UNIVERSIDAD NACIONAL AUTÓNOMA DE NICARAGUA, MANAGUA

UNAN – MANAGUA
FACULTAD DE CIENCIAS ECONÓMICAS
CENTRO UNIVERSITARIO DE DESARROLLO EMPRESARIAL
PROCOMIN

Maestría en Contabilidad con énfasis en Auditoría

Módulo:
Auditoria Informática

Autores:
Ana Gabriel Lacayo
Ana Raquel Davila Cardoza
Mayssie Suyen Molina Duarte
Gloria Esperanza Perez Villagra
Aurora Edith Hernandez Nicaragua

Docente:
Ing. Edgard José Ríos Celedón

Managua, 07 de Octubre del año 2023

¡A la libertad, por la Universidad!

 Auditoría Informática – Un Enfoque Práctico

CASO PRÁCTICO # 2
Con la siguiente información del entorno de sistemas del departamento de
tecnología de la empresa ABC, identifique:

1. Todos los controles y los riesgos que dichos controles están mitigando (al
menos 3).

Control
Política de seguridad de virus
informáticos. (Actualización diaria del
software antivirus por el administrador
de red)
Política de Seguridad del Sistema
Operativo de red. (Los usuarios del
sistema operativo de red, sólo podrán
conectarse desde su Terminal de
trabajo)
Política de Seguridad del Correo
Electrónico. (El software antivirus está
configurado para scanear todos los
correos entrantes y salientes del
servidor de mensajería de la empres)
Riesgo
Posibles amenazas de software
malicioso que puedan poner en riesgo
los recursos informáticos de la
empresa.
Acceso a terminales de trabajo no
asignadas según los roles o puesto de
trabajo.
Infección de equipos vía adjuntos de
correo electrónico e inundación de
mensajes no deseados en los
buzones, también robo de
credenciales de usuario por medio de
engaños para restablecer cuentas.

2. Todas las debilidades (condiciones) y los riesgos que pueden materializarse

por estas debilidades (al menos 3).

Debilidad Riesgo
No todos los usuarios conocen las Los usuarios no se enteran de la
políticas de seguridad. existencia de la política y por ende
podrían realizar prácticas que pongan
en riesgo la seguridad de la
información.
Uso de lenguaje técnico en un Los usuarios no podrían comprender
documento dirigido a todo el personal. lo términos y por ende no sabrían a
qué se refiere algún artículo de la
normativa.
Incumplimiento de normativa y falta Pérdida de interés en la normativa por
de divulgación a través de charlas. parte de los usuarios al notar que no
es cumplida a cabalidad, le restarán
importancia y de conocerla podrían
interpretarla a si manera debido a que
no fue explicada a detalle en las
charlas.

1
 Auditoría Informática – Un Enfoque Práctico

CASO: POLITICAS DE SEGURIDAD

Entrevista con: Walter Jourdon – Director de Sistemas:

El Ingeniero Jourdon tomó la decisión de iniciar a documentar las políticas de

seguridad de la información, donde se incluyen los parámetros de seguridad de
las diferentes plataformas tecnológicas que brindan servicio a la empresa
(comunicaciones, sistemas operativos, bases de datos, etc.).

Su principal prioridad es que el personal de la empresa se entere de los

diferentes dispositivos y configuraciones que el departamento de sistema ha
implementado en pro de mejorar la seguridad de los recursos informáticos.

El da seguimiento a las políticas de seguridad reuniéndose semanalmente con la

Oficial de Seguridad de TI, quién ha sido delegada como la responsable de la
documentación, actualización y seguimiento a las políticas de seguridad de la
información de la empresa.

Entrevista con: Norma Segura – Oficial de Seguridad de TI:

La ingeniera Segura, siguiendo las orientaciones del ingeniero Jourdon, ha

documentado en las políticas de seguridad informática los principales
parámetros de los diferentes equipos de comunicación, sistemas operativos y
bases de datos de la empresa, entre los que se destacan los siguientes:

Política de Seguridad del Sistema Operativo de red:

Contraseñas:

1. Para garantizar que todo el personal cuente con contraseñas robustas, el

departamento de sistemas ha implementado una herramienta de generación
de contraseñas complejas, la cual genera contraseñas que contienen
números, letras mayúsculas, minúsculas y caracteres especiales. La
contraseña tendrá una longitud mínima de 10 posiciones y será cambiada
cada 30 días por el administrador de la red, quién tiene la responsabilidad de
generar y distribuir dichas contraseñas al menos tres días antes de que las
contraseñas anteriores caduquen.

2. Las cuentas de los usuarios serán bloqueadas automáticamente luego de

tres intentos fallidos, en caso de las cuentas bloqueadas, estás serán
desbloqueadas por el sistema después de 86,400 segundos desde el
momento que fue bloqueada.
Conexión:
3. Los usuarios del sistema operativo de red, sólo podrán conectarse desde su
Terminal de trabajo, a excepción del administrador de la red quién podrá
conectarse desde cualquier equipo de la empresa.

2
 Auditoría Informática – Un Enfoque Práctico

4. Por seguridad y continuidad, se crearon 4 cuentas con privilegios de

administración del sistema operativo de red, que están a cargo de: el gerente
general, el director de sistemas, el oficial de seguridad y el administrador de
la red.

5. Estas cuentas, a excepción de la cuenta del administrador de la red, no

deberán ser utilizadas sólo en caso de emergencia, y será el director de
sistemas el único autorizado para definir o no la situación de emergencia.

Política de Seguridad sobre los Virus Informáticos:

Se cuenta con un software antivirus que es actualizado diariamente por el

administrador de la red, es responsabilidad del usuario mantener el agente del
antivirus ejecutándose en su PC, para que el antivirus pueda actualizarse
oportuna y adecuadamente, y poder detectar y eliminar las posibles amenazas
de virus informático que puedan poner en riesgo los recursos informáticos de la
empresa.

Política de Seguridad del Correo Electrónico:

El software antivirus está configurado para scanear todos los correos entrantes y
salientes del servidor de mensajería de la empresa, esto garantiza la no
infección desde afuera por este único posible medio de entrada de virus como es
el correo electrónico.

Se cuenta también con un anti-spam, el cual bloquea eficientemente la

recepción y el envío de cadena de correos, sobre todo aquellos correos que
contienen archivos comprimidos, ejecutables, presentaciones de power point,
imágenes, entre otros.

Entrevista con: Usuarios de los sistemas de información:

Un porcentaje importante de usuarios de los sistemas de la empresa conocen

que existe un documento que contiene las políticas de seguridad, sin embargo
no todos han leído este documento. Muchos de los usuarios que lo han leído
mencionan que se usa mucho lenguaje técnico, aunque consideran que el
documento les deja muy claro que la empresa cuenta con varios dispositivos que
han sido adecuadamente configurados para preservar la seguridad de la
información.

Los usuarios mencionan que este documento les fue enviado de forma masiva
por correo electrónico, y en el cuerpo del correo se mencionaba que se
impartiría una charla explicativa sobre dicho documento, la cual hasta la fecha (6
meses después) no se ha logrado concretizar.