You are on page 1of 9

CONSULTAR LOS CONCEPTOS DE VULNERABILIDADES, AMENAZAS, RIESGOS Y

CONTROLES INFORMÁTICOS.

RICHAD REYES JULIO

RECTOR: Dr. Jaime Alberto Leal Afanador


Tutor del Curso: Francisco Nicolás
Número de Grupo: 90168_28

Trabajo para Adquirir conocimiento acerca de vulnerabilidades, amenazas, Riesgos de un sistema


informático.

Universidad Abierta y a Distancia- Cesar


Valledupar
2019
CONSULTAR LOS CONCEPTOS DE VULNERABILIDADES, AMENAZAS, RIESGOS Y
CONTROLES INFORMÁTICOS.
VULNERABILIDAD
En Seguridad Informática, la palabra Vulnerabilidad hace referencia a una debilidad en un sistema
permitiéndole a un atacante violar la Confidencialidad, Integridad, Disponibilidad, control de
acceso y consistencia del sistema o de sus datos y aplicaciones.
Estas Vulnerabilidades son el resultado de Bugs o de fallos en el diseño del sistema. Aunque, en
un sentido más amplio, también puede ser el resultado de las propias limitaciones tecnológicas,
porque no existe un sistema 100 % seguro. Por lo tanto existen Vulnerabilidades teóricas y
Vulnerabilidades reales.

Las Vulnerabilidades en las aplicaciones pueden corregirse con parches, hotfixs o con cambios de
versión. Otras requieren un cambio físico en el Sistema Informático.
Las Vulnerabilidades se descubren en grandes sistemas y el hecho de que se publique
rápidamente por Internet, sin hallar una solución al problema, es motivo de debate. Mientras más
se haga conocida una Vulnerabilidad, hay más probabilidades de que existan piratas informáticos
que quieran aprovecharse de estas Vulnerabilidades.

PRINCIPALES VULNERABILIDADES
· Symlink raíces.
· Secuestro de sesiones.
· Desbordes de pila y otros buffers.
· Errores de validación de entradas.
· Ejecución de código remoto.
BUGS
Un defecto de Software es el resultado de un fallo o deficiencia durante el proceso de creación de
programas de ordenador. Este fallo puede presentarse en cualquiera de las etapas del ciclo de
vida de un Software; aunque los más evidentes se dan en la etapa de desarrollo y programación.
AMENAZAS
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento de la
información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias no
informáticas que pueden afectar a los datos, las cuales son a menudo inevitables, de modo que la
única protección posible es la redundancia y la descentralización.
CAUSAS
EL USUARIO: Es la causa mayor del problema de la seguridad de un sistema informático.
PROGRAMAS MALICIOSOS: Son programas destinados a perjudicar o a hacer uso ilícito de los
recursos del sistema.
INTRUSO: Es una persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido.
SINIESTRO: Una mala manipulación o mala mal intención provocan la pérdida del material o de
los archivos.
TIPOS DE AMENAZAS
Al conectar una red a un entorno externo, se le está dando la oportunidad al intruso de entrar a
ella, logrando hacer robo de la información o alterar el funcionamiento de la red. Sin embargo no
conectar la red a un entorno extorno no garantiza la seguridad de la red.
Existen dos tipos de amenazas:
AMENAZAS INTERNAS: Generalmente estas amenazas pueden ser más peligrosas que las
externas por las siguientes razones:

 Los usuarios conocen la red y saben su funcionamiento.


 Tienen nivel de acceso a la red por las necesidades de trabajo.
 Los Firewalls son mecanismos no efectivos en las amenazas internas.
AMENAZAS EXTERNAS: Son aquellas amenazas que se originan afuera de la red. Al no tener
información específica de la red, un atacante debe realizar ciertos pasos para poder conocer que
es lo que hay en ella y buscar la manera de acceder para atacarla. La ventaja de este tipo de
amenaza es que el administrador de la red puede prevenir una buena parte de los ataques
externos.
LA AMENAZA INFORMATICA DEL FUTURO
Antes el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias
cibercriminales indican que la nueva modalidad es manipular los significados de la información
digital. El área semántica, era reservada para los humanos, pero se convirtió en el núcleo de los
ataques debido a la evolución de la Web 2.0 y de las redes sociales, lo que llevo al nacimiento de
la generación 3.0.
Se afirma que esta generación de Web 3.0 otorga contenidos y significados de tal manera que
pueden ser comprendidos por los computadores, los cuales por medio de técnicas de inteligencia
artificial son capaces de mejorar la obtención de nuevo conocimiento, y hasta el momento es
reservado para humanos.
Se trata de dotar el significado de las páginas Web y de ahí el nombre de Web semántica o
Sociedad de Conocimiento, como la evolución de la ya pasada Sociedad de la Información.
Es decir, las amenazas informáticas que vienen en el futuro ya no son los troyanos en los
sistemas o el software espía, sino que como los ataques se han profesionalizado y manipulan el
significado del contenido virtual.
La Web 3.0 se basa en conceptos como compartir, elaborar y significar, está representando un
gran desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino
que optan por modificar los significados de contenido digital, provocando así la confusión lógica
del usuario y permitiendo de este modo la intrusión en los sistemas. La amenaza ya no necesita la
clave de un ingenuo usuario, sino que modifica el balance de la cuenta, asustando al internauta y
luego proceder con el robo de su capital.
Para prevenir ser la victima de estos nuevos ataques, se recomienda:
· Evitar realizar operaciones comerciales o bancarias, en un café internet-
· Mantener los Antivirus activados y actualizados.
· Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga.
RIESGO
Deriva del latín “marenchu”, es la Vulnerabilidad de bienes jurídicos protegidos ante un posible
daño para las personas o cosas, particularmente para el medio ambiente.
Es decir, cuanto mayor es la Vulnerabilidad mayor es el riesgo, pero cuanto más factible es el
daño o perjuicio mayor es el peligro. Por lo que el Riesgo se refiere solo a la teórica posibilidad de
daño bajo algunas circunstancias, mientras que el peligro se refiere solo a la teórica probabilidad
de daños bajo algunas circunstancias.

