PRE SABERES Y CONCEPTOS BÁSICOS DE AUDITORIA

Presentado por:
Edgar Fernando Guzman Y.
102388164

Presentado A:
CARMEN EMILIA RUBIO
Tutora

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA - ECBTI
AUDITORIA DE SISTEMAS
AGOSTO 2015
BOGOTA
 INTRODUCCIÓN

En el presente documento lo que pretendo dar a conocer, como primera instancia es dar una
solución a los puntos planteados en la primera actividad a desarrollar en el curso, en el cual se
pretende ahondar en terminología de gran importancia para el curso y también en comparaciones
y diferencias ente las mismas, esto desde mi perspectiva, con el único fin de entender y diferenciar
terminologías bases para el desarrollo del curso.
 TABLA DE CONTENIDO.

PUNTOS A DESARROLLAR.................................................................................................................... 4
DESARROLLO PUNTO 1........................................................................................................................ 5
VULNERABILIDADES ................................................................................................................. 5
AMENAZA ..................................................................................................................................... 5
RIESGO ......................................................................................................................................... 6
Control Informático ....................................................................................................................... 6
DESARROLLO PUNTO 2........................................................................................................................ 7
RELACIÓN ENTRE RIESGOS Y CONTROL INFORMÁTICO ............................................. 7
DESARROLLO PUNTO 3........................................................................................................................ 7
CONCLUSIONES. ............................................................................................................................ 8
BIBLIOGRAFIA ................................................................................................................................. 9
 PUNTOS A DESARROLLAR

1. Cada estudiante debe aportar de acuerdo a la consulta sobre vulnerabilidades, amenazas,

riesgos y control informático
2. Cada estudiante debe hacer un escrito entre la relación entre riesgos y control
informático.
3. Proponer una empresa para llevar a cabo la auditoria informática o de sistemas
 DESARROLLO PUNTO 1.

VULNERABILIDADES: Las vulnerabilidades, como su mismo nombre lo indica son,

Debilidades, flaquezas, que ponen en riesgo nuestro sistema o en un punto mayor permiten
ataques que violen nuestra confidencialidad o en su defecto nos puedan causar daños en nuestros
sistemas, los cuales pueden llegar a ser daños tanto de Hardware como de Software. Las
vulnerabilidades se pueden traducir en errores por descubrir o ya descubiertos que permiten
realizar actos sin permisos y sin control sobre nuestros sistemas, y que en ocasiones es difícil
conocer de nuestra mano la existencia de dichas debilidades, aunque cabe resaltar que es casi
imposible evitar las vulnerabilidades de nuestros sistemas al 100% a causa del sin número de
formas de ataque o daño en la que podamos caer. Podremos tener en nuestro sistema: Antivirus,
detectores de código maligno, antispam, Cortafuegos, y sin embargo nuestro sistema puede ser
vulnerable, lo que si es posible es tratar de evitarlas al máximo posible.

- Se pueden tomar medidas como:

- Tener Activado nuestro Firewall
- Realizar Escaneos completos programados en busca de virus o demás actividades
maliciosas.
- Tratar de no caer en los famosos correos Spam.
- En caso de descargas o cosas directas de internet, hacerlo siempre desde fuentes
confiables.

AMENAZA: Una amenaza, radica básicamente que existir si y solo si existe una
vulnerabilidad en el sistema. La amenaza es toda actividad que pueda llegar a atentar contra
la seguridad de la información. En la mayoría de casos la amenaza en un sistema es
simplemente una advertencia de que se puede estar generando un daño al activo como lo es
la información de una empresa. Las causas de las amenazas bien esta sabido se generan por
diversos factores, podríamos hablar en un pequeño resumen de que algunas causas son:

- Intencionales:
- Programas maliciosos: Programas que se encarga de hacer uso indebido de recursos
del sistema.
- Intrusos: Son las personas que logran acceder a los sistemas de información, pero que
cabe resaltar que no están autorizados.
- No intencionales:
 - Siniestro: Ya sea por desastres naturales, incendios, etc. Elementos externos al ser
humano.

