90168_ trabajo inicial de reconocimiento _65
DESCRIPTION
trabajo inicialTRANSCRIPT
Auditoria de Sistemas
MOMENTO INICIAL
RECONOCIMIENTO DEL CURSO
PRESENTADOR POR
José Gabriel Chima M. código: 1.027.998.887
Geide Barrios Chaverra código: 1045.493.032
Jorge Osorio Mejía código: 71618675
Edwin Alejandro Mora V. código
John Sepulveda O. código
GRUPO
90168_65
TUTOR:
Francisco Nicolás Solarte
UNIVERSIDAD ABIERTA Y A DISTANCIA
2015
DESARROLLO
1. APORTE JORGE OSORIO
Vulnerabilidad
En informática son puntos débiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
Esto se debe a que el sistema no es lo demasiado robusto en su estructura que permite que sea
vulnerable.
Así como hay vulnerabilidades hay manera de corregir estos puntos débiles existentes en el
sistema.
Hay varios tipos de vulnerabilidades
1. Físicas: Se refiere principalmente a las instalaciones inadecuadas del espacio de trabajo,
desorganización de cables de energía y de red, falta de sistemas contra incendios.
2. Naturales: Son los relacionados con la naturaleza que puedan afectar la información, la
humedad, el polvo, la contaminación, instalaciones locativas próximas a ríos, todos
estos factores hacen que los sistemas o equipos sean vulnerables a daños.
3. Hardware: Los defectos de hardware, la falta de actualización por parte de los
fabricantes que los encargados del hardware no lo hacen regularmente. Otra
vulnerabilidad de hardware es la falta de contingencia o respaldo de equipos
4. Software: Cuando se generan aplicaciones hay puntos débiles que no son detectados en
su momento; la instalación de programas no autorizados en los equipos de cómputos hace
2
que una empresa tenga puntos débiles; también los sistemas operativos son el blanco de
ataques por personal no autorizado, estos sistemas también requieren actualizaciones de
seguridad periódicamente.
5. Medios de Almacenaje: Son los medios físicos o magnéticos que se utilizan para
almacenar la información, entre los que se encuentran Cd, Usb, Discos duros externos,
entre otros; sin condiciones adecuadas en su manipulación son vulnerables, si se guardan
en sitios insalubres o con alto nivel de humedad.
6. De Comunicación: Nos referimos al tránsito de la información el cableado Utp,
telefónico, fibra óptica, ondas de radio, equipos de protección, entre otros, cuando este
sistema es frágil las vulnerabilidades se hacen evidentes ya que por estos medios circula
mucha información valiosa
7. Humanas: Se relaciona mas con lo que las personas causan a la información ya que
puede ser mal intencionada o no, esto se puede deber a falta de conocimiento o falta de
capacitación.
Amenaza y Riesgo Informática
Son las personas que son capaces de detectar fallos de seguridad o los llamados puntos débiles
en los sistemas,
Las amenazas las podemos clasificar:
1. Amenazas Naturales: Son las provocadas por inundaciones, terremotos,
2. Intencionales: Deliberadas, robo, hurto de la información, espionaje, vandalismo, daño
de la información
3
3. Involuntarias: Divulgación de contraseñas, activación de un virus que llega en un formato
desconocido por el usuario.
Control Informático
Teniendo en cuenta el significado de control, es una actividad que se hace manual o automática
para corregir o prevenir errores informáticos. Internamente en una empresa también debe haber
una (s) personas dedicadas a la labor de revisar las principales actividades de la empresa tanto
de sistemas, como de otra índole ya que fueron fijadas con anterioridad por la organización.
Refiriéndonos al control informático que se le hace a una empresa se deben de tener en cuenta
los diferentes sistemas, entornos informáticos y actividades operativas.
