Auditoria de Sistemas

MOMENTO INICIAL
RECONOCIMIENTO DEL CURSO
PRESENTADOR POR
Jos Gabriel Chima M. cdigo: 1.027.998.887
Geide Barrios Chaverra cdigo: 1045.493.032
Jorge Osorio Meja cdigo: 71618675
Edwin Alejandro Mora V. cdigo
John Sepulveda O. cdigo
GRUPO
90168_65
TUTOR:
Francisco Nicols Solarte
UNIVERSIDAD ABIERTA Y A DISTANCIA
2015

DESARROLLO
1. APORTE JORGE OSORIO

Vulnerabilidad
En informtica son puntos dbiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
Esto se debe a que el sistema no es lo demasiado robusto en su estructura que permite que sea
vulnerable.
As como hay vulnerabilidades hay manera de corregir estos puntos dbiles existentes en el
sistema.
Hay varios tipos de vulnerabilidades
1. Fsicas: Se refiere principalmente a las instalaciones inadecuadas del espacio de trabajo,
desorganizacin de cables de energa y de red, falta de sistemas contra incendios.
2. Naturales: Son los relacionados con la naturaleza que puedan afectar la informacin, la
humedad, el polvo, la contaminacin, instalaciones locativas prximas a ros, todos
estos factores hacen que los sistemas o equipos sean vulnerables a daos.
3. Hardware: Los defectos de hardware, la falta de actualizacin por parte de los
fabricantes que los encargados del hardware no lo hacen regularmente. Otra
vulnerabilidad de hardware es la falta de contingencia o respaldo de equipos
4. Software: Cuando se generan aplicaciones hay puntos dbiles que no son detectados en
su momento; la instalacin de programas no autorizados en los equipos de cmputos hace
que una empresa tenga puntos dbiles; tambin los sistemas operativos son el blanco de
ataques por personal no autorizado, estos sistemas tambin requieren actualizaciones de
seguridad peridicamente.
5. Medios de Almacenaje: Son los medios fsicos o magnticos que se utilizan para
almacenar la informacin, entre los que se encuentran Cd, Usb, Discos duros externos,
2

entre otros; sin condiciones adecuadas en su manipulacin son vulnerables, si se guardan

en sitios insalubres o con alto nivel de humedad.
6. De Comunicacin: Nos referimos al trnsito de la informacin el cableado Utp,
telefnico, fibra ptica, ondas de radio, equipos de proteccin, entre otros, cuando este
sistema es frgil las vulnerabilidades se hacen evidentes ya que por estos medios circula
mucha informacin valiosa
7. Humanas: Se relaciona mas con lo que las personas causan a la informacin ya que
puede ser mal intencionada o no, esto se puede deber a falta de conocimiento o falta de
capacitacin.
Amenaza y Riesgo Informtica
Son las personas que son capaces de detectar fallos de seguridad o los llamados puntos dbiles
en los sistemas,
Las amenazas las podemos clasificar:
1. Amenazas Naturales: Son las provocadas por inundaciones, terremotos,
2. Intencionales: Deliberadas, robo, hurto de la informacin, espionaje, vandalismo, dao
de la informacin
3. Involuntarias: Divulgacin de contraseas, activacin de un virus que llega en un formato
desconocido por el usuario.
Control Informtico
Teniendo en cuenta el significado de control, es una actividad que se hace manual o automtica
para corregir o prevenir errores informticos. Internamente en una empresa tambin debe haber
una (s) personas dedicadas a la labor de revisar las principales actividades de la empresa tanto
3

de sistemas, como de otra ndole ya que fueron fijadas con anterioridad por la organizacin.
Refirindonos al control informtico que se le hace a una empresa se deben de tener en cuenta
los diferentes sistemas, entornos informticos y actividades operativas.
2. QUE RELACIN HAY ENTRE RIESGO Y CONTROL INFORMTICO

Riesgo

Control Informtico

Incertidumbre sobre una amenaza

Revisin

Inadecuada prevencin

Gestin adecuada

Sin autorizacin

Polticas de seguridad

Vulnerabilidad

Revisar - Corregir

Impacto

Auditar

Evaluacin de los riesgo

Auditar - Revisar

Propuesta empresa Auditar:

Inversiones Forestales la Cabaa
2

APORTE: GEIDER BARRIOS H.

