UNIDAD IINTRODUCCION Y CONCEPTOS BASICOS

Informatique

Ciencia del tratamiento racional y automtico de la informacin, considerando esta como soporte de los conocimientos humanos y de las comunicaciones en los campos tcnicos, econmico y social

INFORMACIN AUTOMTICAConjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de ordenadores.

En la informtica convergen los fundamentos de:

Ciencias de la computacin.

Programacin y metodologas para el desarrollo de software.

Arquitectura de computadores.

Redes de computadores.

Inteligencia artificial.

Electrnica.

HardwareRepresenta la parte fsica de una computadora o sistema informtico, es decir, todos los elementos materiales que lo componen.

SoftwareEl software de un sistema informtico es el conjunto de elementos lgicos necesarios para realizar las tareas encomendadas al mismo.El software es la parte lgica que dota al equipo fsico de capacidad para realizar cualquier tipo de trabajos.

DatosSon smbolos que describen hechos, condiciones, valores o situaciones.Un dato puede ser una letra, un nmero, un signo ortogrfico o cualquier smbolo y que representa una cantidad, una medida, una palabra o una descripcin. Por s mismos los datos no tienen capacidad de comunicar un significado.

InformacinEs el elemento a tratar y se define como todo aquello que permite adquirir cualquier tipo de conocimiento. Existir informacin cuando se da a conocer algo que se desconoceLos datos, una vez procesados, constituyen informacin til.

ProcesoConjunto de operaciones necesarias para transformar los datos iniciales en los resultados que se desean obtener en un determinado trabajo.

Aplicacin informticaConjunto de uno o varios programas que realizan un determinado trabajo completo.Ejemplo: procesadores de texto, hojas de clculo, gestores base de datos, etc

AuditoriaEs el examen profesional, objetivo e independiente de las operaciones financieras y/o administrativas, que se realiza con posterioridad a su ejecucin en las entidades pblicas o privadas, y cuyo producto final es un informe, conteniendo opinin sobre la informacin financiera y/o administrativa auditada, as como conclusiones y recomendaciones tendientes a promover la economa, eficiencia y eficacia de la gestin empresarial o gerencial.

Este examen comprende: Determinar el grado de cumplimiento de objetivos y metas de los planes administrativos y financieros. Forma de adquisicin, proteccin y empleo de los recursos materiales y humanos. Racionalidad, economa, eficiencia y eficacia en el cumplimiento de los planes financieros y administrativos.

Caractersticas de la auditora Es objetiva

Significa que el examen es imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni polticas.

En todo momento debe prevalecer el criterio del auditor, que estar sustentado por su capacidad profesional y conocimiento pleno de los hechos que refleja en su informe.

Es sistemtica y profesional:

La auditora debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la capacidad tcnica y profesional requerida, los cuales se atienen a las normas de auditora establecidas, a los principios de Contabilidad generalmente aceptados y al cdigo de tica Profesional.

El desarrollo de la auditora se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la auditora:Planeacin, Ejecucin e Informe.Informe final:

Finaliza con la elaboracin de un informe escrito (dictamen) que contiene los resultados del examen practicado, el cual debe conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; adems el informe contiene las conclusiones tendientes a la mejora de las debilidades encontradas.

Auditoria Informtica

Es el proceso de recolectar y evaluar evidencias para determinar si los Sistemas Informticos y recursos relacionados:Salvaguardan adecuadamente los activosMantienen la integridad de los datos y del sistemaProveen informacin confiable y oportunaLogran efectivamente las metas de la organizacinConsumen los recursos de manera eficienteTienen en vigor los controles internos que proveen una garanta razonable de que se alcanzarn los objetivos del negocio, operativos y de control.

Auditoria Informtica

Es una revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a la:

Eficiencia y eficacia en la utilizacin de los recursos informticosSeguridad de los recursos informticosEfectividad de los controles establecidos.

Es un proceso formal ejecutado por especialistas del rea de auditoria y de informtica cuyo objetivo es el de verificar y asegurar que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa en la organizacin se realicen de manera eficiente y eficaz.Dicha evaluacin deber ser la pauta para la entrega del informe de auditoria en informtica, el cual debe contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de informtica en el negocio.

AntecedentesEl incremento constante de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que la aplican, a disponer de controles, polticas y procedimientos que aseguren a la alta direccin la correcta utilizacin de los recursos humanos, materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del negocioLa tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargadoLasolucin clara es entonces realizar evaluaciones oportunas y completas de la funcin informtica, a cargo de personal calificado, consultores externos, auditores en informtica o evaluaciones peridicas

Entonces la auditora en informtica se encarga de evaluar y verificar polticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la informacin, mediante la aplicacin de una metodologa que debe de ejecutarse con formalidad y oportunidad.El rol del auditor en informtica es el de funcionar como un punto de control y confianza para la alta direccin o los dueos de la empresa, adems debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informticos

La auditora informtica sirve para mejorar caractersticas importantes en la empresa como:- Seguridad- Integridad- Eficiencia- Eficacia- Rentabilidad

reas de revisin de la Auditoria Informtica

Generalmente la A.I. se puede desarrollar en alguna o combinacin de las siguientes reas:

- Gobierno corporativo de TI

- Proteccin y Seguridad del ambiente TI

- Administracin del Ciclo de vida de los sistemas

- Servicios y Soportes

- Planes de contingencias y recuperacin ante desastres

Objetivos de la Auditoria Informatica

Conocer la situacin actual del rea informtica ylas actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Verificar la implantacin y cumplimiento de normativas establecidas y recomendar las necesarias en este mbito.

Verificar la gestin eficaz de los recursos informticos.

Asegurar la integridad, confidencialidad y disponibilidad de la informacin mediante recomendaciones de seguridad y controlesVerificar el apoyo de la funcin informtica al cumplimiento de metas y objetivos de la organizacin Minimizar riesgos existentes en el uso de T.I

Justificativos para efectuar una auditoria informtica

Desconocimiento en el nivel directivo de la situacin informtica de la empresa.

Falta total o parcial de seguridad que garantice la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Aumento considerable e injustificado del presupuesto del rea de Informtica. Falta de planificacin informtica Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

Perfil del Auditor InformaticoA un auditor informtico se le presupone cierta formacin informtica y experiencia en el sector, independencia y objetividad, madurez, capacidad de sntesis y anlisis y seguridad en s mismo.

En nuestro pas existe un vaco legal por la ausencia de normativas que defina claramente:- Quin puede realizar auditora informtica?

- Cmo se debe realizar una auditora informtica?

- En que casos es necesaria una auditora informtica?

Tipos de Auditoria Informtica

Auditora de la gestin de TI:

Referido al gobierno de TI, plan corporativo, a la contratacin de bienes y servicios, gerenciamiento de proyectos de TI, etc.

Auditora de las bases de datos:

Controles de acceso, de actualizacin, de integridad y calidad de los datos, errores, fraudes.

Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad,confidencialidad, autenticacin y no repudio

Auditora de Redes: comprende administracin, configuracin, transmisin de datos, etc.

Principales pruebas para realizar una auditoria

- Prueba Clsica: Consiste en probar las aplicaciones/sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas.

- Pruebas de Cumplimiento o ControlDeterminan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).Tienen como objetivo conocer el nivel de seguridad que los controles brindan y el nivel de aplicacin de dichos controles.

Implican:

- Anlisis de la documentacin, los procedimientos y los programas.

