CONTADURÍA PÚBLICA Auditoría de sistemas Unidad 2 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS Usted es invitado a que haga
Views 151 Downloads 1 File size 136KB
CONTADURÍA PÚBLICA Auditoría de sistemas Unidad 2 CONTROL INTERNO EN AUDITORÍA DE SISTEMAS Usted es invitado a que haga una propuesta de auditoría de sistemas a una empresa que se dedica a la comercialización de productos de aseo; para entender el alcance de la auditoría, usted se entrevista con el representante legal de la empresa, quien le manifiesta sus preocupaciones de la siguiente forma: Somos una empresa nueva, llevamos 4 años en el mercado con un excelente resultado comercial y financiero, iniciamos comercializando productos en una oficina en la que laborábamos cinco personas, un asistente contable y financiero, dos ejecutivos comerciales, un almacenista y yo, como gerente. Hoy en día somos un equipo de 18 personas, dos en contabilidad, una dedicada a las actividades administrativas, un almacenista, cinco ejecutivos comerciales y nueve personas en logística. Mi preocupación radica en que yo quiero seguir creciendo, pero hay mucho desorden en los procesos y tengo la dificultad que cuando requiero información, no logro tenerla a tiempo. En la actualidad, tenemos un sistema contable y cada trabajador administrativo y el almacenista tienen asignado un equipo de cómputo, pero no se ha estabilizado el tránsito de la información. El computador del almacén se ha dañado tres veces en dos años. Manejamos la información de inventarios en Excel y en varias ocasiones he recibido archivos con errores. La respuesta de los trabajadores es que alguien debe cambiarles su archivo. Hace unos días necesité una orden de compra de diciembre del año pasado, la cual estaba en el equipo de la asistente administrativa y la respuesta que me dio fue que el archivo se le perdió.
En dos años he cambiado tres veces de proveedor de Internet, servicio que nunca funciona; a la red que tiene 20 gigas de velocidad se conectan los 19 equipos de cómputo y 19 dispositivos móviles, pero parecen insuficiente; todos nos conectamos por WIFI.
Con esta información, usted se dispone a hacer la visita preliminar para observar e identificar riesgos; en su visita comprueba las siguientes condiciones: 1. Los equipos de cómputo están ubicado frente a las ventanas por lo que todo el día están expuestos al sol y, en algunas ocasiones, a salpicaduras de agua. 2. Los trabajadores consumen alimentos sobre sus equipos de cómputo. 3. Los computadores no están configurados con claves de usuario ni de administrador para acceder, cada usuario es administrador de su equipo y puede realizar las acciones que desee en él, cualquier usuario puede prender un computador o tener acceso a la información que se almacena. 4. Ningún computador tiene clave de ingreso, en los cuatro años que lleva la empresa nunca se ha realizado una copia de seguridad de los archivos ofimáticos, para el caso del programa de contabilidad, este realiza de manera automática la copia de seguridad y la almacena en el mismo servidor, pero ninguna de estas copias reposa fuera de la máquina. 5. En cuanto al uso del Internet se detecta que los usuarios tienen libre acceso a diversas páginas y a las redes sociales en el horario laboral; a la hora de la inspección, la mayoría de quienes manejan los equipos se encontraban navegando en YouTube. 6. Para acceder al software contable, los usuarios se identifican con usuario y contraseña; sin embargo, se evidencia que existen cuatro usuarios en el sistema y solo dos trabajadores habilitados para trabajar, no se logra establecer quién hace uso de los dos usuarios desconocidos. 7.
A la hora de la auditoría, se detecta que el asistente contable trabaja con el usuario contador el cual le fue prestado, los usuarios nunca han cambiado sus usuarios y contraseñas.
8.
No existen restricciones de horas para trabajar y los usuarios pueden imprimir, reimprimir y extraer archivos planos sin restricción alguna.
