1

ANÁLISIS DE SISTEMAS INFORMÁTICOS

Hernan D. Gutierrez

Contaduría pública, Corporación universitaria minuto de Dios

Nrc: 28240

Tutor: Juan Felipe Bernal García

Agosto 27 de 2021
 2

Introducción

La protección y seguridad de todos los recursos informáticos de una entidad, hace parte de

la esfera del trabajo de un auditor, ya que el auditor siempre ha ayudado a conservar todos los

medios existentes que permiten registrar la información contable como los activos, las

transacciones y toda la información privada de una empresa, y aunque existen riegos

constantemente, también se encuentran soluciones óptimas para la seguridad de los sistemas

informáticos de una empresa.

En el siguiente trabajo se identifican los riesgos informáticos de una empresa

comercializadora de aseo y se da una propuesta una vez analizada el caso.

 3

Solución

1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la

empresa en sus sistemas informáticos, así:

a. Los riesgos del control interno específicamente.

Los equipos están expuesto al sol y salpicadura de agua.

Los trabajadores consumen alimentos sobre sus equipos de cómputo.

Los computadores no están configurados con claves de usuario ni de ingreso.

cuatro años que lleva la empresa nunca se ha realizado una copia de seguridad de los

archivos ofimáticos.

los usuarios tienen libre acceso a diversas páginas y a las redes sociales en el horario

laboral.

se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores habilitados

para trabajar, no se logra establecer quién hace uso de los dos usuarios desconocidos.

se detecta que el asistente contable trabaja con el usuario contador el cual le fue prestado,

los usuarios nunca han cambiado sus usuarios y contraseñas.

La red de internet no es la más adecuada.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

Fugas de la información

Contagio de virus informáticos

 4

Uso no autorizado de los sistemas de información

Alteración de la información

Divulgación de información

c. Los riesgos a los que la información se expone por la manipulación de un usuario.

Divulgación (sin Autorización) indebida de la información y procesos de la empresa

Modificación de la información sin autorización, de forma crítica y sin conocimiento del gerente

o jefe encargado

Perdida de información sin posibilidad de recuperarla.

Acceso de tercero a los computadores de la empresa.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases

de datos de un sistema informático.

Documentos en la salida de impresión pueden ser confidenciales, puede ser visto por

terceros.

Modificación por parte de los usuarios las configuraciones de seguridad de las

impresoras, falsificando documentos.

Gatos innecesarios de reimpresión.

Intervención de información enviada por correos electrónicos y en físicos.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas

informáticos, procesos a los sistemas informáticos y salidas de información de los sistemas

informáticos.
 5

Entradas a los sistemas de información

Datos de inventarios (Excel) de la empresa.

Datos de clientes

Ordenes de compras

Datos de información contable (pagos, facturas, depuraciones y nominas)

Datos de empleados

Proceso a los sistemas informáticos

Cálculos de los inventarios

Cálculos en la información contable (Estado de resultado, situación financiera)

Cálculos en las ordenes de compras

Salida de información de los sistemas informáticos

Reporte de pagos.

Reporte de salida de inventario

Salida de información contable

Salida de impresión de documentos.

Recopilación de base datos (correos, clientes)

 6

3. Después del análisis hecho, elabore una propuesta que contenga los

procedimientos de control interno que implementaría para mejorar la situación de

seguridad en la empresa en cada uno de los riesgos identificados.

De acuerdo con la auditoria que se realizó a la empresa comercializadora de aseo se

encontraron algunos riesgos en el área de sistemas informáticos. Los riesgos a los que la

información se expone son por la manipulación de un usuario y por lo tanto los riesgos que

pueden surgir en la extracción de información tanto como impresa como la manipulación de base

de datos de un sistema informático. De acuerdo con lo anterior se ha generado una propuesta con

el objetivo de mitigar riesgos en las dichas áreas. Para si perfeccionar la situación de la seguridad

en los sistemas informáticos de la empresa, por lo tanto, elaboramos una matriz con las

siguientes propuestas donde se analiza los riesgos, las consecuencias que enfrenta la empresa, su

nivel de riesgo, y ejecución de riesgo en la empresa para cada una de las áreas.

