AUDITORIA DE SISTEMAS 90168A_224

GRUPO 90168_79

INTEGRANTES:
ALEJANDRO BERNAL.
CAMILO ANDRES DORADO.
OLGA MARA MURGAS.
YAKELINE PEREZ.

TUTOR:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD
2015

Introduccin

En este documento se mencionaran las vulnerabilidades que pueden tener un sistema

informtico, los riesgos que cada da tienen y las amenazas que se deben tener en cuenta.
Tambin se habla de las formas de mantener un control informtico para prevenir y mitigar
dichas vulnerabilidades, amenazas y riesgos.

Objetivos.
Conocer las causas de los errores de los sistemas informticos, para poder dar futuras y
tempranas soluciones, adoptando medidas de seguridad para tener sistemas de calidad que
cumplan con los estndares ya establecidos.

Vulnerabilidades de un Sistema Informtico

En un sistema informtico lo que se quiere proteger son los recursos que forman parte del
sistema y que podemos agrupar en:
Hardware:
Elementos fsicos del sistema informtico, tales como procesadores, electrnica y cableado de
red, medios de almacenamiento.
Software:
Elementos lgicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema
operativo como las aplicaciones.
Datos:
Comprenden la informacin lgica que procesa el software haciendo uso del hardware. En
general sern informaciones estructuradas en bases de datos o paquetes de informacin que
viajan por la red.
Los recursos ms crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.

El activo ms crtico son los datos ya que el resto se puede reponer con facilidad. Los datos
sabemos que dependen de que la empresa tenga una buena poltica de copias de seguridad y sea
capaz de reponerlos en el estado ms prximo al momento en que se produjo la prdida, porque
se podra generar una gran prdida de tiempo y de dinero.
La vulnerabilidad es definida como debilidad de cualquier tipo, que compromete la seguridad del
sistema informtico.
Agrupacin de las vulnerabilidades de los sistemas de informacin:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficiente e inexistente.
Implementacin
Errores de programacin.

 Existencia de puertas traseras en los sistemas informticos.

Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de
informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Clasificacin de las vulnerabilidades.
Vulnerabilidades de desbordamiento de buffer:
Se produce cuando un programa no controla la cantidad de datos que se copian en buffer, de
forma que si esa cantidad es superior a la capacidad del buffer los bytes sobrantes se almacenan
en zonas de memoria adyacentes, sobrescribiendo su contenido original. Se puede aprovechar
para ejecutar cdigo que nos de privilegios de administrador.

Vulnerabilidades de condicin de carrera (race condition):

La condicin de carrera se da principalmente cuando varios procesos acceden al mismo tiempo a
un recurso compartido, por ejemplo una variable, cambiando su estado y obteniendo de esta
forma un valor no esperado de la misma.

Vulnerabilidades de error de formato de cadena (format string bugs).

La principal causa de los errores de cadena de formato es aceptar sin validar la entrada de datos
proporcionada por el usuario.
Es un error de programacin y el lenguaje ms afectado es C/C++. Un ataque puede conducir de
manera inmediata a la ejecucin de cdigo arbitrario y a revelacin de informacin.

Vulnerabilidades de Cross Site Scripting (XSS):

Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o JavaScript, en el
contexto de otro sitio web. Estos errores se pueden encontrar en cualquier aplicacin que tenga
como objetivo final presentar la informacin en un navegador web.

Un uso de esta vulnerabilidad es hacer phishing. La vctima ve en la barra de direcciones un

sitio, pero realmente est en otro. La vctima introduce su contrasea y se la enva al atacante.
Vulnerabilidades de Inyeccin SQL:
Una inyeccin SQL se produce cuando, de alguna manera, se inserta o "inyecta" cdigo SQL
invasor dentro del cdigo SQL programado, a fin de alterar el funcionamiento normal del
programa y lograr as que se ejecute la porcin de cdigo "invasor" incrustado, en la base de
datos.

