• Author / Uploaded
• heidy

Citation preview

RIESGOS DE CONTROL INTERNO

PRESENTADO POR

ANGIE CATALINA AVILA ORDÓÑEZ. ID: 655584 VIKI LEIDY ENCISO PEÑA ID: 655586 HEIDY MARYEL GOMEZ RONCANCIO: ID: 653680 TATIANA ANDREA LÓPEZ CARO. ID: ID: 628106

DOCENTE

MYRIAM YOLANDA MEZA MARTINEZ AUDITORIA DE SISTEMAS NRC: 1442 ACTIVIDAD 2

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS CONTADURÍA PÚBLICA 15 DE MAYO DEL 2020 BOGOTÁ

ACTIVIDAD 2 AUDITORIA DE SISTEMAS 1. Haga un listado en el que se identifiquen los riesgos a los que se encuentra expuesta la empresa en sus sistemas informáticos, así: A) Los riesgos del control interno específicamente. Para auditoria de sistemas (s, f) el Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. Según Tarazona (s, f) básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías: Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de información; Desastres naturales y; Actos maliciosos o malintencionados; algunas de estas amenazas son: • Virus informáticos o código malicioso • Uso no autorizado de Sistemas Informáticos • Robo de Información • Fraudes basados en el uso de computadores • Suplantación de identidad • Denegación de Servicios (DoS) • Ataques de Fuerza Bruta • Alteración de la Información • Divulgación de Información • Desastres Naturales • Sabotaje, vandalismo • Espionaje

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos: • Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. En Raisbeck & Castro si identificamos el problema de la conducta de los empleados que les gusta comer en su puesto de trabajo, muchas veces han corrido el riesgo de regar líquidos en el teclado, el resultado se refleja al momento de hacer el aseo. • Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. para este caso la compañía RAISBECK & CASTRO tiene el programa de facturación de Time Manager el cual permite crear usuarios y contraseña a cada uno de los colaboradores según su necesidad o según el tipo de trabajo que realiza, con el fin de evitar información errónea. Y también maneja el programa Galena que es donde lleva el registro de todos los asuntos o casos que manejan los abogados de todos los clientes a nivel nacional e internacional, también cada uno tiene su usuario y contraseña. • Riesgo de Manipulación de correos, se identificó que el ingeniero de sistemas a todas las personas nuevas que van llegando les crea su correo, pero todos tienen la misma contraseña, este un riesgo en la seguridad de la información.

B) Los riesgos de ingreso a los sistemas informáticos y su autenticación Según Tarazona (s, f) todos los sistemas informáticos conectados en red poseen identificadores para poder enviar y recibir la información desde otros sistemas. Esta identificación se conoce como la dirección IP (Internet Protocol). Muchos desarrolladores resguardan bien la información porque tienen sus bases de datos cifradas y accesos protegidos, pero también hay otros desarrolladores que no utilizan las mejores prácticas en el manejo de la información y pueden dejarla vulnerable", explicó. Por

ello algunos cibercriminales atacan directamente a la base de datos y no a ningún usuario en particular. Los sistemas informáticos utilizan niveles pobres de autenticación tanto de sistemas como de usuarios, lo cual disminuye la posibilidad de actuar contra los atacantes. Para ataques elaborados como envío de spam, virus o inclusive accesos no autorizados, los atacantes han desarrollado técnicas que permiten utilizar direcciones simuladas o falsas, cambiando la dirección original asignada, y de esa forma engañar los procesos de búsqueda e identificación y en muchos casos se valen de servidores públicos, para que, en caso de ser identificados, se puedan mover fácilmente a otros sistemas sin dejar rastro, y continuar con sus ataques. Para el funcionamiento adecuado en sus sistemas de información de Raisbeck & Castro cada usuario tiene creado sus accesos de manera personal con su usuario y contraseña, para evitar problemas de manipulación de información con el fin de debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

C) Los riesgos a los que la información se expone por la manipulación de un usuario Cuando la información se encuentra expuesta a usuarios dentro de las organizaciones, dada su naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir: ● Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento. ● Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones. ● Controles a nivel contratación de personal. ● Gestión antes, durante y después de la terminación de los contratos. ● Educación y capacitación continua en aspectos de seguridad. ● Procedimientos e instructivos para manejo de información.

● Políticas de escritorio y pantalla limpia. ● Cumplimiento de legislación aplicable, entre otros. En la empresa que estamos auditando si tienen políticas de privacidad tales como, acceso restringido a las diferentes carpetas en el drive, no todo el personal tiene acceso a los mismos archivos, cada uno tiene su propio usuario y contraseña para los diferentes programas, está rotundamente prohibido dejar las contraseñas guardadas en el equipo y mucho menos en papelitos pegados a la pantalla del computador, una vez un empleado termina su contrato laboral se le cierran todos los permisos y se bloquea de todas las plataformas.

D) Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de datos de un sistema informático. Según muycomputerpro (2017), Las impresoras son hoy un dispositivo más de nuestra red que necesita protección. En este artículo queremos centrarnos en repasar los cinco riesgos más importantes que enfrenta una impresora actualmente.

