Scribd
Cargar
27 vistas12 páginas

Auditoría Informática en PROMAELEC

Cargado por

Edgar Ismael Rodriguez Mendoza
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
27 vistas12 páginas

Auditoría Informática en PROMAELEC

Cargado por

Edgar Ismael Rodriguez Mendoza
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

RESUMEN

AUDITORIA EN
INFORMATICA
Integrantes:
Edgar Ismael Rodrigue
Mendoza
Jaime Mauricio Carrillo
Carrillo
Jafet Isaac Lara Hernandez
Jose Dolores Solano Elias
01 INTRODUCCION

La empresa "PROMAELEC" tiene más de siete años en el mercado, dedicada a la venta de


materiales eléctricos en distintos sectores (industrial, comercial y residencial). Durante la
pandemia de COVID-19, como muchas empresas, enfrentó dificultades, entre ellas la falta de una
auditoría informática actualizada debido a limitaciones económicas. Esta situación generó
vulnerabilidades en la seguridad de los datos y el flujo de información, lo que hace necesario
realizar una auditoría informática para evaluar los riesgos y proponer soluciones viables para
mejorar la administración de los procesos informáticos.
La misión de PROMAELEC es ofrecer productos eléctricos de alta calidad y brindar un servicio
excepcional, con el objetivo de ser una empresa reconocida a nivel nacional por su innovación
tecnológica y eficiencia.
OBJETIVOS

1. Revisar y evaluar los sistemas informáticos: Analizar los equipos de computación y los sistemas
automáticos para asegurar un adecuado procesamiento y manejo del flujo de información.
2. Mitigar riesgos de seguridad: Identificar los riesgos asociados a la falta de recursos para realizar
auditorías frecuentes, asegurando la protección de los datos y la integridad de la información.
3. Proponer soluciones viables: Determinar soluciones para mejorar los procesos informáticos,
considerando las limitaciones económicas y los desafíos sanitarios derivados del COVID-19.
El proceso de auditoría informática

La auditoría informática implica un conjunto de procesos que son llevados a cabo por profesionales capacitados y responsables. Estos
profesionales deben ser capaces de almacenar, adjuntar y evaluar toda la evidencia necesaria para verificar que la información y los
datos manejados en la empresa sean seguros, precisos y eficaces, y que los recursos sean usados correctamente. La auditoría no
depende exclusivamente de un sistema de información para preservar la integridad de los datos, sino de una evaluación integral que
considere múltiples aspectos del manejo de la información.
Uno de los principales objetivos de la auditoría informática es garantizar la correcta administración de los recursos de la organización.
Estos recursos incluyen tanto los sistemas tecnológicos como los recursos humanos, asegurando que la organización cumple con las
leyes, regulaciones y políticas internas en cuanto al manejo de datos e información.
Fases de la auditoría informática
Una auditoría informática sigue varias fases esenciales para garantizar su éxito y cumplimiento:
Planeación: Definir claramente los objetivos, alcances y criterios de la auditoría. Es crucial entender qué se va a
auditar, quién será responsable y cómo se llevará a cabo el proceso.
Organización: Establecer un cronograma y asignar tareas a los auditores. Esto incluye la recopilación de la
información necesaria y la asignación de recursos.
Ejecución: Realizar el trabajo de campo, revisar los sistemas de la organización, su seguridad, flujo de
información y cumplimiento con las normativas aplicables.
Control: Evaluar el rendimiento de los sistemas, identificar debilidades o vulnerabilidades, y sugerir acciones
correctivas. Esta fase implica generar informes y recomendaciones para la mejora continua.
El propósito general de la auditoría informática es verificar el desempeño en cada nivel de la organización y, a
partir de ello, identificar debilidades y riesgos potenciales que puedan afectar la seguridad de la información o la
eficiencia operativa. A partir de estos hallazgos, los auditores formulan recomendaciones para la toma de
decisiones y la mejora de procesos.
GESTIÓN DE RIESGOS SEGÚN ISO 27005 E ISO 27001
EDGAR

ISO 27005: Proporciona recomendaciones


01 para la gestión de riesgos en los sistemas
de información, centrada en la
identificación, análisis y mitigación de
02
riesgos.

ISO 27001: Se enfoca en la seguridad de la


02 información, asegurando la
confidencialidad, integridad y disponibilidad
de los datos.