Pag x de
Auditoria & Contadores S.A.S
Código: AUD056

Versión: 2
Propuesta de riesgos
Fecha de emisión
informáticos :28/08/2021
Empresa auditada Empresa Comercializadora de aseo
Fecha de realización 27 de agosto de 2021
Matriz de Riegos del control interno específicamente
Riesgo Consecuencias Nivel Propuesta Ejecución
del
riesgo
Reubicar los equipos de De
Los equipos *Fallo de cómputo, donde no tenga inmediato
están expuesto computadores. Alto exposición directa al sol ni a
al sol y la humedad.
salpicadura de *Problemas
agua. Eléctricos. Se recomienda evitar cambios
bruscos de temperatura.
 7

Los trabajadores *Atracción de plagas Se recomienda limpiar el

consumen en la empresa como Alto escritorio y los computadores De
alimentos sobre las hormigas, con paños húmedos, inmediato
sus equipos de cucarachas, puede desinfectante, de igual manera
cómputo traer consecuencias la empresa debe prohibir estas
a los cables. problemáticas y establecer un
espacio adecuado para
*Corto circuitos consumir alimentos

*Comandos de
teclado y ratón sin
responder

Cada empleado *Modificación de la

es administrador configuración de los Se recomienda crear una
de su equipo, sistemas sesión solo para los
por lo tanto, predeterminados Alto trabajadores y no darles una De
puede realizar sesión de administrador del inmediato
acciones que el *Cambios no equipo
desee o tener autorizados en el
acceso a la sistema
información * Adquisición de
almacenada información no
autorizada
*Sustracción de Se recomienda que en cada
Los información computadora tenga un acceso
computadores confidencial. de clave para su ingreso,
no cuentan con igualmente para manejar
una contraseña *Descargas de virus. Alto softwares contables, De
de inicio de financiero y para respaldo de inmediato.
sesión segura * Uso de datos.
computadores por
terceros.

*Cambio de
información.
La empresa Se recomienda hacer respaldo
desde hace 4 *Pérdida total de de información mensual,
años que ejerce archivos, ya sean Alto bimestral, o periódicamente De
no cuenta con como la empresa lo vea inmediato
 8

una copia de eliminados o fuerza necesario por medio de nubes,

seguridad mayor. memorias o Backup al
ofimática momento de guardar
*Base de datos información confidencial de la
erróneas o empresa solo para el uso del
desactualizadas. gerente o dueño
los usuarios *Descargas de virus. Se recomienda que las páginas
tienen libre que no sean utilizadas para el
acceso a *Perdida de uso de laboral sean De
diversas páginas información. Alto restringidas para los inmediato
y a las redes colaboradores. Con el de fin
sociales en el *Hackeo al sistema de evitar daños en el sistema y
horario labora aumentar la velocidad del
internet.
Se evidencia que *Al momento que se Crear y modificar los usuarios
existen cuatro presente un con nombre, cedula de
usuarios en el problema, en el Alto identificación para tener más De
sistema y solo sistema no se sabe claridad quien hace uso de los inmediato
dos trabajadores quién es el programas y estar seguros de
habilitados para responsable de la que la información esta
trabajar, no se información confiable y no por terceros.
logra establecer .
quién hace uso *No se tiene control
de los dos de los usuarios.
usuarios
desconocidos *Robo de
información
Se detecta que el Se recomienda que el asistente
asistente *Equivocación de contable y el contador
contable trabaja usuario al momento Alto público, tengan usuarios
con el usuario de subir la diferentes y se haga cambio de De
contador el cual información. usuario y de contraseña del inmediato
le fue prestado, usuario ya creado.
los usuarios *Modificaciones de
nunca han archivos y el sistema
cambiado sus
usuarios y
contraseñas
 9

La red de *Problemas al cargar Se recomienda implementar

internet no es la la información al Alto una red de cableado de De
más adecuada sistema. acuerdo la estructura de la inmediato
*Señal débil empresa.
en las diferentes
áreas de la empresa.

Represéntate Legal Auditor informático

Auditoria & Contadores S.A.S Auditoria & Contadores S.A.S

Pag x de
Auditoria & Contadores S.A.S
Código:
AUD056
Versión: 2
Propuesta de riesgos informáticos
Fecha de
emisión :28/08/2021
Empresa auditada Empresa Comercializadora de aseo
Fecha de realización 27 de agosto de 2021
Matriz de Riegos de ingreso a los sistemas informático y autenticados
Riesgo Consecuencias Nivel del Propuesta Ejecución
riesgo
*Daños de *Mantener
imagen. políticas y
Fugas de procedimientos
información *Consecuencias Alto claros que la De inmediato
económicas. empresa realiza.
*Establecer un
*Consecuencias procedimiento
legales. seguro para
eliminación de
datos.
 10

Virus Los daños que * mantener el

informáticos puede causar los software de tu
virus en el sistema equipo lo más
como; borrado de actualizado
archivos, posible y las De inmediato
comportamiento actualizaciones
erróneo de la periódicas te
pantalla, Alto ayudarán.
despliegue de
mensajes, *Recomendamos
desorden en los un programa
datos del disco, antivirus
aumento del actualizado que
tamaño de los ayude a proteger
archivos el equipo de
ejecutables o virus y troyanos.
reducción de la *Escáner en
memoria total. tiempo real Se
ejecuta en
segundo plano
como un
servicio del
sistema y
controla todos
los archivos,
aplicaciones y
servicios. Si la
protección
antivirus ha
encontrado algo
sospechoso,
normalmente se
pregunta
primero al
usuario cómo
debería ser el
siguiente
procedimiento,
para que el
usuario tenga el
 11

poder de
decisión.

