Universidad Nacional Abierta

Vicerrectorado Académico
Área de Ingeniería
Carrera Ingeniería de Sistemas

Trabajo práctico

Asignatura: Sistemas de Información III Código:

338

Fecha de devolución: A más tardar el 25-03-2024 (Sin prórroga)

Nombre del Estudiante: Herly Olivares

Cédula de Identidad: 13.985.836

Centro Local / Unidad de Apoyo: Yaracuy

Correo electrónico: herlyarge@gmail.com

Teléfono celular: 0412-1528338

Carrera: Ingeniería de sistemas

Número de originales:

Lapso: 2024-1

Resultados de Corrección

2024-1 Objetivos
Logrado: 1 1 2 3 4 5 6
 No logrado: 0

M: 1, U: 1, O: 1 C/D: 1/1
1. En un departamento informático el gerente se ha encontrado con diversas quejas por
parte de otros gerentes, referentes a los procedimientos establecidos en los manuales,
ya que no se cumplen, intromisiones de otros jefes en el trabajo de sus empleados y
algunos correos basuras (no deseados), que llegan a sus respectivos departamentos.

Basado en lo anterior, especifique:

¿Qué tipo de control interno se pudieran aplicar en el caso anterior para subsanar los
inconvenientes y por qué?

Respuesta:

Tomando en cuenta el caso anterior, podemos determinar que el control

interno correctivo es la mejor opción para llevar a cabo las acciones
necesarias para revertir o solventar los inconvenientes.

En otras palabras, este tipo de control establece las soluciones

adecuadas a aquellos problemas o situaciones que surgieron y fallaron.
Además de esto, tiene que ofrecer nuevas medidas que ayuden a que no
vuelva a suceder.

M: 1, U: 2, O: 2 C/D: 1/1

2. En una entidad financiera se está desarrollando un sistema en el que desea que

el cliente se contacte y realice todo el procedimiento de apertura de cuentas, sin
necesidad de ir presencialmente. Una vez concluido, la auditoria interna debe
realizar la inspección de este sistema a través de una auditoria de desarrollo.

Basado en la información anterior, especifique:

- ¿Cuáles son las actividades que se deben realizar en una auditoria de desarrollo
para asegurar un sistema de información de calidad, eficiente y efectivo?

Repuesta:

La auditoría de cada proyecto de desarrollo tendrá un plan distinto

dependiendo de los riesgos, la complejidad del mismo y los recursos disponibles
para realizar la auditoría. Esto obliga a que sean la pericia y experiencia del
auditor las que determinen las actividades del proyecto que se controlarán con
mayor intensidad en función de los parámetros anteriores.

La auditoría de un proyecto de desarrollo se puede hacer en dos momentos

distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Para
este caso podemos definir actividades generales aplicables a cualquier proyecto y
será una vez concluido.

1. Aprobación, planificación y gestión del proyecto: El proyecto de

desarrollo debe estar aprobado, definido y planificado formalmente.

2. Auditoría de la fase de análisis: La fase de análisis pretende obtener un

conjunto de especificaciones formales que describan las necesidades de
información que deben ser cubiertas por el nuevo sistema de una forma
independiente del entorno técnico. Esta fase se divide en dos módulos:
 Análisis de Requisitos del Sistema (ARS).
 Especificación Funcional del Sistema (EFS).

3. Auditoria de la fase de diseño: En la fase de diserto se elaborará el

conjunto de especificaciones físicas del sistema que servirán de base p>ara
 La construcción del mismo.

4. Auditoría de la fase de construcción: En esta fase se programarán y

probarán los distintos componentes y se pondrá en marcha todos los
procedimientos necesarios para que los usuarios puedan trabajar con el
nuevo sistema. Estará basado en las especificaciones físicas obtenidas en
la fase de diseño.

5. Auditoría de la fase de implantación: En esta fase se realizará la

aceptación del sistema por parte de los usuarios, además de las actividades
necesarias para la puesta en marcha.

M: 1, U: 3, O: 3 C/D: 1/1

3. Una compañía multinacional de origen estadounidense dedicada a la

comercialización de equipo industrial vanguardista, está posicionada como una de
las principales empresas a nivel mundial que desarrollan líderes, los directivos han
manifestado que esto es básico para alcanzar el éxito. Aplicando las estrategias
apropiadas esta empresa ha logrado el éxito.

Basado en la información anterior analice, y describa cuales son las estrategias

apropiadas para el logro del éxito de una compañía.

RESPUESTA

Para ejecutar el logro del éxito de tu compañía:

1. Capacítate constantemente en nuevas estrategias de dirección, motivación

y liderazgo.
2. Utiliza sistemas y herramientas tecnológicas para facilitar el proceso.
3. Procura apegarte siempre a la misión y visión de la empresa.
4. Asegúrate de que existe una estructura organizacional bien definida.
 5. Permite la colaboración del personal.
6. Mantén un dialogo constante con las personas clave.

