Fundamentos

Control Interno informtico

Especializacin
en Seguridad
Informtica
Palacio Miranda
Freddy Arturo,
Garcia
Guacaneme Ral, Caucali Beltrn Diana Marcela,
23304_225 Riesgos
y ControlAbierta
Informtico
Universidad
y a Distancia (UNAD)

I. INTRODUCCIN

Resumen Este trabajo tiene como objetivo

realizar estudio y diagnostico en una organizacin,
identificar las reas donde se genera informacin
que es la parte fundamental pues es producto de sus
actividades, bien sea los sistemas, la infraestructura
tecnolgica y los activos de informacin como tal,
buscando revisar que dependencias intervienen entre
s para controlar, prevenir y proteger la informacin.
Asimismo a partir de ello revisar los controles
internos a nivel informtico y cmo a partir de ellos
determinar las vulnerabilidades, amenazas y riesgos
se les pueda dar un tratamiento para mitigarlos y
teniendo en cuenta los estndares de seguridad
informtica aplicar las buenas prcticas de acuerdo
a la ISO 270002 y dems estndares y modelos en
materia de proteccin y seguridad de la informacin.

Palabras clave , amenaza, causa, control,

probabilidad, impacto, tratamiento, riesgo,
seguridad informtica vulnerabilidad
Abstract This work aims to conduct research
and diagnosis in an organization, identify areas
where information is generated which is the
fundamental part it is the product of their activities ,
whether systems , technological infrastructure and
information assets as such , seeking review that
agencies involved with each other to control, prevent
and protect information. Also from this review
internal controls at computer level and how from
them identify vulnerabilities , threats and risks they
are able to give treatment to mitigate and taking into
account the standards of security applied best
practices according to the ISO 270002 and other
standards and models for the protection and
information security .
Keyworks threat, cause , control, probability ,
impact, treatment , risk, TI, vulnerability

A gestin de riesgos hoy en da es tema

que enmarca toda una organizacin,
puesto que no solo se trata de temas
financieros si no que le compete a toda una
entidad donde se vincula el talento humano, las
comunicaciones, tecnologa, la infraestructura de
la organizacin, la alta direccin, los recurso
fsicos y como parte esencial la informacin, por
lo cual se vincula a control interno [1] como una
de las reas transversales que permite realizar
seguimiento para controlar y mitigar ciertos
riesgos que se presentan y en algunos casos no son
tan evidentes, pero por lo cual se les puede dar un
tratamiento y calificacin a partir de las causas
que lo generan para as prevenir y garantizar la
seguridad de la informacin y informtica,
aplicando las metodologas y tcnicas que los
estndares y modelos de seguridad proponen a
partir del estudio y anlisis de riesgos y control
informtico.
Se pretende, afianzar y fortalecer los fundamentos
tericos y prcticos sobre el control interno
informtico enfocado a la seguridad informtica y
de la informacin, y la aplicacin de los
estndares ms recomendados y usados
internacionalmente para as a partir del anlisis
realizado llevar a cabo el proceso de definicin de
controles y gestin de riesgos aplicados a
seguridad informtica y de la informacin.

II. OBJETIVOS

1. Determinar los recursos afectados y analizar la

causa que origina cada uno de los riesgos
encontrados, los recursos afectados pueden ser
(HARDWARE)
hardware,
(SOFTWARE)
software, (TH) talento humano, y ORG.
2. Proponer un sistema de control interno
informtico para la organizacin que ha sido
analizada por cada uno de los estudiantes de
acuerdo a los estndares de control ISO 27002.

3. Realizar el tratamiento de los riesgos

encontrados en la matriz de riesgos teniendo en
cuenta que pueden ser aceptados, transferidos o
que se puede definir los controles que ayuden a
mitigarlos.
III. ETAPA DE DISEO

IV.
Matriz de Riesgos con Valoracin

CATEGORA DE
ACTIVO

1. Comunicaciones

SERVICIO DE RED

VULNERABILIDAD

RIESGO
AFECTADO

AMENAZA

RIESGO

CAUSA

CONTROLES
ISO 27002

PROBABILIDAD

IMPACTO

RIESGO
INHERENTE

NIVEL DE
RIESGO

RIESGO
RESIDUAL

Desarrollo
tecnolgico
informtico

Deficiencias en
los
requerimientos
Falta de personal
presentados y en que brinde soporte SOFTWARE
el mantenimiento a los aplicativos
de la herramienta
desarrollada.

