Guia Didactica de Riesgos y Control Informatico - 2013 - II

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI

CURSO DE RIESGOS Y CONTROL INFORMATICO 233004

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

PROGRAMA: ESPECIALIZACIN EN SEGURIDAD INFORMTICA

MDULO RIESGOS Y CONTROL
INFORMTICO

Mirian del Carmen Benavides Ruano

Francisco Nicols Javier Solarte Solarte

PASTO

Mayo de 2013

PROTOCOLO ACADMICO

1. IDENTIFICACIN

1.1 IDENTIFICACIN DEL CURSO

FICHA TCNICA

Nombre del Curso Riesgos y Control Informtico
Cdigo Curso 233004
Palabras Clave Vulnerabilidad, Riesgo, Amenaza, Control,
Estndar, Anlisis de Riesgo, Control Interno
Informtico
Institucin Universidad Nacional Abierta y a Distancia -
UNAD
Ciudad San Juan de Pasto - Nario - Colombia
Autor del Protocolo Francisco Nicols Javier solarte Solarte
Ao 2012
Unidad Acadmica Escuela de Ciencias Bsicas, Tecnologa e
Ingeniera
Campo de Formacin Formacin especfica
rea del conocimiento Auditoria Seguridad Informtica
Crditos Acadmicos Dos (2) Crditos Acadmicos, correspondientes
a 64 horas de trabajo acadmico
Tipo de Curso Terico
Destinatarios Estudiantes del Programa de Especailizacin en
seguridad Informtica de la UNAD
Competencia General
de Aprendizaje
El estudiante estar en capacidad de realizar la
procesos de Anlisis y evaluacin de Riesgos, y
proponer Controles a las vulnerabilidades
encontradas
Metodologa de Oferta A Distancia
Formato de
Circulacin
Mdulo en Formato Digital, Curso en la
Plataforma Virtual
Denominacin de las
Unidades Didcticas
UNIDAD 1: RIESGOS INFORMTICOS
UNIDAD 2: CONTROL INFORMTICO

1.2 INTRODUCCIN

En cada una de nuestras actividades cotidianas siempre estamos expuestos a
riesgos y amenazas ocasionados por factores que pueden ser de tipo interno y

externo. En estas circunstancias hay que propender por hacer la identificacin de
la vulnerabilidad frente a dichos factores para poder combatirlos.

Las organizaciones como sistemas dinmicos tambin se ven expuestas a estos
factores que pueden ocasionar daos y tener un impacto catastrfico o leve para
la organizacin, de acuerdo a que daos se causen por su presencia o concrecin.

De la misma manera otros riesgos pueden o no presentarse, pero siempre hay
que estar preparados para mitigarlos, la probabilidad de ocurrencia puede ser baja
o alta dependiendo el nmero de veces que se pueda identificar en un periodo de
tiempo determinado.

Lo importante es identificar no slo la ocurrencia de la falla sino la identificacin de
la causa que las origina, adems de dar una valoracin cuantitativa o cualitativa
para medir su probabilidad de ocurrencia y el impacto que causara de llegar a
presentarse.

El sistema de control, dentro de las organizaciones, se hace necesario toda vez
que las vulnerabilidades, riesgos y amenazas se ven presentes en todas las
actividades cotidianas y pueden afectar los procesos internos y externos de la
empresa.

Con el uso de las nuevas tecnologas de informacin y comunicaciones,
actualmente se hace necesario ejercer control sobre todas las actividades que se
realizan mediante el uso de recursos informticos y sistemas de informacin. En
este sentido el sistema de control interno ha tenido que especializar, cada vez
ms, el tipo de controles que debe aplicar a los sistemas ya que la informacin
que fluye desde y hacia la empresa es uno de los activos ms importantes de la
organizacin.

Teniendo en cuenta los sistemas de control interno aplicado a las tecnologas de
informacin, se han creado estndares que sirven de gua para la implementacin
de un sistema de control adecuado, dependiendo del tamao de la organizacin y
la complejidad de sus sistemas informticos. CObIT es uno de los estndares que
sirve para el anlisis de riesgos y est basado en un sistema de control que ya ha
sido aplicado y ha dado resultado en muchas empresas, el sistema est
construido teniendo en cuenta las mejores prcticas en el uso de los recursos de
Tecnologa de Informacin (TI).

El mdulo esta compuesto de dos unidades generales, y cada una de ellas est
integrada por captulos y lecciones, dentro de las cuales se distingue:

Unidad 1: Riesgo Informtico, Donde se hace referencia a todos los conceptos
relacionados con los riesgos, los mtodos de anlisis de los mismos y la
evaluacin de los mismos, adems de los estndares ms utilizados para realizar
dichos procesos.


Unidad 2: Control Informtico, Donde se identifica las causas que originan los
riesgos para proponer los controles que ayuden a mitigar dichos riesgos, dentro de
esta unidad se desglosa los componentes del estndar CObIT en sus dominios,
porcesos y objetivos de control, finalmente se propone algunos de los
procedimientos para revisin de controles en los procesos que se llevan a cabo en
un centro de cmputo o rea de informtica.

1.3 JUSTIFICACIN

El objetivo a lograr en los estudiantes del programa de Especailizacin en
Seguridad Informtica, es su formacin integral a travs del desarrollo de
competencias, que le permitan interactuar en diferentes contextos, haciendo de
ellos profesionales competitivos, generadores de cambio y progreso.

El curso de Riesgo y Control Informtico no es la excepcin, ya que centra al
estudiante en aspectos relacionados con las vulnerabilidades, riesgos y amenazas
a que se ven abocados los recursos informticos y l os sistemas de informacin
empresarial, la identificacin de las causas que los originan y las consecuencia
que pueden causar de llegar a presentarse para llegar a proponer un sistema de
control interno informtico que ayude a mitigar los riesgos encontrados.

Para eso el estudiante debe conocer los estndares y metodologas que le
permitan identificar, analizar, evaluar y gestionar dichos riesgos, que permitan
establecer un sistema de control eficiente, eficaz y efectivo para la organizacin en
el manejo de su informacin y sus recursos tecnolgicos de los cuales dispone.

