ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

FASE 1 –INICIAL

PRESENTADO POR:

JAINER JOSÉ ARROYO ACEVEDO

CÓDIGO: 1.104.375.325
GRUPO: 90168_9

TUTOR (A)

ÁNGELA DAYAN GARAY VILLADA

CURSO

AUDITORIA DE SISTEMAS

PROGRAMA

INGENIERÍA DE SISTEMAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

CAED-TURBO

SEPTIEMBRE DE 2021
 INTRODUCCIÓN
Con la aparición de los sistemas informáticos las organizaciones se ven constantemente

sometidas a una gran variedad de amenazas, que involucran desde fallos técnicos hasta acciones no

deseadas. Por ello, estos buscas diferentes metodologías y estrategias para mitigar los diferentes

riesgos informáticos y daños en los sistemas. La seguridad de la información se ha convertido en un

privilegio para las empresas ya que estas buscan mantener sus datos bien seguros. La auditoría ha

sido el mecanismo factible para mejorar los hallazgos encontrados en la empresa. En la actualidad

la informática y en especial la información es uno de los activos principales de las organizaciones y

empresas, presentan diferentes tipos de amenazas que atentan contra el buen funcionamiento de

estos entes, como son los virus, los malware, cibercriminales, spyware y un sinnúmero de amenazas

existentes, a diario se utilizan diferentes equipos que están conectados a internet, la mayor fuente de

amenazas para la seguridad.

 OBJETIVO GENERAL

Identificar los conceptos básicos de la Auditoría de Sistemas, para poder diferenciarlos y

buscar las relaciones entre ellos mediante la interpretación de los mismos.

OBJETIVOS ESPECÍFICOS.
Analizar e interpretar los conceptos de vulnerabilidades, amenazas, riesgos y

controles informáticos, comprendiendo la importancia que se tienen en el medio

Lograr diferenciar las relaciones y diferencia entre estos conceptos, apropiándose del

tema fácilmente.

Investigar sobre la diferencias entre control interno informático y auditoria

informática.
 Actividad 1: Realizar una inspección bibliográfica de la Unidad 1 para reconocer los

conceptos de vulnerabilidad, amenaza y riesgos informáticos y a partir de ello, deberá

diseñar un mapa conceptual con las principales características de cada uno de los conceptos.

UNA VULNERABILIDAD: Debilidad que poseen los sistemas informáticos los cuales

pueden ser utilizados por un agente externo como un hacker o cracker para causar daño,

ocasionando malestar en las bases de datos y en la información de carácter privado de la

organización, o también podemos decir, que son las posibilidades que existen de que una amenaza

se materialice contra un activo.

Aunque, no todos los activos son vulnerables a las mismas amenazas. Por ejemplo, la

información es vulnerable a los movimientos de los hackers, mientras que una parcial eléctrica es

vulnerable a un cortocircuito, por lo que al realizar el análisis de riesgo hay que tener en cuenta la

vulnerabilidad de cada activo de manera independiente.

UNA AMENAZA: Es toda acción que aprovecha una vulnerabilidad para atentar contra la

seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo

sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo,

virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal

manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser

tanto internas como externas.

UN RIESGOS: Es la probabilidad de que una amenaza se materialice, utilizando la

vulnerabilidad existente en un activo o grupo de activos generando pérdidas.

 EL RIESGO INFORMÁTICO: El riesgo en los sistemas informáticos, propone que los

datos sean exactos, oportunos, suficientes, y que durante su procesamiento no se vean afectados por

pérdida, omisión o redundancia, esto para que la información que brinda sea de utilidad para

próximos procesos y/o consultas. Es el conjunto de normas, técnicas, acciones y procedimientos que

interactuando entre si con los sistemas y subsistemas organizacionales y administrativos, permite

evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones y así

garantizar la ejecución de los objetivos, logros y metas propuestos.

 Actividad 2:

Tabla 1 Jainer Arroyo

1. Cuadro diferencia entre los conceptos control interno informático y auditoría informática:

Control interno
Diferencias respecta a: Auditoría informática
informático
Análisis de los Análisis en un
controles en el día a día momento determinado
Informa a la Informa a la
Personal Dirección del Departamento Dirección General de la
de Informática Organización.
Tanto personal
Solo persona interno
interno como externo
Lleva a cabo una
tarea que se considera una
Realiza las tareas de
parte más del proceso de
Aplicación control interno, anteriores al
control interno, Busca
trabajo de la auditoria.
mejorar de forma continua
la función del control.
Supervisa las tareas
que forman parte de la Evalúa como una
propia operativa de la actividad independiente y
organización, en base a los objetiva, dichos procesos y
Objetivos
procesos y procedimientos procedimientos para
establecidos, para asegurar mejorar la gestión de la
la consecución de los empresa.
objetivos empresariales.
El alcance de sus
El alcance de sus funciones tiene cobertura
funciones es únicamente sobre todos los
Funciones
sobre el Departamento de componentes de los
Informática. sistemas de información de
la Organización.
 Actividad 3:

Activos informáticos: son los que permiten el desarrollo de las actividades diarias dentro de

una organización, es el recurso más importante debido a que sin ellos las actividades serian difíciles

de realizar, pero son muy vulnerables a los diferentes ataques informáticos que se presentan a nivel

de procesos dentro de una compañía por la gran cantidad de información contenida en ellos.

