UNIVERSIDAD “SAN FRANCISCO DE ASÍS”

ESTUDIANTES:
- Brizuela Quisbert Hugo Ezequiel. (Ing. Comercial)

- Camacho Muiba Pablo Samuel. (Adm. de Empresas)

- Montaño Mollinedo Jhasmani Moises Alfredo. (Adm. de Empresas)

- Sepúlveda Pardo Adrián. (Adm. de Empresas)

- Torrez Apaza Ivonne Giselle. (Ing. Comercial)

MATERIA:
- Sistemas de Información Gerencial.

TEMA:
- Seguridad en Sistemas de Información.

La Paz, septiembre 2018.

 ÍNDICE

1. Introducción.

2. Conceptos de Sistemas de Información.

3. Importancia y Métodos de Seguridad.

4. Vulnerabilidades y Riesgos.

5. Auditoría y Control.

6. Conclusiones.

7. Bibliografía.
 SEGURIDAD EN SISTEMAS DE
INFORMACIÓN.

1. Introducción.
La seguridad de los sistemas de información es un tema al que mucha gente no le da la importancia que
realmente tiene; muchas veces por el hecho de considerar que es inútil o que jamás la utilizará. Pero en
el mundo moderno, cada día más y más personas mal intencionadas intentan tener acceso a
los datos de nuestros ordenadores, celulares, y todo objeto donde almacenamos información.

La seguridad es un factor imprescindible en todos los ámbitos profesionales y en la informática, es

especialmente importante porque en los ordenadores es donde está almacenada
la información confidencial de una organización o de cualquier otro particular.

Es importante porque muchas empresas son amenazadas constantemente en sus activos lo que
pudiera representar miles o millones en pérdidas. Las vulnerabilidades en los sistemas de
información pueden representar problemas graves, por ello es muy importante comprender los
conceptos necesarios para combatirlos y defender los posibles ataques a la información.

El acceso no autorizado a una red informática o a los equipos que en ella se encuentran puede
ocasionar en la gran mayoría de los casos graves problemas. Uno de las posibles consecuencias de
una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si
no estamos al día de las copias de seguridad. Y aunque estemos al día, no siempre es posible
recuperar la totalidad de los datos.

Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de
la información que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra
esta, o un ejemplo más cercano a usted es el de nuestras contraseñas de las cuentas de correo por las
que intercambiamos información con otros.
Siempre debemos recordar que la seguridad es inversamente proporcional a la comodidad. Si desea un
sistema seguro deberá esforzarse por ello, emplear contraseñas fuertes y diferentes y seguir todo
un procedimiento para mantener el sistema.

2. Conceptos de Sistemas de Información.

Un sistema de información es un conjunto de elementos, datos, que interactúan entre sí con el fin de
apoyar las actividades de una empresa u organización.

El equipo computacional: el hardware necesario para que el sistema de información pueda operar.

El recurso humano que interactúa con el sistema de información, el cual está formado por las personas
que utilizan el sistema.

Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento

y salida de información.

Entrada de Información: Es el proceso mediante el cual el Sistema de Información toma los datos que
requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales
son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son
datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se
denomina interfaces automáticas.

Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas,
las unidades de diskette, los códigos de barras, los escáner, la voz, los monitores sensibles al tacto,
el teclado y el mouse, entre otras.

Almacenamiento de información: El almacenamiento es una de las actividades o capacidades más

importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la
información guardada en la sección o proceso anterior. Esta información suele ser almacenada
en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los
discos magnéticos o discos duros, los discos flexibles o diskettes, los discos compactos (CD-ROM), y
las memorias extraíbles USB o pen-drive

Procesamiento de Información: Es la capacidad del Sistema de Información para efectuar cálculos de

acuerdo con una secuencia de operaciones preestablecidas. Estos cálculos pueden efectuarse con
datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta
característica de los sistemas permite la transformación de datos fuente en información que puede ser
utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de
decisiones genere una proyección financiera a partir de los datos que contiene un estado de
resultados o un balance general de un año base.

