Auditoria de sistemas

Fase1 inicial

Tutor:
Francisco Nicolás solarte

Grupo: 90168_46
JEYSON MERCADO MANGA
código: 1148700354
NEIVIS ALEJANDRO GARCIA
Código: 1004371518
YOSIMAR ENRIQUE PEREIRA
Código: 1082862502

Universidad Nacional Abierta y a Distancia (UNAD)

2019
 Introducción

Mediante el siguiente trabajo desarrollaremos los temas con respecto a los

controles informáticos dentro y fuera de una organización, analizaremos las
precauciones que se deben tomar de acuerdo a los tipos de amenazas existentes
hoy en día y explicaremos la escala y el orden a seguir para garantizar que
nuestra red sea totalmente segura y no tener que preocuparnos en un futuro
lejano por el robo de nuestra información.
 Objetivos

- Establecer los conocimientos claros con respecto a los conceptos de

vulnerabilidad, riesgo, controles informáticos y amenazas.
- Establecer las similitudes y diferencias con respecto a la auditoria de
sistemas y el control interno informático
- Lograr el claro manejo de cada uno de estos conceptos para así aplicarlos
en nuestro diario vivir como futuros ingenieros.
1) Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles
informáticos.
VULNERABILIDAD, RIESGO Y AMENAZA

VULNERABILIDAD
En Seguridad Informática, la palabra Vulnerabilidad hace referencia a una
debilidad en un sistema permitiéndole a un atacante violar la Confidencialidad,
Integridad, Disponibilidad, control de acceso y consistencia del sistema o de
sus datos y aplicaciones.

Estas Vulnerabilidades son el resultado de Bugs o de fallos en el diseño del

sistema. Aunque, en un sentido más amplio, también puede ser el resultado de
las propias limitaciones tecnológicas, porque no existe un sistema 100 %
seguro. Por lo tanto existen Vulnerabilidades teóricas y Vulnerabilidades
reales.

Las Vulnerabilidades en las aplicaciones pueden corregirse con parches,

hotfixs o con cambios de versión. Otras requieren un cambio físico en el
Sistema Informático.

Las Vulnerabilidades se descubren en grandes sistemas y el hecho de que se

publique rápidamente por Internet, sin hallar una solución al problema, es
motivo de debate. Mientras más se haga conocida una Vulnerabilidad, hay mas
probabilidades de que existan piratas informáticos que quieran aprovecharse
de estas Vulnerabilidades.

PRINCIPALES VULNERABILIDADES

· Symlink races.

· Secuestro de sesiones.

· Desbordes de pila y otros buffers.

· Errores de validación de entradas.

· Ejecución de código remoto.

BUGS

Un defecto de Software es el resultado de un fallo o deficiencia durante el

proceso de creación de programas de ordenador. Este fallo puede presentarse
en cualquiera de las etapas del ciclo de vida de un Software; aunque los más
evidentes se dan en la etapa de desarrollo y programación.
AMENAZAS

Una vez que la programación y el funcionamiento de un dispositivo de

almacenamiento de la información se consideran seguras, todavía deben ser
tenidos en cuenta las circunstancias no informáticas que pueden afectar a los
datos, las cuales son a menudo inevitables, de modo que la única protección
posible es la redundancia y la descentralización.

CAUSAS

· EL USUARIO: Es la causa mayor del problema de la seguridad de un

sistema informático.

· PROGRAMAS MALICIOSOS: Son programas destinados a perjudicar o

a hacer uso ilícito de los recursos del sistema.

· INTRUSO: Es una persona que consigue acceder a los datos o

programas de los cuales no tiene acceso permitido.

· SINIESTRO: Una mala manipulación o mala mal intención provocan la

pérdida del material o de los archivos.

TIPOS DE AMENAZAS

Al conectar una red a un entorno externo, se le está dando la oportunidad al

intruso de entrar a ella, logrando hacer robo de la información o alterar el
funcionamiento de la red. Sin embargo no conectar la red a un entorno extorno
no garantiza la seguridad de la red.

Existen dos tipos de amenazas:

AMENAZAS INTERNAS: Generalmente estas amenazas pueden ser más

peligrosas que las externas por las siguientes razones:

Los usuarios conocen la red y saben su funcionamiento.

Tienen nivel de acceso a la red por las necesidades de trabajo.

Los Firewalls son mecanismos no efectivos en las amenazas internas.

AMENAZAS EXTERNAS: Son aquellas amenazas que se originan afuera de

la red. Al no tener información específica de la red, un atacante debe realizar
ciertos pasos para poder conocer que es lo que hay en ella y buscar la manera
de acceder para atacarla. La ventaja de este tipo de amenaza es que el
administrador de la red puede prevenir una buena parte de los ataques
externos.

LA AMENAZA INFORMATICA DEL FUTURO

Antes el objetivo de los ataques fue cambiar las plataformas tecnológicas

ahora las tendencias cibercriminales indican que la nueva modalidad es
manipular los significados de la información digital. El área semántica, era
reservada para los humanos, pero se convirtió en el núcleo de los ataques
debido a la evolución de la Web 2.0 y de las redes sociales, lo que llevo al
nacimiento de la generación 3.0.