CONTROLES INFORMÁTICOS
1. Auditoría Informática Es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas. Estudia los mecanismos de control que están implantados en
una empresa u organización, determinando si los mismos son adecuados y cumplen con
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos.

2. Objetivos de la auditoría Informática Protección de activos e integridad de datos. Gestiona la


eficacia y eficiencia.
3. Funciones un auditor informático Participar en las revisiones durante y después del diseño,
realización, implantación, explotación y cambios importantes de aplicaciones informáticas. Revisar
y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las
órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y
cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y
seguridad de los equipos e información.

4. Auditoria Interna El objetivo fundamental de la Auditoría Interna es descubrir deficiencias o


irregularidades en alguna de las partes de las empresas examinadas, y apuntar hacia sus posibles
soluciones. Su finalidad es auxiliar a la dirección para lograr que la administración sea óptima.

5. Auditoria Externa Es el examen crítico, sistemático y detallado de un sistema de información,


realizado por un auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y
con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control
interno del mismo y formular sugerencias para su mejoramiento. La Auditoría Externa o
Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados,
expedientes y documentos y toda aquella información producida por los sistemas de la
organización.
6. Diferencias entre Auditoría Interna y Externa En la Auditoría Interna existe un vínculo laboral
entre el auditor y la empresa, mientras que en la Auditoría Externa la relación es de tipo civil. En
la Auditoría Interna el diagnóstico del auditor, está destinado para la empresa; en el caso de la
Auditoría Externa este dictamen se destina generalmente para terceras personas o sea ajena a la
empresa. La Auditoría Interna está inhabilitada para dar Fe Pública, debido a su vinculación
contractual laboral, mientras la Auditoría Externa tiene la facultad legal de dar Fe Pública.
7. Control Interno Informático Controla diariamente que todas las actividades de los sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.

8. Control Interno Informático Realizar en los diferentes sistemas (centrales, departamentales,


redes locales, PC, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las
diferentes actividades operativas.
9. Objetivos Principales Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el
trabajo de Auditoria informática, así como de las auditorías externas al grupo. Definir, implantar y
ejecutar mecanismos y controles para comprobar el logro del servicio informático.
10. Categorías Controles preventivos. Controles detectives. Controles correctivos.
11. Algunos Controles Internos Controles generales organizativos. Controles de desarrollo,
adquisición y mantenimiento de sistemas de información. Controles de explotación de sistemas
de información. Controles en aplicaciones.
12. Auditoría y Control Interno Informático
13. Similitudes y Diferencias CONTROL INTERNO AUDITOR INFORMÁTICO
INFORMÁTICOSIMILITUDES PERSONAL INTERNO Conocimientos especializados en
tecnologías de información verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la dirección informática y la dirección general para los sistemas
de información. DIFERENCIAS Análisis de los controles en el Análisis de un momento día a día.
Informático determinado. Informa a la dirección del Informa a la dirección general departamento de
informática. De la organización. Sólo personal interno. Personal interno y/o externo. El enlace de
sus funciones es Tiene cobertura sobre todos los únicamente sobre el componentes de los
sistemas de departamento de informática. Información de la organización.

2. ELABORAR UN MAPA CONCEPTUAL QUE MUESTRE LAS RELACIONES ENTRE ESTOS


CONCEPTOS.
CONSULTAR LOS CONCEPTOS DE CONTROL INTERNO INFORMÁTICO Y AUDITORÍA
INFORMÁTICA

Control Interno

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo,
en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados.
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos
tipos:
• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de datos, programas de aplicación
Control interno informático (función)
El Control Interno Informático es una función del departamento de Informática de una
organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.
Auditoria Informática
Los sistemas informáticos se han vuelto piezas fundamentales en el desarrollo del día a día de las
empresas. Por este motivo es de vital importancia que se lleve a cabo una auditoría
informática que realice un control de los sistemas de forma periódica.
Este proceso solo pueden realizarlo los profesionales formados para ello de manera específica, ya
que a través de él se va a determinar si el sistema implantado en un negocio realiza sus funciones
correctamente. El objetivo final de las auditorías es mejorar las posibles incidencias que pueda
presentar un sistema informático, así como establecer diferentes criterios relacionados con el
buen uso del mismo. Nos referimos, por nombrar algunos ejemplos, a los recursos que utiliza el
sistema, el cumplimiento de la normativa o la seguridad de los datos y la información que está
archivada.
Podemos diferenciar dos tipos de auditorías. Una primera conocida como auditoría interna, siendo
la propia empresa la encargada de hacer el análisis del sistema, y otra externa donde la
compañía contrata a profesionales que no forman parte de su plantilla para que lleven a cabo
dicho control.

Control Interno Auditoria Informática


Su objetivo es el de controlar que todas las  Realiza control periódico a los
actividades relacionadas a los sistemas de sistemas
información automatizados se realicen  Determinan si el sistema implantado
cumpliendo las normas, estándares, en un negocio realiza sus funciones
procedimientos y disposiciones legales correctamente
establecidas interna y externamente.  Prueban la seguridad de los datos y
la información que esta archivada

Bibliografía

https://www.obs-edu.com/int/blog-investigacion/sistemas/que-es-una-auditoria-informatica-y-que-debes-
saber-sobre-ella
http://seguridadanggie.blogspot.com/2011/11/vulnerabilidad.html
https://sites.google.com/site/navaintegdesign/temario/1-4-control-interno

You might also like