Está en la página 1de 11

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

AUDITORIA DE SISTEMAS I
MAPEO DE SEGURIDAD DE LA ARQUITECTURA Y PLATAFORMAS TECNOLOGICAS

ALUMNO:

Wilmer Inca

CURSO: CA 9 – 8
QUITO – ECUADOR

Precisar las funciones asignadas a cada unidad administrativa. Así como las instrucciones y lineamientos que se consideren necesarios para el mejor desempeño de sus tareas. En consecuencia. estructura. procedimientos. La Informática hoy. objetivos. por lo tanto. legislación. desde su reseña histórica. los Sistemas de Información de la empresa. información de una organización (antecedentes.    Importancia de los manuales La importancia de los manuales radica en que ellos explican de manera detallada los procedimientos dentro de una organización. sistemas. a través de ellos logramos evitar grandes errores que se suelen cometer dentro de las áreas funcionales de la empresa. para definir responsabilidades. políticas. Sistemas informáticos: Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial. etc. Objetivos De Los Manuales  Promover el aprovechamiento racional de los recursos tecnológicos disponibles. y por eso las normas y estándares propiamente informáticos deben estar. Estos pueden detectar fallas que se presentan con regularidad. sometidos a los generales de la misma. las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa.INTRODUCCIÓN Manuales Concepto: Son documentos que sirven como medios de comunicación y coordinación que permiten registrar y transmitir en forma ordenada y sistemática. evitando la repetición de instrucciones y directrices. evitando la duplicidad de funciones. evitar duplicaciones y detectar omisiones. Además son de gran utilidad cuando ingresan nuevas personas a la organización ya que le explican todo lo relacionado con la misma.). está subsumida en la gestión integral de la empresa. haciendo referencia a su estructura organizacional. hasta explicar los procedimientos y tareas de determinado departamento. . Coadyuvar a la correcta realización de las labores encomendadas al personal y propiciar la uniformidad del trabajo. Ahorrar tiempo y esfuerzo en la realización del trabajo.

Un sistema informático mal diseñado puede convertirse en una herramienta muy peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:  Las computadoras y los centros de proceso de datos se convirtieron en blancos apetecibles no solo para el espionaje. a su vez. erróneos. los sistemas.Cabe aclarar que la Informática no gestiona propiamente la empresa. la gestión y la organización de la empresa no puede depender de un software y hardware mal diseñados. las telecomunicaciones.   . Dicha tecnología. ayuda a la toma de decisiones. PLANTEAMIENTO DEL PROBLEMA El avance de la informática. y ha permitido la evolución en la forma de llevar los procesos. existe la auditoria Informática. en especial hará énfasis en el desarrollo de los negocios. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus sistemas informáticos. con la posibilidad de que se provoque un efecto cascada y afecte a aplicaciones independientes. han permitido a la sociedad moderna a través de entes públicos y privados desarrollarse rápidamente. sino para la delincuencia y el terrorismo (delitos informáticos y otros). debido a su importancia en el funcionamiento de una empresa. y otras aplicaciones de tecnología. el cual está íntimamente relacionado con la tecnología de información. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son. Por ende. ha permitido que los sistemas informáticos estén sometidos al control correspondiente. en todos los ámbitos y sentidos. pero no decide por sí misma.

Varios de estos documentos son: COBIT Y LAS Normas ISO. Reducir riesgos y aumentar los controles. las actividades que se desarrollan y los esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa.Objetivos   Incrementar la satisfacción de los usuarios de los sistemas computarizados. Conocer la situación actual del área de navegación y del área de telefonía del Centro de Comunicaciones. así como también. utilidad. .     Antecedentes: La necesidad de regular y establecer parámetros para la correcta administración y uso de los paquetes informáticos tanto software como hardware han permitido la elaboración de manuales y documentos que guían el uso de esta tecnología. entre estas últimas La Norma ISO 15408. son varias de las normas que sirven como guía para el correcto manejo le la tecnología informática y de las diferentes plataformas que pueda utilizar una empresa. privacidad y disponibilidad en el ambiente informático. Seguridad. confianza. Capacitación y educación sobre controles en los sistemas de información. Asegurar una mayor integridad. confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