Salida de Información: La salida es la capacidad de un Sistema de Información para sacar la

información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son
las impresoras, terminales, diskettes, cintas magnéticas, la voz, los graficadores y los plotters, entre
otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a
otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida.
Por ejemplo, el Sistema de Control de Clientes tiene una interfase automática de salida con el Sistema
de Contabilidad, ya que genera las pólizas contables de los movimientos procesales de los clientes.

Actividades que realiza un Sistema de Información:

Entradas:

 Datos generales del cliente: nombre, dirección, tipo de cliente, etc.

 Políticas de créditos: límite de crédito, plazo de pago, etc.
 Facturas (interfaz automático).
 Pagos, depuraciones, etc.

Proceso:

 Cálculo de antigüedad de saldos.

 Cálculo de intereses moratorios.
 Cálculo del saldo de un cliente.

Almacenamiento:

 Movimientos del mes (pagos, depuraciones).

 Catálogo de clientes.
 Facturas.

Salidas:

 Reporte de pagos.
 Estados de cuenta.
 Pólizas contables (interfaz automática)
 Consultas de saldos en pantalla de fuente de información.
3. Importancia y Métodos de Seguridad.
En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y
debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto
valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad
y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener
acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad

de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las
operaciones de negocio.
Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad,

comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad,
recuperación de los riesgos.

Los términos seguridad de la información, seguridad informática y garantía de la información son

usadas frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la
confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo
mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque,
las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información
involucra la implementación de estrategias que cubran los procesos en donde la información es el activo
primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas,
controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar
vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar
tanto información como los sistemas que la almacenan y administran. La seguridad de la información
incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas
privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su
situación financiera.
En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado
financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma
no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios,
demandas legales o incluso la quiebra de la misma.

Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad
y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los
principios básicos de la seguridad de la información.
Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que
hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre
cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que
ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes,
deberán tomarse las medidas de seguridad oportunas.

Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o
procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas
personas que cuenten con la debida autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de
crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de
procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado
del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los
mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido
una violación de la confidencialidad.

La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se
publica información privada, cuando un laptop con información sensible sobre una empresa es robado,
cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden
constituir una violación de la confidencialidad.

Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a
integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con exactitud la
información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no
autorizados.

La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma
no autorizada, para salvaguardar la precisión y completitud de los recursos.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con
mala intención) modifica o borra datos importantes que son parte de la información.

La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por
personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.

Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo,
la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento
que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los
controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se
utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas
objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de
energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para

poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden
ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que
atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además

variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se
requiera.

Autenticación o autentificación
Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje
de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona
haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir
este factor con el uso de cuentas de usuario y contraseñas de acceso.

Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está
realmente enviado por el mismo- y así figura en la literatura anglosajona.

“La Seguridad no es solo un proceso Tecnológico… Es un proceso Organizacional”

