UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

CENTRO REGIONAL DE VERAGUAS

AUDITORIA Y SEGURIDAD INFORMATICA
PARCIAL # 1
Temas: Normas y controles internos de auditoria

Facilitadora: Milka De Gracia de Escobar Fecha: 6 de mayo de 2022 valor: 100pts

Nombres: Carmen Tenorio Cedula 2-745-376
Nombres: Isaías González Cedula 9-766-1729

Indicaciones Generales: Conforma tu equipo de trabajo de dos integrantes y lea cuidadosamente la prueba.

I. Parte. Caso de estudio. (valor: 80 puntos)

Resuelva el siguiente caso. Basado en la película Blackhad- amenaza en la red

Las cambiantes fronteras y alianzas de la nueva realidad digital (internet), cuyas implicaciones y consecuencias siguen
siendo invisibles para la mayoría de las empresas, excepto para las personas que participan en ella directamente han
demostrado ser un terreno fértil para los hackers. Tal y como se apreció con el malware (software malicioso) al que
llamaron "Stuxnet" de la Película en estudio; que había conseguido infiltrarse en una complicada infraestructura
informática y se había hecho con el control de los procesos de automatización hasta conseguir que las centrifugadoras
de la planta giraran y se destruyeran, causando un desastre nuclear que sirvió de prueba para continuar con otros
planes maquiavélicos por parte del hacker de la película.

1. Explique cuales serían las características que tomaría en cuenta un buen auditor para llevar el caso: “Amenaza en
la red “. (valor 10 pts).
Tener una alta capacidad de observación
 Estar en constante actualización en todos los aspectos que se llegan a cabo en el sistema de gestión de seguridad.
Tener un instinto de ser consciente de todas las situaciones que se puedan presentar.

2. Comente en no más de cinco líneas la importancia de hacer una auditoria a la empresa afectada (caso de estudio)
(valor 10 pts).
En la actualidad los sistemas informáticos se han convertido en pieza clave de las empresas porque con ellos se
gestiona todas las operaciones que realizan las empresas por tal motivo es necesario hacer auditorias informáticas
para verificar si dicho sistema cumple las normas, reglas, estándares y así garantizar con la seguridad de la
información y la calidad de los servicios brindados.

3. Qué tipo de auditoria se aplicó en el caso (interna, externa….etc). Argumente su respuesta (valor: 10 puntos).
Centrándonos en el caso de estudio de la planta nuclear se puede decir que al ser un caso que causo relevancia a
nivel mundial propicio a que se buscara de cualquier manera al responsable del hecho causando que diversos
organismos participaran en el proceso de auditoria primeramente las personas u organismos que realizan la auditoria
son ajenos a la planta nuclear por tanto en este punto se trata de una auditoría externa. Por otro lado, se realizó una
auditoria de la seguridad porque se analizó estaciones de trabajo, servidores, para encontrar la debilidad que exploto
el hacker para tomar el control del sistema y causar la catástrofe.
Este por ser un caso de estudio que causó revuelo se puede decir que participaron más de un tipo de auditoria por la
necesidad de encontrar rápidamente al responsable del hecho y evitar que siga haciendo de las suyas.

4. Qué norma de las estudiadas aplicaría al caso” Amenaza en la red”. Argumente su respuesta. 10 pts
La norma que usaría será SEDICI porque tiene una guía de seguridad informática la cual me parece que tiene métodos que
se pueden implementar al caso de estudio como lo son: la protección lógica, que incluye la identificación de usuarios, su
autorización, su eliminación, las contraseñas, las claves de cifrado, el control de acceso público, la protección de terminales,
los virus informáticos, la gestión de la autoridad al sistema, los registros de intento de acceso, los informes de violación de
acceso y los ataques sistemáticos, entre otros temas.
 La protección física (el área de acceso limitado, el área de acceso restringido, la valoración de las áreas, los medios de
protección, los suministros auxiliares, la emergencia y evacuación, medios de almacenamiento, impresoras.
Considero que con esta norma podemos tener un buena seguridad informática y controlar los procesos que ocurran dentro
de la planta, de esta manera evitamos los ocurrido en la planta.

5. En base al caso:” Amenaza en la red” mencione 3 controles internos informáticos que se pudieron haber
implementados por la empresa afectada para evitar ser atacados por el hacker . (valor: 10 puntos).
Control (nombre del Tipo de Control Descripción (explica en
control) (preventivo, detectivos, que consiste el control)
correctivos)
1.Restricción al uso de Preventivo Evitar la conexión de
dispositivos de dispositivos de
almacenamiento ajeno a la almacenamiento a las
empresa terminales de trabajo que
puedan comprometer la
información almacenada.

