ACTIVIDAD # 5

ANÁLISIS DE LOS RIESGOS Y LAS AMENAZAS EN LOS SISTEMAS

INFORMÁTICOS

Julieth Andrea Gil Núñez - ID 310995

Brenda Ramírez Sierra – ID 914196
Leydi Milena Zamudio Piza - ID 837773

Corporación Universitaria Minuto De Dios

Contaduría Pública
Sistemas de Información

Docente: Adriana Orjuela Perilla

NRC: 50-54648

Octubre 7 2023
 INTRODUCCIÓN

¿Cómo los sistemas de información contables pueden fusionarse para alcanzar los
objetivos de una organización?

Pueden alcanzar los objetivos de una organización los sistemas de información contable
poniendo a la disposición herramientas no solo contables si no apoyo administrativo a la
compañía para unificar servicios que le permitan tener en un solo sistema la consolidación
de la información como órdenes de compra, nomina, desprendibles, entre otros que le
permiten a las compañías su organización y crecimiento.

¿Por qué son importantes los principios de seguridad informática al implementar

sistemas en la organización?

Los principios de seguridad informáticos son muy importantes para la organización por que
le permiten a la compañía guardar la información de forma segura y de fácil acceso para los
trabajadores de la compañía, y regular la información que cada rol de la compañía podrá
acceder generando confidencialidad.
 ERP-HELISA

La confidencialidad en la configuración de usuarios de Helisa permite la limitación

de funciones a persona(s) no autorizadas que contengan otras labores en la empresa. Esto
implica un mayor índice de seguridad en la información confidencial de ciertos módulos. El
sistema permite la creación de una cantidad ilimitada de usuarios con características,
privilegios y restricciones propias de cada uno de ellos.

En la integridad Helisa limita o permite funciones al usuario en la gestión de

procesos que realice dentro de la empresa o empresas a las cuales tiene acceso, dichos
accesos se podrían ver reflejados en la seguridad e integridad de la información y disponer
del nuevo usuario de una forma limitada correspondiente a su labor.

La disponibilidad del sistema Helisa existe un servicio llamado disponibilidad en la

información de esta sección indica que los servicios que aparecen en ella son servicios que
se van a distribuir la información digitada de manea correcta para ello de debe hacer una
parametrización adecuada del manejo del sistema, adicional se debe seleccionar la forma de
distribución del 281 Helisa NIIF Manual de Usuario el el servicio de disponibilidad el cual
el software trabajara de manera predeterminada.

La autenticación es la primera interfaz que interactúa con los usuarios y además de

esto brinda un filtro de seguridad para las personas que no deben acceder al sistema, dicha
interfaz es la encargada de validar la autentificación de los usuarios, ofrecer una
información respecto al software y un soporte remoto.

El no repudio en las aplicaciones informáticas en cuestión el diseño y estructura de

la nueva versión de Helisa NIIF es más confortable y permite una funcionalidad e
interacción de los usuarios más a fondo con el software además de brindarle soluciones de
fácil acceso, pero con la dificultad y seguridad adecuada para la información.

Los riesgos en el uso de los sistemas de información (buen o mal uso, virus, entre
otros), a los que podrían estar sujetas las organizaciones la utilización de las Variables es de
vital importancia para implicar o llamar procesos contables al momento de realizar
documentos. La utilización de variables va orientada a campos en la definición o
actualización de documentos. El sistema contiene una serie de Variables predeterminadas
(registros por defecto) que son utilizados en Documentos sugeridos por el sistema. Las
variables predeterminadas no permiten modificar los datos que contienen, aunque permiten
ser eliminadas del sistema. El manejo de variables es opcional, al efectuarlo puede
presentar bastantes riesgos para el usuario al momento de implementarlo un formato de
documento por su complejidad y variedad de datos que puede llegar a traer. Por ellos se
debe tener un buen uso del sistema en la organización.

Las amenazas respecto a la violación de información, vulnerabilidad o engaño en los

sistemas informáticos:

- Como es un sistema contable instalado en el computador se corre el riesgo de que el

computador tenga un virus y se pierda toda la información, si no hay base de datos
se pierde todo.
- Errores de configuración.
- Errores en la gestión de recursos.
- Errores en los sistemas de validación.
- Errores que permiten el acceso a directorios.
- Errores en la gestión y asignación de permisos.