2. QUE RELACIÓN HAY ENTRE RIESGO Y CONTROL INFORMÁTICO
Riesgo Control Informático
Incertidumbre sobre una amenaza Revisión
Inadecuada prevención Gestión adecuada
Sin autorización Políticas de seguridad
Vulnerabilidad Revisar - Corregir
Impacto Auditar
Evaluación de los riesgo Auditar - Revisar
4
Propuesta empresa Auditar:
Inversiones Forestales la Cabaña
2 APORTE: GEIDER BARRIOS H.
Vulnerabilidad
En Seguridad Informática, la palabra Vulnerabilidad hace referencia a una debilidad en un
sistema permitiéndole a un atacante violar la Confidencialidad, Integridad, Disponibilidad,
control de acceso y consistencia del sistema o de sus datos y aplicaciones. Estas
Vulnerabilidades son el resultado de Bugs o de fallos en el diseño del sistema. Aunque, en un
sentido más amplio, también puede ser el resultado de las propias limitaciones tecnológicas,
porque no existe un sistema 100 % seguro. Por lo tanto existen Vulnerabilidades teóricas y
Vulnerabilidades reales. Las Vulnerabilidades en las aplicaciones pueden corregirse con
parches, hotfixs o con cambios de versión. Otras requieren un cambio físico en el Sistema
Informático.
PRINCIPALES VULNERABILIDADES
Desbordes de pila y otros buffers.
Errores de validación de entradas.
Ejecución de código remoto.
AMENAZAS
5
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento de la
información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias no
informáticas que pueden afectar a los datos, las cuales son a menudo inevitables, de modo que la
única protección posible es la redundancia y la descentralización.
Causas
EL USUARIO: Es la causa mayor del problema de la seguridad de un sistema informático.
PROGRAMAS MALICIOSOS: Son programas destinados a perjudicar o a hacer uso ilícito de
los recursos del sistema.
INTRUSO: Es una persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido.
Tipos de amenazas
Al conectar una red a un entorno externo, se le está dando la oportunidad al intruso de entrar a
ella, logrando hacer robo de la información o alterar el funcionamiento de la red. Sin embargo
no conectar la red a un entorno extorno no garantiza la seguridad de la red.
Existen dos tipos de amenazas:
AMENAZAS INTERNAS: Generalmente estas amenazas pueden ser más peligrosas que las
externas por las siguientes razones:
Los usuarios conocen la red y saben su funcionamiento.
Tienen nivel de acceso a la red por las necesidades de trabajo.
6
Los Firewalls son mecanismos no efectivos en las amenazas internas.
AMENAZAS EXTERNAS: Son aquellas amenazas que se originan afuera de la red. Al no tener
información específica de la red, un atacante debe realizar ciertos pasos para poder conocer que
es lo que hay en ella y buscar la manera de acceder para atacarla. La ventaja de este tipo de
amenaza es que el administrador de la red puede prevenir una buena parte de los ataques
externos.
Control informático
El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos.
PROPUESTA EMPRESA AUDITAR: SECRETARIA DE TRÁNSITO Y TRANSPORTE
DE TURBO ANTIOQUIA
3. Aporte John Sepulveda O.
Vulnerabilidades
7
La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de
sufrir algún daño. En otras palabras, es la capacidad y posibilidad de un sistema de responder o
reaccionar a una amenaza o de recuperarse de un daño. Las vulnerabilidades están en directa
interrelación con las amenazas porque si no existe una amenaza, tampoco existe la
vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño. Dependiendo del
contexto de la institución, se puede agrupar las vulnerabilidades en grupos:
Ambiental, Física, Económica, Social, Educativo, Institucional y Política.
Amenazas
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de
la Seguridad Informática, los Elementos de Información. Debido a que la Seguridad Informática
8
tiene como propósitos de garantizar la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las
amenazas y los consecuentes daños que puede causar un evento exitoso, también hay que ver en
relación con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de
origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos
operativos internos (Nota: existen conceptos que defienden la opinión que amenazas siempre
tienen carácter externo!)
Generalmente se distingue y divide tres grupos:
Criminalidad: son todas las acciones, causado por la intervención humana, que violan la ley y
que están penadas por esta. Con criminalidad política se entiende todas las acciones dirigido
desde el gobierno hacia la sociedad civil.
9
Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos
indirectamente causados por la intervención humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por
parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las
amenazas menos predecibles porque están directamente relacionado con el comportamiento
humano.
Análisis de Riesgo
El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito
determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que
los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
Clasificación y Flujo de Información
10
La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y
significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes
niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de
nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo:
confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que
tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de
información internos y externos, para saber quiénes tienen acceso a qué información y datos.
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante,
porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las
consecuentes medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos
y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño
causado por un acceso no autorizado.
