REPÚBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO

DECANATO DE CIENCIAS ECONOMICAS Y EMPRESARIALES

BARQUISIMETO ESTADO LARA

EQUIPO N° 4
AUDITORIAS SISTEMAS DE
INFORMACION

INTEGRANTES:
Hernán Montilla C.I: 23.570.140
Clara Betancourt C.I: 24.418.759
Ángel Castro C.I: 27.008.435
Stefany Ereu C.I: 26.357.803
Liliana Suarez C.I: 21.275.927
Profesor: Eyler Alcon
Asignatura: Informatica II

Barquisimeto; 22 de Abril del 2022

 INTRODUCCION

Es sorprendente ver hoy en día en nuestra sociedad los avances que

están ocurriendo en el área de tecnología, por lo tanto, las entidades
permanecen valiéndose de estos medios tan oportunos para llevar adelante
sus metas y lograrlas con éxito y mayor facilidad. Toda información contenida
en los sistemas de la organización son un recurso indispensable para la toma
de decisiones, la alta gerencia se vale de estos datos recopilados que le
permiten ver con claridad las fortalezas, oportunidades, debilidades e incluso
aquellos factores que representan una amenaza para la permanencia de la
misma.

A fin de lograr una excelente utilización de los sistemas de información

se deben incorporar los controles necesarios; por medio de la auditoria se
puede determinar si los sistemas se encuentran desarrollándose en la forma
esperada o si están ocurriendo errores o algún evento que no permita el
desarrollo normal.

La auditoría realizada en los sistemas de información se lleva a cabo

por medio de fases entre las que se pueden mencionar : El conocimiento del
sistema, el análisis de transacciones y recursos, el análisis de riesgos y
amenazas, el análisis de controles, la evaluación de controles, el informe de
auditoría, el seguimiento de las recomendaciones, las cuales serán
detallados por medio del presente como parte integral de las herramientas
que pueden usar las organizaciones para el éxito y el logro de los objetivos
de las mismas .
INDICE
 1) Los factores identificados como vulnerabilidades, amenazas,
riesgos e impacto forman parte del escenario organizacional;
¿que otros factores internos o externos, incluiría usted para
evitar las amenazas informáticas y disminuir su incidencia en la
plataforma informatica de una empresa? Explique.

Dentro de las organizaciones se hace necesario el uso de Tecnologías

de información para simplificar los procesos automatizándolos y llevar a cabo
las actividades de manera efectiva, a través de una plataforma informatica o
servidor que almacena toda la información relativa a la empresa (Base de
datos de clientes, proveedores, entre otros), generalmente a través de un
sistema informático administrativo, que representa una inversión para la
empresa por su alto costo, lo cual lo convierte en un activo que debe ser
resguardado y protegido.

Estos sistemas informáticos administrativos, son modificables y

adaptables a las necesidades de la organización, por lo cual es posible
establecer una serie de parámetros con el fin de lograr el correcto
funcionamiento de los procesos dentro de la empresa. A pesar de que estos
sistemas se adapten a las necesidades organizaciones, satisfaciendo las
expectativas bien sea de la alta gerencia o de quienes lo manipulan, no están
exentos de sufrir posibles fallas o desperfectos, producto de factores como la
vulnerabilidad, amenazas riesgos e impactos. Por lo cual se hace necesario
tomar en consideración otros factores como la implementación de controles
con el fin de disminuir los factores anteriormente nombrados.

Del mismo modo estos controles ayudarían a delimitar el acceso al

sistema informático dependiendo de las tareas desarrolladas por cada
persona que forma parte de la organización, por ejemplo el gerente de
contabilidad puede tener acceso a todo el sistema, es decir, compras,
ventas, contabilidad, caja y banco, programación, entre otros; en cambio el
analista de contabilidad no debería tener acceso a todos los módulos del
sistema por la delimitación de su trabajo. Lo que contribuiría a proteger la
información y a reducir los riesgos de los que son susceptibles.