- Estudio de causas de riesgos y controles existentes.

- Estudio de controles dbiles y ausentes.

- Pruebas Sustantivas

Revisin exhaustivas del objeto de auditora.

- Aportan al auditor informtico de suficientesevidencias para que se pueda formar un juicio.

- Obtenidas mediante clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones.

- Verifican asimismo la exactitud, integridad y validez de la informacin.

- Buscan determinar pruebas de situaciones inadecuadas o incorrectas.

Principales herramientas del Auditor y tcnicas de AUD INF.

Observacion:

La observacin de procesos y desempeo de empleados es una tcnica clave de auditoria para muchos tipos de revisiones.

El auditor no debera obstaculizar las funciones del proceso al realizar sus observaciones y debera documentear todo con suficiente detalle como para presentarlo.

Cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin.

Esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.

Entrevistas

El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la formade una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklist

El auditor conversar y har preguntas que servirn para complementar la informacin obtenida de los cuestionarios.El conjunto de preguntas realizadas por el auditor, recibe el nombre de checklist. Salvo excepciones, los checklist deben ser contestadas en forma oral, ya que superan en riqueza y generalizacin a cualquier otra forma.

Software de interrogacin

Hasta hace ya algunos aos se han utilizado productos software llamados genricamente , capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico.Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada.

TAACS (TECNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS)

Son programas y datos de computadora que el auditor utiliza como parte de los procedimientos de auditoria para procesar datos importantes para la Auditoria en los Sistemas de Informacin de una organizacin.

Propsito

- Identificar tendencias

- Sealar excepciones

- Localizar errores y posibles irregularidades

Permiten:

- Extraer informacin para su revisin

-Obtener informacin de los sistemas automatizados

UNIDAD IIAUDITORIA INFORMATICA

Auditoria InformticaEs la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin mas eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

Una metodologa de auditora es un conjunto de procedimientos documentados de auditora diseados para alcanzar los objetivos planeados de la auditora .

Componentes

- Declaracin del alcance,

- Declaracin de los objetivos de la auditoria y

- Declaracin de los programas de auditora

La metodologa de auditora debera ser formalizada y comunicada a todo el personal de auditora

Se debe tener un conocimiento general del negocio

- Organigrama

- Estructura del rea o departamento de TI

- Relaciones funcionales y jerrquicas

- Recursos con los que se cuenta

- Aplicaciones en desarrollo

- Aplicaciones en produccin

- Infraestructura tecnolgica.

Planificacin de una Auditoria Informtica

- Definicin de objetivos y alcance de la auditoria- Personas de la organizacin que se involucrarn en el proceso de auditora- Plan de trabajo Tareas Calendario Resultados parciales Presupuesto

Metodologa de Auditoria Informtica

Desarrollo de la auditora- Recopilacin de evidencias.- Cuestionarios, Entrevistas- Observacin de las situaciones deficientes- Observacin de los procedimientosFase de diagnstico

- Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejoraPresentacin de conclusiones- Integracin de soporte documental- Formulacin de observaciones y papeles de trabajoInforme final

Formacin del plan de mejoras

Objetivo de auditora Alcance de la auditora Planificacin previa a la auditora Programa de auditoria Recopilacin de evidenciasEvaluacin de los resultados de pruebas y revisiones

Preparacin del informe de auditora

Objetivos de Auditoria

Se refieren a la metas especficas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Los objetivos de auditora se enfocan a menudo en validar: Que existan controles internos para minimizar los riesgosdel negocio, y que estos funcionen como se espera.

Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada sobre los activos, como ser: confidencialidad, integridad y disponibilidad de los recursos de informacin.

Ejemplo de definicin de objetivo

Determinar un nivel de confiabilidad e integridad de los datos, sistemas y programas con relacin al entorno de procesamiento electrnico de datos.

Identificar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las recomendaciones para mitigar los riesgos.

Fases de la AuditoriaPlaneacin Ejecucin Informe

Planeamiento de una AuditoriaToma de contacto: Conocimiento de la organizacin y del objeto de la auditoriaAnlisis inicial:1 Sobre la organizacin global2 Sobre la estructura del departamento y recursosAnlisis detallado:Se analiza la informacin anterior y se generan los papeles de trabajo

La planificacin de la auditoria requiere:1 Obtener informacin general sobre la organizacin2 Revisar la documentacin de la organizacinSe determinan:Objetivos Alcance - Programas y procedimientos3 Realizar una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo.Se deber incluir:1 Tiempo,2 Costo,3 Personal necesario4 Documentos auxiliares a solicitar o formular durante el desarrollo de la misma

Objetivos de la AuditoraMetas especficas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Los objetivos de auditora se enfocan a menudo en validar: Que existan controles internos para minimizar los riesgos del negocio, y que estos funcionen como se espera. Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada sobre los activos, como ser:

1 Confidencialidad2 Disponibilidad3 Integridad

OBJETIVO DE LA REVISION. Determinar un nivel de confiabilidad e integridad de los datos, sistemas y programas con relacin al entorno de procesamiento electrnico de datos. Identificar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las recomendaciones para mitigar los riesgos.

ALCANCE DE LA AUDITORIASe ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria.Tiene que ver con:La extensin y profundidad del examen,El rea o actividad en particular se va a verificar,El perodo a examinar (actividades desarrolladas en un ao, de un mes, etc.)Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar y las excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

PROGRAMA DE AUDITORIA

Calendario de actividades a realizar, aprobado por responsables del rea y de auditoriaEste identifica:Los procedimientos de auditora para lograr evidencia suficiente y competente para obtener y sustentar las conclusiones y opiniones de auditora.

EJECUCION DE LA AUDITORIAConsiste en llevar a cabo las actividades planeadas.Los procedimientos generales de auditora son los pasos bsicos en la ejecucin de una auditora y habitualmente incluyen lo siguiente:Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditoraEvaluacin de riesgosEvaluacin del rea/objeto de auditoraVerificacin y evaluacin de la correccin de los controles diseados para cumplir los objetivos de control.

EJEMPLOS DE PROCEDIMIENTOS APLICADOS

Relevamiento de las normas, polticas y procedimientos del rea de Tecnologa Informtica. Visita al Centro de Cmputos. Verificacin de la estructura organizativa existente en el rea de tecnologa informtica. Verificacin de las tareas correspondiente a la continuidad de procesamiento de datos. Verificacin de las polticas de seguridad existentes. Anlisis de los usuarios que acceden al sistema operativo...

RECOPILACION DE EVIDENCIAS

Se llama evidencia de auditoria "Cualquier informacin que utiliza el auditor para determinar si la informacin cuantitativa o cualitativa que se est auditando, se presenta de acuerdo al criterio establecido".Para que la evidencia tenga valor de prueba, debe ser:Relevante: tiene relacin lgica con el objeto de auditoria.Suficiente: si el alcance de las pruebas es adecuado. Solo una evidencia encontrada, podra ser no suficiente para demostrar un hecho.Adecuada: es de tipo cualitativo para afectar a las conclusiones del auditorFiable: es vlida y objetiva, aunque con nivel de confianza

EVIDENCIA DE AUDITORIA

Permite demostrar un hecho.Evidencia = prueba adecuada de auditoria. La evidencia adecuada es la informacin que cuantitativamente es suficiente y apropiada para lograr los resultados de la auditoria y que cualitativamente, tiene la imparcialidad necesaria para inspirar confianza y fiabilidad.

