Auditoría a la empresa “Te prestamos S.A.

Objetivo:

Definir los lineamientos básicos y puntos clave que se considerarán al momento de realizar una auditoría a la empresa “Te prestamos S.A.

Introducción:

Como ya se ha visto, a lo largo del curso se han tratado conceptos y elementos fundamentales de las auditorías, así como la relevancia que estas tienen.

Este proyecto consiste en analizar a una empresa de financiamiento, cuyo nombre es “Te prestamos S.A.” y la cual ha solicitado una auditoría, y, nosotros, tomaremos el rol de auditores para al concluir, poder dar un resultado claro y con evidencias de las áreas de oportunidad que tiene dicha empresa.

A continuación se mencionarán factores críticos de “Te prestamos S.A.” en los que nos enfocaremos y se procederá con el proceso de auditoría.

Desarrollo de proyecto:

Algunos puntos clave de la empresa “Te prestamos S.A.” y que se tienen que considerar, son los siguientes:

1. Para ingresar a las instalaciones de la empresa, los empleados deben de poner su huella para escanearla y la puerta de seguridad se abre.

2. Su plan de continuidad consiste en hacer copias diarias de la información en un sitio de Internet que está alojado en una computadora de la empresa.

3. Toda la infraestructura informática está sin protección.

4. Su red interna es pública ya que se conectan a Internet sin ningún tipo de restricción.

Lo que nosotros como auditores tenemos que hacer es lo siguiente:

• Verificar los mecanismos de seguridad de información.

• Revisar el plan de continuidad de la empresa.

• Identificar los riesgos de la información.

• Establecer el objetivo de la auditoría y las pruebas que realizarás.

• Presentarle al cliente qué herramientas CAAT podrás utilizar.

• Presentar tus hallazgos a la administración del cliente.

Resultados:

Verificación de mecanismos de seguridad de la información:

Un punto clave que se mencionó, es que cuando el personal de “Te prestamos S.A.” va a ingresar a las instalaciones, debe de poner su huella para escanearla y la puerta de seguridad se abra.

Estos controles físicos son un punto a su favor, ya que restringen el acceso a las personas que quieran entrar a la empresa y no formen parte de ella, pues al tratarse de una empresa que da créditos y préstamos, maneja fuertes cantidades de dinero e información muy sensible.

Sin embargo, es el único control con el que cuentan y dada la situación actual en la que cada vez se expone a más riesgos la seguridad de la información, será recomendable implementar otros controles y verificar que se cuente con los siguientes aspectos clave:

• Apoyo de la alta gerencia

• Tener bien definidas las políticas y procedimientos

• Tener una buena organización de los recursos de la empresa

• Tener conocimiento y realizar capacitaciones al personal para que tengan experiencia con el tema de seguridad y sepan cómo reaccionar ante diferentes situaciones.

• Monitorear y ver el cumplimiento de políticas, procedimientos, resultados…

• Llevar un registro de todos los incidentes ocurridos y tener un informe de cómo se ha respondido a ellos.

Una vez que yo, como auditor, haya verificado que se cumpla con los puntos anteriores, se podrá deducir qué otros controles estaría bien implementar para lograr que la información que maneja “Te prestamos S.A” no sufra ningún riesgo.

Revisión del plan de continuidad de la empresa:

El BCP o plan de continuidad de “Te prestamos S.A” consiste en hacer copias diarias de la información en un sitio de Internet que está alojado en una computadora de la empresa.

Sin embargo, de acuerdo al experto Ángel Fernández, director general de Hitachi Data Systems en España y Portugal, aunque tradicionalmente se han utilizado planes de contingencia basados en copias de seguridad que se guardan en centros remotos; estos planes tienen el inconveniente de que los parámetros de pérdida de datos y tiempo de recuperación son muy altos y, por lo tanto, pueden perjudicar seriamente al negocio.

Esto no quiere decir que no se deban hacer copias de seguridad, al contrario, es indispensable contar con estos respaldos de información, sólo que debidamente conservados, o sea, fuera del área de riesgo.

En este caso, el hecho de que las copias las mantengan en la misma empresa, puede impedir la recuperación de estas en caso de que suceda algún incidente dentro de ella.

Estas copias se pueden guardar en un armario ignifugo, en la caja de seguridad de un banco, o en el CPD (Centro de Procesos de Datos), pero tienen muchos inconvenientes, así que una de las opciones más recomendables es la utilización de una empresa de servicios, ya que ofrece una relación costo/calidad que trae varias ventajas, y se podrá cumplir con las condiciones estrictas de almacenamiento y transporte (físicas y ambientales).que requieren las copias de seguridad.

Es importante mencionar que como auditor se tiene que entender, evaluar y verificar detalladamente el BCP de la empresa “Te Prestamos S.A”, así como su plan de mantenimiento y ver la efectividad de este. Además de revisar si cumple con los estándares adecuados para que en caso de que suceda algo, se esté verdaderamente preparado para actuar.

Identificación de los riesgos de la información:

En la empresa “Te prestamos S.A” toda la infraestructura informática está sin protección.

Esto es quizá porque no quieren invertir fondos en este rubro dado que no tiene una tasa de retorno de fácil medición.

Sin embargo, es una situación de gran importancia que necesita tratarse inmediatamente, ya que en cualquier momento pueden presentarse riesgos y daños

...