Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica

y de Investigación - VIACI
Escuela ECBTI Curso: Auditoría de Sistemas

Unidad 1
Fase 1 - Inicial

Presentado por:
Julián Andres Muñoz Villarreal (código: 83041302)
Luis Denilso Sánchez padilla (código: 1007582348)
Marye Liceth Jiménez Niño (código: 1065873408)

Presentado al tutor(a):
Francisco Nicolás Solarte

Grupo:
90168_43

Universidad Nacional Abierta y a Distancia- UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería

13 de Febrero del 2020

 Introducción

El objetivo de esta actividad, es pretender hacer un análisis inicial y conocer los diferentes

conceptos de vulnerabilidad, amenazas, riesgo, auditoría informática y control interno

informático con el fin de conocer sus características más relevantes e identificar los

procesos que se realizan para llevar a cabo una auditoría en una empresa, y de esta manera

identificar las actividades que permitirán llevar a cabo satisfactoriamente esta tarea.

La aplicación de este proceso en nuestro ámbito profesional, nos permitirá ampliar nuestro

campo de acción al momento de aportar nuestros conocimientos, esperamos que con este

trabajo se abarque toda la información referente al tema y se tenga un conocimiento general

sobre el mismo.
Objetivo general

Conocer los conceptos fundamentales de la auditoria de sistemas e identificar la relación y

diferencia ente control interno y auditoria informática.

Objetivo específicos

-  Leer, afianzar conocimientos adquiridos de la Unidad 1,  resolviendo los puntos de la

guía. 

- Elaborar mapa conceptual que muestre las diferencias entre control interno y auditoria

informática
Vulnerabilidades

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la dimensión que

ha cobrado en la actualidad. En efecto, las vulnerabilidades se han vuelto una materia en sí

misma, ya que su búsqueda, desarrollo de pruebas de concepto,  explotación y publicación

de las actualizaciones que las corrigen son parte de un ciclo que involucra múltiples actores

interesados, entre los que pueden citarse instituciones académicas, investigadores

independientes, empresas especializadas, gobiernos y hasta organizaciones supranacionales.

Una vulnerabilidad es una debilidad de un bien o de un control, que puede ser aprovechada

por una amenaza. Se trata de una característica negativa del bien, también conocido como

activo o recurso de información, o de un control que se implementó sobre él, que lo hace

vulnerable. En efecto esa vulnerabilidad es susceptible de ser aprovechada y varía de

acuerdo con los cambios en las condiciones que dieron origen a su existencia o a las

acciones que se tomen con el fin de evitar su explotación o aprovechamiento.

De esta definición se desprende que las vulnerabilidades afectan a los bienes de una

organización, pero también pueden darse sobre un procedimiento destinado a protegerlo.

En cada uno de estos casos, corresponderá analizar las posibilidades de que las

vulnerabilidades sean aprovechadas, sus características y su ciclo de vida.

Un caso particular lo constituye el software utilizado masivamente, como por ejemplo las

aplicaciones Web, los sistemas operativos y la ofimática, para el cual el tema de las

vulnerabilidades constituye además una pérdida de confianza en productos y proveedores.

Su origen y las causas por las cuales aparecen, su divulgación, los vectores de ataque, sus
posibles impactos y su alcance, entre otros factores, vuelven al tema complejo y en

continuo avance, resultando motivo tanto de grandes especulaciones como de alarma real

en algunos casos.

En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseño, por una

codificación deficiente o insegura, por errores en la implementación o por falta de

mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementación y

mantenimiento de una pieza de software es susceptible de poseer una debilidad que es

factible usar para alterar su funcionamiento. Un ejemplo significativo es el protocolo

utilizado para el envío de correos electrónicos, que no fue diseñado pensando en la

seguridad y que provoca que hoy suframos la consecuencia de este problema de diseño, por

citar un caso, cuando se usa para distribuir phishing, suplantando identidades.

Amenazas

El término amenaza, en contraposición al de vulnerabilidad, requiere pensar los posibles

problemas que nos pueden afectar en un futuro cercano, por lo que plantea un

posicionamiento anterior a un hecho, que representa algún grado de probabilidad de

materializarse. A manera de ejemplos de amenazas reales pueden citarse los virus, los

delincuentes informáticos o las intrusiones.

No existe una terminología uniforme en el campo de la informática al respecto, ya que se

habla de amenazas cibernéticas, ciberamenazas, amenazas a la seguridad de la información

o a la informática. El concepto hace referencia a una situación potencial que supone un

daño para un activo o para un control implementado en una organización, con cierta
probabilidad de ocurrencia. La ITU (International Telecommunication Union) define una

amenaza como una violación potencial a la seguridad y, en ese sentido, para el contexto

informático debe interpretarse para la seguridad de la información.

Dicho lo anterior se aprecia que es un término que generaliza y enuncia los problemas a los

que se encuentra expuesta una organización, a través de los denominados agentes de

amenazas, que son las entidades que aprovechan una vulnerabilidad.

Otra definición es aquella que la caracteriza como cualquier acción o acontecimiento no

deseado e inesperado con la capacidad de ocasionar consecuencias adversas. En este caso,

se habla de ella como origen de un incidente no deseado, que podría causar daños a un

sistema u organización, si cualquiera de ellos presentara alguna debilidad o falla.

