Controles Informáticos

Juan Pablo Recabal Rojas

Auditoria Informática

Instituto IACC

03/12/2018
 Desarrollo

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los

proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se

detallan a continuación:

 políticas y procedimientos de proveedores de servicios de TI.

 Levantamiento de todos los proveedores de servicios de TI.

 Revisión de contratos de proveedores de servicios de TI.

 Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.

 Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la

información y continuidad de operaciones).

 Revisión de reportes enviados por los proveedores de servicios de TI a la Administración

respecto al cumplimiento de sus SLA (Service Level Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está aplicando.
Justifique su respuesta.

La clasificación corresponde a “Auditoria Informática” ya que recoge y revisa la información

obtenida de un proceso informático, esta información se chequea si esta cumpliendo con los

estándares de efectividad de sistema y eficiencia del sistema. Dentro de la auditoria se aplica la

auditoria de gestión lo cual se realiza un análisis sistemático de las acciones aplicadas sobre la

administración del rendimiento. También se evalúa la gestión como el objetivo organizacional,

procedimientos de proveedores, políticas y sistema de control.

Dentro de la auditoría se establece y verifica lo siguiente:

 Se emiten informes con opinión sobre las gestiones realizadas por la entidad.

 Se determina si los objetivos establecidos se han cumplido.

 se verifican si los recursos son utilizados de manera adecuada.

 Grado con que la entidad y sus proveedores cumplen con las asignaciones y deberes.

La auditoría de gestión es la evaluación de los métodos y las políticas de la gestión de la una

determinada entidad, donde la administración de los recursos de la manera mas eficiente. La

planificación estratégica es efectiva y son fundamentales en los análisis de una auditoria. Este

procedimiento generalmente se realiza por un funcionario especializado que puede ser parte de la

entidad o por una consultora externa a la entidad.

2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría

informática y la auditoría general (financiera, operativa).

Auditoria informática Auditoría general

Semejanzas

 Las dos auditorias hacen el uso  En ambas las dos auditorias los

eficiente de recursos para que recursos informáticos deben estar

soporten los objetivos y metas de la desde un punto de vista operacional,

organización para proteger activo y actualizado como en

adecuadamente los activos de la información y recurso debido que a

empresa partir de aquí se determina la

sustentabilidad de una entidad u

organización.

Auditoria informática Auditoría general

Diferencias

 En procesos de control, al detectar  La auditoria general se encarga de

ineficiencia en eventos no deseados revisar la razonabilidad de la

este tiene la capacidad de corregir información presentada en los estados

eficaz y oportunamente. financieros, la auditoría informática se

 Recolecta y evalúa la evidencia para encarga de determinar el grado de

determinar si los sistemas de eficacia del sistema informático

información y los recursos aplicado en la entidad.

relacionados protegen adecuadamente  Se determina el estado financiero real

los activos la sustentabilidad de las proyecciones

empresariales también se analizan y

enfocan los riesgos y controles. En

este procedimiento se requiere

exactitud y toda la información

empresarial.
3) Considere los siguientes enunciados:

 “La política definida por la dirección de informática establece que todo usuario de la empresa,
que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar
cambios periódicos de sus claves de acceso”.

 “La política de seguridad de la compañía establece la utilización de software de control de

acceso que permita que solo el personal autorizado tenga acceso a archivos con información
crítica”.

 “El instructivo de funcionamiento de la empresa Compus Limitada determina que el

administrador de base de datos es el encargado de realizar los respaldos de todas las bases en
el ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la
semana”.
De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo, correctivo)

los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que

justifiquen su elección

 En el primer caso el tipo de control debe de ser preventivo ya que debe realizarse un

constante cambio en las claves de acceso en las credenciales que sean de difícil

descifrado por ejemplo debe tener al menos una letra mayúscula, números no correlativos

además que no sean relacionados alguna fecha o dirección numérica del usuario. Con

este control se anticipa a la posibilidad de ser hackeada o mal utilizada por terceros

quedando mas segura la red de la empresa o entidad dando un control eficiente y seguro.

 En el segundo caso corresponde a un control detectivo ya que al tener un software de

control de acceso se puede determinar los niveles de privilegio del personal y determinar

a qué tipo de información tiene acceso, además de llevar un registro (bitácora) donde se

sabrá si se realizo un tipo de acción en la información como actualización de esta misma

además si se extrajo algún archivo por algún medio de almacenamiento o si a sido

enviada o adjuntada en algún correo electrónico. De esta forma se puede fijar un mayor

control y protección de la información de la empresa o entidad.

 En el tercer caso el cual corresponde a un tipo de control correctivo ya que se fija una

normativa de respaldo de información o servidor de base de datos de respaldo. Se

minimiza el impacto ante una eventualidad y protegiendo la información así realizando

 una acción correctiva eficiente manteniendo la información disponible y actualizada ante

cualquier eventualidad levantando rápidamente el área con deficiencia o fallas.

4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en

el sistema SAP pertenecientes a personal desvinculado de la compañía”.

¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?

Fundamente su respuesta.

El primer control a realizar un levantamiento de todos los usuarios desvinculados de la entidad o

empresa así tomando la medida de control y bloqueando o eliminando las cuentas o credenciales

creadas anticipado a esto revisar la bitácoras si se han realizado algún ingreso por la cuenta

después de que hallan sido desvinculado así controlar si se ha realizado alguna fuga de

información y ubicar de qué lugar se realizó de la empresa y que datos se obtuvieron.

Si se realizo alguna anomalía en el funcionamiento de lo normal de la actividades de la empresa

con una de las cuentas se detectara y se realizara las acciones correctivas correspondientes

necesarias para subsanar lo sucedido.

Además de realizar las acciones mencionadas generar un protocolo que al momento de

desvincular a un colaborador de la empresa se debe generar el bloqueo con el personal de área de

informática para que bloque todas las cuentas (correo electrónico, credencial acceso a

ordenadores, áreas de acceso de la empresa, etc.) y acceso con las credenciales creadas del

usuario desvinculado de la empresa.