CONCEPTOS FUNDAMENTALES DE AUDITORÍA EN SISTEMAS

UNIDAD 1 FASE 1 - INICIAL

GRUPO: 90168_39

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

MEDELLÍN
ANTIOQUIA
 TABLA DE CONTENIDO

Introducción…………………………………………………………………………………….....3

Objetivos…………………………………………………………………………………………..4

Conceptos Fundamentales………………………………………………………………………..5

Mapa Conceptual………………………………………………………………………………...10

Conceptos Control Interno vs Auditoría…………………………………………………………11

Diferencias Control Interno vs Auditoría………………………………………………………..14

Conclusiones……………………………………………………………………………………..15

Referencias Cybergráficas……………………………………………………………………….17

INTRODUCCIÓN
La auditoría representa un proceso evaluativo y de control en el cual las organizaciones canalizan

actividades, herramientas y talento tanto humano como técnico con el fin de identificar de

manera eficaz y veraz aquellas acciones en las cuales se coloca en peligro información.

En este sentido la auditoría informática recoge, agrupa y evalúa evidencias para determinar si un

sistema informatizado salvaguarda los activos, mantiene la integridad de los datos y lleva a cabo

eficazmente los recursos, es decir, que la auditoría es una herramienta completa en la cual se

muestran fallas, amenazas, riesgos y vulnerabilidades con el objetivo de minimizarlos.

En el presente trabajo, se entabla una relación entre los términos de vulnerabilidad, amenazas,

riesgos y control informático, asociándolos de manera tal que puede asemejarse su relación,

además se busca comparar la funcionalidad entre los términos de control interno y auditoría en

función al área sistematizada o informática.

¡Bienvenidos!

OBJETIVOS 3
OBJETIVO GENERAL:

 Identificar los conceptos fundamentales de la auditoría para que pueda diferenciarlos

buscando las relaciones entre ellos mediante la interpretación de los mismos en las

actividades desarrolladas en la auditoria.

OBJETIVOS ESPECIFICOS:

 Definir cada uno de los términos asociados a la auditoría de sistemas.

 Consultar la información al respecto de los términos a fin de diferenciarlos.

 Analizar las semejanzas entre los términos asociados a la auditoría de sistemas

 Reconocer las definiciones de control interno y auditoría informática.

 Diferenciar las funciones y objetivos tanto de control interno como de auditoría informática.

4
CONCEPTOS FUNDAMENTALES DE AUDITORÍA INFORMÁTICA
1. Definir los conceptos de:

 VULNERABILIDAD:

Es el punto o aspecto del sistema que es más susceptible de ser atacado o de dañar la seguridad

del mismo. Se define como debilidad o fallo en un sistema de información que pone en riesgo la

seguridad de la misma, pudiendo permitir que un atacante pueda comprometer la integridad,

disponibilidad y confidencialidad de la misma, por lo que se hace necesario encontrarlas y

controlarlas.

Se puede identificar diferentes tipos de vulnerabilidad:

- Vulnerabilidad Física: Es a nivel físico en el cual pueden entrar o acceder físicamente para

robar, modificar o destruir algo del sistema.

- Vulnerabilidad Natural: Es cuando este se ve afectado por desastres naturales o ambientales

que pueden afectar el sistema.

- Vulnerabilidad de Hardware y Software: A nivel de software tenemos los bugs del sistema

y del hardware puede darse cuando se daña alguna parte del equipo o su material no es lo

suficientemente resistente para el tipo de trabajo requerido.

- Vulnerabilidad de los Medios o Dispositivos: Es la posibilidad de que se dañen los discos,

memorias entre otros.

5
- Vulnerabilidad de Emanación: Todos los dispositivos eléctricos emiten radiaciones

electromagnéticas y existe el riesgo de algún dispositivo intercepte dichas emanaciones y las

transmita.

- Vulnerabilidad de las Comunicaciones: La conexión a varias redes incremente la

posibilidad de ser vulnerada ya que al aumentar el acceso de personas aumente el riesgo de

pérdida o robo de información.

