Seguridad de la informacin y auditora de sistemas

RESUMEN
Se hace una breve descripcin de la seguridad de la informacin, explorando los
problemas en los sistemas, tanto a nivel de softwarecomo a nivel de red.
Tambin se hace una introduccin a la auditoria de sistemas, indicando sus
procesostpicos y presentando al final algunos estndares de seguridad de la
informacin.

1.

SEGURIDAD DE LA INFORMACIN

Gran parte de las empresasde hoy en da, as como gran parte de las personas
involucradas en el mundo digital han buscado maneras de dar desarrollo a los
sistemas de informacin, enfocados estos en software y hardware que permiten
las comunicaciones desde diversas partes del mundo.
Es tal el surgimiento y evolucin de los sistemas de informacin que en
promedio de 100 familias 97 poseen comunicaciones a travs de Internet, y no
solo es la Word Wide Web la que permite ver estos grandes cambio, tambin es
la tecnologaque esta de por medio como televisores, sistemas de comunicacin
inalmbricas, cpu"s, porttiles, entre otros.
Es importante por tanto resaltar la importancia que estos sistemas de
informacin dan a la sociedad y por tanto la importancia que se les da dentro de
medios gubernamentales, polticos, empresariales o educativos; es as como
para brindar que la informacin fluya de un lugar a otros sin inconvenientes,
existe la seguridad y custodia de datos, y para explicar esto se hablar de la
seguridad de la informacin y la auditoria de sistemas.
Segn [1] se puede entender como seguridad un estado de cualquier
sistema(informtico o no) que nos indica que ese sistema est libre de peligro,
dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar
su funcionamiento directo o los resultados que se obtienen del mismo. Para la
mayora de los expertos el concepto de seguridad en la informtica es utpico
porque no existe un sistema 100% seguro. Para que un sistema se pueda definir
como seguro debe tener estas cuatro caractersticas:

Integridad: La informacin slo puede ser modificada por quien est

autorizado, esto es que no se realicen modificaciones por personas no
autorizadas a los datos, informacin o procesos, que no se realicen
modificaciones no autorizadas por personal autorizado a los datos,
informacin o procesos y que los datos o informacin sea consistente tanto
interna como externamente.
Confidencialidad: La informacin slo debe ser legible para los
autorizados, esto implica el buscar prevenir el acceso no autorizado ya sea en
forma intencional o no intencional de la informacin.
Disponibilidad: Debe estar disponible cuando se necesita los datos, la
informacin o recursos para el personal adecuado.

Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la

autora.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en

seguridad lgica y seguridad fsica.
As mismo es importante tener en cuenta ciertos trminos que aclaran que
puede tenerse en cuenta al hablar de seguridad informtica, tales son:

Activo: recurso del sistema de informacin o relacionado con ste,

necesario para que la organizacin funcione correctamente y alcance los
objetivos propuestos.

Amenaza: es un evento que pueden desencadenar un incidente en la

organizacin, produciendo daos materiales o prdidas inmateriales en sus
activos.
Impacto: medir la consecuencia al materializarse una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un
activo, en un dominio o en toda la organizacin.
Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una
amenaza sobre un activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento
del sistema.
Desastre o Contingencia: interrupcin de la capacidad de acceso a
informacin
y
procesamiento
de
la
misma
a
travs
de
computadorasnecesarias para la operacin normal de un negocio.

No te que riesgo y vulnerabilidad son conceptos diferentes, debido a que la

vulnerabilidad est ligada a una amenaza y el riesgo a un impacto.
Teniendo en cuenta lo anterior se puede notar que entre los activos ms
importantes para una organizacin esta la informacin y por tanto la custodia
de la misma, es entonces como la seguridad de la Informacin es el conjunto de
metodologas, prcticas y procedimientos que buscan proteger la informacin
como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a
los que esta expuesta, a efectos de asegurar la continuidad del negocio,
minimizar los daos a la organizacin y maximizar el retorno de inversiones y
las oportunidades del negocio. Y en el caso de cada individuo de proteger la
identidad y la privacidad [2].

Es clara la diferencia que puede tomar la seguridad de la informacin tanto para

organizacionescomo para los individuos, esto quiere decir que las organizaciones buscan
proteger los recursos de la organizacincomo son la informacin, las comunicaciones, el
hardware y el software que le pertenecen. Para lograrlo se seleccionan y establecen los
controles apropiados. La Seguridad de la informacin ayuda a la misin de la
organizacinprotegiendo sus recursos fsicos y financieros, reputacin, posicin legal,
empleados y otros activostangibles e intangibles, el otro punto de vista existe para los
individuos cuyo propsito es proteger la privacidad e identidad de los mismos evitando que
su informacin caiga en la manos no adecuadas y sea usada de forma no apropiada.