Aplicacin
limitada de las
herramientas
informticas
desarrolladas

Humana: falta de
capacitacin,
tecnolgica:
actualizacin de los
sistemas

* A.13.1.2. Seguridad
de los servicios de
red.
* A.14. Adquisicin,
desarrollo y
mantenimiento de
sistemas.

Medio (0.8)

Moderado (0.8)

0.64
Medio

Tolerable

Medio

Desarrollo
tecnolgico
informtico

Obsolescencia de Ausencia
herramientas
herramientas
tecnolgicas
tecnolgicas

Desarrollo y
aplicacin de
herramientas
tecnolgicas no
autorizadas

Tecnolgica: falta
de actualizacin

* A.14.2.2.
Procedimiento de
Medio (0.8)
control de cambios en
sistemas.

Moderado (0.8)

08
Medio

Tolerable

Medio

Daos presentados
en los equipos de HARDWARE
comunicaciones

Daos de los
equipos de
comunicaciones

Tecnolgico y
fsico

A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Fallas en la red
HARDWARE
telefnica

Daos de la red Humana, fsicos y A.13.2. Transferencia

Bajo (0.4)
telefnica
tecnolgico
de informacin.

Leve (0.5)

0.2
Bajo

Aceptable

Bajo

Conocimiento de
HARDWARE
informacin tarda

Cortes
servicio
internet

del
de Tecnolgico

Alto (1)

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Penetracin
del
sistema a travs de HARDWARE
la red

Intercepcin de
las
Tecnolgico
comunicaciones

A.6.1.1. Seguridad de
la Informacin Roles Alto (1)
y Responsabilidades.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Medio (0.8)

Moderado (0.8)

0.64
Medio

Tolerable

Medio

Alto (1)

Catastrfico (1)

Inaceptable

Critico

Retraso en los
Equipos
de enlaces de los
comunicaciones
equipos
de
comunicaciones
Falta
de
Red telefnica
comunicacin
entre empleados
Comunicacin
Internet
no permanente la
red
La interceptacin
de informacin
que
es
Red Informtica
transmitida
desde o hacia el
sistema.

2. Tecnologa

Presencia
software
malicioso
Software

Hardware

de Instalacin
programas
innecesarios

de
SOFTWARE

de

SOFTWARE
Registro
Conflictos en los
inadecuado
de
recursos
programas
de
compartidos
windows
Presenta
Falla
en
la HARDWARE
software
memoria, fuente,
malicioso
disipadores, board,
disco duro, etc
Consumo
de
alimentos en las
reas de trabajo

Daos en
software

Daos en
Hardware

Tecnolgico:
actualizacin de
software

A.14.2.4.
Restricciones sobre
los cambios de
paquetes de software.

Tecnolgico:
Software

A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.

Tecnolgico y
fsico

A.11.2.4.
Mantenimiento de
equipos.

Humano y fsicas

A.11.2.9. Poltica de
escritorio limpio y
pantalla limpia.

Alto (1)

1
Fuerte

4
CATEGORA DE
ACTIVO

SERVICIO DE RED

VULNERABILIDAD

AMENAZA

RIESGO
AFECTADO

Daos
en
los
dispositivos
de
Red
comunicacin
HARDWARE
(rack, servidores,
touters)
Problemas en la
configuracin de
Fallas en la los parmetros de
administracin
seguridad
del
de los aplicativos servidor
del
sistema
de
informacin
Denegacin del
Sistemas
de servicio a travs Falta de soporte y
SOFTWARE
Informacin
de
mltiples mantenimiento de
consultas
fabrica
concurrentes
Problemas en la
oportunidad de la Fallas
en
los
atencin en los controles para el
diferentes
acceso fsico a los
sistemas
de servidores
informacin
Referencia
de
repuestos
El
constante
descontinuados
cambio
Aceleracin
de
tecnolgico
nuevas tecnologas
Dispositivos de red genera que las
HARDWARE
generando
herramientas
discontinuidad de
adquiridas entren
las mismas en un
en inoperancia.
corto periodo de
tiempo
Falta
de
Ausencia
de dispositivos para
Hardware
HARDWARE
Hardware
buen
funcionamiento
TODA
LA
Infraestructura de Violacin
de Personas
no
ORGANIZACI
red
autorizacin
autorizadas
N
Administracin
de la red