 AMENAZAS:
6
Es un posible peligro del sistema, esta se puede dar por una persona, un programa, un suceso

natural o de otra índole, esto representa los posibles factores que aprovechan las debilidades de

un sistema. También puede asociarse a la definición de toda acción que aprovecha una

vulnerabilidad para atentar contra la seguridad de un sistema de información.

Las amenazas proceden de ataques, sucesos físicos, negligencias o decisiones institucionales,

además pueden ser provocadas por la falta de capacitación, concientización a los usuarios sobre

el uso de la tecnología y sobre todo la creciente rentabilidad de los ataques

Estas se pueden clasificar en 4 tipos:

- Intercepción: Cuando una persona no autorizada logra el acceso al sistema.

- Modificación: Cuando no solo se accede sin autorización sino que también se modifica

cambiando su contenido o modo de funcionamiento.

- Interrupción: Cuando de alguna forma se interfiere con el correcto funcionamiento del

sistema.

- Generación: Cuando se añaden programas o información no autorizada al sistema.

El origen de todas estas amenazas se clasifica en:

- Amenazas naturales o físicas.

- Amenazas intencionadas.

- Amenazas involuntarias.

7
 RIESGOS:

Es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por

una combinación de circunstancias del entorno donde hay posibilidad de pérdida de información

o datos, son exposiciones tales como atentados o amenazas al sistema de información.

Corresponde al potencial de pérdidas que pueden ocurrir al sistema expuesto, como resultado de

su vulnerabilidad o amenaza. Como resultado de esto se pueden generar los siguientes riesgos.

- Riesgo de Integridad: En este se encuentran todos los riesgos asociados con la autorización

y puede ocurrir en múltiples lugares y momentos.

- Riesgo de Relación: Se refiere al uso oportuno de la información creada por una aplicación

y están relacionados directamente con la información de toma de decisiones.

- Riesgo de Acceso: Se enfoca en el inapropiado acceso a sistemas, datos e información.

- Riesgo de Utilidad: Se enfoca en el riesgo de direccionamiento de sistemas, recuperación y

restauración.

- Riesgo de Infraestructura: Se relaciona con la no existencia de una estructura de

información tecnológica efectiva, para soportar adecuadamente las necesidades presentes y

futuras de la organización.

8
 CONTROL INFORMÁTICO:

Actividad que controla que todas las actividades de sistemas de información sean realizadas

cumpliendo a cabalidad con todos los procesos, estándares y normas fijados por la dirección de

la organización y/o la dirección informática. Está basado en el conocimiento especializado de la

tecnología de la información y específicamente en la verificación del cumplimiento de los

controles, normativas y procedimientos dados por la dirección informática.

Es planificar y acordar cuidadosamente los requisitos y actividades de la auditoria que impliquen

comprobaciones en los sistemas con objeto de minimizar el riesgo de interrupciones de los

procesos.

9
2. Elaborar un mapa conceptual en CmapTools que muestre las relaciones entre estos conceptos.

10
 3. Consultar los conceptos de Control Interno Informático y Auditoría Informática:

 CONTROL INTERNO INFORMÁTICO:

El control interno informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones con el

objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de

economía, eficiencia y efectividad de los procesos operativos automatizados.

Realiza en los diferentes sistemas y entornos el control de las diferentes actividades operativas.

su objetivo principal es el de asesorar sobre el conocimiento de la norma, apoyar el trabajo de la

auditoría informática, así como la de definir, plantar y ejecutar mecanismos y controles de

comprobación del logro del servicio informático. En el ambiente informático, el control interno

se materializa fundamentalmente en controles de dos tipos:

- Controles Manuales: aquellos que son ejecutados por el personal del área usuaria o de

informática sin la utilización de herramientas computacionales.

- Controles Automáticos: Son generalmente los incorporados en el software, llámense estos

de operación, de comunicación, de gestión de base de datos, programas de aplicación.