Tenga en cuenta que muchas empresas para evitar el acceso a su informacin y el daoque
pueda ser producida a la misma, se utilizan potentes antivirus que permiten la deteccin de
virusy su erradicacin, slo se debe tener en cuenta por el usuario cul es el ms apropiado
para manejar y el que cubre sus necesidades.
Entonces en conclusin, seguridad, describe las polticas, los procedimientos y las medidas
tcnicas que se emplean para prevenir acceso no autorizado, alteracin, robo dao fsico a
los sistemas de informacin.
1.1. Problemas en los sistemas
Tenga en cuenta que muchos problemas en los sistemas de informacin se dan por errores
propios de los sistemas y que permiten que se tenga acceso violando las normas
establecidas, esto quiere decir por ejemplo los errores de programacin, porque al ser un
sistemamuy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro
crear inestabilidad en el sistema. Segn [3] los estudios muestran que aproximadamente
60% de los errores se detectan durante las pruebas y son resultado de especificaciones
omitidas, ambiguas, errneas o no perceptibles en la documentacin del diseo.
Otra de las razones por las que los sistemas de informacin pueden ser inestables, es por el
mantenimiento, ya que es la fase ms costosa de todo proyecto, adems porque casi la
mitad del tiempo se dedica a realizar ajustes y mantenimiento a los sistemas.
Es por tanto que el proceso de certificar la calidad es esencial para el proceso de desarrollo
de un sistema de informacin, ya que podr prevenir errores durante la captura de datos.
Y es aqu cuando se empieza a hablar de controles para la custodia de la informacin; es
importante detallar que un control segn Laudon en su libro [3] son todos los mtodos,
polticas y procedimientos que aseguran la proteccin de los activos de la organizacin, la
exactitud y confiabilidad de sus registros y el apego de sus operaciones a los estndares que
defina la administracin. Es as que el control de un sistema de informacin debe ser una
parte integral de su diseo. Los usuarios y constructores de sistemas deben prestar una
estrecha atencin a los controles durante toda la vida del sistema.
Pero no solo el control es importante, as mismo se debe destacar que existen dos tipos de
controles, los generales y los de aplicaciones. Los primeros gobiernan el diseo, la
seguridad y el uso de programas de computacin y la seguridad de archivos de datos a lo
largo de la infraestructura de tecnologa de la informacin; por otra parte los controles de
aplicaciones son ms especficos para cada aplicacin computarizada. Tenga en cuenta que
los controles generales incluyen a su vez controles de software, de hardware fsico, controles
de operaciones de cmputo, controles de seguridad de datos, controles sobre el proceso de
implementacin de sistemas y controles administrativos.
Teniendo en cuenta este esquema actualmente existen proveedores de servicios
administrativos (MSP) por su sigla en ingls que proporcionan redes, sistemas,
almacenamiento y administracin de seguridad para sus clientes suscriptores.
Es entonces como aparte de la seguridad que se debe tener en cuenta para los aplicativos de
software, tambin se debe tener en cuenta la seguridad de componentes de hardware, para
esto se crearon los sistemas de deteccin de intrusos, que son herramientas para
monitorear los puntos ms vulnerables en una red, para detectar y detener a los intrusos no
autorizados.
Siguiendo con los conceptos se puede tambin tener en cuenta que la informacin al ser
manejada por varias personas es importante mantenerla intacta, por lo que en busca de este
concepto, se crea la encriptacin, que desde la poca rabe viene funcionando y ha sido

aplicada a los sistemas de cmputo actuales, esto consiste en codificacinpara mensajes

para que se impida la lectura o acceso sin autorizacin.
En este sentido tambin se debe de hablar de otro tipo de seguridad implementada para las
organizaciones y en concepto a sus altos directivos o reas especficas de la compaa, esto
es la aplicacin de certificados digitales que se pueden utilizar para establecer la identidad
de personas o de activos electrnicos, igualmente protegen las transacciones en lnea
proporcionando comunicacin segura y encriptada. Actualmente estos mtodos de
seguridad de la informacin son utilizados por entidades financieras que transmiten
informacin importante a otras entidades controladoras, as como por compaas donde la
informacin es valiosa y no puede ser conocida sino por ciertas personas.
1.2. Tcnicas de aseguramiento del sistema
Como se nombro anteriormente actualmente se manejan varios mtodos para tener
seguridad dentro de un sistema, tales pueden ser:

Codificar la informacin: Por medio de la criptografa, contraseas difciles de

averiguar a partir de datos personales del individuo.
Vigilancia de red.
Tecnologas repelentes o protectoras:Manejar firewalls, antispyware o
sistemas de deteccin de intrusos, antivirus. Llaves para proteccin de software, etc.
Mantener los sistemas de informacin con las actualizaciones que ms impacten en la
seguridad.

