadores se encuentran conectados a X 3
reguladores de voltaje y supresores de picos?
7 Se limpian con frecuencia los restos de polvo sobre los X 3
computadores?
8 El área cuenta con extintores? X 3

9 la distribución y acceso a los equipos es el adecuado? X 3

10 Las características físicas del área de contabilidad son X 3

seguras?
11 El personal que tiene acceso a los equipos recibe X 3
capacitación sobre su uso y cuidado?
12 Existen políticas de seguridad informática en el área de X 3
contabilidad?
13 Se revisa con frecuencia que la puerta de acceso no esté X 3
abierta o descompuesta?
14 Las ventanas de la oficina están aseguradas? X 3
15 Tienen señalización de salidas de emergencia? X 3
16 Los routers se encuentran dentro de gabinetes o X 2
cubiertos?

EVALUACION: 43/48. Control suficiente y correcto con oportunidad de mejora

mínima en 3 especificaciones fáciles de implementar.
Empresa: Tres Pimientas Gourmet E.U. Nit. 900.411.469-9
CUESTIONARIO DE AUDITORIA DE SEGURIDAD INFORMATICA EN EL AREA
DE CONTABILIDAD

Cuestionario de seguridad Lógica Si No P/P

1 ¿Los usuarios cuentan con Loguin y contraseña para X 3
ingresar?
2 Las claves de acceso son seguras? X 3

3 Los usuarios se desconectan después de 5 min de X 2

inactividad?
4 Se tienen contratos de confidencialidad para los usuarios X 2
que tienen acceso al programa?
5 Se restringe el uso de dispositivos removibles (USB, CD, X 2
discos externos)?
6 Los computadores cuentan con factura de compra? X 3

7 Los software que utiliza el área de contabilidad cuentan X 3

con las licencias de sus fabricantes?
8 Existe una política para la adquisición de los hardware y X 3
software?

9 La Empresa realiza mantenimientos preventivos a los X 3

equipos?
10 Existe un cronograma de mantenimiento preventivo? X 3

11 El personal que tiene acceso a los equipos recibe X 3

capacitación sobre su uso y cuidado?
12 El software contable permite la independencia de X
permisos y accesos? 3
13 Existen controles periódicos para verificar el cumplimiento X 3
las actividades?
14 Cualquier persona de la empresa tiene acceso a los X 3
equipos de contabilidad?
15 El personal autorizado está capacitado para saber qué X 3
hacer en caso de que alguien desee ingresar sin
autorización?
16 El personal está capacitado para uso de extintores? X 3
17 Se realiza periódicamente la actualización de X 3
cortafuegos?
18 Realizan copias de seguridad periódicas X 3
19 Cuentan con políticas de destrucción de informacion? X 2
 EVALUACION:53/57: cuentan con suficientes controles de seguridad, debilidad
mínima, acciones sencillas para punticos específicos .
RESULTADOS

3 PUNTOS Se dará la ponderación de 3 puntos cuando el control es

suficiente, correcto y cumple.

2 PUNTOS Se dará la ponderación de 2 puntos cuando el control es

aceptable, pero puede mejorar con cambios sencillos.

1 PUNTO Se Dara la ponderación de 1 punto cuando el control es

deficiente y necesita cambio oportuno para prevenir riesgos.