PDF. las Plataformas deben poseer unas aplicaciones mínimas. Ediciones La primera edición fue publicada en 1996. la tercera edición en 2000 (la edición on-line estuvo disponible en 2003). TXT. y el Instituto de Administración de las Tecnologías de la Información (ITGI. Objetivos de control para la información y tecnologías relacionadas Objetivos de Control para Tecnologías de información y relacionadas (COBIT. . Adquisición e Implementación. Entrega y Soporte. En su cuarta edición. . en inglés: Control ObjectivesforInformation and relatedTechnology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información.) organizados de forma jerarquizada (a través de carpetas/directorios). ODT. Acquire and Implement. tareas. COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización. que se pueden agrupar en: . en inglés: InformationSystemsAudit and Control Association). En inglés: Plan and Organize. reportes de la actividad de cada alumno. salas de Chat. la segunda edición en 1998. en inglés: IT GovernanceInstitute) en 1992. .Herramientas de administración y asignación de permisos (se hace generalmente mediante autenticación con nombre de usuario y contraseña para usuarios registrados). mensajería interna del curso con posibilidad de enviar mensajes individuales y/o grupales. y.Herramientas de distribución de contenidos que permitan al profesorado poner a disposición del alumnado información en forma de archivos (que pueden tener distintos formatos: HTML. PNG. planillas de calificación. Supervisión y Evaluación.1 [1] está disponible desde mayo de 2007..ELEMENTOS Y CARACTERÍSTICAS DE LAS PLATAFORMAS Para poder cumplir las funciones que se espera de ellas. .Herramientas de comunicación y colaboración síncronas y asíncronas como foros de debate e intercambio de información. and Monitor and Evaluate. y la cuarta edición en diciembre de 2005. y la versión 4.Herramientas de seguimiento y evaluación como cuestionarios editables por el profesorado para evaluación del alumnado y de autoevaluación para los mismos.(ISACA. Deliver and Support..

e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores. y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información. auditores. ." Gestores. publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad). actualizados. desarrollar.Misión La misión de COBIT es "investigar.

Por tanto. Por tanto. la norma ISO/IEC 15408 proporciona una guía muy útil a diferentes perfiles relacionados con las tecnologías de la seguridad  Por un lado. al proporcionar un marco común con el que determinar los niveles de seguridad y confianza que implementa un determinado producto en base al conjunto de requisitos de seguridad y garantía que satisface respecto a esta norma obteniendo de esa forma una certificación oficial de nivel de seguridad que satisface. que éstos estuvieran sometidos a evaluación para conocer en qué medida nos ofrecen garantías y podemos depositar confianza en ellos. También muchos clientes y consumidores de sistemas y productos IT carecen de los conocimientos necesarios o recursos suficientes para juzgar por ellos mismos si la confianza que depositan en estos sistemas o productos IT es adecuada y desearían no obtener esa certeza solamente en base a la información que proporcionan los fabricantes o las especificaciones de los desarrolladores. consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologías de la información y sistemas le ofrecen. Ello permite la equiparación entre los resultados de diferentes e independientes evaluaciones.ISO 15408 ¿Qué viene a solucionar ISO 15408? Muchos sistemas y productos de Tecnologías de la Información (en adelante.   . componentes software de propósito específico o plataformas hardware. que determinados aspectos de seguridad se encuentren delegados en funciones de seguridad de otros productos o sistemas de propósito general sobre los cuales ellos trabajan como pueden ser sistemas operativos. normalmente por razones económicas. Sería deseable por tanto. que pueden ajustar sus diseños. En último lugar. que juzgan y certifican en que medida se ajusta una especificación de un producto o sistema IT a los requisitos de seguridad deseados. productos y sistemas IT) están diseñados para satisfacer y realizar tareas específicas y puede ocurrir. desarrolladores de productos o sistemas de tecnologías de la información. ¿Qué es ISO 15408? La norma ISO/IEC 15408 define un criterio estándar a usar como base para la evaluación de las propiedades y características de seguridad de determinado producto o sistema IT. los evaluadores de seguridad. las medidas de salvaguarda dependen del correcto diseño y funcionamiento de los servicios de seguridad que implementan otros sistemas o productos IT más genéricos. Por otro lado.