Es una etapa de proceso administrativo que consiste en coordinar recursos

e integrar, motivar y guiar al personal en función del cumplimiento de objetivos.

Comprende las etapas de integración, motivación, comunicación, liderazgo

y toma de decisiones.

Debe encontrar la armonía entre objetivo y coordinación, implementar la

impersonalidad de mando, establecer una supervisión directa, funcionar mediante
la vía jerárquica y resolver conflictos.

Tiene como elementos la unidad de mando, delegación y amplitud de

control.

M: 1, U: 4, O: 4 C/D: 1/1

4. Al empezar a realizar su trabajo, el Auditor Interno se encuentra que

organizacionalmente está bajo la responsabilidad del gerente general, y con un
presupuesto reducido para realizar su labor. Además de regulaciones estatales
que, en algunos casos, no le permite indagar en los sistemas para poder realizar
una auditoria informática apropiada.

Basado en lo anterior, analice y responda en forma detallada:

¿Qué puede hacer el Auditor ante estas limitaciones para la realización de la

Auditoria Informática?

Respuesta:
 El auditor informático debe ser plenamente consciente de que su
comportamiento profesional presenta dos facetas, íntimamente ligadas, que
configuran el régimen de su responsabilidad frente a terceros.

La primera corresponde a la aplicación de sus conocimientos técnicos con

la finalidad de determinar, en base a los mismos, las condiciones de seguridad,
fiabilidad y calidad de los medios, elementos o productos que conforman el
sistema informático auditado.

La segunda debe poner de manifiesto la aplicación de los fundamenten

humanísticos que como persona y como profesional le son éticamente exigibles
para, en función de los mismos, coadyuvar al desarrollo integral de la sociedad en
la prestación de sus servicios y de la cual ha tomado, para la formación de sus
conocimientos y desarrollo de su propia personalidad, las ideas integradas en el
patrimonio cultural común aportado por sus antecesores.

Si en algún momento llegara a ocurrir un conflicto entre ambas facetas, se

debe aplicar el principio Deontológico, aplicable a los auditores informáticos,
además del Código de ética profesional.

Los códigos deontológicos toman, asimismo, de las normas materiales,

las facetas reguladoras de determinados comportamientos interpersonales como
salvaguardia de derechos individuales y colectivos susceptibles de protección
institucional, sirviendo de cauce para coartar, en los ámbitos profesionales
correspondientes, aquellas conductas contrarias a lo regulado en sus preceptos
mediante la imposición de sanciones, contempladas éstas desde una perspectiva
disciplinaria meramente profesional.

M: 2, U: 5, O: 5 C/D: 1/1

5. Una controlaría municipal ha realizado un informe con los posibles riesgos

informáticos, como son:
 Clases de Riesgos
Incendio o Fuego
Robo común de equipos y archivos
Falla en los equipos
Acción virus informático
Fenómenos naturales

Riesgo Incendio: La oficina donde están ubicados los servidores cuenta con un
extintor cargado, ubicado muy cerca a esta oficina. De igual forma cada piso
cuenta con un extintor debidamente cargado. No se ha ejecutado un programa de
capacitación sobre el uso de elementos de seguridad y primeros auxilios, a los
funcionarios nuevos, lo que no es eficaz para enfrentar un incendio y sus
consecuencias. El servidor realiza Backus de la información diariamente, pero no
existe ninguna otra copia de respaldo.

Riesgo Robo: Debido a que a la hora de salida de las personas particulares que
ingresan a la entidad, no son registradas pues no se cuenta con vigilante. Por la
ubicación de la Contraloría Municipal existe riesgo de hurto a mano armada.

Riesgo Falla en los equipos: La falla en los equipos muchas veces se debe a
falta de mantenimiento y limpieza. Cada área funcional se une a la Red a través
de Gabinetes, la falta de energía en éstos, origina la ausencia de uso de los
servicios de red. El daño de equipos por fallas en la energía eléctrica, requiere
contar con dispositivos que amplíen el tiempo para apagar correctamente el
equipo.

Riesgo Virus informático: Se cuenta con un software antivirus para la entidad,

pero su actualización no se realiza de forma inmediata a su expiración. Por medio
del correo electrónico se obtienen virus constantemente.

Riesgo Fenómenos Naturales: En la última década no se han registrado

urgencias por fenómenos naturales como terremotos o inundaciones. Los
servidores principales se encuentran en un ambiente libre de filtraciones.
Tomando en cuenta los riegos mencionados, elabore un Plan de Contingencia,
que indique la situación actual y su acción correctiva, presentándolo en forma de
esquema.

Plan de Contingencia de Clases de Riesgos

Incendio uego
SITUACION ACTUAL ACCION CORRECTA

La oficina donde están ubicados los servidores cuenta Se cumple

con un extintor cargado, ubicado muy cerca a esta
oficina. De igual forma cada piso cuenta con un extintor
debidamente cargado.

