AUDITORÍA INFORMÁTICA Por: Belén Toaquiza

1. AMENAZAS INFORMÁTICAS Los riesgos de la información están presentes cuando confl uyen dos elementos: amena-zas y vulnerabilidades.

1.1. .

1.1.1. TIPOS DE AMENAZAS

1.1.1.1. Virus informáticos o código malicioso Uso no autorizado de Sistemas Informáticos Robo de Información Fraudes basados en el uso de computadores Suplantación de identidad Denegación de Servicios Ataques de Fuerza Bruta Alteración de la Información Divulgación de Información Desastres Naturales Sabotaje, vandalismo Espionaje

1.1.2. PRINCIPALES AMENAZAS

1.1.2.1. Spywre o Programas espías, es un código malicioso cuyo principal objetivo es recoger información sobre las actividades de un usuario en un computador

1.1.2.2. Troyanos, virus y gusanos, son programas de código malicioso, que de diferentes maneras se alojan el los computadores con el propósito de permitir el acceso no auto-rizado a un atacante, o permitir el control de forma remota de los sistemas.

1.1.2.3. Phishing, es un ataque del tipo ingeniería social, cuyo objetivo principal es obtener de manera fraudulenta datos confi denciales de un usuario, especialmente fi nancieros, aprovechando la confi anza que éste tiene en los servicios tecnológicos

1.1.2.4. Spam, se refiere al ecibo de mensajes no solicitados, principalmente por correo electrónico, cuyo propósito es difundir grandes cantidades de mensajes comerciales

1.1.2.5. Botnets o Redes de robots, son máquinas infectadas y controladas remotamente, que se comportan como “zombis”, quedando incorporadas a redes distribuidas de compu-tadores llamados robot, los cuales envían de forma masiva mensajes de correo “spam” o código malicioso

1.1.2.6. Trashing, es un método cuyo nombre hace referencia al manejo de la basura., es un mecanismo utilizado, es la búsqueda en las canecas de la basura o en los sitios donde se desechan papeles y documentos de extractos bancarios, facturas, recibos, borradores de documentos, etc.,

2. CONTROL INTERNO INFORMÁTICO Es un sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones

2.1. OBJETIVOS:

2.1.1. Asegurar la protección de todoslos recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados

2.1.2. Asesorar sobre el conocimiento de las normas.

2.1.3. Evaluar su bondad y asegurarse del cumplimiento de las normas legales.

2.1.4. Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados.

2.2. TIPOS DE CONTROLES

2.2.1. Manuales.- Eejecutados por el personal.

2.2.2. Automáticos.- Incorporados por un Software.

2.3. CATEGORÍAS

2.3.1. Controles Detectivos

2.3.2. Controles Preventivos

2.3.3. Controles Correctivos

2.4. CONTROLES INTERNOS

2.4.1. Controles generales organizativos.

2.4.2. Controles de desarrollo, adquisición y mantenimiento de sistemas de información.

2.4.3. Controles de explotación de sistemas de información.

2.4.4. Controles en aplicaciones.

2.5. COMPONENTES DEL CONTROL INTERNO

2.5.1. Ambiente de Control

2.5.2. Actividades de Control

2.5.3. Evaluación de Riesgos

2.5.4. Información y Comunicación

2.5.5. Supervisión

2.6. EVIDENCIA

2.6.1. Debe ser suficiente, fiable, relevante y adecuada

2.6.1.1. Indagación

2.6.1.2. Observación

2.6.1.3. Cálculos

2.6.1.4. Inspección

2.6.1.5. Confirmación

2.7. RIESGOS

2.7.1. Para la Información

2.7.1.1. Riesgo

2.7.1.2. Seguridad

2.7.1.2.1. Fraudes, falsificación, hackers,

2.7.2. Para el Centro de Cómputo

2.7.2.1. Factores Físicos

2.7.2.1.1. Cableado, Iluminación

2.7.2.2. Factores Ambientales

2.7.2.2.1. Incendios, Sismos

2.7.2.3. Factores Humanos

2.7.2.3.1. Robos, fraudes, sabotajes, terrorismo