1. Ataques maliciosos desde fuera de la empresa: los ciberataques dirigidos contra empresas son un problema de seguridad creciente que se ha centrado en las impresoras, en un intento de aprovechar una falta de protección y de utilizarlas como puerta de entrada a la red. Esta parte si no la tiene blindada la empresa, porque el servicio de impresión lo presta un tercero (alquiler de la impresora). 2. Documentos expuestos a la salida del dispositivo: cuando dejamos documentos impresos en la bandeja de salida por un largo periodo de tiempo éstos pueden acabar cayendo en malas manos, con todo lo que ello supone. Esta parte si está protegida porque todo lo que se imprime mal de una vez tiene que pasarse por la trituradora de papel para destruirlo.

3. Uso y accesos no autorizados: puede ser un peligro importante, ya que las actividades no autorizadas sobre impresoras desprotegidas pueden permitir la sustracción de documentos importantes. En Raisbeck & Castro nadie hace trabajos extra encima de la impresora, solo se utiliza para imprimir y para escanear y al escanear cada empleado tiene su usuario al cual le llega el trabajo realizado. 4. Interceptación de datos enviados: cuando movemos los documentos y datos de un equipo o equipos a la impresora, o desde dispositivos móviles a aquella, se produce una comunicación que puede quedar expuesta a ataques diversos, incluidos los de tipo «hombre en el medio». Si cumple.

5. Modificación de parámetros de seguridad: si no protegemos adecuadamente los ajustes y las configuraciones nuestra impresora puede quedar expuesta a manipulaciones, que podrían acabar en impresiones falsificadas o en una reducción a propósito de otras medidas de seguridad para facilitar ataques concretos. Los parámetros de seguridad los brinda la empresa contratada para el servicio de alquiler de la impresora.

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos, procesos a los sistemas informáticos y salidas de información de los sistemas informáticos.

● Riesgos en entradas a los sistemas informáticos: Riesgos dinámicos, estáticos, especulativos, Riesgos financieros, riesgos dinámicos. ● Riesgos en los procesos a los sistemas informáticos: Esto es, amenazas o atentados a los sistemas de información, los riesgos son: de integridad, estos son interfaces de usuario, procesamiento, procesamiento de errores, interface, administración de usuarios. ● Riesgos en las salidas de información de los sistemas informáticos

-Riegos de relación, uso oportuno de la información greda para aplicativos. -Riegos de acceso, procesos de negocio, aplicación, administración de la información, entorno de procesamiento, redes. - Riegos de utilidad, estos son las técnicas de recuperación o restauración de información o Backus. - Riegos en la infraestructura. - Riesgos de seguridad general. Son todos aquellos riesgos relacionados con: antivirus, procesos de seguimiento por medios de Ip, y procedimientos prácticos. 3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de control interno que implementar para mejorar la situación de seguridad en la empresa en cada uno de los riesgos identificados. Además, descargue de la plataforma el cuestionario.

● Riesgos en entradas a los sistemas informáticos. - Adiestrar el personal en las técnicas de extinción de incendios. Se cumple, pero no todos tienen la capacitación, solo el personal administrativo, se recomienda capacitar a todas las personas no se sabe en qué momento alguien lo pueda necesitar y si existe un riesgo la persona que está más cerca del extintor debería saber cómo se utiliza. - Garantizar que los sistemas de corte de corriente actúen sobre la ventilación, la calefacción y el aire acondicionado. En este caso la empresa no tiene calefacción ni aire acondicionado entonces no aplica. - Controlar el empleo de materiales inflamables. En Raisbeck & Castro no se utilizan materiales inflamables, no aplica tampoco.

-

Ubicar un sistema de alumbramiento de emergencia. Por el lado de luz como

iluminación no hay problema porque las oficinas cuentan con ventanales muy grandes y por el lado de energía como tal para los equipos si no hay un sistema de emergencia. -Garantizar hermetismo y fortaleza en puertas y ventanas. Si aplica, la puerta de entrada queda lejos de los equipos y las ventanas la forma de abrirlas no da para que el agua entre cuando llueve y realmente no abren mucho. - Realizar instalaciones eléctricas con suficiente calidad y capacidad para evitar sobrecargas. La oficina está habilitada para su fin, ósea todas las instalaciones eléctricas están acordes a las necesidades. - Adquirir estabilizadores de voltaje. Se recomienda comprar un buen estabilizador de voltaje ya que estos ayudan a minimizar el riesgo de que un equipo se queme y se pierda totalmente. - Candados especializados y otros sistemas de seguridad física para evitar el traslado indebido de los equipos, el robo de sus componentes o su utilización no autorizada, entre otras. En Raisbeck & Castro no tienen este tipo de sistema de seguridad, se recomienda implementarlo para evitar la pérdida, o traslado y por consiguiente un daño por golpe al trasladarlo de sitio al equipo. - Limpieza sistemática y en una forma adecuada. Se pudo notar que le hace falta hacerle mantenimiento a los equipos más seguido, se recomienda hacerlo cada 6 meses como mínimo y la limpieza del sistema se recomienda hacerlo mínimo cada 15 días según el uso (se refiere a la cantidad de descargas o archivos temporales y las cookies).

