Identificación y Valoración de Riesgos, Elaboración de Papeles de Trabajo

Presentado Por:
Leydy Johanna Contreras Hernández
ID: 713949

Presentado A:
EUGENIO OSORIO GARCIA

Corporación Universitaria Minuto De Dios

2021-2
 Identificación y valoración de riesgos, elaboración de papeles de trabajo
Para la evaluación de riesgos de seguridad en el sistema informático de una compañía,
se realizó una inspección, en la cual se detectaron las siguientes situaciones:
1. La compañía hace copias de seguridad a diario de su sistema contable; sin
embargo, estas copias reposan en el mismo servidor, nunca se ha hecho una
extracción de información.

2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos

los usuarios de los equipos tienen privilegios de administrador en sus
computadores.

3. La navegación en internet es libre, no existe restricción alguna en páginas o

contenidos, igualmente pueden descargar archivos sin restricción alguna.

4. En la inspección se detecta que el 80% de los equipos verificados tienen

archivos en el escritorio del computador.

5. Transportan los archivos en USB.

6. Una vez al año se les realizan a los computadores mantenimientos

preventivos y se tiene un contrato de prestación de servicios con un
profesional que también atiende los mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de

la empresa y a los archivos compartidos incluso fuera de la organización.
 SOLUCIÓN
a. Categorización de los hallazgos y establecimiento de los riesgos

RIESGOS DE CONTROL INTERNO ESPECÍFICAMENTE

HALLAZGO DESCRIPCIÓN DEL RIESGO
6. Una vez al año se les realizan El mantenimiento preventivo a los
a los computadores mantenimientos equipos de cómputo se debería realizar
preventivos y se tiene un contrato de con mayor frecuencia, así como también
prestación de servicios con un mantener en la nómina de personal un
profesional que también atiende los responsable para los mantenimientos
mantenimientos correctivos. correctivos, que esté disponible en
jornada completa para atender cualquier
daño o anomalía de atención urgente.
3. La navegación en internet es libre, Este acceso puede ocasionar desvío de
no existe restricción alguna en páginas o la información, distracciones, la entrada
contenidos, igualmente pueden de virus o páginas que roban
descargar archivos sin restricción información, además de limitaciones en
alguna. las funciones laborales.

RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y SU

AUTENTICACIÓN
HALLAZGO DESCRIPCIÓN DEL RIESGO
7. Se establece que los Un acceso no controlado a los correos y
trabajadores tienen acceso a los correos archivos de la empresa, que puede
electrónicos de la empresa y a los implicar extracción de información,
archivos compartidos incluso fuera de la manipulación y pérdida de datos.
organización.

RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA

MANIPULACIÓN DE UN USUARIO
HALLAZGO DESCRIPCIÓN DEL RIESGO
1. La compañía hace copias de Como la información se almacena en
seguridad a diario de su sistema un único servidor, si este sistema base
contable; sin embargo, estas copias presenta una falla, todo se perdería al
reposan en el mismo servidor, nunca no existir un segundo recurso de
se ha hecho una extracción de almacenamiento.
información.
2. Nunca se ha hecho una copia Como no se hacen copias de seguridad
de seguridad de los archivos a los archivos informáticos, éstos se
ofimáticos pueden perder si el sistema presente
fallas y la información podría ser
irrecuperable.
2. Todos los usuarios de los equipos Se pueden presentar manipulaciones,
tienen privilegios de administrador en estafas, cambios, errores u
sus computadores. ocultamientos de información.
4. En la inspección se detecta que El hecho de guardar gran cantidad de
el 80% de los equipos verificados archivos y datos en el escritorio del
tienen archivos en el escritorio del computador puede implicar pérdidas
computador. irreparables de la información, ya que
es uno de los lugares donde la
información se pierde con mayor
facilidad.

RIESGOS QUE PUEDEN SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y

EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO
HALLAZGO DESCRIPCIÓN DEL RIESGO
El riesgo latente de manipulaciones,
5. Transportan los archivos en robo de datos, modificaciones y
USB. cambios por cualquier usuario y en
cualquier momento al tener tanta
facilidad teniendo a la mano los datos.

b. Identificación de los riesgos

i. Entradas a los sistemas informáticos

 Acceso no controlado a los correos y archivos de la empresa ya que

desde casa se puede ingresar a ellos, lo que puede implicar extracción de
información, manipulación y pérdida de datos.

