AUDITORIA DE SISTEMAS

FASE 1 – INICIAL

PRESENTADO POR

ANDRES AUGUSTO HERNANDEZ MARTINEZ

CÓDIGO: 1.077.970.122

PRESENTADO A

GRUPO:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

FEBRERO DEL 2020

 INTRODUCCIÓN

En estos días donde la vida se mueve a través de la electrónica y la computación, es importante

tener en cuenta que, así como hacemos auditorías y revisiones a todos los aspectos de nuestra vida,

estas también deben ser aplicadas a cualquier desarrollo informático por más sencillo que parezca,

ya que cada uno de ellos representa una labor y propósito en cualquier aspecto de nuestra sociedad.

Por esto es importante iniciar con gran claridad la exploración de los conceptos referentes a las

vulnerabilidades, amenazas, riesgos y controles informáticos como primera medida de

investigación.
 OBJETIVOS

OBJETIVOS GENERALES

a. Identificar los conceptos fundamentales de la auditoría para poder diferenciarlos y buscar

las relaciones entre ellos mediante la interpretación de los mismos en las actividades

desarrolladas en la auditoria.

OBJETIVOS ESPECÍFICOS

a. Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles informáticos.

b. Elaborar un mapa conceptual que muestre las relaciones entre estos conceptos.

c. Consultar los conceptos de control interno informático y auditoría informática.

d. Elaborar un cuadro que muestre la diferencia entre los dos conceptos.

 DESARROLLO DE LA ACTIVIDAD

1. Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles informáticos.

 Vulnerabilidades: Las vulnerabilidades son el producto de fallos por los malos daños en

el software, también puede ser un producto de limitaciones de la tecnología que fue

diseñado. También como existen vulnerabilidades en el software, tenemos las

vulnerabilidades en el hardware, lo que se conoce como las vulnerabilidades físicas, entre

ellos puede existir, en el cual se relaciona con la posibilidad de acceder al físicamente al

sistema para robar, modificar o destruir lo que se encuentra ahí incluyendo la información

guardada en un disco o memoria. También hacia esas catástrofes se suman las

vulnerabilidades ocurridas por desastres naturales donde el sistema puede verse afectado

por desastres naturales que pueden dañar el sistema tales como el fuego, inundaciones,

rayos, terremotos, o quizás más comúnmente, fallos en las redes eléctricas o picos de

potencia. También el polvo, la humedad o la temperatura excesiva son aspectos a tener en

cuenta.

 Amenazas: El sistema puede ver que funcione correctamente por fuera, pero por dentro

corre un gran peligro, porque no cuenta con una buena seguridad ante los ataques

cibernéticos que se presenta en el entorno digital, como los softwares maliciosos que

aparecen a menudo, camuflados en publicaciones o en enlaces o correos falsos o

plataformas falsas junto con perfiles falsos donde la información puede secuestrada o

robada por intrusos o personas no autorizadas para acceder al sistema para hacerles

modificaciones o manipular de manera inaccesible la información, ya sea por el usuario

que en si comete en ocasiones errores de descuidar la información y los archivos guardado

en el espacio y por eso deja ocasionar una mala manipulación donde los archivos están en
 riesgo hasta que los deja perder o dañarlos pueda ser que dejen el escrito en un papel el

post-it con el password o contraseña escrita en un papel donde a exposición de peligro una

persona con malas intenciones o dejar su espacio de usuario abierto cuando no se le está

dando uso al sistema o a su base de datos. Lo otro es la amenaza en lo físico, son las malas

condiciones el lugar en que el servidor se encuentre, también se da por las condiciones

ambientales como es el caso del pronóstico del día, cuando es el tiempo de lluvias, la falta

de mantenimiento de los equipos, la mala manipulación que se la da y para rematar con

estos casos, las fallas que se presenta en las redes eléctricas cuando los circuitos se

encuentran en mal estado, pero también las redes de internet cuando son cableados UTP

ya que son presa fácil de los ajenos que las hurtan para sacar el cobre y venderlo en kilos

o los servidores de redes cuando no se les hace un mantenimiento.

