Está en la página 1de 95

41

INDICE
Contenido Pgina
Introduccin 41
Objetivos 43
Objetivo generaL 43
Objetivos especficos 43
Perfil del auditor 44
1. Sntomas de necesidad de una auditora informtica 46
1.1. Descoordinacin y desorganizacin 46
1.2. Sntomas de mala imagen insatisfaccin de los usuarios 46
1.3. Sntomas de debilidades econmico-financiero 47
1.4. Sntomas de inseguridad: evaluacin de nivel de riesgos 47
2. Herramientas y tcnicas para la auditora informtica 48
2.1. Cuestionario 48
2.2. Entrevistas 49
2.3. Checklist 50
3. Tipos de auditora 51
3.1. Auditora Interna 51
3.2. Auditara Externa 51
4. Esquema General de una auditora Informtica 52
5. Determinantes de una auditora Informtica 53
6. propuesta de servicios de auditoria 56
7. Las fases para la realizacin de una auditora en informtica 57
7.1. Evaluacin organizacional del rea informtica 57
7.1.1. Evaluacin de la organizacin 57
7.1.2. Relaciones funcionales y jerrquicos 59
7.1.3. Flujos de informacin 60
7.1.4. Entrevistas al personal 64
7.1.5. Entorno Operacional 66
7.2. Evaluacin de riesgos 67
7.2.1. Evaluacin de la seguridad fsica 68
7.2.1.1. Equipamiento 68
42
7.2.1.2. Documentacin de la red 79
7.2.1.3. Medidas de seguridad fsica 84
7.2.2. Evaluacin de la seguridad lgica 87
7.2.2.1. Restricciones 88
7.2.2.2. Amenazas y vulnerabilidades 88
7.2.2.3. Passwords (Contraseas) 88
7.2.2.4. Administracin de usuarios y grupos 89
7.2.2.5. Administracin de cuentas 89
7.2.2.6. Perfiles de usuarios y grupos 90
7.2.2.7. Proceso de logon/logoff 91
7.2.2.8. Acceso remoto 91
7.2.2.1. Back Up 91
7.3.Confidencialidad 101
8. Apoyo a la toma de decisiones 104
9. Etapas de planes de contingencia 106
10. Propuesta de plan contra desastres 111
11. Informe Final de Auditora 116










43
INTRODUCCION
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es
una herramienta estratgica que brinda rentabilidad y ventajas competitivas a las
empresas frente a otras empresas similares en el mercado, pero puede originar
costos y desventajas si no es bien administrada por el personal encargado.
La auditora informtica la podemos definir como el conjunto de acciones que
realiza el personal especializado en las reas de auditora y de informtica para
asegurar que los recursos informticos de la empresa operen en un ambiente de
seguridad y control eficiente, con la finalidad de proporcionar a los accionistas,
gerencia y niveles ejecutivos la certeza de que la informacin que circula por el rea,
se maneje con los conceptos bsicos de integridad, totalidad, exactitud y
confiabilidad requeridos.
Surge entonces la necesidad de auditar la funcin informtica, ya que resulta
innegable que la misma es una herramienta permanente, necesaria, confiable y
oportuna de la gestin de procesos principales de la empresa.
Las actividades ejecutadas por los profesionales del rea de informtica y de
auditora estn encaminadas a evaluar el grado de cumplimiento de polticas,
controles y procedimientos correspondientes al uso de los recursos de informticos
por el personal de la empresa.

44
Con el fin de ayudar a las empresas se ha desarrollado la gua en auditora
informtica la cual esta basada en la evaluacin organizacional del rea informtica,
evaluacin de riesgos de seguridad y el apoyo a la toma de decisiones; dichas
evaluaciones debern ser la pauta para la entrega del informe de auditora en
informtica, en el cual estarn las observaciones, recomendaciones y reas de
oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de
informtica de la empresa.

















45
OBJETIVO GENERAL
Desarrollar una herramienta operacional que permita realizar auditora
informtica en sistemas basados en redes locales.

OBJETIVO ESPECFICO
a) Clasificar los riesgos a los que una empresa pueda estar expuesta; con
respecto a la seguridad fsica, lgica, confidencialidad y de los datos de
una red de area local.
b) Analizar la efectividad y confidencialidad de la comunicacin de los datos
dentro de la red.
c) Proponer sugerencias, en tono constructivo, para ayudar a la gerencia de
la empresa.
d) Medir la magnitud de falla y/o error ya conocido, deteccin de
inconsistencias errores supuestos o confirmacin de la ausencia de
errores.
e) Elaboracin de planes de contingencia para eliminar o disminuir los
problemas identificados y valorados en la empresa.