Por otro lado otro control que reduciría los riesgos de perdida de
información, lo cual representaría un atraso y hasta perdidas monetarias para
la organización, seria las restricciones en el acceso a la información o
sistema informático, es decir, que no todas las personas puedan acceder al
mismo, pudiendo acceder a el solamente empleados de la organización cuyo
trabajo dependa del uso del mismo, por ejemplo el chofer de una
organización no debería tener acceso al sistema informático porque su
actividad no esta relacionada con este.

2) Una organización empresarial en USA con fines de lucro tiene

varios controles preventivos para proteger al Servidor de las
Redes de Computadores, ya que es su equipo principal para las
comunicaciones de datos entre sus sistemas de información
automatizados; ¿que argumentos deben ser considerados para
limitar ese numero de controles preventivos?

Al ser el Servidor la conexión entre todas las computadores que

integran la red es conveniente que este protegido y que tenga acceso
restringido, es decir que no todas las personas que integran la organización
tengan acceso a el. Por lo cual deben ser considerados una serie de
aspectos a la hora de conceder el acceso al mismo, con el fin de minimizar la
probabilidad de que el mismo se exponga a riesgos que lo hagan vulnerable,
lo que podría ocasionar la perdida de información valiosa para la
organización, lo que traería como consecuencia hasta perdidas de dinero
para la organización.
 Así mismo los factores que son necesarios tomar en cuenta a la hora de
implementar controles preventivos en el acceso al servidor son por ejemplo,
el uso que se le dará, es decir si se va a realizar un arreglo en el mismo, el
cargo que ocupe quien quiera tener acceso, es decir que esta persona debe
ser de la alta gerencia o estar involucrado con el área de informatica, puesto
que dar acceso a un personal que no tenga experiencia en la manipulación
del mismo puede acarrear consecuencias graves para la empresa.

Del mismo modo los controles preventivos implementados en esta

organización deben ser puntuales, es decir, de nada sirve tener muchos
controles preventivos para limitar el acceso al servidor, si estos no
proporcionan la seguridad que se requiere para evitar errores e
irregularidades dentro del sistema informático. Por el contrario es mas
conveniente tener pocos controles preventivos pero que estos sean efectivos
a la hora de proteger el sistema, y denegar acceso a usuarios que no tengan
que ver con la organización o cuyo interés sea ocasionar daño al sistema
informático.

3) La Clínica Servicios Médicos del Sur, acaba de modificar sus

políticas de asignación presupuestaria. Desde el principio de año
cada unidad (cardiología, pediatría, servicios médicos generales,
odontología, entre otros) recibe un monto de financiamiento a ser
distribuido entre las diferentes partidas de gastos. De esta
manera se pretende un mayor control y la determinación de los
gastos más frecuentes incurridos por cada unidad. Entre los
mismos se encuentra el correspondiente al mantenimiento
preventivo y correctivo de la plataforma informática. El director
de la unidad de Servicios Médicos generales manifiesta que ha
tenido problemas con la compra de insumos debido al aumento
progresivo de los costos, por ello decide no aprobar el pago de la
certificación anual de software antivirus (lo que no permite
actualizar el antivirus con la frecuencia necesaria). Recomienda al
personal evitar el uso de pendrive y la apertura de archivos
 personales tratando de minimizar las fuentes de contaminación
de equipos computacionales. A la semana de esta decisión, una
de las secretarias se conecta a internet para ubicar los datos de
una medicina, a petición de uno de los doctores de planta. En la
búsqueda abre una página que aparentemente tiene información
al respecto, sin embargo, se da cuenta que solo posee contenido
irrelevante. Inmediatamente aparece en pantalla un mensaje de
“posible contaminación por virus gusano” y se indica que no se
puede eliminar debido a que las bases de datos están obsoletas y
la certificación esta vencida. A partir de este momento, el
computador se bloquea constantemente e impide el correcto
funcionamiento del sistema de citas y el acceso al sistema
presupuestario. Adicionalmente, se percatan que el archivo de
pacientes está dañado completamente y que no existen copias
actualizadas del mismo.

