Escolar Documentos
Profissional Documentos
Cultura Documentos
MOMENTO INICIAL
RECONOCIMIENTO DEL CURSO
PRESENTADOR POR
Jos Gabriel Chima M. cdigo: 1.027.998.887
Geide Barrios Chaverra cdigo: 1045.493.032
Jorge Osorio Meja cdigo: 71618675
Edwin Alejandro Mora V. cdigo
John Sepulveda O. cdigo
GRUPO
90168_65
TUTOR:
Francisco Nicols Solarte
UNIVERSIDAD ABIERTA Y A DISTANCIA
2015
DESARROLLO
1. APORTE JORGE OSORIO
Vulnerabilidad
En informtica son puntos dbiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
Esto se debe a que el sistema no es lo demasiado robusto en su estructura que permite que sea
vulnerable.
As como hay vulnerabilidades hay manera de corregir estos puntos dbiles existentes en el
sistema.
Hay varios tipos de vulnerabilidades
1. Fsicas: Se refiere principalmente a las instalaciones inadecuadas del espacio de trabajo,
desorganizacin de cables de energa y de red, falta de sistemas contra incendios.
2. Naturales: Son los relacionados con la naturaleza que puedan afectar la informacin, la
humedad, el polvo, la contaminacin, instalaciones locativas prximas a ros, todos
estos factores hacen que los sistemas o equipos sean vulnerables a daos.
3. Hardware: Los defectos de hardware, la falta de actualizacin por parte de los
fabricantes que los encargados del hardware no lo hacen regularmente. Otra
vulnerabilidad de hardware es la falta de contingencia o respaldo de equipos
4. Software: Cuando se generan aplicaciones hay puntos dbiles que no son detectados en
su momento; la instalacin de programas no autorizados en los equipos de cmputos hace
que una empresa tenga puntos dbiles; tambin los sistemas operativos son el blanco de
ataques por personal no autorizado, estos sistemas tambin requieren actualizaciones de
seguridad peridicamente.
5. Medios de Almacenaje: Son los medios fsicos o magnticos que se utilizan para
almacenar la informacin, entre los que se encuentran Cd, Usb, Discos duros externos,
2
de sistemas, como de otra ndole ya que fueron fijadas con anterioridad por la organizacin.
Refirindonos al control informtico que se le hace a una empresa se deben de tener en cuenta
los diferentes sistemas, entornos informticos y actividades operativas.
2. QUE RELACIN HAY ENTRE RIESGO Y CONTROL INFORMTICO
Riesgo
Control Informtico
Revisin
Inadecuada prevencin
Gestin adecuada
Sin autorizacin
Polticas de seguridad
Vulnerabilidad
Revisar - Corregir
Impacto
Auditar
Auditar - Revisar
Vulnerabilidad
En Seguridad Informtica, la palabra Vulnerabilidad hace referencia a una debilidad en un
sistema permitindole a un atacante violar la Confidencialidad, Integridad, Disponibilidad,
control de acceso y consistencia del sistema o de sus datos y aplicaciones. Estas
Vulnerabilidades son el resultado de Bugs o de fallos en el diseo del sistema. Aunque, en un
sentido ms amplio, tambin puede ser el resultado de las propias limitaciones tecnolgicas,
porque no existe un sistema 100 % seguro. Por lo tanto existen Vulnerabilidades tericas y
Vulnerabilidades reales. Las Vulnerabilidades en las aplicaciones pueden corregirse con parches,
hotfixs o con cambios de versin. Otras requieren un cambio fsico en el Sistema Informtico.
PRINCIPALES VULNERABILIDADES
Desbordes de pila y otros buffers.
Errores de validacin de entradas.
Ejecucin de cdigo remoto.
AMENAZAS
Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento de la
informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias no
informticas que pueden afectar a los datos, las cuales son a menudo inevitables, de modo que la
nica proteccin posible es la redundancia y la descentralizacin.
Causas
EL USUARIO: Es la causa mayor del problema de la seguridad de un sistema informtico.
PROGRAMAS MALICIOSOS: Son programas destinados a perjudicar o a hacer uso ilcito de
los recursos del sistema.
INTRUSO: Es una persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido.
5
Tipos de amenazas
Al conectar una red a un entorno externo, se le est dando la oportunidad al intruso de entrar a
ella, logrando hacer robo de la informacin o alterar el funcionamiento de la red. Sin embargo
no conectar la red a un entorno extorno no garantiza la seguridad de la red.