 Riesgos: Hace referencia a la potencia de perdidas ocurridas en el sistema expuesto en sí,

está relacionado a la amenaza y las vulnerabilidades que expone a la organización y

sistemas informáticos a lo que se conoce como riesgo. Puede ser definido como la

posibilidad de que algo que ocurra impacte negativamente sobre la información o sobre

los recursos para gestionarla, la Norma ISO/IEC-27002 la han definido como un

pronóstico de ocurrencia que pueda traer en diferentes hechos y sus consecuencias. Una

probabilidad de ocurrencia es el producto de análisis sobre datos históricos respecto a

cuantas veces sucedió un hecho similar en un periodo de tiempo que se tomara como

unidad. Se entiende por consecuencias, el impacto, es decir, los hechos o acontecimientos

que resultan de uno o varios eventos evaluados para esa organización. En el género

literario técnico, se hace referencia al énfasis de estudio de la vulnerabilidad en la

necesidad de la reducción de unas medidas donde se lleven unos controles que permita
 mitigar la intención para poder reducir los riesgos. La seguridad informática es la

encargada de identificar las vulnerabilidades que se presentan en el sistema y el

establecimiento de medidas que controlen y eviten las posibles amenazas que se evidencie

en el sistema así evitar que se estallen las vulnerabilidades, los últimos resultados hacer

de seguridad informática, han determinado que no existe una seguridad informática al

máximo por más que tengan muchas formas de asegurarla por más que hagan

modificaciones en java script y tenga detección anti malware, los cibercriminales siempre

buscaran las diferentes formas de ingresar al sistema; la seguridad informáticas que existen

en la actualidad son leves o más o menos y lo más importante es evitar que se le haga

constantemente controles previos y que cualquier movimiento extraño en los servidores

den aviso para parar la amenaza y los riesgos.

 Controles informáticos: Se puede definir el control interno como “cualquier actividad o

acción realizada manual y/o automáticamente para prevenir, corregir errores o

irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus

objetivos”. Los controles cuando se diseñen, desarrollen e implementen; han de ser al

menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto

último habrá que analizar el coste-riesgo de su implementación. Los controles internos

que se utilizan en el entorno informático continúan evolucionando hoy en día en la medida

que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la

tecnología de soportes físicos y de software han modificado de manera significativa los

procedimientos que se emplean tradicionalmente para controlar los procesos de

aplicaciones y para gestionar los sistemas de información. Para asegurar la integridad y la

disponibilidad, eficacia de los sistemas se requieren complejos mecanismos de control, la

 mayoría de los cuáles son automáticos. Resulta interesante observar, sin embargo, que

hasta en los sistemas servidor/cliente avanzados, aunque algunos controles son

completamente automáticos, otros son completamente manuales, y muchos dependen de

una combinación de elementos de software y de procedimientos. Históricamente los

controles informáticos se han clasificado en las siguientes categorías: Controles

preventivos, Controles detectivos y Controles correctivos.

La relación que existe entre los métodos de control y los objetivos de control se puede

mostrar mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control

se utiliza para satisfacer objetivos de control tanto de mantenimiento cómo de seguridad

de los programas:

 Objetivos de control de mantenimiento: Asegurar que las modificaciones de los

procedimientos programados están adecuadamente diseñadas, probadas, aprobadas

e implementadas.

 Objetivo de control de seguridad de programas: Garantizar que no se pueden

efectuar cambios no autorizados en los procedimientos programados.

 Control interno informático: El Control Interno Informático puede definirse como el

sistema integrado al proceso administrativo, en la planeación, organización, dirección y

control de las operaciones con el objeto de asegurar la protección de todos los recursos

informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos

operativos automatizados. (Auditoría Informática – Aplicaciones en Producción – José

Dagoberto Pinilla) El Informe COSO define el Control Interno como “Las normas, los

procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar

seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no
 deseados se preverán, se detectarán y se corregirán. También se puede definir el Control

Interno como cualquier actividad o acción realizada manual y/o automáticamente para

prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un

sistema para conseguir sus objetivos. (Auditoría Informática – Un Enfoque Práctico –

Mario G. Plattini)

 Tipos

- En el ambiente informático, el control interno se materializa fundamentalmente en

controles de dos tipos:

 Controles manuales; aquellos que son ejecutados por el personal del área usuaria

o de informática sin la utilización de herramientas computacionales.

 Controles Automáticos; son generalmente los incorporados en el software,

llámense estos de operación, de comunicación, de gestión de base de datos,

programas de aplicación, etc.

- Los controles según su finalidad se clasifican en:

 Controles Preventivos, para tratar de evitar la producción de errores o hechos

fraudulentos, como por ejemplo el software de seguridad que evita el acceso a

personal no autorizado.

 Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya

sido posible evitarlos con controles preventivos.

 Controles Correctivos; tratan de asegurar que se subsanen todos los errores

identificados mediante los controles detectivos

 Auditoria informática: Es la encargada de llevar el proceso de recoger, agrupar y evaluar

las evidencias para determinar si un sistema informatizado salvaguarda los activos,

mantiene la integridad de los datos, llevando a cabo los fines de la organización y

utilizando efectivamente los recursos. El auditor los que hace es evaluar y comprueba en

determinados momentos del tiempo los controles y procedimientos informáticos más

complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el

uso del software. En muchos casos, a no es posible verificar manualmente los

procedimientos informatizados que resumen, calculan y clasifican los datos, por lo que se

deberá emplear software de auditoria y otras técnicas asistidas por el ordenador. El auditor

es responsable de revisar e informar a la dirección de la organización sobre el diseño y el

funcionamiento de los controles implantados y sobre la fiabilidad de la información

suministrada.

 Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la

realización del trabajo, están diseñadas para producir una lista de riesgos que pueden

compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos

valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de

un riesgo de incidencias donde el número de incidencias tiende al infinito.

 Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso

de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir

riesgos significantes desconocidos (depende de la capacidad del profesional para

usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que

requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

2. El mapa conceptual en CmapTools de las relaciones entre los conceptos de vulnerabilidad, amenaza y riesgo.
3. Diferencias entre control interno informático y auditoría informática.
LA AUDITORÍA INFORMÁTICA
 Tiene la función de vigilancia y evaluación
mediante dictámenes y todas las
metodologías van encaminadas a esta
función.
 Tiene sus propios objetivos distintos a los
auditores de cuentas.
 Los auditores de cuentas la necesitan para
utilizar la información de sus sistemas para
evaluaciones financieras y operativas.
 Evalúan eficiencia, costo y seguridad en su
más amplia visión.
 Operan según el plan auditor.
 Establecen planes con tiempos definidos y
ciclos completos.
 Sistemas de evaluación de repetición de
auditoría por nivel de exposición del área
auditada y el resultado de la última
auditoria de esta área.
 Función de soporte informático de todos los
auditores.
CONTROL INTERNO INFORMÁTICO
 Función normativa y del cumplimiento
del marco jurídico.
 Tiene funciones propias (Administración
de la Seguridad lógica, etc.)
 Responsable del desarrollo y
actualización del plan de contingencias,
manuales de procedimientos y plan de
seguridad.
 Dictar normas de seguridad
informática.
 Definir los procedimientos de control.
 Control de soportes físicos.
 Control de información sensible o
comprometida.
 Control de calidad del servicio
informático.
 Definición de requerimientos de
seguridad en proyectos nuevos, control de
cambios y versiones
 El control informático es el componente
de la actuación segura entre los usuarios,
la informática y control interno, todos
ellos auditados por auditoría informática.
 CONCLUSIONES

 La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo.

 su utilización, eficiencia y seguridad, de la organización que participan en el

procesamiento de la información, a fin de que por medio del señalamiento de cursos

alternativos se logre una utilización más eficiente y segura de la información que servirá

para una adecuada toma de decisiones.

 La auditoría en informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar

los sistemas de información en general desde sus entradas, procedimientos, controles,

archivos, seguridad y obtención de información.

 La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los

sistemas sean confiables y con un buen nivel de seguridad.

 REFERENCIAS BIBLIOGRÁFICAS

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=3176

647&tm=1543338969122

 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).

Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

 Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica. (pp. 9- 29).Recuperado

de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%

ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su clasificación.

Recuperado de http://hdl.handle.net/10596/10236

 Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23475

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos. (pp. 119-

181). Recuperado de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

 Gómez, V. Á. (2014). Vulnerabilidades de los sistemas informáticos. Auditoría de seguridad

informática. Recuperado

de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046196

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Retrieved

from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=31

76647&tm=1543338969122

 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara, México: Editorial

CECSA. (pp. 29-117)recuperado de: http://eprints.uanl.mx/6977/1/1020073604.PDF

 ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado

de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

 Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de

desarrollo. Auditoría de sistemas una visión práctica. (p p. 31-67). Recuperado

de https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%

ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Quezada-Sarmiento, P. A. paquezada@utpl. edu. e., Alvarado-Camacho, P.-E.

pealvarado@utpl. edu. e., & Chango-Cañaveral, P. M. 2pmchango@utpl. edu. e. (n.d.).

Retrieved

from http://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/login.aspx?di

rect=true&db=aci&AN=127420924&lang=es&site=eds-live

 Solarte Solarte, F. ( 07,01,2019). Metodología de Auditoría - Fases y Resultados. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23476

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de http://hdl.handle.net/10596/10234

 Solarte Solarte, F. ( 07,01,2019). Estructura Estándar CobIT. [Archivo de video]. Recuperado

de: http://hdl.handle.net/10596/23477

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de: http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Metodología de la auditoria con

estándar CobIT. Recuperado de: http://hdl.handle.net/10596/10234

 INTECO. [Incibe]. (2010, 05, 21). Gestión y tratamiento de riesgos. [archivo de video].

Recuperado de: https://www.youtube.com/watch?v=9T9X0q2y6vQ&t=24