El curso, esta dirigido a estudiantes que deseen conocer un poco ms el campo
de los riesgos y control informtico, los estndares y metodologas que puede
utilizar para realizar la evaluacin de riesgos y controles dentro de una
organizacin y que permitan establecer un sistema de control adecuado.

Adems el curso permite el desarrollo de competencias cognitivas, comunicativas,
contextuales y valorativas, fundamentales para la formacin profesional y la
interaccin en otros contextos. El logro de estas competencias exige una
planificacin responsable en su proceso de aprendizaje autnomo si se quieren
obtener resultados positivos en el desarrollo del curso, ya que el trabajo es en
parte individual y otra la interaccin en grupos colaborati vos pequeos.

La aplicacin de los estndares y mtodos permitir que el estudiante adquiera
suficiencia terica para realizar procesos de anlisis, evaluacin y gestin de
riesgos. Estos procesos permiten establecer un sistema de control efectivo para
cada uno de los procesos informticos y de sistemas que se trabajan en una
organizacin.


1.4 INTENCIONALIDADES FORMATIVAS

1.4.1 Propsito

Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y
destrezas de los estudiantes para conocer, comprender y aplicar procesos de
anlisis y evaluacin de riesgos informticos y establecer polticas, estrategias,
planes y procedimientos para asegurar los activos informticos

Adems el curso permite conocer los estndares de anlisis de riesgos que le
permitan establecer las vulnerabilidades, riesgos y amenazas de acuerdo a los
nuevos avances tecnolgicos y establecer los controles que permitan mitigar las
causas que los ocasionan en una organizacin.

1.4.2 Objetivos

- Identificar las vulnerabilidades, riesgos y amenazas ms frecuentes en entornos
informticos y que pueden afectar el buen funcionamiento de los procesos de
manejo de la informacin

- Conocer los estndares internacionales ms aplicados para procesos de anlisis
de riesgos para procesos de manejo de informacin, de tecnologa e informticos.

- Conocer ms profundamente el estndar COBIT que sirve como base para
realizar procesos de anlisis de riesgos informticos, de tecnologa de informacin
y de sistemas, aplicndolo a casos especficos que permitan definir controles
adecuados para proteccin de activos informticos e informacin.

- Conocer algunos de los procedimientos y objetivos de control para auditoria
informtica y de sistemas, que permitan establecer planes de seguridad.

1.4.3 Metas

El estudiante estar capacitado para:

- Identificar los conceptos de Vulnerabilidad, Riesgo y Amenaza
- Conocer los estndares de anlisis de riesgos usados a nivel internacional.
- Conocer los mtodos de evaluacin de riesgos informticos.
- Identificar los dominios, procesos y objetivos de control COBIT
- Conocer sistema de control informtico y los procedimientos de auditoria que
permitan evidenciarlos.

1.4.4 Competencias

- El estudiante conoce, aprende y comprende los conceptos relacionados con los
riesgos y control interno informtico

- El estudiante conoce los estndares ms importantes que se trabajan para el
anlisis de riesgos

- El estudiante conoce algunos de los procesos y los objetivos de control del
estndar COBIT de la ISACA para realizar auditorias basadas en Riesgos y
Objetivos de Control.

- El estudiante conoce uno de los estndares ms usados para identificar y
evaluar el sistema de control existente como es el estndar CObIT.

- El estudiante reconoce los componentes del estndar CObIT, sus dominios,
procesos y Objetivos de control detallados.

- El estudiante conoce los procedimientos para verificacin de sistema de control
inetrno informtico

- El estudiante conoce las tcnicas para recolectar la informacin sobre el sistema
de control interno informtico.

- Finalmente Se hace un reconocimiento general de las etapas y procedimientos
de las auditorias informticas y de Sistemas

1.5 UNIDADES DIDCTICAS

Unidad Captulo Leccin
RIESGOS
INFORMTICOS
ASPECTOS
GENERALES Y
CONCEPTOS DE
RIESGOS
Conceptos de Vulnerabilidad,
Riesgo y Amenaza
Clasificacin de Riesgos
Anlisis de Riesgos
Administracin de Riesgos
Matrices y Mapas de Riesgo
ESTNDARES DE
ANLISIS DE
RIESGOS Y
CONTROL INTERNO
Generalidades de los
Estndares de Anlisis de
Riesgos
Estndar COSO para Anlisis
de Riesgos
Estndar MAGERIT para
Analisis de Riesgos
Informticos
Estndar COBIT para Analisis
y Evaluacin de Riesgos de
Tecnologa de Informacin
Metodos de Anlisis y

evaluacin de Riesgos
RIESGOS
INFORMTICOS
Riesgos Informticos
Delitos Informticos
Tipos de Delito Informticos
Actores del Delito Informtico
Riesgos Informticos en
Sistemas
CONTROL
INFORMTICO
CONCEPTOS Y
GENERALIDADDES
DE CONTROL
INTERNO
Control Interno
Clasificacin de Controles
Control Interno Informtico
Herramientas de Software
para Control Informtico
Planes de seguridad
informtica
ESTNDAR COBIT Y
OBJETIVOS DE
CONTROL DE TI
Generalidades del Estndar
COBIT
Dominio, Procesos y Objetivos
de Control Planeacin y
Organizacin PO
de Control Adquisicin e
Implementacin AI
de Control Entrega y
Soporte DS
de Control Monitoreo M
PROCEDIMIENTOS
DE AUDITORIA
INFORMTICA Y DE
SISTEMAS
Tcnicas de Auditoria para
Recoleccin de Informacin
Fases de Auditoria Informtica
y de Sistemas
Aspectos de Auditora para un
centro de Cmputo o rea de
Informtica
Procedimientos de Control
para Auditoria al rea de
Informtica
Procedimientos de Control
para Seguridad y Planes de
Contingencia


1.6 CONTEXTO TERICO

Los sistemas de riesgos y control interno informtico estn en proceso de
maduracin, tanto que ya existen estndares, modelos y metodologas para
garantizar que el proceso con el cual se analiza, evala y gestiona la seguridad de
los procesos informticos y sistemas de informacin, cada vez ms, se acerquen a
sistemas de seguridad robustos que protejan el activo ms importante en las
organizaciones, la informacin y los sistemas por los cuales circula.