CRM Y BSC: HUBSPOT

Es una plataforma de marketing, ventas y servicio al cliente que se utiliza para

gestionar y automatizar diversas actividades empresariales por medio de las habilidades del
manejo del CRM y BSC, esta plataforma es una de las más completas en aplicabilidad y
rendimiento empresarial además de ser muy completa su confidencialidad es alta debido que
permite configurar roles y permisos de usuario para garantizar que solo las personas
autorizadas tengan acceso a la información confidencial. Esto incluye datos de clientes,
información financiera y estrategias comerciales. Utiliza el cifrado para proteger los datos en
tránsito (HTTPS) y en reposo. Esto asegura que los datos sean ilegibles para cualquier
persona no autorizada, incluso si logran acceder a ellos. También los administradores pueden
definir quiénes pueden acceder a determinados recursos y datos en la aplicación, lo que
garantiza que solo las personas adecuadas tengan acceso a la información confidencial.
 Su Integridad es alta ya que realiza un seguimiento de las modificaciones realizadas
en la plataforma, lo que permite a los administradores detectar cualquier cambio no
autorizado o inusual en los datos. La plataforma valida los datos para garantizar su integridad.
Esto asegura que los datos ingresados sean precisos y no se vean comprometidos por errores
o manipulaciones maliciosas. Realiza copias de seguridad periódicas de los datos para evitar
la pérdida de información importante y garantizar la integridad de los datos en caso de fallos.

Su Disponibilidad es optima utiliza múltiples centros de datos y servidores

redundantes para garantizar la disponibilidad continua de la plataforma, minimizando así el
tiempo de inactividad. Tiene un plan de recuperación de desastres en caso de eventos
catastróficos que puedan afectar la disponibilidad de la plataforma. Realiza un seguimiento
constante de la disponibilidad de la plataforma y toma medidas inmediatas para abordar
cualquier problema que pueda surgir.

Utiliza un sistema de autenticación sólida que requiere credenciales válidas (nombre

de usuario y contraseña) para acceder a la plataforma. admite la autenticación multifactor, lo
que proporciona una capa adicional de seguridad al requerir un segundo factor de
autenticación, como un código generado por una aplicación de autenticación móvil. Los
administradores pueden configurar roles y permisos de usuario, lo que asegura que solo las
personas autorizadas tendrán acceso a las funciones y datos específicos que necesitan.

Aunque esta plataforma ofrece numerosas ventajas, pero también cuenta con algunos
riesgos y amenazas como el riesgo de que los datos confidenciales de la empresa o de los
clientes puedan ser comprometidos debido a brechas de seguridad, ataques cibernéticos o
vulnerabilidades en la plataforma. Las empresas pueden volverse dependientes de la
plataforma y pueden tener dificultades para migrar a otras si surgen problemas o si sus
soluciones cambian. Integrar HubSpot con otros sistemas y aplicaciones en uso puede ser
complicado y, si no se hace correctamente, puede llevar a problemas de flujo de datos y
eficiencia. Las acciones de marketing en línea y las interacciones con los clientes a través de
HubSpot pueden afectar la reputación en línea de una empresa. Un uso inadecuado o errores
en la plataforma pueden tener repercusiones negativas. Realiza actualizaciones y cambios en
su plataforma de forma regular. Las empresas deben estar preparadas para adaptarse a estas
actualizaciones y asegurarse de que sus procesos y personal estén actualizados.
 SGD-SINCO

La confidencialidad se delimita al área de gestión documental para el envió seguro

de la información al tercero contratado, de igual manera se generan controles de envió
pasando por autorizaciones previas del Gerente de Gestión Documental.

Se solicita al tercero actualizaciones constantes de los sistemas documentales para

prevenir ataques cibernéticos.

El principio de integridad es que únicamente el gerente de gestión documental se le

otorga acceso para modificar la información en documentos, previa entrega al tercero
contratado para tal fin y con autorización de presidencia.

La disponibilidad establece un acceso por rol de cada trabajador, a la información

que, de igual manera, le compete a cada usuario. Con la autenticación inicial el sistema le
brindara la información necesaria para que pueda desarrollar sus actividades sin problema
alguno.

La autenticación del tercero contratado es quien designa un usuario y una

contraseña, al presidente y gerente de gestión documental, para que este a su vez tenga
acceso en tiempo real al tratamiento de los documentos.

El no repudio del SGD se estandariza la firma electrónica para todos los

funcionarios de la compañía, donde se debe plasmar con claridad, el nombre y apellido, el
cargo, correo institucional, los teléfonos de contacto, la dirección de la empresa, los logos
de la empresa y las redes sociales con sus hipervínculos, con el fin de dar respaldo a la
información enviada o recibida.

Riesgos en el uso de los sistemas de información SGD

Ataques externos: su finalidad suele ser con fines ilícitos, ya sea por extraer un
rendimiento económico ilegal por parte de la empresa como fraude o lograr extraer datos
importantes de algunos clientes, proveedores o integrantes de la empresa.

Se puede filtrar información privilegiada de clientes, proveedores y empleados, tales como

números de telefónicos, correos electrónicos o dirección.
Virus: Estar conectado a internet y navegando en varias páginas tiene un gran riesgo, y es
que cualquier enlace puede ser un virus de distintos tipos, los cuales podrían causar daños
como afectaciones al software operativo de la empresa, daños a los datos almacenados o
eliminación de estos.