46
PERFIL DEL AUDITOR
El auditor Informtico es un profesional que debe tener una calificacin tcnica
y poseer habilidades del desarrollo y ambiente organizacional actualizado. Por lo
que dentro de la funcin de auditora informtica, se deben contemplar las siguientes
caractersticas para mantener un perfil profesional:
1. Conocimientos bsicos de:
- Desarrollo informtico, gestin de proyectos y del ciclo de vida de un proyecto
de desarrollo.
- Gestin del departamento informtico
- Anlisis de riesgo en un entorno informtico
- Sistemas operativos
- Gestin de base de datos
- Redes locales
- Operaciones y planificacin informtica
- Gestin de seguridad de sistemas y planes de contingencia
- Gestin de problemas y cambios en entornos informticos
- Comercio electrnico
- Encriptacin de datos
2. Conocer y manejar tcnicas de gestin empresarial, y sobre todo, tcnicas de
gestin de cambio, ya que las recomendaciones y soluciones que se aporten
deben estar en la lnea de la bsqueda ptima de la mejor solucin para los
objetivos empresariales que se persiguen y con los recursos que se tienen.
47
3. El auditor informtico debe tener siempre el concepto de CALIDAD TOTAL en
la realizacin de su trabajo, de tal forma que este sea reconocido como un
elemento valioso dentro de la organizacin.
La mayora de estas caractersticas estn contempladas en los dominios CISA
(Auditor Certificado de Sistemas de Informacin), por lo que consideramos de vital
importancia que el auditor informtico los maneje a la perfeccin, ya sea auto-
educndose u obteniendo la respectiva certificacin en ISACA (Asociacin de
Auditoria y Control de Sistemas de Informacin).












48
1. Sntomas de necesidad de una Auditora Informtica.

Las empresas acuden a las auditoras cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
1.1 Sntomas de descoordinacin y desorganizacin:
No coinciden los objetivos del departamento de Informtica de la
empresa y de la propia empresa.
Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.
1.2 Sntomas de mala imagen e insatisfaccin de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios
de software en los terminales de usuario, variacin de los ficheros que deben
ponerse diariamente a su disposicin, etc.
- No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de aplicaciones crticas y
sensibles.
49
1.3 Sntomas de debilidades econmico-financiero:
-Incremento desmesurado de costos.
-Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
-Desviaciones Presupuestarias significativas.
-Costos y plazos de nuevos proyectos (deben auditarse simultneamente a
desarrollo de proyectos).
1.4 Sntomas de Inseguridad: Evaluacin de nivel de riesgos:
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales]



50
2. Herramientas y Tcnicas para la Auditora Informtica.

2.1 Cuestionarios.
Las auditoras informticas se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de sus
capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes
entornos. El trabajo de campo del auditor consiste en lograr toda la informacin
necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la complementacin de
cuestionarios preimpresos que se envan a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables
oficiales.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en
su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que
tal anlisis determine a su vez la informacin que deber elaborar el propio auditor.
El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de
la auditora.
51
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otros medios la informacin que aquellos hubiesen obtenido a
travs de preimpresos u otros medios proporcionado.
2.2 Entrevistas.
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
1. Mediante la peticin de documentacin concreta.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido
de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en
ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por
medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace
un auditor, interroga y se interroga a s mismo. El auditor informtico experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas
variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella
52
debe existir una preparacin muy elaborada y sistematizada, y que es diferente para
cada caso particular.
2.3 Checklist.
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya que someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad servirn
para la complementacin sistemtica de sus cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o ledas en voz alta
descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente
falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de
informacin a fin de obtener respuestas coherentes que permitan una correcta
descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
Segn la claridad de las preguntas y el talento del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy variable. El
auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil
tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que
53
ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el
auditor debe poseer.
El auditor deber aplicar la Checklist de modo que el auditado responda clara
y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas
ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un
tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre
el mismo.
3. Tipos de Auditora.
Atendiendo a la procedencia del personal que realiza la auditora hay dos tipos:
3.1 Auditora interna.
Es la realizada con recursos materiales y humanos que pertenecen a la
empresa que est siendo auditada. Los auditores informticos internos son
personal de la empresa (remunerados por sta).
3.2 Auditora externa.
Es la realizada por personas ajenas a la empresa auditada. Los
auditores informticos externos no son personal de la empresa.
Se incluyen en el contrato de auditora las clusulas de confidencialidad
necesarias.
La gua est orientada a un auditor informtico externo, explicando
minuciosamente los pasos para realizar con xito una auditora.