En el contexto actual, donde los avances en tecnologa de informacin y
comunicaciones (TIC), avanzan a pasos agigantados junto a la tecnologa en
equipos de cmputo y de comunicaciones, se hace necesario que se establezcan
controles apropiados para proteger la informacin, ms an cuando los delitos
informticos en todo el mundo son el pan de cada da

En este sentido, ls polticas, los planes y estrategias de seguridad que adopten
las organizaciones debern proveer de herramientas tiles para asegurar los
activos informticos y sistemas de informacin, que ayuden a mitigar las
vulnerabilidades, riesgos y amenazas presentes en el entorno, buscando penetrar
la seguridad y eludir dichos controles.

Lo importante entonces, es la identificacin de los factores internos y externos
que, de alguna manera, puedan afectar la seguridad de los activos informticos y
sistemas de informacin que se encuentren activos dentro de la organizacin,
teniendo en cuenta que una vez identificados debern ser evaluados para hacer la
medicin del impacto que causara de llegar a presentarse y la probabilidad de
ocurrencia del hecho analizado, simulando escenarios de riesgo que permitan una
evaluacin objetiva de cada uno de los factores analizados.

Una vez analizados los factores de riesgo y valorados, se deber proponer
controles que ayuden a mitigar el impacto y probabilidad de ocurrencia, teniendo
en cuenta que los controles, de alguna manera, deben atacar la causa que origina
el problema y no el problema en si mismo. Adems se deber hacer una
evaluacin de los costos de cada uno de los controles para verificar que los
mismos no superen los costos del activo bajo proteccin.

De all la necesidad que los futuros profesionales en seguridad informtica
conozcan y se apropien de este conocimiento para garantizar la proteccin de los
activos informticos y sistemas de informacin, garantizando su confiabilidad y
continuidad en los servicios que se presta.

Las unidades didcticas han sido concebidas de tal manera que se integre todo el
proceso de anlisis, evaluacin y control informtico, teniendo en cuenta los
estndares ms conocidos que permitan realizar dichos procesos. Dentro del
curso acadmico los aspectos metodolgicos y conceptuales, permiten al
estudiante hacer una cosmovisin de todo lo que involucra el proceso, de lo que

significa la evaluacin de riesgos y sistemas de control interno informtico y su
importancia dentro de la organizacin.

En cada uno de los captulos y lecciones se encadena una serie de conceptos
relacionados entre si, que sirven de gua al estudiante para que pueda llegar a
conocer los procesos, estndares y metodologas para realizar los procesos de
anlisis, evaluacin y administracin de los riesgos informticos.

Los aspectos conceptuales, tratados en cada una de las lecciones, posibilitan
desarrollar en los estudiantes habilidades y capacidades, tanto de anlisis, y
diseo de polticas, planes y estartegias de seguridad que permitan la proteccin
de los activos informticos.

Metodolgicamente el curso se ha diseado y est constituido por un conjunto de
metodologas, estrategias, tcnicas y herramientas que posibilitan el desarrollo del
curso y la apropiacin de los conocimientos propios sobre el tema de riesgos y
controles informticos.

Dentro del curso se ha programado una serie de actividades para que el
estudiante identifique, describa, exprese, distinga, interprete, relacione, compare,
generalice, descubra, examine, resuma, critique, proponga, investigue, justifique y
sustente la informacin aprendida, en la solucin de problemas y estudios de
casos relacionados en su contexto.

Aqu se fomenta competencias de tipo ciudadano y otros tipos de competencias
como la analtica, la cognitiva, la comunicativa, la argumentativa, competencias
que se adquieren mediante cada una de las actividades planteadas en el
desarrollo del curso.

1.7 METODOLOGA

Para dar cumplimiento a las intencionalidades formativas que pretende el curso,
es importante planificar actividades de aprendizaje teniendo, en cuenta las
caractersticas de la metodologa de educacin a distancia, por tal razn, este
proceso comprende las siguientes fases:

Reconocimiento: Experiencias previas de aprendizaje en determinado campo del
conocimiento o en actividades de otro orden, para el caso especfico del curso
brinda conocimientos en el tema de riesgos y control informtico, as como las
experiencias previas permiten dotarlo de mtodos, tcnicas y herramientas que le
faciliten este proceso.

Profundizacin: Se refiere al conjunto de actividades previamente planificadas de
manera didctica, conducentes al dominio de conceptos y competencias de
rdenes diferentes, segn los propsitos, objetivos, competencias y metas de
aprendizaje establecidos en el curso. Para el caso especfico del presente curso el
proceso de anlisis, evaluacin y gestin o administracin de riesgos.

Transferencia: Todo conocimiento, habilidad, destreza o competenci a puede
permitir la transferencia de situaciones conocidas a situaciones desconocidas. Es
decir, las actividades de aprendizaje planeadas en la gua didctica deben agregar
valores de recontextualizacin y productividad al conocimiento que se aprende a
las competencias derivadas. Para este curso, es de vital importancia que los
conocimientos sean aplicados a las organizaciones del contexto donde se pueda
poner a prueba los ejemplos, aplicaciones y casos propuestos para su aplicacin.

Como el tema de riesgos y control es integral, las actividades planteadas seguirn
un proceso de una fase a la siguiente, esto permitir al estudiante seguir un
procedimiento lgico teniendo en cuanta la aplicacin de los estndares que se
utilizan actualmente para realizar el anlisis, evaluacin y gestin de riesgos. Esto
permite al estudiante consolidar las competencias conceptuales y prcticas para
llevar a cabo estos procesos dentro de cualquier tipo de organizacin.

