UNIVERSIDAD MAYOR DE SAN SIMÓN
FACULTAD DE CIENCIAS Y TECNOLOGÍA
Auditoria de Sistemas
CII Votación Rector
INTEGRANTES:
Fernandez Orellana Mairon Henry
Zeballos Oquendo Wally Kevin
DOCENTE: PATRICIA ROMERO RODRIGUEZ
COCHABAMBA - BOLIVIA
Introducción
La Universidad Mayor de San Simón se encuentra en proceso de implementar un
sistema electrónico para las elecciones de Rector. Este proyecto busca optimizar el
proceso electoral mediante el uso de tecnología, garantizando la seguridad,
integridad y disponibilidad del sistema. Este esfuerzo es fundamental para
modernizar la gestión universitaria y fomentar la transparencia en procesos críticos
como las elecciones.
El presente documento tiene como objetivo diseñar un conjunto de Controles
Internos Informáticos que aseguren el cumplimiento de los requisitos fundamentales
del sistema: autenticación, confidencialidad, integridad, privacidad y disponibilidad.
A través de este enfoque, se busca mitigar los riesgos asociados al uso de la
tecnología y garantizar un proceso electoral justo y transparente.
Análisis del Sistema de Votación Electrónico
Modelo del Sistema y Fases
1. Autenticación de votantes: Este paso asegura que solo docentes y
estudiantes habilitados puedan participar. Para ello, se utilizará un sistema de
autenticación multifactor que incluye el uso de credenciales únicas y códigos
de verificación. Esto previene el acceso no autorizado al sistema y garantiza
la legitimidad del proceso.
2. Emisión del voto: Los votantes emiten su voto de manera electrónica a
través de una interfaz sencilla y segura. La privacidad del votante se
mantiene mediante el cifrado de datos y un diseño que asegura el anonimato.
3. Registro y almacenamiento: Los votos emitidos se registran en una
base de datos protegida con mecanismos avanzados de seguridad, como
cifrado AES y acceso controlado. Esto evita manipulaciones o pérdida de
datos.
4. Cómputo de resultados: Este paso involucra la generación automática
de resultados basados en los datos registrados. El proceso es transparente y
permite auditorías posteriores.
5. Monitoreo y auditoría: Se realizan controles continuos para supervisar la
operatividad del sistema y detectar irregularidades en tiempo real. Esto
incluye herramientas de monitoreo y reportes automáticos.
Flujo de Trabajo
1. El votante ingresa al sistema utilizando credenciales únicas asignadas
previamente.
2. Se verifica la autenticidad del usuario mediante un código enviado a su
correo o dispositivo móvil.
3. El usuario accede a la plataforma de votación y emite su voto, garantizando
el anonimato mediante un sistema de cifrado.
4. El voto es almacenado de manera segura en una base de datos cifrada,
protegiendo la integridad de los datos.
5. Al finalizar el proceso de votación, los resultados son calculados y
presentados mediante un sistema automatizado que garantiza transparencia
y precisión.
Riesgos Identificados
1. Robo de credenciales: Puede ocurrir si las credenciales de los usuarios
no se protegen adecuadamente o si se reutilizan contraseñas vulnerables.
Este riesgo amenaza la legitimidad del proceso.
2. Manipulación de datos: Existe la posibilidad de que terceros intenten
alterar los votos almacenados. Este riesgo podría afectar la confiabilidad del
sistema.
3. Interrupciones del sistema: Factores como fallos en los servidores,
ataques DDoS o cortes de energía pueden interrumpir el proceso de
votación, poniendo en peligro la disponibilidad del sistema.
4. Fuga de información: La exposición de datos personales o votos puede
vulnerar la privacidad y confidencialidad de los participantes.
Controles Internos Informáticos
Controles Preventivos
1. Autenticación Multifactor: Este control combina contraseñas seguras
con un segundo factor de verificación, como códigos únicos enviados por
correo electrónico o SMS. Esto reduce significativamente el riesgo de
accesos no autorizados, incluso si las contraseñas son comprometidas.
2. Segregación de responsabilidades: Se definen roles claros para el
personal autorizado, limitando los permisos de acceso según las funciones
específicas. Esto evita que una sola persona tenga control total sobre el
sistema, reduciendo riesgos internos.
3. Firewall y antivirus: La configuración de firewalls evita accesos externos
no autorizados, mientras que los antivirus detectan y eliminan software
malicioso que pueda comprometer la integridad del sistema.
4. Cifrado de datos: Los datos se cifran utilizando algoritmos robustos como
AES-256 para garantizar que, incluso si los datos son interceptados, no
puedan ser leídos ni modificados sin las claves adecuadas.
Controles Detectivos
1. Registro de auditoría: Todas las actividades del sistema se registran
detalladamente en un log de auditoría. Esto permite identificar patrones
sospechosos o accesos no autorizados y actuar rápidamente.
2. Verificación de cuentas activas: Se realiza un monitoreo constante de
las cuentas autorizadas para identificar intentos de acceso por usuarios
inactivos o no registrados. Este proceso asegura que solo personas
autorizadas accedan al sistema.
3. Sistema de detección de intrusiones (IDS): Se emplean
herramientas que monitorizan el tráfico de red y detectan actividades
maliciosas en tiempo real, como intentos de fuerza bruta o accesos no
autorizados.
Controles Correctivos
1. Planes de contingencia: Estos planes describen pasos detallados para
restaurar el sistema en caso de fallos graves, incluyendo protocolos de
comunicación y procedimientos para reanudar el servicio lo antes posible.
2. Copias de seguridad automáticas: Se programan respaldos
periódicos de toda la información crítica, garantizando que los datos puedan
recuperarse rápidamente en caso de corrupción o pérdida.
3. Revisión y remediación: Tras detectar una vulnerabilidad, se realiza un
análisis exhaustivo de las causas y se implementan medidas correctivas para
evitar futuras ocurrencias, como parches de seguridad o ajustes en
configuraciones.
Bibliografía
1. Romero, Patricia Elizabeth. Evaluación y Auditoría de Sistemas de
Información. UMSS.
2. ISACA. COBIT 2019.
3. UMSS. Estatuto Orgánico de la Universidad Mayor de San Simón. Disponible
en:
https://www.umss.edu.bo/wp-content/uploads/2019/12/Estatuto-organico-de-l
a-UMSS.pdf
0
