Asignatura:

Sistemas de la Información Gerencial

Título del Trabajo

Actividad 5: Análisis de los riesgos y las amenazas en los sistemas
informáticos.

Presenta
Angie Julieth Buitrago ID 882735
Claudia Patricia Bejarano Rosas ID 890530
Angie Lorena Beltrán Rubio ID 869097
Miguel Mateo Rojas Rocha ID 862114

NRC 40-54650

Docente
Yuli Yohanna López Rincón

CORPORACION UNIVERSITARIA MINUTO DE DIOS

Colombia_ Ciudad Bogotá D.C.
Abril 2023
 INTRODUCCION

Los sistemas de información han cambiado la forma en que operan las

organizaciones actuales, las organizaciones han sido consideradas en sí
mismas sistemas de información y la información se ha posicionado como un
elemento primordial dentro de los recursos que posee una empresa a través
del uso de los sistemas de información se logran importantes mejoras en la
gestión empresarial, pues automatizan los procesos operativos suministrando
plataformas de información necesaria para la toma de decisiones y los más
importante su utilización nos encamina a las ventajas competitivas. Estos
cuatro sistemas de información de los cuales hablaremos en la realización de
este trabajo como son ERP, CRM, BSC y SGD, son utilizados para el
desarrollo de empresas de mercadeo, ventas y finanzas con el fin de lograr un
desarrollo laboral.

 ¿Cómo los sistemas de información contable se pueden fusionar para

alcanzar los objetivos de una organización?

La información contable es el corazón de la empresa por que por medio de esta

podemos identificar fortalezas, falencias, movimientos, ganancias o pérdidas,
entre otros. Al estar esta información ya incorporada en un software, lo
podemos complementar con la adición de otros módulos que le sean también
útil y ejerzan control sobre otras áreas de la empresa.

 ¿Por qué son importantes los principios de seguridad informática al

implementar sistemas en la organización?

Porque la información de una empresa es quizá uno de los componentes más

importantes de la organización, allí reposa información confidencial y relevante
para el buen funcionamiento de la misma, por tal motivo su seguridad debe ser
manejada con total responsabilidad, confidencialidad y demás aspectos
importantes para evitar sufrir ataques cibernéticos y mitigar riesgos a los que se
está expuesto.

Empresas seleccionadas:

-Totto
- Coca Cola
-Bimbo
-Postobon.
ACTUAR:

1. Describan como se aplican los principios de confidencialidad,

integridad, disponibilidad, autenticación y no repudio en las
aplicaciones informáticas en cuestión.

CONFIDENCIALIDAD

En informática la conocemos como el principio fundamental de la seguridad

de la información, la cual garantiza el necesario nivel de secreto de la
información y de su tratamiento para prevenir su divulgación no autorizada
cuando esta almacenada o en tránsito, para esto es necesario acceder a la
información mediante autorización y control haciendo referencia a la
necesidad de ocultar o mantener secreto sobre determinada información o
recursos. Por otra parte, es necesario determinar las empresas que a
menudo desarrollan diseños que deben proteger a sus competidores en
principio de información que se materializa en el aviso de privacidad tiene
como objetivo dar a conocer al titular las generalidades del tratamiento al
que serán sometidos sus datos personales.

LA INTEGRIDAD

Es uno de los principios de la seguridad informática con una aplicación que

permite mantener la información inalterada frente a incidentes o intentos
internos y externos de índole maliciosa, el objetivo principal de la integridad
informática es evitar modificaciones no autorizadas a nuestra información,
de esta manera podemos estar seguros de que esta es correcta y valida sin
haber sido manipulada de forma malintencionada por terceros existiendo
 diferentes medidas que se pueden ejecutar en la organizaciones para
garantizar la integridad informática en nuestra empresa.

Detalles:

 Restringe el acceso de los empleados a los datos, otorgándoles

permisos solo a la información estrictamente necesaria para
desempeñar su función y para ello se pueden cambiar los permisos
para limitar la modificación de estos, esto siempre o bueno en
algunas empresas lo manejan con los sistemas contables que quien
maneja esa clase de permisos siempre es el contador.
 Utilice contraseñas para prevenir que personas no autorizadas
puedan realizar el almacenamiento de contraseñas en los equipos,
de esta manera evitaremos el ingreso de usuarios a información
confidencial.
 Realizar copias de seguridad de los datos e información de forma
periódica cada fin de semana.
 Efectué auditorías a los datos de forma periódica para asegurar que
la información este actualizada.
 Monitoree el ingreso, alteración o eliminación de datos a través de
registros así de esta manera podrá conocer que usuario ha realizado
algún cambio o consulta.

LA DISPONIBILIDAD

Centrándonos en la seguridad informática y de la información, la disponibilidad

informática es la característica o capacidad de asegurar la fiabilidad y el acceso
oportuno a los datos y recursos que los soportan por parte de los individuos
autorizados es decir que lo necesitan para desenvolver sus actividades, para
esto se necesitarían de los siguientes dispositivos de red tales como los
Routers, switches, etc. Los equipos de TI, tales como lo son los servidores,
cabinas de discos etc. Y las aplicaciones deben de proveer la funcionalidad
adecuada de manera predecible y eficiente cuando es requerida.