Vulnerabilidades de denegacin del servicio:

La denegacin de servicio provoca que un servicio o recurso sea inaccesible a los usuarios
legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del
ancho de banda de la red de la vctima o sobrecarga de los recursos informticos del sistema de
la vctima.

Vulnerabilidades de ventanas engaosas (Window Spoofing):

Las ventanas engaosas son aquellas que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo nico que quieren es que des informacin. Hay otro tipo de ventanas que, si las
sigues, obtienen datos del ordenador para luego realizar un ataque.

Cmo Evitarlas?
Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos operando en nuestro
sistema cortafuegos, anti spam, antivirus, y detectores de cdigo maligno.
Tengamos presente que las comunicaciones en la red constan de 7 capas segn el modelo OSI, y
las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del ncleo de
nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres
de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estn radicando
en nuestra computadora, sino que, tambin pueden llegar a ser mediante ejecucin de cdigo
mientras visitemos alguna pgina web, o cuando el atacante tiene privilegios de acceso a nivel
administrativo a nuestros datos en el pc.
Diez normas para evitar riesgos informticos:
1- No ingresar a enlaces sospechosos: Evitar hacer clic en hipervnculos o enlaces de
procedencia dudosa para prevenir el acceso a pginas web que posean amenazas informticas,

este tipo de enlaces pueden estar presentes en un correo electrnico, una ventana de chat o un
mensaje en una red social.
2- No acceder a sitios web de dudosa reputacin: A travs de tcnicas de Ingeniera Social,
muchos sitios web suelen promocionarse con datos que pueden llamar la atencin del usuario
como descuentos en la compra de productos (o incluso ofrecimientos gratuitos), primicias o
materiales exclusivos de noticias de actualidad, material multimedia, etc.
3.
Actualizar el sistema operativo y aplicaciones: Se recomienda siempre mantener
actualizados los ltimos parches de seguridad y software del sistema operativo para evitar la
propagacin de amenazas a travs de las vulnerabilidades que posea el sistema.
4.
Aceptar slo contactos conocidos: Tanto en los clientes de mensajera instantnea como
en redes sociales, es recomendable aceptar e interactuar slo con contactos conocidos. De esta
manera se evita acceder a los perfiles creados por los atacantes para comunicarse con las
vctimas y exponerlas a diversas amenazas informticas.
5.
Descargar aplicaciones desde sitios web oficiales: Es recomendable que al momento de
descargar aplicaciones lo haga siempre desde las pginas web oficiales. Esto se debe a que
muchos sitios simulan ofrecer programas populares que son alterados, modificados o
suplantados por versiones que contienen algn tipo de malware y descargan el cdigo malicioso
al momento que el usuario lo instala en el sistema
6.
Evitar la ejecucin de archivos sospechosos: La propagacin de malware suele realizarse
a travs de archivos ejecutables. Es recomendable evitar la ejecucin de archivos a menos que se
conozca la seguridad del mismo y su procedencia sea confiable.
7.
Utilizar tecnologas de seguridad: Las soluciones antivirus, firewall y anti spam,
representan las aplicaciones ms importantes para la proteccin del equipo ante la principales
amenazas que se propagan por Internet. Utilizar estas tecnologas disminuye el riesgo y
exposicin ante amenazas.
8.
Evitar el ingreso de informacin personal en formularios dudosos: Cuando el usuario
se enfrente a un formulario web que contenga campos con informacin sensible (por ejemplo,
usuario y contrasea), es recomendable verificar la legitimidad del sitio. Una buena estrategia es
corroborar el dominio y la utilizacin del protocolo HTTPS para garantizar la confidencialidad
de la informacin.
9.
Tener precaucin con los resultados arrojados por los buscadores web: A travs de
tcnicas de Black Hat SEO, los atacantes suelen posicionar sus sitios web entre los primeros
lugares en los resultados de los buscadores, especialmente en los casos de bsquedas de palabras
clave muy utilizadas por el pblico. Ante cualquiera de estas bsquedas, el usuario debe estar
atento a los resultados y verificar a qu sitios web est siendo enlazado.
10. Utilizar contraseas fuertes: Se recomienda la utilizacin de contraseas fuertes, con
distintos tipos de caracteres y una longitud no menor a los 8 caracteres.

