República Bolivariana de Venezuela.

Ministerio del Poder popular para la Defensa.

Universidad Nacional Experimental de la Fuerza Armada.

UNEFA

Núcleo – Barinas.

LA SEGURIDAD EN EL ÀREA DE LA
INFORMÀTICA.

Docente: Bachiller:

Milgred Torres. Vásquez G José. G

Ing. Sistemas.

SECC-81

Barinas, noviembre de 2019.

 Introducción.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por
eso las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el "management" o gestión
de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa,
ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se

ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de
que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se

realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo,
una entidad. De todo esto sacamos como deducción que la auditoría es un examen
crítico, pero no mecánico, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo. De acuerdo a ello es de gran importancia destacar las
delimitaciones del área a auditar, y las condiciones del medio ambiente, que se
convierten en un aspecto especifico que muestran la forma en la que hay que
cumplir objetivos y además se caracterizan de dar noción, acerca de lo que se trata
de condiciones que deben estar establecidas para formar una auditoria critica. El
fraude informático se hace notar de modo que debe ser la precaución que todos los
usuarios deben implantar para evitar altercados en cuanto a la función que
desempeñan en los sistemas informáticos.
 1) Auditoria de Seguridad en el Área de la Informática.

Una Auditoría de Seguridad Informática, por definición, es el estudio que

comprende el análisis y gestión de los sistemas informáticos de una empresa,
llevado a cabo por profesionales para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en el
funcionamiento rutinario de los Servidores, Puestos de Trabajo, Seguridad en el
Acceso Remoto y Redes del parque informático de dicha empresa.

Una vez obtenidos los resultados, se detallarán, archivaran y reportaran a los

responsables, quienes deberán establecer medidas preventivas de refuerzo y/o
corrección siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas, aprendiendo de los errores
cometidos con anterioridad.

Las Auditorías de Seguridad de Sistemas Informáticos permiten conocer en el

momento de su realización cuál es la situación exacta de sus activos de información
en cuanto a protección, control y medidas de seguridad. Para entender en cierto
modo la auditoria de seguridad informática es necesario responder aciertas
interrogantes:

¿Qué es una auditoría de seguridad?

Son los estudios, tendentes a comprender el análisis y gestión de los sistemas.

Se trata de un servicio llevado a cabo por profesionales externos a la empresa y
tiene la finalidad de descubrir posibles vulnerabilidades tras revisiones exhaustivas
de software, redes de comunicación, servidores, estaciones de trabajo, dispositivos
móviles…

Una auditoría de seguridad informática es una evaluación de los sistemas

informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado
entregamos al responsable en el que describimos:
  Equipos instalados, servidores, programas, sistemas operativos.
 Procedimientos instalados.
 Análisis de Seguridad en los equipos y en la red.
 Análisis de la eficiencia de los Sistemas y Programas informáticos.
 Gestión de los sistemas instalados.
 Verificación del cumplimiento de la Normativa vigente LOPD.
 Vulnerabilidades que pudieran presentarse en una revisión de las estaciones
de trabajo, redes de comunicaciones, servidores.

¿Cómo hacer una auditoría de seguridad informática?

Para hacer una auditoría de seguridad informática debes seguir los siguientes
pasos:

 Enumeración de los servicios que se vayan a auditar.

 Verificación del cumplimiento de estándares de calidad y normas de control.
 Identificación del software, hardware y sistemas operativos instalados.
 Análisis de los servicios y aplicaciones instalados.
 Comprobación y evaluación de las vulnerabilidades detectadas.
 Corrección con medidas específicas.
 Implantación de medidas preventivas.

¿Qué se analiza en una auditoría informática?

Deben analizarse los equipos instalados, los servidores, los programas, los
sistemas operativos, los procedimientos, así como la seguridad de los equipos y en
la red. Por otra parte, toda auditoría de seguridad informática debe detenerse a
analizar:

1) La eficiencia de los sistemas y programas informáticos,

2) la gestión de los sistemas instalados y la vulnerabilidad que pudieran
presentar las estaciones de trabajo, redes de comunicación o servidores.
 3) Se valorará, por último, la existencia o no de un protocolo de seguridad ante
una amenaza tecnológica y lo oportuno de las medidas recogidas, si es que
existe, para hacer frente a una amenaza tecnológica.

