Actividad 2

Control interno en la auditoría de sistemas parte 1: análisis de caso

Presentado por:
Cristian Eduardo Tovar ID. 636823
Diana Maria Bautista Escobar ID. 635606
Diana Paola Pinchao Paramo ID.382190
Juan Manuel Muñoz ID. 638713
Laura Sofia González ID. 614597
Yesenia Polanco Meza ID. 632328

Corporación Universitaria Minuto de Dios “UNIMINUTO”

Facultad Ciencias Económicas
Programa Contaduría Pública
Neiva
2021
 Actividad 2

Control interno en la auditoría de sistemas parte 1: análisis de caso

Presentado A:
Saín Solano Fierro
Auditoria de Sistemas
NRC. 9883

Corporación Universitaria Minuto de Dios “UNIMINUTO”

Facultad Ciencias Económicas
Programa Contaduría Pública
Neiva
2021
 Actividad 2
CONTROL INTERNO EN LA AUDITORIA DE SISTEMAS

Actualmente, las grandes, medianas y pequeñas empresas realizan auditorias para revisar la
eficiencia y eficacia de procesos y productos. Para gestionarlos, existen algunas pautas,
métodos y técnicas aplicadas en la organización para evitar la proliferación, amenazas y
vulnerabilidades. Así que toda organización debería tratar el proceso de auditoría como
información importante para identificar posibles problemas y riesgos que puedan surgir,
producir y contribuir de esta forma para que la organización pueda obtener resultados
favorables. Por lo tanto, en organizaciones pequeñas y medianas, en los últimos años, la
implementación de medidas de control ha permitido a la organización mejorar trámites y
requisitos comerciales, mantenimiento y protección.
 ¿ENCUENTRA UTIL O INUTIL RESTRINGIR CON CONTRASEÑA EL
ACCESODE LOS COMPUTADORES DE LA COMPAÑÍA?
Partiendo del principio de confidencialidad, y considerando que la información es el activo
más importante de cualquier organización, una empresa que se considere útil con un alto grado
de seguridad en las siguientes circunstancias no solo debe asegurar el uso correcto de los
equipos, sino también asegurar que se obtiene a través del resultado del ejercicio adecuado.
 ¿CUAL ES LA IMPORTANCIA DE MANTENER UN PROCEDIMIENTO
DECLAVES CONFIDENCIALES EN EL ACCESO A LOS SISTEMAS
DECOMPUTO?
La importancia de mantener programas de contraseñas confidenciales para acceder a los
sistemas informáticos es garantizar la confiabilidad, puntualidad, precisión y adecuación de la
información utilizada para la recopilación y procesamiento de datos, la publicación de
resultados y el almacenamiento de información. Otro aspecto muy importante es monitorear el
funcionamiento de la información que será procesada en el sistema y establecer las medidas
necesarias para controlar su acceso y niveles de uso para evitar un uso indebido del sistema. Se
resisten los intereses de terceros en la organización, y se provocan errores en el proceso de
tratamiento de los datos o cualquier otro aspecto relacionado con el normal funcionamiento de
la empresa.
 ¿CUAL ES LA IMPORTANCIA DE REDUCIR PRIVILEGIOS EN UN SISTEMA
DEINFORMACIÓN?
La importancia de reducir los privilegios de un sistema de información es mantener la
confidencialidad, seguridad y control para evitar posibles manipulaciones, negligencias, robos
y otros actos delictivos que afecten su gestión.
Considerando la información facilitada por el representante legal, la empresa necesita la
seguridad de sus recursos informáticos, del personal, de la información, de sus programas. Esto
se puede lograr a través de medidas preventivas o correctivas, o mediante el diseño de programas
de prevención de contingencias para la disminución de riesgos.

a. Los riesgos del control interno específicamente.

 Riesgo en seguridad física, los equipos de cómputo están expuesto al sol y

salpicaduras de lluvia, Los trabajadores consumen alimentos sobre sus equipos de
cómputo.
 Riesgo en Seguridad lógica, los bienes intangibles de los centros informáticos,
tales como software (aplicaciones, sistemas operativos y lenguajes) expuestos
robos de información.
 Seguridad bases de datos desprotegida, equipos sin usuarios ni claves, cualquiera
puede acceder a ellos.
 Riesgo en la seguridad de las telecomunicaciones, cada usuario es administrador
de su equipo y puede realizar las acciones que desee en él, puede este instalar o
desinstalar el programa que quiera.
 Riesgo en la seguridad de redes. Llevan cuatro años que la empresa nunca ha
realizado una copia de seguridad de los archivos ofimáticos, no se realizan copias
de seguridad en la nube o disco duros.

b. Los riesgos de ingreso a los sistemas informáticos y su autenticación.