Métodos de Seguridad. Muchas veces se comete el error de pensar que la seguridad consiste,
básicamente, en evitar las intrusiones en nuestro sistema. Sin duda alguna, como dice el dicho, “más
vale prevenir que curar”, pero además se debe tener en cuenta otros factores que ayudan a mejorar la
seguridad: detectar cuando se produce una intrusión, poder restaurar nuestro sistema y poder identificar
las acciones que ha realizado un intruso. Según esto, también se puede definir la seguridad de un
sistema informático como los mecanismos de prevención, detección, restauración y análisis que se
lleven a cabo para garantizar la seguridad del sistema.
a) Prevención.
Los mecanismos de seguridad preventivos son todas aquellas acciones que van encaminadas a
prevenir cualquier amenaza a la confidencialidad, integridad, no repudio y disponibilidad de los
elementos críticos del sistema. Por la propia definición de estas características, también se debe
proporcionar mecanismos de autentificación y de control de acceso que garanticen la identificación,
autentificación y gestión de perfiles aplicables a los recursos para determinar qué usuario y bajo qué
condiciones pueden o no acceder al recurso solicitado para la acción indicada.
Lo primero que se debe tener en cuenta es la protección física de los diferentes equipos del sistema
informático. Cualquier equipo en general y, con especial atención, los servidores y hardware de red,
deben situarse en recintos protegidos para que sólo el personal autorizado tenga acceso a ellos. Los
mecanismos aplicables varían desde una habitación con una cerradura y llave, a los más sofisticados
mecanismos de acceso por huella digital, cámaras de seguridad y guardias que reaccionen ante
violaciones de la política de acceso -estos dos últimos más bien se deben englobar como sistemas de
detección-.
Desde el punto de vista lógico, la seguridad está basada, principalmente, en aplicar, por un lado,
configuraciones, técnicas de identidad y listas de control de acceso a la información en los sistemas y
las comunicaciones y, por otro lado, el empleo de algoritmos criptográficos.

b) Detección.
“Sistemas de Detección de Intrusos” Introducción a los IDS (Intrusión Detection System).
Actualmente, la estrategia de control de intrusos más utilizada es la perimetral, basada en la utilización
de cortafuegos. Los cortafuegos sirven para mantener fuera a los intrusos, es decir, sirven al propósito
de prevenir ataques o intrusiones en la red. Los cortafuegos proporcionan una eficaz primera línea de
defensa frente a amenazas externas. Una mala configuración de los cortafuegos (p.e. errores en su
software, hardware, pobre política de seguridad, etc.) pueden volver completamente inútil el mejor de
los cortafuegos. Por ello se vuelve necesaria la utilización de sistemas de detección de intrusos
(Intrusión Detection System, IDS) que vigilen la red en busca de comportamientos sospechosos. Los
IDS funcionan como las alarmas de las casas: alertan de la realización de ataques con éxito e incluso
de ataques en progreso. Es decir avisan de que algo no va bien.

Tarros de miel
Un tarro de miel (honeypot) simula uno o más sistemas fáciles de atacar con el fin de tentar a
potenciales intrusos. El honeypot facilita ser invadido y entonces avisa de la intrusión al administrador
del sistema. Gracias a esta estratagema, el honeypot permite proteger otras partes de la red al atraer
sobre sí mismo la atención de los atacantes, quienes se concentran en este blanco aparentemente fácil,
pero que no contiene información valiosa ni puede ocasionar daños. Para que el engaño sea más
completo, algunos honeypots simulan diferentes sistemas operativos, para observar a cuál de ellos se
dirige el atacante.
Por último, los honeypots suelen proporcionar evidencias forenses, ya que el atacante suele dejar en
ellos las huellas necesarias que permitan rastrear sus pasos.

¿Qué son los IDS?

Los sistemas de detección de intrusos permiten detectar actividad inadecuada, incorrecta o anómala
dentro de un sistema informático integrado por un gran número de host (ordenadores, routers,
servidores, etc.) interconectados en red. Por lo tanto, en su sentido más amplio, un buen IDS será
capaz de detectar las acciones de atacantes externos (intrusiones propiamente dichas), así como la
actividad anormal de los atacantes internos dentro de la red.