Se afirma que esta generación de Web 3.0 otorga contenidos y significados de

tal manera que pueden ser comprendidos por los computadores, los cuales por
medio de técnicas de inteligencia artificial son capaces de mejorar la obtención
de nuevo conocimiento, y hasta el momento es reservado para humanos.

Se trata de dotar el significado de las páginas Web y de ahí el nombre de Web

semántica o Sociedad de Conocimiento, como la evolución de la ya pasada
Sociedad de la Información.

Es decir, las amenazas informáticas que vienen en el futuro ya no son los

troyanos en los sistemas o el software espía, sino que como los ataques se
han profesionalizado y manipulan el significado del contenido virtual.

La Web 3.0 se basa en conceptos como compartir, elaborar y significar, está

representando un gran desafío para los hackers que ya no utilizan las
plataformas convencionales de ataque, sino que optan por modificar los
significados de contenido digital, provocando así la confusión lógica del usuario
y permitiendo de este modo la intrusión en los sistemas. La amenaza ya no
necesita la clave de un ingenuo usuario, sino que modifica el balance de la
cuenta, asustando al internauta y luego proceder con el robo de su capital.

Para prevenir ser la victima de estos nuevos ataques, se recomienda:

· Evitar realizar operaciones comerciales o bancarias, en un café internet-

· Mantener los Antivirus activados y actualizados.

· Verificar los archivos adjuntos de mensajes sospechosos y evitar su

descarga.
Riesgo informático

El análisis de riesgos informáticos es un proceso que comprende la

identificación de activos informáticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos así como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles adecuados para
aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas

financieras o administrativas a una empresa u organización, se tiene la
necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicación de controles. Dichos controles, para
que sean efectivos, deben ser implementados en conjunto formando una
arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Controles informáticos.

El Control Informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos
informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.

Controles Preventivos: Anticipan eventos no deseados antes de que

sucedan.

 Son más rentables

 Deben quedar incorporados en los sistemas

 Evitan costos de corrección o reproceso

Ejemplo: El software de seguridad que evita el acceso a personal no
autorizado, para tratar de evitar la producción de errores o hechos
fraudulentos.
Controles Detectivos: Identifican los eventos en el momento en que se
presentan.

 Son más costosos que los preventivos

 Miden la efectividad de los preventivos

 Algunos errores no pueden ser evitados en la etapa preventiva

 Incluyen revisiones y comparaciones (registro de desempeño)

 Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de

variaciones, técnicas automatizadas

 Límites de transacciones, passwords, edición de reportes y auditoría

interna.
Ejemplo: Un programa de auditoría, para descubrir a posteriori errores o
fraudes que no haya sido posible evitarlos con controles preventivos.

Controles Correctivos: Aseguran que las acciones correctivas sean tomadas

para revertir un evento no deseado.

 Acciones y procedimientos de corrección (la recurrencia).

 Documentación y reportes que informan a la Gerencia, supervisando los

asuntos hasta que son corregidos o solucionados.
Ejemplo: Asesorar sobre el conocimiento de las normas.

Controles Directivos

 Los preventivos, detectivos y correctivos se focalizan en evitar eventos no

deseados

 Los Directivos son acciones positivas a favor de que sucedan ciertos

acontecimientos que favorecen al control interno (una política de
contratación de un Director Financiero).
Ejemplo: Una política de contratación de un Director Financiero
2. Elaborar un mapa conceptual que muestre las relaciones entre estos conceptos.
3. Consultar los conceptos de control interno informático y auditoría informática

La Auditoría Informática es un proceso llevado a cabo por profesionales

especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de

información dentro de una Organización y determinar qué Información es crítica
para el cumplimiento de su Misión y Objetivos, identificando necesidades,
falsedades, costes, valor y barreras, que obstaculizan flujos de información
eficientes. En si la auditoría informática tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin

contratar a personas ajenas, en el cual los empleados realizan esta auditoría
trabajan ya sea para la empresa que fueron contratados o simplemente algún
afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa

contrata a personas de afuera para que haga la auditoría en su empresa. Auditar
consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo
los cambios que se deberían realizar para la consecución de los mismos.

Los mecanismos de control en el área de Informática son:

Directivos, preventivos, de detección, correctivos o de recuperación ante una

contingencia.

Los objetivos de la auditoría Informática son:

 El análisis de la eficiencia de los Sistemas Informáticos

 La verificación del cumplimiento de la Normativa en este ámbito

 La revisión de la eficaz gestión de los recursos informáticos.

También existen otros tipos de auditoría:

 Auditoría operacional: se refiere a la revisión de la operación de una

empresa y juzga la eficiencia de la misma.
  Auditoría administrativa: se refiere a la organización y eficiencia de la
estructura del personal con la que cuenta el personal y los procesos
administrativos en que actúa dicho personal.

