AUDITORIA DE SISTEMAS

Guía de actividades y rúbrica de evaluación – Fase 1 Inicial

Participantes
Lorena Patricia Vásquez Ortiz
Alejandro Garzon Cuellar
Diana Paola Santibáñez
Grupo: 90168_30

Tutor: Ángela Dayana Garay Villada

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Programa Ingeniería de Sistemas
Cead Ibagué
2020
 Introducción

En el siguiente trabajo tiene como fin reconocer las definiciones y las diferencias entre los
conceptos de vulnerabilidad, amenaza y riesgos informáticos expuestos en una
organización para determinar las causas que los originan y resolver los problemas mediante
la definición y aplicación de controles. Para lograr dicho objetivo, se realizará una
inspección bibliográfica de los conceptos mencionados.
 OBJETIVOS

 Analizar e interpretar los conceptos de vulnerabilidades, amenazas, riesgos y

controles informáticos, comprendiendo la importancia que se tienen en el medio.

 Lograr diferenciar las relaciones y diferencia entre estos conceptos, apropiándose

del tema fácilmente.
 Actividad Lorena Patricia Vásquez Ortiz

Para el desarrollo de la actividad tenga en cuenta que:

Cada estudiante debe publicar sus aportes individuales en el foro de trabajo inicial, para que
sea visible a sus compañeros sobre los siguientes temas:

Vulnerabilidad informática:

Es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la

información pudiendo permitir que un atacante pueda comprometer la integridad,
disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y
eliminarlas lo antes posible. Estos agujeros pueden tener distintos orígenes, por ejemplo:
fallos de diseño, errores de configuración o carencias de procedimientos.

Amenaza

Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un
sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún
elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo,
virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales
(mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización
pueden ser tanto internas como externas.

Riesgo informático:

Analicemos tres conceptos fundamentales para la comprensión de un riesgo informático. El

primer aspecto clave se lo denomina vulnerabilidad, este concepto hace referencia a una
debilidad conocida que posee un activo, en otras palabras, es un defecto conocido que
permite un ataque.

En la actualidad crear un sistema completamente blindado de ataques es muy complejo,

debido a que existen requerimientos que un sistema debe contener para ser funcional.
Dichos requerimientos tienen conflicto entre ellos negando así la posibilidad de tener un
sistema perfecto.

Control informático:

Puede definirse como el sistema integrado al proceso administrativo, en la planeación,

organización, dirección y control de las operaciones con el objeto de asegurar la protección
de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados.
En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense

estos de operación, de comunicación, de gestión de base de datos, programas de aplicación

Diferencias entre control interno informático y auditoria

CONTROL INTERNO AUDITOR INFORMÁTICO

INFORMATICO
DIFERENCIAS 1.- Análisis de los controles en el
día a día.
2.- Informa a la Dirección del
Departamento de Informática.
3.- Solo persona interno.
4.- El alcance de sus funciones es
únicamente sobre el
Departamento de Informática.
1.- Análisis en un momento
determinado
2.- Informa a la Dirección
General de la Organización.
3.- Tanto personal interno como
externo.
4.- El alcance de sus funciones
tiene cobertura sobre todos los
componentes de los sistemas de
información de la Organización.

 Activos informativos dentro de una organización

La información es uno de los activos potencialmente más valiosos que puede tener una
empresa.

El valor real de esa información depende de cómo es gestionada, del tiempo que se
emplea para procesarla y traducirla en el lanzamiento de producto o servicios y de en
qué medida se utiliza eficientemente y es cualitativamente mejor que la de las empresas
competidoras.
  Estructurar un cuadro de vulnerabilidad, amenaza, riesgo aplicados a un activo
informático.

Activo
Estudiante Vulnerabilidad Amenaza Riesgos
informático
Filtraciones de líquidos.
Programas
Presencia de personas o
automatizados de Los
actividades inusuales.
Lorena escaneo y ataque, que administradores
Patricia Servidores se aprovechan para distraídos que
Amenazas al personal
Vásquez amenazar o descubrir olvidan remendar
relacionadas con la calidad
servidores y sus sistemas.
del aire (sustancias
dispositivos
extrañas suspendidas en el
aire.
 Actividad: Alejandro Garzon Cuellar

Para el desarrollo de la actividad tenga en cuenta que:

Cada estudiante debe publicar sus aportes individuales en el foro de trabajo inicial, para que
sea visible a sus compañeros sobre los siguientes temas:

 Consultar los conceptos de vulnerabilidad, amenaza, riesgo, control informático.