c) Recuperación.
Copias de Seguridad
Los mecanismos preventivos pueden evitar muchos problemas y ataques pero no garantizan estar
exentos de todo riesgo o daño. Tras detectar que la seguridad ha sido comprometida, una de las tareas
del administrador del sistema afectado será recuperarlo y dejarlo tal y como estaba antes del incidente.
Lo primero que un administrador debe realizar a la hora de diseñar un sistema de copias de seguridad
es planificar la estrategia a seguir para cumplir la política de seguridad de la organización. Por ejemplo,
en un ambiente universitario dedicado a aulas de prácticas de informática, se puede establecer que las
copias de seguridad afecten, exclusivamente a los sistemas de ficheros de los equipos de las aulas. De
esta forma, ante una posible caída (situación bastante probable) se pueden recuperar los equipos en el
menor tiempo posible pero se pierden los datos de los usuarios.
La finalidad de las copias de seguridad puede ser recuperar todo el sistema completo. Lo que todo
administrador debe tener en cuenta es:
¿Qué se debe copiar? Como se ha comentado, deberá ajustarse a lo definido en la política de
seguridad de la organización.
¿Dónde se encuentra? Si el sistema de copias está centralizado en un equipo, no sólo debe saber el
lugar del sistema de ficheros en el que se encuentran los ficheros a copiar, como ocurre en el caso de
disponer de un sistema de copias local, sino que también debe conocer en qué equipos de la red se
encuentran.
¿Quién y dónde se realizará la copia? Se debe conocer quién asume la responsabilidad de gestionar las
copias de seguridad y en qué soporte y dispositivo se realizará.
Por último, se debe indicar bajo qué condiciones se realizará la copia de seguridad y con qué frecuencia
para que se cubra perfectamente las necesidades de recuperación. Un sistema en el que los datos que
queremos copiar cambian frecuentemente, obliga a tener copias de seguridad frecuentes para no correr
el riesgo de perder información.

d) Técnicas de Análisis Forense.

Debido a la creciente importancia de los sistemas de información, no sólo por la repercusión social sino
también por la importancia de los datos y operaciones que se realizan con sistemas informáticos, los
estados han legislado los llamados “delitos informáticos”. Con ello, al igual que ocurre en otros ámbitos
judiciales, para aplicar las penas marcadas en la ley, es necesario la aportación de pruebas fidedignas
que demuestren la culpabilidad de los acusados.
Por este motivo y, sin llegar a reclamaciones judiciales, por el interés profesional de los responsables de
los sistemas en conocer qué, quién y cómo ha violado la seguridad del sistema informático, surgen las
técnicas de análisis forense.
Estas técnicas, definen el conjunto de acciones encaminadas a averiguar qué ha pasado con un equipo
al que se le ha comprometido la seguridad y, por otra, el procedimiento para recoger pruebas fiables y
fidedignas que puedan ser usadas en procedimientos judiciales.
Los objetivos, por tanto, del análisis forense son:
 Averiguar qué ha pasado.
 Cómo se ha realizado la intrusión.
 Qué consecuencias ha tenido.
 Quién ha sido.
 Y todo ello con el procedimiento utilizado y herramientas de apoyo fuera de toda duda y
respetando las leyes vigentes en materia, sobre todo, de privacidad.

4. Vulnerabilidades y Riesgos.
La mayor preocupación de las empresas de Latinoamérica en materia de seguridad son las
vulnerabilidades de software y sistemas, según reveló el ESET Security Report 2016.

No hay duda alguna de los beneficios que la digitalización de la información y las comunicaciones vía
Internet han ofrecido a empresas de todos los rubros y tamaños. Sin embargo este salto cualitativo y
cuantitativo en agilidad y eficiencia presenta, como contrapartida, un alto grado de vulnerabilidad de
todo contenido digital, que no se encuentre debidamente protegido, a ciber-ataques que pueden generar
grandes perjuicios económicos.

Los puntos vulnerables para el usuario de los sistemas de información radican en:

 Seguridad y calidad de información.

 Confiabilidad y validación.
 Disponibilidad oportuna y alcance.
 Claridad y operatividad.
 Interactividad (retroalimentación).

