Академический Документы
Профессиональный Документы
Культура Документы
AUDITORA DE SISTEMAS
90168_49
INTRODUCCION
OBJETIVOS
Conocer los entornos de aprendizaje de los AVAS por parte del estudiante
para minimizar los problemas de manejo y desarrollo de actividades en el
curso.
Proponer empresas u organizaciones donde puede llevarse a cabo la
auditoria
AMENAZAii
Amenazas fsicas
Amenazas lgicas
Estas amenazas, tanto fsicas como lgicas, son materializadas bsicamente por:
las personas
programas especficos
catstrofes naturales
Podemos tener otros criterios de agrupacin de las amenazas, como son:
Amenazas fsicas
Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay
zonas geogrficas del planeta en las que las probabilidades de sufrir terremotos,
huracanes, inundaciones, etc, son mucho mas elevadas.
En estos casos en los que es la propia Naturaleza la que ha provocado el desastre
de seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo
de situaciones.
Hay otro tipo de catstrofes que se conocen como de riesgo poco probable.
Dentro de este grupo tenemos los taques nucleares, impactos de meteoritos, etc. y
que, aunque se sabe que estn ah, las probabilidades de que se desencadenen
son muy bajas y en principio no se toman medidas contra ellos.
Ya hemos explicado el concepto de amenaza fsica. Vamos a conocer ahora
cules son las principales amenazas fsicas de un sistema informtico.
Amenazas lgicas
Actos delictivos: son actos tipificados claramente como delitos por las
leyes, como el chantaje, el soborno o la amenaza.
Atacante interno: la mayor amenaza procede de personas que han
trabajado o trabajan con los sistemas. Estos posibles atacantes internos
deben disponer de los privilegios mnimos, conocimiento parcial, rotacin
de funciones y separacin de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legtimo. Si un
atacante externo consigue penetrar en el sistema, ha recorrido el 80% del
camino hasta conseguir un control total de un recurso.
RIESGOS INFORMATICOSiii
Los principales riesgos o fraudes a los que estn expuestos los usuarios de banca
en lnea son:
Malware: abreviatura de la expresin software malicioso, tambin conocido como
virus de computador. Son los llamados caballos de Troya (o troyanos), spywares,
keyloggers y otros tipos de software que se usan con fines fraudulentos.
Phishing: envo masivo de e-mails o mensajes instantneos engaosos para
hacer que los usuarios revelen sus credenciales al registrarse en la versin falsa
de un sitio confiable.
Ingeniera social: manipulacin mediante el engao para lograr que los individuos
realicen determinadas acciones, o para obtener el acceso a los sistemas, o a su
informacin.
Whaling: muy similar al phishing, pero destinado especficamente a individuos de
alto nivel adquisitivo.
Man-in-the-middle (hombre en el medio): intercepta la informacin que se est
intercambiando entre dos usuarios reconocidos/confiables.
Man-in-the-browser (hombre en el navegador): infeccin del navegador web
mediante malware con el fin de tomar el control de la computadora del usuario.
Esta accin no se puede impedir usando SSL (Secure Sockets Layer] y
autenticacin multi-factor estndar.
CONTROL INFORMATICO
El Control Interno Informtico puede definirse como el sistema integrado al
proceso administrativo, en la planeacin, organizacin, direccin y control de las
operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los
Riesgo puede definirse como el efecto de una causa multiplicado por la frecuencia
probable de su ocurrencia. El control acta sobre la causa del riesgo para
minimizar sus efectos.iv
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de proteccin, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los
responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que
levantemos constantemente registros sobre la ejecucin de las actividades, los
eventos de ataques y sus respectivos resultados. Estos tenemos que analizados
frecuentemente. Dependiendo de la gravedad, el incumplimiento y el sobrepasar
de las normas y reglas, requieren sanciones institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como
resultado del control de riesgo, nos sirven como fuente de informacin, cuando se
entra otra vez en el proceso de la Anlisis de riesgo. v
Es importante en toda organizacin contar con una herramienta, que garantice la
correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio de procedimientos
de control que puedan evaluar el desempeo del entorno informtico.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro del
entorno informtico, es la inadecuada administracin de riesgos informticos, esta
informacin sirve de apoyo para una adecuada gestin de la administracin de
riesgos.vi
Con el uso de las nuevas tecnologas de informacin y comunicaciones,
actualmente se hace necesario ejercer control sobre todas las actividades que se
realizan mediante el uso de recursos informticos y sistemas de informacin. En
este sentido el sistema de control interno ha tenido que especializar, cada vez
ms, el tipo de controles que debe aplicar a los sistemas ya que la informacin
que fluye desde y hacia la empresa es uno de los activos ms importantes de la
organizacin.vii
3. Empresa donde pueda llevarse a cabo la auditoria informtica o de
sistemas
Mi propuesta para la auditoria es el batalln donde laboro, ya que soy militar se
me dificulta desplazarme hacia alguna empresa a realizar la auditoria, por tal
razn propongo la auditoria en un batalln que tenga el departamento de
CONCLUSIONES
Durante la realizacin del trabajo pudimos obtener conocimientos bsicos para el
desarrollo del curso de auditoria de sistemas.
Se tiene una falencia durante la consecucin de la empresa a auditar, pero
teniendo en cuenta que el trabajo es colaborativo entonces hay otras propuestas
para presentar y escoger.
REFERENCIAS BIBLIOGRAFICAS
OCHOA, Danilo, (2012). Portafolio.co, Los principales riesgos informticos para los
usuarios. Recuperado de: http://www.portafolio.co/finanzas-personales/los-principalesriesgos-informaticos-los-usuarios
iii
Recuperado
de: