UNIDAD 1: FASE 1 – INICIAL DESARROLLO FASE 1

PRESENTADO POR:
ALEXANDER POTOSI IMBACHI
CODIGO:
1.061.756.488

TUTOR:
MARIA CONSUELO RODRIGUEZ

GRUPO:
90168_27

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ECBTI
PROGRAMA DE INGENIERIA DE SISTEMAS
AUDITORIA DE SISTEMAS
POPAYÁN CAUCA
FEBRERO 2020
 DESARROLLO DE LA ACTIVIDAD

1. Consultar los conceptos de vulnerabilidades, amenazas, riesgos y controles

informáticos.

La vulnerabilidad es una debilidad o fallo en un sistema de información que pone en

riesgo la seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es
necesario encontrarlas y eliminarlas lo antes posible. Estos “agujeros” pueden tener
distintos orígenes, por ejemplo: fallos de diseño, errores de configuración o carencias de
procedimientos. [ CITATION Tam01 \l 9226 ]Por tanto, las vulnerabilidades son las
condiciones y características propias de los sistemas de una organización que la hacen
susceptible a las amenazas. El problema es que, en el mundo real, si existe una
vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar
provecho de su existencia

La amenaza: es toda acción que aprovecha una vulnerabilidad para atentar contra la
seguridad de un sistema de información. Es decir, que podría tener un potencial efecto
negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de
ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y
decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto
de vista de una organización pueden ser tanto internas como externas.[ CITATION
Tam01 \l 9226 ]

El riesgo: es una condición del mundo real, en el cual hay una exposición a la
adversidad conformada por una combinación de circunstancias del entorno donde hay
posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados
y amenazas a los sistemas de información.[ CITATION Sol16 \l 9226 ] Se entiende como
riesgo informático un estado de cualquier sistema que indica que ese sistema está en
peligro, daño o riesgo de ser hacheados para adquirir información de la empresa o
persona. Se entiende como peligro o daño todo aquello que pueda afectar el correcto
funcionamiento de los equipos o sistemas vinculados a la red.

Los Controles Informáticos: tiene como función el de controlar que todas las
actividades relacionadas a los sistemas de información automatizados se realicen
 cumpliendo las normas, estándares, procedimientos y disposiciones legales
establecidas. También puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los procesos operativos automatizados.[
CITATION Hue12 \l 9226 ]

2. Elaborar un mapa conceptual que muestre las relaciones entre estos conceptos.

Ilustración 1 Diagrama de relación de las temáticas

Link: https://cmapscloud.ihmc.us/viewer/cmap/1TYNGZT7H-182TJYC-LQ699P

3. Consultar los conceptos de control interno informático y auditoría informática

Control Interno Informático se define como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos automatizados. Además de
controlar que todas las actividades que se realizan cumpliendo los procedimientos y normas
fijados para evaluar su seguridad en el cumplimiento de las normas legales informáticos
establecidas.[ CITATION Der09 \l 9226 ] Donde como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para conseguir sus objetivos

Auditoria Informática es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.
[ CITATION Hue12 \l 9226 ]Por lo tanto, es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar
evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial,
mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones
establecidas.

4. Elaborar un cuadro que muestre la diferencia entre los dos conceptos.

Diferencia entre las temáticas

Control Interno Informático
Se realizar periódicamente y está a
cargo del área informática de la
empresa
Informa al área de informática de la
empresa
El alcance de sus funciones es
únicamente sobre el departamento de
informática
Es una tarea que hace el personal del
área informática que está estipulada en acabo auditorias y lo hace mediante contrato de
su contrato
Evalúa los sistemas de control interno
y detección de riesgos
El personal que la realizar no está
familiarizado con la documentación o
fallas del sistema
Auditoria Informática
Se realiza mediante una petición de la empresa
y la realizar personal experto en auditoria
Informa a la dirección general de la empresa
La cobertura del análisis esta sobre todos los
compontes de información de la empresa
Lo realizar una persona experta dedica a llevar
prestación de servicios
Analiza la confiabilidad de los estados
financieros de la empresa así como posibles
fallas
El personal está calificado para realizar
reportes de fallas y designar tareas
 La empresa tiene la autonomía de La empresa está en la obligación que acatar las
acatar las mejoras que sugiere el área correcciones que indica el experto
sistemas
BIBLIOGRAFÍA

Derrien, Y. (2009). Técnicas de la auditoría informática. Obtenido de

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?
ppg=41&docID=3176647&tm=1543338969122
Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática.
Obtenido de https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica
Solarte, F. N. (23 de Mayo de 2016). Riesgos informáticos y su clasificación. Obtenido de
http://hdl.handle.net/10596/10236
Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una
visión práctica. Obtenido de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false