Beneficios de las auditorías de seguridad Informática

Son muchas las ventajas las que nos están ofreciendo las nuevas tecnologías.
Pero también implica una mayor exposición a amenazas que pueden poner en
peligro la privacidad y seguridad de nuestra información. De ahí la importancia de
la auditoría de seguridad informática y de la información, que nos permitirá saber
periódicamente el estado de seguridad de nuestros sistemas. Entre los beneficios
de estas auditorías cabe destacar que:

 Permiten reducir los impactos una vez identificados los riesgos y

vulnerabilidades.
 Ofrecen mayores garantías y niveles de seguridad para su negocio.
 Mejoran la imagen externa de su empresa.
 Le ayudan a saber qué medidas concretas de seguridad implementar.
 Aumentan la seguridad de su organización, salvaguardando la
confidencialidad y la integridad de la información que se gestiona.
 Delimitación del área a auditar.

Al auditar cualquier sistema informático se debe delimitar claramente su espacio

de acción, donde termina su ámbito de acción e inicia el exterior, es decir es el área
precisa que va modificar el auditor mediante la auditoria que puede referirse a las
partes del sistema como lo es: a toda la entidad del sistema, a las funciones del
sistema, a las subfunciones y demás áreas específicas que contenga el mismo.

Tomando en consideración dicha teoría se puede entender desde el punto de vista

de una aplicaciòn o un sistema operativo, donde el auditor a partir de la aplicaciòn
de las técnicas de observación, inspección, análisis y evaluación determinara que
parte del sistema debe ser auditada y porque razón debe implementar dicha
auditoria, por ejemplo en WhatsApp ciertos usuario se ven afectados por la
seguridad de privacidad de su información, es por ello que el auditor al aplicar las
técnicas mencionadas anteriormente va a delimitar en que área aplicara dicha
auditoria, con respecto a el ejemplo de WhatsApp , las delimitación del área a
auditar será la de seguridad de WhatsApp, donde es el auditor que aplicara las
herramientas necesarias para resolver el problema de los usuarios.
 Las condiciones del ambiente.

Están delimitadas por los recursos humanos que intervienen en el proceso de

auditoría, así como también el espacio físico y departamentos de la organización
relacionados al ámbito del ambiente. De acuerdo a ello pueden ser:

 Una iluminación suficiente dentro de la organización para los auditores de

forma que puedan trabajar en todo momento de manera eficiente y
confortable. Evitar los cambios bruscos de luminosidad entre distintas
dependencias.
 Combinar el uso de luz natural con la luz artificial.
 sistema de acondicionamiento térmico eficiente (calor-frío). Es importante
que la temperatura pueda regularse en función de las zonas: en áreas donde
se realicen tareas con esfuerzo físico importante la temperatura requerida
será menor que en las zonas de oficina.
 Equipo de Programación. [ Las Organizaciones o Empresa Deben fijar las
tareas de análisis puro, de programación y las intermedias. En Aplicaciones
complejas se producirían variaciones en la composición del grupo, pero
estos deberán estar previstos.
 Recursos materiales: Es muy importante su determinación, por cuanto la
mayoría de ellos son proporcionados por el cliente. Las herramientas
software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de
uso entre el auditor y cliente.
 Recursos materiales Software.
 Recursos materiales Hardware.
 Recursos Humanos: La cantidad de recursos depende del volumen
auditable, Experto en Bases de Datos y Administración de las mismas,
Informático Generalista, Experto en Software de Comunicación todos estos
son recursos humanos que se necesitan para el desarrollo de una auditoria.
 Fraude en Informática.

El fraude informático consiste en la estafa o engaño que es realizado por medios

cibernéticos a través de la utilización de un computador y/o vía Internet. Se entiende
por fraude o estafa, al engaño que está destinado a perjudicar la propiedad o
patrimonio de una persona determinada, sea ésta natural o jurídica. Siempre que
mediante un engaño se vea mermado el patrimonio de una persona determinada
sin causa, y un enriquecimiento de otra hay estafa.

El fraude informático utiliza medios electrónicos para hacerse de datos o el control

de datos confidenciales que permiten cometer el ilícito y estafar a alguien, formato
reconocido para el conocido como “hacking”. Otra manera de cometer un fraude
cibernético es por medio de la intercepción de datos por medio electrónicos, donde
si bien no hay un engaño dirigido a una determinada persona, sí hay una violación
de privacidad y un uso malicioso de la información recolectada. En este sentido, la
obtención de contraseñas, cuentas de tarjetas de crédito o datos confidenciales
sobre la identidad de una persona, conforman el tipo de información que se requiere
para estafar a alguien.
 La ley federal define al fraude electrónico como el uso de una computadora con el
objetivo de distorsionar datos para inducir a otra persona a que haga o deje de hacer
algo que ocasiona una pérdida. Los delincuentes pueden distorsionar los datos de
diferentes maneras. Primero, pueden alterar sin autorización los datos ingresados
en la computadora. Los empleados pueden usar fácilmente este método para alterar
esta información y malversar fondos. En segundo lugar, los delincuentes pueden
alterar o borrar información almacenada. Tercero, los delincuentes sofisticados
pueden reescribir los códigos de software y cargarlos en la computadora central de
un banco para que éste les suministre las identidades de los usuarios. Los
estafadores luego pueden usar esta información para realizar compras no
autorizadas con tarjetas de crédito.