Vulnerabilidad
En Seguridad Informtica, la palabra Vulnerabilidad hace referencia a una debilidad en un
sistema permitindole a un atacante violar la Confidencialidad, Integridad, Disponibilidad,
control de acceso y consistencia del sistema o de sus datos y aplicaciones. Estas
Vulnerabilidades son el resultado de Bugs o de fallos en el diseo del sistema. Aunque, en un

sentido ms amplio, tambin puede ser el resultado de las propias limitaciones tecnolgicas,
porque no existe un sistema 100 % seguro. Por lo tanto existen Vulnerabilidades tericas y
Vulnerabilidades reales. Las Vulnerabilidades en las aplicaciones pueden corregirse con parches,
hotfixs o con cambios de versin. Otras requieren un cambio fsico en el Sistema Informtico.
PRINCIPALES VULNERABILIDADES
Desbordes de pila y otros buffers.
Errores de validacin de entradas.
Ejecucin de cdigo remoto.
AMENAZAS
Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento de la
informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias no
informticas que pueden afectar a los datos, las cuales son a menudo inevitables, de modo que la
nica proteccin posible es la redundancia y la descentralizacin.
Causas
EL USUARIO: Es la causa mayor del problema de la seguridad de un sistema informtico.
PROGRAMAS MALICIOSOS: Son programas destinados a perjudicar o a hacer uso ilcito de
los recursos del sistema.
INTRUSO: Es una persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido.
5

Tipos de amenazas
Al conectar una red a un entorno externo, se le est dando la oportunidad al intruso de entrar a
ella, logrando hacer robo de la informacin o alterar el funcionamiento de la red. Sin embargo
no conectar la red a un entorno extorno no garantiza la seguridad de la red.
Existen dos tipos de amenazas:
AMENAZAS INTERNAS: Generalmente estas amenazas pueden ser ms peligrosas que las
externas por las siguientes razones:
Los usuarios conocen la red y saben su funcionamiento.
Tienen nivel de acceso a la red por las necesidades de trabajo.
Los Firewalls son mecanismos no efectivos en las amenazas internas.
AMENAZAS EXTERNAS: Son aquellas amenazas que se originan afuera de la red. Al no tener
informacin especfica de la red, un atacante debe realizar ciertos pasos para poder conocer que
es lo que hay en ella y buscar la manera de acceder para atacarla. La ventaja de este tipo de
amenaza es que el administrador de la red puede prevenir una buena parte de los ataques
externos.
Control informtico
El Control Interno Informtico puede definirse como el sistema integrado al proceso
administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el

objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos.
PROPUESTA EMPRESA AUDITAR: SECRETARIA DE TRNSITO Y TRANSPORTE
DE TURBO ANTIOQUIA
3. Aporte John Sepulveda O.
Vulnerabilidades

La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo

(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de
sufrir algn dao. En otras palabras, es la capacidad y posibilidad de un sistema de responder o
7

reaccionar a una amenaza o de recuperarse de un dao. Las vulnerabilidades estn en directa

interrelacin con las amenazas porque si no existe una amenaza, tampoco existe la
vulnerabilidad o no tiene importancia, porque no se puede ocasionar un dao. Dependiendo del
contexto

de

la

institucin,

se

puede

agrupar

las

vulnerabilidades

en

grupos:

Ambiental, Fsica, Econmica, Social, Educativo, Institucional y Poltica.

Amenazas
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de
la Seguridad Informtica, los Elementos de Informacin. Debido a que la Seguridad Informtica
tiene

como

propsitos

de

garantizar

la

confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las

amenazas y los consecuentes daos que puede causar un evento exitoso, tambin hay que ver en
relacin con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.

Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones tcnicas, naturales o humanos, sino tambin amenazas de
origen interno, como la negligencia del propio personal o las condiciones tcnicas, procesos
operativos internos (Nota: existen conceptos que defienden la opinin que amenazas siempre
tienen carcter externo!)
Generalmente se distingue y divide tres grupos:

Criminalidad: son todas las acciones, causado por la intervencin humana, que violan la
ley y que estn penadas por esta. Con criminalidad poltica se entiende todas las acciones
dirigido desde el gobierno hacia la sociedad civil.

Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino tambin
eventos indirectamente causados por la intervencin humana.

Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones

por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son
las amenazas menos predecibles porque estn directamente relacionado con el comportamiento
humano.
Anlisis de Riesgo
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito
determinar los componentes de un sistema que requieren proteccin, sus vulnerabilidades que
los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
Clasificacin y Flujo de Informacin
9

La clasificacin de datos tiene el propsito de garantizar la proteccin de datos (personales) y

significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes
niveles de autorizacin de acceso a los datos e informaciones. Considerando el contexto de
nuestra misin institucional, tenemos que definir los niveles de clasificacin como por ejemplo:
confidencial, privado, sensitivo y pblico. Cada nivel define por lo menos el tipo de persona que
tiene derecho de acceder a los datos, el grado y mecanismo de autenticacin.
Una vez clasificada la informacin, tenemos que verificar los diferentes flujos existentes de
informacin internos y externos, para saber quines tienen acceso a qu informacin y datos.
Clasificar los datos y analizar el flujo de la informacin a nivel interno y externo es importante,
porque ambas cosas influyen directamente en el resultado del anlisis de riesgo y las
consecuentes medidas de proteccin. Porque solo si sabemos quines tienen acceso a qu datos
y su respectiva clasificacin, podemos determinar el riesgo de los datos, al sufrir un dao
causado por un acceso no autorizado.

10

Anlisis de Riesgo

Existen varios mtodos de como valorar un riesgo y al final, todos tienen los mismos retos -las
variables son difciles de precisar y en su mayora son estimaciones- y llegan casi a los mismos
resultados y conclusiones.
En el mbito de la Seguridad Informtica, el mtodo ms usado es el Anlisis de Riesgo.
La valoracin del riesgo basada en la frmula matemtica
Riesgo = Probabilidad de Amenaza x Magnitud de Dao
Para la presentacin del resultado (riesgo) se usa una grfica de dos dimensiones, en la cual, el
eje-x (horizontal, abscisa) representa la Probabilidad de Amenaza y el eje-y (vertical,
ordenada) la Magnitud de Dao. La Probabilidad de Amenaza y Magnitud de Dao pueden
tomar condiciones entre Insignificante (1) y Alta (4). En la prctica no es necesario asociar
valores aritmticos a las condiciones de las variables, sin embargo facilita el uso de herramientas
tcnicas como hojas de clculo.

11

Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Dao no es fijo y

puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente
la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.
El reto en la aplicacin del mtodo es precisar o estimar las condiciones (valores) de las dos
variables, porque no basen en parmetros claramente medibles. Sin embargo, el anlisis de
riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o
positivamente, en el riesgo.
En el proceso de analizar un riesgo tambin es importante de reconocer que cada riesgo tiene sus
caractersticas:

Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)

Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)

No siempre es percibido de igual manera entre los miembros de una institucin que tal
vez puede terminar en resultados inadecuados y por tanto es importante que participan las
personas especialistas de los diferentes elementos del sistema (Coordinacin, Administracin
financiera, Tcnicos, Conserje, Soporte tcnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada, sino tambin a los
sistemas completos, aunque en el primer caso, el resultado final ser ms preciso pero tambin
requiere ms esfuerzo.
Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el riesgo y el
peligro al sistema, lo que significa que es necesario implementar medidas de proteccin.
12

Control de Riesgo
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de proteccin, para determinar y ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional, donde
se define los momentos de las intervenciones y los responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que levantemos
constantemente registros sobre la ejecucin de las actividades, los eventos de ataques y sus
respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de informacin, cuando se entra otra vez en el proceso
de la Anlisis de riesgo.
EMPRESA PROPUESTA: INDUSTRIA DE ALIMENTOS ZEN S.A.S
4. Aporte JOSE GABRIEL CHIMA MOSQUERA

Vulnerabilidad
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que
forman parte del sistema y que podemos agrupar en:

13

Hardware: elementos fsicos del sistema informtico, tales como procesadores,

electrnica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVD).