Los riesgos de ingreso a los sistemas informáticos se pueden reunir en cuatro amplias categorías:
factores humanos (accidentales, errores); Fallos en los sistemas de procesamiento de
información; Desastres naturales y; Actos maliciosos o maliciosos; algunas de estas amenazas
son:

 Virus informáticos o código malicioso.

 Uso no autorizado de Sistemas Informáticos.
 Robo de Información.
 Fraudes basados en el uso de computadores.
 Suplantación de identidad.
 Alteración de la Información.
 Divulgación de Información.
 Desastres Naturales.
 Sabotaje, vandalismo.
  Espionaje.

c. Los riesgos a los que la información se expone por la manipulación de un usuario.

La empresa está expuesta a la pérdida de información importante para la operación por no

tener control sobre la asignación de personal autorizado a ingresar la información en el
sistema, es de gran importancia que cada trabajador con experiencia y autorizado han
establecido un nombre de usuario y contraseña, con el fin de mantener un control y
seguimiento de la información ingresada.

 Modificación sin autorización o bien, de forma accidental, de información crítica,

sin conocimiento de los propietarios.
 Pérdida de información importante sin posibilidad de recuperarla.
 No tener acceso o disponibilidad de la información cuando sea necesaria.

d. Los riesgos que pueden surgir de la impresión, reimpresión y extracción de bases de

datos de un sistema informático.
Cuando imprimimos un documento, debemos tener en cuenta que algunos de estos Los
documentos pueden volverse confidenciales o contener información privada del empresa o
clientes. Pueden caer en "malas manos" con lo que eso significa. Esto es un riesgo grave para
la empresa, que posteriormente deberá aclarar responsabilidades. Al controlar los costos de
impresión, también puede controlar a las personas que imprima los documentos, de modo
que los empleados tengan mucho cuidado de realizar multa su trabajo de impresión.

 Usuarios y acceso no autorizado (sustracción de todo tipo de documentos)

 Intercepción de datos que se envían (impresiones por wifi ataque y robos de
información).
 Modificar por parte de los usuarios los parámetros de seguridad de las impresoras
(impresiones falsificadas).

2. Clasifique los riesgos en los siguientes procesos: entradas a los sistemas informáticos,
procesos a los sistemas informáticos y salidas de información de los sistemas
informáticos.
  Verificar la existencia y funcionamiento de los procedimientos de captura de datos.
 Comprobar que todos los datos sean debidamente procesados.
 Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.
 Comprobar la suficiencia en la emisión de información.
 controles necesarios para delimitar el nivel de acceso de los usuarios y personal al área de
sistemas, estableciendo los privilegios, modos de entrada, forma de uso del sistema y
otras características, para el control de los usuarios.
 limitación de procedimientos de acceso, pasando por el establecimiento de claves de
acceso (password) hasta limitar el uso de programas e información.
 Prevenir las repercusiones de posibles amenazas, riesgos y contingencias en las áreas de
un centro de cómputo identificando aquellos elementos que pueden influir en la seguridad
de sus instalaciones, de sus programas, de la información que se maneja en ellos y del
personal que los opera. Esto ayudará a identificar las eventualidades que pueden llegar a
presentarse en dicha área.

3. Después del análisis hecho, elabore una propuesta que contenga los procedimientos de
control interno que implantaría para mejorar la situación de seguridad en la empresa en
cada uno de los riesgos identificado.

LOS RIESGOS DEL CONTROL INTERNO ESPECÍFICAMENTE

RIESGO EFECTOS PROPUESTA

Reubicar los equipos de

cómputo que no tenga
exposición directa a líquidos,
Corrosión salpicaduras, o ambientes con
Los equipos de cómputo excesiva humedad.
Resistencia eléctrica o la
están expuesto al sol y Asimismo, se recomienda los
conductividad térmica
salpicaduras de lluvia cambios bruscos de
Cortocircuitos temperatura y esperar a que
los sistemas se aclimaten
antes de encenderlos de
nuevo (portátiles)

Residuos de Alimentos en los Los mandos no responden Se recomienda hacer la

teclados Las teclas se pegan limpieza del equipo con
Atraer plaga (hormigas, pañuelos, cepillos y sobre
cucarachas que dañas las todo prohibir el consumo de
plaqueta y cableado) alimentos y líquidos sobre los