Tipos de Evidencias:

1. Evidencia Fsica: muestra de materiales, mapas, fotos.2. Evidencia Documental: cheques, facturas, contratos, etc.3. Evidencia Testimonial: obtenida de personas que trabajan en el negocio o que tienen relacin con el mismo.4. Evidencia Analtica: datos comparativos, clculos, etc.

TECNICAS DE RECOPILACION DE EVIDENCIA DEL AREA INFORMATICA

Revisin de estructuras organizativas de SIUna slida estructura organizativa con adecuada segregacin de funciones es un control general clave en SI

Revisin de los estndares de documentacin de SISe debe buscar un nivel mnimo de documentacin de SIDocumentos que inician el desarrollo de sistemasEspecificaciones de diseo funcionalManuales de documentacin de usuarioManuales de operaciones del ordenadorDocumentos sobre la seguridad

Revisin de la documentacin de sistemasRevisar la documentacin de un sistema en particularEvaluar si cumple los estndares de la organizacin

Entrevistas del personal apropiadoSu propsito es recopilar evidencias de auditoraDestreza importante, necesaria para los Auditores de SIPlanificar la entrevistaDocumentar la con notasFormularios de entrevistasListas de controlNaturaleza de descubrimiento y no acusatoria

Observacin de operaciones y actuacin de los empleadosTcnica de auditora clave para muchos tipos de revisionesNo ser inoportunos al hacer la observacinDocumentarlo con suficiente grado de detalle para poder presentarlo como evidencia

Papeles de Trabajo

Son los archivos o legajos que maneja el auditor y que contienen todos los documentos que sustentan su trabajo efectuado durante la auditoria y constituyen la principal evidencia de la tarea de auditora realizada y de las conclusiones alcanzadas que se reportan en el informe de auditoria.

Estos archivos se dividen en Permanentes y Corrientes;

Archivo permanente: conformados por documentos que tienen el carcter de permanencia en la empresa, es decir, que no cambian y que por lo tanto se pueden volver a utilizar en auditorias futuras; como los Estatutos de Constitucin, contratos de servicios, informe de auditorias anteriores,etc.Archivo corriente: est formado por todos los documentos que el auditor va utilizando durante el desarrollo de su trabajo y que le permitirn emitir su informe previo y final.

Los papeles de trabajo son utilizados para:a) Registrar el conocimiento de la entidad y su sistema de control interno.b) Documentar la estrategia de auditoria.c) Documentar la evaluacin detallada de los sistemas, las revisiones de transacciones y las pruebas de cumplimiento.d) Documentar los procedimientos de las pruebas de sustentacin aplicadas a las operaciones de la entidad.e) Mostrar que el trabajo de los auditores fue debidamente supervisado y revisado.f) Registrar las recomendaciones para el mejoramiento de los controles observados durante el trabajo.

EL INFORMEEl informe de Auditora debe contener a lo menos:1-Dictamen sobre el rea auditada.2-Informe sobre la estructura del Control Interno de la entidad.3-Conclusiones y recomendaciones resultantes de la Auditora.4-Deben detallarse en forma clara y sencilla, los hallazgos encontrados.

HALLAZGOSSe considera que los hallazgos en auditoria son las diferencias significativas encontradas en el trabajo de auditoria con relacin a lo normado o a lo presentado por la gerencia.Atributos del hallazgo:1. Condicin: la realidad encontrada2. Criterio: cmo debe ser (la norma, la ley, el reglamento, lo que debe ser)3. Causa: qu origin la diferencia encontrada.4. Efecto: qu efectos puede ocasionar la diferencia encontrada.

Al plasmar el hallazgo el auditor deber indicar:El ttulo del hallazgoLos atributosLa opinin de las personas auditadas sobre el hallazgo encontradoConclusin sobre el hallazgo Las recomendaciones.

UNIDAD IIIRIESGOS INFORMATICOSLa Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico como:La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.Riesgo Informtico O tecnolgico

Riesgos: La incertidumbre que ocurra un evento que podra tener un impacto negativo en el logro de los objetivos. Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una prdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa. Para el auditor informtico el riesgo est definido como el potencial de prdida de confidencialidad, disponibilidad o integridad de la informacin.

Amenaza: cualquier circunstancia que posee el potencial de daar un recurso de TI.Ej: destruccin, revelacin, modificacin de datos, negacin de servicio Amenazas ms comunes: Errores, Fraude Desastres naturales, incendios accidentales, tormentas e inundaciones. Dao intencional / Ataque Falla de hardware/ software Disturbios, sabotajes internos y externos deliberados.

Tipos de Amenazas- Factor Humano: Esta formada principalmente por personas malintencionadas o por incumplimiento de medidas de seguridad. Ejemplos: curioso, intruso remunerado, personal de la organizacin, terroristas, robo, sabotaje, fraude, ingeniera social- Hardware: fallas fsicas de los dispositivos de computo de la organizacin, pueden ocurrir por un desperfecto de fabrica, por una mala utilizacin o descuido en el mantenimiento.- Red de datos: se presentan cuando la red de comunicacin no se encuentra disponible para su uso, puede ser provocado por un ataque deliberado o por un error fsico o lgico. Las principales amanezas para una red son la no disponibilidad de la red o la extraccin de informacin no autorizada a travs de ella- Software: fallas lgicas en los sistemas. Pueden ser causadas por otro software que ha sido diseado para atacar un sistema, por cdigo malicioso diseado para afectar un sistema o errores de programacin o de diseo del mismo.- Desastres naturales: eventos que tienen su origen en las fuerzas de la naturaleza, no solo pueden afectar la informacin contenida en los sistemas, sino tambin la integridad del sistema completo. Ejemplos: inundaciones, terremotos, incendios, huracanes, tormentas elctricas, etc.)

VulnerabilidadCondiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carenciasLas amenazas ocurren por causa de las vulnerabilidades asociadas con el uso de los recursos de TI.Ejemplo de debilidades: Falta de conocimientos del usuario Falta de conocimientos de la funcionalidad de la seguridad Eleccin deficiente de contraseas Tecnologa no probada Transmisin por comunicaciones no protegidas

ImpactoConsecuencias de la ocurrencia de las distintas amenazas: pueden ser financieras o no financieras.Prdidas de uno u otro tipo-Prdida directa de dinero-Prdida de reputacin-Prdida de oportunidad de negocio-Reduccin en la eficiencia / desempeo operativo-Interrupcin de la actividad del negocio

Riesgo = Impacto * ProbabilidadImpacto: es el efecto o consecuencia cuando el riesgo se materializaProbabilidad: representa la posibilidad que un evento dado ocurra.

