• Author / Uploaded
• Vanessa GUINARD HERNANDEZ

Citation preview

CONTADURÍA PÚBLICA

Auditoría de sistemas Unidad 6

Identificación y valoración de riesgos, elaboración de papeles de trabajo Para la evaluación de riesgos de seguridad en el sistema informático de una compañía, se realizó una inspección, en la cual se detectaron las siguientes situaciones: 1. La compañía hace copias de seguridad a diario de su sistema contable; sin embargo, estas copias reposan en el mismo servidor, nunca se ha hecho una extracción de información. 2. Nunca se ha hecho una copia de seguridad de los archivos ofimáticos, todos los usuarios de los equipos tienen privilegios de administrador en sus computadores. 3. La navegación en internet es libre, no existe restricción alguna en páginas o contenidos, igualmente pueden descargar archivos sin restricción alguna. 4. En la inspección se detecta que el 80% de los equipos verificados tienen archivos en el escritorio del computador. 5. Transportan los archivos en USB. 6.

Una vez al año se les realizan a los computadores mantenimientos preventivos y se tiene un contrato de prestación de servicios con un profesional que también atiende los mantenimientos correctivos.

7. Se establece que los trabajadores tienen acceso a los correos electrónicos de la empresa y a los archivos compartidos incluso fuera de la organización.

1. Con la información recolectada en sus papeles de trabajo se solicita identificar los riesgos y valorarlos de acuerdo con el siguiente modelo. NOMBRE DE LA EMPRESA DIDÁCTICA SAS CICLO MATRIZ DE IMPACTOS

  SISTEMAS EJECUCIÓN

NIT

 

  RIESGOS

1, como nunca se ha hecho una extracción de la información puede Ocurrir que haya perdida de la información ya que solo se realiza Una copia en un solo servidor 2, como nunca se a hecho una copia de seguridad de los archivos Ofimáticos puede ocurrir la perdida de la información por no generar Copias de seguridad adicionalmente todos los usuarios de los Equipos pueden manipular la información ya que no tienen Restricciones según el perfil que corresponda 3, como a los usuarios les permiten una navegación libre la empresa

BAJO

DV

 

 

 

 

  MODERADO

ALTO

X

X X

Puede incurrir en gastos ya que el empleado está realizando otras actividades ajenas de lo que fue contratado de tiempo , adicionalmente como no existe una restricción en páginas y contenidos puede ocurrir que se descarguen aplicaciones que afecten la empresa como jokers o virus que afecten y roben la información 4. en la inspección se detectó que los archivos son guardados erróneamente en el escritorio del computador por lo cual la información esta visiblemente y los documentos no son almacenados de manera adecuada por lo tanto cuando se realiza el backoup no se realice la copia de estas archivos X 5, en cuanto a trasladar archivos en USB puede ocurrir que haya virus Que afecten la información y los equipos como también se puede Generar el hurto de la información al duplicarla.

X

6. como se menciona que el prestador de servicios es personal Externo a la compañía puede ocurrir que se genere cambios de piezas Físicas en los computadores en el momento en que este realizando Los mantenimientos correctivos adicionalmente se corre el riesgo Que los equipos se infecten de algún virus y se genere una pérdida de información X 7 en el caso de los trabajadores que poseen permisos a los correos Electrónicos y a las carpetas compartidas se puede generar hurto de la Información debido al índice alto de tiempo fuera de la organización, Permitiendo modificaciones o plagios al no ser controlados.

X

2. Con los riesgos identificados, diligencie el Cuestionario de auditoría que encuentra a continuación, diseñe los cuestionamientos y marque la respuesta afirmativa o negativa, según cada uno de los hallazgos; si es necesario, registre también las observaciones.

NOMBRE DE LA EMPRESA DIDÁCTICA SAS CICLO AUDITADO SISTEMAS PROCESO-POLÍTICAS DE SEGURIDAD

  NIT SISTEMAS DV EJECUCIÓN  

   

 

 

 

PREGUNTAS, CONFIRMACIONES Y CUESTIONAMIENTOS

  CUMPLE SÍ

la compañía cuenta con un servidor adicional para realizar las copias de seguridad Gestiona los perfiles de los usuarios dicho administrador según el perfil correspondiente Se realizan copias de seguridad del sistema contable diariamente

0

NO CUMPLE NO

OBSERVACIONES

X X X

 

Se realiza copia de seguridad de los archivos informáticos diariamente La empresa cuenta con restricciones de páginas ajenas al perfil del usuario Los usuarios cuentan con acceso a carpetas exclusivas directas al Servidor para cada usuario

X

 

X

 

X

 

Los quipos de computo cuentan con restricciones en los puestos USB

X

Los correos electrónicos cuentan con supervisión de la información Las carpetas y archivos cuentan con restricciones para su uso solo Dentro de la organización

X

 

X

 

Existe un administrador de sistemas que controle el acceso a los Usuarios

X

Existe un control escrito de las copias de seguridad

X

Existen políticas sobre el uso de medios de almacenamiento

X