REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA NACIONAL
U.N.E.F.A. NUCLEO PTO. CABELLO

Estudiante:

Manuel Lovera C.I: 28.379.559

PUERTO CABELLO, OCTUBRE DEL 2023

INGENIERIA EN SISTEMAS
 Introducción
Se trata de presentar a la audiencia temas o lecturas previamente preparadas. Lo
ideal es que la presentación contenga un resumen de las ideas principales y un recorrido
argumentativo del tema y/o lecturas presentadas. Este es el proceso de validar el desempeño
comparándolo con los estándares establecidos. De esta definición se puede ver que las
funciones de control y las operaciones de control se pueden distinguir fácilmente. Las
cuestiones técnicas evolucionan constantemente, por lo que los auditores siempre deben
estar dispuestos a aprender y desaprender. Por su parte, los directivos de una organización
deben comprender que no formar a los empleados no es una medida de reducción de costes,
sino más bien un flaco favor para ellos. Los programas, aplicaciones, sistemas operativos,
motores de bases de datos, etc. deben actualizarse periódicamente.
 Exposición: Consiste en la presentación ante un auditorio de un tema o lectura
previamente preparado. Es deseable que una exposición conste de un resumen de las ideas
principales y del camino argumentativo del tema y/o de la lectura expuesta.
Controles: Es el proceso que verifica el rendimiento mediante su comparación con
los estándares establecidos. A través de esta definición se puede advertir que conviene
distinguir la función de control, de las operaciones de control
1. Fallas en la capacitación:
Los temas de tecnología están en constante evolución, por esta razón los auditores
deben estar de manera permanente dispuestos a aprender y desaprender. Por su parte, la
administración de las organizaciones debe entender que no capacitar al personal no es una
medida de reducción de costos, es algo que los perjudica.
2. Debilidades en los controles de acceso lógico:
Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y
bases de datos son una de las fallas recurrentes. Así mismo, una inadecuada administración
de los usuarios, esto es, a quien conceder permisos o privilegios, que se manifiesta de
diferentes maneras: privilegios excesivos otorgados a ciertos usuarios, privilegios no
revocados de los usuarios que ya no requieren dicho acceso, uso de permisos genéricos que
perjudican la responsabilidad del usuario, el intercambio o alteración de contraseñas, etc.
Son algunas de las situaciones que se presentan a menudo.
3. Fallas en la documentación:
En ocasiones, las organizaciones no cuentan con una documentación clara acerca de
las políticas y procedimientos para el uso de los recursos tecnológicos o la misma no es
clara, está desactualizada o incompleta. Como consecuencia, los usuarios desconocen los
pasos a seguir o actúan de una manera que puede ser imprudente o riesgosa.
Adicionalmente, muchas organizaciones no efectúan la respectiva capacitación ni
actualizan los documentos y manuales cuando hay cambios en la infraestructura
tecnológica
4. Desactualización de aplicativos y programas
Los programas, aplicativos, sistemas operativos, motores de bases de datos entre
otros, requieren una actualización regular. Con alguna frecuencia quienes producen los
programas envían actualizaciones para mejorar su rendimiento o por motivos de seguridad.
Es necesario gestionar los parches para evitar ataques de ransomware.
5. Inadecuada gestión de los riesgos de terceros:
Muchas organizaciones ignoran el impacto que una violación de un proveedor de
servicios externo podría tener sobre las operaciones y los activos. Para ello, además de la
implementación de Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones
con terceros deben desarrollarse de una manera que garantice que solo accedan a los
servicios que necesitan y nada más. Es necesario adelantar labores de monitoreo de las
actividades de los proveedores para verificar si los servicios se están prestando según lo
acordado y que los proveedores de servicios externos no adelantan acciones que no estén
dentro de los límites del acuerdo.
6. Inadecuada gestión de vulnerabilidades
Uno de los principales problemas observados con la gestión de vulnerabilidades está
en el alcance; los activos críticos a menudo se pierden porque las organizaciones no
conservan un inventario completo de los activos de los sistemas de información. También
están los problemas relacionados con los retrasos al implementar las medidas correctivas de
las vulnerabilidades identificadas, ya sea debido a las burocracias internas de la
organización o a la ausencia de mano de obra calificada. En ocasiones hace falta por parte
de la administración, que demuestre un compromiso serio con la efectividad de su
programa de gestión de vulnerabilidades
Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI,
también hay una serie de recomendaciones que son habituales y cuya implementación
puede ser útil para mitigar los riesgos de ciberseguridad de las organizaciones. Entre ellas
se cuentan:
7. Probar el plan de continuidad del sistema regularmente:
Las pruebas del plan de continuidad se realizan para garantizar que el proceso
funcione y que su organización pueda continuar operando después de una interrupción del
negocio. La organización debe considerar la disponibilidad de personal crítico, el equipo
necesario para reanudar las operaciones, los métodos necesarios para restaurar los datos y el
tiempo que lleva restaurar los servicios. La prueba debe realizarse al menos anualmente.
Tanto el plan de continuidad del negocio como el de recuperación ante desastres deben
actualizarse para reflejar las lecciones aprendidas del evento de prueba.
8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios para
operaciones esenciales
Los firewalls se componen de muchas listas de acceso que permiten que el tráfico
fluya dentro y fuera de la red. La lista requerida simplemente debe documentar los puertos
y servicios permitidos para comunicarse a través del firewall, qué dispositivos pueden