Sustracción de información
confidencial
No están protegidos con un  Cualquier empelado
usuario ni clave puede usarlo y realiza
modificaciones
 Descargar virus
 Perdida de archivos ya
sean eliminados por error
No hay copia de seguridad
y provocado
desde hace 4 años
 Perdida de información
por catástrofe
equipos, destinar un área de
alimentación en horas
específicas.
Se recomienda que en cada
puestos de trabajo del área
administrativa tenga un
usuario y clave de acceso
para el uso de su
computadora
 Se pueden hacer respaldos
físicos (que deben ser
cambiados cada cierto
tiempo), en la nube o una
combinación de ambas.
Preferiblemente que se
cuente con una alternativa
que se haga de manera
automática y periódica.
 encriptar los backups con
una contraseña, en caso de
que quiera cuidar
información confidencial.

Libre acceso a las diferentes

redes sociales en horas
 Sistema de cifrado para
laborales
envió y recepción de
información
 Posible pérdida de  cifrar contraseñas de
información. usuario, datos personales
 Virus y financieros, llamadas,
Varios usuarios y clave para
 Modificaciones a lista de contactos, el
acceder al software contable
archivos o al sistema acceso a páginas web y al
correo electrónico y
conexiones a terminales
remotos, entre otros
La contadora y asistente
comparten la misma clave y
el mismo usuario.
La red de internet  Señal débil en las Implantar un modelo de red
implementada no es la más diferentes áreas de la basado en cableado
adecuada estructurado.
 empresa.
 Retraso en tiempos de
producción para los
funcionarios.

LOS RIESGOS DE INGRESO A LOS SISTEMAS INFORMÁTICOS Y

AUTENTICACIÓN
RIESGO EFECTOS PROPUESTA
 Usuario y contraseña
 Asignación de una dirección
Uso no autorizado de IP privada.
sabotaje informático (suprimir o
Sistemas Informáticos
modificar sin autorización  Utilización de un firewall
funciones o datos de para restringir la
computadora con intención de transmisión.
obstaculizar el  Especificación de la
funcionamiento normal del comunicación cifrada TLS.
sistema)  Configuración de un PIN
para gestionar información
Fraude informático que supone
almacenada en la impresora.
el cambio de datos o
Robo de Información  actualizados los programas
informaciones contenidas en
antivirus y firewall
la computadora en cualquier
 personal capacitado en
fase de su procesamiento o
conocer e  identificar
tratamiento informático, en el amenazas que hayan sido
que media ánimo de lucro y enviadas por email
genera perjuicio a terceros.
spionaje informático o fuga de
datos que consiste en obtener
no autorizadamente datos
almacenados en un fichero
Fraudes basados en el
automatizado, en virtud de lo
uso de computadores
cual se produce la violación
de la reserva o secreto de
información de un sistema de
tratamiento automatizado de
la misma
Suplantación de
identidad
  Instalación de malwares a
 Se recomienda instalar
través de descarga de
un antivirus en los
aplicaciones
dispositivos móviles.
 Ataque a los celulares por
 evitar páginas y
Uso de dispositivos medio de ‘ransomware’, una
aplicaciones con
móviles técnica con la que los
contenido no seguro
atacantes secuestran la
 y hacer copias de
información del dispositivo
seguridad de forma
a cambio de una
periódica.
recompensa económica.
 Daño de imagen. Genera
un impacto negativo de la
Espionaje entidad y lleva implícita
la pérdida de confianza.  Ingreso de usuarios y claves
 Consecuencias  cifrado de la
legales. Podrían conllevar información confidencial
sanciones económicas o corporativa
administrativas.  instalación, configuración y
Alteración de la  Consecuencias actualización
Información económicas. Estrechamente de cortafuegos
relacionadas con las mantener actualizadas todas
anteriores, se encuentran las aplicaciones de nuestros
dentro de aquellas que sistemas, etc.
suponen un impacto  Sanciones jurídicas y
negativo a nivel económicas
Divulgación de
económico, con una
Información disminución de la
inversión, negocio, etc.
Virus informáticos o Instalación de virus que nos  Instala un buen antivirus en
código malicioso ralentiza el ordenador, hacernos los equipos y actualizarlo de
perder información (o, forma permanente.
directamente, robárnosla para
 No aceptar software de
usos ilícitos y peligrosos)
ningún tipo cuyo origen se
desconozca, y que solicite la
desactivación del antivirus.  