Agente Amenazante-Hacker-Espionaje Industrial-Criminales Profesionales-Usuarios -(Daos intencionales o no)

Objetivos: Desafo, ganancia financiera/poltica, dao

Causa Fsica (Natural o no)-Concrecin de la AmenazaNivel de Vulnerabilidad?Dao a los equipos, datos o informacinConfidencialidadIntegridad DisponibilidadPrdida deDineroClientesImagen de la Empresa Proceso de identificar las vulnerabilidades y las amenazas para los recursos de TI yrecomendar contramedidas a tomar, si hubiere, para reducir el riesgo a un nivel aceptable basado en el valor del recurso. Estudio del riesgo: determina la forma en que deberan administrarse los riesgos hasta un nivel aceptable. Riesgo Total = Amenazas x Vulnerabilidades xValor del ActivoAnlisis del Riesgo de Sistemas - DefinicinProceso de Anlisis de Riesgos de Sistemas 1er. Paso: Identificacin y clasificacin de los recursos de TIClasificacin simpleBasada en el valor de los activosClasificacin en trminos de criticidad y sensibilidad Datos, Hardware, Software Servicios , Documentos , Personal Otros activos tangibles: edificios intangibles: imagen /reputacin 2do. Paso: Estudiar las amenazas y vulnerabilidadesAsociadas con el recurso de TI y la probabilidad de que ocurran. 3er. Paso: Mitigar el riesgoAdministracin de RiesgosLuego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto: Mitigar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero(Ejemplo: aseguradoras o proveedores). Aceptar el riesgo, no se realiza ninguna accin a sabiendas, siempre y cuando el riesgo cumpla con las polticas y criterios de la organizacin para la aceptacin de riesgos. Evitar el riesgo, al no permitir acciones que provocaran los riesgos

TCNICAS DE EVALUACIN DE RIESGOSExisten muchas metodologas disponibles de evaluacin de riesgos, automatizados o no automatizados, que puede elegir el auditor. Sistema de puntuacin: considera variables tales como la complejidad tcnica, el nivel de procedimientos de control establecidos y el nivel de prdida financiera. Los valores de riesgo se comparan entre s y las auditoras se programan en consecuencia. Dependiente del juicio profesional: en la que una decisin independiente es tomada en base al conocimiento del negocio, las directivas de la direccin ejecutiva, las perspectivas histricas, las metas del negocio y los factores ambientales.Ejemplos de riesgos Indisponibilidad de plataforma y sistemas tecnolgicosInterrupciones de servicios de tecnologa que impiden la continuidad del proceso tales como: cada de procesos, cada de comunicaciones, fallas en servicio de proveedores, cadas de plataformas que soportan el proceso. Errores de Integridad y veracidad de la informacin que entregan los sistemas.Defectos en los sistemas de informacin debido a la falta de controles de integridad en la entrada y custodia de la informacin, lo que puede generar aceptar informacin errnea o modificacin de ella por personal no autorizado. Asignacin de perfiles de acceso inadecuadosError en la asignacin o definicin de perfiles debido al cual se otorgan ms privilegios de lo necesario, permitiendo la ejecucin de transacciones por personal sin las debidas atribuciones.Ejemplos (Cont ) Prdida de confidencialidad de la informacin sensible Exposicin no deseada de la informacin que es sensible que puede producir perjuicios a la organizacin o a sus clientes al ser conocida por personas no autorizadas. Comunicacin / Informacin defectuosaErrores de comunicacin entre sistemas o plataformas tecnolgicas que pueden generar interrupcin de servicios, informacin errnea, confusa o incompleta, de forma voluntaria o intencional. Error en abonos / cargos de dineros en cuentas de clientesDeficiencias en el procesamiento de operaciones financieras y/o contables, con contrapartes comerciales, que significan cargos o abonos a clientes que no corresponden.

Tipos de riesgosRiesgo de CrditoRiesgo FinancieroRiesgo OperacionalRiesgo de Tecnologa de la InformacinRiesgo Calidad de Servicio y transparencia de la Informacin

Aspectos a considerar en la gestin del riesgo.La gestin de riesgo debe considerar los siguientes aspectos: Identificacin de activos Identificacin de la Amenazas Identificacin de las Vulnerabilidades Determinar la Probabilidad de ocurrencia Anlisis de Impacto Determinacin del Riesgo Recomendacin de Controles Documentar los Resultados

Riesgos de Tecnologa de la InformacinAgrupa todos los riesgos asociados con:- la autorizacin,- la integridad, y- exactitud de las transaccionesSegn:- se ingresan,- se procesan,- se resumen y- se informan en los sistemas computacionales de una organizacin

Se manifiestan en los siguientes componentes de un sistema: Interfaz usuaria: se refiere a si existen restricciones que hagan que los trabajadores de una organizacin estn autorizados a desarrollar funciones del negocio con una razonable segregacin de funciones. Procesamiento; se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha completado y realizado a tiempo. Interface: Los riesgos en esta rea generalmente se relacionan con la existencia de controles adecuados, preventivos o de deteccin, que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos adecuada y completamente a otro sistema de aplicacin que se alimente de estos datos/informacin y sean procesados por dicho sistema. Administracin del Cambio: Los riesgos en esta rea pueden ser generalmente considerados parte del Riesgo de Infraestructura, pero ellos impactan significativamente sobre los sistemas de aplicacin. Estos riesgos estn asociados con procesos inadecuados de administracin del cambio incluyendo tanto la participacin y entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicacin son comunicados e implementados.

Riesgos de Tecnologa de la InformacinRiesgo de Acceso no autorizado: puede ocurrir en los siguientes cinco niveles: Red, el riesgo en esta rea est generado por el riesgo de acceso no autorizado a la red a pcs y servidores. Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los programas y datos que estn almacenados en ese ambiente. Sistemas de Aplicacin, est dado por una inadecuada segregacin de funciones que podra ocurrir si el acceso a los sistemas estuviese concedido a personas con necesidades de negocio sin definiciones claras. Acceso Funcional, dentro de aplicaciones (Cdigo fuente) Acceso a nivel de campo o dato.

Riesgo de Disponibilidad Riesgos asociados con la interrupcin de los sistemas a corto plazo donde las tcnicas de restitucin/recuperacin se pueden utilizar para minimizar el alcance de la interrupcin. Riesgos asociados con desastres que causan interrupciones en el procesamiento de la informacin a largo plazo y que se centran en controles como backups y planes de contingencia.La capacidad de la empresa para continuar con sus operaciones y procesos crticos puede depender en gran medida de la disponibilidad de determinados sistemas de informacin. Si no se dispusiera de sistemas crticos o importantes por un perodo importante, la compaa podra experimentar dificultades para continuar con sus operaciones.Sistemas de informacin crticos e importantes que no estn disponibles para dar soporte a determinadas operaciones pueden provocar:Prdidas de ingresos,Prdidas de ventajas competitivas,Insatisfaccin de clientes yPrdida de participacin de mercado,Problemas de imagen,Multas y sanciones.Riesgos de Tecnologa de la Informacin

Riesgo de InfraestructuraEl riesgo de que una organizacin no tenga una infraestructura eficaz de informacin tecnolgica (HW, SW, personas y procesos) para apoyar las necesidades actuales y futuras del negocio de una forma eficiente y eficaz en trminos de costos y controles.Principalmente estn relacionados con: Planificacin organizacional; el riesgo de que los planes de informacin tecnolgica no estn integrados con los planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planificaciones inadecuadas. Definicin requerimientos de sistemas de aplicacin; el riesgo de que las definiciones y necesidades de los usuarios para nuevas soluciones de sistemas provoquen diseos ineficaces o incompletos. Los esfuerzos de desarrollo no siguen un enfoque consistente para confirmar la satisfaccin del usuario y del negocio. Los esfuerzos de implantacin no consideran adecuadamente el entrenamiento usuario. Seguridad Lgica y Administracin de Seguridad; el riesgo deacceso no autorizado a los sistemas, datos o transacciones crticos, tanto por personal de la compaa como externos, resultando en prdida de la integridad de los datos/informacin y la exposicin o mal uso de informacin confidencial.. Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente administrados derivando en problemas de desempeo o de capacidad de los usuarios. Administracin de Bases de Datos; es el riesgo de que los datos carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio. Recuperacin del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/informacin no puedan ser restablecidos luego de una interrupcin del servicio de manera oportuna para las necesidades del negocio.