comunicarse y la razón comercial de los puertos. en uso. Si los proveedores tienen acceso a
la red privada virtual (VPN), la lista debe indicar los sistemas con los que están aprobados
para comunicarse y las direcciones IP permitidas del proveedor
9. Utilizar un cifrado de datos sólido para transmitir información restringida
La mayoría de las organizaciones asumen que la transmisión de datos a través de la
red es segura, lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de
la organización es la mejor defensa contra la exposición debido a una mala configuración o
individuos sin escrúpulos.
10. Analizar en busca de dispositivos de red no confiables o no autorizados
Un dispositivo no confiable es cualquier equipo conectado a la red de la
organización que no ha sido autorizado. Dicho dispositivo puede ser un punto de acceso
inalámbrico, la computadora portátil personal de un empleado o un interruptor de datos.
Hay muchos riesgos asociados con los dispositivos no autorizados, por tanto la protección
no autorizada debe bloquear el acceso a la red hasta que el personal de TI haya comprobado
el dispositivo y se le haya permitido específicamente conectarse.
La Organización de un centro de red.
Esta forma organizativa denominada "organización en red" consiste en la alianza a
largo plazo de clientes y proveedores para la ejecución de tareas que, desde la estructura
integrada, acostumbraban a estar bajo el control de una misma organización. Las auditorías
de redes son una forma de proteger los recursos, principalmente la información de la
empresa, de amenazas cada vez más complejas y dinámicas
Controles Generales
Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una
opinión sobre la fiabilidad de los datos del computador para la auditoria financiera, es
resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las
vulnerabilidades encontradas.
Tópicos generales
Planeación del área a auditar
La auditoría de los sistemas de información se define como cualquier auditoria que
abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de
los sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características de área
dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello es
preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto
planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Riesgos.
Los riesgos informáticos
Se refieren a la incertidumbre existente por la posible realización de un suceso
relacionado con las amenazas de daños con respecto a los bienes o servicios informáticos
como lo son los equipos periféricos, instalaciones de programas, archivos de información,
datos confidenciales, entre otros.
Clasificación de los riesgos informáticos
Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias,
efectuada por los auditores, para proporcionar una conclusión independiente que permita
calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas
u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea
u otro asunto de la organización a la cual pertenecen.
El riesgo siempre implica: Incertidumbre: el acontecimiento que caracteriza al
riesgo puede o no puede ocurrir.
Pérdida potencial: si el riesgo se convierte en una realidad, ocurrirán consecuencias
no deseadas o pérdidas. Para cuantificar el nivel de incertidumbre y el grado de pérdidas
asociado con cada riesgo se consideran diferentes categorías de riesgos:
Riesgos del proyecto: Afectan a la planificación temporal, al coste y calidad del
proyecto. Identifican problemas potenciales de presupuesto, calendario, personal, recursos,
cliente, etc.
Riesgos técnicos: Amenazan la calidad y la planificación temporal del software
(producto) que hay que producir. Identifican posibles problemas de incertidumbre técnica,
ambigüedad en la especificación, diseño, implementación, obsolescencia técnica o
tecnología puntera, interfaz, verificación y mantenimiento.
Riesgos del negocio: Amenazan la viabilidad del software. Los principales riesgos de
negocio son:
• Riesgo de mercado: producto demasiado bueno.
• Riesgo estratégico: producto que no encaja
• Riesgo de ventas: producto poco vendible
• Riesgo de presupuesto: producto fuera de presupuesto
Se puede hacer otra categorización de los riesgos en función de su facilidad detección:
Riesgos conocidos: son aquellos que se pueden predecir después de una evaluación del
plan del proyecto, del entorno técnico y otras fuentes de informaciones fiables.
Riesgos predecibles: se extrapolan de la experiencia de proyectos anteriores.
 Riesgos impredecibles: pueden ocurrir, pero es extremadamente difícil identificarlos
por adelantado.
Matriz de riesgos informáticos y métricas utilizadas:
Todo el proceso está apoyado en una aplicación informática que se alimenta de la
información que remiten las entidades y la que introducen los inspectores derivados de sus
trabajos de supervisión.
El análisis de riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos,
así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le
conoce como matriz de riesgo. En este documento se muestran los elementos identificados,
la manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta administración del
riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la
organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total, así
como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre
otras.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a
los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un
tercero.
Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se
acepta.
Los riesgos informáticos más significativos dado su impacto negativo en la operación y
la productividad de la empresa son:
• Riesgo de acceso o seguridad
• Riesgo de disponibilidad
• Riesgo de infraestructura
• Riesgo de integridad
• Riesgo de proyectos de TI
• Riesgo de inversión o costo
Así mimos dicho impacto se evidencia principalmente en:
 • Pérdida de rentabilidad del negocio
• Pérdidas financieras
• Falta de capacidad para alcanzar los objetivos de negocio
• Pérdida de reputación
• Desventaja competitiva
• Problemas con los reguladores Que es un plan de contingencia