Análisis de Riesgo
11
Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos retos -las
variables son difíciles de precisar y en su mayoría son estimaciones- y llegan casi a los mismos
resultados y conclusiones.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la fórmula matemática
Riesgo = Probabilidad de Amenaza x Magnitud de Daño
Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el
eje-x (horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical,
ordenada) la “Magnitud de Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden
tomar condiciones entre Insignificante (1) y Alta (4). En la práctica no es necesario asociar
valores aritméticos a las condiciones de las variables, sin embargo facilita el uso de
herramientas técnicas como hojas de cálculo.
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y
puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente
la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.
El reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos
variables, porque no basen en parámetros claramente medibles. Sin embargo, el análisis de
riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o
positivamente, en el riesgo.
12
En el proceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus
características:
Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una institución que tal vez
puede terminar en resultados inadecuados y por tanto es importante que participan las personas
especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera,
Técnicos, Conserje, Soporte técnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada, sino también a los
sistemas completos, aunque en el primer caso, el resultado final será más preciso pero también
requiere más esfuerzo.
Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el
peligro al sistema, lo que significa que es necesario implementar medidas de protección.
Control de Riesgo
El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de protección, para determinar y ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional, donde
se define los momentos de las intervenciones y los responsables de ejecución.
13
Medir el cumplimiento y la efectividad de las medidas de protección requiere que levantemos
constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus
respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de información, cuando se entra otra vez en el proceso
de la Análisis de riesgo.
EMPRESA PROPUESTA: INDUSTRIA DE ALIMENTOS ZENÚ S.A.S
4. Aporte JOSE GABRIEL CHIMA MOSQUERA
Vulnerabilidad
En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que
forman parte del sistema y que podemos agrupar en:
Hardware: elementos físicos del sistema informático, tales como procesadores,
electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVD).
Software: elementos lógicos o programas que se ejecutan sobre el hardware, tanto si es
el propio sistema operativo como las aplicaciones.
Datos: comprenden la información lógica que procesa el software haciendo uso del
hardware. En general serán informaciones estructuradas en bases de datos o paquetes de
información que viajan por la red.
14
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede
ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias
se hacen en ese medio, etc.
De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que están
almacenados en el hardware y que son procesados por las aplicaciones software.
Datos.
Información.
Conocimiento.
Acción.
Resultado.
Valor.
Incluso de todos ellos, el activo más crítico son los datos. El resto se puede reponer con
facilidad y los datos. Sabemos que dependen de que la empresa tenga una buena política de
copias de seguridad y sea capaz de reponerlos en el estado más próximo al momento en que se
produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o
imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y dinero.
También una vulnerabilidad informática es una debilidad de un sistema informático,
permitiendo o dejando espacios o entradas hacia el sistema por parte de personas ajenas al
sistema, mismos que pueden ocasionar daños severos al sistema así como violar la privacidad,
integridad etc. Del sistemas o de sus datos y aplicación. Estas vulnerabilidades en ocasiones son
ocasionadas por fallos del mismo diseño del sistema o incluso de configuración del mismo.
15
TIPOS DE VULNERABILIDADES EXISTENTES.
Error de diseño: Este tipo de vulnerabilidades se generan a partir de un error de diseño por parte
de los programadores que realizan el sistema, esto es debido al entorno de trabajo o bien por su
metodología de programación empleada.
configuración: Este tipo de vulnerabilidad ya no es causado por el diseño del sistema sino este
es generado por el usuario del sistema debido a la mala configuración realizada dentro del
sistema, dejando vulnerable el sistema.
Inyección de comandos en el sistema operativo: Este tipo de vulnerabilidades, es generada por
parte de un usuario con capacidades especiales y que tienen los conocimientos necesarios para
controlar la entrada del sistema mediante comandos para poder ejecutar instrucciones que
pueden comprometer la integridad del sistema este acción se realiza mediante una
herramienta especializada o a través de una terminal Linux o Windows.
¿Amenaza y Riesgo Informática?
Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan
en el área informática; y por medio de procedimientos informático. Viendo de control se pueda
evaluar el desempeño del entorno la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del
entorno informático, es la inadecuada administración de riesgos informáticos, esta información
sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los
siguientes aspectos:
16
La evaluación de las amenazas o causas de los riesgos.