Usos no * Cuando *Se recomienda

autorizados de personas que no el uso de
sistema están autorizadas Alto contraseñas, para
informático acceden a los computadores De inmediato
programas o datos y para los
que no deberían, servidores de
como es el caso internet que la
de los hackers. empresa maneje.

* También se
puede perder o
deteriorar material
informático por
una mala
manipulación o
intención.

*Al gestionarse
erróneamente los *Implementar un
datos de los sistema de De inmediato
Alteración de la usuarios, se afecta seguridad en el
información en distinto grado, Alto sistema donde los
la credibilidad de usuarios puedan
la empresa. confiar en la
* Pérdidas empresa y evitar
Divulgación de monetarias así fugas de
información millonarias como información
resultado de un
mal manejo de los
datos personales.

Represéntate Legal Auditor informático

Auditoria & Contadores S.A.S Auditoria & Contadores S.A.S
 12

Pag x de
Auditoria & Contadores S.A.S
Código: AUD056

Versión: 2
Propuesta de riesgos informáticos
Fecha de emisión
:28/08/2021

Empresa auditada Empresa Comercializadora de aseo

Fecha de realización 27 de agosto de 2021
Matriz de riesgos a los que la información se expone por la manipulación de un usuario.
Riesgo Consecuencias Nivel del Propuesta Ejecución
riesgo
Divulgación (sin *Incumplimiento Se recomienda
autorización) de establecer
indebida de los confidencialidad e normas o
procesos de la integridad de la políticas sobre el
empresa información. manejo
informático de la
Modificación de *Ausencia de empresa, donde
De inmediato
la información transferencia de permita tener la
sin autorización, conocimiento y información
de forma crítica falta de Alto confiable.
y sin capacitación. igualmente
conocimiento compra de
del gerente o software para la
propietarios. *Acciones no documentación
adecuadas en el de archivos
Perdida de tratamiento de los digitales y
información sin activos de la - físicos.
información
posibilidad de Se recomienda
recuperarla. *Daños en las contraseñas
documentos y en los equipos de
Acceso de deterioro en el cómputo para
papel casa usuario.
tercero a los
computadores
de la empresa.
 13

Represéntate Legal Auditor informático

Auditoria & Contadores S.A.S Auditoria & Contadores S.A.S

Pag x de
Auditoria & Contadores S.A.S
Código: AUD056

Versión: 2
Propuesta de riesgos informáticos
Fecha de emisión
:28/08/2021

Empresa auditada Empresa Comercializadora de aseo

Fecha de realización 27 de agosto de 2021
Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de
datos de un sistema informático
Riesgo Consecuencias Nivel del Propuesta Ejecución
riesgo
Documentos en Perdida de
la salida de documentos que *Controlar las
impresión puede ser impresoras,
pueden ser confidencial o ubicarlas en
confidenciales, tener información Alto espacios seguros De inmediato
puede ser visto privada de la que no todos
por terceros. empresa, de los tengan acceso a
Modificación clientes, en la cual ellas.
por parte de los se puede presentar
usuarios las divulgación de la *Poner las
configuraciones información a suficientes
de seguridad de terceros. impresoras por
las impresoras, áreas
falsificando
documentos
 14

Gastos Genera gastos de *reutilizar el

innecesarios de papel papel De inmediato
reimpresión. innecesariamente, Medio
tinta y energía *alternativas de
almacenamiento
Intervención de Ataque y robos de *actualización de
información información contraseñas De inmediato
enviada por periódicamente
Alto
correos de los correos
electrónicos y en electrónicos
físicos.

Usuarios y Desviación y *usuarios con De inmediato

accesos no filtración de contraseña para
autorizados: información
Alto cada persona que
protege tus privada.
documentos con Perdida o tenga acceso a las
el control de modificación de cuentas de la
impresión. información de
empresa.
alta importancia

Represéntate Legal Auditor informático

Auditoria & Contadores S.A.S Auditoria & Contadores S.A.S
 15

Conclusión

Teniendo en cuenta todos los riesgos existentes para los sistemas informáticos de una

empresa es de vital importancia ejecutar cada una de las propuestas planteadas, para proteger la

información y evitar desviación modificación o perdida de dicha información, teniendo en cuenta

que en muchas ocasiones es de mucha más importancia la información que el hardware de la

empresa, ya que la información alterada puede generar daños o dificultades a la hora de ejecutar

cualquier actividad dentro de la empresa. Permitiendo así que la empresa de comercializadora de

aseo debe de organizarla información para poder así crecer como lo desea.