Análisis de control interno en auditoria de sistemas

Asignatura:

Auditoria de sistemas

Jeison Fernando Corredor ID:510796

Iván Hernando Trujillo ID: 685216

NRC: 3485

Tutor:

José Daver Martínez

1 de septiembre 2020
 Introducción

En el siguiente trabajo haremos un breve análisis de los posibles riesgos a los

cuales se ven enfrentadas las compañías en sus sistemas informáticos, siendo
uno de los grandes focos de ataques internos y externos, que en algunas
ocasiones logran filtrar información valiosa de la empresa para luego apoderarse
de dinero, clientes y estrategias de desarrollo. En algunas ocasiones las empresas
logran adquirir programas que los blindan de estos ataques y así garantizar un
manejo adecuado de su información.
1. Haga un listado en el cual se identifiquen los riesgos a los que se
encuentra expuesta la empresa en sus sistemas informáticos.

Antes de dar inicio a las posibles amenazas a las que se ve expuesta las

empresas debemos identificar que es un riesgo informático, el cual se entiende

como un estado de cualquier sistema que nos indique que ese sistema se
encuentra libre de peligro, daño o amenaza, lo cual se entiende como todo aquello
que pueda afectar su correcto funcionamiento.

a. Tipos de Riesgo:

Riesgo de Integridad: el cual comprende todos los riesgos asociados con

la autorización. Completitud y exactitud de la entrada, reportes y procesos de las

aplicaciones o herramientas en una organización

Riesgo de infrestructura:Esta comprende la poca estructura con la que

algunas compañias cuentan en sus sistemas de informacion y tegnologia,tales

como el software,harware,personal calificado y procesos establecidos.

Riesgo de Relacion:se refiere al uso eficaz de la informacion creada por

una aplicación,estos riesgos se relacionan directamente con la informacion de

toma deciones correctas.

Riesgos de acceso: se enfocan al inapropiado uso en el acceso de los

datos al sistema. En estos riesgos podemos abarcar los riesgos de segregacion

inapropiada de trabajo,riesgos asiciados con la integridad de la informacion de
sistemas de bases de datos,riesgos asociados a la confiabilidad de la de la
informacion.

Riesgo de utilidad, estos se dividen en tres diferentes niveles de riesgo:

Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes

que ocurran

La restauracion usada para minimizar la ruptura de los sistemas

Backus y planes de contingencia que conotrolan el procesamiento de la
informacion.

Riesgo de seguridad general:

Los estandares IEC 950 proporcionan los requisitos de diseño para lograr una
seguridad general.

Riesgos de choque de electricidad

Riesgos de ingcendio

Riesgo de radiaciones

Riesgos mecanicos

b. Los riesgos de ingreso a los sistemas informaticos y su autenticacion

Riesgo 1. Codificaion de las claves de acceso, toda entidad al momento de

realizar la creacion de sus claves de acceso debe tener en cuenta que estas esten
blindadas por una contraseña en lo posible una contraseña que brinde
seguridad,evitando que sean alfanumericas ya que estas aumentan el riesgo de
ser desifradas por algun intruso y este pueda aceder a los archivos de la
compañía, como pueden ser las entidades financieras,entidades del estado entre
otras,los cual puede generar unas perdidas inavaluables a la compañía.

Ataque informatico. Las compañias estan expuestas a estos ataques y por

esto deben contar unas aplicaciones de seguridad las cuales sean capaces de
resistir los diferentes tipós de ataques a los cuales se pueden enfrentar, existen
dos tipos de ataques.

Ataques por parte de Insiders: Son personas internas dentro de las

compañías que se encargan de utilizar sus permisos para alterar archivos o

registros.

Ataque por parte de Outsiders:Son personas externas a las compañías,

que por medio de la ingeniera social obtienen información como usuarios y claves
para acceder a los sistemas de las compañías.
c. Los riesgos a que la informacion se expone por manipulacion de los
usuarios

El acceso desmedio por el personal de ciertas areas,los cuales no son

controlados fasilmente y estos pueden llegar a convertirsen en amenaza en el

manejo de la informacion,debidoa a que pueden llegar a utilizar estas para
cometer fraudes y filtracion de informacion confidencial de la compañía.

Codigos malisiosos que tiene las aplicaciones o servicios que son

descargados por un usuario,para la instalacion en los dispositivos,con los

avances tegnologicos es muy facil que manos criminales por medio de solicitudes
falsas o falsas promociones logren acceder a la informacion de los dispositivos de
las compañias, por lo cual es muy importante que la entidad tenga politicas
establecidas en el uso de los medios informaticos, respecto a la descarga e
intalacion de diferentes aplicaciones y servicios.Los métodos más comunes de
ataque como phishing aún llegan a lograr el objetivo de hackear las contraseñas.
Se vuelve muy riesgoso para la compañía, ya que a menudo las credenciales y
contraseñas que sufren este ataque a menudo se vuelven a usar, lo que amplifica
el impacto de los mismos. Si el atacante logra obtener acceso a las credenciales
de la entidad pueden espiar sus transacciones, manipular datos, falsificar
información y redirigir a sus clientes a sitios ilegítimos.

d. Los riesgos que pueden surgir de la impresión y reimpresión y extracción

de una base de datos sistema informático

Las vulnerabilidades en los sistemas operativos pueden conducir al acceso no

autorizado a datos y la corrupción. Por otro lado, una gran amenaza que enfrenta
nuestra información digital es que intrusos cibernéticos intenten penetrar nuestros
sistemas en busca de datos de los que se pueda obtener valor económico. Una
gran cantidad de información patentada, como diseños e ideas para nuevos
productos, se almacena en los servidores de la empresa. La extracción de este
tipo de información es un riesgo que podría tener consecuencias desoladoras, la
perdida de información, y eliminación de archivos por manos criminales, se
pueden convertir en uno de los riegos más difíciles de controlar
2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas
informáticos, procesos a los sistemas informaticos, salidas de informacion
de los sistemas informativos.

Entradas a los sistemas informáticos: Es el proceso por el cual el sistema de

informacion toma los datos requeridos, las entradas pueden ser manuales o
automática.

Procesos a los sistemas informaticos: El sistema efectúa cálculos de acuerdo a

la secuencia preestablecida, esta informacion ayuda a la toma de decisiones para
una proyección de inversión.

Salidas de informacion de los sistemas informativos: Permite extraer

informacion procesada en el sistema de control de clientes, generando un manejo
de datos y seguimiento de actualización de los clientes.

De acuerdo a los riesgos establecidos se plantea como posibles soluciones

a) Establecer contraseñas de difícil acceso y que sean cambiadas periódicamente

b) Estar configurando los equipos de los colaboradores frecuentemente

c) Anti virus en protección de datos

d) Respaldar la informacion por medio de un servidor contratado a terceros

 Conclusión

Podemos identificar la necesidad que tiene las compañías en el manejo confiable

de la informacion, lo cual los obliga a adquirir programas que contraataquen el
posible riesgo informaticos y servicios de ciberseguridad.
Referencias