54
4. Esquema General de una Auditora Informtica.-























Oferta de Auditora
Determinar
finalidades
Revisar
Conocimiento
global del rea
informtica
Medios
necesarios
Objetivos y
plan de trabajo
Contrato de
Auditora
Revisar
Aceptar
Aceptar
Primera
carta de
misin
Programas,
equipos,
personal
del DI de la
empresa
Medios
necesarios
Plan
preliminar
y carta de
misin
definitiva
Oferta de Auditora
Determinar
finalidades
Revisar
Conocimiento
global del rea
informtica
Medios
necesarios
Objetivos y
plan de trabajo
Contrato de
Auditora
Revisar
Aceptar
Aceptar
Primera
carta de
misin
Programas,
equipos,
personal
del DI de la
empresa
Medios
necesarios
Plan
preliminar
y carta de
misin
definitiva
Revisar el
trabajo a realizar
Examinar el
rea informtica
Emitir una
valoracin
Fin
Dar asistencia
Post- auditora
Plan
definitivo
de
auditora
Informe
preliminar
Informe
definitivo
Revisar el
trabajo a realizar
Examinar el
rea informtica
Emitir una
valoracin
Fin
Dar asistencia
Post- auditora
Plan
definitivo
de
auditora
Informe
preliminar
Informe
definitivo
55
5. Determinantes de una Auditora Informtica
- El determinar las finalidades de la auditora siempre es el primer paso. (estas
pueden ser definidas por el departamento de informtica de la empresa, por un
tercero o en cualquier caso se suele dejar ampliamente a la iniciativa del
auditor); definiendo as los alcances y objetivos de la auditora.
- Definir de forma expresa los lmites de la auditora; definiendo no solo lo que se
va a auditar sino tambin aquello que no va a ser auditado (excepciones de
alcance de auditora).
- Es muy importante que antes de comenzar las investigaciones, el auditor haya
definido bien lo que pretende investigar y que ello sea aceptado por la direccin
de informtica como tambin la gerencia de la empresa.
- Redactar lo que se llama, primera carta de misin; revisndola esta el cliente y
aceptndola antes de comenzar la auditora (no debe ser redactada con un
lenguaje excesivamente tcnico) (ISO QS-9000)
- Luego de definir las finalidades de la auditora lo siguiente es adquirir
conocimiento global del rea informtica de la empresa; es importante
determinar con precisin que medios o acciones son necesarias. El
conocimiento del modo de funcionamiento de la empresa ayuda al auditor a ser
razonable a la hora de juzgarla.
- Hay que obtener conocimiento sobre: el entorno organizativo y entorno
operacional
- Determinar los medios que son necesarios para realizar la auditora y evaluar su
disponibilidad (medios tcnicos y humanos); el uso de todos los medios debe
ser aprobado por escrito por la empresa.
56
- El plan de trabajo de la auditora solamente empezara si las finalidades han sido
aprobadas por la empresa, haber recopilado el conocimiento global necesario
sobre el sistema de trabajo de la empresa y haber determinado con precisin
los medios necesarios para realizar la auditora.
- El plan de trabajo deber reflejar: plazos previstos, tipo de informacin que hay
que reunir, verificaciones que se van a realizar, medios asignados y ayudas que
el auditor va a recibir del auditado.
- Firma del contrato de auditora (segunda carta de misin). Incluyendo
descripcin precisa de medios a emplear, acciones concretas, plazos globales y
presupuesto.
- Revisin detallada del plan de auditora.
- Al examinar el rea informtica se realizar el recabado de informacin sobre el
rea informtica, identificacin de debilidades y/o fortalezas del rea.
- El trabajo de campo del auditor consiste en recabar la informacin necesaria
para emitir un juicio.
- Redactar una lista de comprobacin (check list)
- El resultado de la auditora se expresa exclusivamente por escrito, elaborando
un informe preliminar para que el cliente lo revise, para despus elaborar el
informe definitivo (junto con los informes el auditor debe devolver a la empresa
todos los documentos de sta que aun estn en su poder).
- Dar asistencia post- auditora por dos razones:
1. Ayuda a la empresa a decidirse a poner en prctica las
recomendaciones hechas en la auditora finalizada.
2. Es una prueba de que son aplicables.
57
- El precio de la asistencia no se incluye en la auditora.
- Si la empresa se decide a realizar la asistencia post- auditora, aceptando poner
en marcha las recomendaciones, se debe firmar un nuevo contrato para ello.



















58



PROPUESTA DE SERVICIOS DE AUDITORIA
EMPRESA___________________________________________________
OBJ ETIVO GENERAL DEL TRABAJ O A REALIZAR__________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
ALCANCE DEL TRABAJ O A REALIZAR (reas de evaluacin)
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
AUDITOR:____________________________________________________
SUPERVISOR_________________________________________________

DURACION ESTIMADA__________Horas_____ Das_____ Semanas____
FECHA INICIACION__________FECHA TERMINACION_______________
FIRMA DE ACEPTACION DE TERMINOS:__________________________
COSTO DE LA AUDITORIA : ____________________________________
59
6. LAS FASES PARA LA REALIZACION DE UNA AUDITORIA EN
INFORMATICA SERAN DISTRIBUIDAS EN LAS SIGUIENTES
ETAPAS:

6.1 EVALUACION ORGANIZACIONAL DEL AREA INFORMATICA.
Las herramientas o mecanismos que el auditor informtico debe de tener en
cuenta al iniciar esta fase
- Entrevistas previas con el cliente (persona que solicita la realizacin de la
auditora).
- Inspeccin de las instalaciones donde se llevar a cabo la auditora y
observacin de operaciones.
- Investigacin e indagacin con el personal involucrado en el proyecto de
auditora y los funcionarios que administran y operan los sistemas a evaluar.
- Revisin de documentacin proporcionada por la empresa.
- Revisin de informes de auditoras anteriores, si se han realizado.
- Estudio y evaluacin del sistema de control interno.
6.1.1 Evaluacin de la organizacin y organigrama general del departamento
de informtica de la empresa.
El primer paso que tiene el auditor en informtica dentro de la empresa al
efectuar un proyecto de auditora en informtica es hacer un diagnstico de
esta, que incluye a la alta direccin y las reas dependientes.
60
Se busca la opinin de la alta gerencia para poder saber el grado de
satisfaccin y confianza que tienen en los productos, servicios y recursos de
informtica en la empresa.
Tambin se detectan las fortalezas, aciertos y apoyo que brinda dicha
funcin, por otro lado son muy importantes las oportunidades que puede
ofrece la informtica para hacer ms competitiva la empresa.
Las actividades del auditor en informtica deben quedar bien definidas en
los componentes formales que integran cualquier trabajo dentro de una
empresa.
En esta etapa, se visualizan los primeros problemas, los cuales
posteriormente pueden ser los ms relevantes.
El auditor en informtica debe conocer el tipo de organizacin que
investigara: la misin, estrategias, planes y el nivel jerrquico de la funcin de
informtica; tambin es importante saber las entidades externas a la empresa
que se relacionan con cada rea de la misma.
Para el auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto el auditor deber fijarse en el
organigrama que es el que expresa la estructura oficial de la empresa a
auditar.
Si se descubriera que existe un organigrama real diferente al oficial, se
pondr de manifiesto tal circunstancia. (Ver anexo #1)
61
6.1.2 Relaciones funcionales y jerrquicas dentro del departamento de
informtica.
El auditor en informtica debe tener una idea global del grado de apoyo y
satisfaccin que existe en la empresa, y saber hacia donde se orienta el
soporte de la funcin de informtica. Por ejemplo, se deben conocer de
manera general los siguientes aspectos:
- La participacin del departamento de informtica en los proyectos claves para la
empresa.
- Imagen del departamento de informtica ante la alta direccin.
- Grado de satisfaccin que existe por los servicios prestados por el rea de
informtica.
- Expectativas que tiene la empresa sobre la funcin del rea de informtica
- Debilidades y fortalezas del rea informtica.
Al momento que el auditor evala el nivel organizativo de la empresa, luego se
verificar tambin el organigrama del rea informtica evaluando las relaciones
funcionales y jerrquicas dentro del departamento de informtica y las
descripciones breves de cada uno de estos. (Ver anexo #2)
- Responsable del departamento.
- Fecha de creacin del departamento.
- Departamento de proceso de datos.
El auditor comprobar que los nombres de los puestos de trabajo de la
empresa corresponden a las funciones reales que se muestran en el
organigrama de la empresa.
62
Esta situacin pone de manifiesto deficiencias estructurales; el auditor
dar a conocer tal circunstancia y expresar el nmero de puestos de
trabajo verdaderamente acordes a las necesidades observadas.
El nmero de personas por puestos de trabajo es un parmetro que el
auditor informtico debe considerar. La inadecuacin del personal
determinar que el nmero de personas que realizan las mismas funciones
rara vez coincida con la estructura oficial de la organizacin. La jerarqua
implica la correspondiente subordinacin.
6.1.3 Flujos de informacin dentro y fuera del rea.
Adems de las corrientes verticales intradepartamentales, la estructura
organizativa cualquiera que sea, produce corrientes de informacin
horizontales y oblicuas extradepartamentales.
Los flujos de informacin entre los grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando tales corrientes no
distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales
alternativos de informacin, sin los cuales las funciones no podran
ejercerse con eficacia; estos canales alternativos se producen porque hay
pequeos o grandes fallos en la estructura y en el organigrama que los
representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece
a afinidades personales o simple comodidad. Estos flujos de informacin
son indeseables y producen graves perturbaciones en la organizacin.

63
Evaluacin Organizacional
Departamento:____________________________________ Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Existe un organigrama?
Los niveles jerrquicos actuales de la empresa son
necesarios y suficientes para el desarrollo de cada
una de sus departamentos?
ISO
4.1.2.1

Debe revisarse la estructura organizativa actual, en
consideracin a su eficiencia?


Se encuentra definida adecuadamente la lnea de
autoridad para cada departamento?
ISO
4.1.2.1

Su autoridad va de acuerdo con su
responsabilidad?


En el departamento al que usted administra se han
presentado conflictos por el ejercicio de la autoridad
de gerencia o departamentos?


Se han establecidos funciones en cada
departamento.
ISO
4.1.2.1

Posee algn manual que describa las funciones por
departamentos?
.

Conoce el personal que labora en su empresa
estos manuales?




Relaciones funcionales y jerrquicas dentro del departamento de informtica.
Esta definido el departamento de informtica dentro
de la empresa?

El departamento de informtica tiene delimitadas
con claridad sus responsabilidades?

Se han establecido objetivos para el departamento
de informtica?

Se han definido por escrito los objetivos del
departamento de informtica?



64
Participo el administrador del departamento de
informtica en la elaboracin de estos objetivos?

El nmero de empleados que trabaja en el
departamento de informtica son los adecuados a las
necesidades de este?

Existen conflictos por la carga de trabajo
desequilibrada?

Las actividades que realiza son iguales a las
funciones que tiene asignadas por el departamento?

La falta de cumplimiento de sus funciones es debido
a:
- falta de personal

- personal no capacitado carga de trabajo excesivas

- por que realiza otras actividades

- otras razones


Para cumplir con sus funciones requiere de ayuda
de otros departamentos?

Existe duplicidad de funciones en el mismo
departamento?

Se pueden eliminar funciones a fin de evitar
duplicidad?








65
6.1.4 Entrevistas al personal del departamento de informtica.
Aqu el auditor se coordina directamente con el responsable de la
funcin del rea informtica.
En esta parte el auditor conocer la estructura interna del departamento
de informtica, funciones, objetivos, estrategias, planes y polticas.
Las entrevistas deben hacerse con el responsable de informtica. El
auditor debe ser profesional y tico en su trabajo para brindarles seguridad
de que al final de su tarea beneficiar a los que lo contrataron.
El auditor en informtica debe lograr un equipo de trabajo unido, y que
el lder de proyectos (es quien se encarga de coordinar y supervisar los
proyectos de la auditora; puede tener a uno o ms auditores) desarrolle una
buena comunicacin con el personal del rea informtica en esta etapa.
Es clave evaluar los servicios que presta el rea informtica a las
diferentes reas de la empresa y en los distintos niveles organizacionales,
estos servicios pueden ser ejecutados por personal externo y coordinados
por el departamento de informtica. Para obtener toda la informacin posible
sobre el diagnstico de la empresa y del departamento informtica, el
auditor se apoyara sobre cuestionarios detallados.
El diagnstico inicial de la empresa reflejar algunos puntos como el
giro de la empresa, sus reas organizacionales, planes y proyectos de la
empresa, imagen de informtica ante la alta direccin, etc.