Formas habituales de distorsión de los datos

 Alteración de los datos que se ingresan en un ordenador.

 Al distorsionar los datos, una vez que éstos han sido introducidos, el
estafador ya dispone de los mismos y fácilmente se pueden malversar los
fondos disponibles.
 Alteración o eliminación de datos almacenados.
 Reescritura de los códigos de software bancarios para disponer así de los
datos confidenciales de los clientes asociados por medio del ordenador
central de la entidad financiera.

Los ocho delitos informáticos más comunes y donde más se produce.

 Estafas.
 Descubrimiento y revelación de secretos.
 Delitos contra la intimidad de los menores y acoso.
 Amenazas y coacciones.
 Falsificación documental.
 Daños y sabotaje informático.
 Suplantación de identidad.
 Delitos contra la propiedad intelectual.
 Algunos ejemplos de este grupo de delitos son: el robo de identidades, la
conexión a redes no autorizadas y la utilización de spyware y de keylogger. Delitos
informáticos: Fraude informático mediante la introducción, alteración o borrado de
datos informáticos, o la interferencia en sistemas informáticos.

Clasificación de atacantes.
Según el tipo de persona:

 Personal interno
 Ex-empleados
 Timadores
 Vándalos
 Mercenarios
 Curiosos

Según el tipo de ataque:

 Hacker: Es una persona con grandes conocimientos de Internet, de técnicas

de programación y sistemas operativos robustos como Linux y Unix y posee
muchos conocimientos en herramientas de seguridad.
 Cracker: Es un hacker maligno, se dedica a romper la seguridad de los
sistemas informáticos para robar información o destruirla. Son los piratas
modernos al estilo cibernético.
 Backdoors: Este atacante penetra en el sistema sin que su identidad sea
autenticada, produce acciones no autorizadas y eventos ilícitos como
resultado de la ejecución de comandos del sistema.
 Script kiddie: Un inexperto, normalmente un adolescente, que usará
programas que se descarga de Internet para atacar sistemas.

Según el objetivo del ataque:

 Dinero.
 Información confidencial.
 Beneficios personales.
 Daño.
 Accidente.

Tipos de ataques más comunes.

 Ataques organizativos: Hay una organización que entra en la red para

intentar tener acceso a información confidencial con el fin de obtener una
ventaja empresarial.
 Hackers: Disfrutan demostrando sus habilidades para intentar eludir las
protecciones de seguridad y lograr un acceso ilegal a la red.
 Los ataques automatizados: Utilizan software para examinar posibles
vulnerabilidades de la red o para implementar un ataque electrónico violento,
en estos ataques violentos o ataques por fuerza bruta se intenta usar muchos
nombres de usuario y contraseñas diferentes u otro tipo de credenciales para
obtener acceso a los recursos.
 Los ataques por denegación de servicio: Desbordan un servidor con
solicitudes lo que hace que el mismo no sea capaz de ofrecer su servicio
normal.
 Los virus, caballos de Troya, gusanos: Son programas peligrosos que
actúan explotando algunas vulnerabilidades conocidas para instalarse a sí
mismos en un equipo, muchas veces entran como datos adjuntos de un
mensaje de correo electrónico; una vez allí distribuyen copias de sí mismos
a otros equipos conectados y estas copias también se replican a sí mismas
produciendo una rápida infección de toda la red informática.
 Las infracciones accidentales de seguridad: Suelen ser consecuencia de
prácticas o procedimientos deficiente, por ejemplo, si queda expuesta
públicamente cierta información de seguridad como nombre de usuario y
contraseña un atacante puede aprovechar dicha información para tener
acceso a la red.
 Conclusión.

Principalmente, con la realización de este trabajo, la principal conclusión a la que

hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas
de Información medianamente complejos, deben de someterse a un control estricto
de evaluación de eficacia y eficiencia.

Hoy en día, el 90% por ciento de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas
de información funcionen correctamente. La empresa hoy, debe/precisa
informatizarse.

El éxito de una empresa depende de la eficiencia de sus sistemas de información.

Una empresa puede tener un staff de gente de primera, pero tiene un sistema
informático propenso a errores, lento, vulnerable e inestable; si no hay un balance
entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo de
la auditoría en sí, podemos remarcar que se precisa de gran conocimiento de
Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de
Sistemas debe hacerse por gente altamente capacitada, una auditoría mal hecha
puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económica.