Riesgo de tercerizacin de ServiciosGenerar e implementar una Metodologa de Anlisis de Riesgo que permita evaluar en forma sistemtica los procesos y recursos, sus vulnerabilidades y las amenazas para los procesos que la organizacin terceriza. Incorporar un proceso sistemtico por el cual el administrador de la empresa con el servicio externalizado, evala y reduce la exposicin al riesgo identificado a un nivel aceptable por la organizacin.Aspectos a considerar en la Seguridad de Informacin.Desde el punto de vista de los servidores: Anlisis de Vulnerabilidad de los servidores que darn el servicio Antivirus instalado y actualizado en los servidores que darn el servicio Parches de seguridad evaluados e instalados segn corresponda en los servidores que darn el servicioDesde el punto de vista de la transferencia de informacin: Encriptacin de la comunicacin entre la organizacin y la empresa prestadora de serviciosDesde el punto de la continuidad operacional: Servidores de respaldo Sitio de respaldo Pruebas de contingenciaRiesgos de Tecnologa de la Informacin

Encriptacin:Es una tecnologa que permite la transmisin segura de informacin, al codificar los datos transmitidos usando una frmula matemtica que desmenuza los datos. La encriptacin utiliza una llave pblica para encriptar datos, y una llave privada para descifrar o desencriptar la informacin. Sin el decodificador o llave para desencriptar, el contenido enviado se ve como un conjunto de caracteres extraos, sin ningn sentido y lgica de lectura. Aspectos a considerar en la Gestin del Riesgo.Mitigar los Riesgos: La metodologa a implementar debe considerar opciones de mitigacin de los riesgos: Prevencin: Implementacin de Controles, Tecnolgicos, administrativos y operacionales Transferencia de los riesgos: seguros Eludir: Cambiando la forma de hacer las cosas Aceptar: Vivir con el riesgo

CONTROLES INTERNOS INFORMATICOS

Clasificacin de los controles Principales controles fsicos y lgicos Controles de aplicaciones Controles de procesamiento y de operacin

Es un proceso, mediante el cual la administracin ,los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecucin de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la informacin financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organizacin medidas preventivas, deteccin y correccin de errores, fallos y fraudes o sabotajes

Conjunto de polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir riesgos.

Son desarrollados para proveer certeza razonable de que sealcanzarn los objetivos del negocio de una organizacin y que los eventos de riesgo no deseados sern evitados o detectados y corregidos, ya sea por cumplimiento de los controles o por iniciativa de la direccin.La alta direccin es responsable de establecer la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de supervisar continuamente la efectividad del sistema de control interno Control: actividad realizada manual o automticamentepara prevenir, corregir errores o irregulares que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus objetivos.

El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.

ObjetivosVerificar que todo se hace segn los procedimientos internos y normas legales se debe controlar que todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas al resto de la organizacin.

Colaborar y apoyar al trabajo de la Auditora Informtica, as como de las auditoras externas al Grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico

ACTIVIDADES QUE CONTROLAR:

Se debe realizar en los diferentes sistemas y entornos informticosel control de las diferentes actividades operativa sobre:

El cumplimiento de procedimientos, normas y controles dictados.Controles: Sobre la produccin diaria.

Sobre la calidad y eficiencia del desarrollo y mantenimientodel software y del servicio informtico. En las redes de comunicaciones Sobre el software de base. En los sistemas microinformticos. La seguridad informtica.

Licencias y relaciones contractuales con terceros. Asesor y transmitir cultura sobre el riesgo informtico.

Los controles sirven para prevenir, detectar o corregir eventos ilcitos.

Clasificacin de los controles:

Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores.

Funcin:

Detectar problemas antes que surjan, realizar ajustes Monitorear tanto las operaciones como las entradas de datos Impedir que ocurra un error, una omisin o un acto malicioso

Ejemplos:

Emplear solo personal calificado Segregar funciones Controlar el acceso fsico a las instalaciones Usar documentos bien diseados Establecer procedimientos bien adecuados para la autorizacin de transacciones, etc.

DetectivosSon aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Funcin:

Usar controles que detecten y reporten que ha ocurrido un error, una omisin o un acto malicioso

Ejemplos

Puntos de verificacin en los trabajos de produccin Funciones de auditora interna Doble verificacin de clculos Reportes de cuentas de usuarios caducadosCorrectivosAyudan a la investigacin y correccin de las causas del riesgo

FUNCION

Minimizar el impacto de una amenaza Remediar problemas descubiertos por controlesdetectivos Identificar la causa de un problema Corregir errores resultantes de un problema Planeamiento de contingencias

Procedimientos de respaldo

Implantacin de un sistema de controles internos informticos.

Los controles pueden implantarse a varios niveles diferentes.

Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar:

Entorno de red. Configuracin del ordenador/es central/es (hots). Entorno de aplicaciones. Productos y herramientas de desarrollo de software. Seguridad (en especial del ordenador central y bases de datos).

Para la implantacin de un sistema de controles internos informticos habr que definir objetivos, mtodos y poltica de control para:

Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.

Administracin de sistemas.: a travs de controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.

Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software del sistema, como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos, para la migracin de programas software aprobados y probados.

A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los que el Control Interno Informtico y la Auditora Informtica deberan verificar para determinar su cumplimiento y validez:

1. Control generales organizativos: engloba una serie de elementos, tales como:

Polticas generales.Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de emergencia ante desastres).Estndares de adquisicin.Procedimientos.Organizar el departamento de informtica.Descripcin de las funciones y responsabilidades dentro del departamento.Polticas de personal.

Asignacin de funciones y responsabilidades.Asegurar que la direccin revisa todos los informes de control y resuelve lasexcepciones que ocurran.Asegurar que existe una poltica de clasificacin de la informacin.Designar oficialmente la figura del Control Interno Informtico y de la AuditoraInformtica

2. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin: se utilizan para que se puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:

Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas, pases a produccin, roll-back, etc).

Explotacin y mantenimiento.

3. Controles sobre la explotacin de los sistemas de informacin:

Consta de

Planificacin y gestin de recursos.Presencia de personal en momentos crticos .Reparto de costes informticos a la organizacin.Controles propios (por ejemplo, accesos muy restringidos al host).Revisiones tcnicas preceptivas.Controles para usar de manera efectiva los recursos en ordenadores.Procedimientos de seleccin del software del sistema, de instalacin, demantenimiento, de seguridad y de control de cambios.Seguridad fsica y lgica (como definir un grupo de seguridad de la informacin, controles fsicos, formacin y concienciacin de procedimientos de seguridad, seguridad contra incendios/inundaciones, control de acceso restringido, normas que regulen el acceso a los recursos informticos, existencia de un plan de contingencias, etc).

Controles sobre las aplicacionesCada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, y mantenimiento de los datos:

Control de entrada de datos (validaciones, conversiones, formatos, procedencias).Controles de tratamiento de datos (sobre usos no previstos).Controles de salida de datos (dem entrada+seguridad).