9. En lo referente a los procesos, los dos usuarios pueden modificar borrar y eliminar archivos sin restricción alguna, pero el computador identifica el tipo de modificación, la hora y el responsable.
solución ANÁLISIS DEL CASO CONTROL INTERNO EN AUDITORÍA DE SISTEMAS Teniendo en cuenta la información suministrada por el representante legal la empresa posee un alto riesgo de amenazas y vulnerabilidad frente al uso de los sistemas informáticos pues si bien hoy en día la tecnología ha logrado grandes aportes a la empresa también es cierto que es necesarios asumir varios tipos de seguridad y prevención frente al mal uso ya sea por equivocación o mal intencionado de los mismos empelados. Ya que esto puede ocasionar desde el error más insignificante como hasta la pérdida del patrimonio. 1. Identificando los riesgos a los que se encuentra expuesta la empresa en su sistema informático, encontramos: a) Los riesgos del control interno específicamente: Los equipos de cómputo están expuesto al sol y salpicaduras de lluvia Residuos de Alimentos en los teclados No están protegidos con un usuario ni clave No hay copia de seguridad desde hace 4 años Libre acceso a las diferentes redes sociales en horas laborales Varios usuarios y clave para acceder al software contable La contadora y asistente comparten la misma clave y usuario La red de internet implementada no es la más adecuada b) Los riesgos de ingreso a los sistemas informáticos y autenticación Virus informáticos o código malicioso Uso no autorizado de Sistemas Informáticos Robo de Información Fraudes basados en el uso de computadores Suplantación de identidad Ataques de Fuerza Bruta Alteración de la Información
Divulgación de Información Sabotaje, vandalismo Espionaje
c) Los riesgos a los que la información se expone por la manipulación de un usuario. Divulgación indebida de información sensible o confidencial, de forma accidental o bien, sin autorización. Modificación sin autorización o bien, de forma accidental, de información crítica, sin conocimiento de los propietarios. Pérdida de información importante sin posibilidad de recuperarla. No tener acceso o disponibilidad de la información cuando sea necesaria d) Los riesgos que puede surgir de la impresión, reimpresión y extracción de bases de datos de un sistema informático. Gastos innecesarios en reimpresiones No contribuir a medio ambiente por el gasto inoficioso de papel Documentos que se quedan en la salida de la impresora hay que tener en cuenta que estos documentos pueden ser confidenciales o tener información privada de la empresa o los mismos clientes Ataque procedente del exterior de la empresa Usuarios y acceso no autorizado (sustracción de todo tipo de documentos) Intercepción de datos que se envían (impresiones por wifi ataque y robos de información) Modificar por parte de los usuarios los parámetros de seguridad de las impresoras (impresiones falsificadas) 2. Clasifique los riesgos en los siguientes procesos: entrada a los sistemas informáticos, procesos a los sistemas informáticos salida de información de los sistemas informáticos. 3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de control interno que implantaría para mejorar la situación de seguridad en la empresa en cada uno de los riesgos identificado.
PLAN DE PROPUESTA PARA LOS RIESGOS INFORMÁTICOS IDENTIFICADOS
Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las fuentes de riesgos potenciales Como primera medida se deben establecer políticas de seguridad dentro de la empresa que permitan proteger la información, garantizar su confidencialidad y reglamentar su uso y el del sistema por el cual se accede a la misma, Mitigar el riesgo de pérdida, deterioro o acceso no autorizado. Además de la información, en las políticas de seguridad informática se incluyen elementos como el hardware, el software y los empleados; se identifican posibles vulnerabilidades y amenazas externas e internas; y se establecen medidas de protección y planes de acción ante una falla o un ataque. También Capacitar al personal para el cumplimiento de procesos y actividades de seguridad de la información.
LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE RIESGO EFECTOS PROPUESTA Los equipos de cómputo Corrosión están expuesto al sol y Resistencia eléctrica o la Reubicar los equipos de cómputo que no tenga salpicaduras de lluvia conductividad térmica exposición directa a Cortocircuitos líquidos, salpicaduras, o ambientes con excesiva humedad. Asimismo, se recomienda los cambios bruscos de temperatura y esperar a que los sistemas se
aclimaten encenderlos (portátiles)
Los mandos no responden Las teclas se pegan Residuos de Alimentos en Atraer plaga (hormigas, los teclados cucarachas que dañas las plaqueta y cableado) Sustracción de información confidencial No están protegidos con un Cualquier empelado usuario ni clave puede usarlo y realiza modificaciones Descargar virus
No hay copia de seguridad desde hace 4 años
Libre acceso a las diferentes redes sociales en horas laborales
Perdida de archivos ya sean eliminados por error y provocado Perdida de información por catástrofe
Posible pérdida información. Virus
antes de de nuevo
Se recomienda hacer la limpieza del equipo con pañuelos, cepillos y sobre todo prohibir el consumo de alimentos y líquidos sobre los equipos, destinar un área de alimentación en horas específicas. Se recomienda que en cada puesto de trabajo del área administrativa tenga un usuario y clave de acceso para el uso de su computadora Se pueden hacer respaldos físicos (que deben ser cambiados cada cierto tiempo), en la nube o una combinación de ambas. Preferiblemente que se cuente con una alternativa que se haga de manera automática y periódica. encriptar los Backus con una contraseña, en caso de que quiera cuidar información confidencial.
de
Sistema de cifrado para envió y recepción de información
Varios usuarios y clave para acceder al software contable
Modificaciones archivos o al sistema
a
Señal débil en diferentes áreas de empresa. Retraso en tiempos producción para funcionarios.
las la
La contadora y asistente comparten la misma clave y usuario. La red de internet implementada no es la más adecuada
cifrar contraseñas de usuario, datos personales y financieros, llamadas, lista de contactos, el acceso a páginas web y al correo electrónico y conexiones a terminales remotos, entre otros
Implantar un modelo de red basado en cableado de estructurado. los
LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y AUTENTICACIÓN RIESGO EFECTOS PROPUESTA Usuario y contraseña sabotaje informático (suprimir o Asignación de una dirección Uso no autorizado modificar sin autorización IP privada. de Sistemas funciones o datos de Utilización de un firewall Informáticos computadora con intención de para restringir la obstaculizar el transmisión. Robo de funcionamiento normal del Especificación de la Información sistema) comunicación cifrada TLS. Fraude informático que supone Configuración de un PIN el cambio de datos o para gestionar información almacenada en la impresora. informaciones contenidas en la computadora en cualquier actualizados los programas antivirus y firewall fase de su procesamiento o tratamiento informático, en el personal capacitado en conocer e identificar que media ánimo de lucro y amenazas que hayan sido genera perjuicio a terceros. enviadas por email espionaje informático o fuga de
Fraudes basados en el uso de computadores
Suplantación identidad
de
Uso de dispositivos móviles
Espionaje
Alteración de Información
la
Divulgación Información
de
Virus informáticos o código malicioso
datos que consiste en obtener no autorizadamente datos almacenados en un fichero automatizado, en virtud de lo cual se produce la violación de la reserva o secreto de sistema dea información Instalación de deunmalwares través de descarga de aplicaciones Ataque a los celulares por medio de ‘ransomware’, una técnica con la que los atacantes secuestran la información del dispositivo a cambio de una recompensa económica. Daño de imagen. Genera un impacto negativo de la entidad y lleva implícita la pérdida de confianza. Consecuencias legales. Podrían conllevar sanciones económicas o administrativas. Consecuencias económicas. Estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc. Instalación de virus que nos ralentiza el ordenador, hacernos perder información (o,
Se recomienda instalar un antivirus en los dispositivos móviles. evitar páginas y aplicaciones con contenido no seguro y hacer copias de seguridad de forma periódica.
Ingreso de usuarios y claves cifrado de la información confidencial corporativa instalación, configuración y actualización de cortafuegos mantener actualizadas todas las aplicaciones de nuestros sistemas, etc. Sanciones jurídicas y económicas
Instala un buen antivirus en los equipos y actualizarlo de
forma permanente.
directamente, robárnosla para usos ilícitos y peligrosos)
No aceptar software de ningún tipo cuyo origen se desconozca, y que solicite la desactivación del antivirus.
No hace clic en los popups (ventanas emergentes) que aparecen en los navegadores. Si el navegador web le avisa de que una página no es segura, abandónela inmediatamente
No aceptar ni abrir fotos o archivos recibidos de desconocidos por ninguna vía, ya sea email, Messenger, etc.