Errores humanos: estos incidentes suelen ser causados por los mismos miembros de la
organización y tienden a ser no intencionados ya que se deben a un mal manejo de algún
procedimiento, sin embargo, esto va en contra de los principios de seguridad informática
(Integridad, confidencialidad y disponibilidad).

Regularmente cuando un colaborador sale a vacaciones comparten sus credenciales de

acceso con colegas u otros usuarios lo cual va en contra del principio de confidencialidad,
anexo a ello ocasionalmente por errores de personal que se encuentra en capacitación se ha
eliminado información al utilizar los sistemas.

Fallas eléctricas: Este riesgo es de los más comunes y se produce en su mayoría por
agentes de la compañía, los cuales pueden ser corto circuitos, sobre carga de energía, que se
apague el servidor de forma repentina, y esto provoca perdida de información, datos, etc.

Sobre carga de energía o cortos de energía provocarían perdida de información o no poder

ejecutar los sistemas.

Eventos naturales: Suelen darse por riesgos físicos y totalmente externos a la compañía,
estos pueden causar graves daños en la compañía y sus sistemas desde la pérdida de datos
hasta el daño total del software de la empresa, entre estos riesgos se encuentran: incendios,
inundaciones, terremotos, entre otras.

Amenazas respecto a la violación de información, vulnerabilidad o engaños en los sistemas

informático.

Fuga de datos: Es la amenaza más común en la organización en su sistema de seguridad y

que puede afectar gravemente a la información personal y de la empresa.

Gusanos: Es de los malware más comunes, ya que no requiere la intervención de un

usuario ni la modificación de un archivo, con solo un dispositivo infectado puede hacer que
toda la red se vea afectada.
Troyanos: Programa de un equipo que pasa desapercibido por el usuario y tiene como
objetivo permitir que otro software malicioso se instale.

Ransomware: Es uno de los malware actuales más usados, ya que consiste en bloquear la
información y el acceso a los datos de los sistemas y quienes lo manipulan piden rescate
para la liberación de la información.

Keyloggers: Son instalados a través de troyanos y tiene como objetivo robar datos de
información de las páginas web o de sitios bancarios.

Vulnerabilidades del sistema Los sistemas y aplicaciones informáticos siempre tendrán

algún tipo de error por más pequeños que sean, ya sea en su estructura, su diseño o código,
y estas vulnerabilidades o errores pueden generar la apertura a una amenaza, las principales
vulnerabilidades de los sistemas informáticos son las siguientes:

• Errores de configuración.

• Errores en la gestión de recursos.

• Errores en los sistemas de validación.

• Errores que permiten el acceso a directorios.

• Errores en la gestión y asignación de permisos. Engaños o fraudes a los sistemas

informáticos Un fraude o engaño a los sistemas de información es una situación en las que
se utilicen datos indebidamente, estos datos pueden ser bancarios o información del
personal para cometer delitos. Entre los principales fraudes o engaños a los sistemas de
información se encuentran:

Phishing (suplantación de identidad): Es un método utilizado por los delincuentes en el

cual las personas se hacen pasar por empresas u otras personas para robar datos personales
o bancarios.

Envío de recibos bancarios falsos: Consiste en la creación de recibos falsos en nombre de

grandes empresas, para que los usuarios a la hora del pago depositen a los estafadores.

Instalación de software malintencionado: Se da cuanto se navega en páginas extrañas las

cuales tienen links dudosos o al recibir correos electrónicos poco confiables.
Robo de base de datos: Es un robo que se da digitalmente y que va muy encaminado en la
ética y la moral del recurso humano de la organización.

• Con el apoyo de la auditoría técnica y estratégica se busca complementar el plan de

seguridad de la información a nivel de acciones de mejora y recomendaciones para
su implementación en la entidad.
• Socializar los resultados en el marco de la política de seguridad digital y política de
Gobierno digital al comité institucional de gestión y desempeño
• Posterior actualizar el PESI (Plan Estratégico de Seguridad y Privacidad de la
Información).
• Un proceso de selección correcto, efectivo y confiable de la persona en cuestión.
• Definir personal por tarea, por ejemplo, en relación con procesos como
autorización, rectificación, confirmación etc., no es una buena alternativa designar
una sola persona que se encargue de todo el proceso, puesto que esto podría afectar
el control de la operación.
• Restringir el acceso a la información, otorgando únicamente la información
necesaria para el desarrollo de su labor a cada población.
• Educar a cada miembro de la organización acerca de los posibles sucesos delictivos
que pueden ocasionarse, el cómo reaccionar a estos y a quien reportar si se reconoce
algún factor extraño.