La gestión de riesgos es clave para


03 04 y evitar que los
identificar vulnerabilidades
riesgos superen los niveles permitidos.
EJEMPLOS DE RIESGOS Y PROPUESTA DE AUDITORÍA
EDGAR

Riesgos identificados:
Aplicaciones inseguras.
Sistemas operativos sin actualizar.
02Tecnologías obsoletas.

Propuesta de auditoría:
Elaborar planes de contingencia.
Evaluar controles y procedimientos de
04 seguridad.
Implementar medidas correctivas y
monitorear la infraestructura IT.
Evaluación de Políticas y Administración de Recursos:
Se evalúa la existencia de políticas, normas,
metodologías, y asignación adecuada de tareas,
además de la correcta administración de los
recursos humanos e informáticos.
Archivo de Papeles de Trabajo:
Generación de documentación relacionada con c las
auditorías realizadas en la empresa.

Flujos de Información en PROMAELEC:


La información fluye a través de una red interna
desde un servidor principal hacia las estaciones de
trabajo, permitiendo la prestación de servicios de
control.
Áreas Clave de la Empresa:
1. Dirección Financiera: Maneja solicitudes y actualizaciones de datos en el servidor
para consultas de saldo de clientes y control de gastos. También gestiona las
transferencias a cuentas de proveedores.
2. Jefe de Contabilidad: Se encarga del registro diario de gastos e ingresos relacionados
con clientes y proveedores.
3. Contador: Actualiza estados de cuentas para cierres diarios y balances. También
c
gestiona aportes patronales y declaraciones al SRI a través de Internet.
4. Asistente de Contabilidad: Maneja datos sobre certificados de ingresos, realiza los
roles de pago y actualiza la información en el servidor.
5. Tesorería: No cuenta con sistema de red; todo se coordina mediante documentación
física.
6. Recaudación: Controla las contribuciones de los usuarios por los servicios de mejoras
proporcionados por la empresa.
Administrador de Sistemas:
Responsable del funcionamiento de los equipos y de la red interna. El servidor central
está ubicado en el área de Contabilidad y debe estar encendido para que el sistema
funcione.
Entorno Operacional:
La empresa cuenta con un único centro de procesamiento de datos administrado por
el Administrador de Sistemas. El servidor principal contiene la información y está
c
acompañado de un UPS y un switch, conectando cinco estaciones de trabajo con
privilegios y restricciones.
Inventario de Software:
La empresa utiliza sistemas operativos Linux y Windows (algunos sin licencia), y
software de administración contable EFIMAX, Microsoft Office, entre otros.
Inventario de Hardware:
Los equipos tienen características similares debido a una adquisición reciente que
mejoró la velocidad del trabajo. Entre los equipos figuran CPUs Intel Pentium IV y III,
con monitores SVGA y diversos periféricos.
uso inapropiado de recursos
tecnologicos
Acceso a Internet y correo electrónico para asuntos no
laborales.
Instalación de software no autorizado por la empresa.
Riesgos en seguridad informática: Antivirus desactualizados y
contraseñas no seguras.
Problemas de control de acceso:
No hay restricciones suficientes para el acceso a ciertas áreas
del sistema.
Las contraseñas no tienen políticas de actualización ni
requisitos de complejidad.
Uso ilimitado de cuentas de acceso: No hay control sobre
intentos fallidos de acceso ni tiempo límite de uso.
PROPUESTA PARA LA
AUDITORIA Implementar un departamento de auditoría
informática para garantizar un control eficiente de
los sistemas de información y la infraestructura
tecnológica.

EVALUACIÓN Y CONTROL DE SISTEMAS Y REDES:


Mejorar la seguridad y confiabilidad de la información
mediante auditorías continuas.

AUTOMATIZACIÓN DE PROCEDIMIENTOS
Lorem ipsum dolor sit amet, consectetur adipiscing elit.
Duis vulputate nulla at ante rhoncus, vel efficitur felis
condimentum. Proin odio odio.

CAPACITACIÓN DEL PERSONAL


Asegurar que el equipo esté preparado para gestionar
y auditar los sistemas tecnológicos de manera eficaz
para Identificar áreas de oportunidad y mejorar la
eficiencia del sistema.

También podría gustarte