Amenazas a la Seguridad de la Informacin

Se puede definir como amenaza a todo elemento o accin capaz de atentar contra la seguridad de
la informacin.
No solo las amenazas que surgen de la programacin y el funcionamiento de un dispositivo de
almacenamiento, transmisin o proceso deben ser consideradas, tambin hay otras circunstancias
que deben ser tomadas en cuenta e incluso no informticas. Muchas son a menudo imprevisibles
o inevitables, de modo que las nicas protecciones posibles son las redundancias y la
descentralizacin, por ejemplo mediante determinadas estructuras de redes en el caso de las
comunicaciones o servidores en clster para la disponibilidad.
Las amenazas pueden ser causadas por:

Usuarios:
Causa del mayor problema ligado a la seguridad de un sistema informtico. En algunos casos
sus acciones causan problemas de seguridad, si bien en la mayora de los casos es porque
tienen permisos sobre dimensionados y no se les han restringido acciones innecesarias.

Programas maliciosos:
Programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es
instalado (por inatencin o maldad) en el ordenador, abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un virus informtico, un gusano
informtico, un troyano, una bomba lgica, un programa espa o spyware, en general
conocidos como malware.

Errores de programacin:
La mayora de los errores de programacin que se pueden considerar como una amenaza
informtica es por su condicin de poder ser usados como exploits por los crackers, aunque
se dan casos donde el mal desarrollo es, en s mismo, una amenaza. La actualizacin de
parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.

Intrusos:

Persona que consiguen acceder a los datos o programas a los cuales no estn autorizados
(crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).

Un siniestro (robo, incendio, inundacin):

Una mala manipulacin o una mala intencin derivan a la prdida del material o de los
archivos.

Personal tcnico interno:

Tcnicos de sistemas, administradores de bases de datos, tcnicos de desarrollo, etc. Los
motivos que se encuentran entre los habituales son: disputas internas, problemas laborales,
despidos, fines lucrativos, espionaje entre otros.

Catstrofes naturales:
Rayos, terremotos, inundaciones, rayos csmicos entre otros.

Fallos electrnicos o lgicos de los sistemas informticos en general.

Tipos de amenaza:
Las amenazas pueden clasificarse en dos tipos:

Intencionales: En caso de que deliberadamente se intente producir un dao, por ejemplo

el robo de informacin aplicando la tcnica de trashing, la propagacin de cdigo malicioso y
las tcnicas de ingeniera social.

No intencionales: En donde se producen acciones u omisiones de acciones que si bien no

buscan explotar una vulnerabilidad, ponen en riesgo los activos de informacin y pueden
producir un dao, por ejemplo las amenazas relacionadas con fenmenos naturales.

Riesgos Informticos
El riesgo se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad,
la cual puede estar prevista. Los riesgos informticos son las amenazas de dao o prdida
respecto a los bienes o servicios empresariales, por ejemplo los equipos informticos,

perifricos, instalaciones, redes, proyectos, programas de cmputo, archivos, datos

confidenciales, entre otros.
En arquitectura de computadores, un riesgo es un problema potencial que puede ocurrir en
un procesador segmentado. Tpicamente los riesgos se clasifican en tres tipos: riesgos de datos,
riesgos de salto o de control y riesgos estructurales. Las instrucciones de un procesador
segmentado son ejecutadas en varias etapas, de modo que en un momento dado se encuentran en
proceso varias instrucciones, y puede que stas no sean completadas en el orden deseado.
Un riesgo aparece cuando dos o ms de estas instrucciones simultneas (posiblemente fuera de
orden) entran en conflicto.

