Seguridad de la informacin y auditora de sistemas

RESUMEN
Se hace una breve descripcin de la seguridad de la informacin, explorando los
problemas en los sistemas, tanto a nivel de softwarecomo a nivel de red.
Tambin se hace una introduccin a la auditoria de sistemas, indicando sus
procesostpicos y presentando al final algunos estndares de seguridad de la
informacin.
1. SEGURIDAD DE LA INFORMACIN
ran parte de las empresasde hoy en da, as como gran parte de las personas
involucradas en el mundo digital han buscado maneras de dar desarrollo a los
sistemas de informacin, enfocados estos en software y hardware !ue permiten
las comunicaciones desde diversas partes del mundo.
"s tal el surgimiento y evolucin de los sistemas de informacin !ue en
promedio de #$$ familias %& poseen comunicaciones a travs de 'nternet, y no
solo es la (ord (ide (eb la !ue permite ver estos grandes cambio, tambin es
la tecnologa!ue esta de por medio como televisores, sistemas de comunicacin
inalmbricas, cpu)s, porttiles, entre otros.
"s importante por tanto resaltar la importancia !ue estos sistemas de
informacin dan a la sociedad y por tanto la importancia !ue se les da dentro de
medios gubernamentales, polticos, empresariales o educativos* es as como
para brindar !ue la informacin fluya de un lugar a otros sin inconvenientes,
existe la seguridad y custodia de datos, y para explicar esto se hablar de la
seguridad de la informacin y la auditoria de sistemas.
Seg+n ,#- se puede entender como seguridad un estado de cual!uier
sistema.informtico o no/ !ue nos indica !ue ese sistema est libre de peligro,
da0o o riesgo. Se entiende como peligro o da0o todo a!uello !ue pueda afectar
su funcionamiento directo o los resultados !ue se obtienen del mismo. 1ara la
mayora de los expertos el concepto de seguridad en la informtica es utpico
por!ue no existe un sistema #$$2 seguro. 1ara !ue un sistema se pueda definir
como seguro debe tener estas cuatro caractersticas3
Integridad: 4a informacin slo puede ser modificada por !uien est
autori5ado, esto es !ue no se realicen modificaciones por personas no
autori5adas a los datos, informacin o procesos, !ue no se realicen
modificaciones no autori5adas por personal autori5ado a los datos,
informacin o procesos y !ue los datos o informacin sea consistente tanto
interna como externamente.
Confidencialidad: 4a informacin slo debe ser legible para los
autori5ados, esto implica el buscar prevenir el acceso no autori5ado ya sea en
forma intencional o no intencional de la informacin.
Di!oni"ilidad: 6ebe estar disponible cuando se necesita los datos, la
informacin o recursos para el personal adecuado.
Irref#ta"ilidad: .7o89echa5o o 7o 9epudio/ :ue no se pueda negar la
autora.
6ependiendo de las fuentes de amena5a, la seguridad puede dividirse en
seguridad lgica y seguridad fsica.
;s mismo es importante tener en cuenta ciertos trminos !ue aclaran !ue
puede tenerse en cuenta al hablar de seguridad informtica, tales son3
Acti$o: recurso del sistema de informacin o relacionado con ste,
necesario para !ue la organi5acin funcione correctamente y alcance los
ob<etivos propuestos.
A%ena&a3 es un evento !ue pueden desencadenar un incidente en la
organi5acin, produciendo da0os materiales o prdidas inmateriales en sus
activos.
I%!acto3 medir la consecuencia al materiali5arse una amena5a.
Riego3 posibilidad de !ue se produ5ca un impacto determinado en un
activo, en un dominio o en toda la organi5acin.
'#lnera"ilidad3 posibilidad de ocurrencia de la materiali5acin de una
amena5a sobre un activo.
Ata(#e3 evento, exitoso o no, !ue atenta sobre el buen funcionamiento
del sistema.
Deatre o Contingencia3 interrupcin de la capacidad de acceso a
informacin y procesamiento de la misma a travs de
computadorasnecesarias para la operacin normal de un negocio.
7o te !ue riesgo y vulnerabilidad son conceptos diferentes, debido a !ue la
vulnerabilidad est ligada a una amena5a y el riesgo a un impacto.
Teniendo en cuenta lo anterior se puede notar !ue entre los activos ms
importantes para una organi5acin esta la informacin y por tanto la custodia
de la misma, es entonces como la seguridad de la 'nformacin es el con<unto de
metodologas, prcticas y procedimientos !ue buscan proteger la informacin
como activo valioso, con el fin de minimi5ar las amena5as y riesgos continuos a
los !ue esta expuesta, a efectos de asegurar la continuidad del negocio,
minimi5ar los da0os a la organi5acin y maximi5ar el retorno de inversiones y
las oportunidades del negocio. = en el caso de cada individuo de proteger la
identidad y la privacidad ,>-.
"s clara la diferencia !ue puede tomar la seguridad de la informacin tanto para
organi5acionescomo para los individuos, esto !uiere decir !ue las organi5aciones buscan
proteger los recursos de la organi5acincomo son la informacin, las comunicaciones, el
hardware y el software !ue le pertenecen. 1ara lograrlo se seleccionan y establecen los
controles apropiados. 4a Seguridad de la informacin ayuda a la misin de la
organi5acinprotegiendo sus recursos fsicos y financieros, reputacin, posicin legal,
empleados y otros activostangibles e intangibles, el otro punto de vista existe para los
individuos cuyo propsito es proteger la privacidad e identidad de los mismos evitando !ue
su informacin caiga en la manos no adecuadas y sea usada de forma no apropiada.
Tenga en cuenta !ue muchas empresas para evitar el acceso a su informacin y el da0o!ue
pueda ser producida a la misma, se utili5an potentes antivirus !ue permiten la deteccin de
virusy su erradicacin, slo se debe tener en cuenta por el usuario cul es el ms apropiado
para mane<ar y el !ue cubre sus necesidades.
"ntonces en conclusin, seguridad, describe las polticas, los procedimientos y las medidas
tcnicas !ue se emplean para prevenir acceso no autori5ado, alteracin, robo da0o fsico a
los sistemas de informacin.
1.1. )ro"le%a en lo ite%a
Tenga en cuenta !ue muchos problemas en los sistemas de informacin se dan por errores
propios de los sistemas y !ue permiten !ue se tenga acceso violando las normas
establecidas, esto !uiere decir por e<emplo los errores de programacin, por!ue al ser un
sistemamuy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro
crear inestabilidad en el sistema. Seg+n ,?- los estudios muestran !ue aproximadamente
@$2 de los errores se detectan durante las pruebas y son resultado de especificaciones
omitidas, ambiguas, errneas o no perceptibles en la documentacin del dise0o.
Atra de las ra5ones por las !ue los sistemas de informacin pueden ser inestables, es por el
mantenimiento, ya !ue es la fase ms costosa de todo proyecto, adems por!ue casi la
mitad del tiempo se dedica a reali5ar a<ustes y mantenimiento a los sistemas.
"s por tanto !ue el proceso de certificar la calidad es esencial para el proceso de desarrollo
de un sistema de informacin, ya !ue podr prevenir errores durante la captura de datos.
= es a!u cuando se empie5a a hablar de controles para la custodia de la informacin* es
importante detallar !ue un control seg+n 4audon en su libro ,?- son todos los mtodos,
polticas y procedimientos !ue aseguran la proteccin de los activos de la organi5acin, la
exactitud y confiabilidad de sus registros y el apego de sus operaciones a los estndares !ue
defina la administracin. "s as !ue el control de un sistema de informacin debe ser una
parte integral de su dise0o. 4os usuarios y constructores de sistemas deben prestar una
estrecha atencin a los controles durante toda la vida del sistema.
1ero no solo el control es importante, as mismo se debe destacar !ue existen dos tipos de
controles, los generales y los de aplicaciones. 4os primeros gobiernan el dise0o, la
seguridad y el uso de programas de computacin y la seguridad de archivos de datos a lo
largo de la infraestructura de tecnologa de la informacin* por otra parte los controles de
aplicaciones son ms especficos para cada aplicacin computari5ada. Tenga en cuenta !ue
los controles generales incluyen a su ve5 controles de software, de hardware fsico, controles
de operaciones de cmputo, controles de seguridad de datos, controles sobre el proceso de
implementacin de sistemas y controles administrativos.
Teniendo en cuenta este es!uema actualmente existen proveedores de servicios
administrativos .BS1/ por su sigla en ingls !ue proporcionan redes, sistemas,
almacenamiento y administracin de seguridad para sus clientes suscriptores.
"s entonces como aparte de la seguridad !ue se debe tener en cuenta para los aplicativos de
software, tambin se debe tener en cuenta la seguridad de componentes de hardware, para
esto se crearon los sistemas de deteccin de intrusos, !ue son herramientas para
monitorear los puntos ms vulnerables en una red, para detectar y detener a los intrusos no
autori5ados.
Siguiendo con los conceptos se puede tambin tener en cuenta !ue la informacin al ser
mane<ada por varias personas es importante mantenerla intacta, por lo !ue en busca de este
concepto, se crea la encriptacin, !ue desde la poca rabe viene funcionando y ha sido
aplicada a los sistemas de cmputo actuales, esto consiste en codificacinpara mensa<es
para !ue se impida la lectura o acceso sin autori5acin.
"n este sentido tambin se debe de hablar de otro tipo de seguridad implementada para las
organi5aciones y en concepto a sus altos directivos o reas especficas de la compa0a, esto
es la aplicacin de certificados digitales !ue se pueden utili5ar para establecer la identidad
de personas o de activos electrnicos, igualmente protegen las transacciones en lnea
proporcionando comunicacin segura y encriptada. ;ctualmente estos mtodos de
seguridad de la informacin son utili5ados por entidades financieras !ue transmiten
informacin importante a otras entidades controladoras, as como por compa0as donde la
informacin es valiosa y no puede ser conocida sino por ciertas personas.
1.*. +,cnica de aeg#ra%iento del ite%a
Como se nombro anteriormente actualmente se mane<an varios mtodos para tener
seguridad dentro de un sistema, tales pueden ser3
Codificar la infor%aci-n: 1or medio de la criptografa, contrase0as difciles de
averiguar a partir de datos personales del individuo.
'igilancia de red.
+ecnolog.a re!elente o !rotectora:Bane<ar firewalls, antispyware o
sistemas de deteccin de intrusos, antivirus. 4laves para proteccin de software, etc.
Bantener los sistemas de informacin con las actuali5aciones !ue ms impacten en la
seguridad.
1./. Conideracione de oft0are
Dna persona o compa0a debe tener instalado en la m!uina +nicamente el software
necesario ya !ue esto permite reducir los riesgos. ;s mismo tener controlado el software ya
!ue asegura la calidad de la procedencia del mismo .el software pirata o sin garantas
aumenta los riesgos/.
"n todo caso un inventario de software proporciona un mtodo correcto de asegurar la
reinstalacin en caso de desastre. "l software con mtodos de instalacin rpidos facilita
tambin la reinstalacin en caso de contingencia.
Tenga en cuenta !ue en 'nternetexisten actualmente gran cantidad de pginas !ue
advierten sobre seguridad y muestran los virus riesgosos, antivirus existentes y
procedimientos para custodia de informacin importante.
1.1. Conideracione de #na red
4os puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de
ficheros desde discos, o de ordenadores a<enos, como porttiles.
Bantener al mximo el n+mero de recursos de red slo en modo lectura, impide !ue
ordenadores infectados propaguen virus. "n el mismo sentido se pueden reducir los
permisos de los usuarios al mnimo.
Se pueden centrali5ar los datos de forma !ue detectores de virus en modo batch puedan
traba<ar durante el tiempo inactivo de las m!uinas.
Controlar y monitori5ar el acceso a 'nternet puede detectar, en fases de recuperacin, cmo
se ha introducido el virus.
"n este punto es importante recalcar !ue toda persona yEo compa0a es vulnerable en su
seguridad pues como se nombr desde un inicio no existe a+n un sistema #$$2 seguro y
confiable.
*. AUDI+OR2A DE SIS+EMAS
4a palabra auditoria viene del latn auditorius y de esta proviene auditor, !ue tiene la virtud
de or y revisar cuentas, pero debe estar encaminado a un ob<etivo
;lgunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la
revisin, evaluacin y elaboracin de un informepara el e<ecutivo encaminado a un ob<etivo
especfico en el ambiente computacional y los sistemas.
; continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia
sobre auditoria de sistemas3
4a verificacin de controles en el procesamiento de la informacin, desarrollo de
sistemas e instalacin con el ob<etivo de evaluar su efectividad y presentar
recomendaciones a la gerencia.
4a actividad dirigida a verificar y <u5gar informacin.
"l examen y evaluacin de los procesos del Frea de 1rocesamiento automtico de
datos .1;6/ y de la utili5acin de los recursos !ue en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economa de los sistemas computari5ados
en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y me<orarlas.
"l proceso de recoleccin y evaluacin de evidencia para determinar si un sistema
automati5ado3 Salvaguarda activos, destruccin, uso no autori5ado, robo, mantiene
integridad de informacin precisa, informacin oportuna, confiable, alcan5a metas,
utili5a los recursos adecuadamente, es eficiente en el procesamiento de la informacin
"s el examen o revisin de carcter ob<etivo .independiente/, crtico .evidencia/,
sistemtico .normas/, selectivo .muestras/ de las polticas, normas, prcticas, funciones,
procesos, procedimientos e informesrelacionados con los sistemas de informacin
computari5ados, con el fin de emitir una opinin profesional .imparcial/ con respecto a3
eficiencia en el uso de los recursos informticos, valide5 de la informacin, efectividad
de los controles establecidos
Tomando como referencia a ,G- 4a auditoria en informticaes la revisin y la evaluacin de
los controles, sistemas, procedimientos de informtica* de los e!uipos de cmputo, su
utili5acin, eficiencia y seguridad, de la organi5acin !ue participan en el procesamiento de
la informacin, a fin de !ue por medio del se0alamiento de cursos alternativos se logre una
utili5acin ms eficiente y segura de la informacin !ue servir para una adecuada toma de
decisiones.
4a auditoria en informtica deber comprender no slo la evaluacin de los e!uipos de
cmputo, de un sistema o procedimiento especfico, sino !ue adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
4a auditoria en informtica es de vital importancia para el buen desempe0ode los sistemas
de informacin, ya !ue proporciona los controles necesarios para !ue los sistemas sean
confiables y con un buen nivel de seguridad. ;dems debe evaluar todo .informtica,
organi5acin de centros de informacin, hardware y software/.
'gualmente existen algunos tipos de auditoria diferentes a la !ue en el presente traba<o
interesa, tales como auditoria financiera, auditoria econmica, auditoria operacional,
auditoria fiscal, auditoria administrativa.
*.1. O"3eti$o Generale de #na A#ditoria de Site%a
Huscar una me<or relacin costo8beneficio de los sistemas automticos o
computari5ados dise0ados e implantados.
'ncrementar la satisfaccin de los usuarios de los sistemas computari5ados.
;segurar una mayor integridad, confidencialidad y confiabilidad de la informacin
mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuer5os
necesarios para lograr los ob<etivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
;poyo de funcin informtica a las metas y ob<etivos de la organi5acin.
Seguridad, utilidad, confian5a, privacidad y disponibilidad en el ambiente
informtico.
Binimi5ar existencias de riesgos en el uso de tecnologa de informacin.
6ecisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los sistemas de informacin.
*. 4#tificacione !ara efect#ar #na A#ditoria de Site%a
;umento considerable e in<ustificado del presupuesto del 1;6 .6epartamento de
1rocesamiento de 6atos/.
6esconocimiento en el nivel directivo de la situacin informtica de la empresa.
Ialta total o parcial de seguridades lgicas y fsicas !ue garanticen la integridad del
personal, e!uipos e informacin.
6escubrimiento de fraudes efectuados con el computador
Ialta de una planificacin informtica.
Argani5acin !ue no funciona correctamente, falta de polticas, ob<etivos, normas,
metodologa, asignacin de tareas y adecuada administracin del recurso humano.
6escontento general de los usuarios por incumplimiento de pla5os y mala calidad
de los resultados
Ialta de documentacin o documentacin incompleta de sistemas !ue revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin.
*./. )laneaci-n de la a#ditoria en infor%5tica
1ara hacer una adecuada planeacin de la auditoria en informtica, hay !ue seguir una
serie de pasos previos !ue permitirn dimensionar el tama0o y caractersticas de rea
dentro del organismo a auditar, sus sistemas, organi5acin y e!uipo.
"n el caso de la auditoria en informtica, la planeacin es fundamental, pues habr !ue
hacerla desde el punto de vista de los dos ob<etivos3
#. "valuacin de los sistemas y procedimientos.
>. "valuacin de los e!uipos de cmputo.
1ara hacer una planeacin efica5, lo primero !ue se re!uiere es obtener informacin
general sobre la organi5acin y sobre la funcin de informtica a evaluar. 1ara ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto
planear el programade traba<o, el cual deber incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
*.1. In$etigaci-n !reli%inar 617
Se deber observar el estado general del rea, su situacin dentro de la organi5acin, si
existe la informacin solicitada, si es o no necesaria y la fecha de su +ltima actuali5acin.
Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada
una de las reas basndose en los siguientes puntos3
ADMINISTRACIN: Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el ob<etivo y alcances del departamento.
1ara anali5ar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de
informtica ob<etivos a corto y largo pla5o, recursos materiales y tcnicos, solicitar
documentos sobre los e!uipos, n+mero de ellos, locali5acin y caractersticas, estudios de
viabilidad, n+mero de e!uipos, locali5acin y las caractersticas .de los e!uipos instalados y
por instalar y programados/, fechas de instalacin de los e!uipos y planes de instalacin,
contratosvigentes de compra, renta y serviciode mantenimiento, contratos de seguros,
convenios !ue se tienen con otras instalaciones, configuracin de los e!uipos y capacidades
actuales y mximas, planes de expansin, ubicacin general de los e!uipos, polticas de
operacin, polticas de uso de los e!uipos.
SISTEMAS: 6escripcin general de los sistemas instalados y de los !ue estn por instalarse
!ue contengan vol+menes de informacin, manual de formas, manual de procedimientos
de los sistemas, descripcin genrica, diagramasde entrada, archivos, salida, salidas, fecha
de instalacin de los sistemas, proyecto de instalacin de nuevos sistemas.
"n el momento de hacer la planeacin de la auditoria o bien su reali5acin, se debe evaluar
!ue pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve !ue3
7o tiene y se necesita.
7o se tiene y no se necesita.
Se tiene la informacin pero3
7o se usa.
"s incompleta.
7o esta actuali5ada.
7o es la adecuada.
Se usa, est actuali5ada, es la adecuada y est completa.
"n el caso de 7o se tiene y no se necesita, se debe evaluar la causa por la !ue no es
necesaria. "n el caso de 7o se tiene pero es necesaria, se debe recomendar !ue se elabore de
acuerdo con las necesidades y con el uso !ue se le va a dar. "n el caso de !ue se tenga la
informacin pero no se utilice, se debe anali5ar por !ue no se usa. "n caso de !ue se tenga
la informacin, se debe anali5ar si se usa, si est actuali5ada, si es la adecuada y si est
completa.
"l xito del anlisis crtico depende de las consideraciones siguientes3
"studiar hechos y no opiniones .no se toman en cuenta los rumores ni la
informacin sin fundamento/
'nvestigar las causas, no los efectos.
;tender ra5ones, no excusas.
7o confiar en la memoria, preguntar constantemente.
Criticar ob<etivamente y a fondo todos los informes y los datos recabados.
2.5. )eronal !artici!ante
Dna de las partes ms importantes dentro de la planeacin de la auditoria en informtica es
el personal !ue deber participar y sus caractersticas.
Dno de los es!uemas generalmente aceptados para tener un adecuado control es !ue el
personal !ue intervengan est debidamente capacitado, con alto sentido de moralidad, al
cual se le exi<a la optimi5acin de recursos .eficiencia/ y se le retribuya o compense
<ustamente por su traba<o.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica
profesional y capacitacin !ue debe tener el personal !ue intervendr en la auditoria. "n
primer lugar se debe pensar !ue hay personal asignado por la organi5acin, con el
suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la
informacin !ue se solicite y programar las reuniones y entrevistas re!ueridas.
Jste es un punto muy importante ya !ue, de no tener el apoyo de la alta direccin, ni contar
con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a
auditar, sera casi imposible obtener informacin en el momento y con las caractersticas
deseadas.
Tambin se debe contar con personas asignadas por los usuarios para !ue en el momento
!ue se solicite informacin o bien se efect+e alguna entrevista de comprobacin de
hiptesis, nos proporcionen a!uello !ue se esta solicitando, y complementen el grupo
multidisciplinario, ya !ue se debe anali5ar no slo el punto de vista de la direccin de
informtica, sino tambin el del usuario del sistema.
1ara completar el grupo, como colaboradores directos en la reali5acin de la auditoria se
deben tener personas con las siguientes caractersticas3
Tcnico en informtica.
"xperiencia en el rea de informtica.
"xperiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
"n caso de sistemas comple<os se deber contar con personal con conocimientos y
experiencia en reas especficas como base de datos, redes, etc. 4o anterior no significa !ue
una sola persona tenga los conocimientos y experiencias se0aladas, pero si deben intervenir
una o varias personas con las caractersticas apuntadas.
Dna ve5 !ue se ha hecho la planeacin, se puede utili5ar un formato en el !ue figura el
organismo, las fases y subfases !ue comprenden la descripcin de la actividad, el n+mero
de personas participantes, las fechas estimadas de inicio y terminacin, el n+mero de das
hbiles y el n+mero de dasEhombre estimado. "l control del avance de la auditoria se
puede llevar mediante un informe, el cual nos permite cumplir con los procedimientos de
control y asegurar !ue el traba<o se est llevando a cabo de acuerdo con el programa de
auditoria, con los recursos estimados y en el tiempo se0alado en la planeacin.
2.6. )ao a eg#ir
Se re!uieren varios pasos para reali5ar una auditoria. "l auditor de sistemas debe evaluar
los riesgos globales y luego desarrollar un programa de auditoria !ue consta de ob<etivos de
control y procedimientos de auditoria !ue deben satisfacer esos ob<etivos. "l proceso de
auditoria exige !ue el auditor de sistemas re+na evidencia, eval+e fortale5as y debilidades
de los controles existentes basado en la evidencia recopilada, y !ue prepare un informe de
auditoria !ue presente esos temas en forma ob<etiva a la gerencia. ;simismo, la gerencia de
auditoria debe garanti5ar una disponibilidad y asignacin adecuada de recursos para
reali5ar el traba<o de auditoria adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
*.8. Infor%e
6espus de reali5ar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor
reali5ar un informe resultante con observaciones y&o aclaraciones para llevara cabo dentro
de las reas involucradas para el me<or funcionamiento del sistema.
/. ES+9NDARES DE SEGURIDAD DE LA INFORMACIN
ISO/IEC 27000-series3 4a serie de normas 'SAE'"C >&$$$ son estndares de seguridad
publicados por la Argani5acin 'nternacional para la "standari5acin .'SA/ y la Comisin
"lectrotcnica 'nternacional .'"C/.
4a serie contiene las me<ores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener especificaciones para los Sistemas de estin de la
Seguridad de la 'nformacin .SS'/.
COBIT: Ab<etivos de Control para la informacin y Tecnologas relacionadas .CAH'T, en
ingls3 Control Ab<ectives for 'nformation and related Technology/ es un con<unto de
me<ores prcticas para el mane<o de informacin creado por la ;sociacin para la ;uditoria
y Control de Sistemas de 'nformacin, .'S;C;, en ingls3 'nformation Systems ;udit and
Control ;ssociation/, y el 'nstituto de ;dministracin de las Tecnologas de la 'nformacin
.'T', en ingls3 'T overnance 'nstitute/ en #%%>.
4a misin de CAH'T es )investigar, desarrollar, publicar y promocionar un con<unto de
ob<etivos de control generalmente aceptados para las tecnologas de la informacin !ue
sean autori5ados .dados por alguien con autoridad/, actuali5ados, e internacionales para el
uso del da a da de los gestores de negocios .tambin directivos/ y auditores.) estores,
auditores, y usuarios se benefician del desarrollo de CAH'T por!ue les ayuda a entender sus
Sistemas de 'nformacin .o tecnologas de la informacin/ y decidir el nivel de seguridad y
control !ue es necesario para proteger los activos de sus compa0as mediante el desarrollo
de un modelo de administracin de las tecnologas de la informacin.
ITIL: 4a 'nformation Technology 'nfrastructure 4ibrary .)Hiblioteca de 'nfraestructura de
Tecnologas de 'nformacin)/, frecuentemente abreviada I+IL, es un marco de traba<o de
las me<ores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la
informacin .T'/ de alta calidad. 'T'4 resume un extenso con<unto de procedimientos de
gestin ideados para ayudar a las organi5aciones a lograr calidad y eficiencia en las
operaciones de T'. "stos procedimientos son independientes del proveedor y han sido
desarrollados para servir de gua para !ue abar!ue toda infraestructura, desarrollo y
operaciones de T'.
1. :I:LIOGRAF2A
,#- (iKipedia. )Seguridad 'nformtica). 6isponible3
http3EEes.wiKipedia.orgEwiKiESeguridadLinform2C?2;#tica ,citado el #& de
Bayo de >$$M-
,>- (iKipedia. )Seguridad de la informacin) 6isponible3
http3EEes.wiKipedia.orgEwiKiESeguridadLdeLlaLinformaci2C?2H?n ,citado el
#& de Bayo de >$$M-
,?- oogle. )Sistemas de 'nformacin erencial). 6isponible3
http3EEbooKs.google.com.coEbooKsNidOP6MQQ@@1I8
gCRprintsecOfrontcoverRd!OS'ST"B;SS6"S'7IA9B;C'
2C?2%?7S"9"7C';4S
2>HSP"77"TTRlrORsourceOgbsLsummaryLrRcadO$U11;GVV,B# ,citado #&
de Bayo de >$$M-
,G- erencie.com. );uditoria de sistemas de informacin). 6isponible3
http3EEwww.gerencie.comEauditoria8de8sistemas8de8informacion.html ,citado
#& de Bayo de >$$M-
,V- Bonografas.com. )Conceptos de la auditoria de sistemas) 6isponible3
http3EEwww.monografias.comEtraba<os?EconcepauditEconcepaudit.shtml
,citado #& de Bayo de >$$M-


;utor3
)a#la Andrea 'i&caino
pervys>$$$,arroba-yahoo.es
1aula ;ndrea Wi5caino, estudiante de X' semestre del programa de 'ngeniera
de Sistemas de la Iundacin Dniversitaria Ponrad 4oren5.
6irector3 Yaimir Turtado. 6ocente del programa de ingeniera de sistemas de la
Iundacin Dniversitaria Ponrad 4oren5
9eali5ado en Hogot, mayo >$$M