ii. Procesos a los sistemas informáticos

 El mantenimiento preventivo con frecuencia poco óptima y un
funcionario responsable de los mantenimientos correctivos sin
contrato a tiempo completo, lo que implica que no se puedan atender
eficazmente cualquier daño o anomalía de atención urgente.
  Libertad en la navegación en internet es libre, no existe restricción
alguna en páginas o contenidos, igualmente pueden descargar
archivos sin restricción alguna suponiendo la llegada de virus y
programas maliciosos.
 Carencia de alternativas de almacenamiento de la información, ya
que, al utilizar un único servidor, si este sistema base presenta una
falla, todo se perdería al no existir un segundo recurso de
almacenamiento.
 Ausencia de copias de seguridad para salvaguardar los archivos
informáticos, los cuáles se pueden perder si el sistema presente fallas
y la información podría ser irrecuperable.
 Se pueden presentar manipulaciones, estafas, cambios, errores u
ocultamientos de información dado que todos los usuarios de los
equipos tienen acceso de administrador.
 Perdidas de información por el hecho de guardar gran cantidad de
archivos y datos en el escritorio del computador puede implicar
pérdidas irreparables de la información, ya que es uno de los lugares
donde la información se pierde con mayor facilidad.

iii. Salidas de información de los sistemas informáticos

 El riesgo latente de manipulaciones, robo de datos, modificaciones y

cambios por cualquier usuario y en cualquier momento al tener tanta
facilidad teniendo a la mano los datos al transportar datos en unidades
USB.

1. Con la información recolectada en sus papeles de trabajo se solicita identificar

los riesgos y valorarlos de acuerdo con el siguiente modelo.

DIDÁCTICA 890.201.5
NOMBRE DE LA EMPRESA SAS NIT 79
CICLO SISTEMAS DV 2
MATRIZ DE IMPACTOS EJECUCIÓN

MODERA
RIESGOS BAJO ALTO
DO
Acceso no controlado a los correos X
y archivos de la empresa ya que desde
casa se puede ingresar a ellos, lo que
puede implicar extracción de información,
Manipulación y pérdida de datos.
Libertad en la navegación en internet
es libre, no existe restricción alguna en
páginas o contenidos, igualmente pueden X
descargar
archivos sin restricción alguna suponiendo
la llegada de virus y programas maliciosos
El mantenimiento preventivo con frecuencia
poco óptima y un funcionario responsable
de los mantenimientos correctivos sin contrato X
a tiempo completo, lo que implica que no se
puedan atender eficazmente cualquier daño
O anomalía de atención urgente.
Carencia de alternativas de almacenamiento
de la información, ya que, al utilizar un único
X
servidor, si este sistema base presenta una
falla, todo se perdería al no existir un
Segundo recurso de almacenamiento.
Ausencia de copias de seguridad para
salvaguardar los archivos informáticos, los
X
cuáles se pueden perder si el sistema
Presenta fallas y la información podría ser
irrecuperable.
Se pueden presentar manipulaciones,
estafas, cambios, errores u ocultamientos
X
de información dado que todos los usuarios
De los equipos tienen acceso de
administrador.
Perdidas de información por el hecho
de guardar gran cantidad de archivos
y datos en el escritorio del
X
computador puede implicar pérdidas
irreparables
de la información, ya que es uno de los
lugares donde la información se pierde
Con mayor facilidad.
El riesgo latente de manipulaciones,
robo de datos, modificaciones y cambios
por cualquier usuario y en cualquier X
momento al tener tanta facilidad
teniendo
A la mano los datos al transportar datos en
unidades USB.
 2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que
encuentra a continuación, diseñe los cuestionamientos y marque la respuesta
afirmativa o negativa, según cada uno de los hallazgos; si es necesario, registre
también las observaciones.

DIDÁCTICA
NOMBRE DE LA EMPRESA SAS NIT 890.201.579
CICLO AUDITADO SISTEMAS SISTEMAS DV 2
EJECUCIÓ
PROCESO-POLÍTICAS DE SEGURIDAD N

NO
PREGUNTAS, CONFIRMACIONES Y CUMP OBSERVACIONES
CUESTIONAMIENTOS CUMPLE LE
SÍ NO
La compañía realiza copias de seguridad
de X
Su sistema contable.
La compañía realiza copias de seguridad
X
De sus archivos ofimáticos.
Diariamente
La empresa dispone de un servidor para su sistema
Almacenar sus copias de seguridad. contable
Cuál es la periodicidad con la cual se
realizan
Copias de seguridad?
Todos los
Se tiene identificación plena sobre los usuarios
permisos y alcances de acceso de los X
tienen
usuarios acceso como
De la información. administrador
Existe restricción de acceso a ciertas
páginas X
almacenadas en la web
La mayoría de
Todos los archivos son almacenados en los archivos se
X
servidores o disco de correcto almacenan en el
almacenamiento escritorio
Cómo se hace el transporte de información A través de una
Entre los equipos de computación? USB
¿Cuál es la periodicidad de mantenimiento
Anual
De los equipos de cómputo?
Se cuenta con un plan de mantenimiento
X
Frecuente para sus equipos de cómputo.
Sin embargo,
Se cuenta con una persona asignada para tiene contrato
X
efectuar los mantenimientos correctivos por prestación
De los equipos. de servicios
Existen restricciones para acceder a sus
sistemas de información únicamente X
Desde las instalaciones de la empresa.
Lista de referencias