Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

Curso: Catedra Unadista

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas
Grupo: 90168_19

Fase1 - Inicial Conceptos básicos de auditoría

Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1114451738

Presentado a:
Tutor:

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)

CEAD Palmira
Febrero de 2018
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores

de la auditoria de sistemas, entre tenemos conceptos como seguridad, riesgos,
amenazas, control informático, entre otro más.

Así mismo, vamos a socializar los conceptos y procesos que conlleva una
auditoria de sistemas, aplicada a una compañía. De esta forma se afianzarán los
temas vinculados a esta unidad.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

OBJETIVOS

Objetivo General

conocer conceptos clave de vulnerabilidades, amenazas, riesgos y controles.

Objetivos Específicos

Estructurar mediante los conceptos un mapa mental con el fin de relacionar cada
uno de estos.

Fortalecer nuestro campo visual en la auditoria en sistemas.

 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Actividad a desarrollar

Investigar sobre los siguientes conceptos:

 Vulnerabilidad.

La vulnerabilidad se conoce como una puerta abierta para posibles

ataques, robo de información u daño del sistema. Por esa razón son muy
importantes tenerlas en cuenta, ya que en cualquier momento podrían ser
aprovechadas para causar daño.

Existen tres tipos de vulnerabilidades que son:

Vulnerabilidades ya conocidas sobre aplicaciones o sistemas

instalados. Son vulnerabilidades de las que ya tienen conocimiento las
empresas que desarrollan el programa al que afecta y para las cuales ya
existe una solución, que se publica en forma de parche.

Existen listas de correo relacionadas con las noticias oficiales de seguridad

que informan de la detección de esas vulnerabilidades y las publicaciones
de los parches a las que podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas

vulnerabilidades también son conocidas por las empresas desarrolladores
de la aplicación, propuesto que nosotros no tenemos dicha aplicación
instalada no tendremos que actuar.

Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han

sido detectadas por la empresa que desarrolla el programa, por lo que, si
otra persona ajena a dicha empresa detectara alguna, podría utilizarla
contra todos los equipos que tienen instalado este programa.

Lograr que los sistemas y redes operen con seguridad resulta primordial
para cualquier empresa y organismo. Esto ha llevado a que empresas
como Microsoft dispongan de departamentos dedicados exclusivamente a
la seguridad, como es Microsoft Security Response Center (MSRC). Sus
funciones son, entre otras, evaluar los informes que los clientes
proporcionan sobre posibles vulnerabilidades en sus productos, y preparar
y divulgar revisiones y boletines de seguridad que respondan a estos
informes.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Para ello clasifica las vulnerabilidades en función de su gravedad, lo que

nos da una idea de los efectos que pueden tener en los sistemas. En la
siguiente tabla puedes ver dicha clasificación de gravedad de
vulnerabilidades:

Clasificación Definición
Critica Vulnerabilidad que puede permitir la propagación de un
gusano de Internet sin la acción del usuario.
Importante Vulnerabilidad que puede poner en peligro la
confidencialidad, integridad o disponibilidad de los
datos de los usuarios, o bien, la integridad o
disponibilidad de los recursos de procesamiento.
Moderada El impacto se puede reducir en gran medida a partir de
factores como configuraciones predeterminadas,
auditorías o la dificultad intrínseca en sacar partido a
la vulnerabilidad.
Baja Vulnerabilidad muy difícil de aprovechar o cuyo
impacto es mínimo.

 Amenaza.

Cuando se habla de amenaza a un sistema informático, se refiere a la

exposición de gran número de ataques, la amenaza puede varias de las
distintas formas en cómo se vea atacado un sistema informático, para esto
se debe tener en cuenta estos tres tipos de amenaza.

La primera se debe a los tipos de atacantes, la segunda a se refiere a los

tipos de ataques que puede sufrir un sistema y la tercera se enfoca en
cómo actúan estos ataques. Para saber con más detalle a que se debe una
amenaza se debe conocer primero que todo los tipos de atacantes.

Nombre de Definición
los atacantes
Hackers Expertos informáticos con una gran curiosidad por
descubrir las vulnerabilidades de los sistemas, pero sin
motivación económica o dañina.
Crackers Un hacker que, cuando rompe la seguridad de un
sistema, lo hace con intención maliciosa, bien para
dañarlo o para obtener un beneficio económico.
Phreakers Crackers telefónicos, que sabotean las redes de
telefonía para conseguir llamadas gratuitas.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Sniffers Expertos en redes que analizan el tráfico para obtener

información extrayéndola de los paquetes que se
transmiten por la red.
Lammers Chicos jóvenes sin grandes conocimientos de
informática pero que se consideran a sí mismos
hackers y se vanaglorian de ello.
Newbie Hacker novato.
Ciberterrorista Expertos en informática e intrusiones en la red que
trabajan para países y organizaciones como espías y
saboteadores informáticos.
Programadores Expertos en programación, redes y sistemas que crean
de virus programas dañinos que producen efectos no deseados
en los sistemas o aplicaciones.
Carders Personas que se dedican al ataque de los sistemas de
tarjetas, como los cajeros automáticos

Conociendo los diferentes tipos de atacantes podemos decir que también

encontramos diferentes tipos de ataques como los relacionados en la
siguiente tabla:

Nombre del Definición

ataque
Interrupción Un recurso del sistema o la red deja de estar disponible
debido a un ataque.
Intercepción Un intruso accede a la información de nuestro equipo
o a la que enviamos por la red.
Modificación La información ha sido modificada sin autorización, por
lo que ya no es válida.
Fabricación Se crea un producto (por ejemplo una página Web)
difícil de distinguir del auténtico y que puede utilizarse
para hacerse, por ejemplo, con información
confidencial del usuario.