Software: elementos lgicos o programas que se ejecutan sobre el hardware, tanto si es

el propio sistema operativo como las aplicaciones.

Datos: comprenden la informacin lgica que procesa el software haciendo uso del
hardware. En general sern informaciones estructuradas en bases de datos o paquetes de

informacin que viajan por la red.

Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede
ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias
se hacen en ese medio, etc.

De ellos los ms crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.

Datos.
Informacin.
Conocimiento.
Accin.
Resultado.
Valor.

Incluso de todos ellos, el activo ms crtico son los datos. El resto se puede reponer con
facilidad y los datos. Sabemos que dependen de que la empresa tenga una buena poltica de
copias de seguridad y sea capaz de reponerlos en el estado ms prximo al momento en que se
produjo la prdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o
imposibilidad de reponer dichos datos con lo que conllevara de prdida de tiempo y dinero.
Tambin una vulnerabilidad informtica es una debilidad de un sistema informtico,
permitiendo o dejando espacios o entradas hacia el sistema por parte de personas ajenas al
14

sistema, mismos que pueden ocasionar daos severos al sistema as como violar la privacidad,
integridad etc. Del sistemas o de sus datos y aplicacin. Estas vulnerabilidades en ocasiones son
ocasionadas por fallos del mismo diseo del sistema o incluso de configuracin del mismo.
TIPOS DE VULNERABILIDADES EXISTENTES.
Error de diseo: Este tipo de vulnerabilidades se generan a partir de un error de diseo por parte
de los programadores que realizan el sistema, esto es debido al entorno de trabajo o bien por su
metodologa de programacin empleada.
configuracin: Este tipo de vulnerabilidad ya no es causado por el diseo del sistema sino este
es generado por el usuario del sistema debido a la mala configuracin realizada dentro del
sistema, dejando vulnerable el sistema.
Inyeccin de comandos en el sistema operativo: Este tipo de vulnerabilidades, es generada por
parte de un usuario con capacidades especiales y que tienen los conocimientos necesarios para
controlar la entrada del sistema mediante comandos para poder ejecutar instrucciones que
pueden comprometer la integridad del sistema este
herramienta especializada o a travs

accin

se

realiza mediante

una

de una terminal Linux o Windows.

Amenaza y Riesgo Informtica?

Es importante en toda organizacin contar con una herramienta, que garantice la correcta
evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan
en el rea informtica; y por medio de procedimientos informtico. Viendo de control se pueda
evaluar el desempeo del entorno la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del
15

entorno informtico, es la inadecuada administracin de riesgos informticos, esta informacin

sirve de apoyo para una adecuada gestin de la administracin de riesgos, basndose en los
siguientes aspectos:

La evaluacin de las amenazas o causas de los riesgos.

Los controles utilizados para minimizar las amenazas a riesgos.
La asignacin de responsables a los procesos informticos
La evaluacin de los elementos del anlisis de riesgos.

Se entiende como riesgo informtico un estado de cualquier sistema que nos indica que ese
sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que
pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un
sistema se pueda definir como seguro debe tener estas cuatro caractersticas:
Integridad: La informacin slo puede ser modificada por quien est autorizado.
Confidencialidad: La informacin slo debe ser legible para los
Autorizados
Disponibilidad: Debe estar disponible cuando se necesita.
Irreductibilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora. Dependiendo
de las fuentes de amenaza, la dividirse en seguridad lgica y seguridad fsica.
RIESGOS RELACIONADOS CON LA INFORMATICA
En efecto, las principales reas en que habitualmente ha incursionado la seguridad en los
centros de cmputos han sido:

16

Seguridad fsica.
Control de accesos.
Proteccin de los datos.
Seguridad en las redes.

Por tanto se ha estado descuidando otros aspectos intrnsecos de la proteccin informtica

y que no dejan de ser importantes para la misma organizacin, como por ejemplo

Organizacin y divisin de responsabilidades.