Las vulnerabilidades surgen desde el esquema e implementación de los sistemas, errores de

programación, las técnicas de seguridad y los mecanismos de control interno. Las vulnerabilidades se
originan por protecciones incorrectas o escasas en la parte física y lógica o reglamentarias presentes en
los sistemas informáticos. Las vulnerabilidades cuando son aprovechadas repercuten en fallas de
seguridad que afectan al sistema de información de la empresa, las cuales se derivan de problemas en
la fabricación de software, error humano en el uso de los sistemas, centralizar la seguridad en un solo
recurso, carencia en el cumplimiento de las políticas, falta en la administración de los activos
informáticos, fallas en la adjudicación de perfiles y permisos, deficiencia en planes de mitigación,
ausencia de capacitación del personal, hardware y software obsoletos, falta de sensibilización de la
seguridad y trabajo en equipo.

Tipos de riesgos:

• Riesgos de Integridad. Interface del usuario, procesamiento, procesamiento de errores, interface,

administración de cambios, información.

• Riesgos de Relación. Utilización pertinente de la información originada por una aplicación.

• Riesgos de Utilidad. Se orientan en tres modelos de riesgos: pueden afrontarse antes de la ocurrencia
de falencias mediante el direccionamiento de sistemas, métodos para la recuperación y reparación
empleadas para disminuir las fallas de los sistemas, copias de seguridad y planes de mitigación para el
control de riesgos.

• Riesgos en la infraestructura. Hace alusión a que las empresas no tienen una infraestructura
tecnológica eficaz para sobrellevar las carencias que se presenten en tiempo presente y futuro. Se
presentan en los procesos: planeación organizacional, definición de las aplicaciones, administración de
seguridad, operaciones de red y computacionales, administración de sistemas de bases de datos,
información / negocio.

• Riesgos de Seguridad General. Son los requerimientos para el bosquejo de la seguridad y

minimización del riesgo: riesgo eléctrico, incendio, radiación, mecánicos.

Un sistema de información se ve expuesto a un gran número de amenazas y ataques.

Para identificar las amenazas a las que está expuesto un sistema realizaremos tres clasificaciones:

- Tipos de atacantes
- Tipos de ataques que puede sufrir
- Cómo actúan estos ataques.
La siguiente tabla recoge, en la primera columna, los nombres con los que se han denominado a las
personas que llevan a cabo los ataques; en la segunda columna, una pequeña definición que los
caracteriza.

Nombre de los
atacantes Definición

Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de
Hackers los sistemas pero sin motivación económica o dañina.

Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intención

Crackers maliciosa, bien para dañarlo o para obtener un beneficio económico.

Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas
Phreakers gratuitas.

Expertos en redes que analizan el tráfico para obtener información extrayéndola de

Sniffers los paquetes que se transmiten por la red.

Chicos jóvenes sin grandes conocimientos de informática pero que se consideran a

Lammers sí mismos hackers y se vanaglorian de ello.

Newbie Hacker novato.

Expertos en informática e intrusiones en la red que trabajan para países y

Ciberterrorista organizaciones como espías y saboteadores informáticos.

Programadores de Expertos en programación, redes y sistemas que crean programas dañinos que
virus producen efectos no deseados en los sistemas o aplicaciones.

Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros
Carders automáticos.

En la tabla inferior se recogen los principales ataques que puede sufrir un sistema si se aprovechan sus
vulnerabilidades.

Nombre del
ataque Definición

Interrupción Un recurso del sistema o la red deja de estar disponible debido a un ataque.

Intercepción Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.
Modificación La información ha sido modificada sin autorización, por lo que ya no es válida.

Se crea un producto (por ejemplo una página Web) difícil de distinguir del auténtico y
que puede utilizarse para hacerse, por ejemplo, con información confidencial del
Fabricación usuario.

Los tipos de amenazas pueden clasificarse también en función de cómo actúan los ataques, siendo los
principales los que se han incluido en la tabla que aparece a continuación:

Ataque ¿Cómo actúa?

Spoofing Suplanta la identidad de un PC o algún dato del mismo (como su dirección MAC).

Sniffing Monitoriza y analiza el tráfico de la red para hacerse con información.

Conexión no Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se

autorizada descubren, se realiza una conexión no autorizada a los mismos.