1.3. Consideraciones de software

Una persona o compaa debe tener instalado en la mquina nicamente el software
necesario ya que esto permite reducir los riesgos. As mismo tener controlado el software ya
que asegura la calidad de la procedencia del mismo (el software pirata o sin garantas
aumenta los riesgos).
En todo caso un inventario de software proporciona un mtodo correcto de asegurar la
reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita
tambin la reinstalacin en caso de contingencia.
Tenga en cuenta que en Internetexisten actualmente gran cantidad de pginas que
advierten sobre seguridad y muestran los virus riesgosos, antivirus existentes y
procedimientos para custodia de informacin importante.
1.4. Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de
ficheros desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mnimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las mquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo
se ha introducido el virus.
En este punto es importante recalcar que toda persona y/o compaa es vulnerable en su
seguridad pues como se nombr desde un inicio no existe an un sistema 100% seguro y
confiable.

2. AUDITORA DE SISTEMAS
La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la virtud
de or y revisar cuentas, pero debe estar encaminado a un objetivo
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la
revisin, evaluacin y elaboracin de un informepara el ejecutivo encaminado a un objetivo
especfico en el ambiente computacional y los sistemas.
A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia
sobre auditoria de sistemas:

La verificacin de controles en el procesamiento de la informacin, desarrollo de

sistemas e instalacin con el objetivo de evaluar su efectividad y presentar
recomendaciones a la gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del rea de Procesamiento automtico de
datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados
en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y mejorarlas.
El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema
automatizado: Salvaguarda activos, destruccin, uso no autorizado, robo, mantiene
integridad de informacin precisa, informacin oportuna, confiable, alcanza metas,
utiliza los recursos adecuadamente, es eficiente en el procesamiento de la informacin
Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia),
sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones,
procesos, procedimientos e informesrelacionados con los sistemas de informacin
computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a:
eficiencia en el uso de los recursos informticos, validez de la informacin, efectividad
de los controles establecidos

Tomando como referencia a [4] La auditoria en informticaes la revisin y la evaluacin de

los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de
la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditoria en informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditoria en informtica es de vital importancia para el buen desempeode los sistemas
de informacin, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica,
organizacin de centros de informacin, hardware y software).
Igualmente existen algunos tipos de auditoria diferentes a la que en el presente trabajo
interesa, tales como auditoria financiera, auditoria econmica, auditoria operacional,
auditoria fiscal, auditoria administrativa.
2.1. Objetivos Generales de una Auditoria de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o

computarizados diseados e implantados.
Incrementar la satisfaccin de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin
mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico.
Minimizar existencias de riesgos en el uso de tecnologa de informacin.
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los sistemas de informacin.
2.

Justificaciones para efectuar una Auditoria de Sistemas

Aumento considerable e injustificado del presupuesto del PAD (Departamento de

Procesamiento de Datos).
Desconocimiento en el nivel directivo de la situacin informtica de la empresa.
Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del
personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica.
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,
metodologa, asignacin de tareas y adecuada administracin del recurso humano.
Descontento general de los usuarios por incumplimiento de plazos y mala calidad
de los resultados
Falta de documentacin o documentacin incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin.

2.3. Planeacin de la auditoria en informtica

Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una
serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea
dentro del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que
hacerla desde el punto de vista de los dos objetivos:
1. Evaluacin de los sistemas y procedimientos.
2. Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto
planear el programade trabajo, el cual deber incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
2.4. Investigacin preliminar [4]
Se deber observar el estado general del rea, su situacin dentro de la organizacin, si
existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.

Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada

una de las reas basndose en los siguientes puntos:
ADMINISTRACIN: Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de
informtica objetivos a corto y largo plazo, recursos materiales y tcnicos, solicitar
documentos sobre los equipos, nmero de ellos, localizacin y caractersticas, estudios de
viabilidad, nmero de equipos, localizacin y las caractersticas (de los equipos instalados y
por instalar y programados), fechas de instalacin de los equipos y planes de instalacin,
contratosvigentes de compra, renta y serviciode mantenimiento, contratos de seguros,
convenios que se tienen con otras instalaciones, configuracin de los equipos y capacidades
actuales y mximas, planes de expansin, ubicacin general de los equipos, polticas de
operacin, polticas de uso de los equipos.
SISTEMAS: Descripcin general de los sistemas instalados y de los que estn por instalarse
que contengan volmenes de informacin, manual de formas, manual de procedimientos
de los sistemas, descripcin genrica, diagramasde entrada, archivos, salida, salidas, fecha
de instalacin de los sistemas, proyecto de instalacin de nuevos sistemas.
En el momento de hacer la planeacin de la auditoria o bien su realizacin, se debe evaluar
que pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve que:

No tiene y se necesita.
No se tiene y no se necesita.