Los tipos de amenazas pueden clasificarse también en función de cómo

actúan los ataques, siendo los principales los que se han incluido en la
tabla que aparece a continuación:

Ataque ¿Cómo actúan?

Spoofing Suplanta la identidad de un PC o algún dato del mismo
(coma su dirección MAC).
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Sniffing Monitoriza y analiza el tráfico de la red para hacerse

con información.
Conexión no Se buscan agujeros de la seguridad de un equipo o un
autorizada servidor, y cuando se descubren, se realiza una
conexión no autorizada a los mismos.
Malware Se introducen programas malintencionados (virus,
troyanos o gusanos) en nuestro equipo, dañando el
sistema de múltiples formas.
Keyloggers Se utiliza una herramienta que permite conocer todo lo
que el usuario escribe a través del teclado, e incluso
pueden realizar capturas de pantallas.
Denegación de Interrumpe el servicio que se está ofreciendo en
Servicio servidores o redes de ordenadores. También
denominado DoS (denial of Service).
Ingeniería Se obtiene información confidencial de una persona u
social organismo para utilizarla con fines maliciosos. Los
ejemplos más llamativos son el phishing y el spam.
Phishing Se engaña al usuario para obtener su información
confidencial suplantando la identidad de un organismo
o página web de Internet.

 Riesgo.

Generalmente el riesgo se plantea solamente como amenaza,

determinando el grado de exposición a la ocurrencia de una pérdida (por
ejemplo, el riesgo de perder datos debido a rotura de disco, virus
informáticos, etc.).

Otra definición contemplada en la Organización Internacional por la

Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la
seguridad de TI /TEC TR 13335-1, 1996) como: “La probabilidad de que
una amenaza se materialice, utilizando vulnerabilidades existentes de un
activo o un grupo de activos, generándole pérdidas o daños”.

Existen varios elementos que se deben comprender adecuadamente para

entender integralmente el concepto de riesgo manejado, estos elementos
son: Probabilidad, amenazas, Vulnerabilidades, activos e impactos.

Amenazas: las amenazas siempre existen y son aquellas acciones que

pueden ocasionar consecuencias negativas en la operativa de la empresa.
Comúnmente se indican como amenazas a las fallas, a los ingresos no
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

autorizados, a los virus, uso inadecuado de software, los desastres

ambientales como terremotos o inundaciones, accesos no autorizados,
facilidad de acceso a las instalaciones, etc.

Las amenazas pueden ser de carácter físico o lógico, como ser una
inundación en el primer caso, o un acceso no autorizado a una base de
datos en el segundo caso.

Vulnerabilidades: son ciertas condiciones inherentes a los activos o

presentes en su entorno que facilitan que las amenazas se materialicen
llevan a esos activos a ser vulnerables.

Mediante el uso de las debilidades existentes es que las amenazas logran

materializarse, o sea, las amenazas siempre están presentes, pero sin la
identificación de una vulnerabilidad no podrán ocasionar ningún impacto.

Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se

citan las siguientes: falta de conocimiento del usuario, tecnología
inadecuadamente probada (“testeada”), transmisión por redes públicas,
etc.

Una vulnerabilidad común es contar con antivirus no actualizado, la cual

permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese
actualizado la amenaza (virus) si bien potencialmente seguiría existiendo
no podría materializarse.

Activos: Los activos a reconocer son aquellos relacionados con sistemas

de información. Ejemplos típicos son los datos, el hardware, el software,
servicios, documentos, edificios y recursos humanos.

Impactos: las consecuencias de la ocurrencia de las distintas amenazas

son siempre negativas. Las pérdidas generadas pueden ser financieras, no
financieras, de corto plazo o de largo plazo.

Se puede establecer que las más comunes son: la pérdida directa de

dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida
de oportunidades de negocio. Otras no tan comunes, felizmente, son la
pérdida de vidas humanas, afectación del medio ambiente, etc.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

 Control Informático.

el sistema integrado al proceso administrativo, en la planeación,

organización, dirección y control de las operaciones con el objeto de
asegurar la protección de todos los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.

El Control Informático es una función del departamento de Informática de

una organización, cuyo objetivo es el de controlar que todas las
actividades relacionadas a los sistemas de información automatizados se
realicen cumpliendo las normas, estándares, procedimientos y
disposiciones legales establecidas interna y externamente.

