AUDITORIA DE SISTEMAS

FASE 1 – INICIAL

PRESENTADO POR

ANDRES AUGUSTO HERNANDEZ MARTINEZ

CÓDIGO: 1.077.970.122

PRESENTADO A

GRUPO:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

FEBRERO DEL 2020

 INTRODUCCIÓN

En estos días donde la vida se mueve a través de la electrónica y la computación, es importante

tener en cuenta que, así como hacemos auditorías y revisiones a todos los aspectos de nuestra vida,

estas también deben ser aplicadas a cualquier desarrollo informático por más sencillo que parezca,

ya que cada uno de ellos representa una labor y propósito en cualquier aspecto de nuestra sociedad.

Por esto es importante iniciar con gran claridad la exploración de los conceptos referentes a las

vulnerabilidades, amenazas, riesgos y controles informáticos como primera medida de

investigación.
 OBJETIVOS

OBJETIVOS GENERALES

a. Identificar los conceptos fundamentales de la auditoría para poder diferenciarlos y buscar

las relaciones entre ellos mediante la interpretación de los mismos en las actividades

desarrolladas en la auditoria.

OBJETIVOS ESPECÍFICOS

a. Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles informáticos.

b. Elaborar un mapa conceptual que muestre las relaciones entre estos conceptos.

c. Consultar los conceptos de control interno informático y auditoría informática.

d. Elaborar un cuadro que muestre la diferencia entre los dos conceptos.

 DESARROLLO DE LA ACTIVIDAD

1. Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles informáticos.

 Vulnerabilidades: Las vulnerabilidades son el producto de fallos por los malos daños en

el software, también puede ser un producto de limitaciones de la tecnología que fue

diseñado. También como existen vulnerabilidades en el software, tenemos las

vulnerabilidades en el hardware, lo que se conoce como las vulnerabilidades físicas, entre

ellos puede existir, en el cual se relaciona con la posibilidad de acceder al físicamente al

sistema para robar, modificar o destruir lo que se encuentra ahí incluyendo la información

guardada en un disco o memoria. También hacia esas catástrofes se suman las

vulnerabilidades ocurridas por desastres naturales donde el sistema puede verse afectado

por desastres naturales que pueden dañar el sistema tales como el fuego, inundaciones,

rayos, terremotos, o quizás más comúnmente, fallos en las redes eléctricas o picos de

potencia. También el polvo, la humedad o la temperatura excesiva son aspectos a tener en

cuenta.

 Amenazas: El sistema puede ver que funcione correctamente por fuera, pero por dentro

corre un gran peligro, porque no cuenta con una buena seguridad ante los ataques

cibernéticos que se presenta en el entorno digital, como los softwares maliciosos que

aparecen a menudo, camuflados en publicaciones o en enlaces o correos falsos o

plataformas falsas junto con perfiles falsos donde la información puede secuestrada o

robada por intrusos o personas no autorizadas para acceder al sistema para hacerles

modificaciones o manipular de manera inaccesible la información, ya sea por el usuario

que en si comete en ocasiones errores de descuidar la información y los archivos guardado

 en el espacio y por eso deja ocasionar una mala manipulación donde los archivos están en

riesgo hasta que los deja perder o dañarlos pueda ser que dejen el escrito en un papel el

post-it con el password o contraseña escrita en un papel donde a exposición de peligro una

persona con malas intenciones o dejar su espacio de usuario abierto cuando no se le está

dando uso al sistema o a su base de datos. Lo otro es la amenaza en lo físico, son las malas

condiciones el lugar en que el servidor se encuentre, también se da por las condiciones

ambientales como es el caso del pronóstico del día, cuando es el tiempo de lluvias, la falta

de mantenimiento de los equipos, la mala manipulación que se la da y para rematar con

estos casos, las fallas que se presenta en las redes eléctricas cuando los circuitos se

encuentran en mal estado, pero también las redes de internet cuando son cableados UTP

ya que son presa fácil de los ajenos que las hurtan para sacar el cobre y venderlo en kilos

o los servidores de redes cuando no se les hace un mantenimiento.

