Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas De Información

Maestría en Seguridad Informática
Auditoría Informática
Ma. Ing. Albino Cesare Buratti Aldana

Tarea 1
Auditoría Seguridad Lógica

Marvin Ronaldo Palma Rojas - 1993 - 16 - 2001

Plan Sábado
Sección “A”
17 de Enero de 2021
 ÍNDICE

INTRODUCCIÓN .................................................................................................... 3
RESUMEN .............................................................................................................. 4
FLUJO DE PROCESO DE AUDITORÍA ................................................................. 5
Planificación del proyecto .................................................................................... 5
Análisis de riesgo ................................................................................................ 5
Gestión de riesgos............................................................................................... 5
CONTEXTO PARA EL ANÁLISIS DE RIESGOS .................................................... 6
Contexto externo ................................................................................................. 6
Contexto interno .................................................................................................. 6
ANÁLISIS DE RIESGOS ......................................................................................... 7
Variables del análisis ........................................................................................... 7
Análisis de riesgo por proceso............................................................................. 8
Análisis de riesgo por puesto............................................................................... 9
TOP 10 DE PUESTOS CRÍTICOS........................................................................ 10
HALLAZGOS Y RECOMENDACIONES ............................................................... 11
Propuesta de procedimiento .............................................................................. 12
CONCLUSIONES ................................................................................................. 13
RECOMENDACIONES ......................................................................................... 14
REFERENCIAS..................................................................................................... 15
 3

INTRODUCCIÓN
La utilización de un sistema de planificación de recursos empresariales permite
la modularización de procesos que son otorgados mediante permisos previamente
autorizados. Por ello, se decide la ejecución de una auditoría de accesos en la
totalidad de los módulos con la finalidad de un análisis sobre segregación de
funciones.

La auditoría es consecuencia de la validación constante que es necesaria sobre

los puestos y procesos, por lo que el objetivo es el reconocimiento de amenazas por
accesos otorgados y las posibilidades de robo de información, ejecuciones erróneas
y otras amenazas de aspecto informático.

En efecto, se tomará como punto de partida y único insumo, la matriz de

seguridad que otorgará el área de Tecnología de la Información, la cual contiene la
distribución actual de los puestos y las aplicaciones autorizadas para su uso.
 4

RESUMEN
En esta tarea se explora el proceso de una auditoría institucional, en la cual se
presenta el escenario de una necesidad de análisis sobre segregación de funciones
de un sistema de planificación de recursos empresariales. Por ello, se ejecutó una
auditoría sobre los accesos lógicos de cada puesto institucional a los distintos
módulos de procesos.

La auditoría presentada derivó el desarrollo de un flujo de proceso de

actividades, se estableció el contexto para el análisis de riesgo sobre puestos y
aplicaciones, se determinó un top 10 de puestos críticos por su nivel de riesgo y
aplicaciones críticas y se definieron los hallazgos y recomendaciones de utilidad.

Palabras clave: auditoría, accesos, análisis, riesgo, hallazgos

 5

FLUJO DE PROCESO DE AUDITORÍA

El flujo que se implementa consta de tres pasos fundamentales que dividen el
proceso de auditoría de la siguiente manera: planificación del proyecto, análisis de
riesgo y gestión de riesgos.

Planificación del proyecto

Dados los alcances previstos como solicitud, se realizaron análisis de los puntos
clave. Debido a esto, se llegó a la conclusión de analizar los usuarios del sistema
ERP, en conjunto a los módulos de la aplicación a auditar, la prioridad estará en
definir el contexto de cada análisis de riesgo, evaluarlo y ordenarlo por impacto que
podría ejercer en la empresa. Posteriormente, se exponen hallazgos y
recomendaciones para solventar los resultados.

Análisis de riesgo
En esta etapa se identifican los módulos por evaluar y los usuarios que tienen
acceso a estas aplicaciones. La finalidad es encontrar amenazas y evaluar la
probabilidad de impacto, con esta información se determina si es necesario aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo. Por último, se realiza una
gráfica de calor para la comprensión elocuente de los datos recabados.

Gestión de riesgos
Consiste en la toma de medidas para resolver los hallazgos que afecten la
seguridad actual y prevenir las amenazas que tienen probabilidad de surgir y
vulnerar la integridad de los activos de información.

Ilustración 1. Flujo del proceso de auditoría (Elaboración propia)

 6

CONTEXTO PARA EL ANÁLISIS DE RIESGOS

Contexto externo
La entidad empresarial se dedica al almacenamiento de bienes terceros en
bodegas pertenecientes al patrimonio institucional. Colocándose como uno de los
principales servicios de almacenamiento a nivel nacional.

La institución cumple con las políticas de almacenamiento seguro de los bienes

proporcionados y los reglamentos sanitarios.

Dentro de las relaciones contractuales y compromisos se encuentra la alta

disponibilidad de los sistemas para satisfacer las necesidades de sus clientes. Las
expectativas de sus contratadores son la protección de bienes y la capacidad de
almacenamiento, principalmente.

Contexto interno
El objetivo de la institución es mantener de forma segura los bienes que son
ingresados a las instalaciones, de igual manera se vela por la discreción de la
información concerniente a los depósitos de productos.

Debido al crecimiento exponencial de los módulos necesarios para el manejo de

la institución, se realizó una matriz de accesos a un ERP que actualmente
mantienen en funcionamiento, los empleados que necesitan ingresar al sistema son
evaluados por los permisos que se establecieron en el ERP.