Utiliza el escáner de antivirus siempre antes de manipular cualquier archivo recibido, incluso aunque provenga de fuentes fiables como contactos del trabajo o amigos.
LOS RIESGOS A LOS QUE LA INFORMACIÓN SE EXPONE POR LA MANIPULACIÓN DE UN USUARIO. RIESGO EFECTOS PROPUESTA Divulgación indebida de incumplimiento de establecer normas para información sensible o
confidencial, de forma accidental o bien, sin autorización. Modificación sin autorización o bien, de forma accidental, de información crítica, sin conocimiento de los propietarios. Pérdida de información importante sin posibilidad de recuperarla. No tener acceso o disponibilidad de la información cuando sea necesaria
confidencialidad e integridad de la información Ausencia de transferencia de conocimiento y falta de capacitación Acciones no adecuadas en el tratamiento de los activos de información e informáticos Daño de documentos y deterioro del papel. No existen transición de protocolo de IP
la transición de IPv4 a IPv6 debido a que todos los equipos informáticos de la entidad soportan la nueva versión de IP Invertir en un software o sistema de información para el almacenamiento y consulta de la documentación física existente Adquisición de una nube para almacenamiento de información. Crear cuentas de usuario con claves
LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO. RIESGO EFECTOS PROPUESTA Gastos innecesarios en reimpresiones
Concientizar a los empleados
Alternativas de almacenamiento
Configurar la impresora
Reutilizar el papel
Genera gastos de papel y tinta y energía No contribuir a medio ambiente
Documentos que se quedan Perdida de documentos que a la salida de la impresora: pueden ser confidenciales o tener información privada de la empresa o los mismos clientes, éstos pueden acabar cayendo en malas
controlar las personas que imprimen los documentos Estarán protegidos por el cortafuegos de la empresa; estarán incluidos en las
Modificar parámetros de la seguridad de las impresoras
Usuarios y autorizado
acceso
manos, con todo lo que ello supone. Dispositivo expuesto a manipulaciones, que conllevarían impresiones falsificadas o en una reducción a propósito de medidas de seguridad que faciliten ataques concretos.
no sustracción de todo tipo de documentos
Impresiones por wifi ataque y robos de información
Intercepción de datos que se envían
Ataque procedente del exterior de la empresa
políticas de seguridad que aplican al resto de sistemas informáticos y equipos de red; estarán conectados a un servidor de colas de impresión que las gestione, configure y audite adecuadamente de forma centralizada; contarán con un servicio de impresión segura, protegiendo mediante autenticación de usuario o PIN la impresión de los documentos, esto impedirá la pérdida de documentos impresos; no tendrán acceso directo a internet sin pasar por el cortafuegos de red corporativo, ni siquiera para tareas de mantenimiento por parte del servicio de soporte; el acceso a la interfaz de configuración web de la impresora se hará de forma cifrada (https), únicamente por personal autorizado; se cambiarán los usuarios y contraseñas por defecto que puedan llevar configuradas de fábrica se desactivarán los puertos de comunicaciones y servicios web que no sean necesarios o no se estén utilizando, como el puerto USB, servidor FTP, correo electrónico, fax, etc.; se mantendrá actualizado el firmware para
solucionar las posibles vulnerabilidades de seguridad detectadas; si la impresora es muy antigua y no dispone de soporte, se debe sustituir por otra más segura o desconectarla de la red; se cifrarán las comunicaciones con los equipos clientes para proteger el envío de la documentación confidencial; si la impresora se conecta a la wifi, se extremarán las precauciones en la
BIOGRAFÍAS
https://tecnologia-facil.com/como-hacer/prevenir-accesos-no-autorizados-pc/ http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02%20PLAN%20DE %20GESTION%20DEL%20RIESGO%20EN%20SPI.pdf https://www.incibe.es/protege-tu-empresa/blog/como-puedo-prevenir-fuga-informacion-dentroempresa https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidasciberseguridad https://login.ezproxy.uniminuto.edu/login