Teniendo en cuenta las fases anteriormente descritas, el trabajo acadmico segn
el sistema de crditos acadmicos comprende:

Estudio Independiente: desarrollado a travs del trabajo personal que es la
fuente bsica del aprendizaje y de la formacin autnoma, e implica
responsabilidades especficas del estudiante con respecto al estudio del curso
acadmico, corresponde a las actividades de identificacin de los propsitos del
curso, sus intencionalidades, del plan analtico, gua didctica, estudio del material
sugerido por la UNAD, consulta de fuentes documentales (bibliografa de
documentos impresos en papel: libros y revistas; bibliografa de documentos
situados en Internet; direcciones de sitios Web de informacin especializada,
bibliotecas y hemerotecas virtuales), desarrollo de actividades programadas en l a
gua de actividades, elaboracin de informes, realizacin de ejercicios de
autoevaluacin, presentacin de evaluaciones.

Adems tambin se plantea el trabajo en pequeos grupos colaborativos de
aprendizaje, que hace parte del estudio independiente y tiene como propsito el
aprendizaje mediante el trabajo en equipo, la socializacin de los resultados del
trabajo personal, desarrollo de actividades en equipo, elaboracin de informes
segn actividades programadas en la gua didctica. La participacin en un
pequeo grupo colaborativo de aprendizaje tiene un carcter obligatorio en el
curso acadmico.

El acompaamiento tutorial, es el apoyo que la institucin y el programa brindan al
estudiante para potenciar el aprendizaje y la formacin. La tutora puede ser
individual, al grupo pequeo, o al curso.

La tutora individual es el acompaamiento que el tutor hace al estudiante con
carcter de asesora al aprendizaje de los contenidos temticos, consejera sobre
pertinencia de mtodos, tcnicas y herramientas para potenciar los procesos de
aprendizaje, interlocucin sobre criterios para la valoracin de los conocimientos

aprendidos, revisin de informes, evaluacin de las actividades, la
retroalimentacin y seguimiento de su proceso formativo.

La tutora a pequeos grupos colaborativos, que es el acompaamiento que el
tutor realiza a las actividades desarrolladas en pequeos grupos, interlocucin
sobre criterios utilizados, revisin de informes, consejera sobre mtodos, tcnicas
y herramientas para potenciar el aprendizaje colaborativo, sugerencia sobre
escenarios productivos de aprendizaje, valoracin de actividades y evaluacin de
informes.

La tutora al curso completo, que es el acompaamiento que el tutor realiza al
conjunto de los estudiantes a su cargo a travs de procesos de socializacin de
las actividades desarrolladas en el trabajo personal y en los pequeos grupos
colaborativos de aprendizaje, valoracin de informes, intercambio de criterios en el
aprendizaje y tratamiento de las temticas. El encuentro en grupo puede ser
presencial, virtual o mixto, segn las posibilidades tecnolgicas incorporadas por
la institucin.

1.8 SISTEMA DE EVALUACIN

El sistema de evaluacin tiene como propsito la comprobacin y verificacin de
los procesos de aprendizaje del estudiante, centrados en la generacin de
competencias para resolver situaciones y actividades en formatos evaluativos
mltiples, tanto de carcter cualitativos como cuantitativos.

Los procesos formativos de la UNAD se centran en el autoaprendizaje con el
propsito de afianzar el pensamiento autnomo del estudiante. En consecuencia,
los procesos de evaluacin del aprendizaje estn correlacionados y articulados y
generarn en el estudiante competencias para la realizacin de procesos de:

Autoevaluacin, la realiza el estudiante de manera individual para valorar su
propio proceso de aprendizaje, a travs de ejercicios, talleres, problemas, estudios
de caso, portafolio individual, lecturas autoreguladas e investigaciones sobre
temas especializados.

Coevaluacin, se realiza a travs de los grupos colaborativos, y pretende la
socializacin de los resultados del trabajo personal a travs de portafolios que
consiste en hacer una coleccin de producciones o trabajos (ensayos, anlisis de
lecturas, reflexiones personales, mapas conceptuales) y permite la reflexin
conjunta sobre los productos incluidos y sobre los aprendizajes logrados.

Heteroevaluacin, Es la valoracin que realiza el tutor y tiene como objetivo
examinar y calificar el desempeo competente del estudiante. El sistema de
evaluacin tendr como referente las diversas fases de aprendizaje:
reconocimiento, profundizacin y transferencia. As mismo, el sistema de
evaluacin tendr en cuenta los diversos momentos del trabajo acadmico que

realizan los agentes del proceso formativo: trabajo personal, trabajo en pequeos
grupos colaborativos, trabajo de socializacin en grupo de curso.

El sistema de evaluacin, del curso ingeniera de software, en cuanto a sus
procedimientos e instrumentos, tiene las siguientes caractersticas:

Interfac
es
de
aprendi
zaje
Situaciones y
actividades
Formatos de
socializacin
Evaluacin
del tutor de
acuerdo a la
Gua
Didctica
Prueba
Nacional
40%
R
E
C
O
N
O
C
I
M
I
E
N
T
O
Trabajo
personal
Sistematizaci
n
personal
La sumatoria
de
los procesos
evaluativos
de
esta interface
corresponde
al
10% del total
de la
calificacin
del
curso
acadmico
Prueba
nacional de
carcter
individual y
obligatoria
que
se sumar
con
los resultados
del 60%
obtenido por
el
estudiante en
el desarrollo
de
actividades
de
las interfaces:
40%
Pequeos
grupos
colaborativos
Anlisis de
sistematizaci
n
y nueva
produccin
Grupo de
curso
Socializacin
de
producciones
y
de
experiencias
P
R
O
F
U
N
D
I
Z
A
C
I

N
Trabajo
personal
Sistematizaci
n
personal
La sumatoria
de
los procesos
evaluativos
de
esta interface
corresponde
al
30% del total
de la
calificacin
del
curso
acadmico
Pequeos
grupos
colaborativos
Anlisis de
sistematizaci
n
y nueva
produccin
Grupo de
curso
Socializacin
de
producciones
y
de
experiencias
T Trabajo Sistematizaci La sumatoria

R
A
N
S
F
E
R
E
N
C
I
A
personal n
personal
de
los procesos
evaluativos
de
esta interface
corresponde
al
20% del total
de la
calificacin
del
curso
acadmico
Pequeos
grupos
colaborativos
Anlisis de
sistematizaci
n
y nueva
produccin
Grupo de
curso
Socializacin
de
producciones
y
de
experiencias

1.9 GLOSARIO DE TRMINOS

Activos informticos
Se entiende por activo informtico todos aquellos activos que de una u otra forma
estn relacionados (almacenamiento y manipulacin) a la informacin en la
empresa.