Presenten las buenas prácticas que tienen las organizaciones para mitigar los delitos
informáticos durante el uso de los sistemas de información gerencial:

• Definir roles y responsabilidades en cuanto a la seguridad de la información.

• Capacitar regularmente a los empleados sobre las mejores prácticas de seguridad,
incluyendo la identificación de correos electrónicos de phishing y otros ataques
comunes.
• Implementar políticas de control de acceso basadas en roles para limitar el acceso a
la información solo a las personas que lo necesitan.
• Realizar auditorías de seguridad cibernética internas o externas para evaluar la
eficacia de las medidas de seguridad.
Propuesta de sistema de información en la categoría contable

La tecnología e innovación aplicada en el desarrollo de HELISA permite que

mediante la elaboración de los documentos se contabilice de forma automática en
conformidad con el decreto 2420 de 2015, y con el decreto 2483 de 2018, compilando y
actualizando los marcos técnicos de información financiera NIIF, evaluando la clasificación
tributaria del tercero y de la empresa, y generando de manera rápida y sin errores todos los
asientos contables que tengan lugar en la transacción afectando automáticamente, la
contabilidad, los impuestos, las cuentas por pagar o por cobrar, el inventario y centros de
costo, nomina, permitiendo tener la contabilidad en tiempo real y sin procesos especiales.

HELISA permite diseñar y generar los estados financieros por conceptos

establecidos por las NIFF (estado de situación, estado de resultados, cambios en el
patrimonio, flujo de efectivo y estado de revelaciones).

Tener una excelente validación de los estados financieros, prima desde el momento
de configurar del sistema cuando es instalado. Para obtener los resultados requeridos y/o
necesarios de información contable, se debe verificar las cuentas que se estipulan para cada
Grupo con la Cartilla de Cuentas Local de la empresa. El sistema no valida la autenticidad
de las cuentas.

Los usuarios de Helisa se caracterizan por permitir establecer unos privilegios y

restricciones específicos para cada uno de ellos dependiendo las funciones y necesidades de
gestión de la información que se requieran en la empresa. El sistema por defecto incorpora
el usuario Administrador que se encarga de iniciar el proceso de gestión de los diferentes
actores que interactuaran con el sistema. El usuario Administrador tiene pocos atributos
para modificarle y por estar incluido de forma predeterminada con el sistema no se puede
Eliminar. La configuración de usuarios de Helisa permite la limitación de funciones a
persona(s) no autorizadas que contengan otras labores en la empresa. Esto implica un
mayor índice de seguridad en la información confidencial de ciertos módulos. El sistema
permite la creación de una cantidad ilimitada de usuarios con características, privilegios y
restricciones propias de cada uno de ellos.
Riesgos: Entre sus principales riesgos están los errores humanos en la digitación de los
datos contables, al ser un sistema automático en el momento de generar los informes
requeridos serian erróneos. Es un sistema que depende de los servidores por lo tanto si hay
un corto circuito o sobre carga el sistema se verá gravemente afectado ya que podría no
guardar la información.

Amenazas: Al ser un software que está anclado directamente a un dispositivo y no está en

línea puede sufrir algún tipo de Malware que para este tipo de software serían: virus,
troyanos o gusanos (de los cuales hablamos anteriormente). La principal amenaza en este
caso sería que hackearan el usuario administrador y habiliten otro usuario por el cual se
pueda filtrar información privilegiada de la organización, alterar números o cifras de la
compañía; por eso la importancia de tener una adecuada gestión de los sistemas de
información, asignar claves difíciles de presagiar, realizar un debido seguimiento de los
usuarios que están habilitados y su acción.

Importancia de una adecuada gestión de los sistemas de información gerencial para

contrarrestar ciberataques

Es correcto afirmar que un buen manejo de la información impacta directamente en

el buen desarrollo de la compañía, es por ello que concluimos que la importancia de una
buena gestión en estos, radica en la prevención de posibles sucesos delictivos que podrían
afectar la organización, desde un fraude hasta una pérdida de información, por ejemplo: un
banco , posee la información personal y financiera de una serie de personas, son
conscientes que la perdida de la información es uno de sus mayores riesgos, más sin
embargo al no realizar una correcta gestión la información de sus clientes es compartida
con personas externas a la misma, esto podría acarrear problemas legales junto a la pérdida
de confiabilidad y credibilidad del mismo. Sin embargo, si se educa a la comunidad acerca
de los ciberataques que puedan ocasionarse, sobre el que son, como se pueden presentar, y
qué se debe hacer en caso tal, se creará una línea de protección adicional que favorece el
control de la información.
 BIBLIOGRAFIA

https://www.helisa.com/descargas/BROCHURE.pdf

https://www.hubspot.es/products

https://elibro.net/es/ereader/uniminuto/174910?page=1

https://elibro.net/es/ereader/uniminuto/171995?page=1