UNIDAD1.

CONCEPTOS FUNDAMENTALES DE LA AUDITORIA

Aportes Individuales

Presentado por:
JOHANA KATHERINE GUERRERO CORTÉS
Código: 1.053.346.950

Trabajo de Auditoría de Sistemas

Grupo Colaborativo: 301405_13

Presentado a:
FRANCISCO NICOLAS SOLARTE
Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGIA E INGENIERIA (ECBTI)
CHIQUINQUIRA
2019
 CONCEPTOS FUNDAMENTALES DE LA AUDITORÍA

1. Consultar los conceptos de Vulnerabilidades, Amenazas, Riesgos y

Controles Informáticos:

 VULNERABILIDAD INFORMÁTICA: Son las debilidades de un Sistema

Informático que se pueden dar en un Sistema Operativo, Software o
Aplicación; dados por la falta de conocimiento de los usuarios, la tecnología
inadecuada, las fallas en la transmisión y la inexistencia de antivirus de los
cuales los atacantes informáticos se aprovechan y cometen delitos y ataques
informáticos al violar la seguridad, integridad, disponibilidad, consistencia,
control de acceso y la confidencialidad de la información.

Las vulnerabilidades informáticas pueden afectar tanto a los equipos (Routers,

Cable-Módems, Cámaras Web, Servidores de Video, Teléfonos y Agendas
Electrónicas), equipos conectados en Red (Impresoras, Escáneres, Faxes) como a
los programas y a las aplicaciones informáticas como Sistemas Operativos,
Servidores, Bases de Datos, Navegadores, Aplicaciones Ofimáticas como Word y
Excel). Entre las principales causas de las vulnerabilidades en un Sistema
Informático se encuentran:

 Debilidad en el diseño de los protocolos empleados en las Redes. En el

caso de Internet ha sido diseñado sin prever cómo reaccionar frente a
situaciones anómalas o ante un mal comportamiento de una de las partes
que intervienen en la comunicación.
El intercambio de la información sensible en texto claro, sin cifrar, como en los
servicios básicos de conexión remota a otros equipos TELNET, de transferencia
de ficheros (FTP) o de correo electrónico.

 Errores de Programación: Se encuentran los fallos en el diseño y/o en la

codificación de los Programas y también se encuentran en algunas
actualizaciones de los S.O como lo son en Windows distribuidas por
Microsoft.
Comportamiento incorrecto frente a las entradas no validadas, que pueden provocar
situaciones indeseadas con el desbordamiento de una zona de memoria utilizada
por el programa buffer overflow.
La inadecuada configuración de los sistemas informáticos al realizar un
mantenimiento inadecuado de los sistemas en los cuales no se instalan y no se
revisan los parches suministrados por el fabricante.

 Políticas de seguridad deficientes o inexistentes: Vulnerabilidades que

son aprovechadas por los atacantes al usar políticas de contraseñas poco
robustas, cuando hay deficiencia en el control de los intentos de acceso al
sistema, el escaso rigor en el control de acceso a los recursos y en el control
de las copias generadas con información sensible y la deficiencia a la
limitación del acceso físico a los equipos más sensibles como dispositivos de
red.
  AMENAZAS INFORMÁTICAS: Son eventos que pueden ocasionar
alteraciones en los sistemas informáticos ocasionando pérdidas materiales,
económicas y de información las cuales afectan el prestigio de la
organización o de la persona.

Las amenazas informáticas se dividen en 5 tipos: Amenazas Humanas (Robo de

Identidad), Amenazas de Hardware (Malware en Smartphone), Amenazas de
Software (Malware, Espías, Troyanos, Spam, Virus, Phishing, Mal uso de
contraseñas y de lenguajes no cifrados, estafas y ataques de Redes Sociales),
Amenazas de Red y Amenazas de desastres Naturales (Incendios, Inundaciones).
Según la compañía Blue Coat (2015).

 RIESGOS INFORMÁTICOS: Según la Organización Internacionalización de

Normalización (ISO) se define un Riesgo Tecnológico como la probabilidad
de que suceda una amenaza basándose en vulnerabilidades existentes,
impactos específicos los cuales pueden generar pérdidas y daños de la
información.

Existen los diferentes riesgos informáticos como lo son:

1. Riesgos Ambientales/Físicos: Son factores externos de lluvias, inundaciones,
terremotos, tormentas, rayos, humedad, calor, etc.
2. Riesgos Tecnológicos: Son fallas de Hardware y/o software, fallas en el aire
acondicionado, fallas en el servicio eléctrico, ataques por virus informáticos.
3. Riesgos Humanos: Son hurtos, adulteración, fraudes, modificaciones,
revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación,
robo de contraseñas y alteraciones de la información.

