Controles Informáticos

Hans Godoy

Auditoria informática

Instituto IACC

05/11/2018
 Desarrollo

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los
proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se
detallan a continuación:
-Políticas y procedimientos de proveedores de servicios de TI.
-Levantamiento de todos los proveedores de servicios de TI.
-Revisión de contratos de proveedores de servicios de TI.
-Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
-Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la información y
continuidad de operaciones).
-Revisión de reportes enviados por los proveedores de servicios de TI a la Administración respecto al
cumplimiento de sus SLA (Service Level Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está aplicando.
Justifique su respuesta.
Se está aplicando la auditoría de gestión ya que se realiza un examen sistemático de las decisiones y
acciones de la administración para analizar el rendimiento. Se evalúala revisión de los aspectos de
gestión, como el objetivo organizacional, las políticas y procedimientos de proveedores, también el
sistema de control que permite comprobar la eficacia o rendimiento de la gestión de las actividades
dentro de la compañía. Dentro de esta auditoria se ve lo siguiente:

- Establecer el grado en que el ente y sus proveedores han cumplido adecuadamente los deberes
y atribuciones que les han asignado.
- Determinar si los objetivos y metas propuestas en la entidad han sido logrados.
- Comparar la adecuada utilización de los recursos de la entidad.
- Determinar si es adecuada la organización de la entidad.
- Emitir una opinión a través de un informe sobre la gestión realizada por una entidad.

Por eso la auditoría de Gestión es una evaluación de los métodos y las políticas de gestión de una
organización en la administración y el uso de los recursos, la planificación táctica y estratégica, y los
empleados y mejora de la organización. Auditoría de gestión se lleva a cabo generalmente por el
empleado de la empresa o por el independiente consultor y se centró en la evaluación crítica de la
gestión en equipo en lugar de valoración del individuo
2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría informática y
la auditoría general (financiera, operativa).
Auditoría informática
Diferencias - La auditoría informática es una
parte fundamental de la Seguridad
Computacional que permite medir
y controlar riesgos informáticos
que pueden ser aprovechados por
personas o sistemas ajenos a
nuestra organización o que no
deben tener acceso a nuestros
datos
- Su objetivo es evaluar la totalidad de lo
involucrado: informática, organización de
centros de información, hardware y
software
Semejanzas -Se puede decir que las dos auditorías
hacen el uso eficiente de recursos para que
soportan los objetivos y metas de la
organización para así proteger
adecuadamente los activos de la empresa.
Auditoría general (financiera,
operativa).
-Se encarga de revisar la razonabilidad
de la información presentada en los
estados financieros el informe está
basado en los principios contables y
presupuestarios generalmente
aceptados, las opiniones del auditor son
fácilmente previsibles y muy breves
- El auditor no formula, en general,
recomendaciones sobre la gestión de la
empresa, y si lo hace, tales
recomendaciones no se contienen en el
cuerpo del informe o son de alcance
limitado y sólo se refieren a la gestión
contable presupuestaria y de
cumplimiento legal, no considerándose
como la base del informe.
-Tanto la auditoría financiera como la
auditoría informática requieren que los
sistemas informáticos aplicados estén de
acorde a las necesidades de la
organización lo cual permitirá mantener
un control adecuado de la información
económica-financiera de la empresa.
3) Considere los siguientes enunciados:

a) “La política definida por la dirección de informática establece que todo usuario de la empresa, que
tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar cambios
periódicos de sus claves de acceso”.

b) “La política de seguridad de la compañía establece la utilización de software de control de acceso que
permita que solo el personal autorizado tenga acceso a archivos con información crítica”.

c) “El instructivo de funcionamiento de la empresa Compus Limitada determina que el administrador de

base de datos es el encargado de realizar los respaldos de todas las bases en el ambiente productivo, del
tipo incremental una vez por día, y del tipo full una vez a la semana”.

De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo, correctivo)
los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que
justifiquen su elección.

Caso “A”: Para este caso corresponde el tipo de control preventivo, ya que con el cambio
Constante de las claves de acceso y de difícil deducción (mezclar letras mayúsculas y minúsculas,
Números, símbolos y espacios) con esto minimizamos la posibilidad de que se vulnere el acceso a
Nuestra información y por ende a nuestra red quedando absolutamente expuesto a un robo de
información .
Caso “B”: Para este caso corresponde el tipo de control detectivo, debido a que con un software
De control de acceso, podemos determinar los niveles de privilegio del personal y determinar a
Qué tipo de información pueden acceder, además se establece una “bitácora” donde podemos
Saber si realizo cambio o actualización de información, que información extrajo y que tipo de
Salido utilizo (USB o impresión entro otras). De esta forma podemos fijar un mayor control y
Protección de nuestra información.
Caso “C”: Para este caso corresponde el tipo de control correctivo, al fijar una normativa de
Respaldo de la información (base de datos e información en general) minimizamos el impacto
Ante una eventualidad. A ante esto y al tener los respaldo almacenado en un dispositivo externos,
Y tener y mantener un equipo aislado con los sistemas previamente instalados, se levanta el
backup rápidamente minimizando en impacto en alguna línea de productividad y trabajo.
4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios
En el sistema SAP pertenecientes a personal desvinculado de la compañía”.
¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.

Como primera medida, es bloquear inmediatamente las cuentas de los usuarios que ya no
Pertenecen a la compañía, posterior hacer una revisión de las cuentas de las personas
Desvinculadas de la empresa y verificar si no han tenido movimientos que puedan haber afectado
La información y por ende haber causado inconvenientes en alguna línea de productividad, de
Haber ocurrido lo señalado se debe generar los ajustes necesarios para subsanar los
Inconvenientes y normalizar la información. Y por último establecer un protocolo en RR.HH.
Para que al momento de desvincular a una persona se de aviso formal a Soporte TI y bloque el
Acceso a el software de gestión empresarial, correo electrónico institucional u otro acceso del
Tipo electrónico.
 Bibliografía

Página web:

https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

https://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

Texto:

Fundamentos generales de la auditoría informática. Parte I.