HACKEAME SI PUEDES

INTRODUCCIÒN

La responsabilidad del auditor de sistemas, conlleva salvaguardar, conservar y mantener una oportuna seguridad de la información de las empresas auditadas. Por esto, frente al documental ”Hackeame si puedes”, vemos como el hecho de mantener la seguridad informática de los ordenadores es de vital importancia para poder evitar cualquier tipo de robo, fraude o ataque informático.

Con base en lo anterior, responderemos a la pregunta de ¿Desde la profesión del auditor como se puede hacer más seguro el tratamiento y la custodia de los datos de una empresa?, teniendo en cuenta lo observado en el documental.

¿DESDE LA PROFESIÓN DEL AUDITOR COMO SE PUEDE HACER MÁS SEGURO EL TRATAMIENTO Y LA CUSTODIA DE LOS DATOS DE UNA EMPRESA?

En el tratamiento de los datos informáticos, es importante resaltar que existen diferentes métodos y maneras para salvaguardar y proteger la información de estos datos. Por lo que desde la auditoria de sistemas, podemos evitar cualquier tipo de inconveniente informático.

Lo primero que podemos hacer desde la auditoria, es elaborar un trabajo de calidad, es decir, evaluar todos los riesgos que tenemos frente a la información auditada y con base a esto, identificar las posibles falencias que estos tienen. Esto con el ánimo de que los informes que se emitan, permitan a la empresa tomar decisiones y precauciones oportunas frente a la seguridad de los sistemas, esto solo es posible si el auditor realizo un trabajo de total confianza.

En segundo lugar, en la labor del auditor, este debe informar e identificar el tipo de consecuencia que tendría el mal uso de los datos de la compañía. Con ello me refiero a determinar si la consecuencia es de tipo financiera, de imagen, operativa o demás, esto con el fin de que el auditor preste vital importancia a la información de la compañía. Podemos observar que en el trabajo del auditor, este debe inspeccionar todos los sistemas en general, pero debido a que no siempre se enfocara en entidades con las mismas características y con la misma actividad económica, se debe priorizar el tipo de información auditada.

Por otro lado, la custodia de los datos se puede mejorar definiendo puestos de trabajo, un ejemplo de ello, lo podemos evidenciar cuando un solo puesto de trabajo maneja las cuentas por pagar y la tesorería, en este caso, no podríamos identificar si se está realizando algún fraude de tipo financiero. Pero si por el contrario, se definen los roles dentro del sistema, de tal forma que un solo puesto de trabajo maneje una actividad o un tipo de actividades específicas, es más fácil identificar algún tipo de fraude. Esto, debe ir acompañado de los permisos que se otorgan dentro del sistema, si vemos que la función de un puesto de trabajo se encamina al pago de las cuentas por pagar, dentro de su rol no es justificable darle acceso a la causación de las facturas de compras de la compañía, por lo que los accesos de dicho usuario se reducirán netamente a la parte de tesorería.

De igual forma, es recomendable la restricción de las páginas web, esto con el fin de mantener la protección interna de los datos. Si bien sabemos, varias páginas que se encuentran en la red son de uso global, por lo que en cualquiera de estas podemos encontrar algún tipo de virus informáticos o simplemente al entrar a alguna página que nos solicite permiso de cookies para poder navegar en ella, ya estamos otorgando el permiso a nuestra información personal. Esto, no solo va enfocado al uso inadecuado de la red, sino a la no precaución de la información recibida por externos, con esto podemos colocar el ejemplo de los virus enviados vía correo electrónico, los cuales son más comunes de lo que aparentan, estos se camuflan bajo enlaces HTML

...