Anlisis de riesgo:

El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos

informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o
administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la magnitud
del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de controles. Dichos
controles, para que sean efectivos, deben ser implementados en conjunto formando una
arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad,
integridad y disponibilidad de los recursos objetos de riesgo.

Elementos de un anlisis de riesgo:

El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como
matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que
se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una
correcta administracin del mismo. La administracin del riesgo hace referencia a la gestin de
los recursos de la organizacin.

Existen diferentes tipos de riesgo, el riesgo residual y el riesgo total; tambin existe el
tratamiento del riesgo como la evaluacin del riesgo y gestin del riesgo entre otras.
La frmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
Tipos de riesgos:

Riesgo de integridad:

Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la
entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos
riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn
presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones;
no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:
Interfaz de usuario.
Procesamiento.
Procesamiento de errores.
Administracin de cambios.
Informacin.

Riesgos de relacin:

Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin.
Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y
datos correctos de una persona/proceso/sistema, en el tiempo preciso permiten tomar decisiones
correctas).

Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos
abarcan: Los riesgos de segregacin inapropiada de trabajo, los asociados con la integridad de la
informacin de sistemas de bases de datos y los asociados a la confidencialidad de la
informacin.

Riesgo de utilidad:

Estos riesgos se enfocan en tres diferentes niveles de riesgo:

 Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran.
Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas.
Backups y planes de contingencia controlan desastres en el procesamiento de la
informacin.

Riesgo de infraestructura:

Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin
tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos
riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan,
mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas
(servicio al cliente, pago de cuentas, etc.).

Riesgo de administracin de cambios:

Generalmente estos se consideran como parte de la infraestructura de riesgos y el impacto de los

cambios en las aplicaciones. Estos riesgos estn asociados con la administracin inadecuada de
procesos de cambios organizaciones que incluyen: compromisos y entrenamiento de los usuarios
a los cambios de los procesos.

Riesgo de interfaz de usuario:

Que estn relacionados con las restricciones, sobre las individualidades de una organizacin y su
autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de
trabajo y una razonable segregacin de funciones. Otros riesgos en esta rea se relacionan a
controles que aseguren la validez y completitud de la informacin introducida dentro de un
sistema.

Riesgo de procesamiento de errores:

Dentro de ellos estn los relacionados con los mtodos que aseguren que cualquier
entrada/proceso de informacin de errores (Excepciones) sea capturado adecuadamente,
corregido y reprocesados con exactitud completamente.

Riesgos de seguridad general:

Los estndares IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general
y que disminuyen el riesgo:

Riesgos de choque de elctrico: Niveles altos de voltaje.

Riesgos de incendio: Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energa elctrica.
Riesgos de radiaciones: Ondas de ruido, de lser y ultrasnicas.
Riesgos mecnicos: Inestabilidad de las piezas elctricas.

Control Informtico
Es la comprobacin, inspeccin, fiscalizacin o intervencin de la seguridad de los datos. El
Control Informtico puede definirse como el sistema integrado al proceso administrativo, en la
planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la
proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y
efectividad de los procesos operativos automatizados. Controla diariamente que todas las
actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos,
estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as
como los requerimientos legales.
Tambin se puede definir el Control informtico cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
Controles manuales: Aquellos que son ejecutados por el personal del rea usuaria o de
informtica sin la utilizacin de herramientas computacionales.
Controles Automticos: Son generalmente los incorporados en el software, llmense estos de
operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, entre otros.

Los controles segn su finalidad se clasifican en:

Controles Preventivos: Para tratar de evitar la produccin de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos: Trata de descubrir errores o fraudes que no haya sido posible evitarlos
con controles preventivos.
Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.

La informacin es el activo ms valioso de una organizacin, la informacin debe tener

determinadas propiedades para que tenga ese valor, (disponibilidad, integridad, confidencialidad)
para mantener estas propiedades se debe tener un SGSI Sistema de Gestin de la Informacin en
las organizaciones.