Amenaza informtica
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin
que puede producir un dao (material o inmaterial) sobre los elementos de un
sistema.

Anlisis de riesgos
Metodologa que sirve para identificar y evaluar probables daos y prdidas a
consecuencia del impacto de una amenaza sobre un sistema

Arquitectura de Informacin
La Arquitectura de Informacin se encarga de efectuar la planificacin estratgica
previa a la creacin de un website.

Ataque informtico
Intento organizado e intencionado propiciado por una o ms personas para causar
dao o problemas a un sistema informtico o red.

Automatizacin
Es el uso de sistemas o elementos computarizados y electromecnicos para
controlar maquinarias y/o procesos industriales sustituyendo a operadores
humanos.

Backup
Copia de Respaldo o Seguridad. Accin de copiar archivos o datos de forma que
estn disponibles en caso de que un fallo produzca la perdida de los originales.
Esta sencilla accin evita numerosos, y a veces irremediables, problemas si se
realiza de forma habitual y peridica.

Base de datos
Conjunto de datos que pertenecen al mismo contexto almacenados
sistemticamente. En una base de datos, la informacin se organiza en campos y
registros. Los datos pueden aparecer en forma de texto, nmeros, grficos, sonido
o vdeo.

Bug
Es un error o un defecto en el software o hardware que hace que un programa
funcione incorrectamente. A menudo los bugs son causados por conflictos del
software cuando las aplicaciones intentan funcionar en tndem

Ciberterrorismo
Es la accin violenta que infunde terror realizada por una o ms personas en
Internet o a travs del uso indebido de tecnologas de comunicaciones.

Ciclo de Vida
El ciclo de vida de software es la descripcin de las distintas formas de desarrollo
de un proyecto informtico.

COSO
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
control.

Cracker
Persona que trata de introducirse a un sistema sin autorizacin y con la intencin
de realizar algn tipo de dao u obtener un beneficio.

Delito informtico
El delito informtico implica cualquier actividad ilegal que encuadra en figuras
tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjucio, estafa y
sabotaje, pero siempre que involucre la informtica de por medio para cometer la
ilegalidad.

DNS
Servidor de Nombres de Dominio. Servidor automatizado utilizado en el internet
cuya tares es convertir nombres fciles de entender (como www.panamacom.com)
a direcciones numricas de IP.

Dominio
Sistema de denominacin de hosts en Internet el cual est formado por un
conjunto de caracteres el cual identifica un sitio de la red accesible por un usuario.

Estndar:
Es la definicin clara de un modelo, criterio, regla de medida o de los requisitos
mnimos aceptables para la operacin de procesos especficos, con el fin asegurar
la calidad en la prestacin de los servicios

Freeware
Programas de Dominio Pblico. Aplicaciones que pueden obtenerse directamente
de Internet con la caracterstica de que no es necesario pagar por su utilizacin.

GUI
Interfaz Grfica de Usuario, componente de una aplicacin informtica que el
usuario visualiza grficamente, y a travs de la cual opera con ella. Est formada
por ventanas, botones, mens e iconos, entre otros elementos.

Gusano
Programa informtico que se autoduplica y autopropaga. En contraste con los
virus, los gusanos suelen estar especialmente escritos para redes. Los gusanos
de redes fueron definidos por primera vez por Shoch & Hupp, de Xerox, en la
revista ACM Communications (Marzo 1982). El primer gusano famoso de Internet
apareci en Noviembre de 1988 y se propag por s solo a ms de 6.000 sistemas
a lo largo de Internet.

Hacker
Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
de forma que puede advertir los errores y fallas de seguridad del mismo. Al igual
que un cracker busca acceder por diversas vas a los sistemas informticos pero
con fines de protagonismo.

Hardware
Maquinaria. Componentes fsicos de una computadora o de una red (a diferencia
de los programas o elementos lgicos que los hacen funcionar).

Integridad
La integridad de datos en general, hace referencia a que todas las caractersticas
de los datos (reglas, definiciones, fechas, etc) deben ser correctos para que los
datos estn completos.

Intercepcin
Cuando una persona, programa o proceso logra el acceso a una parte del sistema
a la que no est autorizada. Por ejemplo la escucha de una lnea de datos, o las
copias de programas o archivos de datos no autorizados. Estas son ms difciles

de detectar ya que en la mayora de los casos no alteran la informacin o el
sistema.

Interface
Se denomina as a la zona de contacto o conexin entre dos elementos de
hardware, lo mismo se ocupa para dos aplicaciones o entre un usuario con una
aplicacin.

Interrupcin
Se trata de la interrupcin mediante el uso de algn mtodo el funcionamiento del
sistema. Por ejemplo: la saturacin de la memoria o el mximo de procesos en el
sistema operativo o la destruccin de algn dispositivo hardware de manera
malintencionada o accidental.

ISP
Internet Service Provider. Proveedor de Servicio Internet. Empresa que provee la
conexin de computadoras a Internet, ya sea por lneas dedicadas broadband o
dial-up.

ISO/IEC 27001
Es un estndar internacional para los sistemas de gestin de la seguridad
informtica, que est estrechamente relacionado al estndar de controles
recomendados de seguridad informtica ISO/IEC 17799.

Magerit
Se trata de la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin (Magerit) elaborada por el Consejo Superior de Administracin
Electrnica en 1997.

Mapa de riesgos
Consiste en una representacin grfica a travs de smbolos de uso general o
adoptados, indicando el nivel de exposicin ya sea bajo, mediano o alto, de
acuerdo a la informacin recopilada en archivos y los resultados de las mediciones
de los factores de riesgos presentes, con el cual se facilita el control y seguimiento
de los mismos, mediante la implantacin de programas de prevencin.