66

Evaluacin al personal de los distintos departamentos de la empresa.
Departamento:____________________________________ Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Respeta el personal la autoridad establecida en el
departamento?

Existe cooperacin por parte del personal para la
realizacin de las actividades del departamento?

Presenta el personal sugerencias para mejorar el
desempeo actual de este departamento?

Se toman en cuanta las sugerencias de los
empleados?

El personal es discreto en el manejo de informacin
confidencial?

Reciben capacitaciones continuas de nuevas
tecnologas establecidas en la empresa?
ISO
9001
9002

Se han identificado las necesidades actuales y
futuras para capacitacin de personal del
departamento?
ISO
9001
9002

Se evalan los resultados obtenidos en las
capacitaciones?
ISO
9004-1
18.0

Se realiza supervisin continua de las actividades
que efecta el personal en base a sus obligaciones?

Se controla el ausentismo y los retrasos del
personal?

Se evala el desempeo del personal en su funcin
asignada?

Existe rotacin del personal?



67
Afecta al departamento la rotacin del personal?
Por qu?

Existe una poltica que sancione la indisciplina del
personal?

Existe un reglamento al interior del departamento?
Conoce usted estos reglamentos?
Se apoya usted en el, para solucionar algn
conflicto laboral?


6.1.5 Entorno Operacional.
El auditor informtico debe poseer una adecuada referencia del entorno
en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente la
situacin geogrfica del rea informtica y de los sistemas.
Se determinar la ubicacin geogrfica de los distintos Centros de
Proceso de Datos en la empresa. A continuacin, se verificar la existencia
de responsables en cada unos de ellos, as como el uso de los mismos
estndares de trabajo.
Los aspectos tecnolgicos, administrativos, culturales y financieros,
entre otros, brindan al auditor en informtica un panorama real del escenario
donde desarrollar su trabajo.
En general en esta etapa el auditor debe de tener bien claro los
aspectos ms importantes:
- Estructura organizacional.
68
- Definicin y correspondencia de roles y funciones.
- Separacin de funciones
- Capacitacin y entrenamiento
- Ambiente laboral.


6.2 EVALUACION DE RIESGOS.
El riesgo es una condicin del mundo real en el cual hay una exposicin a la
adversidad, conformada por una combinacin de circunstancias del entorno, donde
hay posibilidad de perdidas.
Las empresas pueden fallar o sufrir perdidas como un resultado de una variedad
de causas. Las diferencias en esas causas y sus efectos constituyen las bases para
diferenciar los riesgos.
Antes de enfrentar los riesgos, el auditor debe identificarlos. Esta tarea es de
nunca acabar, pues nuevas amenazas estn surgiendo constantemente.
La identificacin de riesgos es continua y depende de la red de comunicacin
dentro de la empresa, generando un flujo constante de informacin acerca de las
actividades de la organizacin.
Los principales riesgos informticos a evaluar por un auditor en la empresa son
los siguientes:




69
6.2.1 EVALUACION DE LA SEGURIDAD FISICA.
La seguridad fsica se refiere a la proteccin del hardware y los
soportes de datos, as como la seguridad de los edificios e instalaciones que
los albergan.
El auditor evaluar los centros de cmputos, los equipos, las redes, los
dispositivos, los medios de almacenamientos y las personas que conforman el
sistema informtico de la empresa para que estos cumplan con las medidas
necesarias en lo relativo a la infraestructura fsica y al mantenimiento de la
seguridad de los recursos de la empresa.
Evaluando:
6.2.1.1 Equipamiento
Caractersticas de los servidores








70

Evaluacin de Servidores.
Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Tiene una o ms computadoras definidas como
servidor? (especifique)

Cul es la funcin de cada servidor?
- DNS
- File Transfer (Share Point)
- Proxy
- Web
- Web Mail
- Otros (especifique)
ISO
17799
rea
#5

Qu tipo de plataforma se utiliza en el servidor?
- Windows
- Linux
- Solaris
- Unix
- Otros (especifique)









71

Evaluacin de Caractersticas de Servidores.-
Departamento:____________________________________
Fecha de Adquisicin:_____________________________________________________
CARACTERISTICAS
Equipo Marca Modelo N Serie
Case
Monitor
Teclado
Mouse
Procesador
Velocidad del procesador
Co-procesador
Motherboard
Soporte de placa base
Memoria Ram
Memoria Cach
Canales SCSI
Tarjeta de Interfaz de red 1
Tarjeta de Interfaz de red 2
Tarjeta de Interfaz de red 3
Tarjeta de Interfaz de red 4
Tarjeta de video
Tarjetas de grficos
Soporte para discos SCSI
extrables en caliente