R/=

Vulnerabilidad informática:

Son los puntos débiles o carentes en su seguridad que sufren los sistemas informáticos,
los más comunes como es el sistema operativo y software, son todas las posibles
infiltraciones que pueden tener un software permitiendo su modificación, robo y su
funcionamiento deficiente. existen dos tipos de vulnerabilidad las cuales corresponden
a la vulnerabilidad teórica, la cual se describe todo tipos de riesgos a las cuales el
sistema puede estar expuesto.

Amenazas informáticas:

Existen dos tipos de amenazas informáticas.

Amenazas internas son aquellas que provienen de algún usuario interno de la

aplicación, generalmente son las más agresivas ya que los firewall o cortafuegos no
pueden proteger el sistema desde adentro. Las amenazas externas son todo tipo de
software o factor externo del sistema que intenta violar, filtrar y sustraer información,
los más conocidos son los spyware, hardware y spam.

Riesgo informático:

Le damos el nombre de riesgo informático a un proceso que comprende la

identificación de los activos informáticos como sus vulnerabilidades y amenazas a los
que se encuentra expuesto, así como a las probabilidades que ocurran y al impacto que
estos puedan generar.

Control informático:
 Es aquel que controla diariamente que todas las actividades de los sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas
fijados por la dirección de la organización informática, como los requerimientos
legales.

 Consultar los activos informativos dentro de una organización.

R/=

Son aquellos recursos (hardware y software) con los que cuenta una empresa. Es decir,
todo elemento que compone el proceso completo de comunicación, partiendo desde la
información, el emisor, el medio de transmisión y receptor.

Ejemplo: Servidores, Bases de Datos, Rúters, Racks, Programas Instaladores, Cables de

Red, etc.

 Estructurar un cuadro de vulnerabilidad, amenaza, riesgo aplicados a un activo

informático.

Seguridad física y lógica

Activo
Estudiante Vulnerabilidad Amenaza Riesgos
informático
Perdida de datos
Se puede contraer virus
Mala ubicación del centro
Información
de cómputo.
Se pueden dañar errónea
Equipos que los equipos
Software mal configurado.
Alejandro conforman tanto Daños en
Garzón Cuéllar físico como digital. Acceder sin hardware
Desconocimiento o falta de
autorización a los
socialización de normas o
sistemas de Caída de la red
políticas responsables de la
información
información
Servido fuera de
servicio
 Actividad Diana Paola Santibáñez

Marco conceptual
A continuación, se presentará la definición de vulnerabilidad, amenaza, riesgo y control
informático.

Vulnerabilidad informática:

Según el Instituto Nacional de Bioseguridad (INCIBE), es una debilidad o fallo en un

sistema de información que pone en riesgo la seguridad de la información pudiendo
permitir que un atacante pueda comprometer la integridad, disponibilidad o
confidencialidad de esta, por lo que es necesario encontrarlas y eliminarlas lo antes posible.
Estos «agujeros» pueden tener distintos orígenes, por ejemplo: fallos de diseño, errores de
configuración o carencias de procedimientos.

Amenazas informáticas:

Según el Instituto Nacional de Bioseguridad (INCIBE), es toda acción que aprovecha una
vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que
podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las
amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios,
inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no
usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como
externas.

Riesgo informático:

El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose

una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta
vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de
denegación de servicios, un virus… El riesgo depende entonces de los siguientes factores:
la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y
produciendo un daño o impacto. El producto de estos factores representa el riesgo.
Control informático:

Sistema integrado al proceso administrativo, en la planeación, organización, dirección y

control de las operaciones con el objeto de asegurar la protección de todos los recursos
informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos
operativos automatizados.

Controla diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de
la Organización y/o la Dirección de Informática, así como los requerimientos legales.

La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen
de los mecanismos implantados por cada responsable sean correctas y válidas.

La Auditoría informática

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva al cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos.

Sus principales objetivos son:

 Objetivos de protección de activos y datos, e integridad de los datos.

  Objetivos de gestión sobre la eficacia y eficiencia de los procesos, así como de la
utilidad, fiabilidad e integridad de los equipos e información.

Fig. 1. Tomado de Calameo, Claudia Páez

Activos informativos dentro de una organización.

Son aquellos recursos (hardware y software) con los que cuenta una empresa. Es decir, todo
elemento que compone el proceso completo de comunicación, partiendo desde la
información, el emisor, el medio de transmisión y receptor. Por ejemplo: Servidores, Bases
de Datos, Rúters, Racks, Programas Instaladores, Cables de Red, etc.
 Fig. 2. Relación de las vulnerabilidades con los otros elementos de la seguridad de la
información. Tomado de QA: news

Estructuración de un cuadro de vulnerabilidad, amenaza, riesgo aplicados a un activo

informático.