Controles de calidadExistencia de un Plan General de Calidad basado en el Plan de laEntidad a Largo Plazo, y el Plan a Largo Plazo de Tecnologa.Metodologa de Desarrollo de Sistemas.Actualizacin de la Metodologa de Desarrollo de Sistemas respecto a cambios en la tecnologa.Coordinacin y comunicacin.Relaciones con proveedores que desarrollan sistemas.Normas de documentacin de programas.Normas de pruebas de programas.Normas respecto a la Prueba de Sistemas,Pruebas piloto o en paralelo.Documentacin de las pruebas de sistemas.Evaluacin del cumplimiento de garanta de Calidad de las Normas deDesarrollo.

Principales Controles Fsicos y Lgicos

Autenticidad.- Permiten verificar la identidad. Passwords Huellas digitales Iris, etc. Exactitud.- Aseguran la coherencia de los datos Validacin de campos Validacin de excesos o casos de borde

Conteo de registros Cifras de control. Redundancia.- Evitan la duplicidad de datos. Verificacin de secuencias Privacidad.- Aseguran la proteccin de los datos. Encriptacin. Proteccin de Activos.- Destruccin o corrupcin deinformacin o del hardware. Extintores Passwords. Efectividad.- Aseguran el logro de los objetivos. Encuestas de satisfaccin Medicin de niveles de servicio. Eficiencia.- Aseguran el uso ptimo de los recursos. Anlisis costo-beneficio

Ej. Gestin de accesos de usuarios - Controles

Objetivo: Asegurar el acceso del usuario autorizado y prevenir elacceso no autorizado a los sistemas de informacin.

Registro de usuarios.Control.- Debe existir un procedimiento formal para el registro y cancelacin de usuarios con el fin de conceder y revocar acceso a todos los servicios y sistemas de informacin.

Gestin de privilegios

Control.- La asignacin y uso de privilegios deben ser restringidosy controlados.

Gestin de contraseas de usuarios

Control.- La asignacin de contraseas debe ser controlada a travs de un proceso formal de gestin. Revisin de los derechos de acceso de usuario

Control.- La direccin debe revisar los derechos de acceso delos usuarios a intervalos regulares usando un proceso formal.

Controles de Sistema en Desarrollo y Produccin

Controles de Desarrollo de Aplicaciones:

Los usuarios deben participar en el diseo e implantacin delos sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio

El personal de auditora interna debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control

El desarrollo, diseo y mantenimiento de sistemas obedece aplanes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada.

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.Controles de Desarrollo de Aplicaciones (Cont)

Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones posibles.

Todos los sistemas deben estar debidamente documentados y actualizados

Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo.

El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de medidas de seguridad para:

Asegurar que todos los datos sean procesados

Garantizar la exactitud de los datos procesados

Garantizar que se grabe un archivo para uso de lagerencia y con fines de auditora (Log)

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Controles de Operacin

Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de discos, la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line.

Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurriren el Centro de Cmputo durante un proceso

Evitar o detectar el manejo de datos con fines fraudulentospor parte de funcionarios del Centro de Procesamiento

Garantizar la integridad de los recursos informticos.

Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos

UNIDAD IVCOBIT

COBIT es una herramienta de gobierno de TI, se aplica a los sistemas de informacin de toda la empresa, vinculando tecnologa informtica y prcticas de control. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos

Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. COBIT contribuye a esto de la siguiente manera:1. Identificando los principales recursos de TI a ser utilizados 2. Organizando las actividades de TI en un modelo de procesos generalmente aceptado3. Estableciendo un vnculo con los requerimientos del negocio Definiendo los objetivos de control gerenciales a ser considerados

Objetivo del COBIT El objetivo de COBIT es: Brindar buenas prcticas a travs de un marco de trabajo de dominios y procesos, y Presentar las actividades de una manera manejable y lgica. Estas prcticas estn enfocadas ms al control que a la ejecucin.

BENEFICIOS Mantener informacin de alta calidad para apoyar la toma de decisiones. Alcanzar los objetivos estratgicos y beneficios de negocio a travs del uso efectivo e innovador de las TI. Lograr la excelencia operativa a travs de una aplicacin fiable, eficiente de la tecnologa. Mantener los riesgos relacionados con TI a un nivel aceptable. Optimizar servicios y recursos de TI. Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las polticas.

Usuarios del COBIT La Gerencia: para apoyar la toma de decisiones y control sobre el rendimiento de las mismas. Los usuarios finales: para obtener garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los auditores: para dar soporte a sus opiniones sobre los controles de los proyectos de TI, impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

Requerimientos de informacin del negocio Requerimientos de Calidad: Calidad, Costo y Entrega Requerimientos Fiduciarios: Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa Requerimientos de seguridad: Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI El COBIT establece los siguientes recursos de TI necesarios para alcanzar los objetivos del negocio Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los SI.

Niveles de COBIT Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.

Dominios del COBIT Planear y Organizar (PO) Adquirir e Implementar (AI) Dar soporte y Entrega (DS) Monitorear y Evaluar (ME)

Planear y Organizar (PO) Cubre estrategias y las tcticas del rea TI, de manera que TI contribuya de la mejor manera al logro de los objetivos del negocio. La realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas.Se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Adquirir e implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio Este dominio, cubre los siguientes cuestionamientos de la gerencia: Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?

Dar Entrega y Soporte (DS) Este dominio cubre la entrega en s de servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales. Por lo general aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Monitorear y evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno. Abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio

Ejemplo Descripcin de un proceso Adquisicin e implementacin AI4 Facilitar la Operacin y el Uso El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correcta de las aplicaciones y la infraestructura que satisface el requerimiento del negocio de TI para garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio Enfocndose en Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el conocimiento necesario para la operacin y el uso exitosos del sistema. Se logra con - El desarrollo y la disponibilidad de documentacin para transferir el conocimiento - Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operacin - La generacin de materiales de entrenamiento Y se mide con - El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio - El porcentaje de dueos de negocios satisfechos con el entrenamiento de aplicacin y los materiales de apoyo. - El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin

DOMINIOSPROCESOS

PLANEACIN Y ORGANIZACIN (PO):Cubre la estrategia y las tcticas, se refiere a la identificacin de la forma en que la tecnologa de la informacin puede contribuir de la mejor manera al logro de los objetivos de la organizacin. La consecucin de la visin estratgica debe ser planeada, comunicada y administrada desde diferentes perspectivas y debe establecerse una organizacin y una infraestructura tecnolgicas apropiadas.PO1 Definir un Plan Estratgico de TI: El objetivo es lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros.PO2 Definir la Arquitectura de la Informacin: El objetivo es satisfacer los requerimientos de la organizacin, en cuanto al manejo y gestin de los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de la organizacin.PO3 Determinar la direccin tecnolgica: El objetivo es aprovechar al mximo la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de la organizacin, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica.PO4 Definir la Organizacin y Relaciones de TI: El objetivo es la prestacin de servicios de TI, por medio de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas.PO5 Manejar la Inversin en TI: El objetivo es la satisfaccin de los requerimientos de la organizacin, asegurando el financiamiento y el control de desembolsos de recursos financieros.PO6 Comunicar las directrices y aspiraciones gerenciales: El objetivo es asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones de la gerencia, a travs de polticas establecidas y transmitidas a la comunidad de usuarios, necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables.PO7 Administrar Recursos Humanos: El objetivo es maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal.PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir con obligaciones legales, regulatorias y contractuales, para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI, mediante la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos.PO10Administrar proyectos: El objetivo es establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin, para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido.PO11Administrar Calidad: El objetivo es satisfacer los requerimientos del cliente., mediante una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin.

ADQUISICIN E IMPLEMENTACIN (AI)Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.AI1Identificar Soluciones: El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario, mediante un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios.AI2Adquirir y Mantener Software de Aplicacin: El objetivo es proporcionar funciones automatizadas que soporten efectivamente la organizacin mediante declaraciones especficas sobre requerimientos funcionales y operacionales, y una implementacin estructurada con entregables claros.AI3Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las plataformas apropiadas para soportar aplicaciones de negocios mediante la realizacin de una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema.

AI4Desarrollar y Mantener Procedimientos relacionados con TI: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas, mediante la realizacin de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento.AI5Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la solucin sea adecuada para el propsito deseado mediante la realizacin de una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas.AI6Administrar Cambios: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, mediante un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.

SERVICIOS Y SOPORTE (DS)En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.DS1Definir niveles de servicio: El objetivo es establecer una comprensin comn del nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio.DS2Administrar Servicios de Terceros: El objetivo es asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin.DS3Administrar Desempeo y Calidad: El objetivo es asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado, realizando controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos.DS4Asegurar Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones, mediante un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio.DS5Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la informacin contra usos no autorizados, divulgacin, modificacin, dao o prdida, realizando controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados.DS6Identificar y Asignar Costos: El objetivo es asegurar un conocimiento correcto atribuido a los servicios de TI realizando un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos.DS7Capacitar Usuarios: El objetivo es asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.DS8Asistir a los Clientes de TI: El objetivo es asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda que proporcione soporte y asesora de primera lnea.DS9Administrar la Configuracin: El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia.DS10Administrar Problemas e Incidentes: El objetivo es asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes.

DS11Administrar Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento, a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI.DS12Administrar Instalaciones: El objetivo es proporcionar un ambiente fsico conveniente que proteja el equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.DS13Administrar Operaciones: El objetivo es asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades.

MONITOREO (M)Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. M1Monitorear los procesos: El objetivo es asegurar el logro de los objetivos establecidos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte, as como la atencin regular a los reportes emitidos.M2Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.M3Obtener aseguramiento independiente: El objetivo es incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.M4Proveer auditoria independiente: El objetivo es incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo.

UNIDAD V SEGURIDAD INFORMATICA NDICE Seguridad Informtica Caractersticas Objetivos de la Seguridad Informtica Trminos relacionados con la Seguridad Informtica 2. Polticas de la Seguridad Informtica 3. Clasificacin de la informacin 4. Auditoria de la Seguridad Informtica 5. Tipos de medidas de seguridad Medidas Fsicas Medidas Lgica

Seguridad InformticaPodemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi, y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren autorizadas y dentro de los lmites de su autorizacin.Trminos relacionados con la Seguridad Informtica Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Vulnerabilidad: es una debilidad que puede ser utilizada para causar un dao. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Objetivos de Seguridad para satisfacer necesidades del negoci Asegurar la disponibilidad de los sistemas de informacin Asegurar la integridad de la informacin en sus sistemas informticos (almacenada y en transito) Preservar la confidencialidad de los datos sensibles mientras estn almacenados y en transito Asegurar el cumplimiento de leyes, regulaciones y estndares aplicables Asegurar que todos los datos sensibles estn protegidos cuando se almacenan y cuando estn en transito, en funcin a los requerimientos del negocio

Polticas de Seguridad InformticaLa poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para lograr la seguridad del sistema, las funciones y responsabilidades de los distintos componentes de la organizacin y los mecanismos para controlar su correcto funcionamiento. Las polticas generalmente son establecidas por la gerencia y aprobadas por la alta direccin. Caractersticas de la seguridad de la informacinPara que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora. Confidencialidad, Integridad y DisponibilidadLa Seguridad de la Informacin protege la confidencialidad, integridad y disponibilidad de los sistemas de informacin. Confidencialidad busca asegurar que la informacin no es revelada a personas o procesos sin autorizacin.La prdida de confidencialidad puede ocurrir de varias maneras tal como:0. La revelacin intencional de informacin privada de la organizacin o 0. Por medio de la mala aplicacin de derechos sobre la red informtica. Integridad se refiere al control de la informacin a travs de la preservacin de la consistencia de los sistemas de informacin. Disponibilidad busca asegurar que usuarios autorizados a un sistema posean acceso oportuno e ininterrumpido a la informacin del sistema.Clasificacin de activosUn control efectivo requiere de un inventario y una clasificacin de activos de informacin, dicha lista es el primer paso para clasificar los activos y determinar el nivel de proteccin que se debe proveer a cada uno de ellos. La clasificacin de activos debe definir:- Quien es el propietario?- Quien tiene derechos de acceso (necesita saber)- Nivel de acceso otorgado- Responsable de determinar sus derechos y nivel de acceso- Aprobaciones que se requieren para su acceso?- Grado de controles de seguridad a aplicar

Tipos de Activos Informacin Bases de datos y archivos de datos Contratos y acuerdos Documentacin impresa o en lnea Informacin de investigacin Manuales y material de entrenamiento Procedimientos Pistas de Auditora Software Software de aplicacin Software de base Herramientas y utilitarios de desarrollo Hardware Equipos de computacin Equipos de comunicaciones Medios de almacenamiento Centros de cableados Servicios Servicios de computacin y comunicaciones Servicios de soporte (electricidad, aire acondicionado, iluminacin, calefaccin, etc.) Personas, junto con su experiencia, capacidades y competencias Bienes Intangibles Reputacin Marcas Imagen de la organizacinClasificacin de la InformacinLas razones principales para clasificar la informacin son: Demostrar el compromiso de la organizacin hacia la proteccin de los datos. Ayuda a identificar cual informacin es la ms sensible o vital para la organizacin. Soportar los principios de confidencialidad, integridad y disponibilidad en lo pertinente a los datos. Ayuda a identificar que tipo de proteccin es aplicable a que tipo de informacin. Cumplir posibles requerimientos legales o regulatorio

Esquema sencillo de clasificacin de la informacin Uso PblicoInformacin que es segura de revelar pblicamente Uso Interno SolamenteInformacin que es segura de revelar en forma interna pero no externamente ConfidencialLa informacin ms confidencial de la organizacin.Existen varios pasos para establecer un esquema de clasificacin de la informacin, por ejemplo: Identificar el administrador / custodio Especificar el criterio por el cual se clasificar la informacin Clasificar los datos Documentar las excepciones a la regla de clasificacin Establecer los controles que se aplicarn para cada nivel de la clasificacin Establecer los procedimientos para desclasificar la informacin o para transferir la custodia a otra entidad Desarrollar un programa de concientizacin empresarial.Roles de clasificacin Propietario: un propietario de informacin podr ser un ejecutivo / gerente responsables de usar informacin para ejecutar y controlar el negocio. Algunas responsabilidades del propietario son: Determinar el nivel de clasificacin que requerir la informacin. Revisar las asignaciones de clasificacin de manera peridica y realizar cambios que sean aplicables. Autorizar el acceso y asegurarse de que estn actualizadas las reglas de acceso Delegar la responsabilidad de la proteccin al custodio. Custodio: se le delega la responsabilidad de proteccin de los datos de parte del propietario. Este rol es ejecutado normalmente por personal de TI. Sus tareas son: Realizar backups peridicos y probar la restauracin de los datos respaldados. Restaurar los datos del backup cuando sea necesario. Mantener la informacin de acuerdo con el esquema de clasificacin vigente. Ocasionalmente administrar el esquema de clasificacin. Usuarios: un usuario final es considerado aquel que utiliza la informacin del sistema en forma rutinaria como parte de su puesto de trabajo en la organizacin. Los usuarios deben seguir los procedimientos operativos definidos en la poltica de seguridad.Auditoria de la Seguridad Informtica La Auditoria de la seguridad en la informtica abarca los conceptos de seguridad fsica y lgica. La seguridad fsica se refiere a la proteccin del hardware, as como la seguridad de los edificios e instalaciones que los albergan. El auditor informtico debe contemplar situaciones de incendios, inundaciones, robos, sabotajes, catstrofes naturales, etc.La seguridad lgica se refiere a la seguridad en el uso del software, la proteccin de los datos y procesos as como la del acceso ordenado y autorizado de los usuarios a la informacin. El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de virus.