Cuantificacin de riesgos.
Polticas hacia el personal.
Medidas de higiene, salubridad y ergonoma.
Seleccin y contratacin de seguros.
Aspectos legales y delitos.
Estndares de ingeniera, programacin y operacin.
Funcin de los auditores tanto internos como externos.
Seguridad de los sistemas operativos y de red.
Plan de contingencia.

A los fines de llevar una revisin completa y exhaustiva de este tema, se propone que los
especialistas en seguridad informtica apliquen un enfoque amplio e integral, que abarque todos
los aspectos posibles involucrados en la temtica a desarrollar, identificando aquellos
concernientes a garantas y resguardos, y, despus de haber efectuado un anlisis exhaustivo de
los mismos, presentarlos en detalle y agrupados convenientemente.
CONTROL INFORMTICO?
Definiciones
El Control Interno Informtico puede definirse como el sistema integrado al proceso
administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el

17

objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos automatizados.
El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prcticas
y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y
se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
OBJETIVOS PRINCIPALES:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas

fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo de Auditora Informtica interna/externa

Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de

cumplimiento de los servicios informticos.

Realizar en los diferentes sistemas y entornos informticos el control de las diferentes
actividades que se realizan.

Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en controles de
dos tipos:

18

Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de

informtica sin la utilizacin de herramientas computacionales.

Controles Automticos; son generalmente los incorporados en el software, llmense
estos de operacin, de comunicacin, de gestin de base de datos, programas de
aplicacin, etc.

Los controles segn su finalidad se clasifican en:

Controles Preventivos; para tratar de evitar la produccin de errores o hechos

fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal
no autorizado.

Controles Detectivos; tratan de descubrir a posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.

Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
CONTROL INTERNO INFORMTICO (FUNCIN)

El Control Interno Informtico es una funcin del departamento de Informtica de una

organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de informacin automatizados se realicen cumpliendo las normas, estndares,
procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones especficas estn:

Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al

personal de programadores, tcnicos y operadores.
19

Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en

los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
CONTROL INTERNO INFORMTICO (SISTEMA)

Un Sistema de Control Interno Informtico debe asegurar la integridad, disponibilidad y eficacia

de los sistemas informticos a travs de mecanismos o actividades de control.
Estos controles cuando se diseen, desarrollen e implanten, deben ser sencillos, completos,
confiables, revisables y econmicos.
Para implantar estos controles debe conocerse previamente la configuracin de todo el sistema
a fin de identificar los elementos, productos y herramientas que existen y determinar de esta
forma donde se pueden implantar, as como para identificar los posibles riesgos.
Para conocer la configuracin del sistema se deber documentar:

Entorno de Red: esquema, configuracin del hardware y software de comunicaciones

y esquema de seguridad de la red.

Configuracin de los computadores principales desde el punto de vista fsico, sistema

operativo, biblioteca de programas y conjunto de datos.

Configuracin de aplicaciones: proceso de transacciones, sistema de gestin de base
de datos y entorno de procesos distribuidos
20

Productos y herramientas: software de programacin diseo y documentacin,

software de gestin de biblioteca.

Seguridad del computador principal: sistema de registro y acceso de usuarios,
identificar y verificar usuarios, integridad del sistema

Una vez que se posee esta documentacin se tendr que definir:

Polticas, normas y tcnicas para el diseo e implantacin de los sistemas de

informacin y sus respectivos controles.

Polticas, normas y tcnicas para la administracin del centro de cmputo y redes de

computadores y sus respectivos controles.

Polticas y normas que aseguren la integridad, confidencialidad y disponibilidad de

los datos y sus respectivos controles.

Polticas y normas que rijan los procedimientos de cambios, pruebas actualizacin de

programas y sus respectivos controles.

Polticas y normas de instalacin, actualizacin y uso de licencias del software de

base, de red y de usuario y sus respectivos controles.

Polticas y normas que permitan implantar en la organizacin una cultura de riesgo

informtico, la misma que comprender los siguientes entornos:

Direccin General, a travs de polticas generales sobre los sistemas de informacin

respecto al tipo de negocio de la misma.

