AUDITORIA DE

SISTEMAS
Conceptos Bsicos
Es muy comn encontrar documentos en donde la
seguridad informtica viene separada en dos
apartados: seguridad fsica y seguridad lgica.
La seguridad fsica se relaciona normalmente
con temas de polticas de seguridad, normativas,
planes de contingencia, la proteccin fsica de
los datos, gestin de la seguridad, accesos,
auditora, leyes...
Aclaremos un concepto: Qu se entiende por seguridad informtica?
Una primera definicin de trminos y conceptos
En cambio la seguridad lgica est ms orientada
hacia la proteccin de la informacin en su mismo
medio, ya sea generacin, almacenamiento y
transmisin, usando en este caso por lo general
herramientas, tcnicas y esquemas propios de la
criptografa... POR LO TANTO...
Aclaremos un concepto: Qu se entiende por seguridad informtica?
Una primera definicin de trminos y conceptos
Como conclusin, se podra decir que no est muy clara la
delimitacin entre una y la otra, en tanto en muchos
casos se complementan y una no puede plantearse sin la
otra. Lo que s est aceptado por todos es que, hoy por
hoy, la seguridad informtica es una especialidad
emergente donde convergen un alto nmero de
disciplinas y temas muy especficos.
Aclaremos un concepto: Qu se entiende por seguridad informtica?
Una primera definicin de trminos y conceptos
reas y disciplinas de la seguridad
informtica
En la Seguridad Informtica intervienen al menos:
Las Ciencias de las Matemticas
Las Ciencias de la Informtica
Las Ciencias de las Telecomunicaciones y la
Telemtica
Las Ciencias del Derecho
Las Ciencias de la Gestin de Empresas
Las Ciencias del Anlisis y la Evaluacin de
Riesgos
Las Ciencias de la Sociologa, Sicologa y
Deontologa
reas y disciplinas de la seguridad informtica
Entre las disciplinas, materias o asignaturas propias,
tenemos estas 12:
Temas Avanzados de Aritmtica Modular;
Fundamentos de Seguridad Informtica;
Gestin de la Seguridad Informtica;
Derecho Informtico;
Seguridad en Sistemas Operativos,
Lenguajes y Bases de Datos;
Criptografa;
Seguridad en Redes;
Virus Informticos;
Auditora,
Peritaje y Forensia Informtica;
Comercio Electrnico;
Protocolos Criptogrficos;
Temas Avanzados de Seguridad Informtica.
Materias propias de la seguridad informtica (1/5)
1) Temas Avanzados de Aritmtica Modular
Principios y operaciones con cuerpos finitos
Algoritmos de clculos en cuerpos finitos: inversos, races, etc.
Clculos en Campos de Galois
Factorizacin y clculos con polinomios en GF
Uso de curvas elpticas en criptografa
2) Fundamentos de Seguridad Informtica
Conceptos bsicos de la seguridad informtica
Historia de la criptografa, sistemas de cifra clsicos
La teora de la informacin en la seguridad y la criptografa
La complejidad de los algoritmos en la seguridad y la criptografa
3) Gestin de la Seguridad Informtica
Polticas de seguridad informtica y estndares
Planes de contingencia y de recuperacin ante desastres
Esquemas de proteccin fsica de los datos y copias de seguridad
Materias propias de la seguridad informtica (2/5)
4) Derecho Informtico
Leyes de proteccin de datos
Normativas de seguridad
Leyes de firma digital, comercio electrnico, etc.
6) Criptografa
Cifrado simtrico y asimtrico
Algoritmos de autenticacin y funciones hash
Algoritmos de firma digital
Certificados digitales
Esquemas hbridos de seguridad: software genrico
Fortaleza de los algoritmos
5) Seguridad en Sistemas Operativos, Lenguajes y Bases de Datos
Sistemas operativos seguros, libro naranja
Seguridad en entornos Windows, Linux, Unix y otros
Programacin y rutinas de seguridad en C++, Java, etc.
Seguridad en SGBD y bases de datos distribuidas
Materias propias de la seguridad informtica (3/5)
7) Seguridad en Redes
Protocolos de seguridad en Internet e Intranet
Plataformas y pasarelas seguras: SHTTP, SSL, TLS, IPSec
Instalacin y gestin de un servidor Web y de correo seguros
Autenticacin en redes: Kerberos, SSH, X.509
Instalacin y gestin de Autoridades de Certificacin
Instalacin de cortafuegos
Deteccin de intrusiones
Fortificacin de la mquina, denegacin de servicio
Gestin y herramientas de control de la mquina
8) Virus Informticos
Clasificacin, caractersticas y tipos de virus
Medidas de proteccin y de eliminacin
Anlisis de algoritmos malignos
Estudio de los virus y su seguimiento en lenguaje de bajo nivel
Materias propias de la seguridad informtica (4/5)
10) Comercio Electrnico
Normas del mercado del e-commerce
Aspectos comerciales del inicio de actividades
Instalacin del servidor y generacin del entorno web
Seguimiento de las transacciones en la red
Norma SET y otras normativas europeas y mundiales
Tipos de comercio: B2B, B2C, etc.
9) Auditora, Peritaje y Forensia Informtica
Tcnicas y herramientas de auditora
Auditora de sistemas y seguridad
Auditora jurdica
Peritaje y obtencin de pruebas
Tcnicas forenses en seguridad informtica
Auditora y seguridad de la mquina
Materias propias de la seguridad informtica (5/5)
11) Protocolos Criptogrficos
Transferencia inconsciente
Protocolos de transferencia con conocimiento nulo
Esquemas de umbral
Canales subliminales
Esquemas de votacin electrnica
12) Temas Avanzados de Seguridad Informtica
Sistemas avanzados: criptografa visual, cuntica, esteganografa...