Los controles utilizados para minimizar las amenazas a riesgos.
La asignación de responsables a los procesos informáticos
La evaluación de los elementos del análisis de riesgos.
Se entiende como riesgo informático un estado de cualquier sistema que nos indica que ese
sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que
pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un
sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad: La información sólo puede ser modificada por quien está autorizado.
Confidencialidad: La información sólo debe ser legible para los
Autorizados
Disponibilidad: Debe estar disponible cuando se necesita.
Irreductibilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría. Dependiendo
de las fuentes de amenaza, la dividirse en seguridad lógica y seguridad física.
RIESGOS RELACIONADOS CON LA INFORMATICA
En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los
centros de cómputos han sido:
Seguridad física.
Control de accesos.
17
Protección de los datos.
Seguridad en las redes.
Por tanto se ha estado descuidando otros aspectos intrínsecos de la protección informática
y que no dejan de ser importantes para la misma organización, como por ejemplo
Organización y división de responsabilidades.
Cuantificación de riesgos.
Políticas hacia el personal.
Medidas de higiene, salubridad y ergonomía.
Selección y contratación de seguros.
Aspectos legales y delitos.
Estándares de ingeniería, programación y operación.
Función de los auditores tanto internos como externos.
Seguridad de los sistemas operativos y de red.
Plan de contingencia.
A los fines de llevar una revisión completa y exhaustiva de este tema, se propone que los
especialistas en seguridad informática apliquen un enfoque amplio e integral, que abarque todos
los aspectos posibles involucrados en la temática a desarrollar, identificando aquellos
concernientes a garantías y resguardos, y, después de haber efectuado un análisis exhaustivo de
los mismos, presentarlos en detalle y agrupados convenientemente.
¿CONTROL INFORMÁTICO?
Definiciones
18
El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos automatizados.
El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas
y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y
se corregirán.
También se puede definir el Control Interno como cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
OBJETIVOS PRINCIPALES:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informáticos.
Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes
actividades que se realizan.
19
Tipos
En el ambiente informático, el control interno se materializa fundamentalmente en controles de
dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
Controles Automáticos; son generalmente los incorporados en el software, llámense
estos de operación, de comunicación, de gestión de base de datos, programas de
aplicación, etc.
Los controles según su finalidad se clasifican en:
Controles Preventivos; para tratar de evitar la producción de errores o hechos
fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal
no autorizado.
Controles Detectivos; tratan de descubrir a posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
CONTROL INTERNO INFORMÁTICO (FUNCIÓN)
El Control Interno Informático es una función del departamento de Informática de una
organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
20
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones específicas están:
Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al
personal de programadores, técnicos y operadores.
Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en
los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicación.
Explotación de servidores principales
Software de Base
Redes de Computación
Seguridad Informática
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informático en la organización
CONTROL INTERNO INFORMÁTICO (SISTEMA)
Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficacia
de los sistemas informáticos a través de mecanismos o actividades de control.
Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos, completos,
confiables, revisables y económicos.
Para implantar estos controles debe conocerse previamente la configuración de todo el sistema
21
a fin de identificar los elementos, productos y herramientas que existen y determinar de esta
forma donde se pueden implantar, así como para identificar los posibles riesgos.
Para conocer la configuración del sistema se deberá documentar:
Entorno de Red: esquema, configuración del hardware y software de comunicaciones
y esquema de seguridad de la red.
Configuración de los computadores principales desde el punto de vista físico, sistema
operativo, biblioteca de programas y conjunto de datos.
Configuración de aplicaciones: proceso de transacciones, sistema de gestión de base
de datos y entorno de procesos distribuidos
Productos y herramientas: software de programación diseño y documentación,
software de gestión de biblioteca.
Seguridad del computador principal: sistema de registro y acceso de usuarios,
identificar y verificar usuarios, integridad del sistema
Una vez que se posee esta documentación se tendrá que definir:
Políticas, normas y técnicas para el diseño e implantación de los sistemas de
información y sus respectivos controles.
Políticas, normas y técnicas para la administración del centro de cómputo y redes de
computadores y sus respectivos controles.
Políticas y normas que aseguren la integridad, confidencialidad y disponibilidad de
los datos y sus respectivos controles.