Tipos de medidas de seguridadLas medidas de seguridad que pueden establecerse en un sistema informtico son: Medidas Fsicas Medidas Lgicas

Seguridad FsicaAplican mecanismos para impedir el acceso directo o fsico no autorizado al sistema. Tambin protegen al sistema de desastres naturales o condiciones medioambientales adversas. Se trata fundamentalmente de establecer un permetro de seguridad al sistema.Existen tres factores fundamentales a considerar: El acceso fsico al sistema por parte de personas no autorizadas Los daos fsicos por parte de agentes nocivos o contingencias Las medidas de recuperacin en caso de fallo

Tipos de controles que se pueden establecer, estos incluyen: Control de las condiciones medioambientales (temperatura, humedad, polvo, etc....) Vigilancia (cmaras, guardias , etc.) Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida, estabilizadores de corriente, fuentes de ventilacin alternativa, etc.) Sistemas de recuperacin (copias de seguridad, servidor redundante, sistemas alternativos geogrficamente separados y protegidos, etc.)

Seguridad LgicaEntre los tipos de controles lgicos que es posible incluir en una poltica de seguridad podemos destacar los siguientes: Establecimiento de una poltica de control de accesos. (sistema de identificacin y autentificacin de usuarios autorizados y un sistema de control de acceso a la informacin) Definicin de una poltica de instalacin y copia de software. Definicin de una poltica de copias de seguridad. Definicin de una poltica de monitorizacin y auditoria del sistema.Dentro de las medidas lgicas se incluyen tambin aquellas relativas a las personas, se trata de definir las funciones, relaciones y responsabilidades de distintos usuarios potenciales del sistema. Se tratara entonces de responder a preguntas tales como: A quin se le permite el acceso y uso de los recursos? Qu recursos puede acceder cada usuario y qu uso puede hacer de ellos? Cules son las funciones del administrador del sistema y del administrador de la seguridad? Cules son los derechos y responsabilidades de cada usuario?A la hora de responder a las preguntas anteriores hemos de diferenciar cuatro tipos fundamentales de usuarios. A cada tipo se le aplicar una poltica distinta de control de accesos y se le imputaran distinto grado de responsabilidad sobre el sistema:El administrador del sistema y en su caso el administrador de la seguridad.Los usuarios del sistema.Las personas relacionadas con el sistema pero sin necesidad de usarloLas personas ajenas al sistema

Consideraciones de softwareTener instalado en la mquina nicamente el software necesario reduce riesgos. Tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos).Un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre.Consideraciones de una red Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus.

Phishinges utilizado para referirse a uno de los mtodos mas utilizados por delincuentes cibernticos para estafar y obtener informacin confidencial de forma fraudulenta como puede ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria de la victima

Computadora: es el objeto del delito y el criminal utiliza otra computadora para perpetar el ataque

Ataque de alteracin: Modificacin NO autorizada de datos o cdigo, afectan la integridad de datosAtaque fuerza bruta: ataque por un intruso, utilizando muchas herramientas de decodificacin de contraseas encriptadas para obtener acceso no autorizado a una red o a sistemas basados en un hostVirus: Unvirus informtico o virus computacionales unmalwareque tiene por objetivo alterar el normal funcionamiento delordenador, sin el permiso o el conocimiento del usuario.El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta un programa que est infectado, en la mayora de las ocasiones, por desconocimiento del usuario. El cdigo del virus queda residente (alojado) en lamemoria RAMde la computadora, incluso cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos delsistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al programa infectado y se graba en eldisco, con lo cual el proceso de replicado se completa

Concienciacin, polticas de seguridad, administrador de seguridad, acceso fsico, proteger la red, antivirus

Ejercicio Una compaa dedicada a la produccin y distribucin de videos clips, ha respaldado activamente el uso de notebooks por su personal, de modo que cuando ellos viajan o trabajan desde sus casas, puedan utilizarlas.A travs de Internet, ellos pueden acceder a las bases de datos de la compaa y proveer informacin en lnea a clientes.Esto ha tenido un aumento en la productividad de los empleados . Basado en procedimientos escritos y capacitacin, los empleados aprenden procedimientos de seguridad para evitar el acceso no autorizado a los datos de la compaa.Para el acceso, los empleados utilizan un inicio de sesin y contraseas para el servidor de aplicacin. Las contraseas iniciales son asignadas por el administrador de seguridad y cuando el empleado inicia por 1ra vez, el sistema fuerza un cambio de contrasea para mejor confidencialidad.Actualmente, la gerencia esta considerando formas de mejorar la proteccin de seguridad para el acceso remoto de sus empleados, ayuda a la gerencia contestando las siguientes preguntas:1. Cul de los siguientes niveles crees que un grado mas alto de proteccin al aplicar un control de acceso para evitar riesgos de acceso no autorizado?0. Nivel de red0. Nivel de aplicacin0. Nivel de base de datos0. Nivel de archivo de registro de auditoria

1. Cuando un empleado notifica a la compaa que ha olvidado su contrasea Qu te parece que debe hacer PRIMERO el administrador?1. Permitir que el sistema genere aleatoriamente una nueva contrasea.1. Verificar la identificacin del usuario a travs de un sistema de pregunta/respuesta1. Proveer al empleado la contrasea predeterminada y explicar que la cambie lo antes posible1. Pedir al empleado que se traslade a la computadora del administrador para generarle una nueva contrasea para asegurar la confidencialidad

1. Cual de las siguientes remocomendaciones es MAS probable que reduzca el riesgo de acceso remoto no autorizado?2. Mantener un registro de acceso (fecha, hora)2. Actualizar polticas de corta fuegos (firewall) y verificar su implementacin2. Tener instalado un software antivirus en el servidor

Tarea de investigacin1. Auditoria del ciclo de vida de los sistemas3. Objetivos de control a auditar3. Importancia de la auditoria del desarrollo3. Tareas del auditor en: 2. El estudio de factibilidad /viabilidad, la definicin de requerimientos, el proceso de adquisicin de software, el diseo de sistemas, el desarrollo de sistemas, la etapa de implementacin, la etapa de pruebas, el mantenimiento de los sistemas, la revisin posterior a la implementacin, la administracin y gestin de proyectos

Revisin del ciclo de vida del desarrollo de Aplicaciones, adquisicin o mantenimiento.El Objetivo de esta revisin es identificar, analizar y evaluar los requerimientos del usuario, riesgos, exposiciones a ellos y los controles en aplicaciones especficas durante la fase de desarrollo, adquisicin o mantenimiento de las aplicaci