Modificacin
Este tipo de amenaza se trata no slo de acceder a una parte del sistema a la que
no se tiene autorizacin, sino tambin de cambiar su contenido o modo de
funcionamiento. Por ejemplo: el cambiar el contenido de una base de datos, o
cambiar lneas de cdigo en un programa.

Monitoreo
Es una herramienta de gestin y de supervisin para controlar el avance de los
proyectos, programas o planes en ejecucin, el cual proporciona informacin
sistemtica, uniforme y fiable, permitiendo comparar los resultados con lo que se
planific.

Networking
Trmino utilizado para referirse a las redes de telecomunicaciones en general.

Password
Cdigo utilizado para accesar un sistema restringido. Pueden contener caracteres
alfanumricos e incluso algunos otros smbolos. Se destaca que la contrasea no
es visible en la pantalla al momento de ser tecleada con el propsito de que slo
pueda ser conocida por el usuario.

Red
Sistema de comunicacin de datos que conecta entre s sistemas informticos
situados en lugares ms o menos prximos. Puede estar compuesta por diferentes
combinaciones de diversos tipos de redes. En ingls se le conoce como Network.
El internet est compuesto de miles de redes, por lo tanto al internet tambin se le
conoce como "la red".

Red de Acceso
Conjunto de elementos que permiten conectar a cada abonado con la central local
de la que es dependiente.

Riesgo informtico
La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente
en un activo o grupos de activos, generndose as prdidas o daos

Salvaguardas
Medidas que se toman para disminuir un riesgo

Usuario
Persona que tiene una cuenta en una determinada computadora por medio de la
cual puede acceder a los recursos y servicios que ofrece una red. Puede ser tanto
usuario de correo electrnico como de acceso al servidor en modo terminal. Un
usuario que reside en una determinada computadora tiene una direccin nica de
correo electrnico.

Virtual
Trmino de frecuente utilizacin en el mundo de las tecnologas de la informacin
y de las comunicaciones el cual designa dispositivos o funciones simulados.

Virus
Programa que se duplica a s mismo en un sistema informtico incorporndose a
otros programas que son utilizados por varios sistemas.

Vulnerabilidad
Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la
confidencialidad, integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.

1.10 FUENTES DOCUMENTALES

Bibliografa de referencia:

COOK J.W., WINKLE G.M. Auditoria. Editorial Interamericana 1987, 615 p.

DUEAS GMEZ, Luis ngel, Controles y auditoria de sistemas de informacin.
Mxico. Alfaomega. 2008, 692 p.

ECHENIQUE, Jos Antonio. Auditora en Informtica. Mxico DC. Editorial Mc
Graw Hll. 2001, 158 p.

FINE, Leonard H. Seguridad en centros de cmputo. Editorial Trillas. 1990, 201 p.

Gua Internacional de Auditora No. 16 Auditoria en un ambiente de procesamiento
electrn co de datos (PED) prrafo No. 23.

HERNANDEZ, HERNANDEZ, Enrique. Auditora en informtica. Editorial CECSA.
2000, 322 p.

I Simposio Internacional y VI Colombiano de controles, seguridad y auditoria de
sistemas. ACC, S.

PINILLA FORERO, Jos Dagoberto. Auditoria Informtica. Un enfoque
operacional. Editorial Ecoe 1992, 252 p.

PIATTINI, MARIO G. Auditoria informtica. Un enfoque practico, Mxico,
Alfamega-RAM-MA,2001, 660 p.

ROJAS, Eurpides. Funciones de la Auditora de Sistemas. Marzo de 1989.

RESTREPO A. Jorge A. GUA PARA LA CLASE DE AUDITORIA DE SISTEMAS
(en lnea). (Consultada el 10 de Agosto del 2011) disponible en la direccin
electrnica: http://jorgearestrepog.comunidadcoomeva.com/blog/index.php.

TAMAYO ALZATE, Alonso, Sistemas de Informacin. Editorial Universidad
Nacional 1998,

Direcciones Electronicas (webgrafa)

http://www.pressman5.com
http://www.wiley.com/college/braude
http://www.comp.lancs.ac.uk/computing/resources/IanS/SE6/PDF/SEGlossary.pdf

http://www.itver.edu.mx/comunidad/material/ing-software/unidad5.ppt
http://www.angelfire.com/scifi/jzavalar/apuntes/IngSoftware.html
http://www.sistemas.unam.mx/software.html
http://pwp.etb.net.co/acancelado2/alberto.htm
http://issaperu.org/?p=88
http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html
http://tdx.cat/bitstream/handle/10803/6219/04Capitulo2.PDF?sequence=4
http://desastres.usac.edu.gt/documentos/pdf/spa/doc1057/doc1057-contenido.pdf
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_
General&langPae=es&iniciativa=184
http://www.eset-la.com/threat-center/1732-informe-malware-america-latina
http://images.globalknowledge.com

2 GUA DE ACTIVIDADES

FASE DE RECONOCIMIENTO DEL CURSO

Esta fase debe estar disponible por un periodo mximo de xx semanas a partir de
la fecha que se inicie el proceso acadmico, est compuesta por dos fases:

Revisin de presaberes: Esta actividad permite identificar los conocimientos
previos del estudiante; por lo cual el tutor debe disear una evaluacin para que a
travs de su desarrollo por parte del estudiante se evidencie los conocimientos
previos que este trae cuando asume el curso acadmico.

Esta evaluacin tendr una ponderacin del 4% de la puntuacin total del curso,
equivalente a 20 puntos. El diseo de la prueba debe permitir la identificacin y
evaluacin de las competencias.

Reconocimiento del curso: En el siguiente paso del reconocimiento del curso, el
estudiante debe:

GUIA DE ACTIVIDADES

Establece las condiciones y requerimientos, donde se proponen las acciones y
estratgicas que conllevan al desarrollo de la activacin cognitiva, estas estn
diseadas para que el estudiante a partir de una fase de reconocimiento o
adquisicin de saberes previos, logre profundizar y afianzar su conocimiento para
ser trasferido, por los mecanismos propuestos para tal fin.