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro

Malware equipo, dañando el sistema de múltiples formas.

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través
Keyloggers del teclado, e incluso pueden realizar capturas de pantallas.

Denegación de Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenadores.

Servicio También denominado DoS (denial of Service).

Ingeniería Se obtiene información confidencial de una persona u organismo para utilizarla con
social fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.

Se engaña al usuario para obtener su información confidencial suplantando la

Phishing identidad de un organismo o página web de Internet.

Soluciones. La norma ISO 27001 puede ayudarnos a evitar esto.

ISO 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar
internacional en octubre de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Análisis de la vulnerabilidad frente a las pruebas de penetración

Cuando se realizar un análisis de vulnerabilidad en su sistema de información, se pueden identificar

todas las vulnerabilidades técnicas que están relacionadas con ellas. Pero será necesario realizar una
prueba de penetración.

Después de realizar el análisis de vulnerabilidad, las pruebas de penetración pueden realizarse y

la vulnerabilidad puede ser explorada. Esto significa que se puede acceder al sistema vulnerable y se
puede tener acceso o incluso modificar la información confidencial de la organización.

Fases de la prueba de penetración

Si está pensando en realizar las pruebas de penetración para mejorar la implantación de la norma ISO
27001, existen diferentes empresas del sector de servicios públicos y plataformas que pueden utilizarse
para automatizar, pero mi recomendación es que sigan estos pasos:

- Planificar: la planificación de las actividades, además de la identificación de los sistemas y los

objetivos de información involucrada, siendo el mejor momento para la ejecución de las actividades
y la planificación de las reuniones con las personas involucradas. También es importante la
creación de un acuerdo entre la empresa y la persona que realiza la penetración.
- Recopilar información: se tiene que reunir la mayor cantidad de información posible, que se conoce
de forma común como dos métodos comunes para realizar esta prueba son: OSINT e ingeniería
social.
- El modelado de amenazas: existe mucha información sobre nuestros objetivos, además en el
momento de desarrollar la estrategia necesaria para atacar a los sistemas del cliente. Puede
imaginar un centro de llamadas en la que se han determinado en la fases anteriores de toda la
información crítica sobre los clientes se almacena en una base de datos interna.
- Análisis de vulnerabilidades: se deben buscar todas las vulnerabilidades, lo que significa que se
tendrá que identificar todas las vulnerabilidades que están relacionadas con nuestros objetivos.
Como se ha visto antes, este paso puede ser obligatorio para la norma ISO 27001.
- Explotación: se realiza una explotación de medios, por lo que se realiza para explotar
la vulnerabilidad determinada y obtener el control del sistema vulnerable.
- Post-explotación: Una vez que hemos obtenido el control del sistema, podemos acceder y
descargar o transferir la información confidencial sobre clientes. O, tal vez podamos tratar de
acceder a otros recursos internos de un sistema interno.
- Informes: Tenemos que desarrollar un informe con los resultados. Se recomienda realizarlo en dos
partes diferentes: un resumen técnico y un resumen ejecutivo.

Otra cuestión importante es cómo definir el tipo de pruebas de penetración. Básicamente, hay dos tipos
principales:

Caja negra: Usted no tiene información sobre la compañía.

Caja blanca: La organización le da información y también se dará acceso a los sistemas y recursos
internos.

Hay otra posibilidad que es una mezcla de la caja negra y la caja blanca: la caja gris, la organización le
puede dar un poco de información acerca de sus sistemas.

Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una
violación de los datos de la organización.

5. Auditoría y Control.
La información suele difuminarse en el recorrido que tiene para llegar a los usuarios finales, es por ello
que surge la auditoria de los sistemas de información. La auditoría de los sistemas de información nos
apoya para verificar el estado actual de los sistemas de información de la empresa.

La auditoria pues de los sistemas de información se basa en la forma en que se obtienen esos
elementos y su seguridad dentro del sistema.