Direccin de informtica, a travs de la creacin y difusin de procedimientos,
estndares, metodologas y normas aplicables a todas las reas de informtica as

como de usuarios.
Control Interno Informtico, definir los controles peridicos a realizar en cada una
de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas y
sern de carcter preventivo, detectivos y correctivo.
21

Auditora Informtica Interna; revisar peridicamente la estructura de control

interno tanto en su diseo como en su cumplimiento por parte de cada una de las
reas definidas en l y de acuerdo al nivel de riesgo.

Qu Relacin hay entre Riesgo y Control informtico?

Riesgo

Control Informtico

Procesamiento de errores

Planificacin

Riesgos de choque de elctrico

Resolucin de riesgos

Riesgos mecnicos

Monitorizacin de riesgos

Cambio de la prestacin del servicio

Cumplimiento de normas y estndares

de sistema operativo.

Recorte de la calidad

Redes de software no licenciado

Planificacin demasiado optimista

Modelos de seguridad informtica

Problemas con el personal contratado

Matriz de riesgos

Decisiones equivocadas

Administracin de sistemas de datos

Fraude

Uso de recursos
Facturacin de servicio web

5. Aporte Edwin Alejandro Mora

22

VULNERABILIDAD: Es una debilidad del sistema informtico que puede ser utilizada para
causar dao. Las debilidades pueden aparecer en cualquiera de los elementos de una
computadora, tanto en el hardware, el sistema operativo, como el software.
Como ejemplo de vulnerabilidad podemos comentar el siguiente. En su casa hay una
computadora conectada a Internet, donde adems tiene configurada una cuenta de correo
electrnico a travs de la que recibe mensajes diariamente. Tambin tiene instalado un antivirus
que es capaz de chequear los mensajes electrnicos, incluidos los archivos que estn adjuntos.
Pero el antivirus lo instal cundo compr el equipo hace ms de un ao y no lo ha vuelto a
actualizar. En este caso su equipo es vulnerable a los virus ms recientes que puedan llegar
mediante su correo electrnico, ya que el antivirus no est actualizado y no sabe que estos
nuevos virus existen.
Pero una cosa s que es cierta; que exista una vulnerabilidad no significa que se produzca un
dao en el equipo de forma automtica, es decir, la computadora tiene un punto flaco, pero no
por eso va a fallar, lo nico que ocurre es que es posible que alguien ataque al equipo
aprovechando este punto dbil.
AMENAZA: Una amenaza a un sistema informtico es una circunstancia que tiene el potencial
de causar dao o una prdida. Es decir, las amenazas pueden materializarse dando lugar a un
ataque en el equipo.
Como ejemplos de amenaza estn los ataques por partes de personas, al igual que los desastres
que puedan afectar a su computadora. Tambin se puede considerar amenazas los fallos
cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto del hardware como
del software.
23

RIESGO: Es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.
El riesgo se utiliza sobretodo el anlisis de riesgos de un sistema informtico. Este riesgo
permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo lmite
que acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia,
ste se convierte en un riesgo residual que podemos considerar como riesgo aceptable.
CONTROL INTERNO INFORMTICO
Puede definirse como el sistema integrado al proceso administrativo, en la planeacin,
organizacin, direccin y control de las operaciones con el objetivo de asegurar la proteccin de
todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de
los procesos operativos automatizados.
El informe COSO define el control interno como Las normas, los procedimientos, las prcticas
y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y
se corregirn.
Tambin se puede definir el control interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
TIPOS: En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:

24

Controles Manuales: Aquellos que son ejecutados por el personal del rea usuaria o de
informtica sin la utilizacin de herramientas computacionales.
Controles Automticos: Son generalmente los incorporados en el software, llmense estos de
operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos: Para tratar de evitar la produccin de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos: Trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Controles Correctivos: Tratan de asegurar que subsanen todos los errores identificados
mediante los controles detectivos.
OBJETIVOS PRICIPALES
*Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
*Asesorar sobre el conocimiento de las normas.
*Colaborar y apoyar el trabajo de Auditora Informtica interna/externa.
*Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informticos.

25

*Realizar en los diferentes sistemas y entornos informticos el control de las diferentes

actividades que se realizan.