Esta gua pretende dar a conocer generalidades de las unidades didcticas a
desarrollar, se espera tener la colaboracin del tutor para lograr aplicar las
competencias propias del sistema de educacin a distancia, adems se pretende
iniciar en la cultura de la utilizacin de las Tecnologas de informacin y
comunicacin Tics, como mecanismo meditico de principal utilizacin.

Adems y de manera especial se espera de las personas que estn involucradas
en este proceso (tutores y alumnos), retroalimenten permanentemente este primer
intento de construccin, con el fin de estandarizar guas y mdulos que cumplan
con todos los criterios propios y apropiados para el desarrollo del aprendizaje
autnomo.


ANEXO

GRUPO COLABORATIVO

El aprendizaje en grupo colaborativo no es una tcnica nueva, se trata de una
tcnica de la cual no hemos aprovechado toda su potencialidad educativa, el
alumno individualmente considerado gana bastante con el aprendizaje
cooperativo, por cuanto este se orienta predominantemente al desarrollo de
individuos independientes, responsables y productivos, a travs de los grupos
colaborativos los alumnos :

1. Escuchan a sus compaeros cuando intercambian informacin.
2. Analizan otros puntos de vista.
3. intercambian informacin.
4. Se organizan para la realizacin de las actividades propuestas.
5. Realizan los informes.
6. Cooperan con los otros miembros del grupo.
7. Aprenden a trabajar con miras a un fin comn.

Algunos resultados positivos del trabajo colaborativo

1. Progreso acadmico, en especial en los alumnos de bajo rendimiento.
2. Mejoran relaciones interpersonales.
3. Mejor nivel de autoestima. Entre otros.

Caractersticas de un grupo colaborativo.

1. Grupo heterogneo (ambos sexos, dif erentes habilidades).
2. Est formado por un nmero impar de integrantes (dado que los alumnos
tendrn que integrarse como grupo en lugar de formar parejas).
3. Todos los miembros tienen trabajos y responsabilidades.
4. Los grupos deben conservar los mismos integrantes por lo menos a lo largo de
una unidad acadmica.
5. Cada miembro es responsable tanto de las tareas individuales como las del
grupo.
6. A los grupos se les dar instrucciones especficas para el desarrollo de sus
actividades.

Logotipo: Cada grupo seleccionar un nombre y un logotipo que simbolice su
caracterstica ms sobresaliente. Cada grupo compartir con los otros grupos su
logotipo y su significado (a travs de las tics).

Papeles que suelen asignarse a los miembros del grupo:

1. Relator: Responsable de disear el informe que someter a consideracin del
tutor.

2. Moderador: Responsable de establecer la estrategia para pensar
creativamente en el grupo, velar por el cumplimiento de la tarea y recomendar
acciones necearas.
3. Observador: ilustra a los miembros del grupo sobre los desempeos que sern
observados, velar por los roles y tiempos.


ANEXO

ESTUDIO INDEPENDIENTE

Segn la metodologa a distancia y el sistema de crditos acadmicos, comprende
el Estudio independiente y el Acompaamiento tutorial.

Estudio independiente

Es el fundamento de la formacin y del aprendizaje. Se desarrolla a travs del
Trabajo personal y del trabajo en pequeos grupos colaborativos de Aprendizaje.
Por cada crdito acadmico el estudiante debe dedicar en promedio 36 horas al
trabajo acadmico en estudio independiente.

Trabajo personal

Es la fuente bsica del aprendizaje y de la formacin e implica Responsabilidades
especficas del estudiante con respecto al estudio en cada curso acadmico del
plan analtico, gua didctica, mdulo, lecturas complementarias, consultas en
biblioteca, consultas de sitios especializados a travs de internet, desarrollo de
actividades programadas en la gua didctica, elaboracin de informes, realizacin
de ejercicios de autoevaluacin, presentacin de evaluaciones.

Se presenta una gua que permite reflexionar sobre la tarea

Nombre:
Grupo: _______________ Semana(1 . . 18)____________
Curso Acadmico: __________________________________________
Fecha: ________________

1. Puntos de de referencia para reflexionar

a. Claridad en la concepcin de la actividad propuesta (lo que estoy asiendo
es lo que piden las instrucciones?)
b. Duracin: El tiempo empleado es el adecuado? Si / no. Dnde me exced,
con qu rapidez deb hacerla?.
c. Tena claridad en los conocimientos y habilidades necesarios para llevar a
cabo la tarea?
d. Conoca los mtodos requeridos para realizar el trabajo?, comprenda las
reglas del juego pertinentes?
e. Visualic la complejidad de la tarea?, Cules eran los puntos difciles?
f. Prev los recursos necesarios para el desarrollo de la actividad?
g. Tuve claro la exactitud y precisin con que deba realizar la tarea?
h. Prepar un plan de la tarea con el fin de distribuir el trabajo en el tiempo y
ejercer el control?


2. Complete los siguientes ncleos de conclusiones de acuerdo a sus
reflexiones

a. La tarea fue significativa para m porque: ______________________________
_________________________________________________________________
b. La tarea demuestra mi comprensin sobre: _____________________________
_________________________________________________________________
c. Estoy muy orgulloso de esta tarea porque: _____________________________
_________________________________________________________________
d. No estoy satisfecho con esta tarea porque: _____________________________
_________________________________________________________________
e. Algo que yo quiero que los dems vean en esta tarea es:
_________________________________________________________________
f. Una cuestin que quiero profundizar como resultado de esta tarea
es: ______________________________________________________________
g. Esta tarea muestra mi progreso hacia el logro de mi meta porque:
_________________________________________________________________
h. Esta tarea demuestra un desafo porque: ______________________


ANEXO

PORTAFOLIO

La institucin ha puesto en funcionamiento una herramienta para facilitar la
objetivacin de los procesos de aprendizaje y la valoracin de sus resultados.