2. Restringir el acceso Preventivo Evitar la intrusión del

al área de servidores personal no autorizada en
por personal no esta área para garantizar la
autorizado.
seguridad del
departamento.

3. Monitoreo del sistema y Detectivo Detectar algunas

auditorias de sistema variaciones significativas
en los informes de las
diversas áreas para que la
 administración pueda llevar
acciones correctivas.

6. Elabore un cuadro comparativo de los tipos de normas estudiadas. 20 pts.

Normas de Auditoria

Norma Definición Objetivo Área de Origen Certificacio Documentación

aplicación nes web

ISO Conjunto de Ayudar a las Empresarial Unión de otros Auditoría https://www.iso.

normas de empresas a organismos, ISO org/
control de establecer para la 9001:2015
calidad y unos niveles regulación y
gestión de de establecimiento
calidad, homogeneid de estándares
establecida ad en internacionales
por la relación con
organizació la gestión,
n prestación
internaciona de servicios
l de y desarrollo
normalizaci de
ón. productos
 en la
industria.

Ley Ley Señalar las Empresas Por la falta de No www.sarbanes-

SOX Sarbanes- importancia financieras ética de algunas oxley-101.com
Oxley, s del control con registro empresas para
regula las interno ante la SEC. hacer sus
funciones administrativ negocios y
financieras oy obtener
contables y operacional; ganancias
de auditoría y resalta la ilícitas.
y penaliza importancia
en una de la
forma auditoría
severa, el interna.
crimen
corporativo
y de cuello
blanco.
ISACA Es una Proporciona Seguridad, Los ISACA https://www.isa
asociación r Auditoría y trabajadores CISA ca.org/
internaciona orientación, Sistemas de auditoría de ISACA
CGEIT
l que apoya evaluacione Información controles en
ISACA
y patrocina s sistemas CISM
el desarrollo comparativa informáticos se
de sy dieron cuenta
metodología herramienta de la
sy s de importancia de
certificacion gobernanza tener una
 es para la para organización
realización empresas que sirviera
de que utilizan como la
actividades sistemas de principal fuente
de información. de información
auditorías y I para la
control en industria.
sistemas de
información.
COBIT Es un Brindar TI Surge con la COBIT https://www.isa
marco de buenas Empresariale actualización de Certificates ca.org/resource
trabajo prácticas a s los objetivos de s/cobit
(framework) través de un control de
para el marco de ISACA
gobierno y trabajo de
la gestión dominios y
de las procesos, y
tecnologías presentar
de la las
información actividades
(TI) de una
empresarial manera
es y dirigido manejable y
a toda la lógica.
empresa.
SEDISI Es una Tecnologías ISO 9001, no
organizació de la 9003, 9004
n no- Información
lucrativa
 que actúa
como
representan
te en
España de
las
empresas
particulares
del sector
de las
Tecnologías
de la
Información.
COSO Es una Proporciona Gestión del Impulsada por No https://www.cos
organizació r liderazgo Riesgo las malas o.org/
n de intelectual Empresarial, prácticas por
carácter frente a tres Control parte de
voluntario temas Interno, empresas en el
constituida interrelacion Disuasión del 1985 y los años
por ados: la Fraude. de crisis
representan gestión del anteriores
tes de cinco riesgo
organizacio empresarial
nes del (ERM), el
sector control
privado en interno, y la
Estados disuasión
Unidos. del fraude.
7. Qué norma de las estudiadas aplicaría al caso” Amenaza en la red”. Argumente su respuesta. 10 pts.
La norma que usaría será SEDICI porque tiene una guía de seguridad informática la cual me parece que tiene métodos que
se pueden implementar al caso de estudio como lo son: la protección lógica, que incluye la identificación de usuarios, su
autorización, su eliminación, las contraseñas, las claves de cifrado, el control de acceso público, la protección de terminales,
los virus informáticos, la gestión de la autoridad al sistema, los registros de intento de acceso, los informes de violación de
acceso y los ataques sistemáticos, entre otros temas.
La protección física (el área de acceso limitado, el área de acceso restringido, la valoración de las áreas, los medios de
protección, los suministros auxiliares, la emergencia y evacuación, medios de almacenamiento, impresoras.
Considero que con esta norma podemos tener un buen manejo de seguridad informática y controlar los procesos que
ocurran dentro de la planta, de esta manera evitamos los ocurrido en la planta.

II. Parte. Sustentación de la Prueba. 20pts.________________