Cada puesto al que corresponde un usuario tiene reglas de acceso a los

módulos, esto con la finalidad de establecer reglas de acceso lógico a la información
sensible de la institución.
 7

ANÁLISIS DE RIESGOS
Variables del análisis

Ilustración 2. Valores de la
probabilidad e impacto de las
amenazas (Elaboración propia)

Ilustración 3. Niveles de riesgo

(Elaboración propia)
 8

Análisis de riesgo por proceso

Ilustración 4. Procesos por auditar (Elaboración propia)

Ilustración 5. Evaluación de riesgos por procesos (Elaboración propia)

Ilustración 6. Matriz de riesgos por procesos (Elaboración propia)

 9

Análisis de riesgo por puesto

Ilustración 7. Puestos por

auditar (Elaboración propia)

Ilustración 8. Evaluación de riesgos por puestos (Elaboración propia)

 10

Ilustración 9. Matriz de riesgos por puestos (Elaboración propia)

TOP 10 DE PUESTOS CRÍTICOS

Los resultados permiten deducir un top 10 de los puestos críticos que necesitan
ser atendidos, su orden depende del nivel de riesgo y la criticidad de los procesos
involucrados. La lista es la siguiente:

1. Recepcionista
2. Auxiliar de caja
3. Vendedores
4. Auxiliar de negociación con proveedores
5. Auxiliar de contabilidad
6. Operador de marketing
7. Auxiliar de producción
8. Auxiliar de reclutamiento y selección
9. Dirección administrativa
10. Auxiliar de nómina y compensaciones
 11

HALLAZGOS Y RECOMENDACIONES
Tabla 1. Tabla de hallazgos y recomendaciones.

Nivel
Controles
No. Amenaza de Tratamiento Recomendación
aplicados
riesgo
Controles al dar
acceso a módulos,
Verificación de
Acceso de personal usar accesos con
1 Alto accesos de Mitigar
no autorizado tiempo definido y
personal
que necesiten
renovación.
Validación de
Ejecución de Verificación de permisos y
2 proceso no Medio permisos de Mitigar credenciales al
autorizado ejecución ejecutar procesos
críticos.
Delimitar la
Validación de
manipulación de
Manipulación de permisos al
inventarios y
3 posible evidencia de Medio manipular Mitigar
utilizar doble
robo información de
validación sobre
procesos
cambios aplicados.
Posible división de
Verificación de módulos con un
permisos para apartado de
4 Fuga de información Medio descargar Mitigar documentos de
documentos de uso diario y
importancia. documentos
confidenciales.
Validar
Validación de
credenciales
Sobrecarga de ejecución
5 Bajo Aceptar nuevamente al
almacenamiento sobre
ejecutar el proceso
respaldos
de respaldo.
Ejecutar
Validación de manipulación de
posibles datos únicamente
6 Fraude interno Alto Mitigar
fraudes sobre al recibir
inventarios confirmación de
jefe encargado.
(Elaboración propia)
 12

Propuesta de procedimiento

Ajuste de permisos según Adjuntar validación de Agregar a los flujos de

las actividades críticas de credenciales a procesos manipulación de inventario la
cada puesto. críticos. confirmación obligatoria del jefe
de módulo.

Dividir el módulo de
Monitoreo constante de Agregar en flujos críticos documentos en dos, con
accesos otorgados. la doble validación sobre la finalidad de separar la
cambios aplicados. información confidencial.

Diagrama 1. Diagrama de flujo de propuesto sobre procedimientos (Elaboración propia)

 13

CONCLUSIONES
Al finalizar el proceso de auditoría se identificaron las amenazas que surgían por
la falta de control en accesos lógicos para los módulos de procesos. Las matrices
realizadas para el análisis de riesgo demostraron la probabilidad de impacto y el
daño que causarían las amenazas si son ejecutadas.

Los resultados que se obtuvieron demuestran la necesidad de un plan de

tratamiento de riesgos, por lo que se determinó el tratamiento necesario para cada
amenaza encontrada.

Para el aseguramiento de la integridad de los accesos es necesario el monitoreo

constante de permisos y tiempos de renovación, así como otras prácticas
necesarias, entre las cuales se encuentra la doble validación, confirmación de
ejecución de procesos críticos, delimitación de manipulación de información y
validación por credenciales al procesar información crítica.
 14

RECOMENDACIONES
Se considera interesante investigar sobre los aspectos del análisis de riesgo y
su relación a las normas ISO 31000, se propone:

• Extender las recomendaciones sobre cómo abordar el tratamiento de las

amenazas con un enfoque de seguimiento y revisión, planteado en el proceso
de las normas ISO 31000.
• Analizar la importancia del contexto externo e interno, previo al realizar los
análisis de riesgos.
• Investigar análisis de riesgo de índole similar, con el fin de obtener
experiencia para la auditoría de accesos lógicos.
 15

REFERENCIAS
Cortés, J. (2021). Cómo hacer una auditoría informática: lo que necesitas saber.
Revista digital INESEM. https://revistadigital.inesem.es/informatica-y-tics/auditoria-
informatica/

Gutiérrez, Y., Sánchez, A. (11 de octubre de 2017). Diseño de un Modelo de Gestión

de Riesgos basado en ISO 31.000:2012. Scientific Electronic Library Online.
https://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-
50062018000400015#f3

Organización Internacional de Normalización. (2018). Administración/Gestión de

riesgos – Lineamientos guía (ISO 31000).
https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:en

Palma, M. (19 de enero de 2022). Matriz de riesgos Procesos.

https://docs.google.com/spreadsheets/d/1X0hKqI6BYylsopsvfkC9DnzfpG5WnUPb
T5jnCGiCW4E/edit?usp=sharing

Palma, M. (19 de enero de 2022). Matriz de riesgos Puestos.

https://docs.google.com/spreadsheets/d/1r_xfyOwKN_ltpc2OpTU7I4nSZPotu5EBo
KFO1eXjEFE/edit?usp=sharing