SISTEMA DE CAJAS DE LA DIRECCIÓN DEPARTAMENTAL DE EDUCACIÓN CHUQUISACA

Av. del Maestro 345

Sucre, Bolivia
4 6454760
[email protected]
20 de agosto de 2023

Definición de Objetivos de la Auditoría

 SISTEMA DE CAJAS
 DIRECCIÓN DEPARTAMENTAL DE EDUCACIÓN CHUQUISACA
 20-08-2022

Análisis de Hallazgos y Elaboración de Informe de Auditoría de Sistemas

Introducción

En el marco de nuestra auditoría de sistemas de seguridad para el sistema de cajas se ha

realizado un análisis exhaustivo de los controles implementados y hemos identificado una
serie de hallazgos que requieren atención y mejora. Este informe tiene como objetivo
presentar los hallazgos identificados, proporcionar un análisis detallado y proponer
recomendaciones para fortalecer la seguridad de la organización.

Hallazgos Identificados

A continuación, se presentan los hallazgos clave identificados durante la auditoría:

1. H1 Falta de Documentación de Transacciones

Descripción: Se descubrió que no existe documentación adecuada que respalde las

transacciones de ingresos y egresos en el sistema de cajas

2. H2: Débil Control de Acceso Físico

Descripción: Se identificó una falta de controles de acceso físico a las áreas donde se
guarda información confidencial, lo que aumenta el riesgo de pérdida o robo.

3. H3: Contraseñas débiles

Descripción: Se hallo que no se tiene contraseñase seguras, la mayoría son simples.

Análisis de Hallazgos

Cada hallazgo se analiza detalladamente para comprender su impacto potencial en la

seguridad de la organización. Se considera la causa raíz del hallazgo, su posible explotación y
las implicaciones para la integridad, confidencialidad y disponibilidad de los activos de
información.

Para este análisis detallado de cada hallazgo se utilizó la técnica de los 5 porque
 1. H1: Falta de Documentación de Transacciones
a) ¿Por qué existe falta de documentación de transacciones?

R. Porque los usuarios no están registrando adecuadamente las transacciones

b) ¿Porque los usuarios no están registrando adecuadamente las transacciones?

R. Porque no se les ha proporcionado capacitación minuciosa por parte del personal sobre
como hacerlo correctamente

c) ¿Porque no se ha proporcionado capacitación sobre como registrar transacciones?

R. Porque el departamento de educación ha experimentado una alta rotación del personal

y no ha tenido tiempo para brindar la capacitación detallada en los respectivos tiempos.

d) ¿Por qué ha habido una alta rotación de personal?

R. Porque el director no estaba al tanto de las preocupaciones o no tenia sistema eficaz

para recopilar y abordar el feedback del personal.

2. Débil Control de Acceso Físico

a) ¿Por qué hay un débil control de acceso físico en el sistema de cajas?

R. Porque las puertas de acceso a la sala de cajas no se cierran correctamente.

b) ¿Por qué las puertas de acceso a la sala de cajas no se cierran correctamente?

R. Porque los mecanismos de cierre están dañados y no se han reparado.

c) ¿Por qué los mecanismos de cierre no se han reparado?

R. Porque no se ha asignado un presupuesto para el mantenimiento de las puertas.

d) ¿Por qué no se ha asignado un presupuesto para el mantenimiento de las puertas?

R. Porque la administración no considera el mantenimiento de seguridad como una

prioridad en el presupuesto actual.

e) ¿Por qué la administración no considera el mantenimiento de seguridad como una

prioridad en el presupuesto actual?

R. Porque no se ha presentado una evaluación detallada de los riesgos asociados con el

débil control de acceso, lo que no ha generado conciencia sobre la importancia de la
inversión en seguridad.

3. Contraseñas débiles

a) ¿Por qué hay contraseñas débiles en el sistema de cajas?

R. Porque los usuarios eligen contraseñas simples y fáciles de adivinar.

b) ¿Por qué los usuarios eligen contraseñas simples y fáciles de adivinar?

R. Porque no están conscientes de los riesgos de seguridad asociados con contraseñas

débiles y la importancia de contraseñas seguras.
 c) ¿Por qué los usuarios no están conscientes de los riesgos de seguridad y la
importancia de contraseñas seguras?

R. Porque no se les ha proporcionado suficiente capacitación en seguridad informática.

d) ¿Por qué no se les ha proporcionado suficiente capacitación en seguridad

informática?