 Auditoría social: se refiere a la revisión del entorno social en que se ubica y

desarrolla una empresa, con el fin de valorar aspectos externos e internos
que interfieren en la productividad de la misma.

Sus beneficios son:

 Mejora la imagen pública.

 Confianza en los usuarios sobre la seguridad y control de los servicios de

TI.

 Optimiza las relaciones internas y del clima de trabajo.

 Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,

entre otros).

 Genera un balance de los riesgos en TI.

 Realiza un control de la inversión en un entorno de TI, a menudo

impredecible.

La auditoría informática sirve para mejorar ciertas características en la empresa

como:

* Desempeño

 Fiabilidad

 Eficacia

 Rentabilidad

 Seguridad

 Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes

áreas:

* Gobierno corporativo

 Administración del Ciclo de vida de los sistemas

 Servicios de Entrega y Soporte

  Protección y Seguridad

 Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio

de la auditoría informática ha promovido la creación y desarrollo de mejores
prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems

Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial
bastante extenso y la necesidad de mantenerse actualizado acumulando horas
(puntos) para no perder la certificación.

CONTROL INTERNO

El Control Interno Informático puede definirse como el sistema integrado al

proceso administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos
informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.

En el ambiente informático, el control interno se materializa fundamentalmente en

controles de dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software,

llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación

Control interno informático (función)

El Control Interno Informático es una función del departamento de Informática de

una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo
las normas, estándares, procedimientos y disposiciones legales establecidas
interna y externamente.

https://sites.google.com/site/navaintegdesign/temario/1-4-control-interno

1.3. Control interno

El control interno informático controla diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos;
estándares y normas fijados por la Dirección de la Organización y/o Dirección de
Informática, así como los requerimientos legales. La misión del control interno
informático es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y válidas.

El Control Interno Informático suele ser un órgano de staff de la Dirección del

Departamento de Informática y está dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden. Como principales
objetivos del Control Interno Informático, podemos indicar los siguientes:

■ Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.

■ Asesorar sobre el conocimiento de las normas.

■ Colaborar y apoyar el trabajo de Auditoria Informática, así como de las

auditorias externas al grupo.

■ Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático, lo cual no debe
considerarse como que la implantación de los mecanismos de medida y la
responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la implantación de
los medios de medida adecuados.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos. De este modo la auditoria informática sustenta
y confirma la consecución de los objetivos tradicionales de la auditoria, los cuales
son:

■ Objetivos de protección de activos e integridad de datos.

■ Objetivos de gestión que abarcan, no solamente los de protección de

activos sino también los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los

controles y procedimientos informáticos más complejos, desarrollando y aplicando
técnicas mecanizadas de auditoria, incluyendo el uso del software. En muchos
casos, ya no es posible verificar manualmente los procedimientos informatizados
que resumen, calculan y clasifican datos, por lo que se debe emplear software de
auditoria y otras técnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Dirección de la Organización

sobre el diseño y el funcionamiento de los controles implantados y sobre la
fiabilidad de la información suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor

informático:

■ Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informáticas, así como en las
fases análogas de realización de cambios importantes.

■ Revisar y juzgar los controles implantados en los sistemas informáticos

para verificar su adecuación a las órdenes e instrucciones de la Dirección,
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes.

■ Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los

equipos e información.
4. Elaborar un cuadro que muestre la diferencia entre los dos conceptos.

La Auditoria Informática y el Control Interno Informático son campos análogos. De

hecho, muchos de los actuales responsables de control interno informático
recibieron formación en seguridad informática tras su paso por la formación en
auditoria. Numerosos auditores se pasan al campo de control interno debido a la
similitud de los objetivos profesionales de control y auditoria. Pese a que ambas
figuras tienen objetivos comunes, existen diferencias que conviene matizar.
Veamos una tabla ilustrativa que muestra las similitudes y diferencias entre ambas
disciplinas:

Cuadro de diferencias:

AUDITORIA INFORMATICA CONTROL INTERNO

- Personal interno
- Conocimientos en T.I.
SEMEJANZA - Verificación del cumplimiento de controles internos y
procedimientos delegados por la dirección general de los sistemas
de información

-Análisis de un momento en
específico.
-Informa a la Dirección General de la
-Análisis de los controles. Organización.
DIFERENCIAS
-Informa a la Dirección del -Personal interno y/o externo.
departamento de -Cobertura sobre todos los
informática. componentes de los sistemas de
-Personal Interno información.
 Conclusión

Cuando hablamos de aspectos informáticos, hablamos de información la cual es

muy importante darle un buen manejo ya sea en una empresa u organización o en
nuestro hogar, en el anterior trabajo estudiamos un poco acerca de la importancia
de brindar un buen manejo a la información, brindando seguridad a esta en
diferentes aspectos y etapas que se deben seguir para que esta quede asegurada
de la forma adecuada.
 Referencias bibliográficas

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=4
1&docID=3176647&tm=1543338969122
Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática.
(pp. 4-35). Recuperado dehttps://es.scribd.com/document/252662002/Libro-
Auditoria-informatica