3. Seguridad Fsica

Infraestructura
red

de Perdida
hardware

Infraestructura
red

de

de

Riesgos fsicos

RIESGO

CAUSA

Fallas en la red

Fsicos

A.13.1. Gestin de
Seguridad de Redes

PROBABILIDAD

IMPACTO

RIESGO
INHERENTE

Medio (0.8)

Moderado (0.8)

0.64
Medio

Tolerable

Medio

Alto (1)

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Bajo (0.4)

Leve (0.5)

0.2
Bajo

Aceptable

Bajo

Bajo (0.4)

Moderado (0.8)

0.32
Bajo

Aceptable

Bajo

moderado(0.8)

0.32
Bajo

Aceptable

Bajo

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Aceptable

Bajo

Humana, Falta de
A.9.4. Control de
actualizacin de los
Acceso a Sistemas y
sistemas de
Aplicaciones.
seguridad
Violacin de los
sistemas de
Informacin

Obsolescencia
Tecnolgica

Robos
hardware

de

Vandalismo

TODA
LA
ORGANIZACI Incendios
N

Perdida
de
TODA
LA
Daos en hardware
equipos
en
ORGANIZACI Terremotos
y software
funcionamiento
N

Punto de energa Funcionamiento Perdida

del HARDWARE
elctrica
irreparable
de funcionamiento
dispositivos
correcto de equipos

CONTROLES
ISO 27002

Fallas elctricas

Desconocimiento
tecnolgico.

A.12.1.
Procedimientos
operacionales y
responsabilidades.

Humana

A.11.1.2. Controles
Fsicos de entrada.

Tecnologa

A.12.6. Gestin de
vulnerabilidad
tcnica.

Actualizacin
tecnolgica

A.12.5.1. Instalacin
de software en
sistemas operativos.

Humana

A.11.1.
Seguras.

Humana

A.11.1.2. Controles
Bajo (0.4)
Fsicos de entrada.

reas

Humana y fsicos A.11.2.1. Ubicacin y

por cortos circuitos proteccin de los Alto (1)
que puedan ocurrir equipos.

Humanas y Fsicas
Humanas y fsicas

A.11.1.4. Proteccin
contra
amenazas
Alto (1)
externas
y
ambientales.
A.11.2.2. Servicios Bajo (0.4)
Pblicos de soporte.

Leve (0.5)

0.2
Bajo

5
CATEGORA DE
ACTIVO

SERVICIO DE RED

Hardware

Acceso

4. Manejo de
Personal

5. Proteccin de la
Informacin

Manipulacin de
datos
confidenciales
Tenencia
de
informacin no
autorizada.
Autorizaciones
no verificadas

Autenticacin

Intentos fallidos

Personal

Eficiencia
afectada

Informacin

Obtencin
informacin

Informacin

Obtencin
informacin

Informacin

Obtencin
informacin

Informacin

Informacin
veraz

Usuario

Entorpece
funcionamiento

Backup

Archivos
programas

RIESGO
AFECTADO

AMENAZA

Atrasos en el Perdida
de
funcionamiento
informacin
de los procesos
almacenada

Identidad

Informacin

6. Seguridad
Lgica

VULNERABILIDAD

la
HARDWARE

TODA
LA
Extraccin de datos
ORGANIZACI
no autorizados
N
TODA
LA
Acciones
ORGANIZACI
sospechosas
N
TODA
LA
Accesos
no
ORGANIZACI
autorizados
N
TODA
LA
Autenticacin
ORGANIZACI
repetida
N

Programas
archivos
eliminados
cambiados

NIVEL DE
RIESGO

RIESGO
RESIDUAL

A.11.1.3. Seguridad
de oficinas, salones e Alto (1)
instalaciones.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Humana