Relacin de Riesgos y Controles Informticos.

Los riesgos son aquellas incertidumbres que todas las empresas corren, ya que muchos de ellos
no solo dependen de la parte informtica, sino del entorno que nos rodea. El objetivo de cada
empresa es mitigar en lo mximo posible todos los riesgos, para poder ofrecer seguridad,
confiabilidad, eficiencia y eficacia en sus servicios al usuario final.
Los riesgos que dependen directamente del rea de informtica, deben tener un esquema o
control del mismo, ya que de esta forma se lograra evitar daos, perdida de datos y prdidas
financieras. Una forma de mitigar los riesgos es implementar controles de seguridad, donde se
evalen los riesgos ms importantes, los de menor importancia y lo que puede llegar a ser un
posible riesgo, a travs de una matriz de riesgo; esto evitara que personas no autorizadas,
sistemas maliciosos o daos fsicos afecten los datos. La finalidad de implementar controles de
seguridad, es preservar las propiedades de confidencialidad, integridad y disponibilidad de los
recursos objetos de riesgo.
La relacin que existe entre un riesgo y un control de seguridad, es que el riesgo es el problema,
dao o vulnerabilidad que puede presentar una empresa; por lo contrario, los controles son las
soluciones tanto preventivas, detectivas y correctivas que se asignan a cada riesgo. Por medio de
los controles de seguridad podemos detectar soluciones tempranas a riesgos o daos futuros,
haciendo que los sistemas informticos funciones de la forma correcta y segura.

Propuesta Auditora de Sistemas

Empresa:
Manglar Technology S.A.S
Historia:
Manglar Technology S.A.S fue creada en el 2001, para mejorar la comunicacin entre las
compaas y sus proveedores de una manera efectiva en cuestiones de costos. Como compaa
de Manejo de Relacin con los Proveedores, presta sus servicios a travs de internet, trabajando
con medianas y grandes empresas que interactan con un alto nmero de proveedores, tanto
locales como extranjeros. IProveedor es el portal que ofrecen a sus clientes permitiendo que se
integre con su ERP, lo que posibilita a las empresas, compartir informacin con su red de
proveedores.
Los servicios, conocidos como mdulos, ayudan a reducir los costos operativos, incrementar las
relaciones con proveedores y suministrar financiamiento a la cadena de suministros.
Actualmente, cuentan con ms de 90 clientes en diferentes pases del mundo y ms de 300.000
proveedores registrados.
Actividad Econmica:
Cdigo 6311 -

Procesamiento de datos, alojamiento (hosting) y actividades relacionadas.

Ubicacin:
Cali: Avenida 2 Oeste No. 10 - 130
Bogot: Calle 93 B No. 12 30
Pgina Web:

https://www.konnecta.net/iprov/home.jsp

Organigrama:

Recursos:

Sistemas de Informacin:

Cargos y funciones:
Ver anexos.

Conclusiones.

Con esta investigacin, podemos concluir que para poder certificar que un producto de sistemas
es de calidad y no tiene un gran estado de vulnerabilidad, amenaza o riesgo, el equipo de trabajo,
empresa o personas encargadas del mismo, deben adoptar soluciones tempranas, analizando bien
los sistemas y sus posibles errores ante cualquier factor, sea informtico, humano o natural.

Bibliografa
http://www.portinos.com/9617/diez-normas-para-evitar-riesgos-informaticos
https://es.wikibooks.org/wiki/Seguridad_inform%C3%A1tica/Vulnerabilidad
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040introduccion-a-la-seguridad-informatica?start=3
https://es.wikipedia.org/wiki/Seguridad_inform
%C3%A1tica#An.C3.A1lisis_de_riesgos
http://auditoriadesistemas.galeon.com/productos2223863.html
https://noris14.wordpress.com/2011/06/10/control-interno-informatico/