Se tiene la informacin pero:

No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada y est completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es

necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de
acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la
informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga
la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est
completa.
El xito del anlisis crtico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la

informacin sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

2.5. Personal participante

Una de las partes ms importantes dentro de la planeacin de la auditoria en informtica es
el personal que deber participar y sus caractersticas.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al
cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica
profesional y capacitacin que debe tener el personal que intervendr en la auditoria. En
primer lugar se debe pensar que hay personal asignado por la organizacin, con el
suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas.
ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar
con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a
auditar, sera casi imposible obtener informacin en el momento y con las caractersticas
deseadas.
Tambin se debe contar con personas asignadas por los usuarios para que en el momento
que se solicite informacin o bien se efecte alguna entrevista de comprobacin de
hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo
multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de
informtica, sino tambin el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se
deben tener personas con las siguientes caractersticas:

Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y

experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que
una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir
una o varias personas con las caractersticas apuntadas.
Una vez que se ha hecho la planeacin, se puede utilizar un formato en el que figura el
organismo, las fases y subfases que comprenden la descripcin de la actividad, el nmero
de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das
hbiles y el nmero de das/hombre estimado. El control del avance de la auditoria se
puede llevar mediante un informe, el cual nos permite cumplir con los procedimientos de
control y asegurar que el trabajo se est llevando a cabo de acuerdo con el programa de
auditoria, con los recursos estimados y en el tiempo sealado en la planeacin.
2.6. Pasos a seguir
Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar
los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de
auditoria exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades
de los controles existentes basado en la evidencia recopilada, y que prepare un informe de
auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de

auditoria debe garantizar una disponibilidad y asignacin adecuada de recursos para

realizar el trabajo de auditoria adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
2.7. Informe
Despus de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor
realizar un informe resultante con observaciones y7o aclaraciones para llevara cabo dentro
de las reas involucradas para el mejor funcionamiento del sistema.

3. ESTNDARES DE SEGURIDAD DE LA INFORMACIN

ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estndares de seguridad
publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la
Seguridad de la Informacin (SGSI).
COBIT: Objetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en
ingls: Control Objectives for Information and related Technology) es un conjunto de
mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditoria
y Control de Sistemas de Informacin, (ISACA, en ingls: Information Systems Audit and
Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin
(ITGI, en ingls: IT Governance Institute) en 1992.
La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologas de la informacin que
sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el
uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores,
auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus
Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y
control que es necesario para proteger los activos de sus compaas mediante el desarrollo
de un modelo de administracin de las tecnologas de la informacin.
ITIL: La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de
Tecnologas de Informacin"), frecuentemente abreviada ITIL, es un marco de trabajo de
las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la
informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de
gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han sido
desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y
operaciones de TI.

4. BIBLIOGRAFA
[1] Wikipedia. "Seguridad Informtica". Disponible:
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica [citado el 17 de
Mayo de 2008]
[2] Wikipedia. "Seguridad de la informacin" Disponible:
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n [citado el
17 de Mayo de 2008]

[3] Google. "Sistemas de Informacin Gerencial". Disponible:

http://books.google.com.co/books?id=KD8ZZ66PFgC&printsec=frontcover&dq=SISTEMAS+DE+INFORMACI
%C3%93N+GERENCIAL+
%2B+KENNETH&lr=&source=gbs_summary_r&cad=0#PPA455,M1 [citado 17
de Mayo de 2008]
[4] Gerencie.com. "Auditoria de sistemas de informacin". Disponible:
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html [citado
17 de Mayo de 2008]
[5] Monografas.com. "Conceptos de la auditoria de sistemas" Disponible:
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
[citado 17 de Mayo de 2008]

Autor:
Paula Andrea Vizcaino
pervys2000[arroba]yahoo.es

Paula Andrea Vizcaino, estudiante de XI semestre del programa de Ingeniera

de Sistemas de la Fundacin Universitaria Konrad Lorenz.
Director: Jaimir Hurtado. Docente del programa de ingeniera de sistemas de la
Fundacin Universitaria Konrad Lorenz
Realizado en Bogot, mayo 2008