Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 8 Auditoría de Sistemas e Informática
Semana 8 Auditoría de Sistemas e Informática
Cada computador que existe en la empresa no cuenta con contraseña de ingreso debido a que cualquier persona
puede utilizarlo en caso de que el usuario principal no se encuentre.
Existe un ERP el cual se encuentra instalado en todos los computadores y tiene dos usuarios, uno de ellos con perfil
de administrador y el otro llamado básico. La contraseña de administrador es utilizada por el dueño y el
departamento contable, mientras que el otro usuario es utilizado por quien lo necesite en la empresa y su
contraseña es conocida por todos. Le explican que si bien el perfil básico no tiene las mismas atribuciones que el
administrador si tiene acceso a la siguiente información:
Contabilidad: Sistema de control de los gastos e ingresos de la empresa además de otras operaciones
económicas. Proveedores: Persona o sociedad que suministra los productos usados en la empresa.
El servidor de la empresa se encuentra en una bodega trasera ambientada para resguardarlo, cualquier persona
tiene acceso a él, pero se encuentra reforzado para aguantar accidentes como incendios, sismos, inundaciones, etc.
La empresa cuenta con antivirus en todos sus computadores, renueva licencia cada año.
Ante esto, le solicita a usted como auditor que, junto a su equipo, lidere este proceso.
1. Planificación.
2. Verificación y evaluación de la pertinencia de los controles diseñados para cumplir los objetivos de control.
DESARROLLO
Si No N/A
¿Mantienen manuales de procedimientos
en el uso de información del EPR?
¿El sistema y control de acceso posee
sistemas antivirus actualizado? x
¿Cuentan con mantenciones correctivas y x
preventivas para los controles de
accesos?
¿Las contraseñas son actualizadas x
periódicamente?
SUSTANTIVAS( DE SER
DETALLE DE REVISION
SUGERENCIAS (DE NO
EXISTEN CONTROLES
PAPEL DE TRABAJO
EXISTIR CONTROL)
AREA A REVISAR
CUMPLIMIENTO
PRUEBAS DE
NECESARIO)
DEFINIDOS
ASOCIADO
PRUEBAS
Se recomienda
implementar un
sistema de
¿El perímetro de Crear planillas
control de Seguimiento de
seguridad calza con el de controles de
NO entrada en la control de N°1
propósito de prevenir ingresos
organización, el ingreso
acceso no autorizado? N autorizados
cual puede ser
por registro de
SEGURIDAD EN INFRAESTRUCTURA
ingresos.
- Verificación de
la correcta
¿Están situadas las Las instalaciones
instalación de
instalaciones de oficina de oficinas se
equipo de creación matriz
(¿fotocopiadoras o encuentran bien
oficina. - de riesgo
máquinas de fax en SI instaladas de N°1 Y N°2
Revisión del asociado a los
lugares que no acuerdo a la
equipo de activos fijos
comprometan el gestión de
oficina y de los
perímetro de seguridad? riesgos.
perímetros de
seguridad
¿Los procedimientos
Se recomienda verificación de
relacionados con el
implementar procedimiento,
perímetro de seguridad ejecución de
puesta con claves mediante Check
son apropiados para NO check list de N°1 Y N°2
de ingresos a list, entrevistas
mantener la integridad de seguridad-
personal y revisión en
los activos de
autorizado terreno
información?
Se recomienda
¿Está restringido el
definir control de
conocimiento de las Verificar
usuarios con
actividades dentro del periódicamente
NO accesos y N°1 Y N°2
perímetro de seguridad ingresos a
privilegios según
solo a personas que lo sistema
corresponda en
necesitan?
cada área
creación de
CONTROLES FISICOS DE ENTRADA Y SALIDA
se realizan
Establecer listados de
¿Existe control de acceso entrevistas. se
sistema de ingresos
en la entrada de la NO verifican N°1 Y N°2
control de autorizados
infraestructura? controles de
acceso. que utilizaran
acceso.
los guardias.
se recomienda
¿Se tiene un registro de mantener
verificación de
las salas y nodos, actualizada la
SI documentación. N°1 Y N°2
perteneciente a la información de
-revisión física.
plataforma? los nodos de la
plataforma.
Se recomienda,
¿Están debidamente revisar
registro de
rotulados todos los semestralmente
inspecciones
equipos de los rótulos de los
Inspección física con fechas y N°1
comunicaciones o equipos, ya que
mantenciones
computación que se estos pueden
al día
encuentran en la sala? deteriorarse a
corto tiempo.
Se, revisar
nómina de
anualmente la
verificación de
¿Está el equipamiento ubicación de los Revisión de
fechas de
ubicado para evitar equipos con el fin equipos. -
SI inspección N°1 Y N°2
incendios o amenazas de de mantener la Inspección
realizadas con
fuego? buena ubicación Física
firmas de los
minimizando los
responsables
riesgos por fuego.
Se, revisar
anualmente la nómina de
¿Está el equipamiento ubicación de los verificación de
Revisión de
ubicado para minimizar equipos con el fin fechas de
equipos. -
riesgos que provengan de SI de mantener la inspección N°2
Inspección
techos u oficinas buena ubicación realizadas con
Física
adyacentes? minimizando los firmas de los
riesgos por daños responsables
de 3ros.
Si el equipamiento trabaja documentación
Se debe revisar
con procesos críticos para Revisión de para acreditar
semestralmente
el negocio, ¿está equipos. - la inspección
SI la operatividad N°2
protegido con una fuente Inspección realizada por
de la fuente de
de poder interrumpible Física los
poder
(UPS)? responsables.
Estimados
Socios OLAXE SpA.
Presente
De nuestra consideración:
Hemos efectuado una auditoria informática a la seguridad lógica de toda la organización , donde conforma a una
pauta previamente elaborada, se han evaluado aspectos mínimos y recomendables que la empresa debiese tener
para resguardar eficazmente su información financiera.
Se han evaluado tres aspectos centrales de su infraestructura y funcionamiento a saber:
Seguridad en infraestructura.
Controles físicos de ingreso y egreso a las instalaciones.
Seguridad en uso de equipamiento e información.
Cada uno de estos aspectos ha sido desarrollado en detalle para determinar la existencia de controles eficientes a
través de la realización de pruebas de cumplimiento y pruebas sustantivas.
En caso de no existencia de controles, se han realizado sugerencias para mejorar las no conformidades.
De acuerdo con las pruebas realizadas, nuestros hallazgos y observaciones son los siguientes.
Conforme a nuestras observaciones los riesgos a los cuales se ve expuesto son los siguientes.
Ingreso de personal o personas a información sensible que pueden utilizar maliciosamente o sufrir robos de
infraestructura, equipos que pueden causar perdidas irreparables a la empresa.
Al no establecer requisitos de acceso a la información puede ocasionarse errores voluntarios e involuntarios en las
diversas áreas de clientes, proveedores, inventarios.
De acuerdo con los riesgos anteriormente detallados, se dejan a continuación las recomendaciones para la mejora
en la seguridad informática de su empresa.
Se recomienda implementar un sistema de control de entrada en la organización, el cual puede ser por registro de
ingresos, bajo una nomina preestablecida que sirva para restringir ingresos desconocidos
Se recomienda definir usuarios y privilegios a todo el personal que utiliza el sistema ERP según su área de gestión.
Se recomienda delimitar acceso al servidor solo a personal autorizado tales como área informática y mantención.
Se recomienda el cambio periódico de claves de accesos.
Saluda atentamente
REFERENCIAS BIBLIOGRÁFICAS