Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tarea 1
Auditoría Seguridad Lógica
INTRODUCCIÓN .................................................................................................... 3
RESUMEN .............................................................................................................. 4
FLUJO DE PROCESO DE AUDITORÍA ................................................................. 5
Planificación del proyecto .................................................................................... 5
Análisis de riesgo ................................................................................................ 5
Gestión de riesgos............................................................................................... 5
CONTEXTO PARA EL ANÁLISIS DE RIESGOS .................................................... 6
Contexto externo ................................................................................................. 6
Contexto interno .................................................................................................. 6
ANÁLISIS DE RIESGOS ......................................................................................... 7
Variables del análisis ........................................................................................... 7
Análisis de riesgo por proceso............................................................................. 8
Análisis de riesgo por puesto............................................................................... 9
TOP 10 DE PUESTOS CRÍTICOS........................................................................ 10
HALLAZGOS Y RECOMENDACIONES ............................................................... 11
Propuesta de procedimiento .............................................................................. 12
CONCLUSIONES ................................................................................................. 13
RECOMENDACIONES ......................................................................................... 14
REFERENCIAS..................................................................................................... 15
3
INTRODUCCIÓN
La utilización de un sistema de planificación de recursos empresariales permite
la modularización de procesos que son otorgados mediante permisos previamente
autorizados. Por ello, se decide la ejecución de una auditoría de accesos en la
totalidad de los módulos con la finalidad de un análisis sobre segregación de
funciones.
RESUMEN
En esta tarea se explora el proceso de una auditoría institucional, en la cual se
presenta el escenario de una necesidad de análisis sobre segregación de funciones
de un sistema de planificación de recursos empresariales. Por ello, se ejecutó una
auditoría sobre los accesos lógicos de cada puesto institucional a los distintos
módulos de procesos.
Análisis de riesgo
En esta etapa se identifican los módulos por evaluar y los usuarios que tienen
acceso a estas aplicaciones. La finalidad es encontrar amenazas y evaluar la
probabilidad de impacto, con esta información se determina si es necesario aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo. Por último, se realiza una
gráfica de calor para la comprensión elocuente de los datos recabados.
Gestión de riesgos
Consiste en la toma de medidas para resolver los hallazgos que afecten la
seguridad actual y prevenir las amenazas que tienen probabilidad de surgir y
vulnerar la integridad de los activos de información.
Contexto interno
El objetivo de la institución es mantener de forma segura los bienes que son
ingresados a las instalaciones, de igual manera se vela por la discreción de la
información concerniente a los depósitos de productos.
ANÁLISIS DE RIESGOS
Variables del análisis
Ilustración 2. Valores de la
probabilidad e impacto de las
amenazas (Elaboración propia)
1. Recepcionista
2. Auxiliar de caja
3. Vendedores
4. Auxiliar de negociación con proveedores
5. Auxiliar de contabilidad
6. Operador de marketing
7. Auxiliar de producción
8. Auxiliar de reclutamiento y selección
9. Dirección administrativa
10. Auxiliar de nómina y compensaciones
11
HALLAZGOS Y RECOMENDACIONES
Tabla 1. Tabla de hallazgos y recomendaciones.
Nivel
Controles
No. Amenaza de Tratamiento Recomendación
aplicados
riesgo
Controles al dar
acceso a módulos,
Verificación de
Acceso de personal usar accesos con
1 Alto accesos de Mitigar
no autorizado tiempo definido y
personal
que necesiten
renovación.
Validación de
Ejecución de Verificación de permisos y
2 proceso no Medio permisos de Mitigar credenciales al
autorizado ejecución ejecutar procesos
críticos.
Delimitar la
Validación de
manipulación de
Manipulación de permisos al
inventarios y
3 posible evidencia de Medio manipular Mitigar
utilizar doble
robo información de
validación sobre
procesos
cambios aplicados.
Posible división de
Verificación de módulos con un
permisos para apartado de
4 Fuga de información Medio descargar Mitigar documentos de
documentos de uso diario y
importancia. documentos
confidenciales.
Validar
Validación de
credenciales
Sobrecarga de ejecución
5 Bajo Aceptar nuevamente al
almacenamiento sobre
ejecutar el proceso
respaldos
de respaldo.
Ejecutar
Validación de manipulación de
posibles datos únicamente
6 Fraude interno Alto Mitigar
fraudes sobre al recibir
inventarios confirmación de
jefe encargado.
(Elaboración propia)
12
Propuesta de procedimiento
Dividir el módulo de
Monitoreo constante de Agregar en flujos críticos documentos en dos, con
accesos otorgados. la doble validación sobre la finalidad de separar la
cambios aplicados. información confidencial.
CONCLUSIONES
Al finalizar el proceso de auditoría se identificaron las amenazas que surgían por
la falta de control en accesos lógicos para los módulos de procesos. Las matrices
realizadas para el análisis de riesgo demostraron la probabilidad de impacto y el
daño que causarían las amenazas si son ejecutadas.
RECOMENDACIONES
Se considera interesante investigar sobre los aspectos del análisis de riesgo y
su relación a las normas ISO 31000, se propone:
REFERENCIAS
Cortés, J. (2021). Cómo hacer una auditoría informática: lo que necesitas saber.
Revista digital INESEM. https://revistadigital.inesem.es/informatica-y-tics/auditoria-
informatica/