Slots PCI
Ventiladores
TAM
Puertos USB
Puertos IEEE
Conectores paralelos
Conectores NIC
Fuente de poder
Disco Duro
RAID (Disco Duro)
72
CD-ROM
Unidad DVD (WR)
Disquetera (ser til)
UPS
Regulador de Voltaje
Impresor
Memoria Stick
Cmara
CONDICIONES AMBIENTALES
Especificacin C F MHz Mts.
Temperatura en funcionamiento
Humedad relativa en funcionamiento
Descarga mxima en funcionamiento
Altitud en funcionamiento
Temperatura de almacenamiento
Humedad relativa de almacenamiento
Vibracin mxima de almacenamiento
Aceleracin mximo de almacenamiento
Altitud de almacenamiento









73
Caractersticas de las PCs

Evaluacin de Caractersticas de las estaciones de trabajo.-
Departamento:____________________________________
Fecha de Adquisicin:_____________________________________________________
CARACTERISTICAS
Equipo Marca Modelo N Serie
Case
Monitor
Teclado
Mouse
Procesador
Velocidad del procesador
Motherboard
Memoria Ram
Memoria Cach
Tarjeta de Interfaz de red
Tarjeta de video
Ranuras PCI
Ventilador
Puertos USB
Disco Duro
CD-ROM
Unidad DVD (WR)
UPS
Regulador de Voltaje
Impresor
Memoria Stick
Cmara

CONDICIONES AMBIENTALES
Especificacin C F MHz Mts.
Temperatura en funcionamiento
Humedad relativa en funcionamiento
Descarga mxima en funcionamiento
74
Altitud en funcionamiento
Temperatura de almacenamiento
Humedad relativa de almacenamiento
Vibracin mxima de almacenamiento
Aceleracin mximo de almacenamiento
Altitud de almacenamiento
















75
Almacenamientos de discos y documentacin

Evaluacin de los tipos y medios de almacenamiento de la informacin.
Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Posee algn medio de almacenamiento de la
informacin que maneja la empresa en la red?
ISO
17799
sec.2

Qu dispositivos utiliza para almacenar la
informacin?
- Cintas Magnticas
- Tarjetas FLASH
- Unidad ZIP
- Discos Duros
- Discos Flexibles
- Medios pticos
- J UMP Drive
- Back Ups
- RAIDs

Posee lugares estratgicos para almacenar los
dispositivos utilizados para guardar la informacin?

Se tienen clasificados los archivos con informacin
confidencial?
ISO 17
799-3

Posee alguna metodologa para la clasificacin de
la informacin? (explique)
ISO
17799

Poseen estos archivos claves de acceso?
Utilizan algn mtodo de encriptacin?
(explique)
ISO
15408
clase 4


76
Qu lugares utiliza para almacenar estos medios?
- Cajas Fuertes
- Bvedas Bancarias
- Archivos
- Otros (especificar)
ISO
17799
sec.2
Este almacenamiento esta situado:
- En la misma empresa
- En el departamento de informtica
- Fuera de la empresa (especifique)
ISO
17799
sec.2

Se borran los archivos de los dispositivos de
almacenamiento, cuando se desechan estos?


Se restringe el acceso a los lugares asignados para
guardar los dispositivos de almacenamiento?
ISO
15408
clase 7

Se tiene control del personal autorizado para firmar
la salida de archivos confidenciales?
ISO
15408
clase 7

Se posee un registro para los archivos que se
prestan y la fecha en que se devolvern?


En los procesos que manejan archivos en lnea,
Existen procedimientos para recuperacin de
archivos?


Estos conocimientos los acceden los operadores?


Existe un programa de mantenimiento preventivo
para cada dispositivo del sistema de cmputo?
ISO
17799

Se lleva a cabo dicho programa?





77
Dispositivos de Transferencia de datos en la Red.

Evaluacin de Hardware de la Red.
Fecha:_________________________
HARDWARE DE LA RED.
Switch
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
De cuanto es el ancho de banda que el Switch
permite?

Qu tipos de protocolos utiliza?
Cul es la capacidad de filtrado para el trafico?
Qu tipo de cableado posee el switch?
Es configurable va Internet?
Qu tipo de estndar posee?
Bridge
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
De cuanto es la velocidad que el bridge permite?
Qu tipo de topologa soporta?
Es configurable va Internet?
78


Routers
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
Qu tipos de protocolos utiliza?
Cul es la velocidad de transferencia de datos que
posee el router?

Es configurable va Internet?
Qu tipo de estndar posee?
MODEM
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
Cunto es la velocidad mxima de transferencia
que permite el MODEM?

Qu tipos de protocolos utiliza?
Bajo que sistema operativo funciona?
Son los requisitos del sistema los adecuados para
su buen funcionamiento? (explique)

Es configurable va Internet?
Qu tipo de estndar posee?
79





Gateways Fsico
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
Qu tipos de conectores utiliza?
Cual es la velocidad de transmisin de datos que
permite el gateway?

Es configurable va Internet?
Hubs
Qu marca o modelo poseen?
Cul es el nmero de puertos que permite utilizar?
Qu tipos de protocolo utiliza?
Cual es la velocidad de transferencia de datos que
permite el Hub?

Es configurable va Internet?
80

6.2.1.1 Documentacin de la red
Revisar los manuales de diseo fsico de la red local.
Verificar que exista un plano de las instalaciones
correctamente documentados de los centros de cableado,
segmentacin y los puntos de red.
Verificar protocolos, Normativas y estndares de calidad,
cableado de la red, conectores y topologa de la red.
Conocer si se realiza mantenimiento a la red y si quienes lo
hacen son idneos en estas actividades; Evaluando si las
labores de mantenimiento no han generado problemas con
informacin o funcionamiento de la red.
Repetidores
Qu marca o modelo poseen?
Cul es el nmero de estaciones que se estn
utilizando para el repetidor?