Además estos deben recuperarse de interrupciones de una manera segura y

rápida para la productividad no se vea afectada y para ello las organizaciones
definen e implementan estrategias de continuidad y disponibilidad de los datos
que aseguran que la información y consecuentemente los sistemas que la
soportan estarán disponibles cuando sea necesario.

Ejemplos de aseguramiento de disponibilidad

 Copias de seguridad (Backus)

 Balanceo de carga entre maquinas / sistemas.
 Implementaciones de sistemas RAID de discos.
 Configuración de conmutación por error de unos sistemas a otros.
 Cubicación de las instalaciones internas y externas.

LA AUTENTICACION

Los datos de autenticación se utilizan para verificar la identidad de un usuario,

esto se hace mediante el uso de un nombre de usuario y una contraseña que
cuando se ingresan las credenciales se comparan con los datos almacenados
en la base de datos. Tales como

 Que solo las personas autorizadas podrán acceder a ciertos recursos

como lo son; programas, bases de datos y equipos.
 Documentar los procedimientos de acceso a las diferentes aplicaciones
que tratan datos personales.
 Controlar los accesos desde diferentes vertientes como la red,
aplicaciones y sistemas.

2. Establezcan los riesgos en el uso de los sistemas de información

(buen o mal uso, virus, entre otros) a los que podrían estar sujetas
las organizaciones.

Hay distintas razones por las que estos riesgos pueden terminar en problemas
para una empresa, pero las más comunes son las siguientes:

 Errores humanos principalmente por parte del personal en especial

cuando no está lo suficientemente calificado, estos errores pueden
producirse por programación deficiente o por una administración
incorrecta.
 Amenazas e intrusiones a nivel de software, los ciberataques, la
intrusión no autorizada de terceros a los sistemas informáticos de la
 empresa o la acción de programas maliciosos pueden ocasionar daños
irreparables.
 Accidentes, desastres y robos a nivel de hardware con destrucción
accidental con información importante hasta hurtos y desastres
naturales.

Todos estos casos ocasionan problemas a nivel de producción y de

optimización afectando a la eficiencia de toda la organización.

3. Determinen las amenazas respecto a la violación de información,

vulnerabilidad o engaño en los sistemas informáticos.

R/ Son muchas las vulnerabilidades y amenazas informáticas a las que

están expuestas las empresas en la actualidad. Por eso la inversión en
ciberseguridad y sistema de protección ha experimentado un gran
aumento en los últimos años, siendo los profesionales en ciberseguridad
uno de los perfiles más buscados en el sector de la informática.

Los ataques DDoS son muy habituales contra servidores o servidores

web de
empresas, por lo que es muy importante disponer de medidas protectoras
contra
Esta peligrosa amenaza que puede dejar fuera de servicio la actividad de una
empresa.
Los ataques DDos son muy habituales contra servidores o servidores
web de empresas, por lo que es muy importante disponer de empresas,
por lo que es muy importante disponer de medidas protectoras contra
esta peligrosa amenaza que puede dejar fuera de servicio la actividad de
una empresa.

Vulnerabilidades producidas por contraseñas.

Con el teletrabajo y el cloud computing la gestión de contraseña se ha

convertido en uno de los puntos más importantes en ciberseguridad.
Para acceder a las plataformas de trabajo de las empresas es necesario
 utilizar un usuario y una contraseña. Utilizar contraseñas poco seguras
genera vulnerabilidades en los sistemas, pues si son fácilmente
descifrables, puedan generar incursiones de terceros no autorizados que
pueden robar, modificar, o eliminar información, cambiar configuraciones
si disponen de los privilegios apropiados, o incluso apagar equipos.

La generación de contraseñas seguras es una de las claves para

incrementar el nivel de ciberseguridad de las empresas.

Vulnerabilidades producidas por usuarios:

Una de las principales causas de los ataques informáticos está

relacionada con un uso incorrecto o negligente por parte de un usuario.
Una mala asignación de privilegios o permisos puede hacer que un
usuario tenga acceso a opciones de administración o configuración para
las que no está preparado, cometiendo errores que suponen una
amenaza para la empresa.

El error humano es otra causa de riesgos en ciberseguridad. El usuario

siempre tiene el riesgo de cometer un error que puede generar una
vulnerabilidad que suponga una amenaza informática. Por eso en
ciberseguridad se tiene a automatizar procesos críticos para minimizar o
eliminar el factor del riesgo del error humano.

Las malas prácticas o la falta de información en ciberseguridad también

generan vulnerabilidades como la apertura de ficheros de dudosa
procedencia, engaños por publicidad falsa, apertura de correos
fraudulentos y similares. Estas acciones son una amenaza para sufrir
ataques como el phshing (Suplantación de identidad) o similares.

4. Presenten las buenas prácticas que tienen las organizaciones para

mitigar los delitos informáticos durante el uso de los
sistemas de información.
Es importante y es responsabilidad de todos en la compañía tener
conocimiento sobre cada uno de los riesgos cibernéticos que existen en la
actualidad, para así planear el manejo y el paso a seguir en el momento en el
que algo suceda y estar preparados para dicha situación.