A.9.3.1.Uso
de
Alto (1)
informacin secreta.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Humana

A.10.1.2. Gestin de
Alto (1)
Claves.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Suplantacin de
Humana
identidad

A.9.1.1. Poltica de
Alto (1)
Control de Acceso.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

de A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

Fallas
hardware

de Tecnolgicas
fsicas

Accesos
autorizados

no

Fraude

Fallas
de Controles
autenticacin
ingreso

Bajo (0.4)

Moderado (0.8)

0.32
Bajo

Aceptable

Bajo

TODA LA
ORGANIZACI
N

Fugas de
Informacin

Humana y falta de
controles de
seguridad

A.9.2.4. Gestin de
informacin de
autenticacin secreta
de usuarios.

Bajo (0.4)

Moderado (0.8)

0.32
Bajo

Aceptable

Bajo

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

catastrfico (1)

1
Fuerte

Inaceptable

Critico

catastrfico (1)

1
Fuerte

Inaceptable

Critico

A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.

catastrfico (1)

1
Fuerte

Inaceptable

Critico

y
A.12.4. Registro y
de
Alto (1)
Seguimiento.

catastrfico (1)

1
Fuerte

Inaceptable

Critico

Alto (1)

catastrfico (1)

1
Fuerte

Inaceptable

Critico

y TODA
LA Acceso a los Humana y polticas A.9.1.1. Poltica de Alto (1)
ORGANIZACI programas
y de seguridad
Control de Acceso.
o N
archivos
por
parte de personal
no autorizado

catastrfico (1)

Inaceptable

Critico

de

Humana y falta de
A.9.1.1. Poltica de
controles
de
Alto (1)
Control de Acceso.
seguridad
Humana y falta de
Perdida
de
A.9.1.1. Poltica de
controles
de
Alto (1)
informacin
Control de Acceso.
seguridad
A.9.4.1. Restriccin
Manipulacin de
Humana
de
acceso
a Alto (1)
informacin
informacin.
Robo
informacin

Errores
usuario

de TODA
LA
Eliminacin
real ORGANIZACI
informacin
N

Perdida de datos

RIESGO
INHERENTE

A.7.1.2. Trminos y
condiciones del
empleo.

Demora
en TALENTO
servicios ofrecidos HUMANO
Ausencia
informacin
disponible

IMPACTO

Humana

TODA
LA
ORGANIZACI
N
TODA
LA
de Perdida
de
ORGANIZACI
informacin
N
Personal
TODA
LA
no
involucrado,
ORGANIZACI
Informacin errada N

Falta
de
informacin
completa
Ante cualquier
desastre
la
TODA
LA
ORGANIZACI
Nanizacin
es
perjudicada
y El estado de
programas
y
archivos se ve
afectado

PROBABILIDAD

Indisponibilidad
del personal

de

de Perdida
informacin

CONTROLES
ISO 27002

CAUSA

TALENTO
HUMANO

Rendimiento
desmejorado

de Perdida
informacin

RIESGO

de

de
de

No se encuentran
TODA
LA definidas
las
ORGANIZACI polticas
de
N
copias
de
seguridad

Humana
Humana
controles
seguridad

Tecnolgica, falta
de polticas de A.12.3. Copias
respaldo de los Respaldo.
datos

de

1
Fuerte

6
CATEGORA DE
ACTIVO

SERVICIO DE RED

VULNERABILIDAD

AMENAZA

RIESGO
AFECTADO

RIESGO

CAUSA

Informacin
Accesos
de TODA
LA
transmitida a un Humana
informacin
por ORGANIZACI
destinatario
tecnolgica
medio empleados
N
incorrecto
Modificacin de
Vulneracin
y
TODA
LA los programas y
Programas
y funcionamiento
Funcionamiento
ORGANIZACI archivos
por Humana
archivos
errado de la errado
N
parte de los
informacin
usuarios
Tecnolgica,
Vulneracin de la
Falta de software
Informacin
actualizacin de
control de acceso
privacidad de la SOFTWARE
de control de
puesto es peligro
sistemas
informacin
acceso
seguridad
Mal
Vulnerable todo
Tecnolgica,
funcionamiento de
Entrada de virus
virus
el sistema de
SOFTWARE
actualizacin de
software
o
y malware
informacin
sistemas
hardware
Destinatario