De cuanto es el ancho de banda que el repetidor
maneja?

Qu tipos de protocolo utiliza?
Cual es la distancia de transferencia que el
repetidor maneja?

Cul es el tamao de la antena de recepcin que
poseen?

Es configurable va Internet?
81

Documentacin de la red.
Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Poseen en el departamento de informtica un
manual formal sobre la diagramacin de la red de la
empresa?
ISO
17799
rea 5

Existe algn plano donde se especifica la
instalacin de la red?
ISO
17799
rea 5

Est segmentada la red?
Cuntos segmentos posee la red?
Cuntas estaciones de trabajo hay:
- En cada segmento de la red
- En la red.

Cuntos servidores estn en la distribucin de la
red?

Se maneja algn tipo de control para manejar el
nmero de equipos, su localizacin y las
caractersticas de los equipos instalados en la red?
(especifique)

Qu tipo de topologa se maneja en la red?
- Topologa de anillo
- Topologa de estrella
- Topologa de bus
- Otras (especifique)

Por qu cree conveniente el uso de este tipo de
topologa?

De acuerdo al tipo de topologa que se utiliza: Cul
es el tipo de cableado empleado en la red?



82
Si el tipo de cable que se esta utilizando es el
estructurado, Qu estndares utilizan?
- Estndar ANSI/TIA/EIA-568-A/B
- Estndar ANSI/TIA/EIA-569
- Estndar ANSI/TIA/EIA-606
- Otros (especifique)
ISO
17799
rea 5

Considera usted adecuado el tipo de cableado
utilizado en la red? (explique)


El cableado se encuentra protegido de la
intemperie? (explique)


Cul es la longitud del cableado en la red?
De cuantos metros esta estimada el rea de
cobertura de la red?

Es adecuada la longitud utilizada en el cableado?


En algn punto de la red existen dispositivos
inalmbricos?


Qu tipo de conectores utilizan en la red?
Tiene conocimiento sobre los estndares de
seguridad en la red?


Qu tipo de estndares manejan en la red?
Considera usted que el estndar utilizado en la red
es el adecuado?


Qu tipos de arquitectura de red utilizan?
- Ethernet
- Token Ring
- Apple Talk ARCnet
- Otros (especifique)
ISO
17799
rea 5

83
Considera el tipo de arquitectura el adecuado para
la red?


Qu tipo de protocolo utiliza en la red?
- TCP/IP
- NetWare
- NetBIOS
- Otros (especifique)

ISO
17799
rea 6

Utilizan tarjetas de interfaz de red?

Qu tipo de tarjeta de red poseen para la
nterconectividad?

Posee las estaciones de trabajo sus respectivos
UPS?

Cuntas impresoras se utilizan dentro de la red?

Las impresoras estn compartidas en la red?

Poseen conexin a Internet?

Qu tipo de conexin?

Este servicio es para una estacin especfica o
todos tienen acceso?

Posee la red algn tipo de proteccin de Internet
como Firewall fsico u otros? (especifique)

Se realizan mantenimientos en los equipos de la
red? (Solicitar plan de mantenimiento)

Qu tipo de mantenimiento se realiza?
- Preventivo
- Correctivo
- Ambos
- Proyectivo
ISO
9001
4.14.2
4.14.3

84
- Ninguno
Se lleva a cabo el programa de mantenimiento?

Cules son los problemas ms comunes que se
han detectado en la red actualmente? (explique)


Cundo un cable se daa cual de los dos
procedimientos se utilizan:
- Reparacin
- Cambio


Cundo una estacin de trabajo falla que se hace?
- Un formateo con preinstalacin de software
- Una clonacin de un equipo que si funciona


Se lleva una bitcora o control de las fallas o
problemas detectados en el equipo de la red?
(Solicite bitcora)


Se tienen proyectos de expansin de la red y estn
documentados?


Se tienen proyectos de expansin del centro de
cmputo y estn documentados?





6.2.1.3 Medidas de Seguridad
Las medidas de seguridad fsica pueden ser divididas en dos grandes
categoras:
85
Desastres naturales, incendios accidentales, tormentas e
inundaciones.
Amenazas ocasionadas por el hombre.

Medidas de Seguridad Fsica.-
Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Poseen seguros el activo informtico de la
empresa?

Con que compaa?
(Solicitar plizas, tipos de seguro y montos)

El activo informtico de la empresa se encuentra
situado a salvo de:
- Inundaciones
- Terremotos
- Fuego
- Sabotajes
- Otros (especifique)
ISO
17799
rea 1

Existen alarmas para:
- Detectar humo o fuego
- Fugas de aguas
- Fallos en el sistema elctricos
- Otros
ISO
17799
rea 1

Las alarmas son perfectamente audibles o visibles?
Existen extintores de fuego?


Los extintores de fuego funcionan a base de?
- Agua
- Gas
- Otros (especifique)



86
Se le dan mantenimiento a los extintores?
(especifique cada cuanto tiempo)


Se han tomado medidas para minimizar la posibilidad
de fuego
- Evitando artculos inflamables
- Prohibiendo fumar en el interior del centro de
computo
- Vigilando y manteniendo el sistema elctrico
- No se ha previsto.
ISO
17799
rea 1

Pasan caeras de agua a travs o encima del
centro de cmputo?


