Taller Aplicado Actividad Semana 8

Alba Milena Gómez Ramírez ID 366240

Corporación Universitaria Minuto de Dios

Facultad de Ciencias Administrativas
Programa de Contaduría Pública
Neiva-Huila
2018
 Taller Aplicado Actividad Semana 8

Alba Milena Gómez Ramírez ID 366240

Prof esp. Dolly Ximena Calderón Pacheco

Corporación Universitaria Minuto de Dios

Facultad de Ciencias Administrativas
Programa de Contaduría Pública
Neiva-Huila
2018
 Introducción

En un entorno cambiante, el éxito de una organización se ha relacionado estrechamente con

su capacidad para gestionar los riesgos; a medida que las empresas se vuelven cada vez más
dependientes de la información para su ventaja competitiva y la información gana incluso
mayor proporción en el valor agregado incorporado en los productos y servicios de las
empresas, la capacidad de proteger información valiosa y sensible se ha convertido en una
capacidad estratégica para asegurar la sostenibilidad empresarial, y el valor total de una
empresa . En un contexto global cada vez más competitivo y complejo tecnológicamente, el
éxito de las empresas pasa a depender de su capacidad para administrar sus recursos,
incluso los de tecnología de la información y comunicación (TIC), de forma efectiva.
 Resultados De La Auditoria

Aspectos Conformes:

1. Los contratos de licencias respaldan la legalidad de del uso de Windows y el

Programa Contable SIINET.
2. Los empleados son capacitados para el uso y manejo del software y sus
aplicaciones.
3. Todos los Equipos de Cómputo cuentan con antivirus para su protección y se
actualizan de manera regular.
4. El sistema de contabilidad permite el registro de la fecha de proceso y la fecha de
transacción y sus aplicaciones.
5. El cable de red está cubierto en canaletas.
6. Los contratos de mantenimientos preventivo y correctivo para el equipo informático
se ejecutan oportunamente.
 Aspectos No Conformes
HALLAZGO
HALLAZGO 1: DEFINIR E IMPLANTAR POLÍTICAS PARA EL PROCESAMIENTO
Y ALMACENAMIENTO DE LA INFORMACIÓN DEL SIINET.
HALLAZGO 2: NO SE CUENTAN CON POLÍTICAS NI PROCEDIMIENTOS
RELACIONADOS CON LA SOLICITUD DE CAMBIOS O MEJORAS
EN EL SISTEMA.
HALLAZGO 3: FALTA DOCUMENTAR LOS PROCEDIMIENTOS PARA DEFINIR
PERFILES, ROLES Y NIVELES DE PRIVILEGIO A LOS
USUARIOS DEL SISTEMA SIINET.
RECOMENDACIONES
Definir, implantar y documentar las políticas necesarias para regular el
cumplimiento en el uso de las Tecnologías de la información, y de la seguridad
de los datos, tomando en cuenta la calidad, seguridad, confidencialidad, controles
internos. Además se deben definir responsables para la administración de las
políticas, se debe definir la frecuencia de revisión y actualización de las políticas
e indicadores de cumplimiento, entre las políticas que se recomiendan definir
están:
 Política para el Tratamiento de los Riesgos de Seguridad.
 Política para la Organización de la Seguridad de la Información.
 Política para Clasificación de la Información.
 Política para el Intercambio de información.
 Política para el Reporte de Eventos en la Seguridad de la Información.
 Política para el Cumplimiento de los Requerimientos Legales.
 Política para la administración de la Seguridad Física.
Establecer políticas o procedimientos relacionados con los cambios o mejoras a
los sistemas de información , comunicar al personal dichas políticas o
procedimientos para su cumplimiento con el fin de determinar la procedencia y
prioridades de los cambios o mejoras, implementando una evaluación técnica
para garantizar la calidad y el debido cumplimiento de los requerimientos que
previamente fueron entendidos y solicitados.
Documentar el proceso de asignación de roles y privilegios del sistema SIINET
para que los usuarios de los sistemas cuenten con los debidos privilegios previo
estudio o asignación por parte de los responsables de manipular la información.
HALLAZGO 4: INEXISTENCIA DE UN PLAN DE CONTINGENCIAS Desarrollar un plan de contingencias que ayude a subsanar inconvenientes
presentados en los sistemas o equipos.
HALLAZGO 5: LAS APLICACIONES O VENTANAS NO DISPONEN DE Es conveniente considerar para la aplicación actual o futura, el definir como
MECANISMOS DE SEGURIDAD, ANTE LA FALTA DE USO DEL USUARIO medida de seguridad del sistema, que las ventanas o aplicaciones se bloque o
DESPUÉS DE UN TIEMPO DE NO UTILIZAR LA APLICACIÓN.
cierren después de un determinado tiempo de inactividad por parte del usuario.
HALLZGO 6: NO SE DISPONE DE UN MECANISMO DE CONTROL AUTOMÁTICO Considerar en el sistema actual o por adquirir, el requerimiento de inactivar
O MANUAL (PROCEDIMIENTO EMPRESARIAL) QUE INACTIVE A USUARIOS claves después de un tiempo definido de falta de uso, como contingencia se
QUE POR UN DETERMINADO TIEMPO DEJAN DE UTILIZAR LOS SISTEMAS.
recomienda definir la política de comunicar de parte de todas los departamentos,
la inactivación de usuarios que por alguna circunstancia se ausentan de su trabajo
en un periodo considerable (tiempo a definir por la Administración).
 Conclusiones de la Auditoria

Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen
“ALGOHUILA SAS”, tanto materiales como humanos, con lo anterior, se puede dar uno
cuenta auditar una empresa no es nada fácil, ya que si falla un elemento del que se
compone, trae consigo un efecto domino, que hace que los demás elementos bajen su
rendimiento, o en el peor de los casos sean causantes del fracaso a la organización. Es
mentira que lo más importante para una empresa sea el equipo informático con el que se
trabaja. El factor humano es lo más importante, ya que si se cuenta con tecnología de punta,
pero con personal no calificado optara por renunciar, o bien por seguir rezagando al mismo.

Asimismo la capacitación es importantísima, ya que si no hay capacitación permanente, el

personal técnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor
oportunidad, aun sacrificando el aspecto económico. El aspecto organizativo también debe
estar perfectamente estructurado, y las líneas de mando deben estar bien definidas, evitando
de esta manera la rotación innecesaria de personal, la duplicidad de funciones, las líneas
alternas demando, etc. y que conllevan al desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones,
así como de la información, el control de los accesos también es punto fundamental para
evitar las fugas de información o manipulación indebida de esta. Los sistemas de
información es la parte medular de la empresa, es en donde los datos se convierten en
información útil a las diferentes áreas, es donde se guarda esta información y por
consecuencia, donde en la mayoría de los casos se toman las decisiones importantes para la
empresa.

Además al realizar la presente auditoria nos damos cuenta que dentro del ambiente
empresarial es de vital importancia contar con la información lo más valiosa que sea, a
tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en una
herramienta poderosa para la toma de decisiones, viéndose reflejada en la obtención de
resultados benéficos a los fines de la organización y justificar el existir de toda la
organización o empresa. Como resultado de la Auditoria de los sistemas de información
realizada a la empresa ALGOHUILA SAS, por el período comprendido entre el 6 AL 20
de Noviembre de 2018, podemos manifestar que hemos cumplido con evaluar cada uno de
los objetivos contenidos en el programa de auditoria.

Dentro de las deficiencias encontramos las siguientes:

 No existe Manuales estandarizados para el tratamiento de Sistemas de Información.

 Ausencia de un Plan de Contingencia debidamente formalizado para la información

que posee el conjunto de computadores de la empresa.

 Establecer un plan de contingencia escrito, en donde se establezcan los

procedimientos manuales e informáticos para restablecer la operatoria normal de la
empresa y establecer los efectuar pruebas simuladas en forma periódica, a efectos
de monitorear el desempeño de los funcionarios responsables ante eventuales
desastres.
 No existen normas y procedimientos que indiquen las tareas manuales e
informáticas que son necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia (desperfectos de equipos, incendios,
cortes de energía con más de una hora).

 Las directivas de la institución deben posibilitar estos cambios, haciendo uso de

jornadas pedagógicas de simulacro de desastre informáticos, y así poder comparar
los beneficios de los nuevos controles de seguridad.
 Plan de Acción Sugerido

FASE ACTIVIDAD MESES

1 2 3 4 5 6
IMPLANTAR POLÍTICAS Levantamiento de:
PARA EL PROCESAMIENTO
Y ALMACENAMIENTO DE LA  Política para el
Tratamiento de
INFORMACIÓN
los Riesgos de
Seguridad.
 Política para la
Organización
de la Seguridad
de la
Información.
 Política para
Clasificación de
la Información.
 Política para el
Intercambio de
información.
 Política para el
Reporte de
Eventos en la
Seguridad de la
Información.
 Política para el
Cumplimiento
de los
Requerimientos
Legales.
 Política para la
administración
de la Seguridad
Física.
INVENTARIOS DE Todos los activos
ACTIVOS deben estar claramente
identificados; y se
debe elaborar y
mantener un
inventario de todos los
activos importantes.
MEJORA CONTINUA  Auditoria
Interna
 Bibliografía

https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/2655/3/76327474.p
df