 Riesgos: Hace referencia a la potencia de perdidas ocurridas en el sistema expuesto en sí,

está relacionado a la amenaza y las vulnerabilidades que expone a la organización y

sistemas informáticos a lo que se conoce como riesgo. Puede ser definido como la

posibilidad de que algo que ocurra impacte negativamente sobre la información o sobre

los recursos para gestionarla, la Norma ISO/IEC-27002 la han definido como un

pronóstico de ocurrencia que pueda traer en diferentes hechos y sus consecuencias. Una

probabilidad de ocurrencia es el producto de análisis sobre datos históricos respecto a

cuantas veces sucedió un hecho similar en un periodo de tiempo que se tomara como

unidad. Se entiende por consecuencias, el impacto, es decir, los hechos o acontecimientos

que resultan de uno o varios eventos evaluados para esa organización. En el género

literario técnico, se hace referencia al énfasis de estudio de la vulnerabilidad en la

 necesidad de la reducción de unas medidas donde se lleven unos controles que permita

mitigar la intención para poder reducir los riesgos. La seguridad informática es la

encargada de identificar las vulnerabilidades que se presentan en el sistema y el

establecimiento de medidas que controlen y eviten las posibles amenazas que se evidencie

en el sistema así evitar que se estallen las vulnerabilidades, los últimos resultados hacer

de seguridad informática, han determinado que no existe una seguridad informática al

máximo por más que tengan muchas formas de asegurarla por más que hagan

modificaciones en java script y tenga detección anti malware, los cibercriminales siempre

buscaran las diferentes formas de ingresar al sistema; la seguridad informáticas que existen

en la actualidad son leves o más o menos y lo más importante es evitar que se le haga

constantemente controles previos y que cualquier movimiento extraño en los servidores

den aviso para parar la amenaza y los riesgos.

 Controles informáticos: Es la autenticación y autorización de acceso, que abarca

únicamente la aprobación de acceso, por lo que el sistema adopta la decisión de conceder

o rechazar una solicitud de acceso de un sujeto ya autenticado, sobre la base a lo que el

sujeto está autorizado a acceder. Controla diariamente todas las actividades del sistema

informático, las cuales se realizan en el cumplimiento de los estándares, conforme con las

normas de dirección y organización o la dirección informática según el cumplimiento de

los requerimientos exigidos y legales, por lo que el sistema adopta la decisión de conceder

o rechazar una solicitud de acceso de un sujeto ya autenticado, sobre la base a lo que el

sujeto está autorizado a acceder, la autenticación y control de acceso a menudo se

combinan en una sola operación, por lo que el acceso está aprobado sobre la base de la

autenticación exitosa, o sobre la base de una tokens de acceso anónimo. Los métodos de
 autenticación y tokens incluyen contraseñas, escaneados biométricos, llaves físicas, llaves

electrónicas y dispositivos, caminos ocultos, barreras sociales y monitoreo por seres

humanos y sistemas automatizados. El informe COSO define el Control Interno como las

normas, los procedimientos, las prácticas y las estructuras organizadas diseñadas para

proporcionar seguridad razonable de que el objetivo de la empresa se alcanzara y que los

eventos no deseados se preverán, se detectaran y se corregirán.

 Control interno informático: Es el encargado de llevar los procesos administrativos en

la planeación, organización, dirección y control de las operaciones con el objeto de

asegurar la protección de todos los recursos informáticos y mejorar los índices de

economía, eficiencia y efectividad de los procesos operativos automatizados. También es

el encargado de controlar todos los movimientos de las actividades que se operan en el

sistema así detectando e evitando cualquier tipo de amenaza que se presente en el sistema

que alteren y se pongan en riesgo la información, el cual sean realizado cumpliendo con

todos los procedimientos, estándares y normas fijadas en los procedimientos de la

dirección y/o organización de la dirección de sistemas de acuerdo a los parámetros de las

normas y los requerimientos legales. La función del control interno informático es, que las

medidas que se obtienen de los mecanismos implantadas sean correctas y válidas. También

suele ser un órgano de staff del departamento de informática que esta y está dotado de las

personas y materiales de proporción a los cometidos que se le encomienden. Como

principales objetivos del Control Interno Informático, podemos indicar los siguientes:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas

fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

 Asesorar sobre el conocimiento de las normas.

  Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías

externas al grupo.

 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

grados adecuados del servicio informático, lo cual no debe considerarse como que la

implantación de los mecanismos de medida y la responsabilidad del logro de esos

niveles se ubique exclusivamente en la función de Control Interno, sino que cada

responsable de objetivos y recursos es responsable de esos niveles, así como de la

implantación de los medios de medida adecuados.