Por este motivo las organizaciones han decidido capacitar a su personal frente
a la seguridad cibernética.

Por ejemplo:

Sabemos una sola victima puede iniciar un ataque que puede llegar a afectar a
toda una organización. Algunas maneras de reconocer y evitar ser víctimas de
Phishing pueden ser:

No confiar en enlaces de correos HTLM.

No abrir, ni dar clic en un archivo desconocido y el cual no espera.

Prestar Atención a los URL de las páginas WEB.

Ver que el nombre de la compañía no coincide con la dirección de correo

electrónico.

Dicho esto, algunas buenas prácticas son:

 Establecer políticas de seguridad de la información.

 Educar a los empleados.
 Cambiar de manera periódica las contraseñas de acceso a tu equipo,
cuentas de correo electrónico, plataformas de trabajo, etc.
 Proteger y clasificar la información de acuerdo con su importancia, y de
acuerdo con quien este habilitado para acceder a ella, ya que el acceso
a datos confidenciales solo se debe hacer si de por medio existe algún
propósito comercial legítimo.
 Respaldar la información.
 Mantener la información cifrada y evitar proporcionar datos importantes
sin protegerlos.
 Las organizaciones en su mayoría cuentan con un equipo especial
encargado de las licencias de los equipos, pero es también
 responsabilidad nuestra verificar que dichas licencias estén activas y
vigentes de acuerdo a la normativa.
 Es importante realizar copia de seguridad, para evitar perdida de datos.
 Mantener activa la licencia de Antivirus.

5. Propongan otro sistema de información en la categoría contable

que aplique a las organizaciones revisadas.

SAP

Es una compañía dedicada a la creación de productos informáticos de gestión

empresarial, SAP S/AHANA uno de los software más utilizados debido el
diseño y la manera en la que está desarrollado buscando así satisfacer las
necesidades de las compañías contemplando diferentes módulos que pueden
ser adquiridos según se desee; Al ser uno de los más conocidos también es
uno de los más atacados por los ciberdelincuentes ya que este es el núcleo de
las operaciones empresariales , para contrarrestar esto publica periódicamente
actualizaciones para abordar las vulnerabilidades y cualquier tipo de riesgo;
adicional están los conocidos “parches” que buscan cerrar pequeñas brechas
que sean consideradas como riesgo. Según un estudio la mayoría de robo de
datos ocurre debido a que las empresas hacen caso omiso a las
recomendaciones de aplicar las actualizaciones.

Las principales amenazas son CVE-2016-3976 la cual se refiere a ex filtrar

credenciales de los sistemas, robo de información (contable, comercial,
recursos humanos, información confidencial, información de proveedores,
cuentas bancarias, procesos, entre otros), acceso a los servidores, CVE-2018-
2380 (Inyecciones a los comandos del sistema operativo), daño a los
componentes, CVE-2020-6287 (tomar por completo las aplicaciones), entre
otros. Piyush Pandey, CEO de Pathlock afirma que existen 1143
vulnerabilidades conocidas de SAP y además dice que "Debe haber un cambio
de mentalidad para tener en cuenta los niveles de riesgo que permitan mitigar
inmediatamente las amenazas más acuciantes", En pocas palabras defenderse
de los riesgos que podrán hacer más daño.
 6. Expliquen la importancia de una adecuada gestión de los sistemas
de información gerencial para contrarrestar los ciberataques.

Los sistemas de gestión gerencial son importantes para evitar cualquier tipo
de amenaza cibernética, pero para que sea eficaz es necesario trabajar de
la mano con el proveedor tecnológico ya que son ellos los que están al tanto
de todas las posibles amenazas, también es importante como vimos
anteriormente mantener actualizado el software; En el sistema también
podemos llevar registro de las precauciones que debe tener todo el
personal interno para evitarlo, además es necesario dar continuas
capacitaciones para evitar amenazas internas, pero dado el caso en que
llegue a ocurrir un ataque en nuestro sistema también se llevará el paso a
paso del proceso a seguir.

Para terminar, podemos decir que el correcto manejo de los sistemas de

información nos beneficiará económicamente ya que el gasto no será el
mismo si prevenimos a si en verdad llega a suceder también nos ayuda a
mantener segura toda la información de la empresa (en especial cualquier
tipo de dato confidencial), pero lo más importante es llevar la organización
para evitar cualquier tipo de ataque.

Referencias

https://elibro.net/es/ereader/uniminuto/171995?page=1

https://vegagestion.es/cuales-las-principales-amenazas-la-seguridad-
informatica/

https://www.ambit-bst.com/blog/an%C3%A1lisis-de-riesgos-
inform%C3%A1ticos-y-ciberseguridad

https://cso.computerworld.es/cibercrimen/las-vulnerabilidades-de-sap-mas-atacadas-por-los-
ciberdelincuentes
https://www.sap.com/latinamerica/products/financial-management/accounting-financial-
close.html

https://ibermaticaindustria.com/blog/la-importancia-de-la-ciberseguridad-por-que-y-como-
protegernos/