Activos informativos dentro de una organización:

 Hardware utilizado

 Software instalado en cada uno de los equipos

 Personal o recurso humano

 Servidores web

 Equipos de escritorio

 Equipos portátiles

 Bases de datos
 Tabla 1: Vulnerabilidades, amenazas y riesgos

Activo
Estudiante Vulnerabilidad Amenazas Riesgo
Informáticos
Archivos y
Documentació Polvo,
Deterioro documentación
n y archivos corrosión
ilegibles
Material
Humedad, polvo, corrosivo,
Hardware Daño en equipos
salpicaduras exposición a
líquidos
Eliminación y/o
Mal diseño en interfaz Error al usar la perdida de
de usuario aplicación información
accidentalmente
Hurto de
Infección de
Software información y
los equipos de
acceso indebido
Descarga y uso no la compañía
al sistema por
controlado de software con algún tipo
parte de hackers
de programa
o personas
maligno
maliciosas
Alex Mauricio
Generación de
Ossa
Poco entrenamiento Mal uso de los errores al
equipos y manipular la
sistemas de información
información depositada en
los sistemas.
Saldría
información
muy
Recursos Hurto de
Baja supervisión al confidencial a
humanos información y
personal externo manos de
documentos
terceros que
luego podrá ser
utilizada.
Fuga y perdida
Uso no
Ausencia de políticas y de la
autorizado del
mecanismos de información
equipo y sus
seguridad confidencial de
programas
la empresa
Jainer José HP ProLiant Falta de Falla de Bajo
Arroyo Micro Server mantenimiento, Hardware rendimiento en
Gen8 (RAM daño por el servicio
4GB, 1 DD desgaste o prestado.
 1 TB, 3
defectos de
Tarjetas de
fabricación
red)
Falta de
actualización
del SO o la
Ataque al
versión es
Asterisk servidor o falta
Caída del antigua y toca
(Planta de
Servicio instalar una
telefónica) mantenimiento,
nueva. Daño en
disco lleno
los diferentes
equipos
electrónicos.
Falta de idoneidad en el
personal
Pérdida de
contratado (fijo,
materiales por
temporal o
falta de una
contratista), falta de Robo,
buena seguridad
Vigilancia mantenimiento extorción,
informática.
de las políticas terrorismos.
(cámaras y
de seguridad
sensores de
en credenciales y
robo)
cifrado de la
información
José Luis Incoherencias en
Penagos Errores en el información
manejo de los importante.
programas.
Falta de
Falta de información de
información las diferentes
por el mal uso. áreas.
Talento Falta de capacitación
Humano del personal
Eliminación de Alteración de
datos y/o documentos
información porque no se
por parte de sabe ni se
los garantiza que la
trabajadores información sea
cierta

Hardware Mal uso de los equipos Exposición a Corto circuito de

por parte del personal alimentos los equipos por
líquidos por el manejo de
parte de los líquidos en
usuarios. equipos
electrónicos.
Falta de
 Degradac
ión y sobre
frecuencia de esfuerzo de los
limpieza de los equipos
equipos. haciendo que se
esfuercen en su
uso.
Errores al usar
Complejidad en los la aplicación. Frecuentes
procesos que se realizan errores en el uso
a diario. Falenci del programa
a de haciendo que se
Software
Falta de funciones en el información y reinicie
programa para datos al constantemente
garantizar una correcta momento de perdiendo
información. uso por falta información
de funciones.
Ataques mal
intencionado
por parte de Robo de
personas que información y
puedan documentación.
Fácil acceso a los acceder a las
Seguridad recursos físicos de la instalaciones. Facilidad de
Física empresa donde se ataque de virus o
maneja información Daño de malware por
equipos por directa
parte de instalación en
terceros o por los equipos.
mal uso de los
mismos.
Alteración de
datos por parte
de usuarios Robo de
En los programas
que no información de
usados por una empresa
conocen en su diferentes áreas
con una diversidad de
totalidad los o alteración de
usuarios no se maneja
usos y manejo funciones por
Seguridad ni se lleve un orden de
del programa. usuarios que no
Lógica los usuarios limitando
deberían
las acciones y acceso a
Eliminación o modificar
la información
alteración de información o
almacenada o la que se
información características
pueda procesar
importante del programa.
para diferentes
usuarios.
 CONCLUSIÓN

Se puede observar la clara diferencia entre vulnerabilidad, amenaza y riesgo, y de la manera

en como la aparición de una da paso a la otra, una amenaza no puede existir si no hay una

vulnerabilidad en nuestros procesos o programas, y de la misma manera no hay un riesgo si no

existe una amenaza y previamente a esta una vulnerabilidad.

 REFERENCIAS BIBLIOGRÁFICAS

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 5 – 119). . (s.f.).

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35). .

(s.f.).

Solarte Solarte, F. N. J. (2016). Riesgos informáticos y su clasificación. Universidad Nacional

Abierta y a Distancia. (s.f.).

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica. (pp. 9- 29). (s.f.).