FUNCIN DEL CONTROL INTERNO INFORMTICO

El control interno informtico es una funcin del departamento de informtica de una
organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de informacin automatizados se realicen cumpliendo las normas, estndares,
procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones especficas estn:
*Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de
programadores, tcnicos y operadores.
*Disear la estructura del sistema de control interno de la direccin de informtica en los
siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin, explotacin de servidores principales,
software de base, redes de computacin, seguridad informtica, licencias de software, relaciones
contractuales con terceros, cultura de riesgo informtico en la organizacin.
reas de Aplicacin
Controles Generales Organizativos

26

Son la base para la planificacin, control y evaluacin por la Direccin General de las
actividades del departamento de informtica, y debe contener la siguiente planificacin:
*Plan Estratgico de Informacin realizado por el Comit de Informtica.
*Plan Informtico, realizado por el Departamento de Informtica.
*Plan General de Seguridad (fsica y lgica).
*Plan de Contingencia ante Desastres.
Controles de Desarrollo y Mantenimiento de Sistemas de Informacin
Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin
de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como las del
ciclo de vida de desarrollo de aplicaciones.
Controles de Explotacin de Sistemas de Informacin
Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso
del hardware as como los procedimientos de instalacin y ejecucin del software.
Controles en Aplicaciones
Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin,
salida, validez y mantenimiento completos y exactos de los datos.
Controles en Sistemas de Gestin de Base de Datos
Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y
seguridad.
27

Controles Informticos sobre Redes

Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las
redes instaladas en una organizacin sean estas centrales y/o distribuidos.
Controles sobre Computadores y Redes de rea Local
Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware
como del software de usuario, as como la seguridad de los datos que en ellos se procesan.

Participante

Propuesta empresa Auditar

Definitiva

Jos G. Chima M.
Jhon Sepulveda O.

Ind. de alimentos Zen

S.A.S.

Jorge E. Osorio M.

Inv. Forestales la Cabaa

Geider B. Haverra

SECRETARIA
TRNSITO

DE
Y

Ind. de alimentos Zen

S.A.S.

TRANSPORTE DE TURBO
ANTIOQUIA
Edwin Alejandro Mora

Servi.com

Con los aportes enviados por los compaeros el consolidado de las definiciones es:
Vulnerabilidad

28

En informtica hay puntos dbiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
queremos proteger son sus activos, es decir, los recursos que forman parte del sistema
Amenaza y Riesgo Informtica
Cuando se escucha el termino amenaza o riego informtico, nos preocupamos.
Control Informtico
Es el control que se hace en la empresa por personal de auditora de la misma empresa, se
revisan procesos como actividades del rea de Operaciones, pueden ser flujos de Hardware
como de software, se debe hacer el control interno peridicamente.

29

30

CONCLUSIONES

Con este trabajo nos damos cuenta que tanto en el ambiente tecnolgico como en la vida

normal, hay amenazas y somos vulnerables.

En el campo tecnolgico estas pueden ser ms menos perceptibles, hay tanto amenazas
como vulnerabilidades, como: robo de informacin, hacker sitios web, perdida

deliberada o no de datos, entre otros.

Podemos tomar medidas para que esto no sea tan traumtico, en la parte de equipos,
instalar programas antivirus, firewall, no comentar ni dar la contrasea, revisar
peridicamente la pagina del fabricante y actualizar los parches de seguridad sugeros

tanto para hardware, software y Bios, entre otros.

Las empresas deben invertir ms en seguridad tanto en equipos especializados como en
software, que en la actualidad hay mucho, y pueden ser tanto licenciados como libres.

BIBLIOGRAFIA
31

http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-informtica
http://es.slideshare.net/Vita1985/control-informatico
http://101plissken.blogspot.com/2013/03/control-interno-y-auditoria-informatica.html
https://protejete.wordpress.com
http://www.peru.gob.pe/docs/PLANES/10018/PLAN_10018_MOF%20GERENCIA%20DE
%20INFORMATICA%20Y%20PLANEAMIENTO_2009.pdf
http://www.zarpele.com.ar/2009/06/descripcion-de-las-distintas-funciones-del-area-de-sistemas/
http://exa.unne.edu.ar/matematica/metodos/8-sitios-materialinteres/GUIA_00001__Guia_Perfiles_Area_Inform_tica__v1.pdf

32