● Riesgos en los procesos a los sistemas informáticos

- Validación de datos de entrada- Exigir identificación en la entrada. Se recomienda cambiar las claves periódicamente. - El acceso restringido y controlado. Si tiene en cuanto a carpeta de información colgadas en el drive.

- Utilizar software de seguridad para controlar los accesos al sistema y las funciones de consulta y escritura de los ficheros. La empresa tiene sus propios sistemas controladores de información. Instalar un firewall o “muro antifuego”, mantenerlo actualizado y registrar quién accede al sistema y en qué momento lo hace. Mantener activa su alarma. La empresa también cumple con este sistema de seguridad.

·

Utilizar programas “scanner” para detectar los ataques a sus recursos y de dónde

provienen. También tiene implementado este sistema de seguridad.

● Riesgos en las salidas de información de los sistemas informáticos: - Manuales de usuario, explotación y/o utilización. La empresa utiliza manuales o protocolos para cada actividad, cada que alguien tiene una duda debe consultarlos. -Uso de contraseñas relativamente seguras, para controlar los accesos al sistema. Se evidenció una falla y es que al crear un nuevo correo el ingeniero de sistemas encargado le pone a todos la misma contraseña y casi nadie la cambia. -Programas antivirus actualizados. Si cumple.

- Hacer que el sistema de control funcione las 24 horas del día, profundizando en los controles en horas no laborables. Si cumple, este sistema funciona todas las 24 horas del día. -Estudiar las necesidades de los usuarios y establecer autorizaciones selectivas y jerarquizadas (“privilegio s”) para acceder a los diferentes recursos informáticos: computadoras, terminales, datos, soportes magnéticos, etc. Si cumple. -Cubrir la máquina con forro o cubierta similar (sellada), al concluir el trabajo. No cumple, todos dejan el computador sin tapar y muchos sin cerrarlo, se recomienda tener más cuidado a la hora de terminar el trabajo dejarlos cerrados y si se puede los equipos de escritorio dejarlos cubiertos por un forro cada uno. -Proteger el teclado con una carcasa metálica o plástica, o en su defecto, guardarlo bajo llave. No cumple, nadie deja guardado ni el teclado ni el equipo al terminar su jornada laboral, se recomienda implementar esta medida de seguridad. - Establecer la limpieza periódica de equipos, superficies de trabajo, suelos, superficies bajo el falso piso, etc. Si se cumple, todos los días la señora del aseo limpia todo minuciosamente. -Utilizar los productos de limpieza y pulimento antiestáticos. Si cumple, se utilizan los implementos adecuados para esta labor. -Establecer procedimientos de seguridad acordes al valor de los recursos a proteger. -Establecer, de ser posible, equipos especializados en copias o Backus, y ubicarlos fuera del área y/o del edificio. Las copias de seguridad se guardan en el servidor. - Establecer y controlar la ejecución de un plan de copiado. Si existe, cada uno guarda su información en las carpetas adecuadas en el server.

-

Chequear periódicamente el estado del equipo. Establecer un programa de

mantenimiento preventivo. Se recomienda hacerlo más seguido, ya que pasan más de 6 meses y no se les hace mantenimiento a los equipos. - Incluir en el seguro del APD y sus medios. Si cumple. -Asegurarse que los empleados encargados de actualizar las páginas Web toman precauciones de seguridad, como cambiar regularmente las contraseñas y registrarse al salir de los archivos Web antes de dejar sola la PC. Si cumple. -Tener establecida una política de copias de respaldo de las páginas Web, tal y como se deben tener con otras informaciones importantes. No cumple, se recomienda establecer esta política de seguridad. -Establecer políticas sobre la información que se debe publicar o no, y mantener informados a los empleados sobre esas políticas. Si cumple. -Realizar auditorías periódicas de seguridad, al menos sobre aquellos aspectos más susceptibles de ser violados, como la política de contraseñas o passwords o las identificaciones

de

los

usuarios.

No

cumple

totalmente,

se

recomienda

implementarlas. - Cuidar la utilización de los recursos informativos por aquellos empleados que trabajan desde la casa. Velar por que se apliquen las mismas medidas que en la entidad. En este caso lo han recomendado ya que en este momento precisamente por la cuarentena decretada por el gobierno todos están trabajando desde la casa ya las medidas de seguridad las implementa cada empleado en su casa.

Bibliografía auditoria de sistemas (s, f) control interno informático recuperado de: https://noris14.wordpress.com/2011/06/10/control-interno-informatico/ Tarazona (s, f) amenazas informáticas y seguridad de la información recuperado de: file:///C:/Users/Tatiana%20Lopez/Downloads/965-Texto%20del%20art%C3%ADculo-33752-10-20180126%20(1).pdf Muycomputerpro (2017), seguridad e impresión, descubre los cinco riesgos más importantes, Recuperado de: https://www.muycomputerpro.com/zona-impresion-profesional/seguridad-e-impresion-cincoriesgos/ https://www.muycomputerpro.com/zona-impresion-profesional/seguridad-e-impresion-cincoriesgos/