Existen dos tipos de amenazas:
AMENAZAS INTERNAS: Generalmente estas amenazas pueden ser ms peligrosas que las
externas por las siguientes razones:
Los usuarios conocen la red y saben su funcionamiento.
Tienen nivel de acceso a la red por las necesidades de trabajo.
Los Firewalls son mecanismos no efectivos en las amenazas internas.
AMENAZAS EXTERNAS: Son aquellas amenazas que se originan afuera de la red. Al no tener
informacin especfica de la red, un atacante debe realizar ciertos pasos para poder conocer que
es lo que hay en ella y buscar la manera de acceder para atacarla. La ventaja de este tipo de
amenaza es que el administrador de la red puede prevenir una buena parte de los ataques
externos.
Control informtico
El Control Interno Informtico puede definirse como el sistema integrado al proceso
administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el
objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos.
PROPUESTA EMPRESA AUDITAR: SECRETARIA DE TRNSITO Y TRANSPORTE
DE TURBO ANTIOQUIA
3. Aporte John Sepulveda O.
Vulnerabilidades
de
la
institucin,
se
puede
agrupar
las
vulnerabilidades
en
grupos:
como
propsitos
de
garantizar
la
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones tcnicas, naturales o humanos, sino tambin amenazas de
origen interno, como la negligencia del propio personal o las condiciones tcnicas, procesos
operativos internos (Nota: existen conceptos que defienden la opinin que amenazas siempre
tienen carcter externo!)
Generalmente se distingue y divide tres grupos:
Criminalidad: son todas las acciones, causado por la intervencin humana, que violan la
ley y que estn penadas por esta. Con criminalidad poltica se entiende todas las acciones
dirigido desde el gobierno hacia la sociedad civil.
Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino tambin
eventos indirectamente causados por la intervencin humana.
10
Anlisis de Riesgo
Existen varios mtodos de como valorar un riesgo y al final, todos tienen los mismos retos -las
variables son difciles de precisar y en su mayora son estimaciones- y llegan casi a los mismos
resultados y conclusiones.
En el mbito de la Seguridad Informtica, el mtodo ms usado es el Anlisis de Riesgo.
La valoracin del riesgo basada en la frmula matemtica
Riesgo = Probabilidad de Amenaza x Magnitud de Dao
Para la presentacin del resultado (riesgo) se usa una grfica de dos dimensiones, en la cual, el
eje-x (horizontal, abscisa) representa la Probabilidad de Amenaza y el eje-y (vertical,
ordenada) la Magnitud de Dao. La Probabilidad de Amenaza y Magnitud de Dao pueden
tomar condiciones entre Insignificante (1) y Alta (4). En la prctica no es necesario asociar
valores aritmticos a las condiciones de las variables, sin embargo facilita el uso de herramientas
tcnicas como hojas de clculo.
11
No siempre es percibido de igual manera entre los miembros de una institucin que tal
vez puede terminar en resultados inadecuados y por tanto es importante que participan las
personas especialistas de los diferentes elementos del sistema (Coordinacin, Administracin
financiera, Tcnicos, Conserje, Soporte tcnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada, sino tambin a los
sistemas completos, aunque en el primer caso, el resultado final ser ms preciso pero tambin
requiere ms esfuerzo.
Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el riesgo y el
peligro al sistema, lo que significa que es necesario implementar medidas de proteccin.
12
Control de Riesgo
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de proteccin, para determinar y ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional, donde
se define los momentos de las intervenciones y los responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que levantemos
constantemente registros sobre la ejecucin de las actividades, los eventos de ataques y sus
respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de informacin, cuando se entra otra vez en el proceso
de la Anlisis de riesgo.
EMPRESA PROPUESTA: INDUSTRIA DE ALIMENTOS ZEN S.A.S
4. Aporte JOSE GABRIEL CHIMA MOSQUERA
Vulnerabilidad
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que
forman parte del sistema y que podemos agrupar en:
13
De ellos los ms crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.
Datos.
Informacin.
Conocimiento.
Accin.
Resultado.
Valor.
Incluso de todos ellos, el activo ms crtico son los datos. El resto se puede reponer con
facilidad y los datos. Sabemos que dependen de que la empresa tenga una buena poltica de
copias de seguridad y sea capaz de reponerlos en el estado ms prximo al momento en que se
produjo la prdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o
imposibilidad de reponer dichos datos con lo que conllevara de prdida de tiempo y dinero.