No se ha ejecutado un programa de capacitación sobre Realizar capacitación para el manejo de extintores y

el uso de elementos de seguridad y primeros auxilios, a primeros auxilios.
los funcionarios nuevos, lo que no es eficaz para
enfrentar un incendio y sus consecuencias.

El servidor realiza Backus de la información diariamente, Realizar backups del servidor de forma mensual,
pero no existe ninguna otra copia de respaldo. almacenada en DVD y ubicarlos estratégicamente cerca
a la salida principal de la Entidad.

SITUACION ACTUAL ACCION CORRECTA

Debido a que a la hora de salida de las personas Se requiere que cada funcionario en el momento de
particulares que ingresan a la entidad, no son retirarse de la oficina por un tiempo considerable, opte
registradas pues no se cuenta con vigilante. por guardar su equipo dentro de algún cajón bajo llave.

Por la ubicación de la Contraloría Municipal existe Solicitar la colaboración de la Policía Nacional para que
riesgo de hurto a mano armada. realice rondas periódicas por el sector donde se
encuentra ubicadas las instalaciones de la CMV.

Robo común de equipos y

archivos
Falla en los equipos
SITUACION ACTUAL ACCION CORRECTA

La falla en los equipos muchas veces se debe a falta de Realizar mantenimiento preventivo de equipos por lo
mantenimiento y limpieza. menos dos veces al año.

Cada área funcional se une a la Red a través de Se cumple. Los gabinetes se encuentran protegidos en
Gabinetes, la falta de energía en éstos, origina la un lugar de acceso restringido y son manipulados solo
ausencia de uso de los servicios de red. por el técnico de sistemas.

El daño de equipos por fallas en la energía eléctrica, Se cumple. La CMV en su mayoría cuenta con portátiles
requiere contar con dispositivos que amplíen el tiempo por tanto se recomienda que cada funcionario
para apagar correctamente el equipo. mantenga cargado su equipo y los de escritorio cuenta
con UPS.

SITUACION ACTUAL ACCION CORRECTA

Se cuenta con un software antivirus para la entidad, Se debe evitar que las licencias de antivirus expiren, se
pero su actualización no se realiza de forma inmediata a requiere renovación con anterioridad del nuevo
su expiración. antivirus.

Por medio del correo electrónico se obtienen virus Crear un correo institucional para cada funcionario por
constantemente. medio de la página web, de forma que únicamente se
reciba información de importancia para la entidad.

Acción virus informático

SITUACION ACTUAL ACCION CORRECTA

En la última década no se han registrado urgencias por Aunque la probabilidad de ocurrencia es baja se
fenómenos naturales como terremotos o inundaciones. requiere tener en cuenta medidas de prevención.

Los servidores principales se encuentran en un Ante la mínima filtración se debe informar de inmediato a
ambiente libre de filtraciones. la dirección, para realizar el respectivo mantenimiento
preventivo.
 Fenómenos naturales

M: 2, U: 6, O: 6 C/D: 1/1
6. La Auditoría Forense Informática es una disciplina crucial para investigar y resolver
incidentes de seguridad en sistemas y redes. Supongamos que una empresa sospecha
que ha sido víctima de un ataque cibernético ya que, al realizar una revisión, ha
encontrado una serie de inconsistencias en sus datos. Inmediatamente el gerente de
sistemas informa al auditor de seguridad de la situación. El especialista en Auditoria de
seguridad sabe que, debe llevar a cabo pasos precisos para comprobar las vulneralidades
de la red informática.

Basado en lo anterior: ¿Cuáles serían los pasos precisos a realizar por el Auditor?

Respuesta:
El equipo de informática forense toma las siguientes medidas para aclarar el caso:

Aislamiento del Entorno:

Se aísla el sistema comprometido para evitar más daños y para preservar la

evidencia digital.

Análisis de Registros:

Se analizan los registros del sistema para determinar la forma en que los
atacantes pudieron acceder a la red y cómo se movieron dentro de ella.

Recopilación de Evidencia:
 Se recopilan pruebas digitales, como registros de acceso, archivos de registro y
cualquier malware encontrado en los sistemas, para rastrear la actividad de los atacantes
y determinar el alcance del compromiso.

Identificación de Vulnerabilidades:

Se identifican las vulnerabilidades que permitieron el acceso no autorizado. Esto

ayuda a la empresa a parchear sus sistemas y prevenir futuros ataques similares.

Restauración y Mejoras:

Una vez que se resuelve el problema, el equipo de informática forense ayuda a la

empresa a restaurar sus sistemas a un estado seguro y a implementar mejoras en la
seguridad para prevenir futuros incidentes.

Informe Forense:

Se genera un informe detallado que describe el incidente, las acciones tomadas

durante la investigación y las recomendaciones para mejorar la seguridad informática de
la empresa.