22
Políticas y normas que rijan los procedimientos de cambios, pruebas actualización de
programas y sus respectivos controles.
Políticas y normas de instalación, actualización y uso de licencias del software de
base, de red y de usuario y sus respectivos controles.
Políticas y normas que permitan implantar en la organización una cultura de riesgo
informático, la misma que comprenderá los siguientes entornos:
Dirección General, a través de políticas generales sobre los sistemas de información
respecto al tipo de negocio de la misma.
Dirección de informática, a través de la creación y difusión de procedimientos,
estándares, metodologías y normas aplicables a todas las áreas de informática así
como de usuarios.
Control Interno Informático, definirá los controles periódicos a realizar en cada una
de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas y
serán de carácter preventivo, detectivos y correctivo.
Auditoría Informática Interna; revisará periódicamente la estructura de control
interno tanto en su diseño como en su cumplimiento por parte de cada una de las
áreas definidas en él y de acuerdo al nivel de riesgo.
¿Qué Relación hay entre Riesgo y Control informático?
Riesgo Control Informático
Procesamiento de errores Planificación
23
Riesgos de choque de eléctrico Resolución de riesgos
Riesgos mecánicos Monitorización de riesgos
Cambio de la prestación del servicio Cumplimiento de normas y estándares
de sistema operativo.
Recorte de la calidad Redes de software no licenciado
Planificación demasiado optimista Modelos de seguridad informática
Problemas con el personal contratado Matriz de riesgos
Decisiones equivocadas Administración de sistemas de datos
Fraude Uso de recursos
Facturación de servicio web
5. Aporte Edwin Alejandro Mora
VULNERABILIDAD: Es una debilidad del sistema informático que puede ser utilizada para
causar daño. Las debilidades pueden aparecer en cualquiera de los elementos de una
computadora, tanto en el hardware, el sistema operativo, como el software.
24
Como ejemplo de vulnerabilidad podemos comentar el siguiente. En su casa hay una
computadora conectada a Internet, donde además tiene configurada una cuenta de correo
electrónico a través de la que recibe mensajes diariamente. También tiene instalado un antivirus
que es capaz de chequear los mensajes electrónicos, incluidos los archivos que están adjuntos.
Pero el antivirus lo instaló cuándo compró el equipo hace más de un año y no lo ha vuelto a
actualizar. En este caso su equipo es vulnerable a los virus más recientes que puedan llegar
mediante su correo electrónico, ya que el antivirus no está actualizado y no sabe que estos
nuevos virus existen.
Pero una cosa sí que es cierta; que exista una vulnerabilidad no significa que se produzca un
daño en el equipo de forma automática, es decir, la computadora tiene un punto flaco, pero no
por eso va a fallar, lo único que ocurre es que es posible que alguien ataque al equipo
aprovechando este punto débil.
AMENAZA: Una amenaza a un sistema informático es una circunstancia que tiene el potencial
de causar daño o una pérdida. Es decir, las amenazas pueden materializarse dando lugar a un
ataque en el equipo.
Como ejemplos de amenaza están los ataques por partes de personas, al igual que los desastres
que puedan afectar a su computadora. También se puede considerar amenazas los fallos
cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto del hardware como
del software.
RIESGO: Es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.
25
El riesgo se utiliza sobretodo el análisis de riesgos de un sistema informático. Este riesgo
permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite
que acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia,
éste se convierte en un riesgo residual que podemos considerar como riesgo aceptable.
CONTROL INTERNO INFORMÁTICO
Puede definirse como el sistema integrado al proceso administrativo, en la planeación,
organización, dirección y control de las operaciones con el objetivo de asegurar la protección de
todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de
los procesos operativos automatizados.
El informe COSO define el control interno como “Las normas, los procedimientos, las prácticas
y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y
se corregirán.
También se puede definir el control interno como cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
TIPOS: En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles Manuales: Aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
26
Controles Automáticos: Son generalmente los incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
Los controles según su finalidad se clasifican en:
Controles Preventivos: Para tratar de evitar la producción de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos: Trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Controles Correctivos: Tratan de asegurar que subsanen todos los errores identificados
mediante los controles detectivos.
OBJETIVOS PRICIPALES
*Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
*Asesorar sobre el conocimiento de las normas.
*Colaborar y apoyar el trabajo de Auditoría Informática interna/externa.
*Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informáticos.
*Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes
actividades que se realizan.
27
FUNCIÓN DEL CONTROL INTERNO INFORMÁTICO
El control interno informático es una función del departamento de informática de una
organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones específicas están:
*Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de
programadores, técnicos y operadores.
*Diseñar la estructura del sistema de control interno de la dirección de informática en los
siguientes aspectos:
Desarrollo y mantenimiento del software de aplicación, explotación de servidores principales,
software de base, redes de computación, seguridad informática, licencias de software, relaciones
contractuales con terceros, cultura de riesgo informático en la organización.
Áreas de Aplicación
Controles Generales Organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las
actividades del departamento de informática, y debe contener la siguiente planificación:
*Plan Estratégico de Información realizado por el Comité de Informática.
28
*Plan Informático, realizado por el Departamento de Informática.
*Plan General de Seguridad (física y lógica).
*Plan de Contingencia ante Desastres.
Controles de Desarrollo y Mantenimiento de Sistemas de Información
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección
de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como las del
ciclo de vida de desarrollo de aplicaciones.
Controles de Explotación de Sistemas de Información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso
del hardware así como los procedimientos de instalación y ejecución del software.
Controles en Aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
salida, validez y mantenimiento completos y exactos de los datos.
Controles en Sistemas de Gestión de Base de Datos
Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y
seguridad.
Controles Informáticos sobre Redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las
redes instaladas en una organización sean estas centrales y/o distribuidos.
29
Controles sobre Computadores y Redes de Área Local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware
como del software de usuario, así como la seguridad de los datos que en ellos se procesan.
Participante Propuesta empresa Auditar Definitiva
José G. Chima M.
Ind. de alimentos Zenú
S.A.S.
Jhon Sepulveda O. Ind. de alimentos Zenú
S.A.S.
Jorge E. Osorio M. Inv. Forestales la Cabaña
Geider B. Haverra SECRETARIA DE
TRÁNSITO Y
TRANSPORTE DE TURBO
ANTIOQUIA
Edwin Alejandro Mora Servi.com
Con los aportes enviados por los compañeros el consolidado de las definiciones es:
Vulnerabilidad
30
En informática hay puntos débiles del software que permiten que un ataque comprometa la
seguridad, confidencialidad, de un sistema.
queremos proteger son sus activos, es decir, los recursos que forman parte del sistema
Amenaza y Riesgo Informática
Cuando se escucha el termino amenaza o riego informático, nos preocupamos.
Control Informático
Es el control que se hace en la empresa por personal de auditoría de la misma empresa, se
revisan procesos como actividades del área de Operaciones, pueden ser flujos de Hardware
como de software, se debe hacer el control interno periódicamente.
31
32
CONCLUSIONES
Con este trabajo nos damos cuenta que tanto en el ambiente tecnológico como en la vida
normal, hay amenazas y somos vulnerables.
En el campo tecnológico estas pueden ser más menos perceptibles, hay tanto amenazas
como vulnerabilidades, como: robo de información, hacker sitios web, perdida
deliberada o no de datos, entre otros.
Podemos tomar medidas para que esto no sea tan traumático, en la parte de equipos,
instalar programas antivirus, firewall, no comentar ni dar la contraseña, revisar
periódicamente la pagina del fabricante y actualizar los parches de seguridad sugeríos
tanto para hardware, software y Bios, entre otros.
Las empresas deben invertir más en seguridad tanto en equipos especializados como en
software, que en la actualidad hay mucho, y pueden ser tanto licenciados como libres.
33
BIBLIOGRAFIA
http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-informtica
http://es.slideshare.net/Vita1985/control-informatico
http://101plissken.blogspot.com/2013/03/control-interno-y-auditoria-informatica.html
https://protejete.wordpress.com
http://www.peru.gob.pe/docs/PLANES/10018/PLAN_10018_MOF%20GERENCIA%20DE
%20INFORMATICA%20Y%20PLANEAMIENTO_2009.pdf
http://www.zarpele.com.ar/2009/06/descripcion-de-las-distintas-funciones-del-area-de-sistemas/
http://exa.unne.edu.ar/matematica/metodos/8-sitios-material-interes/
GUIA_00001__Guia_Perfiles_Area_Inform_tica__v1.pdf
34