• Author / Uploaded
• DIEGO DIAZ

Citation preview

CONTADURÍA PÚBLICA Auditoría de sistemas Unidad 2 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría, usted se entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la siguiente forma: Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial y financiero, iniciamos comercializando productos en una oficina en la que laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas en logística. Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información. El computador del almacén se ha dañado tres veces en dos años. Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo. Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.

En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.

Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar riesgos; en su visita comprueba las siguientes condiciones: 1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua. 2. Los trabajadores consumen alimentos sobre sus equipos de cómputo. 3. Los computadores no están configurados con claves de usuario ni de administrador para acceder, cada usuario es administrador de su equipo y puede realizar las acciones que desee en él, cualquier usuario puede prender un computador o tener acceso a la información que se almacena. 4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del programa de contabilidad, este realiza de manera automática la copia de seguridad y la almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina. 5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría de quienes manejan los equipos se encontraban navegando en YouTube. 6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios desconocidos. 7.

A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y contraseñas.

8.

No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir y extraer archivos planos sin restricción alguna.

9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la hora y el responsable.

solución ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS Teniendo en cuenta la información suministrada por el representante legal la empresa posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los sistemas informáticos pues si bien hoy en día la tecnología ha logrado grandes aportes a la empresa también es cierto que es necesarios asumir varios tipos de seguridad y prevención frente al mal uso ya sea por equivocación o mal intencionado de los mismos empelados. Ya que esto puede ocasionar desde el error más insignificante como hasta la pérdida del patrimonio. 1. Identificando los riesgos a los que se encuentra expuesta la empresa en su sistema informático, encontramos: a) Los riesgos del control interno específicamente:  Los equipos de cómputo están expuesto al sol y salpicaduras de lluvia  Residuos de Alimentos en los teclados  No están protegidos con un usuario ni clave  No hay copia de seguridad desde hace 4 años  Libre acceso a las diferentes redes sociales en horas laborales  Varios usuarios y clave para acceder al software contable  La contadora y asistente comparten la misma clave y usuario  La red de internet implementada no es la más adecuada b) Los riesgos de ingreso a los sistemas informáticos y autenticación  Virus informáticos o código malicioso  Uso no autorizado de Sistemas Informáticos  Robo de Información  Fraudes basados en el uso de computadores  Suplantación de identidad  Ataques de Fuerza Bruta  Alteración de la Información

  

Divulgación de Información Sabotaje, vandalismo Espionaje

c) Los riesgos a los que la información se expone por la manipulación de un usuario.  Divulgación indebida de información sensible o confidencial, de forma accidental o bien, sin autorización.  Modificación sin autorización o bien, de forma accidental, de información crítica, sin conocimiento de los propietarios.  Pérdida de información importante sin posibilidad de recuperarla.  No tener acceso o disponibilidad de la información cuando sea necesaria d) Los riesgos que puede surgir de la impresión, reimpresión y extracción de bases de datos de un sistema informático.  Gastos innecesarios en reimpresiones  No contribuir a medio ambiente por el gasto inoficioso de papel  Documentos que se quedan en la salida de la impresora hay que tener en cuenta que estos documentos pueden ser confidenciales o tener información privada de la empresa o los mismos clientes  Ataque procedente del exterior de la empresa  Usuarios y acceso no autorizado (sustracción de todo tipo de documentos)  Intercepción de datos que se envían (impresiones por wifi ataque y robos de información)  Modificar por parte de los usuarios los parámetros de seguridad de las impresoras (impresiones falsificadas) 2. Clasifique los riesgos en los siguientes procesos:  entrada a los sistemas informáticos,  procesos a los sistemas informáticos  salida de información de los sistemas informáticos. 3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de control interno que implantaría para mejorar la situación de seguridad en la empresa en cada uno de los riesgos identificado.

PLAN DE PROPUESTA PARA LOS RIESGOS INFORMÁTICOS IDENTIFICADOS

Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las fuentes de riesgos potenciales Como primera medida se deben establecer políticas de seguridad dentro de la empresa que permitan proteger la información, garantizar su confidencialidad y reglamentar su uso y el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida, deterioro o acceso no autorizado. Además de la información, en las políticas de seguridad informática se incluyen elementos como el hardware, el software y los empleados; se identifican posibles vulnerabilidades y amenazas externas e internas; y se establecen medidas de protección y planes de acción ante una falla o un ataque. También Capacitar al personal para el cumplimiento de procesos y actividades de seguridad de la información.

LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE RIESGO EFECTOS PROPUESTA Los equipos de cómputo Corrosión están expuesto al sol y Resistencia eléctrica o la Reubicar los equipos de cómputo que no tenga salpicaduras de lluvia conductividad térmica exposición directa a Cortocircuitos líquidos, salpicaduras, o ambientes con excesiva humedad. Asimismo, se recomienda los cambios bruscos de temperatura y esperar a que los sistemas se

aclimaten encenderlos (portátiles)

Los mandos no responden Las teclas se pegan Residuos de Alimentos en Atraer plaga (hormigas, los teclados cucarachas que dañas las plaqueta y cableado) Sustracción de información confidencial No están protegidos con un  Cualquier empelado usuario ni clave puede usarlo y realiza modificaciones  Descargar virus

 No hay copia de seguridad desde hace 4 años



Libre acceso a las  diferentes redes sociales en horas laborales 

Perdida de archivos ya sean eliminados por error y provocado Perdida de información por catástrofe

Posible pérdida información. Virus

antes de de nuevo

Se recomienda hacer la limpieza del equipo con pañuelos, cepillos y sobre todo prohibir el consumo de alimentos y líquidos sobre los equipos, destinar un área de alimentación en horas específicas. Se recomienda que en cada puesto de trabajo del área administrativa tenga un usuario y clave de acceso para el uso de su computadora  Se pueden hacer respaldos físicos (que deben ser cambiados cada cierto tiempo), en la nube o una combinación de ambas. Preferiblemente que se cuente con una alternativa que se haga de manera automática y periódica.  encriptar los Backus con una contraseña, en caso de que quiera cuidar información confidencial.

de 

Sistema de cifrado para envió y recepción de información

 Varios usuarios y clave para acceder al software  contable

Modificaciones archivos o al sistema

a

Señal débil en diferentes áreas de empresa. Retraso en tiempos producción para funcionarios.

las la

La contadora y asistente comparten la misma clave y usuario.  La red de internet implementada no es la más  adecuada

cifrar contraseñas de usuario, datos personales y financieros, llamadas, lista de contactos, el acceso a páginas web y al correo electrónico y conexiones a terminales remotos, entre otros

Implantar un modelo de red basado en cableado de estructurado. los

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y AUTENTICACIÓN RIESGO EFECTOS PROPUESTA  Usuario y contraseña sabotaje informático (suprimir o  Asignación de una dirección Uso no autorizado modificar sin autorización IP privada. de Sistemas funciones o datos de  Utilización de un firewall Informáticos computadora con intención de para restringir la obstaculizar el transmisión. Robo de funcionamiento normal del  Especificación de la Información sistema) comunicación cifrada TLS. Fraude informático que supone  Configuración de un PIN el cambio de datos o para gestionar información almacenada en la impresora. informaciones contenidas en la computadora en cualquier  actualizados los programas antivirus y firewall fase de su procesamiento o tratamiento informático, en el  personal capacitado en conocer e identificar que media ánimo de lucro y amenazas que hayan sido genera perjuicio a terceros. enviadas por email espionaje informático o fuga de

Fraudes basados en el uso de computadores

Suplantación identidad

de

Uso de dispositivos móviles

Espionaje

Alteración de Información

la

Divulgación Información

de

Virus informáticos o código malicioso

datos que consiste en obtener no autorizadamente datos almacenados en un fichero automatizado, en virtud de lo cual se produce la violación de la reserva o secreto de sistema dea  información Instalación de deunmalwares través de descarga de aplicaciones  Ataque a los celulares por medio de ‘ransomware’, una técnica con la que los atacantes secuestran la información del dispositivo a cambio de una recompensa económica.  Daño de imagen. Genera un impacto negativo de la entidad y lleva implícita la pérdida de confianza.  Consecuencias legales. Podrían conllevar sanciones económicas o administrativas.  Consecuencias económicas. Estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc. Instalación de virus que nos ralentiza el ordenador, hacernos perder información (o,







  





Se recomienda instalar un antivirus en los dispositivos móviles. evitar páginas y aplicaciones con contenido no seguro y hacer copias de seguridad de forma periódica.

Ingreso de usuarios y claves cifrado de la información confidencial corporativa instalación, configuración y actualización de cortafuegos mantener actualizadas todas las aplicaciones de nuestros sistemas, etc. Sanciones jurídicas y económicas

Instala un buen antivirus en los equipos y actualizarlo de

forma permanente.

directamente, robárnosla para usos ilícitos y peligrosos)



No aceptar software de ningún tipo cuyo origen se desconozca, y que solicite la desactivación del antivirus.  