Tambin una vulnerabilidad informtica es una debilidad de un sistema informtico,
permitiendo o dejando espacios o entradas hacia el sistema por parte de personas ajenas al
14
sistema, mismos que pueden ocasionar daos severos al sistema as como violar la privacidad,
integridad etc. Del sistemas o de sus datos y aplicacin. Estas vulnerabilidades en ocasiones son
ocasionadas por fallos del mismo diseo del sistema o incluso de configuracin del mismo.
TIPOS DE VULNERABILIDADES EXISTENTES.
Error de diseo: Este tipo de vulnerabilidades se generan a partir de un error de diseo por parte
de los programadores que realizan el sistema, esto es debido al entorno de trabajo o bien por su
metodologa de programacin empleada.
configuracin: Este tipo de vulnerabilidad ya no es causado por el diseo del sistema sino este
es generado por el usuario del sistema debido a la mala configuracin realizada dentro del
sistema, dejando vulnerable el sistema.
Inyeccin de comandos en el sistema operativo: Este tipo de vulnerabilidades, es generada por
parte de un usuario con capacidades especiales y que tienen los conocimientos necesarios para
controlar la entrada del sistema mediante comandos para poder ejecutar instrucciones que
pueden comprometer la integridad del sistema este
herramienta especializada o a travs
accin
se
realiza mediante
una
Se entiende como riesgo informtico un estado de cualquier sistema que nos indica que ese
sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que
pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un
sistema se pueda definir como seguro debe tener estas cuatro caractersticas:
Integridad: La informacin slo puede ser modificada por quien est autorizado.
Confidencialidad: La informacin slo debe ser legible para los
Autorizados
Disponibilidad: Debe estar disponible cuando se necesita.
Irreductibilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora. Dependiendo
de las fuentes de amenaza, la dividirse en seguridad lgica y seguridad fsica.
RIESGOS RELACIONADOS CON LA INFORMATICA
En efecto, las principales reas en que habitualmente ha incursionado la seguridad en los
centros de cmputos han sido:
16
Seguridad fsica.
Control de accesos.
Proteccin de los datos.
Seguridad en las redes.
A los fines de llevar una revisin completa y exhaustiva de este tema, se propone que los
especialistas en seguridad informtica apliquen un enfoque amplio e integral, que abarque todos
los aspectos posibles involucrados en la temtica a desarrollar, identificando aquellos
concernientes a garantas y resguardos, y, despus de haber efectuado un anlisis exhaustivo de
los mismos, presentarlos en detalle y agrupados convenientemente.
CONTROL INFORMTICO?
Definiciones
El Control Interno Informtico puede definirse como el sistema integrado al proceso
administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el
17
objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos automatizados.
El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prcticas
y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y
se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
OBJETIVOS PRINCIPALES:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en controles de
dos tipos:
18
Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de
Controles Detectivos; tratan de descubrir a posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
CONTROL INTERNO INFORMTICO (FUNCIN)
como de usuarios.
Control Interno Informtico, definir los controles peridicos a realizar en cada una
de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas y
sern de carcter preventivo, detectivos y correctivo.
21
Control Informtico
Procesamiento de errores
Planificacin
Resolucin de riesgos
Riesgos mecnicos
Monitorizacin de riesgos
Recorte de la calidad
Matriz de riesgos
Decisiones equivocadas
Fraude
Uso de recursos
Facturacin de servicio web
22
VULNERABILIDAD: Es una debilidad del sistema informtico que puede ser utilizada para
causar dao. Las debilidades pueden aparecer en cualquiera de los elementos de una
computadora, tanto en el hardware, el sistema operativo, como el software.
Como ejemplo de vulnerabilidad podemos comentar el siguiente. En su casa hay una
computadora conectada a Internet, donde adems tiene configurada una cuenta de correo
electrnico a travs de la que recibe mensajes diariamente. Tambin tiene instalado un antivirus
que es capaz de chequear los mensajes electrnicos, incluidos los archivos que estn adjuntos.
Pero el antivirus lo instal cundo compr el equipo hace ms de un ao y no lo ha vuelto a
actualizar. En este caso su equipo es vulnerable a los virus ms recientes que puedan llegar
mediante su correo electrnico, ya que el antivirus no est actualizado y no sabe que estos
nuevos virus existen.
