TALLER INTEGRADO DE AUDITORÍA

SEMANA 8 AUDITORÍA DE SISTEMAS O INFORMÁTICA

Rosa Mercado Jimenez

24-09-2022
Carrera Auditoría.
DESARROLLO
La empresa Olaxe SPA requiere realizar una auditoría informática a su seguridad lógica, debido a que hace cinco
meses existió una importante filtración de información financiera en la web, siendo esta vista por la competencia y
como muy mala noticia por parte de los inversionistas. Como primera instancia de información le explican que la
empresa cuenta con guardias de seguridad las 24 horas del día, pero no existe un control de acceso a la empresa,
ya que, todos trabajan con libertades de horario.

Cada computador que existe en la empresa no cuenta con contraseña de ingreso debido a que cualquier persona
puede utilizarlo en caso de que el usuario principal no se encuentre.

Existe un ERP el cual se encuentra instalado en todos los computadores y tiene dos usuarios, uno de ellos con perfil
de administrador y el otro llamado básico. La contraseña de administrador es utilizada por el dueño y el
departamento contable, mientras que el otro usuario es utilizado por quien lo necesite en la empresa y su
contraseña es conocida por todos. Le explican que si bien el perfil básico no tiene las mismas atribuciones que el
administrador si tiene acceso a la siguiente información:

 Clientes: Personas que utilizan los servicios de la empresa.

 Ventas-Cotizaciones: Cotizaciones emitidas por la empresa en el área de ventas.

 Ventas-Facturas electrónicas: Facturas electrónicas emitidas por la empresa en el área de ventas.

 Productos: Productos que ofrece la empresa o de la empresa.

 Productos-Inventario: Lista de los productos de la empresa.

 Configuración de mi empresa: Acceso a la configuración de la empresa, datos, nombres, etc.

 Empleados: Personas que desempeñan cargo en la empresa.

 Contabilidad: Sistema de control de los gastos e ingresos de la empresa además de otras operaciones
económicas.  Proveedores: Persona o sociedad que suministra los productos usados en la empresa.

 Estadísticas: Datos de la empresa.

 Tareas: Actividades o metas por cumplir o alcanzar.

El servidor de la empresa se encuentra en una bodega trasera ambientada para resguardarlo, cualquier persona
tiene acceso a él, pero se encuentra reforzado para aguantar accidentes como incendios, sismos, inundaciones, etc.

La empresa cuenta con antivirus en todos sus computadores, renueva licencia cada año.

Le comentan que la empresa nunca ha realizado un proceso de revisión de la seguridad lógica.

Ante esto, le solicita a usted como auditor que, junto a su equipo, lidere este proceso.

Conforme a los datos entregados se pide:

 Efectúe auditoría informática a la seguridad lógica de la empresa.

 Debe mostrar las siguientes etapas:

1. Planificación.
2. Verificación y evaluación de la pertinencia de los controles diseñados para cumplir los objetivos de control.

3. Pruebas de cumplimiento y sustantivas para controles encontrados.

4. Informe/reporte de auditoría informática de carácter formal a la empresa.

DESARROLLO

OLAXE SpA. AUDITORIA INFORMÁTICA A LA SEGURIDAD LÓGICA

VERSION: 1 FECHA: 17-05-2023

PROCESO A AUDITAR: METODOLOGÍAS DE AUTENTICACIÓN A LOS SITEMAS

DE INFORMACIÓN
RESPONSABLE DEL PROCESO AUDITOR LIDER ROSA MERCADO JIMENEZ – AUDITOR - EXTERNO

UBICACIÓN EMPRESA SIN INFORMACIÓN

OBJETIVO GENERAL Revisión de la seguridad y detección de
vulnerabilidades y debilidades para garantizar que los
programas, archivos y datos son utilizados mediante
procedimientos correctos y seguros.
ALCANCE Evaluar los procedimientos para la planeación
ejecución del plan de adquisiciones de Global Bike Inc.
En el sistema software SAP S/4HANA.
Tener en cuenta que no se tendrá en cuenta otros
procesos de la empresa.
PERIODO A AUDITAR Organización, periodo actual.

LUGAR Y FECHA DE LA REALIZACION DE LA Instalaciones de la empresa y software de gestion