Se trata del Portafolio Personal de Desempeo, PPD. Es de obligatoria
constitucin por parte del estudiante y de obligatoria consulta por parte del tutor.
En el diseo de las situaciones y actividades debern explicitarse cules
resultados de las mismas son de carcter individual y se conservarn en el PPD,
cules se producirn en el grupo colaborativo de aprendizaje y se insertarn en el
PPD y cules resultados de los procesos de socializacin harn parte del mismo.


ANEXO

COMPARAR Y CONTRASTAR

Consiste en examinar los objetos con la finalidad de reconocer los atributos que
los hacen tanto semejantes como diferentes. Contrastar es oponer entre si los
objetos o compralos haciendo hincapi en sus diferencias. o Determine las
caractersticas intrnsecas o criterios externos alrededor de los cuales los dos o
ms elementos se van a compara de acuerdo con el pensamiento del auto o de
acuerdo con su pensamiento, si discrepa del pensamiento del autor o En una
matriz de tres o ms columnas, presente los resultados de la evaluacin de cada
elemento o conjunto de cada elemento o conjunto de elementos de acuerdo con
los criterios o caractersticas y determine en qu son semejantes y en qu son
diferentes los elementos.

CARACTERISTICAS ELEMENTO A ELEMENTO B

1 Si la posee (+) No la posee (+)

2

3

CONCLUSION

Existen otras formas de presentar los resultados de la comparacin y contraste.
Consltelas y ensyelas.


ANEXO

PRESENTACION DE PROYECTO

El problema

Su aspecto terico como mnimo debe contener:

Ttulo del proyecto

El ttulo de la investigacin a realizar, debe ser claro, preciso y completo. Est
destinado a indicar dnde, qu, cmo y cundo, en forma clara y sucinta indica el
lugar a que se refieren los datos, el fenmeno que se presenta, l as variables que
se interrelacionan, y la fecha a que se refiere la informacin.

Formulacin del problema

Qu entendemos por formular un problema? Partamos del siguiente criterio:
formular un problema es caracterizarlo, definirlo, enmarcarlo tericament e, sugerir
propuestas de solucin para ser demostradas, establecer unas fuentes de
informacin y unos mtodos para recoger y procesar dicha informacin. La
caracterizacin o definicin del problema nos conduce a otorgarle un ttulo, en el
cual, de la manera ms clara y denotativa indiquemos los elementos que le son
esenciales.

La formulacin del problema, es la estructuracin de toda la investigacin, de tal
forma que uno de sus componentes resulte parte de un todo y que ese todo forme
un cuerpo que tenga lgica de investigacin. Se debe por lo tanto, sintetizar la
cuestin proyectada para investigar, generalmente a travs de un interrogante.

Objetivos

Presupone el logro esperado para las respuestas expresadas en la hiptesis. Es el
propsito de la investigacin. Responde a la pregunta: para qu?, qu se busca
con la investigacin?. Un objetivo debe redactarse con verbos en infinitivo que se
puedan evaluar, verificar, refutar en un momento dado.
Existen seis categoras: Memoria, comprensin, aplicacin, anlisis, sntesis y
evaluacin. Es pertinente redactar uno de cada categora pero siempre
relacionado con lo que se busca demostrar en la investigacin.

Justificacin

Una vez que se ha seleccionado el tema de investigacin, definido por el
planteamiento del problema y establecidos los objetivos, se debe indicar las
motivaciones que llevan al investigador a desarrollar el proyecto. Para ello se debe
responder a la pregunta de: por qu se investiga?


Limitaciones

Es pertinente dar al problema una formulacin lgica, adecuada, precisar sus
lmites, su alcance, para ello es necesario tener en cuenta los siguientes factores
como: viabilidad tcnica, financiera, de lugar...

Marco de referencia

Es importante sealar en el proyecto la estrecha relacin entre teora, el proceso
de investigacin y la realidad, el entorno. La investigacin puede iniciar una teora
nueva, reformar una existente o simplemente definir con ms claridad, conceptos
o variables ya existentes.

Elaboracin de hiptesis

Es una proposicin de carcter afirmativo enunciada para responder
tentativamente a un problema. Se plantea con el fin de explicar hechos o
fenmenos que caracterizan o identifican al objeto de conocimiento.

Aspectos administrativos

En sta seccin se debe ubicar los aspectos administrativos del proyecto, sta
etapa tiene una mayor importancia para aquellos proyectos que se presentan para
obtener financiacin, total o parcial.

Recursos humanos

Relacionar las personas que participarn: asesores, equipo de recoleccin de
datos, etc., especificando la calificacin profesional y su funcin en la
investigacin.

Presupuesto.

Se debe presentar un cuadro con los costos del proyecto indicando las diferentes
fuentes, si existen, y discriminando la cuanta de cada sector en la investigacin.
Presentar un cronograma financiero que cubra todo el desarrollo del proyecto.
Cronograma dado en semanas o das.

Es un plan de trabajo o un plan de actividades, que muestra la duracin del
proceso investigativo. El tipo de Cronograma recomendado para presentar el plan
de actividades que orienten un trabajo de investigacin es el de GANTT.

Las actividades aqu indicadas no son definitivas. La especificacin de las
actividades depende del tipo de estudio que se desea realizar.


Tcnicamente

Anlisis del problema planteado
Desarrollo de diagramas y/o algoritmos
Descripcin de procesos de entrada y/o salida
Pruebas de escritorio
Codificacin
Documentacin
FORMATO DE ENTREGA
Documento con proyecto
CD con el aplicativo

PROYECTO FINAL

Es una evaluacin es diseada y elaborada en cada escuela por el director
adicional del curso y se elabora colectivamente entre los profesionales que
conforman la red del curso en las diferentes zonas, y se aplica a nivel nacional en
forma presencial. La cual se aplica acorde con la agenda de actividades. El Peso
evaluativo de esta prueba es de 40% del total de curso. 200 puntos/500 totales.

Guia Didactica de Riesgos y Control Informatico - 2013 - II

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guia Didactica de Riesgos y Control Informatico - 2013 - II

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI

You might also like