FASE 1

DANIEL FELIPE BUSTOS LONDOÑO

1075305317

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

INGENIERIA DE SISTEMAS

ECBTI

NEIVA

2020
1
Vulnerabilidad: Vulnerabilidad es la cualidad de vulnerable (que es susceptible de ser
lastimado o herido ya sea física o moralmente).

En la informática y la tecnología también se hace uso del término vulnerabilidad.

En este caso, se emplea para referirse a todos los puntos débiles o en el software – o en el
hardware – que permite a un atacante comprometer la integridad, disponibilidad o
confidencialidad del sistema o de los datos y que pueden hacer que aquel sea atacado por virus de
diversa tipología.

Las vulnerabilidades pueden ser debidas tanto a fallos de diseños, errores en la configuración o a
procedimientos no robustos. Las vulnerabilidades más peligrosas son las que permiten a un
atacante ejecutar código dañino en el sistema comprometido.

Igualmente cuando un archivo o software se dice que tiene problemas de vulnerabilidad, se hace
referencia a que tiene vacíos de seguridad que pueden permitir la entrada de intrusos y piratas
que puedan poner en peligro su confidencialidad o integridad.

Amenaza

Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la
seguridad de la información.

Es cualquier acción que explota una vulnerabilidad informática para comprometer un

sistema de información. Una amenaza puede ser tanto interna como externa y concretarse
en un ciberataque, un malware (como el ransomware WannaCry), en un desastre físico o en
negligencias en la gestión.

Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza
sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e
independientemente de que se comprometa o no la seguridad de un sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas de
ingeniería social, la falta de capacitación y concientización a los usuarios en el uso de la
tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en los
últimos años el aumento de amenazas intencionales.

 Las amenazas pueden clasificarse en:

Intencionales: en caso de que deliberadamente se intente producir un daño (por ejemplo el

robo de información aplicando la técnica de trashing, la propagación de código malicioso y
las técnicas de ingeniería social).
No intencionales: en donde se producen acciones u omisiones de acciones que si bien no
buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden
producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).

Amenazas internas: Generalmente estas amenazas pueden ser más peligrosas que las
externas por las siguientes razones:

Los usuarios conocen la red y saben su funcionamiento.

Tienen nivel de acceso a la red por las necesidades de trabajo.

Los Firewalls son mecanismos no efectivos en las amenazas internas.

Amenazas externas: Son aquellas amenazas que se originan afuera de la red. Al no tener
información específica de la red, un atacante debe realizar ciertos pasos para poder conocer
que es lo que hay en ella y buscar la manera de acceder para atacarla. La ventaja de este
tipo de amenaza es que el administrador de la red puede prevenir una buena parte de los
ataques externos.

Riesgo:

La probabilidad de que una vulnerabilidad sea explotada por una amenaza produciendo
pérdidas o daños, se define como riesgo.

Todo cuanto pueda ser definido como una circunstancia que haga disminuir nuestro
beneficio puede ser un riesgo potencial derivado de varios factores como: la falta de control
sobre los dispositivos, la falta de control sobre el acceso a la información y su protección
ante ajenos, así como cuantos factores puedan atentar contra la estabilidad de la plataforma
corporativa de sistemas de información.

Controles informáticos:

Es la planeación, organización y ejecución de planes para asegurar la

protección del sistema ante posibles ataques externos o internos.

Tipos de controles.

Manuales y automáticos

Manuales: son ejecutados por el usuario o el personal de informática sin el uso de herramientas
computacionales.

Automáticos. Por lo general incorporados en el software pueden ser de:

Operación

Comunicación

BD

Aplicaciones

Generales y de aplicación

Genérales

 De entrada a los sistemas

 Admirativos, continuidad del procesamiento, cambios no autorizados, hardware software,
operaciones de computo, implementación, uso Bd
 Controles de aplicación
 Desarrollo y operación de aplicaciones,
 De acceso a las aplicaciones
 Entrada de datos
 Procesamiento
 Salida

https://app.lucidchart.com/documents/view/2ecb1219-476a-484d-837c-50c8bda86bfa

Control interno informático: se define como cualquier actividad y/o acción realizada
manual y automáticamente para prevenir, detectar o corregir errores o irregularidades que
afectan el sistema de información y sus objetivos en la empresa.

Esta integrado al proceso administrativo, planeación, organización, dirección y control de las

operaciones con el objetivo de asegurar la protección de los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
Clasificación

Controles preventivos:

Intentan evitar que se produzca errores o hechos fraudulentos

Detectivos:

Intentan descubrir a posteriori errores o fraudes que no hayan sido posible evitarlos con
los controles preventivos

Correctivos:

Tratan de asegurar que se subsanen todos los errores identificados mediante los controles
detectivos

Componentes del control

1. El ambiente de control

Cimiento sobre el que se apoya la estructura de control. Incluye:

 Grado de conciencia del personal

 Integridad y ética del personal de informática y usuarios
 Códigos de conducta
 Definición de puestos de trabajo y habilidades
 Responsabilidad de todos y cada uno
 Capacitación en los controles

2. La evaluación del riesgo

 Identificar, analizar y administrar los factores o eventos que puedan afectar

adversamente el cumplimiento de los fines, metas, objetivos, actividades y
operaciones institucionales.
 Es la identificación y análisis de riesgos en lo que se refiere a la consecución de
objetivos.
 Es la base para determinar la forma de gestionar el riesgo.
 Es un proceso continuo, una actividad básica de la organización, como la
evaluación continua de la utilización de los sistemas de información o la mejora
continua de los procesos
Es orientada al futuro, parte natural el proceso de planificación de la empresa
 3. Las actividades de control (políticas y procedimientos)
Son las políticas y procedimientos de control que imparte la dirección, la gerencia y los
niveles ejecutivos competentes, en relación con las funciones asignadas al personal, con el
fin de asegurar el cumplimiento de los objetivos en la entidad