11
 AUDITORIA INFORMÁTICA:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

informatizado salvaguarda los activos, mantiene la integridad de los datos y lleva a cabo

eficazmente los recursos, además estudia los mecanismos de control que se están implementando

en una empresa u organización, determinando si los mismos son adecuados y cumplen con los

objetivos y estrategias de acción. Su objetivo principal es el de proteger la integridad de los

activos informáticos. Permiten detectar de forma sistemática el uso de los recursos y los flujos de

información dentro de una organización y determinar qué información es crítica para el

cumplimiento de su misión y objetivos, identificando necesidades, falsedades, costes, valor y

barreras, que obstaculizan flujos de información eficientes. En si la auditoría informática tiene 2

tipos las cuales son:

- Auditoría interna: Es aquella que se hace desde dentro de la empresa; sin contratar a

personas ajenas, en el cual los empleados realizan esta auditoría trabajan ya sea para la

empresa que fueron contratados o simplemente algún afiliado a esta.

- Auditoría externa: Como su nombre lo dice es aquella en la cual la empresa contrata a

personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente

en estudiar los mecanismos de control que están implantados en una empresa u organización,

12
determinando si los mismos son adecuados y cumplen unos determinados objetivos o

estrategias, estableciendo los cambios que se deberían realizar para la consecución de los

mismos.

13
 4. Elaborar un cuadro que muestre la diferencia entre los dos conceptos:

CONTROL INTERNO INFORMÁTICO AUDITORÍA INFORMÁTICA

 Analiza de los controles en el día a día de  Analiza momentos informáticos

los datos. determinados.

 Da a conocer la directriz del departamento  Permite el conocimiento de una directriz

de informática. general de una organización.

 El objetivo del control interno se encuentra  Informa a la dirección general de la

sujeto a las funciones del departamento de organización sobre los cambios en materia

informática. de sistemas informáticos.

 Se integra al proceso administrativo base  Su cobertura es globalizada y se enfoca en

de una organización, sin sobrepasar la detección de fallas a nivel de eficacia,

procesos administrativos además del utilidad, fiabilidad etc.

ligado al proceso del departamento de  Evalúa tanto personal interno como

informática. externo.

 Asegura el proceso informático con el fin

de mejorar la economía intrínseca de la

organización.

 Se centra en la automatización de

procesos, garantizando el cumplimiento de

normas, estándares y procedimientos.

14
 CONCLUSIONES

 Por medio de esta actividad se pudo ampliar conocimientos acerca de las actividades de

la auditoria informática, su enfoque y campo de acción.

 La identificación conceptual permite hacer que cada una de las aplicaciones sea lo más

eficiente y segura posible, con seguimiento y gestión constante la cual garantice el

correcto funcionamiento de no solo las partes del software si no de hardware.

 La auditoría integral constituye un enfoque moderno que persigue obtener resultados

completos en las evaluaciones efectuadas a los sistemas.

 El reconocimiento de fallas dentro de sistemas informáticos permiten generar procesos

evaluativos en los cuales se busque la eficacia y agilidad en pro de soluciones holísticas.

 El proceso de auditar implica el reconocimiento de vulnerabilidades, amenazas, riesgos y

fallas dentro del sistema informático.

 A diferencia de la auditoría el control interno permea procesos únicamente del área de

sistemas o informática, mientras que la auditoría implica el manejo evaluativo y

seguimiento de diversas áreas.

15
 El control interno informático se encuentra integrado a procesos de planeación,

organización y control, fijando metas específicas en el área de informática.

 La auditoría y sus procedimientos garantizan no sólo un seguimiento efectivo en el

manejo de información sino que además proyectan procesos que implicad crecimiento

económico y logístico en las organizaciones.

16
 REFERENCIAS CYBERGRÁFICAS

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=41&docID=3176647&t

m=1543338969122

https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

https://es.slideshare.net/Vita1985/control-informatico

https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico

https://www.goconqr.com/p/6242309-vulnerabilidad--amenaza--riesgos-y-controles-

informaticos-mind_maps

http://hdl.handle.net/10596/23475

https://sites.google.com/site/navaintegdesign/temario/1-4-control-interno

https://www.tecnoxxi.com/blog/seguridad-informatica/amenazas-informaticas/

https://tecnologia-informatica.com/vulnerabilidades-informaticas/

17