CONOCIMIENTOS SOBRE CONCEPTOS BSICOS DE AUDITORA

CARLOS EVELIO CARVAJAL

CDIGO: 1121824657

AUDITORA DE SISTEMAS
90168_49

FRANCISCO NICOLS SOLARTE

DIRECTOR Y TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA -UNADESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

-ECBTI19 de agosto de 2015

INTRODUCCION

El presente trabajo podemos apreciar los conceptos de vulnerabilidad, amenaza y

riesgo informticos, y control informtico, adems se muestra una relacin entre
riesgos y control informtico, por ultimo se propone una empresa donde pueda
llevarse a cabo la auditoria informtica o de sistemas.

OBJETIVOS

Conocer los entornos de aprendizaje de los AVAS por parte del estudiante
para minimizar los problemas de manejo y desarrollo de actividades en el
curso.
Proponer empresas u organizaciones donde puede llevarse a cabo la
auditoria

1. consulta sobre los temas de vulnerabilidad, amenaza y riesgo

informticos, y control informtico
VULNERABILIDADi

Vulnerabilidad: definicin y clasificacin

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la
seguridad del sistema informtico.
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin
de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficiente e inexistente.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables
de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad del da cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una
solucin conocida, pero se sabe cmo explotarla.
Vulnerabilidades conocidas
Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede
llegar un momento en que se sobrepase la capacidad del buffer y los bytes que
sobran se almacenan en zonas de memoria adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios
de administrador.
Vulnerabilidad de condicin de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede

producirse este tipo de vulnerabilidad. Es el caso tpico de una variable, que
cambia su estado y puede obtener de esta forma un valor no esperado.
Vulnerabilidad de Cross Site Scripting (XSS).
Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo
VBSript o JavaScript en pginas web vistas por el usuario. El phishing es una
aplicacin de esta vulnerabilidad. En el phishing la vctima cree que est
accediendo a una URL (la ve en la barra de direcciones), pero en realidad est
accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este
sitio se las est enviando al atacante.
Vulnerabilidad de denegacin del servicio.
La denegacin de servicio hace que un servicio o recurso no est disponible para
los usuarios. Suele provocar la prdida de la conectividad de la red por el
consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos
informticos del sistema de la vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).
Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa,
lo cual es mentira y lo nico que quieren es que el usuario de informacin. Hay
otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego
realizar un ataque.

AMENAZAii

Clasificacin de las amenazas

De forma general podemos agrupar las amenazas en:

Amenazas fsicas

Amenazas lgicas
Estas amenazas, tanto fsicas como lgicas, son materializadas bsicamente por:

las personas

programas especficos

 catstrofes naturales
Podemos tener otros criterios de agrupacin de las amenazas, como son:

Origen de las amenazas

Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico,

explosin, etc...

Amenazas de agentes externos: virus informticos, ataques de una

organizacin criminal, sabotajes terroristas, disturbios y conflictos
sociales, intrusos en la red, robos, estafas, etc...
Amenazas de agentes internos: empleados descuidados con una formacin
inadecuada o descontentos, errores en la utilizacin de las herramientas y
recursos del sistema, etc...

Intencionalidad de las amenazas

Accidentes: averas del hardware y fallos del software, incendio, inundacin,

etc...

Errores: errores de utilizacin, de explotacin, de ejecucin de

procedimientos, etc...
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de
intrusin, etc...

Amenazas fsicas

Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el

hardware que se puede presentar en cualquier momento. Por ejemplo, daos en
discos duros, en los procesadores, errores de funcionamiento de la memoria, etc.
Todos ellos hacen que la informacin o no est accesible o no sea fiable.

Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay
zonas geogrficas del planeta en las que las probabilidades de sufrir terremotos,
huracanes, inundaciones, etc, son mucho mas elevadas.
En estos casos en los que es la propia Naturaleza la que ha provocado el desastre
de seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo
de situaciones.
Hay otro tipo de catstrofes que se conocen como de riesgo poco probable.
Dentro de este grupo tenemos los taques nucleares, impactos de meteoritos, etc. y
que, aunque se sabe que estn ah, las probabilidades de que se desencadenen
son muy bajas y en principio no se toman medidas contra ellos.
Ya hemos explicado el concepto de amenaza fsica. Vamos a conocer ahora
cules son las principales amenazas fsicas de un sistema informtico.

Amenazas lgicas

El punto ms dbil de un sistema informtico son las personas relacionadas en

mayor o menor medida con l. Puede ser inexperiencia o falta de preparacin, o
sin llegar a ataques intencionados propiamente, simplemente sucesos
accidentales. Pero que, en cualquier caso, hay que prevenir.
Entre algunos de los ataques potenciales que pueden ser causados por estas
personas, encontramos:

Ingeniera social: consiste en la manipulacin de las personas para que

voluntariamente realicen actos que normalmente no haran.
Shoulder Surfing: consiste en "espiar" fsicamente a los usuarios para
obtener generalmente claves de acceso al sistema.
Masquerading: consiste en suplantar la identidad de cierto usuario
autorizado de un sistema informtico o su entorno.
Basureo: consiste en obtener informacin dejada en o alrededor de un
sistema informtico tras la ejecucin de un trabajo.

 Actos delictivos: son actos tipificados claramente como delitos por las
leyes, como el chantaje, el soborno o la amenaza.
Atacante interno: la mayor amenaza procede de personas que han
trabajado o trabajan con los sistemas. Estos posibles atacantes internos
deben disponer de los privilegios mnimos, conocimiento parcial, rotacin
de funciones y separacin de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legtimo. Si un
atacante externo consigue penetrar en el sistema, ha recorrido el 80% del
camino hasta conseguir un control total de un recurso.
RIESGOS INFORMATICOSiii
Los principales riesgos o fraudes a los que estn expuestos los usuarios de banca
en lnea son:
Malware: abreviatura de la expresin software malicioso, tambin conocido como
virus de computador. Son los llamados caballos de Troya (o troyanos), spywares,
keyloggers y otros tipos de software que se usan con fines fraudulentos.
Phishing: envo masivo de e-mails o mensajes instantneos engaosos para
hacer que los usuarios revelen sus credenciales al registrarse en la versin falsa
de un sitio confiable.
Ingeniera social: manipulacin mediante el engao para lograr que los individuos
realicen determinadas acciones, o para obtener el acceso a los sistemas, o a su
informacin.
Whaling: muy similar al phishing, pero destinado especficamente a individuos de
alto nivel adquisitivo.
Man-in-the-middle (hombre en el medio): intercepta la informacin que se est
intercambiando entre dos usuarios reconocidos/confiables.
Man-in-the-browser (hombre en el navegador): infeccin del navegador web
mediante malware con el fin de tomar el control de la computadora del usuario.
Esta accin no se puede impedir usando SSL (Secure Sockets Layer] y
autenticacin multi-factor estndar.
CONTROL INFORMATICO
El Control Interno Informtico puede definirse como el sistema integrado al
proceso administrativo, en la planeacin, organizacin, direccin y control de las
operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los

procesos operativos automatizados. (Auditora Informtica - Aplicaciones en

Produccin - Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los procedimientos,
las prcticas y las estructuras organizativas diseadas para proporcionar
seguridad razonable de que los objetivos de la empresa se alcanzarn y que los
eventos no deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G.
Plattini)
OBJETIVOS PRINCIPALES:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce
cumplimiento de los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control de las
diferentes actividades que se realizan.
Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea
usuaria o de informtica sin la utilizacin de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software,
llmense estos de operacin, de comunicacin, de gestin de base de datos,
programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos, para tratar de evitar la produccin de errores o hechos
fraudulentos, como por ejemplo el software de seguridad que evita el acceso a
personal no autorizado.
Controles Detectivos; tratan de descubrir a posteiori errores o fraudes que no
haya sido posible evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.
2. Escrito sobre la relacin entre riesgos y control informtico

