UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

EN EL VALLE DE SULA
CARRERA DE CONTADURÍA PÚBLICA Y FINANZAS
AUDITORIA EN SISTEMAS DE INFORMACIÓN II

TEMA

CASOS ADMINISTRACIÓN DE ACCESOS

DOCENTE
LIC SARA CAROLINA ORTEGA DUBÓN

GRUPO 5
ELABORADO POR
CESIA NOHEMI ARCHAGA PALMA 20132007096
KARLA JEAQUELINE LÓPEZ LÓPEZ 20162030789
PABLO JAVIER ARGUETA MERCADO 20122003597
LISBETH CONCEPCIÓN HERNÁNDEZ 20142006291
GABRIELA ALEJANDRA CASTILLO GÓMEZ 20162030467

SAN PEDRO SULA ,16 FEBRERO DE 2022

 Caso 1
a. Identifique los controles en este proceso de administración de accesos encerrando en un círculo.
b. Describir si cada control es preventivo o detectivo:

Preventivo

1. Crear formulario de solicitud

Nuevos empleados- 2. Los perfiles son revisados y
de creación/eliminación de
Inicio Empleados retirados
accesos basado en su relacionados con la descripción Preventivo
Transferencias de puestos
descripción de puestos

No 3. El formulario de creación/
eliminación es revisado y
aprobado para otorgar a los Preventivo
usuarios solo los accesos que
necesitan

La solicitud es
autorizada?

Si

4. Se asigna al personal
de IT procesar la solicitud

5. Crear/modificar/eliminar
accesos de usuario
Detectivo

7. Cada dos meses los Gerentes de Area y

6. Personal de IT informa a el encargado de seguridad revisan los
solicitante la ejecución de la accesos en el sistema contra el listado de
solicitud de accesos. altas, bajas y movimientos de personal.

8. Se realizan los cambios en los

Detectivo accesos del sistema por fallas
identificadas en la revisión.

9. Anualmente los Gerentes de Area,

encargado de seguridad y Recursos
Humanos revisan los accesos consedidos
Detectivo en el sistema, acualizan si es necesario y
aprueban.
Caso 2
Se identificó en la auditoría al 31 de diciembre de 2013 que el usuario Manuel Jesús Mejía se
encuentra activo. El jefe del usuario le proporcionó a Ud. este correo enviado por ella el 31/10/2013
como evidencia:

Departamento de sistemas

a. ¿Qué conclusiones puede obtener del caso?

 El hospital no cuenta con una política de control de accesos.
 No existe un proceso de eliminación de accesos al finalizar el vínculo laboral, contrato
o acuerdo.

b. ¿Qué recomendación realizaría a la administración del hospital para que no sucedan estos
casos?
 Primero, establecer y documentar una política de control de acceso teniendo en cuenta
los requisitos del hospital.
 Segundo, revisar con periodicidad la política de control de acceso
 Tercero, crear un formulario de solicitud para la eliminación de los usuarios al
finalizar el vínculo laboral.
Caso 3
En la empresa se desea eliminar cuentas de correo que no están siendo utilizadas y se ha enviado
este correo de parte del administrador de correos a los usuarios:

a. ¿Qué opina de este método de depuración de usuarios?

El método de depuración no es el correcto, ya que en este correo se comparte mucha
información personal como ser contraseña.
Lo ideal sería enviar un formulario únicamente con el usuario a eliminar y el departamento al
que corresponde. Pedir Listado a jefes de departamento de correos sin usar.

b ¿Qué ventajas y desventajas puede mencionar?

Ventajas
 Se utilizan métodos de identificación y autentificación de usuario.
 Solo las personas conocedoras del usuario y contraseña podrán confirmar el correo.
 Al eliminar cuentas de correo se reduce la vulnerabilidad de la información.
 Se reduce la presencia de cuentas en abandono.

Desventajas
 Puede que los dueños del correo ya no sean empleados de la organización y puedan
confirmar información de correo electrónico.
 Las cuentas pueden ser fácilmente utilizadas para conseguir accesos no autorizados.
 Existe vulnerabilidad de la información.
Caso 4
En la empresa Global Retail donde Ud. está realizando la auditoría de sistema se ha establecido un
procedimiento de creación de usuarios o para conceder accesos a los ya existentes. El procedimiento
consiste en que el usuario ingresa a un portal web y crea un ticket o solicitud de atención al área de
soporte del sistema AS400, sistema utilizado por la compañía para la administración de inventarios.
Solamente con aprobación del jefe se pueden crear usuarios o cambiar accesos, entonces los
usuarios (ya que los jefes no tienen la costumbre de ingresar al portal), asignan copia de la solicitud
en el sistema web al correo del jefe. Los encargados de soporte revisan diariamente el portal para
atender solicitudes y confirman la aprobación del jefe antes de proceder con los cambios de accesos
o creación de usuarios. Como parte de sus procedimientos para verificar que este proceso realmente
funciona como se lo han explicado, Ud. solicitó un listado de usuarios creados y modificados del
sistema, Ud. seleccionó una muestra y solicitó inspeccionar el ticket de solicitud. Como resultado
Ud. identificó lo siguiente:

a. Algunos accesos fueron solicitados por correo electrónico

b. Algunos usuarios de la muestra no eran usuarios nuevos, sino; que el servidor se cambió en el
mes de febrero, antes de su llegada a la empresa y la fecha de creación de los usuarios se registró
con esa fecha. Nota: Ud. está revisando el período de enero a junio.
c. Las solicitudes en algunas ocasiones no tienen visto bueno del jefe, solo se evidencia el usuario
que lo solicitó.
d. Algunos tickets no especifican que accesos, o que perfil de usuario están solicitando. A veces
solo dice “darle los mismos accesos que X persona”.
e. Algunos tickets no se encontraron.
Asignación:
a. Comente las causas que pudieron ocasionar los problemas identificados.
- Se identificó muchas inconsistencias en esta auditoría del sistema de información, debido a eso,
podría haber malas interpretaciones sobre el manejo que se le está dando a este sistema, un alto
margen de error, perdida de información o bien revelar secretos empresariales, los jefes de
soporte no están siguiendo las políticas de seguridad que ya son de su conocimiento.
 Los accesos son solicitados por medio del portal web.
 Todos los usuarios deben ser nuevos o los ya existentes ser modificados y asignarlos a una
persona activa dentro de la compañía bien identificada.
 Todas las solicitudes deben ser aprobadas por el jefe.
  Todo ticket debe especificar los accesos de cada usuario, puesto que hay división de
funciones dentro de la compañía y si todos tienen accesos abiertos podría existir error al
momento de alimentar el sistema.

b. Recomiende que procedimientos debió haber hecho Ud. y el personal del cliente auditado
para evitar esos problemas.
 Respetar las políticas de seguridad de la información.
 Comunicarla nuevamente al jefe de soporte técnico.
 Adaptarse a ella y ponerla en práctica.
 Definir la importancia de esta y hacer revisiones de este listado de usuarios que cuenten con
todo lo necesario para la creación de cada uno.
 Los usuarios respetar su acceso, según su función dentro de la compañía.
c. Si Ud. depende mucho de esta prueba de auditoría, que procedimientos compensatorios
Ud. podría realizar para no desperdiciar el trabajo realizado y aun así poder obtener
confort de la prueba.
Al observar poca eficiencia de parte del personal técnico de la compañía, agendar
capacitaciones, incluyendo a los usuarios para el buen uso y funcionamiento del sistema,
evitando error, fuga de información y sobre todo ahorrar tiempo haciendo las operaciones
de forma eficáz desde un inicio.

Caso 5
La empresa Global Retain es una empresa muy grande de venta de artículos masivos por lo que
todas las pruebas tienen siempre una complicación para los auditores…. En este caso, a Ud. se le
ha encomendado realizar la revisión de los accesos del sistema AS400, el cual ellos utilizan para la
administración de sus inventarios. Resulta que le proporcionaron un reporte donde se detallan todos
los usuarios, a que programa tienen acceso y dentro de ese programa a que opción tienen accesos
los usuarios. Como resultado Ud. identifica que un total de 654 usuarios poseen acceso a
transacciones que Ud. considera críticas: entradas de inventario, salidas de inventario (incluyendo
transferencias entre almacenes) y registro de materiales. Ud. encuentra esa situación algo extraña
ya que Ud. verificó anteriormente que el proceso de accesos es más o menos efectivo. Ud. se reúne
con el administrador del sistema y le plantea la situación, él le comenta que no puede obtener un
reporte más detallado del sistema que le indique si el usuario posee acceso para crear/modificar o
solamente es acceso de consulta. En la reunión en su presencia se consultó en el sistema algunos de
estos usuarios y se observó que algunos solamente son de consulta y otros si poseen el acceso a
crear o modificar y son usuarios que no deberían tenerlo.
Riesgo Asignación:

Analice y documente cuales serían las implicancias de esta limitación y eficiencia en su

trabajo incluyendo en su trabajo sustantivo.

 Dar un dictamen con salvedades.

 Es un alto riesgo se debe implementar más pruebas en los controles.
 Bloquear acceso a varios usuarios que no se considera necesario.
 Que exista un control preventivo.

a. Comente como se podría realizar esta prueba aún con esta limitación.

Si se ha detectado un riesgo se debe aplicar un procedimiento que corresponda de manera muy

específica, estas pruebas se diseñará y realizará para detectar con claridad e integridad el manejo
por parte de todo el personal, tomando así una muestra de los usuarios y determinar si el
resultado es significativo Y si el resultado tiene acceso a ingresar y dar salida a los inventarios
como también hacer las transferencias de almacenes, para así ver los controles y probar estos
mismos y que los mismos se estén cumpliendo de manera eficaz.

b. Comente como podría obtener confort de que no se están realizando registros no

autorizados en el proceso de inventario.
En la prueba de controles aplicándolo conforme al perfil de cada usuario.
Al revisar los registros tengan acceso los usuarios que normalmente no tienen, únicamente para
un caso de revisión.