Contingencias más comunes.

Se entiende por plan de contingencia los procedimientos alternativos al orden
normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando
alguna de sus funciones se viese dañada por un accidente interno o externo.
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo.
Presenta una estructura estratégica y operativa que ayudara a controlar una situación de
emergencia y a minimizar sus consecuencias negativas Un plan de contingencia incluye
cuatro etapas básicas que son:
1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.
Las tres primeras hacen referencia al componente preventivo y la última a la ejecución
del plan una vez ocurrido el siniestro.
Ejemplo de un plan de contingencia: El borrado accidental o a propósito de
archivos de datos o programas de explotación es un problema que todas las instalaciones
informáticas han tenido más de una vez, y es siempre costoso el recuperar datos de
respaldos o re ingresar aquellas transacciones o datos que no se alcanzaron a respaldar.
Las soluciones preventivas más comunes son las siguientes:
Separación lógica y física, si es posible, de los datos y programas de explotación de
aquellos datos y programas usados en desarrollo y mantención de sistemas.
Sistema de protección de los datos y programas de explotación de manera que nadie
pueda dañarlos, los sistemas operativos profesionales más comunes tienen formas de
proteger directorios de datos y programas de manera tal que su borrado accidental o a
propósito sea casi imposible.
 Ejemplo de la vida real
La organización el pentágono sufrió un hackeo, ya que uno de los hackers se hizo pasar
por un alto cargo y mediante por ciertas preguntas pudo obtener acceso al sistema
Exposiciones
Fallas en la capacitación
Fallas en la documentación
 Conclusión
Todo el proceso está soportado por una aplicación informática que se sustenta en
la información enviada por las entidades y el aporte de los inspectores durante las
labores de supervisión. El análisis de riesgos informáticos es un proceso que implica la
identificación de activos informáticos, sus vulnerabilidades y amenazas. La probabilidad
de que ocurra un riesgo y su impacto para determinar los controles apropiados para
aceptar, reducir, transferir o evitar el riesgo. La planificación de contingencias se
entiende como un procedimiento que sustituye al orden normal de una empresa y está
diseñado para permitirle funcionar con normalidad incluso si alguna de sus funciones se
ve comprometida por un accidente interno o externo. La planificación de contingencias
es un plan preventivo, predictivo y reactivo. Si es posible, ¿qué datos se utilizan para el
desarrollo y mantenimiento del sistema y cuáles son los procedimientos de desarrollo
para estos datos y procedimientos
 Referencia bibliográfica
https://www.utadeo.edu.co/es/link/leer-y-escribir-
mejor/2791/exposicion#:~:text=Una%20exposición%20consiste%20en%20la,o%20de%20l
a%20lectura%20expuesta
https://www.bps.gub.uy/bps/file/8458/1/control.pdf#:~:text=El%20control%20es%20el%20
proceso,de%20las%20operaciones%20de%20control.
https://www.auditool.org/blog/auditoria-de-ti/los-10-hallazgos-mas-comunes-en-una-
auditoria-de-ciberseguridad
http://www.forodeseguridad.com/artic/segcorp/7209-que-es-un-plan-de-contingencia.htm
https://juliopezblog.files.wordpress.com/2016/10/analisis-y-gestic3b3n-de-riesgo.pdf