SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
AUDITORIA Y CONTROL DE APLICACIONES
CASOS
Curso: Sistemas de Información Gerencial
Auditoría y control de aplicaciones
Auditoría es el proceso realizado por una
entidad independiente a un objeto examinado y
sobre el que se busca emitir opinión. Existen dos
tipos de auditoria, interna y externa.
Es importante la definición de restricción de
niveles de acceso con claves de usuarios para
determinadas opciones del programa, asimismo es
importante el concepto de administrador, para
determinar quién tiene acceso a todas las opciones
del sistema con su clave.
Existen distintos tipos de restricciones,
restricciones por objeto (opciones de menú,
aplicaciones, etc), restricción por usuario a
opciones de menú, restricciones por clave de
acceso a determinadas opciones.
Cuando se menciona el término de control de
aplicaciones, este se refiere a las funciones de
entrada, procesamiento y salida; incluye los
métodos para que el sistema se asegure de que se
ingresan los datos en forma correcta, es decir datos
completos, exactos y válidos. Además, para
asegurarse que el sistema realiza la tarea correcta,
que los resultados del procesamiento son los
correctos y cumplen la expectativa del usuario, y
que los datos se mantienen actualizados.
Estos controles consisten en pruebas de
validación, totales, conciliaciones, identificación y
generación de informes sobre datos incorrectos,
faltantes o de excepción.
Los controles interactivos también requieren
controles sobre el ingreso y envío de datos
(ejemplo, locales y lugar central se envían datos vía
discos, correos, comunicación por línea directa), es
importante que se usen programas de
comprobación de información que asegure que los
datos que salen de un lugar lleguen al otro, y
viceversa, además que se compruebe la integridad
de los datos enviados y recibidos, por ejemplo: log
de eventos, quién hizo qué cosa, cuándo y a qué
hora, etc.
CASOS DE CRÍMENES COMETIDOS POR EL
USO DE VIRUS INFORMÁTICOS
- 12 de diciembre de 1987: El virus de
Navidad, una tarjeta navideña digital
enviada por medio de servidor de IBM
atascó las instalaciones en los EE.UU. por 90
minutos. Cuando se ejecutaba el virus, éste
tomaba las libretas de direcciones del
usuario y se retransmitía automáticamente,
además que luego colgaba el ordenador
anfitrión.
Esto causó un desbordamiento de datos en
la red.
- 10 de enero de 1988. El virus Jerusalén se
ejecuta en una universidad hebrea y tiene
como fecha límite el primer viernes 13 del
año, como no pudieron pararlo se sufría
una disminución de la velocidad cada
viernes 13.
- 20 de septiembre de 1988 en Fort Worth,
Texas, Donald Gene un programador de 39
años es sometido a juicio el 11 de julio por
cargos delictivos, intencionalmente
contaminó el sistema por ser despedido,
con un virus informático el año 85. Fue la
primera persona juzgada con la ley de
sabotaje que entró en vigor el 1 de
septiembre de 1985. El juicio duró 3
semanas y el programador fue declarado
culpable y condenado a siete años de
libertad condicional y a pagar $ 12.000.
Su empresa que se dedicaba a la bolsa
sufrió el borrado de aproximadamente
168.000 registros.
Lectura - Módulo 11 1
- 4 de noviembre de 1988 Un virus invade cuando se realizan las conexiones remotas y/o
miles de computadoras basadas en Unix en de redes, y que el acceso a unidades de
universidades e instalaciones de dispositivos extraíbles sea habilitado solo a
investigación militares, donde las quienes los necesitan.
velocidades fueron reducidas y en otros
casos detenidas. También el virus se
propagó a escala internacional. RECOMENDACIÓN o RESUMEN

Se estableció que la infección no fue El siguiente video mostrará los conceptos de un

realizada por un virus sino por un programa sistema de gestión de seguridad de la información
gusano, diseñado para reproducirse así
mismo indefinidamente y no para eliminar
datos. El programa se difundió a través de
un corrector de errores para correo
electrónico, que se transmitió
principalmente en Internet (Arpanet) y
contaminó miles de computadoras en todo
el mundo contando 6.000 computadoras en
centros militares en los EE.UU., incluyendo
la NASA, la Fuerza Aérea, el MIT, las
universidades de Berkeley, Illinois, Boston,
Stanford, Harvard, Princeton, Columbia y https://www.youtube.com/watch?v=wIe01QIFA8
otras. Q

En general se determinó que la infección se FUENTES BIBLIOGRÁFICAS

propagó en las computadoras VAX de DEC
(digital equipament corp) y las fabricadas
por Sun Microsystems, que empleaban
Unix.
Robert Morris, estudiante de 23 años, fue el
culpable, declara haber cometido un error
al propagar el gusano. Morris era el hijo de
un experto en seguridad informática del
gobierno.
El caso fue investigado por el FBI.
- 23 de marzo de 1989, un virus ataca los
sistemas informáticos de los hospitales,
variando la lectura de informes de
laboratorio.
Estos casos y muchos otros que se han dado a
lo largo de los años, muestran que cuando se
realiza la auditoría de debe estudiar y revisar
con sumo cuidado lo que son lo virus, y conocer
los diferentes tipos que existen: caballos de
troya, gusanos, macrovirus, etc.
Bibliografía
Cobb, M. (s.f.). SearchDataCenter. Obtenido de
http://searchdatacenter.techtarget.com/e
s/consejo/Controles-de-seguridad-de-la-
informacion-para-la-prevencion-de-
exfiltracion-de-datos
Dintel Revista. (s.f.). Obtenido de
www.revistadintel.es/Revista1/DocsNum2
8/MinDefensa/escapa.pdf
Facultad de ciencias económicas y de
administracion. (s.f.). Facultad de ciencias
económicas y de administracion. Obtenido
de
www.ccee.edu.uy/ensenian/catsistc/docs
/segsistinf.pdf

Cuando se realiza auditoría de sistemas de

información, se debe observar inicialmente que
no existan copias ilegales o piratas, que no
exista la posibilidad de transmisión de virus

Lectura - Módulo 11 2