Esquemas de autenticacin avanzada: sistemas biomtricos...
Tecnologa de tarjetas inteligentes: interconexin, funcionalidades...
CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS
Definicin:
Evala (determina), verifica (evidencias) y disea los
controles en las actividades y recursos de cmputo de las
empresas.
Promueve la automatizacin de las diferentes modalidades
de la auditora.
Los objetivos segn el rea:
1. Auditora a la Seguridad en el Centro de Cmputo.
Riesgos Fsicos
Organizacin y Personal
Planes de Respaldo
2. Auditora a hardware y software
Hardware
Sistema Operativo
Software Aplicativo
Archivos
3. Auditora a las Aplicaciones en Funcionamiento
Entrada de Datos
Procesamiento
Archivos
Salidas
Utilitarios
4. Auditora al Desarrollo y/o modificaciones a las aplicaciones
Solicitudes
Anlisis de factibilidad
Etapas de la metodologa adoptada
5. Auditora al Ambiente de Redes
Seguridad
Perfiles de Usuarios
6. Auditora al ambiente de Microcomputadores
Seguridad fsica
Utilizacin
Respaldo
Esquemticamente los horizontes a donde debemos apuntar las
labores de seguridad y de evaluacin de la misma en las tareas de
Auditora son:
a) Controles de Continuidad:
Backup, planes de contingencia, seguros
b) Controles de Privacidad y Confidencialidad:
Derecho a la intimidad de la informacin.
c) Controles de Exactitud
La verificacin de controles en el procesamiento de
la informacin, desarrollo de sistemas e instalacin
con el objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del Area de
Procesamiento automtico de Datos (PAD) y de la
utilizacin de los recursos que en ellos intervienen,
para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas
computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a
corregir las deficiencias existentes y mejorarlas.
d) Controles de Exactitud
El proceso de recoleccin y evaluacin de evidencia, para
determinar si un sistema automatizado:
Daos
Salvaguardar activos
Destruccin
Uso no autorizado
Robo
Mantiene Integridad de Informacin
Precisa datos Completos, Oportunos, Confiables
Alcanza metas
Contribucin de la organizacionales funcin Informtica
Consume recursos
Utiliza los recursos adecuadamente, eficientemente en
el procesamiento de informacin
Es el examen o revisin de carcter objetivo
(independiente), crtico(evidencia), sistemtico (normas),
selectivo (muestras) de las polticas, normas, prcticas,
funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin
computarizados, con el fin de emitir una opinin profesional
(imparcial) con respecto a:
Eficiencia en el uso de los recursos informticos
Validez de la informacin
Efectividad de los controles establecidos
Buscar una mejor relacin costo-beneficio de los sistemas
automticos o computarizados diseados e implantados
por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados
Asegurar una mayor integridad, confidencialidad y
confiabilidad de la informacin mediante la recomendacin
de seguridades y controles.
Conocer la situacin actual del rea informtica y las
actividades y esfuerzos necesarios para lograr los objetivos
propuestos.
OBJETIVOS DE LA AUTIDORIA
DE SISTEMAS
Seguridad de personal, datos, hardware, software e
instalaciones
Apoyo de funcin informtica a las metas y objetivos
de la organizacin
Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico
Minimizar existencias de riesgos en el uso de
Tecnologa de informacin
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los
Sistemas de Informacin
OBJETIVOS DE LA AUTIDORIA
DE SISTEMAS
JUSTIFICACION DE LA AUTIDORIA
Aumento considerable e injustificado del presupuesto del
PAD (Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin
informtica de la empresa
Falta total o parcial de seguridades lgicas y fisicas que
garanticen la integridad del personal, equipos e
informacin.
Descubrimiento de fraudes efectuados con el
computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta
de polticas, objetivos, normas, metodologa,
asignacin de tareas y adecuada administracin del
Recurso Humano
Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
Falta de documentacin o documentacin incompleta
de sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en produccin
JUSTIFICACION DE LA AUTIDORIA
CONTROLES
Conjunto de disposiciones metdicas, cuyo
fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si
todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.
CLASIFICACIN GENERAL DE LOS
CONTROLES
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de violaciones
Ejemplos:
Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Conjunto de disposiciones metdicas, cuyo fin es
vigilar las funciones y actitudes de las empresas y para
ello permite verificar si todo se realiza conforme a los
programas adoptados, ordenes impartidas y principios
admitidos.
Controles Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo
sino que los detecta luego de ocurridos. Son los mas
importantes para el auditor. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.
Ejemplo:
Archivos y procesos que sirvan como pistas de auditora
Procedimientos de validacin
Controles Correctivos
Ayudan a la investigacin y correccin de las causas del
riesgo. La correccin adecuada puede resultar difcil e
ineficiente, siendo necesaria la implantacin de controles
detectivos sobre los controles correctivos, debido a que la
correccin de errores es en si una actividad altamente
propensa a errores.
INTRODUCCION
Que es re-ingenieria?
Empezar de nuevo
Volver a empezar arrancando de cero
Es abandonar los procedimientos establecidos hace mucho
tiempo y examinar otra vez, desprevenidamente el trabajo que
se requiere para prestar el servicio y entregarle algo de valor
al cliente
INTRODUCCION
DEFINICION
Es la revisin fundamental y el rediseo
radical de procesos, para alcanzar mejoras
espectaculares en medidas crtica y
contemporneas de rendimiento, tales como
costos, calidad servicio y rapidez
INTRODUCCION
PROCESOS
Es un conjunto de actividades que recibe uno
o mas insumos y crea un producto o servicio
de valor para el cliente