 Auditoria informática: Es la encargada de llevar el proceso de recoger, agrupar y evaluar

las evidencias para determinar si un sistema informatizado salvaguarda los activos,

mantiene la integridad de los datos, llevando a cabo los fines de la organización y

utilizando efectivamente los recursos. El auditor los que hace es evaluar y comprueba en

determinados momentos del tiempo los controles y procedimientos informáticos más

complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el

uso del software. En muchos casos, a no es posible verificar manualmente los

procedimientos informatizados que resumen, calculan y clasifican los datos, por lo que se

deberá emplear software de auditoria y otras técnicas asistidas por el ordenador. El auditor

es responsable de revisar e informar a la dirección de la organización sobre el diseño y el

funcionamiento de los controles implantados y sobre la fiabilidad de la información

suministrada.

 Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la

realización del trabajo, están diseñadas para producir una lista de riesgos que pueden

compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos
 valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de

un riesgo de incidencias donde el número de incidencias tiende al infinito.

 Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso

de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir

riesgos significantes desconocidos (depende de la capacidad del profesional para

usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que

requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

2. El mapa conceptual en CmapTools de las relaciones entre los conceptos de vulnerabilidad,

amenaza y riesgo.
3. Diferencias entre control interno informático y auditoría informática.
LA AUDITORÍA INFORMÁTICA
 Tiene la función de vigilancia y evaluación
mediante dictámenes y todas las
metodologías van encaminadas a esta
función.
 Tiene sus propios objetivos distintos a los
auditores de cuentas.
 Los auditores de cuentas la necesitan para
utilizar la información de sus sistemas para
evaluaciones financieras y operativas.
 Evalúan eficiencia, costo y seguridad en su
más amplia visión.
 Operan según el plan auditor.
 Establecen planes con tiempos definidos y
ciclos completos.
 Sistemas de evaluación de repetición de
auditoría por nivel de exposición del área
auditada y el resultado de la última auditoria
de esta área.
 Función de soporte informático de todos los
auditores.
CONTROL INTERNO INFORMÁTICO
 Función normativa y del cumplimiento del
marco jurídico.
 Tiene funciones propias (Administración
de la Seguridad lógica, etc.)
 Responsable del desarrollo y actualización
del plan de contingencias, manuales de
procedimientos y plan de seguridad.
 Dictar normas de seguridad
informática.
 Definir los procedimientos de control.
 Control de soportes físicos.
 Control de información sensible o
comprometida.
 Control de calidad del servicio
informático.
 Definición de requerimientos de seguridad
en proyectos nuevos, control de cambios y
versiones
 El control informático es el componente de
la actuación segura entre los usuarios, la
informática y control interno, todos ellos
auditados por auditoría informática.
CONCLUSIONES
 REFERENCIAS BIBLIOGRÁFICAS

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=3176

647&tm=1543338969122

 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).

Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

 Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica. (pp. 9- 29).Recuperado

de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%

ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su clasificación.

Recuperado de http://hdl.handle.net/10596/10236

 Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23475

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp. 119-

181). Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de seguridad

informática. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=31

76647&tm=1543338969122

 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara, México: Editorial

CECSA. (pp. 29-117)recuperado de: http://eprints.uanl.mx/6977/1/1020073604.PDF

 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

 Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado

de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%

ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Quezada-Sarmiento, P. A. paquezada@utpl. edu. e., Alvarado-Camacho, P.-E.

pealvarado@utpl. edu. e., & Chango-Cañaveral, P. M. 2pmchango@utpl. edu. e. (n.d.).

Retrieved

from http://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/login.aspx?di

rect=true&db=aci&AN=127420924&lang=es&site=eds-live

 Solarte Solarte, F. ( 07,01,2019). Metodología de Auditoría - Fases y Resultados. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23476

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de http://hdl.handle.net/10596/10234

 Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT. [Archivo de video]. Recuperado

de: http://hdl.handle.net/10596/23477

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de: http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de: http://hdl.handle.net/10596/10234

 INTECO. [Incibe]. (2010, 05, 21). Gestión y tratamiento de riesgos. [archivo de video].

Recuperado de: https://www.youtube.com/watch?v=9T9X0q2y6vQ&t=24