En plena era de la información, las empresas se han dado cuenta de la importancia que juega la
información dentro de su organización, es por ello que buscaran la mejor forma de resguardarlas y
verificar que esta esté siendo real y cumpla con la función de informar correctamente a las personas
adecuadas. Es por ello que la auditoria general se especializo y dio paso a la auditoria informática y
más especializada aun a la auditoria de los sistemas de información que toda aquella información que
interactúa en la organización y le repercute.
Clasificación de la auditoria

La auditoría se entiende como un proceso sistemático que consiste en obtener y evaluar objetivamente
evidencias sobre las afirmaciones relativas, los actos y eventos económicos; con el fin de determinar el
grado de correspondencia entre esas afirmaciones y los criterios establecidos, es decir comprobar la
veracidad de lo que se dice. Los inicios de la auditoria fueron principalmente contables con carácter
financiero, pues era lo que más interesaba al propietario de una empresa, sin embargo con el paso del
tiempo y los avances tecnológicos se hace necesaria la ramificación de la auditoria quedando esta de
forma general de la siguiente forma:

En base a esta clasificación genérica, podemos decir que la auditoría financiera fue el origen, y
posteriormente dio lugar a la operativa debido al alcance y la importancia que los usuarios del informe
de auditoría, requieran sobre algunas áreas operativas de la empresa volviendo a la auditoria más
especializada todavía.

La auditoría de sistemas de información pertenece a la rama de la auditoria operativa. Y esta se

encarga de llevar a cabo la evaluación de normas, controles técnicas y procedimientos que tienen
establecidas en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información.
Debido a que la mayoría de los Sistemas de información están regulados o sustentados en la
tecnología, esta es un área principal sobre la cual se hace mucho énfasis, siendo en coordinación con
personas especializadas en informática que el auditor se apoya para lograr una correcta evaluación y
así un buen informe que de la información necesaria a los interesados.

Un sistema de información tiene distintos niveles y a su vez estos se encuentran interrelacionados, y los
riesgos y debilidades en una de ellas pueden afectar al conjunto del sistema y consecuentemente tener
impacto en las cuentas anuales, que son el reflejo de la actividad económico y financiera de una entidad
durante un ejercicio económico.

Para minimizar esos riesgos el auditor debe analizar a fondo el conjunto del sistema de información con
una metodología adecuada.

Objetivo de la auditoria de sistemas de la información.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar
o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa. Todo esto a través de los siguientes objetivos específicos:

- Participación en el desarrollo de nuevos sistemas; buscando una evolución en coordinación con las
nuevas tecnologías y sus apoyos de protección y eficiencia en el rubro
- Evaluación de la seguridad en el área informática; desde la entrada de datos hasta la concentración
de estos en información, pera genera conocimiento a los usuarios.
- Evaluación de suficiencia en los planes de contingencia.: basándose en la capacidad de reacción
de los mismos y su capacidad de adaptación.
- Respaldos, buscando con ello prever qué va a pasar si se presentan fallas.
- Opinión de la utilización de los recursos informáticos. En base a las políticas de la empresa y
criterio del auditor
- Resguardo y protección de activos. Verificando la asignación de lugares y de responsables en esta
área
- Control de modificación a las aplicaciones existentes.
- Fraudes
- Control a las modificaciones de los programas.
- Participación en la negociación de contratos con los proveedores.
- Revisión de la utilización del sistema operativo y los programas
- Control sobre la utilización de los sistemas operativos
- Programas utilitarios.
- Auditoría de la base de datos.
- Estructura sobre la cual se desarrollan las aplicaciones...

Desarrollo de software de auditoría. Es el objetivo final de una auditoría de sistemas bien

implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del
área de procesamiento de datos.