Actividad Individual

Realizar un mapa mental de acuerdo a los conceptos teniendo en cuenta como

se relacionan estos.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Propuesta de empresa para auditar

Descripcion General

La empresa que escojo para auditar es Qbco SAS

Qbco SAS, se encuentra ubicado a las afueras del Municipio de Buga (Valle del
Cauca), Kilomentro 1 via principal Buga – Tulua, la empresa en su actividad
economica, maneja como tema principal los alimentos los cuales ofrece a varios
clientes, de los cuales los comercializan en sus marcas propias.

Comparto pagina web de la empresa http://www.qbco.com.co/

Marcas Privadas

Compañía especializada en el desarrollo y el suministro de marcas propias para

el canal tradicional, el canal moderno, el canal industrial e institucional.

Con más de 100 marcas privadas, y por arriba de 120 clientes un portafolio
amplio en importantes categorías.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Brindamos asesoría: para lograr el portafolio ideal a cada cliente garantizando

precios competitivos, nuestra experiencia en mercadeo, hace que sus ventas y
objetivos de crecimiento se logren todos los días.

Responsabilidad

En QBCo contamos con un departamento de Gestión Ambiental creado

especialmente para desarrollar e implementar procesos y programas con altos
estándares de calidad en el reciclaje y buen manejo de residuos sólidos, en el
manejo y disposición adecuada de residuos peligrosos, y en el tratamiento de
aguas residuales.

Este departamento está siempre dispuesto a atender no solo el requerimiento

de las autoridades ambientales, sino que programa y evalúa los análisis
ambientales que se realizan permanentemente, sobre emisiones y vertimientos.
Estas actividades son ejecutadas con el fin de exceder con las expectativas y los
requerimientos establecidos de acuerdo con la normatividad vigente.
Adicionalmente el departamento de Gestión Ambiental se encarga de desarrollar
los planes de acción de las auditorías ambientales y del mejoramiento
permanente de los procesos de producción.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Descripción detallada del área de Tecnología.

Objetivo del área de TI de Qbco SAS

Planificar, coordinar, controlar las políticas, normas y estrategias, a fin de

responder a las necesidades de actualización y mantenimiento, en materia de
tecnologías de información y comunicación requeridas por la compañía.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Objetivos Específicos del área de TI

 Definir normas, políticas y lineamientos en materia de tecnologías de

información y comunicaciones con el fin de regular su uso y desarrollo.

 Prestar servicios corporativos en materia de tecnología de información a

toda la organización, con el fin de apoyar y facilitar el desarrollo de sus
procesos fundamentales.

 Mantener y actualizar la plataforma tecnológica corporativa para facilitar

los servicios de información de toda la organización.

 Integrar las soluciones y sistemas corporativos con el fin de asegurar la

confiabilidad de la información.

 Controlar las comunicaciones de la compañía, asegurando que estas estén

siempre disponibles y se les dé un correcto uso.

Alcance del área de TI

Inicia con la necesidad del usuario, o con cambios en el entorno tecnológico que
afecte las UEN, análisis de las diferentes alternativas, toma de decisiones,
capacitación y termina con la entrega a satisfacción del producto o servicios.

Políticas de Seguridad del área de TI

 El equipo de cómputo, propiedad de QBCo deberá ser utilizado únicamente

para actividades relacionadas con los objetivos y metas de la empresa.

 El área de Tecnología de la información, es la única autorizada para realizar

actividades de soporte técnico y cambios de configuración en los equipos
de QBCo, ya sea de manera directa o a través de terceros.

 Cuando exista algún incidente (robo, extravió, venta, daño físico, etc.) que
afecte de manera directa a un equipo de cómputo de QBCo, debe ser
notificado de inmediato a la Gerencia de Tecnología de la información.

 Mientras se opera el equipo de cómputo, no se deberán consumir

alimentos o ingerir líquidos.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

Nuestros Indicadores del área de TI

 Satisfacción del cliente.

 Atención de requerimientos.
 Fallas de equipos.
 Tiempo de inactividad.

Servicios y herramientas del área de TI

 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

CONCLUSIÓN

La auditoría de sistemas, es una herramienta que permite ejercer control sobre

el activo más importante de una compañía, el cual es la información, como
profesionales de sistemas, debemos tener los conceptos claros de la unidad
formativa, esto con el propósito de salva guardar toda la infraestructura dentro
de una compañía.

La auditoría de sistemas nos permitirá generar correctivos, por medio planes de

trabajo, planes de acción proyectos, o demás implementaciones que
enriquecerán la seguridad del ecosistema en el cual se mueve la información.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

BIBLIOGRAFÍA

Referencias bibliográficas requeridas

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=
book&issn=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=
20090101&spage=&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c
3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20audit
or%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:

Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México:

Editorial McGraw-Hill.

Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=110
38908&ppg=4

Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=1104
6196

Huesca, G. (2012). Auditoria informática. Recuperado de

https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=audito
r%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=
false

OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de

vulnerabilidad, amenaza y riesgos y su clasificación.

Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De

http://hdl.handle.net/10596/10236

Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.

Recuperado de
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Catedra Unadista

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html