Diego Eduardo Herrera García

18001359

Seguridad Informática v1

U2. Auditoria Informática

EA5. Vulnerabilidades detectadas en la

organización

Miguel Cruz Pineda

24/Marzo/2022

EA5. Vulnerabilidades detectadas en la organización

Introducción
En esta actividad trataremos sobre lo aprendido en la unidad con respecto al tema de las
auditorias informáticas, empezando ¿Qué es una auditoria? Se trata de un protocolo de
verificación y/o validación del cumplimiento de actividades de acuerdo al propósito o
directrices estipuladas.
¿Qué es una auditoria informática? Consiste en una modalidad de la auditoria que
investiga y evalúa todo lo que concierne a los recursos de la informática y tecnología de
una organización, compartiendo la misma función de la auditoria en general, solo que en
ésta ocasión reside en las valoraciones de los sistemas informáticos y al mismo tiempo
mide que su empleo sea eficiente.
Ya con lo sabido sobre que es una auditoría, vamos a emplearla para analizar el caso de
la universidad del bajío con el propósito de detectar sus vulnerabilidades en todos sus
frentes.

© UVEG. Derechos reservados. El contenido de este formato no puede ser distribuido, ni transmitido, parcial o totalmente, mediante cualquier medio,
método o sistema impreso, electrónico, magnético, incluyendo el fotocopiado, la fotografía, la grabación o un sistema de recuperación de la
información, sin la autorización por escrito de la Universidad Virtual del Estado de Guanajuato, debido a que se trata de información confidencial que
sólo puede ser trabajado por personal autorizado para tal fin.
 Caso en cuestión

La universidad privada Superior del Bajío es una de las de más alto prestigio a nivel
estatal por sus excelentes planes de estudio. El nuevo jefe de personal se ha dado a la
tarea de analizar los procesos llevados a cabo en el departamento, pues últimamente han
existido problemas y detalles que han puesto en riesgo la seguridad de la información que
manejan, como la falta de congruencia e integridad en la bases de datos, pérdida de
expedientes, repetición de información, infecciones por virus, etc.

Una de las estrategias que van a implementarse para verificar la eficiencia y eficacia de
los procesos será la auditoría, para lo cual, se pretende analizar la situación del
departamento e identificar sus vulnerabilidades en la seguridad informática. A
continuación se da a conocer la información recolectada sobre los procesos y actividades
que se llevan a cabo dentro del departamento:

 El departamento cuenta con un sistema de información que tiene varios módulos que
apoyan a cada una de las áreas: nómina, contratos, entrevistas, etc.

 Todo el personal del departamento tiene acceso a todos los módulos, es decir, el área de
contratos puede manejar, si lo desea, el módulo de nóminas.

 El acceso al sistema se realiza mediante una única cuenta y contraseña que todo el
personal conoce.

 Se realizan respaldos de información cada semestre, aun cuando cada mes cambia el
personal de la universidad.

 Cada uno de los equipos de cómputo cuenta con un antivirus que es actualizado de forma
irregular.

 Cada computadora tiene cuenta de usuario, la cual es igual al nombre del usuario, pero
con mayúsculas.

 Las contraseñas para acceder a la computadora están generadas con ciertas

características, por ejemplo: si es del doctor la contraseña comienza con DR y si es de la
secretaria comienza con SC y luego le sigue un número que corresponde a un
consecutivo que se generó con todas las personas del quinto piso, como resultado se
tienen contraseñas como DR01, DR02, SC01, etc.

 Las credenciales de acceso son conocidas por todos.

 Todas las computadoras tienen acceso a internet sin ningún tipo de restricción, por lo que
el personal puede utilizar el correo para fines personales, descargar archivos, música,
películas, etc.

 Varios equipos de cómputo se han dañado muchas veces por goteras en el edificio,
interrupciones súbitas de energía o calentamiento de los mismos.

© UVEG. Derechos reservados. El contenido de este formato no puede ser distribuido, ni transmitido, parcial o totalmente, mediante cualquier medio,
método o sistema impreso, electrónico, magnético, incluyendo el fotocopiado, la fotografía, la grabación o un sistema de recuperación de la
información, sin la autorización por escrito de la Universidad Virtual del Estado de Guanajuato, debido a que se trata de información confidencial que
sólo puede ser trabajado por personal autorizado para tal fin.
 Desarrollo

1. Se han detectado fallas en el equipo más que nada por fallas

eléctricas como variedades de voltaje, causando problemas
constantes en las fuentes de poder causando sus propias
averías, conllevando a bajones de energía o
sobrecalentamiento del equipo, sumado a las malas
Vulnerabilidades condiciones del área de trabajo donde se encuentran ubicados
relacionadas los equipos explicando las goteras más que las fuentes de
con la seguridad poder están expuestas al calor del exterior.
física 2. Fallas de red detectadas a causa de cables expuestos a la
intemperie, la causa es debido a que se encuentran encima de
superficies de plafón sumado a que también existen agujeros y
fisuras más cables mordidos, concluyendo que existe una plaga
de roedores justificando así las filtraciones de agua y sol en
áreas donde están los equipos ubicados y el cableado de red.