AUDITORIA
NORMAS GENERALES ISO 9001 Gestión De La Calidad
Políticas Empresariales, NIC.
Manuales de procedimientos de las diferentes áreas o
secciones de la organización.
METODOLOGIA Obtención de documentación de las áreas a auditar.
La metodología utilizada soporta en la verificación y
análisis de software a través de pruebas selectivas del
proceso auditado incluye la revisión de sistema ERP en
sus diversas secciones, tipos de usuarios, perfiles y
privilegios de accesos.
Documentación de la empresa, cantidad de
trabajadores, puestos de trabajo, cantidad de
computadores existentes.
Revisados los antecedentes se deja escrito lo que el
auditor debe realizar en las pruebas de cumplimiento
y sustantivas.
Dejar anotado los riesgos que el auditor visualiza en
primera instancia.
TEMAS Evaluación del procedimiento de todas las secciones:
• Registros de Clientes
• Registros de Proveedores
 Registros de Ventas -facturas electrónicas
 Bodegas-Inventarios
• privilegios específicos de los usuarios comerciales
sólo puedan acceder a la parte del registro de ventas
del sistema.
•Que el gerente general tenga acceso a todas las
funciones con que cuenta el sistema.
• que el sistema brinde reportes personalizados al
gerente y al administrador de la empresa.
• que el sistema permita gestionar el stock de los
productos que se venden.
• que el sistema permita emitir correos electrónicos a
los clientes y proveedores solo a los usuarios
autorizados
• que la seguridad de la base de datos esté
garantizada.

ASPECTOS GENERALES DE ORGANIZACIÓN Solicitar Organigrama de la organización.

PLAN ANUAL DE TODAS LAS AREAS Políticas y manual de procedimientos

VIGENCIA DEL PLAN ANUAL Verificación de su vigencia y, actualización y y firmas

registradas según privilegios autorizados.
Revisar el avance del presupuesto aprobado y el
porcentaje utilizado.

PAPEL DE TRABAJO N°1 AUDITORIA INFORMATICA

ALCANCE EVALUACION DE RIESGOS
Riesgo
No existen contraseñas de ingreso a los existe un alto riesgo de ingreso de personal no
computadores autorizado .
el ingreso sin definir tipo de usuario,
privilegios, puede causar un riesgo grave con la
información que se maneja.
Ingreso a ERP sin usuarios definidos, administrador o El usuario colaborador, no puede tener acceso
colaborador. a configuración empresa.
De no existir seguridad de ingreso puede ser
La ubicación del servidor no mantiene un área de materia de ataque malicioso en el uso de la
seguridad de ingreso información soportante.

PAPEL DE TRABAJO N°2 AUDITORIA INFORMATICA

Si No N/A
¿Mantienen manuales de procedimientos
en el uso de información del EPR?
¿El sistema y control de acceso posee
sistemas antivirus actualizado? x
¿Cuentan con mantenciones correctivas y x
preventivas para los controles de
accesos?
¿Las contraseñas son actualizadas x
periódicamente?

¿El control de acceso está definido los x

ingresos de personas?
En caso de existir fallo de energía existe x
alguna medida de contingencia ¿

SUSTANTIVAS( DE SER
DETALLE DE REVISION

SUGERENCIAS (DE NO
EXISTEN CONTROLES

PAPEL DE TRABAJO
EXISTIR CONTROL)
AREA A REVISAR

CUMPLIMIENTO
PRUEBAS DE

NECESARIO)
DEFINIDOS

ASOCIADO
PRUEBAS
Se recomienda
implementar un
sistema de
¿El perímetro de Crear planillas
control de Seguimiento de
seguridad calza con el de controles de
NO entrada en la control de N°1
propósito de prevenir ingresos
organización, el ingreso
acceso no autorizado? N autorizados
cual puede ser
por registro de
SEGURIDAD EN INFRAESTRUCTURA

ingresos.
- Verificación de
la correcta
¿Están situadas las Las instalaciones
instalación de
instalaciones de oficina de oficinas se
equipo de creación matriz
(¿fotocopiadoras o encuentran bien
oficina. - de riesgo
máquinas de fax en SI instaladas de N°1 Y N°2
Revisión del asociado a los
lugares que no acuerdo a la
equipo de activos fijos
comprometan el gestión de
oficina y de los
perímetro de seguridad? riesgos.
perímetros de
seguridad

¿Los procedimientos
Se recomienda verificación de
relacionados con el
implementar procedimiento,
perímetro de seguridad ejecución de
puesta con claves mediante Check
son apropiados para NO check list de N°1 Y N°2
de ingresos a list, entrevistas
mantener la integridad de seguridad-
personal y revisión en
los activos de
autorizado terreno
información?

Se recomienda
¿Está restringido el
definir control de
conocimiento de las Verificar
usuarios con
actividades dentro del periódicamente
NO accesos y N°1 Y N°2
perímetro de seguridad ingresos a
privilegios según
solo a personas que lo sistema
corresponda en
necesitan?
cada área

creación de
CONTROLES FISICOS DE ENTRADA Y SALIDA

se realizan
Establecer listados de
¿Existe control de acceso entrevistas. se
sistema de ingresos
en la entrada de la NO verifican N°1 Y N°2
control de autorizados
infraestructura? controles de
acceso. que utilizaran
acceso.
los guardias.