La alta gerencia solicita a usted, basándose en el contenido del material

didáctico recibido: Analizar el escenario organizacional anterior para
Determinar vulnerabilidad, amenazas, riesgos e impacto; y elabore el
cuadro Resumen de Factores.

Análisis del Escenario Organizacional:

Al no cancelar las licencias de certificación y actualización del antivirus

que protegía los sistemas informáticos de la organización de amenazas
externas, toda la plataforma informática que resguarda los datos e
información usada a diario para realizar las operaciones, queda totalmente
vulnerable. Esto crea un escenario propicio en el cual, La red interconectada
de la empresa es susceptible a la entrada de virus informáticos como “el
virus gusano” y otros programas maliciosos que podría afectar las datas de la
empresa, es por esta razón que, en la actualidad existe un alto riesgo de
ocurrencia, ya que cada vez que un equipo se conecte a internet se corre el
riego de infectarse con uno o más virus.

Dichos virus traerán consecuencias desastrosas e inclusive irreparables

como la perdida parcial o total de archivos que no cuentan con un respaldo
idóneo para ser reparados posteriormente, esto aunado al impacto ya
causado por el virus con el cual, uno de los computadores se bloquea
constantemente e impide el correcto funcionamiento del sistema de citas y el
acceso al sistema presupuestario, además de que el archivo vinculado a
pacientes que se ha dañado completamente y no existen copias actualizadas
del mismo, ocasionando una pérdida total de esta información .

IDENTIFICAR DESCRIPCIÓN
VULNERABILIDAD: Vencimiento de la Certificación Anual de Software
Antivirus por lo cual este se encuentra inactivo.
La red interconectada de la empresa es
AMENAZA: susceptible a la entrada de virus informáticos
como “el virus gusano” y otros programas
maliciosos que podría afectar las datas de la
empresa
Existe un alto riesgo de ocurrencia, ya que cada
RIESGOS: vez que un equipo se conecte a internet se corre
el riego de infectarse con uno o más virus.
Uno de los computadores se bloquea
constantemente e impide el correcto
IMPACTO: funcionamiento del sistema de citas y el acceso al
sistema presupuestario.
El archivo vinculado a pacientes está dañado
completamente y no existen copias actualizadas
del mismo, ocasionando una pérdida total de esta
información.

4) En la Zona industrial por razones de seguridad una empresa de

ventas de repuestos automotrices se muda urgentemente a otro
local; este local no está construido del todo; tiene techos y
paredes a medio terminar; sin embargo los técnicos, proceden a
instalar todos los equipos de computación y los sistemas de
información automatizados que requieren; el sistema eléctrico se
realiza con las limitaciones del caso pero está funcionando
correctamente. Se hacen las pruebas de conexión y de
funcionamiento a gusto de los departamentos que conforman a
 dicha empresa; al entrar la época de lluvias más las fallas en el
servicio eléctrico, los sistemas de información automatizados
estratégicos empiezan a fallar y se hacen frecuentes cada día
más, sobre todo en el área donde está ubicado el servidor de la
red de computadores. Con esto se dificultan las comunicaciones
en el Sistema de Información de la Cadena de Suministros con
las consecuencias que esto trae.

La alta gerencia solicita a usted, basándose en el contenido del material

didáctico recibido: Analizar el escenario organizacional anterior para
Determinar vulnerabilidad, amenazas, riesgos e impacto; y elabore el cuadro
Resumen de Factores.