También establece cómo se pueden realizar especificaciones formales de sistemas o . A continuación.Mecanismos de autenticación simple .Autenticación de usuario . Es el menor elemento seleccionable para incluir en los documentos de perfiles de protección (PP) y especificación de objetivos de seguridad (ST). requisitos de seguridad relacionados con la autenticación. Componente: un pequeño grupo de requisitos muy específicos y detallados. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente énfasis o rigor.Fallos de autenticación .¿Cómo se organiza ISO 15408? Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluación basados en un análisis riguroso del producto o sistema IT a evaluar y los requisitos que este satisface. Para ello.   Veamos con un ejemplo como se clasifica de esta forma.  Clase: Identificación y autenticación Familias de la clase: .Definición de atributos de usuario . describimos cada una de ellas: Parte 1.Tiempo de espera para la autenticación . Define los principios y conceptos generales de la evaluación de la seguridad en tecnologías de la información y presenta el modelo general de evaluación.Mecanismos de autenticación múltiple   La norma ISO/IEC 15408 se presenta como un conjunto de tres partes diferentes pero relacionadas. establece una clasificación jerárquica de los requisitos de seguridad.Identificación de usuario Componentes de la familia Autenticación de usuario .Acciones antes de autenticar . Introducción y modelo general. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus principales tipos los que vemos a continuación:  Clase: Conjunto de familias comparten un mismo objetivo de seguridad.

Gestión de la configuración ADO.Identificación y autenticación de usuario FMT.Privacidad FPT. etc.Mantenimiento de garantías .Protección de las funciones de seguridad del objetivo a evaluar FRU.ProtectionProfile (PP): un conjunto de requisitos funcionales y de garantías independientes de implementación dirigido a identificar un conjunto determinado de objetivos de seguridad en un determinado dominio.Desarrollo AGD. . Ejemplos podrían ser ST para Oracle v. Requisitos Funcionales de Seguridad Este tipo de requisitos definen un comportamiento deseado en materia de seguridad de un determinado producto o sistema IT y se agrupa en clases.Gestión de la seguridad FPR.7. Especifica que requisitos de seguridad proporciona o satisface un producto o sistema.Utilización de recursos FTA. . Requisitos de Garantías de Seguridad Este tipo de requisitos establecen los niveles de confianza que ofrecen funciones de seguridad del producto o sistema. Parte 2. Contiene las siguientes clases: FAU.Operación y entrega ADV. ya basados en su implementación.Evaluación de vulnerabilidades APE. Contiene las siguientes clases: ACM.Protección de datos de usuario FIA.Auditoria FCO.Ciclo de vida ATE. PP sobre control de acceso.Evaluación de objetivos de seguridad (ST) AMA.Security Target (ST): un conjunto de requisitos funcionales y de garantías usado como especificaciones de seguridad de un producto o sistema concreto.Comunicaciones FCS.Soporte criptográfico FDP.Documentación y guías ALC. Ejemplos podrían ser PP sobre firewalls.Evaluación de perfiles de protección (PP) ASE. ST para CheckPoint Firewall-1 etc. Trata de evaluar que garantías proporciona el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del producto o sistema.Prueba AVA.Acceso al objetivo de evaluación FTP.productos IT atendiendo a los aspectos de seguridad de la información y su tratamiento.Canales seguros Parte 3. Especifica de forma general que se desea y necesita respecto a la seguridad de un determinado dominio de seguridad.

normas. que definimos a continuación:  Target of Security (TOE): Documento que realiza una descripción del producto o sistema que se va a evaluar. proporcionan también unos niveles de garantía (EAL) como resultado final de la evaluación.¿Qué se certifica con ISO 15408? En este sentido. Todo proceso de evaluación comienza con la definición del objeto a evaluar. . Conclusión: La utilización de estándares. Estos consisten en agrupaciones de requisitos vistos anteriormente en un paquete. la documentación que proporciona y el entorno en el que trabaja. políticas que nos permitan manejar de mejor manera la información de las empresas es de gran utilidad para las empresas. los CommonCriteria o ISO/IEC 15408. de forma que obtener cierto nivel de garantía equivale a satisfacer por parte del objeto de evaluación ciertos paquetes de requisitos. determinando los recursos y dispositivos que utiliza.

shtml http://www.com/2009/04/iso-15408-y-el-dni-e-pp-parael.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog% C3%ADas_relacionadas http://www.blogspot.html .com/trabajos15/auditoria-comunicaciones/auditoriacomunicaciones.monografias.co/plataforma.humanet.wikipedia.BIBLIOGRAFÍA: http://es.disenografico.htm# http://seguridad-de-la-informacion.