1. Se han detectado problemas en la red sin ningún tipo de

restricción, esto causa saturación en la red y la vulnerabilidad
de ataques cibernéticos, en palabras más sencillas, la escuela
Vulnerabilidades tiene las puertas abiertas a piratas para poder robar datos
relacionadas confidenciales o simplemente contaminar los equipos de virus.
con la 2. Se detectó que los usuarios de la universidad utilizan el internet
navegación a con malas prácticas, utilizándolo con el propósito para
internet descargar archivos multimedia y acceder a sitios no deseados,
esto provoca vulnerabilidad dejando la puerta abierta a
infecciones en los equipos de cómputo y a filtraciones en la red
de usuarios no autorizados.

1. Los antivirus son muy importantes en los equipos de cómputo

asegurando la detección y eliminación de virus, se detectó que
el antivirus que se tiene actualmente en los equipos tiene un
Vulnerabilidades desfase donde no se está actualizando en tiempo y forma
relacionadas dando vulnerabilidad respecto a los posibles ataques.
con las copias 2. Descubrimos que se hacen respaldos de información cada 6
de seguridad y meses, lo cual esto es una vulnerabilidad ya que la información
actualización de no está al día, esto puede ocasionar que en estos 6 meses se
software recopila mucha información y se llegara a perder sería una
catástrofe pues se podrían perder archivos de titulación o
bouchers de pago ocasionando molestias en los alumnos y
maestros.

© UVEG. Derechos reservados. El contenido de este formato no puede ser distribuido, ni transmitido, parcial o totalmente, mediante cualquier medio,
método o sistema impreso, electrónico, magnético, incluyendo el fotocopiado, la fotografía, la grabación o un sistema de recuperación de la
información, sin la autorización por escrito de la Universidad Virtual del Estado de Guanajuato, debido a que se trata de información confidencial que
sólo puede ser trabajado por personal autorizado para tal fin.
 1. Se detecta que dentro de la red al compartir recursos,
información o dispositivos es de gran importancia tener una
garantía de que exista un buen manejo, para eso tenemos que
coordinar que los usuarios tenga los permisos necesarios para
que pueda ocupar la red adecuadamente. En la universidad se
detecta una vulnerabilidad ya que todos conocemos las
credenciales y debido a esto todos pueden elegir el recurso que
deseen sin limitaciones esto puede tener un resultado no
esperado y afectar seriamente los medios de la universidad.

Vulnerabilidades 2. Las computadoras dependiendo del personal de la universidad

relacionadas cuenta con una contraseña, pero la institución no está segura
con el acceso a ya que se detecta una vulnerabilidad al saber que hay un orden
los datos, dependiendo del puesto en el que está cada uno siendo lógica
contraseñas, la contraseñas, esto puede ser demasiado fácil el entrar con un
permisos y usuario que no es el personal.
privilegios 3. Se detecta que el acceso a los datos es libre, los datos de una
universidad son fundamentales dentro del funcionamiento, por
un lado cuando se trata de información confidencial y por otra
parte esta puede ser alterada y con esto puede llegar a tener
severos problemas a terceros o a los mismos lineamientos de la
universidad.

4. Hemos detectado la vulnerabilidad de acceso libre a todos los

módulos por parte de todos los que trabajan en el departamento
que como en el punto anterior puede generar información
duplicada y modificaciones no autorizadas.

Conclusión

Con lo visto durante en el desarrollo, se analizaron la vulnerabilidades de la universidad,

que es el primer paso para la solución del problema, el análisis de procedimientos es
importante, así podemos encontrar las vulnerabilidades, ya que se tiene que hacer la
auditoria a fondo sin dejar ningún punto sin revisar, ya que si se llegara a omitir un
ejemplo sobre las vulnerabilidades físicas del trabajo, tendríamos fallas en el hardware y
la red de la universidad, siempre tenemos que revisar a fondo, con este análisis de riesgo
proveen información por causa de las debilidades y vulnerabilidades que posee la
organización a auditar, siendo este el punto principal para ayudar y mejorar las áreas TI
de la empresa u organización.

© UVEG. Derechos reservados. El contenido de este formato no puede ser distribuido, ni transmitido, parcial o totalmente, mediante cualquier medio,
método o sistema impreso, electrónico, magnético, incluyendo el fotocopiado, la fotografía, la grabación o un sistema de recuperación de la
información, sin la autorización por escrito de la Universidad Virtual del Estado de Guanajuato, debido a que se trata de información confidencial que
sólo puede ser trabajado por personal autorizado para tal fin.
 Referencias

Galán, J. S. (2021, 2 febrero). Auditoría informática. Economipedia. Recuperado 24 de

marzo de 2022, de https://economipedia.com/definiciones/auditoria-

informatica.html

Santander, B. (s. f.). Vulnerabilidad. Banco Santander. Recuperado 24 de marzo de 2022,

de https://www.bancosantander.es/glosario/vulnerabilidad-informatica

Iniciar Sesión. (s. f.). Auditoría. Recuperado 25 de marzo de 2022, de

https://elibro.net/es/lc/bibliotecauveg/login_usuario/?next=/es/ereader/

bibliotecauveg/28953

© UVEG. Derechos reservados. El contenido de este formato no puede ser distribuido, ni transmitido, parcial o totalmente, mediante cualquier medio,
método o sistema impreso, electrónico, magnético, incluyendo el fotocopiado, la fotografía, la grabación o un sistema de recuperación de la
información, sin la autorización por escrito de la Universidad Virtual del Estado de Guanajuato, debido a que se trata de información confidencial que
sólo puede ser trabajado por personal autorizado para tal fin.