Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FASE 1 –INICIAL
PRESENTADO POR:
TUTOR (A)
CURSO
AUDITORIA DE SISTEMAS
PROGRAMA
INGENIERÍA DE SISTEMAS
CAED-TURBO
SEPTIEMBRE DE 2021
INTRODUCCIÓN
Con la aparición de los sistemas informáticos las organizaciones se ven constantemente
sometidas a una gran variedad de amenazas, que involucran desde fallos técnicos hasta acciones no
deseadas. Por ello, estos buscas diferentes metodologías y estrategias para mitigar los diferentes
privilegio para las empresas ya que estas buscan mantener sus datos bien seguros. La auditoría ha
sido el mecanismo factible para mejorar los hallazgos encontrados en la empresa. En la actualidad
empresas, presentan diferentes tipos de amenazas que atentan contra el buen funcionamiento de
estos entes, como son los virus, los malware, cibercriminales, spyware y un sinnúmero de amenazas
existentes, a diario se utilizan diferentes equipos que están conectados a internet, la mayor fuente de
OBJETIVOS ESPECÍFICOS.
Analizar e interpretar los conceptos de vulnerabilidades, amenazas, riesgos y
Lograr diferenciar las relaciones y diferencia entre estos conceptos, apropiándose del
tema fácilmente.
informática.
Actividad 1: Realizar una inspección bibliográfica de la Unidad 1 para reconocer los
diseñar un mapa conceptual con las principales características de cada uno de los conceptos.
UNA VULNERABILIDAD: Debilidad que poseen los sistemas informáticos los cuales
pueden ser utilizados por un agente externo como un hacker o cracker para causar daño,
organización, o también podemos decir, que son las posibilidades que existen de que una amenaza
Aunque, no todos los activos son vulnerables a las mismas amenazas. Por ejemplo, la
información es vulnerable a los movimientos de los hackers, mientras que una parcial eléctrica es
vulnerable a un cortocircuito, por lo que al realizar el análisis de riesgo hay que tener en cuenta la
UNA AMENAZA: Es toda acción que aprovecha una vulnerabilidad para atentar contra la
seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo
sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo,
manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser
datos sean exactos, oportunos, suficientes, y que durante su procesamiento no se vean afectados por
pérdida, omisión o redundancia, esto para que la información que brinda sea de utilidad para
próximos procesos y/o consultas. Es el conjunto de normas, técnicas, acciones y procedimientos que
evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones y así
1. Cuadro diferencia entre los conceptos control interno informático y auditoría informática:
Control interno
Diferencias respecta a: Auditoría informática
informático
Análisis de los Análisis en un
controles en el día a día momento determinado
Informa a la Informa a la
Personal Dirección del Departamento Dirección General de la
de Informática Organización.
Tanto personal
Solo persona interno
interno como externo
Lleva a cabo una
tarea que se considera una
Realiza las tareas de
parte más del proceso de
Aplicación control interno, anteriores al
control interno, Busca
trabajo de la auditoria.
mejorar de forma continua
la función del control.
Supervisa las tareas
que forman parte de la Evalúa como una
propia operativa de la actividad independiente y
organización, en base a los objetiva, dichos procesos y
Objetivos
procesos y procedimientos procedimientos para
establecidos, para asegurar mejorar la gestión de la
la consecución de los empresa.
objetivos empresariales.
El alcance de sus
El alcance de sus funciones tiene cobertura
funciones es únicamente sobre todos los
Funciones
sobre el Departamento de componentes de los
Informática. sistemas de información de
la Organización.
Actividad 3:
Activos informáticos: son los que permiten el desarrollo de las actividades diarias dentro de
una organización, es el recurso más importante debido a que sin ellos las actividades serian difíciles
de realizar, pero son muy vulnerables a los diferentes ataques informáticos que se presentan a nivel
de procesos dentro de una compañía por la gran cantidad de información contenida en ellos.
Hardware utilizado
Servidores web
Equipos de escritorio
Equipos portátiles
Bases de datos
Tabla 1: Vulnerabilidades, amenazas y riesgos
Activo
Estudiante Vulnerabilidad Amenazas Riesgo
Informáticos
Archivos y
Documentació Polvo,
Deterioro documentación
n y archivos corrosión
ilegibles
Material
Humedad, polvo, corrosivo,
Hardware Daño en equipos
salpicaduras exposición a
líquidos
Eliminación y/o
Mal diseño en interfaz Error al usar la perdida de
de usuario aplicación información
accidentalmente
Hurto de
Infección de
Software información y
los equipos de
acceso indebido
Descarga y uso no la compañía
al sistema por
controlado de software con algún tipo
parte de hackers
de programa
o personas
maligno
maliciosas
Alex Mauricio
Generación de
Ossa
Poco entrenamiento Mal uso de los errores al
equipos y manipular la
sistemas de información
información depositada en
los sistemas.
Saldría
información
muy
Recursos Hurto de
Baja supervisión al confidencial a
humanos información y
personal externo manos de
documentos
terceros que
luego podrá ser
utilizada.
Fuga y perdida
Uso no
Ausencia de políticas y de la
autorizado del
mecanismos de información
equipo y sus
seguridad confidencial de
programas
la empresa
Jainer José HP ProLiant Falta de Falla de Bajo
Arroyo Micro Server mantenimiento, Hardware rendimiento en
Gen8 (RAM daño por el servicio
4GB, 1 DD desgaste o prestado.
1 TB, 3
defectos de
Tarjetas de
fabricación
red)
Falta de
actualización
del SO o la
Ataque al
versión es
Asterisk servidor o falta
Caída del antigua y toca
(Planta de
Servicio instalar una
telefónica) mantenimiento,
nueva. Daño en
disco lleno
los diferentes
equipos
electrónicos.
Falta de idoneidad en el
personal
Pérdida de
contratado (fijo,
materiales por
temporal o
falta de una
contratista), falta de Robo,
buena seguridad
Vigilancia mantenimiento extorción,
informática.
de las políticas terrorismos.
(cámaras y
de seguridad
sensores de
en credenciales y
robo)
cifrado de la
información
José Luis Incoherencias en
Penagos Errores en el información
manejo de los importante.
programas.
Falta de
Falta de información de
información las diferentes
por el mal uso. áreas.
Talento Falta de capacitación
Humano del personal
Eliminación de Alteración de
datos y/o documentos
información porque no se
por parte de sabe ni se
los garantiza que la
trabajadores información sea
cierta
en como la aparición de una da paso a la otra, una amenaza no puede existir si no hay una
(s.f.).