 CONTROLES INFORMÁTICOS: Es la regulación de actividades de acuerdo

con los requisitos de planes de una Organización y el control que se adquiere
a partir de la Seguridad, la Administración, la Cibernética y la Teoría de
Sistemas., los cuales se encargan de controlar las actividades que se
realizan dentro de un sistema informático el cual funciona correctamente.
Entre las principales clases de Controles Informáticos existen:
 Controles manuales Automáticos.
 Controles generales y de aplicación.
 Controles preventivos.
 Controles detectivos.
 Controles correctivos.

2. Elaborar un mapa conceptual que muestre las relaciones que existen entre
estos conceptos:
3. Consultar los conceptos de Control Interno Informático y Auditoría
Informática:

 CONTROL INTERNO INFORMÁTICO: Son una función del área de

Informática en el cual se establecen las actividades necesarias para controlar
un sistema de información automatizado existente en una Empresa a través
del cual se garantice el cumplimiento de normas, estándares, procedimientos
y disposiciones legales internos y externos para que sean eficaces, efectivos
y fiables con la información suministrada para que cumplan con las Leyes y
Normas preventivas, de detección y corrección de errores ante fallos,
fraudes, sabotajes y pérdida de datos. Existen 2 tipos de controles:

1. Controles Manuales: Son los que realiza el personal o usuarios del área de
Informática sin el uso de herramientas digitales y computadores.
2. Controles Automáticos: Son aquellos que están incorporados en un
Software el cual puede ser de Operación, Comunicación, de Gestión de
Bases de Datos y de programas de Aplicación.

 AUDITORÍA INFORMÁTICA: Es la revisión que se realiza por parte del

profesional de Informática al aplicar las técnicas y métodos necesarios con
el fin de evaluar y verificar que se cumplan con las Normas, Leyes, Tareas y
procedimientos realizados en una organización a partir del cual también se
revisa que se cumpla con la Gestión de los Recursos Informáticos y Humanos
de una Entidad.
 4. Elaborar un Cuadro que muestre la diferencia entre Control Interno
Informático y Auditoría de Sistemas:

CUADRO DE DIFERENCIAS ENTRE CONTROL INTERNO INFORMÁTICO Y

AUDITORÍA DE SISTEMAS

CONTROL INTERNO INFORMÁTICO AUDITORÍA DE SISTEMAS

Controlan un Sistema de Información Controlan cada uno de los Departamentos que
automatizado existente en una Empresa. conforman una Empresa.
Se realiza permanentemente y/o diariamente. Se realizan esporádicamente y/o en un momento
determinado.
Garantiza el cumplimiento de: NORMAS, El profesional debe verificar y evaluar que se
ESTÁNDARES, PROCEDIMIENTOS cumplan con las Normas, Leyes, Tareas y
DISPOSICIONES LEGALES INTERNAS Y procedimientos que se ejecutan dentro de cada
EXTERNAS DE UNA EMPRESA. uno de los departamentos que conforman la
Empresa.
Su alcance solo está limitado al Departamento de Trabaja sobre todos los Departamentos de una
Informática. Entidad sin importar que sean de Información o de
Recursos Humanos.
Son de gran utilidad al momento de aplicar Son de gran utilidad al revisar y verificar que se
normas preventivas, de detección y corrección de cumple con la Gestión de los Recursos
errores ante fallos, fraudes, sabotajes y pérdidas Informáticos y Humanos de una Entidad.
de información.
Realizados por el personal que trabaja en el área Realizado por el profesional de Informática
de Informática sin el uso de herramientas (Técnico y profesional del área de Informática y
digitales ni computadores (Controles Sistemas) el cual aplica diferentes técnicas y
Mensuales) así mismo se incorporan en un métodos. Con el fin de mantener la integridad de
Software el cual puede ser de Operación, los Datos y verificar que los procesos y los
Comunicación, Bases de Datos y Programas de recursos empleados dentro de la Empresa son
Aplicación. (Controles Automáticos). Esto con utilizados de manera correcta.
el fin de que se cumplan con las metas y logros
propuestos.
 REFERENCIAS BIBLIOGRÁFICAS

Recursos Educativos:

 Solarte, F.N.J (2011, 30 de Noviembre). Auditoría Informática y de Sistemas.

Recuperado de:
http://auditordesistemas.blogspot.com/2011/11.conceptos.html.
 Solarte, F.N.J (2016, 06 de Julio). Sistema de Gestión de Seguridad
Informática-SGI. Recuperado de: http://blogsgsi.blogspot.com.co/.
 Curso: Auditoría de Sistemas. Video: Conceptos Aplicables a la Auditoría
Informática y de Sistemas. Código: 301405. UNIVERSIDAD NACIONAL
ABIERTA Y A DISTANCIA (UNAD).