Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EN EL VALLE DE SULA
CARRERA DE CONTADURÍA PÚBLICA Y FINANZAS
AUDITORIA EN SISTEMAS DE INFORMACIÓN II
TEMA
GRUPO 5
ELABORADO POR
CESIA NOHEMI ARCHAGA PALMA 20132007096
KARLA JEAQUELINE LÓPEZ LÓPEZ 20162030789
PABLO JAVIER ARGUETA MERCADO 20122003597
LISBETH CONCEPCIÓN HERNÁNDEZ 20142006291
GABRIELA ALEJANDRA CASTILLO GÓMEZ 20162030467
Preventivo
No 3. El formulario de creación/
eliminación es revisado y
aprobado para otorgar a los Preventivo
usuarios solo los accesos que
necesitan
La solicitud es
autorizada?
Si
4. Se asigna al personal
de IT procesar la solicitud
5. Crear/modificar/eliminar
accesos de usuario
Detectivo
Departamento de sistemas
b. ¿Qué recomendación realizaría a la administración del hospital para que no sucedan estos
casos?
Primero, establecer y documentar una política de control de acceso teniendo en cuenta
los requisitos del hospital.
Segundo, revisar con periodicidad la política de control de acceso
Tercero, crear un formulario de solicitud para la eliminación de los usuarios al
finalizar el vínculo laboral.
Caso 3
En la empresa se desea eliminar cuentas de correo que no están siendo utilizadas y se ha enviado
este correo de parte del administrador de correos a los usuarios:
Ventajas
Se utilizan métodos de identificación y autentificación de usuario.
Solo las personas conocedoras del usuario y contraseña podrán confirmar el correo.
Al eliminar cuentas de correo se reduce la vulnerabilidad de la información.
Se reduce la presencia de cuentas en abandono.
Desventajas
Puede que los dueños del correo ya no sean empleados de la organización y puedan
confirmar información de correo electrónico.
Las cuentas pueden ser fácilmente utilizadas para conseguir accesos no autorizados.
Existe vulnerabilidad de la información.
Caso 4
En la empresa Global Retail donde Ud. está realizando la auditoría de sistema se ha establecido un
procedimiento de creación de usuarios o para conceder accesos a los ya existentes. El procedimiento
consiste en que el usuario ingresa a un portal web y crea un ticket o solicitud de atención al área de
soporte del sistema AS400, sistema utilizado por la compañía para la administración de inventarios.
Solamente con aprobación del jefe se pueden crear usuarios o cambiar accesos, entonces los
usuarios (ya que los jefes no tienen la costumbre de ingresar al portal), asignan copia de la solicitud
en el sistema web al correo del jefe. Los encargados de soporte revisan diariamente el portal para
atender solicitudes y confirman la aprobación del jefe antes de proceder con los cambios de accesos
o creación de usuarios. Como parte de sus procedimientos para verificar que este proceso realmente
funciona como se lo han explicado, Ud. solicitó un listado de usuarios creados y modificados del
sistema, Ud. seleccionó una muestra y solicitó inspeccionar el ticket de solicitud. Como resultado
Ud. identificó lo siguiente:
b. Recomiende que procedimientos debió haber hecho Ud. y el personal del cliente auditado
para evitar esos problemas.
Respetar las políticas de seguridad de la información.
Comunicarla nuevamente al jefe de soporte técnico.
Adaptarse a ella y ponerla en práctica.
Definir la importancia de esta y hacer revisiones de este listado de usuarios que cuenten con
todo lo necesario para la creación de cada uno.
Los usuarios respetar su acceso, según su función dentro de la compañía.
c. Si Ud. depende mucho de esta prueba de auditoría, que procedimientos compensatorios
Ud. podría realizar para no desperdiciar el trabajo realizado y aun así poder obtener
confort de la prueba.
Al observar poca eficiencia de parte del personal técnico de la compañía, agendar
capacitaciones, incluyendo a los usuarios para el buen uso y funcionamiento del sistema,
evitando error, fuga de información y sobre todo ahorrar tiempo haciendo las operaciones
de forma eficáz desde un inicio.
Caso 5
La empresa Global Retain es una empresa muy grande de venta de artículos masivos por lo que
todas las pruebas tienen siempre una complicación para los auditores…. En este caso, a Ud. se le
ha encomendado realizar la revisión de los accesos del sistema AS400, el cual ellos utilizan para la
administración de sus inventarios. Resulta que le proporcionaron un reporte donde se detallan todos
los usuarios, a que programa tienen acceso y dentro de ese programa a que opción tienen accesos
los usuarios. Como resultado Ud. identifica que un total de 654 usuarios poseen acceso a
transacciones que Ud. considera críticas: entradas de inventario, salidas de inventario (incluyendo
transferencias entre almacenes) y registro de materiales. Ud. encuentra esa situación algo extraña
ya que Ud. verificó anteriormente que el proceso de accesos es más o menos efectivo. Ud. se reúne
con el administrador del sistema y le plantea la situación, él le comenta que no puede obtener un
reporte más detallado del sistema que le indique si el usuario posee acceso para crear/modificar o
solamente es acceso de consulta. En la reunión en su presencia se consultó en el sistema algunos de
estos usuarios y se observó que algunos solamente son de consulta y otros si poseen el acceso a
crear o modificar y son usuarios que no deberían tenerlo.
Riesgo Asignación:
a. Comente como se podría realizar esta prueba aún con esta limitación.