R. Porque la empresa no ha priorizado la formación en seguridad y ha enfocado la

capacitación en otros aspectos.

e) ¿Por qué la empresa no ha priorizado la formación en seguridad y ha enfocado la

capacitación en otros aspectos?

R. Porque no ha habido incidentes graves relacionados con contraseñas débiles hasta

ahora, lo que ha llevado a subestimar la importancia de la seguridad en este aspecto.

Recomendaciones

Basado en el análisis de los hallazgos, se proponen las siguientes recomendaciones para

mejorar la seguridad de los sistemas:

1. H1: Implementar un procedimiento riguroso de documentación que requiera la

generación de recibos o comprobantes para cada transacción de efectivo. Establecer
un sistema de archivo organizado para almacenar estos documentos.
2. H2: Una recomendación clave para abordar el débil control de acceso físico en un la
dirección departamental es la implementación de un sistema de acceso con tarjetas
de identificación personalizada y autenticación multifactorial. Esto combina la
identificación física con elementos de seguridad adicionales, como códigos PIN o
biométricos, para garantizar un acceso más seguro y controlado a las áreas críticas,
como las salas de cajas. Este enfoque disminuirá la posibilidad de acceso no
autorizado y proporcionará un registro más preciso de quién ha ingresado a estas
áreas en todo momento. Implementar sistemas de seguridad, como acceso cerradura
con acceso y sistemas de restricción, para limitar vigilancia a las áreas de manejo de
efectivo solo al personal autorizado.
3. H3: Política de Contraseñas Fuertes y Cambio Regular: Establece una política que
requiera contraseñas fuertes, que incluyan combinaciones de letras mayúsculas y
minúsculas, números y caracteres especiales. Además, exige el cambio regular de
contraseñas (por ejemplo, cada 90 días) para reducir el riesgo de que las contraseñas
sean comprometidas con el tiempo. Asegúrate de comunicar esta política claramente
a todos los usuarios del sistema de cajas y proporciona orientación sobre cómo crear
contraseñas seguras. Ofrece también herramientas o consejos para administrar
contraseñas de manera segura, como el uso de administradores de contraseñas
confiables. La implementación de esta política ayudará a fortalecer la seguridad del
sistema de cajas al prevenir el uso de contraseñas débiles y fomentar prácticas de
seguridad más sólidas entre los usuarios.

Plan de Acción

1. Plan de acción H1:

Paso 1: Evaluación y Análisis

  Realizar una revisión exhaustiva de los procesos de registro de transacciones y
documentación actual para identificar las brechas y problemas que han llevado a la
falta de documentación.
 Identificar las áreas o momentos específicos donde la documentación de transacciones
está faltando o es inadecuada.

Paso 2: Diseño de Procesos de Documentación

 Definir procesos claros y detallados para registrar y documentar todas las

transacciones realizadas en el sistema de cajas.
 Establecer una plantilla o formato estándar para la documentación de cada
transacción, asegurando que se registren detalles esenciales como la fecha, el monto,
los conceptos y las partes involucradas.

Paso 3: Capacitación y Comunicación

 Proporcionar capacitación a todos los empleados responsables de registrar

transacciones, enfatizando la importancia de la documentación precisa y completa.
 Comunicar de manera efectiva los nuevos procesos de documentación a través de
reuniones, manuales o recursos en línea para asegurar que todos estén al tanto de las
expectativas.

Paso 4: Implementación de Herramientas Tecnológicas

 Evaluar si es necesario implementar un sistema digital o software de registro de

transacciones para facilitar la documentación y garantizar que sea más preciso y
accesible.
 Introducir métodos de seguimiento para asegurar que todas las transacciones sean
documentadas correctamente en el nuevo sistema.

Paso 5: Supervisión y Seguimiento

 Designar a un equipo o individuo responsable de supervisar y revisar periódicamente

la documentación de transacciones para asegurar su exactitud y cumplimiento.
 Implementar un sistema de alertas o recordatorios para asegurar que las transacciones
se documenten de manera oportuna.

Paso 6: Auditorías y Mejoras Continuas

 Realizar auditorías regulares para verificar la calidad y precisión de la documentación

de transacciones, identificando cualquier problema recurrente.
 Utilizar los resultados de las auditorías para mejorar los procesos y sistemas de
documentación continuamente.