Existen amenazas relacionadas con fallas humanas, catástrofes naturales o ataques

deliberados. Las fallas humanas pueden ser con intención o sin ella, debido a negligencia,

impericia o mal uso. También se clasifican como internas o externas dependiendo de su

origen: desde dentro de la propia organización o desde un punto remoto. Dentro de las

amenazas naturales son ejemplos los terremotos o las inundaciones.

Riesgo

La materialización de una amenaza que aprovecha una vulnerabilidad expone a las

organizaciones y sus sistemas informáticos a lo que se conoce como riesgo. El riesgo puede

ser definido como la posibilidad de que algo que ocurra impacte negativamente sobre la

información o sobre los recursos para gestionarla. La Norma ISO/IEC-27002 lo define

como la combinación de la probabilidad de ocurrencia de un determinado hecho y sus

consecuencias. La probabilidad de ocurrencia es el producto del análisis sobre datos

históricos respecto a cuántas veces sucedió un hecho similar en un periodo de tiempo que

se tomará como unidad. Se entiende por consecuencias, el impacto, es decir, los hechos o

acontecimientos que resultan de uno o varios eventos evaluados para esa organización.

La determinación de la probabilidad de ocurrencia y la valoración del impacto tienen lugar

en el proceso de gestión del riesgo, que dará como producto la decisión de distribuir o

aplicar los controles, sobre la base de una ecuación de costo/beneficio, dando como

resultado la determinación del nivel de riesgo aceptable y la identificación del riesgo a

mitigar.

Los riesgos en las organizaciones pueden ser de todo tipo: ambientales, de mercado,

financieros, estratégicos, operacionales, de cumplimiento, etcétera. Los riesgos vinculados

al uso de tecnologías de información son transversales a todos.

Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que permita

prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una amenaza

específica. Se trata de medidas dirigidas a producir un efecto sobre la probabilidad de

ocurrencia de una amenaza determinada o sobre su impacto.

Los controles pueden ser de naturaleza técnica, de gestión o legal, de acuerdo con la

definición dada en la Norma ISO/IEC antes citada.

Mapa conceptual.
El Control Interno Informático.

Puede definirse como el sistema integrado al proceso administrativo, en la planeación,

organización, dirección y control de las operaciones con el objeto de asegurar la protección

de todos los recursos informáticos y mejorar los índices de economía, eficiencia y

efectividad de los procesos operativos automatizados.

En el ambiente informático, el control interno se materializa fundamentalmente en

controles de dos tipos:

• Controles manuales: Aquellos que son ejecutados por el personal del área usuaria o de

informática sin la utilización de herramientas computacionales.

• Controles Automáticos: Son generalmente los incorporados en el software, llámense

estos de operación, de comunicación, de gestión de base de datos, programas de aplicación

Control interno informático (función)

El control interno informático es una función del departamento de informática de una

organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los

sistemas de información automatizados se realicen cumpliendo las normas, estándares,

procedimientos y disposiciones legales establecidas interna y externamente.

La auditoría informática.

Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y

que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de

información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a

cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple
con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de

los recursos y los flujos de información dentro de una organización y determinar qué

información es crítica para el cumplimiento de su misión y objetivos, identificando

necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información

eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son adecuados y

cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se

deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser

directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

 Diferencias.
CONTROL INTERNO
INFORMÁTICO
El control interno informático cuyo
objetivo es el de controlar que todas
las actividades relacionadas a los
sistemas de información
automatizados se realicen
DIFERENCIAS
cumpliendo las normas, estándares,
procedimientos y disposiciones
legales establecidas interna y
externamente.
Sus características son:
1.- Análisis de los controles en el día
a día.
2.- Informa a la Dirección del
Departamento de Informática.
3.- Solo persona interno.
4.- El alcance de sus funciones es
únicamente sobre el Departamento
de Informática.
AUDITORÍA INFORMÁTICA
La auditoría informática consiste
principalmente en estudiar los
mecanismos de control que están
implantados en una empresa u
organización, determinando si los
mismos son adecuados y cumplen unos
determinados objetivos o estrategias,
estableciendo los cambios que se
deberían realizar para la consecución de
los mismos. Los mecanismos de control
pueden ser directivos, preventivos, de
detección, correctivos o de
recuperación ante una contingencia.
Sus características son:
1.- Análisis en un momento
determinado
2.- Informa a la Dirección General de la
Organización.
3.- Tanto personal interno como
externo.
4.- El alcance de sus funciones tiene
cobertura sobre todos los componentes
de los sistemas de información de la
Organización.
 Conclusión

En conclusión podemos decir que  la auditoría informática es una herramienta que nos

permite revisar y evaluar uno o varios procesos con el ánimo de corregir un error y

proponer soluciones para mitigar sus causas, donde lo ideal para una organización es

practicar auditorias informativas en sus múltiples dependencias y procesos, donde también

podemos resaltar la importancia que juega la función de control interno en una empresa o

negocio el cual comprende el plan de organización, los métodos y procedimientos que tiene

establecidos.
 Referencias Bibliográficas

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado

de https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=41&docID=3176647&tm=1543338969122

La referencia muestra los conceptos y los tipos de auditoría para la fase inicial.

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-

35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-

informatica

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una

visión práctica. (pp. 9- 29).Recuperado de https://books.google.com.co/books?

id=HdtpS3UBCuMC&lpg=PA14&dq=auditor

%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false