Extraccin
informacin

de

CONTROLES
ISO 27002

PROBABILIDAD

IMPACTO

RIESGO
INHERENTE

NIVEL DE
RIESGO

RIESGO
RESIDUAL

y A.13.2. Transferencia
Alto (1)
de informacin.

catastrfico (1)

1
Fuerte

Inaceptable

Critico

A.12.5. Control de
Software
Alto (1)
Operacional.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

los A.9.1.1. Poltica de

Alto (1)
de Control de Acceso.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

A.12.2.
Proteccin
los contra
cdigos Alto (1)
maliciosos.

Catastrfico (1)

1
Fuerte

Inaceptable

Critico

7
[4]
[5]

V. CONCLUSIONES
[6]

Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando
las principales deficiencias de la misma.
Existen riesgos que dependen del entorno, en los que las polticas gerenciales de la empresa pueden
minimizarlos, pero de forma interna no pueden ser evitados.

[7]
[8]
[9]

La Gerencia de la empresa tiene polticas de prevencin para los riesgos, pero estas no garantiza el
adecuado control de los mismos.

ISACA. (2007).COBIT 4.1. Disponible en:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

Gobierno de Espaa, Portal de Administracin electrnica. MAGERIT V.3: Metodologa de Anlisis y gestin de riesgos de los
sistemas
de
informacin.
Disponible
en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html
Duque Ochoa Blanca R. (2012). Metodologas de gestin de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en:
http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.
Yaez de la Melena Carlos, Ibsen Muoz Sigfred Enrique. (2011). Enfoque metodolgico de la auditora a las tecnologas de
informacin
y
comunicaciones.
Disponible
en:
http://www.olacefs.com/Olacefs/ShowProperty/BEA
%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf
Gaona Vsquez Karin. (2013). Aplicacin de la metodologa MAGERIT para el anlisis y gestin de riesgos de la seguridad de la
informacin aplicado a la empresa pesquera e industrial Bravito S. A. en la ciudad de Machala. Disponible en:
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
De la Torre Morales Martha Elizabeth, Giraldo Martnez Ingrid, Villalta Gmez Carmen. (2012). Diagnstico para la Implantacin
de COBIT en una Empresa de Produccin. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPSGT000307.pdf

A partir de la identificacin de un riesgo por pequeo que parezca se puede realizar anlisis del mismo y as
empezar a buscar las alternativas de como mitigarlo y dar el tratamiento adecuado
La aplicacin de los estndares internacionales y modelos permiten que las buenas prcticas en cuento a
seguridad informtica y de la informacin, se genere un control y seguimiento para la proteccin de los
activos de la organizacin y as darle una valor a cada uno de estos.

[2]
[3]

Duque,
R
(s.f.)
Metodologas
de
gestin
de
riesgos.
Disponible
http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf
Ranz
Perlaes
Eduardo.
Evaluacin
de
control
interno
en
sistemas
informticos.
Disponible
http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
ISO (2013). Controles ISO/IEC 27002. Disponible en: http://iso27000.es/download/ControlesISO27002-2013.pdf

BIOGRAFA

Diana Marcela Caucali Beltrn, naci en Guamal, Meta el 15 de septiembre de 1984. Profesional de
Sistemas de Informacin, bibliotecologa y archivstica, egresada de la Universidad de La Salle. Especialista en
Gestin documental, asesora y consultora en Sistemas de gestin de documento de archivo electrnico
(SGDEA) y Records Management, lineamientos tcnicos archivsticos. Actualmente, estudiante de
especializacin en Seguridad Informtica

VI. REFERENCIAS
[1]

VII.

en:
en:

Freddy Palacio naci en Colombia el 8 de Enero de 1977. Se gradu de la Universitaria Nacional y A

Distancia UNAD, en Ingeniera de Sistemas, y actualmente es estudiante misma universidad en el postgrado
Especializacin en Seguridad Informtica.
Se desempea como soporte tcnico en el rea de las telecomunicaciones en el manejo y administracin de
software con una empresa dedicada a la identificacin y procesos electorales.