RIESGO: Un riesgo en una definición más básica, se podría decir que es un problema que
puede generarse de manera dividida, en donde su función primordial es identificar cuáles son
los activos informáticos de una compañía, y a su vez detectar sus vulnerabilidades que es el
impacto negativo para hace bajo la probabilidad, que una amenaza se pueda volver realidad.
Por eso el Riesgo se podría tomar como una posible ayuda para tomar las mejores decisiones
para proteger de una mejor manera el sistema diseñando esa contra para los riesgos que se
detecten, en donde el mayor potencial generador de riesgos es el usuario final con el uso de
las tecnologías. Por tal razón se debe tener prevista una valoración de Riesgos donde se
pueden manejar 2 metodos de valoraciones, estos son:

- Método A: Scoring; en la cual se hace una revisión en base a los factores que se
consideran variables de mayor riesgo como por ejemplo: complejidad, cambios en el
proceso, extensiones de sistema.
- Método B: En base a Juicios, como lo son perspectivas históricas o directivas
provenientes de mesas ejecutivas.

Existen también Tipos de riesgos en los cuales a continuación solo referenciaría

algunos de los muchos que existen y consulte:

- Riesgo de integridad
- Riesgos de Acceso
- Riesgos de Utilidad
- Riesgos de infraestructura
- Riesgo de Seguridad General

Control Informático: En pocas palabras y según lecturas sobre el tema, una pequeña
conclusión que se podría dar sobre el control informático; es que se relaciona a una actividad
que se ejecute ya sea manualmente o automáticamente con el único fin de prevenir y corregir
irregularidades que en algún momento puedan llegar a dañar el correcto funcionamiento de un
sistema. Un sistema siempre debe de proveerse de un control diseñado para su ejecución, los
cuales deben siempre de ser completos, fiables, adecuados y sobre todo muy rentables. Los
controles informáticos se pueden clasificar de 3 maneras:

- Preventivos
- Detectivos
- Correctivos.
 DESARROLLO PUNTO 2

RELACIÓN ENTRE RIESGOS Y CONTROL INFORMÁTICO

La relación que existe entre Riesgos Informáticos y Controles informáticos, esta relacionados
donde uno depende del otro, en resumidas cuentas, los controles informáticos hacen
referencia a las cosas (software, infraestructura, personas) que implemento en mi sistema
para prevenir que se materialicen esos riesgos que identifico potencialmente peligrosos para
mi sistema.

Un riesgo puede ser, el posible acceso de un virus, un Spam, una falla eléctrica, un posible
daño de disco, a cambio de estos riesgos Un control a implementar puede ser por ejemplo un
Firewall, un antivirus, una Planta eléctrica, realizar una generación de Backus, etc…

Todo en base y trabajando en conjunto de la protección y disminución de riesgos a los que se

puede ver vulnerable el sistema.

DESARROLLO PUNTO 3

Propuesta de Empresa para auditoria:

Punto Pendiente por desarrollar.

(Respecto a este punto lo dejo pendiente, el día 20/08/2015 realice una pregunta en el foro de
cómo proceder con este punto a desarrollar)
 CONCLUSIONES.

Despeas de desarrollado el presente trabajo, en el cual su fundamento fue más investigativo y

relacional, este nos ayuda a futuro a ver fácilmente las diferencias que se encuentran en la
terminología que se pueden manejar en base a un tema (auditoria), como lo es en este caso,
donde se ahondo temas referentes a la seguridad de los sistemas y los diversos puntos desde
donde se pueden a entrar a analizar, interpretar, discutir y re plantear los sistemas en busca de
fallas de seguridad. Todo esto en busca de un solo fin proteger y blindar nuestros sistemas
informáticos.
 BIBLIOGRAFIA

- http://campus13.unad.edu.co/campus13_20152/mod/lesson/view.php?id=1503
- https://es.wikibooks.org/wiki/Seguridad_inform%C3%A1tica/Vulnerabilidad
- http://www.alegsa.com.ar/Dic/vulnerabilidad.php
- https://www.codejobs.biz/es/blog/2012/09/07/seguridad-informatica-que-es-una-
vulnerabilidad-una-amenaza-y-un-riesgo
- http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
- https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico
- http://audisistemas2009.galeon.com/productos2229079.html
- https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
- https://www.codejobs.biz/es/blog/2013/09/03/los-sistemas-de-control-interno-
informatico