Pero una cosa s que es cierta; que exista una vulnerabilidad no significa que se produzca un
dao en el equipo de forma automtica, es decir, la computadora tiene un punto flaco, pero no
por eso va a fallar, lo nico que ocurre es que es posible que alguien ataque al equipo
aprovechando este punto dbil.
AMENAZA: Una amenaza a un sistema informtico es una circunstancia que tiene el potencial
de causar dao o una prdida. Es decir, las amenazas pueden materializarse dando lugar a un
ataque en el equipo.
Como ejemplos de amenaza estn los ataques por partes de personas, al igual que los desastres
que puedan afectar a su computadora. Tambin se puede considerar amenazas los fallos
cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto del hardware como
del software.
23
RIESGO: Es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.
El riesgo se utiliza sobretodo el anlisis de riesgos de un sistema informtico. Este riesgo
permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo lmite
que acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia,
ste se convierte en un riesgo residual que podemos considerar como riesgo aceptable.
CONTROL INTERNO INFORMTICO
Puede definirse como el sistema integrado al proceso administrativo, en la planeacin,
organizacin, direccin y control de las operaciones con el objetivo de asegurar la proteccin de
todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de
los procesos operativos automatizados.
El informe COSO define el control interno como Las normas, los procedimientos, las prcticas
y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y
se corregirn.
Tambin se puede definir el control interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
TIPOS: En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:
24
Controles Manuales: Aquellos que son ejecutados por el personal del rea usuaria o de
informtica sin la utilizacin de herramientas computacionales.
Controles Automticos: Son generalmente los incorporados en el software, llmense estos de
operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos: Para tratar de evitar la produccin de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos: Trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Controles Correctivos: Tratan de asegurar que subsanen todos los errores identificados
mediante los controles detectivos.
OBJETIVOS PRICIPALES
*Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
*Asesorar sobre el conocimiento de las normas.
*Colaborar y apoyar el trabajo de Auditora Informtica interna/externa.
*Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informticos.
25
26
Son la base para la planificacin, control y evaluacin por la Direccin General de las
actividades del departamento de informtica, y debe contener la siguiente planificacin:
*Plan Estratgico de Informacin realizado por el Comit de Informtica.
*Plan Informtico, realizado por el Departamento de Informtica.
*Plan General de Seguridad (fsica y lgica).
*Plan de Contingencia ante Desastres.
Controles de Desarrollo y Mantenimiento de Sistemas de Informacin
Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin
de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como las del
ciclo de vida de desarrollo de aplicaciones.
Controles de Explotacin de Sistemas de Informacin
Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso
del hardware as como los procedimientos de instalacin y ejecucin del software.
Controles en Aplicaciones
Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin,
salida, validez y mantenimiento completos y exactos de los datos.
Controles en Sistemas de Gestin de Base de Datos
Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y
seguridad.
27
Participante
Definitiva
Jos G. Chima M.
Jhon Sepulveda O.
Jorge E. Osorio M.
Geider B. Haverra
SECRETARIA
TRNSITO
DE
Y
TRANSPORTE DE TURBO
ANTIOQUIA
Edwin Alejandro Mora
Servi.com
Con los aportes enviados por los compaeros el consolidado de las definiciones es:
Vulnerabilidad
28
En informtica hay puntos dbiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
queremos proteger son sus activos, es decir, los recursos que forman parte del sistema
Amenaza y Riesgo Informtica
Cuando se escucha el termino amenaza o riego informtico, nos preocupamos.
Control Informtico
Es el control que se hace en la empresa por personal de auditora de la misma empresa, se
revisan procesos como actividades del rea de Operaciones, pueden ser flujos de Hardware
como de software, se debe hacer el control interno peridicamente.
29
30
CONCLUSIONES
Con este trabajo nos damos cuenta que tanto en el ambiente tecnolgico como en la vida
BIBLIOGRAFIA
31
http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-informtica
http://es.slideshare.net/Vita1985/control-informatico
http://101plissken.blogspot.com/2013/03/control-interno-y-auditoria-informatica.html
https://protejete.wordpress.com
http://www.peru.gob.pe/docs/PLANES/10018/PLAN_10018_MOF%20GERENCIA%20DE
%20INFORMATICA%20Y%20PLANEAMIENTO_2009.pdf
http://www.zarpele.com.ar/2009/06/descripcion-de-las-distintas-funciones-del-area-de-sistemas/
http://exa.unne.edu.ar/matematica/metodos/8-sitios-materialinteres/GUIA_00001__Guia_Perfiles_Area_Inform_tica__v1.pdf
32