Pasos para implementar una auditoria de sistemas. Al igual que la auditoría financiera esta debe
llevar un esquema que se basa en la auditoria genérica y para simplificar los pasos son los siguientes:

Pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

• Estudio preliminar

• Revisión y evaluación de controles y seguridades

• Examen detallado de áreas criticas

• Comunicación de resultados

1. Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la
unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales
de políticas, reglamentos,

Entrevistas con los principales funcionarios del área de sistemas.

2. Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo

de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de
las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos,
entre otras actividades.

3. Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y
sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y
la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará,
definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.
4. Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de
matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría

• Objetivos

• Alcance

• Estructura Orgánico-Funcional del área Informática

• Configuración del Hardware y Software instalado

• Control Interno

• Resultados de la Auditoría

Control de sistemas de información.

El propósito de los controles de aplicación en un entorno informatizado es establecer procedimientos de

control específicos en las aplicaciones de negocio con el fin de asegurar razonablemente que todas las
transacciones son autorizadas y registradas, y que son procesadas de forma completa, adecuada y
oportuna.

Buscando con ello la implementación de los controles adecuados para cada área, así como la seguridad
y rigurosidad que llevaran cada uno de ellos, dependiendo de los riesgos que conlleven determinada
actividad o de la rapidez en que se requiera la información, así como del conocimiento que se espera
sea público o privado.

COBIT. (Control Objectives for Information and Related Technology) es un marco conceptual para el
buen gobierno de las tecnologías de la información, que fue desarrollado originalmente en 1994 por
ISACA.
La versión 4.1 de CobiT fue publicada en 2005 por el IT Governance Institute (ITGI). CobiT es una
referencia de control interno sobre procesos informáticos internacionalmente aceptada.

Se utiliza como metodología para definir y monitorizar el control interno relacionado con los sistemas de
información de las entidades y también como metodología de auditoría.

Define procesos relacionados con la función informática así como los elementos de control, buenas
prácticas, gestión y auditores.

Desde un punto de vista práctico, tiene que ser «adaptado» en función del tamaño y la misión de la
organización.

6. Conclusiones.
Hoy día es común ver como cada vez se está siendo más dependientes de las computadoras como
herramienta indispensable. Ya no es extraño ver que la mayoría de la población tiene acceso a este tipo
de dispositivos informáticos, ni tampoco es el hecho de que puedan tener acceso a la red de redes, que
es el Internet. También, muchas de las actividades que solían hacerse manualmente, ahora pueden
hacerse a través de medios informáticos, lo cual es una gran ventaja, pues se ahorra tiempo, y dinero la
mayoría de las veces.

Pero así como se puede aprovechar la tecnología para cosas buenas, también se pueden aprovechar
para cometer delitos. Por lo tanto, en la actualidad es común ver que se cometen una gran cantidad de
delitos en los que se ve involucrado algún sistema de cómputo ya sea como medio, o fin.
La seguridad en el área informática es sumamente trascendente en virtud de que cada vez más los
sistemas de información son vitales para las organizaciones.

Dentro de este trabajo encontramos la importancia de la seguridad de sistemas de información ya

muchas empresas son amenazadas constantemente en sus activos lo que pudiera representar miles o
millones en pérdidas.

Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es
muy importante comprender los conceptos necesarios para combatirlos y defender los posibles ataques
a la información, además, una periódica autoría a nuestros sistemas nos ayudará a conocer cuáles son
las debilidades y poder corregirlas oportunamente.

7. Bibliografía.
https://www.monografias.com/trabajos7/sisinf/sisinf2.shtml

https://sites.google.com/site/seguridadenlaared/concepcion-de-la-seguridad-de-la-informacion

https://www.monografias.com/trabajos103/seguridad-sistemas-informacion/seguridad-sistemas-
informacion.shtml

https://infosegur.wordpress.com/tag/vulnerabilidades/

https://core.ac.uk/download/pdf/47279344.pdf

https://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/

https://juanantonioleonlopez.files.wordpress.com/2017/08/sistemas-de-informacic3b3n-gerencial-12va-
edicic3b3n-kenneth-c-laudon.pdf