Activo informático Vulnerabilidad Amenaza Riesgos

 Falta de  Espionaje
 Puede ser infectado informático
mantenimiento.
de virus.
 Desconocimiento de  Perdida de datos
 Recibir un Malware
la configuración del
El software utilizado o código malicioso
Software.  Daños en el software
para el procesamiento,
transporte o  Desconfiguración
 Falta de formación o  Caída de la red
del software.
almacenamiento de de los usuarios de la
información. organización sobre  Promulgación de
 El uso inapropiado
prácticas de datos confidenciales.
de las redes sociales
seguridad.
dentro de la
responsables de la
organización.
información.  Pérdida de
reputación.
 Bibliografía

Lorena Patricia Vásquez Ortiz

Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 5 – 119). Recuperado de
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/45891?page=1

Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-

35). Recuperado de https://es.scribd.com/document/252662002/Libro-Auditoria-
informatica

Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una

visión práctica. (pp. 9- 29).Recuperado de https://books.google.com.co/books?
id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Alejandro Garzon Cuellar

amenazas-y-vulnerabilidades-de-los-sistemas-informaticos.html [en línea], [sin fecha]. S.l.:
s.n. [Consulta: 5 febrero 2021]. Disponible en: https://infotecs.mx/blog/amenazas-y-
vulnerabilidades-de-los-sistemas-informaticos.html.
Análisis de riesgo informático. En: Page Version ID: 121847809, Wikipedia, la
enciclopedia libre [en línea], 2019. [Consulta: 5 febrero 2021]. Disponible en:
https://es.wikipedia.org/w/index.php?title=An%C3%A1lisis_de_riesgo_inform
%C3%A1tico&oldid=121847809.
DerecPenalyCriminXXIX.indd. , [sin fecha]. pp. 10.
DerecPenalyCriminXXIX.indd.pdf [en línea], [sin fecha]. S.l.: s.n. [Consulta: 5 febrero
2021]. Disponible en: https://core.ac.uk/download/pdf/230095193.pdf.
MEZTLI VALERIANO OROZCO, 22:31:50 UTC. 1.6 Activos Informáticos. [en línea].
Educación. S.l. [Consulta: 5 febrero 2021]. Disponible en:
https://es.slideshare.net/meztli9/16-activos-inf.
ROMERO CASTRO, M.I., FIGUEROA MORÁN, G.L., VERA NAVARRETE, D.S.,
ÁLAVA CRUZATTY, J.E., PARRALES ANZÚLES, G.R., ÁLAVA MERO, C.J.,
MURILLO QUIMIZ, Á.L. y CASTILLO MERINO, M.A., 2018. Introducción a la
seguridad informática y el análisis de vulnerabilidades. S.l.: Editorial Científica 3Ciencias.
ISBN 978-84-949306-1-4.
 Diana Paola Santibáñez
Auditoría Informática. [Consulta: 3 febrero 2021]. Publicado por: Google Sites. Disponible
en: https://sites.google.com/site/navaintegdesign/home
Blogspot. (2015). DIFERENCIA ENTRE CONTROL INTERNO INFORMÁTICO Y
AUDITOR INFORMÁTICO. [Consulta: 9 febrero 2021]. Publicado por: AUDITORÍA
INFORMÁTICA. Disponible en:
http://auditoriainformaticavidanueva.blogspot.com/2015/05/blog-post.html
Carisio, E. Vulnerabilidad informática: ¿Cómo protegerse? [Consulta: 3 febrero 2021].
Publicado por: MEDIAPRO. Disponible en: https://blog.mdcloud.es/vulnerabilidad-
informaticacomoprotegerse/#:~:text=Una%20vulnerabilidad%20inform%C3%A1tica
%20es%20una,de%20los%20datos%20que%20procesa
España, S. (2013). "Evaluación de la seguridad de los Sistemas Informáticos: políticas,
estándares y análisis de riesgos”. [Consulta: 9 febrero 2021]. Publicado por: QA: news, Tu
centro de expertise en España sobre Digital Assurance y Testing. Disponible en:
https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-
informaticos-politicas-estandares-y-analisis-de-riesgos/
INCIBE. (2017). Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? [Consulta: 3
febrero 2021]. Publicado por: INSTITUTO NACIONAL DE CIBERSEGURIDAD.
Disponible en: https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-
sabes-se-diferencian
Orozco, V. (2013). Activos Informáticos. [Consulta: 3 febrero 2021]. Publicado por
Slideshare. Disponible en: https://es.slideshare.net/meztli9/16-activos-inf
Páez, P. CONTROL INTERNO Y AUDITORÍA INFORMÁTICA. [Consulta: 9 febrero
2021]. Publicado por: CALAMÉO. Disponible en:
https://en.calameo.com/read/002090061e8f4ceab8b46
Yunda, L. (2016). RIESGOS INFORMÁTICOS. [Consulta: 3 febrero 2021]. Publicado
por: CALAMÉO. Disponible en: https://en.calameo.com/read/002949916549b9d86a30e