 No hace clic en los pop-

ups (ventanas emergentes)
que aparecen en los
navegadores. Si el navegador
web le avisa de que una
página no es segura,
 abandónela inmediatamente

 No aceptar ni abrir fotos

o archivos recibidos de
desconocidos por ninguna
vía, ya sea email, Messenger,
etc.

 Utiliza el escáner de
antivirus siempre antes de
manipular cualquier archivo
recibido, incluso aunque
provenga de fuentes fiables
como contactos del trabajo o
amigos.

LOS RIESGOS QUE PUEDE SURGIR DE LA IMPRESIÓN, REIMPRESIÓN Y

EXTRACCIÓN DE BASES DE DATOS DE UN SISTEMA INFORMÁTICO.
RIESGO EFECTOS PROPUESTA

Gastos innecesarios en  Concientizar a los

reimpresiones empleados

 Alternativas de
almacenamiento
Genera gastos de papel y tinta
y energía
 Configurar la
No contribuir a medio impresora
ambiente

 Reutilizar el papel

Documentos que se quedan a Perdida de documentos que 
la salida de la impresora: pueden ser confidenciales o
tener información privada de 
la empresa o los mismos
clientes, éstos pueden acabar 
cayendo en malas manos, con
controlar las personas que
imprimen los documentos
Estarán protegidos por el
cortafuegos de la empresa;
estarán incluidos en las
políticas de seguridad que

Modificar parámetros de la
seguridad de las impresoras
Usuarios y acceso no sustracción de todo tipo de
autorizado
Intercepción de datos que se
envían
Ataque procedente del
exterior de la empresa
todo lo que ello supone. aplican al resto de
Dispositivo expuesto a sistemas informáticos y
manipulaciones, que equipos de red;
conllevarían impresiones  estarán conectados a un
falsificadas o en una servidor de colas de
impresión que las
reducción a propósito de gestione, configure y
medidas de seguridad que audite adecuadamente de
faciliten ataques concretos. forma centralizada;
 contarán con un servicio
de impresión segura,
protegiendo mediante
autenticación de usuario o
PIN la impresión de los
documentos, esto impedirá
documentos la pérdida de documentos
impresos;
 no tendrán acceso directo
a internet sin pasar por el
cortafuegos de red
corporativo, ni siquiera
Impresiones por wifi ataque y para tareas de
mantenimiento por parte
robos de información
del servicio de soporte;
 el acceso a la interfaz de
configuración web de la
impresora se hará de
forma cifrada (https),
únicamente por personal
autorizado;
 se cambiarán los usuarios
y contraseñas por defecto
que puedan llevar
configuradas de fábrica
 se desactivarán los puertos
de comunicaciones y
servicios web que no sean
necesarios o no se estén
utilizando, como el puerto
USB, servidor FTP, correo
electrónico, fax, etc.;
 se mantendrá actualizado
el firmware para
solucionar las posibles
vulnerabilidades de
seguridad detectadas; si la
 impresora es muy antigua
y no dispone de soporte,
se debe sustituir por otra
más segura o
desconectarla de la red;
 se cifrarán las
comunicaciones con los
equipos clientes para
proteger el envío de la
documentación
confidencial;
 si la impresora se conecta
a la wifi, se extremarán las
precauciones en la
configuración de la wifi
para proteger el acceso
inalámbrico
 se cifrará el contenido de
sus discos duros internos
para proteger la
información
almacenada en ellos, y se
procederá a realizar
un borrado seguro del
mismo cuando se sustituya
o deseche el dispositivo o
su disco duro de
almacenamiento

Referencias Bibliográficas
 Carlos Muñoz Razo. (2002). Auditoría en sistemas computacionales. México : Pearson
Educación.
 Lázaro J. Blanco Encinosa, and Deborah Prats López. (2005). Auditoría y sistemas
informáticos. La Habana: Félix Valera.
 http://www.ebooks7-24.com.ezproxy.uniminuto.edu/stage.aspx?il=5032&pg=&ed=
 https://ebookcentral.proquest.com/lib/bibliouniminutosp/reader.action?docID=3191643
 https://repository.uniminuto.edu/bitstream/handle/10656/2430/TCP_MartinezGomezFranciLili
ana_2012.pdf?sequence=1&isAllowed=y
 https://www.mineducacion.gov.co/1759/articles-400276_recurso_9.pdf
 https://repository.ucatolica.edu.co/bitstream/10983/16023/1/Trabajo%20de%20Grado
%20-%20Auditor%C3%ADa%20para%20evaluar%20el%20proceso.pdf