2. Plan de acción H2:

Paso 1: Evaluación y Análisis

 Realizar una evaluación exhaustiva de las áreas de cajas y las puertas de acceso para
identificar los puntos débiles en el control de acceso físico.
 Documentar los riesgos potenciales asociados con el acceso no autorizado a las áreas
de cajas y su impacto en la seguridad y la integridad de los activos.
Paso 2: Diseño de Políticas y Procedimientos

 Crear una política formal de control de acceso físico que establezca los estándares
para la entrada a las áreas de cajas, incluyendo el uso de tarjetas de identificación y
autenticación multifactorial.
 Desarrollar procedimientos claros para el ingreso, la salida y la supervisión de las áreas
de cajas, definiendo quién puede autorizar el acceso y bajo qué circunstancias.

Paso 3: Implementación de Medidas de Seguridad

 Instalar sistemas de control de acceso, como lectores de tarjetas, cerraduras

electrónicas o sistemas biométricos, en las puertas de acceso a las áreas de cajas.
 Establecer un proceso para la asignación y gestión de tarjetas de identificación
personalizadas, asegurando que se entreguen solo a personal autorizado.

Paso 4: Formación y Concienciación

 Proporcionar capacitación a todos los empleados sobre las políticas y procedimientos

de control de acceso físico, incluyendo la importancia de mantener la seguridad y
reportar cualquier actividad sospechosa.
 Crear materiales educativos y sesiones de concienciación para fomentar prácticas de
seguridad entre el personal.

Paso 5: Mantenimiento y Auditorías

 Implementar un programa de mantenimiento regular para asegurar que los sistemas

de control de acceso estén en buen estado de funcionamiento.
 Realizar auditorías periódicas para evaluar la eficacia de las medidas de seguridad y la
conformidad con las políticas establecidas.

Paso 6: Monitoreo Continuo

 Establecer un sistema de monitoreo continuo para supervisar las actividades de acceso

a las áreas de cajas y detectar cualquier actividad inusual.
 Definir un proceso de respuesta a incidentes en caso de violación de seguridad o
acceso no autorizado.
3. Plan de acción H3:

Paso 1: Evaluación y Concientización

 Realizar una evaluación de las contraseñas actuales en el sistema de cajas para

identificar las debilidades y patrones comunes.
 Crear conciencia entre los empleados sobre los riesgos asociados con las contraseñas
débiles y la importancia de la seguridad de las cuentas.

Paso 2: Política de Contraseñas Fuertes

 Establecer una política de contraseñas fuertes que incluya requisitos específicos, como
longitud mínima, combinación de caracteres y cambios regulares.
 Comunicar claramente esta política a todos los usuarios del sistema de cajas y
proporcionar orientación sobre cómo crear contraseñas seguras.
Paso 3: Herramientas de Gestión de Contraseñas

 Implementar un sistema de gestión de contraseñas que facilite la generación,

almacenamiento y cambio de contraseñas seguras.
 Promover el uso de administradores de contraseñas confiables para ayudar a los
empleados a gestionar sus contraseñas de manera segura.

Paso 4: Educación y Formación

 Proporcionar capacitación a todos los usuarios sobre la importancia de las contraseñas

seguras y cómo proteger sus cuentas.
 Ofrecer sesiones de formación práctica para enseñar a los empleados cómo crear y
mantener contraseñas seguras.

Paso 5: Implementación de Autenticación Multifactorial

 Evaluar la viabilidad de la autenticación multifactorial para agregar una capa adicional

de seguridad a las cuentas.
 Implementar sistemas de autenticación multifactorial, como códigos SMS, aplicaciones
de autenticación o tokens físicos, para aumentar la seguridad de las cuentas.

Paso 6: Seguimiento y Cumplimiento

 Establecer un proceso para monitorear y hacer cumplir el uso de contraseñas fuertes

de manera constante.
 Realizar auditorías periódicas para asegurarte de que los usuarios cumplan con las
políticas de contraseñas seguras.

Conclusión

La auditoría de sistemas de seguridad ha proporcionado información valiosa sobre el estado

actual de los controles y la seguridad de la información en la organización. Al abordar los
hallazgos identificados y seguir las recomendaciones propuestas, la organización puede
fortalecer su postura de seguridad y mitigar los riesgos.

Para cualquier consulta o clarificación adicional sobre los hallazgos y recomendaciones

presentados en este informe, no dude en ponerse en contacto con el equipo de auditoría.

Atentamente,

[Firma o nombre del responsable de la auditoría]

[Título o rol]

[Información de contacto]