Auditoría de sistemas

Metodología práctica para auditoría de sistemas

aplicando el estándar CobIT 4.1

Francisco Nicolás Javier Solarte Solarte

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Vulnerabilidad, Amenaza y Riesgo

Vulnerabilidad Amenaza

Riesgo
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Una vulnerabilidad es una debilidad en un sistema
informático que puede ser aprovechado por un atacante para
violar la seguridad y cometer un delito causando daños. La
Vulnerabilidad es la capacidad, las condiciones y
características del sistema mismo, que lo hace susceptible a
amenazas, con el resultado de sufrir algún daño.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática

Las vulnerabilidades son consideradas como un elemento

interno del sistema por lo tanto es deber de los
administradores y usuarios detectarlos, valorarlos y
reducirlos. Las vulnerabilidades están directamente
relacionadas con las amenazas, por lo tanto si no existen
vulnerabilidad tampoco habrá amenazas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Física: Relacionada con el acceso físico al
sistema o al acceso a las instalaciones del área informática o
a los equipos de cómputo que contienen la información o
forman partes de los procesos esenciales del sistema.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Natural: Sensibilidad de los activos
informáticos a factores naturales en el entorno, pueden ser
desastres ocasionados por fuerzas naturales que causan
daño al sistema. Este tipo de vulnerabilidades están
asociadas a deficiencias en las medidas tomadas para
afrontar los desastres.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del Hardware: Las vulnerabilidades de
hardware representan la probabilidad de que las piezas
físicas del sistema fallen dejando al sistema desprotegido o
inoperable. También hacen relación a las formas en que el
hardware puede ser usado para atacar la seguridad del
sistema.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad Software: Un producto software puede ser
vulnerable ante ataques de otro software, debido a errores
de programación, o errores en el diseño para el control de
acceso, seguridad, implantación, entre otros.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad de la Red: Las redes son los sistemas más
vulnerables ya que se trata de una serie de equipos
conectados entre si compartiendo recursos lo que posibilita
los ataques a toda la red penetrando uno de los equipos y
posteriormente expandirse al resto.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de vulnerabilidad informática
Vulnerabilidad del factor humano: El elemento humano es
el más difícil de controlar y el más vulnerable del sistema.
Algunas de las vulnerabilidades de origen humano son la
falta de capacitación y concientización dando lugar al
cumplimiento de políticas de seguridad o el mal manejo del
equipo de cómputo y/o el sistema informático.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Las amenazas son factores externos al sistema por lo cuál es
posible establecer medidas para protegerse pero es
prácticamente imposible controlarlas o eliminarlas. Las
amenazas son eventos que pueden causar alteraciones en
los activos informáticos o la información ocasionando
pérdidas materiales, económicas, de información que
afectan el prestigio de la organización.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de factor humano: Las personas son la principal
fuente de amenaza en los sistemas informáticos y es el tipo
de amenaza donde se invierte más recursos para
controlarlos. Entre las amenazas más comunes están:
Curiosos, Intrusos, Personal interno, Terroristas, Robo,
Sabotaje, Fraude, Ingeniería social.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza de Hardware: Ocasionada por fallas físicas que
presenten los elementos de hardware que soportan al
sistema informático. Estas fallas pueden ser defectos de
fabricación, diseño del hardware, mal uso, descuido, falta de
mantenimiento, Suministro de energía, Desgaste.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en la Red de datos: Las dos principales amenazas
en una red de datos son la no disponibilidad de la red y la
extracción lógica de información por ataques deliberados.
Entre las amenazas en la red están: Incumplimiento de
normas cableado estructurado, la configuración de servicios,
seguridad de usuarios de la red, la topología elegida.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de amenaza informática
Amenaza en el Software: Las amenazas de software incluyen
posibles fallas de un sistema operativo, software mal
desarrollado, mal diseñado o mal implantado, software
malicioso amenaza directa contra el sistema. Dentro de los
tipos de amenaza en el software tenemos: Software de
desarrollo, Software de aplicación, Código malicioso, Virus,
Troyanos, Gusanos, Errores de programación y diseño.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Definición de riesgo informático
Según la ISO riesgo es: “La probabilidad de que una amenaza
se materialice, utilizando la vulnerabilidad existentes de un
activo o grupos de activos, generándoles pérdidas o daños”.
El riesgo es una condición del mundo real, en el cual hay una
exposición a la adversidad conformada por una combinación
de circunstancias del entorno con posibilidad de pérdidas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos de Integridad: Interface del usuario, Procesamiento,
Procesamiento de errores, Interface, Administración de
cambios, Información.

Riesgos de Relación: Estos riesgos se refieren al uso

oportuno de la información creada por una aplicación para la
toma de decisiones.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipo de riesgo informático
Riesgos de Acceso: Procesos de negocio, Aplicación,
Administración de la información, Entorno de
procesamiento, Redes, Nivel físico

Riesgos de utilidad: Técnicas de recuperación/restauración

usadas en caso de caída de los sistemas, los Backups y planes
de contingencia.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Riesgos en la Infraestructura: Planeación organizacional,
Definición de las aplicaciones, Administración de seguridad,
Operaciones de red y computacionales, Administración de
sistemas de bases de datos, Información / Negocio.

Riesgos de seguridad general: Riesgos de choque de

eléctrico, Riesgos de incendio, Riesgos de niveles
inadecuados de energía eléctrica, Riesgos de radiaciones,
Riesgos mecánicos

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Tipos de riesgo informático
Concentración de procesamiento de aplicaciones de mayor
complejidad

Dependencia en el personal clave

Desaparición de los controles tradicionales

Huelgas, terrorismo e inestabilidad social

FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?

FI-GQ-GCMU-004-015 V. 001-17-04-2013
 Francisco Nicolás Solarte

Docente de carrera Universidad Nacional

Abierta y a Distancia - UNAD
Docente hora cátedra Universidad de Nariño

solartefrancisco@gmail.com

Blog
http://auditordesistemas.blogspot.com.co/

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias

FI-GQ-GCMU-004-015 V. 001-17-04-2013