Incluyen:
 Aprobaciones, autorizaciones verificaciones, conciliaciones
 Análisis de la eficacia operativa
 Seguridad de los activos
 segregación de funciones

Deben ser adecuadas para los riesgos

4. Información y comunicación

 Sistemas de información
 comunicación
 de las competencias en materia de control entro de la organización,
 comunicación externa

5. Supervisión
 Supervisar continuamente los controles internos para asegurarse de que el
proceso funciona según lo previsto, a medida que cambian los factores internos y
externos.
 controles que una vez resultaron idóneos y efectivos puede dejar de ser
adecuados y dejar de dar la dirección razonable de seguridad que antes ofrecía
 Adecuación y actualización de controles

Auditoria informática

La auditoría informática ayuda a las empresas a comprobar la eficiencia del sistema que tienen
establecido.

Gracias a este análisis sabrán si funciona de forma correcta, utilizando los recursos adecuados, se
verá si ha surgido algún problema en su interior o las barreras que pueden estar presentes. Todo
ello convierte la auditoría informática en una herramienta clave para que nuestro sistema siempre
esté en marcha de forma correcta.
Las auditorías también se realizan para conocer si el sistema informático en cuestión cumple con
toda la normativa y las leyes que rigen este sector. Desde la protección de datos hasta incluso
aspectos medioambientales, la auditoría va a recabar toda esa información y con ella podremos
verificar el sistema cumple con todos los requisitos legales.

Así mismo, es una herramienta perfecta para poder revisar la eficiencia de los recursos que se
utilizan. No son solo elementos materiales, sino que aquí se pueden incluir todas aquellas
personas que forman parte del sistema informático y hacen uso de él de manera diaria.

En la auditoria informática se realiza:

1. Análisis para poder establecer cuáles son los objetivos que tiene la empresa, hacia dónde
quiere llegar y así tener capacidad de conocer más adelante la eficacia que presenta su
sistema informático atendiendo a dichos objetivos. 
2. Un inventario con todos los puntos elaborados. Este inventario va a ser el protagonista en
el siguiente paso, ya que nos servirá para llevar a cabo una planificación en la cual
debemos fijarnos en cómo vamos a estudiar cada uno de esos puntos para que siempre
ofrezcan el mejor rendimiento posible.
3. Delimitar cuáles son las incidencias que nos hemos encontrado a lo largo de todo el
análisis y los riesgos a los que nuestro sistema informático está expuesto para no realizar
su trabajo de forma correcta.
4. Por último, poner en marcha todas las técnicas y métodos necesarios para resolver los
problemas que hayan ido apareciendo durante el análisis del sistema informático y así
poder dar una solución prácticamente inmediata.

Además del aspecto técnico, también nos aporta otro tipo de beneficios que son igualmente
importantes para el buen desarrollo de nuestro negocio:

Con este proceso se mejorara la imagen de la empresa, ya sea de forma pública o a

nivel interno, puesto que se van a optimizar las relaciones entre los compañeros de
trabajo. De igual modo, se estará ayudando a que se cree un sistema informático
legal y seguro y también con estas auditorías podrán abaratar costes y eliminar
aquellos recursos poco eficientes cuya calidad es más que cuestionable. Por esto las
auditorías informáticas están a la orden del día y son tan importantes.

CONTROL INTERNO INFORMATICO AUDITORIA INFORMATICA

Controla diariamente que todas las actividades

de los sistemas de información sean realizadas
Análisis lo realizan en un
cumpliendo los procedimientos, estándares y
momento determinado
normas fijadas por la dirección, organización y
dirección informática.
 Se realiza por personal
La realiza solo personal interno
interno y/o externo
Cobertura de todos los
Sus funciones son solamente del departamento
sistemas de información de
de informática.
la organización.
La Auditoría informática es el
proceso de recoger, agrupar
El Control Interno Informático controla
y evaluar evidencias para
diariamente que todas las actividades de los
determinar si un sistema
sistemas de información sean realizadas
informatizado salvaguarda
cumpliendo los procedimientos, estándares y
los activos, mantiene la
normas fijados por la Dirección de la
integridad de los datos, lleva
Organización y/o la Dirección de Informática,
al cabo eficazmente los fines
así como los requerimientos legales.
de la organización y utiliza
eficientemente los recursos.
La Auditoría
Informática es puntual,
cuyos principales objetivos
son: Objetivos de protección
Se hace con diferentes pruebas y controles
de activos y datos, e
(sistemas de control interno informático).
integridad de los datos.
Además, se debe realizar en los diferentes
Objetivos de gestión sobre la
sistemas y entornos informáticos el control de
eficacia y eficiencia de los
las diferentes actividades operativa sobre:
procesos, así como de la
utilidad, fiabilidad e
integridad de los equipos e
información.

Bibliografia
https://definicion.de/vulnerabilidad/

https://blog.mdcloud.es/vulnerabilidad-informatica-como-protegerse/

http://www.seguridadinformatica.unlu.edu.ar/?q=node/12

https://www.computerworld.es/tendencias/definicion-de-riesgo

https://es.calameo.com/read/003980435ba3c07ecf46f

https://prezi.com/qzuex5apfeb5/controles-informaticos/

http://seguridadanggie.blogspot.com/2011/11/vulnerabilidad.html

https://obsbusiness.school/es/blog-investigacion/sistemas/que-es-una-auditoria-informatica-y-
que-debes-saber-sobre-ella

http://auditoriainformaticavidanueva.blogspot.com/2015/05/blog-post.html