¿Existen control de NO Se recomienda se realizan N°1 Y N°2

accesos a los servidores? implementar entrevistas. - se
controles de verifican
seguridad para el controles de
acceso de los acceso.
servidores y
usuarios y
contraseñas
 Se recomienda
pruebas de
crear diferentes lista de accesos
¿Existen controles de cumplimiento -
SOLO HAY usuarios a autorizados
accesos a los distintos check list -
UN trabajadores con visto N°1 Y N°2
softwares utilizados por la verificación
SOFTWARE según sus bueno del
empresa controles de
funciones administrador
acceso
asignadas.

se recomienda
¿Se tiene un registro de mantener
verificación de
las salas y nodos, actualizada la
SI documentación. N°1 Y N°2
perteneciente a la información de
-revisión física.
plataforma? los nodos de la
plataforma.
Se recomienda,
¿Están debidamente revisar
registro de
rotulados todos los semestralmente
inspecciones
equipos de los rótulos de los
Inspección física con fechas y N°1
comunicaciones o equipos, ya que
mantenciones
computación que se estos pueden
al día
encuentran en la sala? deteriorarse a
corto tiempo.

¿Está el equipamiento Se, debe revisar

Inspección
ubicado para evitar anualmente la
SI física, controles N°1 Y N°2
temperaturas o humedad ubicación de los
rutinarios
extrema? equipos.

Se, revisar
nómina de
anualmente la
verificación de
¿Está el equipamiento ubicación de los Revisión de
fechas de
ubicado para evitar equipos con el fin equipos. -
SI inspección N°1 Y N°2
incendios o amenazas de de mantener la Inspección
realizadas con
fuego? buena ubicación Física
firmas de los
minimizando los
responsables
riesgos por fuego.
Se, revisar
anualmente la nómina de
¿Está el equipamiento ubicación de los verificación de
Revisión de
ubicado para minimizar equipos con el fin fechas de
equipos. -
riesgos que provengan de SI de mantener la inspección N°2
Inspección
techos u oficinas buena ubicación realizadas con
Física
adyacentes? minimizando los firmas de los
riesgos por daños responsables
de 3ros.
Si el equipamiento trabaja documentación
Se debe revisar
con procesos críticos para Revisión de para acreditar
semestralmente
el negocio, ¿está equipos. - la inspección
SI la operatividad N°2
protegido con una fuente Inspección realizada por
de la fuente de
de poder interrumpible Física los
poder
(UPS)? responsables.

INFORME AUDITORIA OLAXE SpA..

Estimados
Socios OLAXE SpA.
Presente
De nuestra consideración:
Hemos efectuado una auditoria informática a la seguridad lógica de toda la organización , donde conforma a una
pauta previamente elaborada, se han evaluado aspectos mínimos y recomendables que la empresa debiese tener
para resguardar eficazmente su información financiera.
Se han evaluado tres aspectos centrales de su infraestructura y funcionamiento a saber:

Seguridad en infraestructura.
Controles físicos de ingreso y egreso a las instalaciones.
Seguridad en uso de equipamiento e información.

Cada uno de estos aspectos ha sido desarrollado en detalle para determinar la existencia de controles eficientes a
través de la realización de pruebas de cumplimiento y pruebas sustantivas.
En caso de no existencia de controles, se han realizado sugerencias para mejorar las no conformidades.
De acuerdo con las pruebas realizadas, nuestros hallazgos y observaciones son los siguientes.

.- No existe control de acceso a las instalaciones .

.- No existe control de ingreso a los equipos PC.
.- No existe control de acceso a los datos de los clientes, proveedores, e información soportable.
.- No existen accesos ni privilegios a ERP determinados según las áreas.
.- No existe resguardo de acceso al servidor.

Conforme a nuestras observaciones los riesgos a los cuales se ve expuesto son los siguientes.
Ingreso de personal o personas a información sensible que pueden utilizar maliciosamente o sufrir robos de
infraestructura, equipos que pueden causar perdidas irreparables a la empresa.
Al no establecer requisitos de acceso a la información puede ocasionarse errores voluntarios e involuntarios en las
diversas áreas de clientes, proveedores, inventarios.

De acuerdo con los riesgos anteriormente detallados, se dejan a continuación las recomendaciones para la mejora
en la seguridad informática de su empresa.
Se recomienda implementar un sistema de control de entrada en la organización, el cual puede ser por registro de
ingresos, bajo una nomina preestablecida que sirva para restringir ingresos desconocidos
Se recomienda definir usuarios y privilegios a todo el personal que utiliza el sistema ERP según su área de gestión.
Se recomienda delimitar acceso al servidor solo a personal autorizado tales como área informática y mantención.
Se recomienda el cambio periódico de claves de accesos.

Se recomienda realizar evaluaciones periódicas de la seguridad física de su infraestructura con motive de

resguardar sus activos e información eficazmente.

Ante cualquier consulta no dude en comunicarse con nosotros

Saluda atentamente

Fecha de Informe: Auditor Externo

Santiago, 18 de mayo de 2023. Rosa Mercado Jimenez.
_________________________________________________________

REFERENCIAS BIBLIOGRÁFICAS

IACC. (2023). Taller integrado de Auditoría. Auditoría de Sistemas e informática. Semana 8