Riesgo puede definirse como el efecto de una causa multiplicado por la frecuencia
probable de su ocurrencia. El control acta sobre la causa del riesgo para
minimizar sus efectos.iv
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de proteccin, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los
responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que
levantemos constantemente registros sobre la ejecucin de las actividades, los
eventos de ataques y sus respectivos resultados. Estos tenemos que analizados
frecuentemente. Dependiendo de la gravedad, el incumplimiento y el sobrepasar
de las normas y reglas, requieren sanciones institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como
resultado del control de riesgo, nos sirven como fuente de informacin, cuando se
entra otra vez en el proceso de la Anlisis de riesgo. v
Es importante en toda organizacin contar con una herramienta, que garantice la
correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio de procedimientos
de control que puedan evaluar el desempeo del entorno informtico.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro del
entorno informtico, es la inadecuada administracin de riesgos informticos, esta
informacin sirve de apoyo para una adecuada gestin de la administracin de
riesgos.vi
Con el uso de las nuevas tecnologas de informacin y comunicaciones,
actualmente se hace necesario ejercer control sobre todas las actividades que se
realizan mediante el uso de recursos informticos y sistemas de informacin. En
este sentido el sistema de control interno ha tenido que especializar, cada vez
ms, el tipo de controles que debe aplicar a los sistemas ya que la informacin
que fluye desde y hacia la empresa es uno de los activos ms importantes de la
organizacin.vii
3. Empresa donde pueda llevarse a cabo la auditoria informtica o de
sistemas
Mi propuesta para la auditoria es el batalln donde laboro, ya que soy militar se
me dificulta desplazarme hacia alguna empresa a realizar la auditoria, por tal
razn propongo la auditoria en un batalln que tenga el departamento de

sistemas, aunque no podra enviar un informe en profundidad porque la

informacin que presente no podra ser expuesta al pblico por el grado de
clasificacin de la informacin que se maneja.

CONCLUSIONES
Durante la realizacin del trabajo pudimos obtener conocimientos bsicos para el
desarrollo del curso de auditoria de sistemas.
Se tiene una falencia durante la consecucin de la empresa a auditar, pero
teniendo en cuenta que el trabajo es colaborativo entonces hay otras propuestas
para presentar y escoger.

REFERENCIAS BIBLIOGRAFICAS

MISFUD, Elvira, (2012). OBSERVATORIO TECNOLOGICO, Espaa, Vulnerabilidades de un

sistema
informtico.
Recuperado
de:
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040introduccion-a-la-seguridad-informatica?start=3
i

MISFUD, Elvira, (2012). OBSERVATORIO TECNOLOGICO, Espaa, Amenazas.

Recuperado
de:
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040introduccion-a-la-seguridad-informatica?start=5
ii

OCHOA, Danilo, (2012). Portafolio.co, Los principales riesgos informticos para los
usuarios. Recuperado de: http://www.portafolio.co/finanzas-personales/los-principalesriesgos-informaticos-los-usuarios
iii

BASC. (2015). Costa rica, Auditoria de sistemas, RIESGOS INFORMTICOS. Recuperado

de: http://seginformatica1audisistem.jimdo.com/riesgos-informaticos/
iv

ERB, Markus. (2008). INTERTEAM, Nicaragua, Gestin de Riesgo en la Seguridad

Informtica. Recuperado de: https://protejete.wordpress.com/gdr_principal/control_riesgo/
v

UPTC, Contadura publica, RIESGOS INFORMTICOS.

http://audisistemas2009.galeon.com/productos2229079.html
vi

Recuperado

de:

vii BENAVIDES y SOLARTE. (2013). UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA,

Pasto, MDULO RIESGOS Y CONTROL INFORMTICO. Recuperado de:

https://protejete.wordpress.com/gdr_principal/control_riesgo/