No hace clic en los popups (ventanas emergentes) que aparecen en los navegadores. Si el navegador web le avisa de que una página no es segura, abandónela inmediatamente



No aceptar ni abrir fotos o archivos recibidos de desconocidos por ninguna vía, ya sea email, Messenger, etc.



Utiliza el escáner de antivirus siempre antes de manipular cualquier archivo recibido, incluso aunque provenga de fuentes fiables como contactos del trabajo o amigos.

LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA MANIPULACIÓN DE UN USUARIO. RIESGO EFECTOS PROPUESTA Divulgación indebida de  incumplimiento de  establecer normas para información sensible o

confidencial, de forma accidental o bien, sin autorización. Modificación sin autorización o bien, de forma accidental, de información crítica, sin conocimiento de los propietarios. Pérdida de información importante sin posibilidad de recuperarla. No tener acceso o disponibilidad de la información cuando sea necesaria





 

confidencialidad e integridad de la información Ausencia de transferencia de conocimiento y falta de  capacitación Acciones no adecuadas en el tratamiento de los activos de información e informáticos Daño de documentos y  deterioro del papel. No existen transición de  protocolo de IP

la transición de IPv4 a IPv6 debido a que todos los equipos informáticos de la entidad soportan la nueva versión de IP Invertir en un software o sistema de información para el almacenamiento y consulta de la documentación física existente Adquisición de una nube para almacenamiento de información. Crear cuentas de usuario con claves

LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO. RIESGO EFECTOS PROPUESTA Gastos innecesarios en reimpresiones



Concientizar a los empleados



Alternativas de almacenamiento



Configurar la impresora



Reutilizar el papel

Genera gastos de papel y tinta y energía No contribuir a medio ambiente

Documentos que se quedan Perdida de documentos que  a la salida de la impresora: pueden ser confidenciales o tener información privada  de la empresa o los mismos clientes, éstos pueden acabar cayendo en malas 

controlar las personas que imprimen los documentos Estarán protegidos por el cortafuegos de la empresa; estarán incluidos en las

Modificar parámetros de la seguridad de las impresoras

Usuarios y autorizado

acceso

manos, con todo lo que ello supone. Dispositivo expuesto a manipulaciones, que conllevarían impresiones  falsificadas o en una reducción a propósito de medidas de seguridad que faciliten ataques concretos. 

no sustracción de todo tipo de documentos 

Impresiones por wifi ataque y robos de información 

Intercepción de datos que se envían



 Ataque procedente del exterior de la empresa



políticas de seguridad que aplican al resto de sistemas informáticos y equipos de red; estarán conectados a un servidor de colas de impresión que las gestione, configure y audite adecuadamente de forma centralizada; contarán con un servicio de impresión segura, protegiendo mediante autenticación de usuario o PIN la impresión de los documentos, esto impedirá la pérdida de documentos impresos; no tendrán acceso directo a internet sin pasar por el cortafuegos de red corporativo, ni siquiera para tareas de mantenimiento por parte del servicio de soporte; el acceso a la interfaz de configuración web de la impresora se hará de forma cifrada (https), únicamente por personal autorizado; se cambiarán los usuarios y contraseñas por defecto que puedan llevar configuradas de fábrica se desactivarán los puertos de comunicaciones y servicios web que no sean necesarios o no se estén utilizando, como el puerto USB, servidor FTP, correo electrónico, fax, etc.; se mantendrá actualizado el firmware para





solucionar las posibles vulnerabilidades de seguridad detectadas; si la impresora es muy antigua y no dispone de soporte, se debe sustituir por otra más segura o desconectarla de la red; se cifrarán las comunicaciones con los equipos clientes para proteger el envío de la documentación confidencial; si la impresora se conecta a la wifi, se extremarán las precauciones en la

BIOGRAFÍAS

https://tecnologia-facil.com/como-hacer/prevenir-accesos-no-autorizados-pc/ http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02%20PLAN%20DE %20GESTION%20DEL%20RIESGO%20EN%20SPI.pdf https://www.incibe.es/protege-tu-empresa/blog/como-puedo-prevenir-fuga-informacion-dentroempresa https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidasciberseguridad https://login.ezproxy.uniminuto.edu/login