Análisis del Escenario Organizacional:

Debemos tomar en cuenta que el nuevo local no tiene construidas en su

totalidad paredes, y techo por lo tanto representa una debilidad, aun
sabiendo de la existencia de esta vulnerabilidad se procede a realizar la
instalación de los equipos de informática y sistemas automatizados,
posteriormente se realizan las pruebas pertinentes y surgen agentes
externos como la lluvia y las fallas eléctricas , las cuales causan interrupción
en el buen funcionamiento de los sistemas automatizados provocando
dificultades en la comunicación con el sistema de información de la cadena
de suministros.

IDENTIFICAR DESCRIPCION

Deficiencia en las instalaciones de la

VULNERABILIDAD organización(paredes y techos a media
construcción)
Agentes externos como son las fuertes lluvias y las
AMENAZA frecuentes fallas en la electricidad
Los sistemas automatizados y computarizados
RIEZGO instalados con tales deficiencias en la estructura y el
área eléctrica pueden ocasionar fallas.
Se está viendo afectada la comunicación con los
IMPACTO sistemas de información de la cadena de suministro.
 5) La alta gerencia solicita a usted, basándose en el contenido del
material didáctico recibido: Determinar para este Recurso
informático indicado, sus respectivos Controles Preventivos,
Detectivos y Correctivos para completar el cuadro Resumen de
Recursos Informáticos y Controles; Razone sus respuesta.

IDENTIFICAR DESCRIPCION

Sistema de Cableado Estructurado Red de la Empresa.

RECURSOS

Efectuando intervenciones regulares programadas, sin

CONTROL necesidad de avería conocida y en condiciones normales
PREVENTIVO de funcionamiento; el objetivo es evitar y reducir al máximo
la cantidad de fallos y errores que puedan sufrir las
instalaciones, realizando visitas continuas con el fin de
analizar el recorrido de toda la instalación (interior y
exterior) y verificar el correcto funcionamiento de cableado,
cajas, conectores, paneles, etiquetación, etc. Además, con
este mantenimiento se pueden realizar pruebas con un
analizador para garantizar el rendimiento de cada nodo del
cableado estructurado.
Alarmas que permitan detectar al momento cualquier
CONTROL interferencia. Con el cableado, o cualquier daño que haga
DETECTIVO al instante en todo el recorrido.

Se basa en la reparación de la parte si es posible o el

CONTROL reemplazo de los componentes de la red que se
CORRECTIVO encuentren trozados, flojos, mal fijados, etc. además de
determinar si aquellos con avería igualmente requieren de
una nueva trayectoria o cambio.
 CONCLUSIÓN

La Auditoria Sistemas de Información se ha hecho indispensable para

así detectar e identificar de forma periódica las debilidades, amenazas y
riesgos que corren dichos sistemas. Esto se debe al incremento sustancial
que ha tenido en los últimos años el uso de programas y sistemas
interconectados, que ordenan y sintetizan los datos e informaciones
utilizados en el ámbito organizacional,

La auditoría de los sistemas informáticos en la actualidad, consta de un

proceso de análisis de riesgos informáticos, dicho proceso comprende la
identificación de activos informáticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos, así como su probabilidad de ocurrencia y el
impacto de las mismas, con la finalidad de determinar los controles
adecuados para disminuir, transferir o evitar la ocurrencia del riesgo.

Por otro lado, toda auditoria informática se deben contemplar los

controles respectivos aplicados a los sistemas de información, para que
estos sean cada vez menos vulnerables a las amenazas externas e internas
que puedan presentarse, es por esta razón que los controles idóneos a
aplicar en una auditoria informática son los siguientes:

 El Control Preventivo.

 El Control Detective.

 El Control Correctivo.

Los cuales buscan frenar o disminuir las posibles amenazas o

vulnerabilidades que presentan todos los sistemas informáticos a nivel
organizacional. En síntesis el proceso de auditoria informática, debe ser
ejecutado por todas las organizaciones, para así blindar cada vez mas la
estructura de sus sistemas de información implementados y proteger al
máximo la información vinculada a clientes, proveedores, trabajadores,
niveles de producción, costos entre otros, haciendo así mucho mas eficientes
sus procesos internos.