La humedad del centro de cmputo u oficinas es la
adecuada?


Existe humedad en donde estn ubicados los
dispositivos que componen la red?


Poseen un sistema de aire acondiciona capaz de
mantener la temperatura adecuada?


El interruptor de encendido/apagado de la luz esta
inmediatamente dentro del centro de computo o en
un punto accesible a un cuando no hubiere
suministro elctrico?
ISO
17799
rea 1

La iluminacin en el centro de cmputo es de tipo
fluorescente?


Es apropiada la iluminacin dentro de las
instalaciones, y a cuantas candelas o luces
asciende?


Existe el nmero de tomas corrientes polarizados
suficientes para los dispositivos utilizados en el
centro de cmputo?


Existe un panel de control elctrico dedicado al
centro de cmputo?


Existen redes de tierra?


87
La ubicacin de los conductos de alimentacin
elctrica de alto voltaje est debidamente
identificada?


Se hace limpieza peridicamente dentro del
departamento de informtica?


Existen sealizaciones adecuadas dentro del
departamento de informtica?


Esta restringido el acceso al rea de informtica?

ISO
17799
rea 7

Existen medidas de seguridad en cuanto al acceso
de personal no autorizado en la red?
ISO
17799
rea 7

Se posee control de accesos a los equipos de la
red?


Existen claves y contraseas para permitir el
acceso a los equipos?


Se utiliza algn tipo de monitorizacin del estado de
la red?


Se controla al personal que posee acceso fsico a
los servidores y estaciones de trabajo?


Existen procesos para identificacin de desastres
en los equipos que conforman la red?


Se realiza peridicamente una verificacin fsica de
uso de terminales y de servidores?


Se monitorea frecuentemente el uso que se les esta
dando a las terminales?


Se permite a algn usuario el uso de cables para
conectar otros dispositivos como laptops?
ISO
17799
rea 7

Se restringe el acceso de alimentos o lquidos
dentro del rea informtica?


88

6.2.2 EVALUACIN DE LA SEGURIDAD LGICA:
La seguridad lgica se refiere a la seguridad en el uso del software, la proteccin
de los datos, procesos y programas, as como la del acceso ordenado y autorizado
de los usuarios a la informacin; adems consiste en la aplicacin de barreras y
procedimientos que resguarden el acceso a los datos y slo se permita acceder a
ellos a las personas autorizadas para hacerlo.
En la seguridad informtica hay un adagio que dicta que todo lo que no est
permitido debe estar prohibido y esto es lo que debe asegurar la Seguridad Lgica.
1

Despus de ver como los sistemas de una empresa pueden verse afectados por
la falta de seguridad fsica, es importante recalcar que la mayora de los daos que
pueden sufrir los centros de computo de una empresa no ser solo sobre los medios
fsicos sino contra la informacin ah almacenada y procesada.
Por parte del auditor se deben de tomar dentro de esta fase las siguientes
observaciones:
6.2.2.1 Restricciones de acceso a los programas y archivos.
6.2.2.2 Anlisis de amenazas y vulnerabilidades:
Es el proceso que permitir la identificacin de las amenazas que
acechan a los distintos activos de informacin, para determinar la
vulnerabilidad del sistema ante esas amenazas y estimar el impacto o grado
de perjuicio que una seguridad insuficiente puede tener para la empresa.

1
http://www.internet-solutions.com.co/ser_fisica_logica.php
89
6.2.2.3 Passwords (Contraseas):

Con este mtodo se crean aquellas claves que permiten ingresar a
servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son
obtenidas fcilmente porque involucran el nombre u otro dato familiar del
usuario, que adems nunca la cambia. En este caso el ataque se simplifica e
involucra algn tiempo de prueba y error. Otras veces se realizan ataques
sistemticos (incluso con varias computadoras a la vez) con la ayuda de
programas especiales que prueban millones de posibles claves hasta
encontrar el password correcta.
Por ser el uso de passwords la herramienta de seguridad ms cercana
a los usuarios, es aqu donde hay que poner nfasis en la parte
"humana" con polticas claras.
No muchas empresas estn libres de mostrar passwords escritas y
pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente
preguntando al responsable de cualquier PC, cual es su password; este es el
mas grave error que una empresa puede cometer, ya que el uso del password
es confidencial para preservar la seguridad de la informacin que se maneja.
6.2.2.4 Administracin de usuarios y grupos (Creacin, modificacin,
bloqueo y eliminacin)
La creacin de usuarios y grupos locales es considerada como un
conjunto de herramientas administrativas que puede ser utilizada para
administrar un nico equipo local. A cada cuenta de usuario o de grupo local
se le puede asignar permisos y derechos en un equipo determinado, y slo
90
para ese equipo. Usuarios y grupos locales se encuentran almacenados en el
servidor:
6.2.2.5 Administracin de cuentas. (Creacin, modificacin, bloqueo y
eliminacin)
En toda red basada en un sistema multiusuario es necesario la
administracin (segura) de los distintos usuarios que van a utilizar los recursos
del sistema. Es necesario que para algunos servicios del sistema se creen
usuarios. Estos usuarios tendrn los privilegios necesarios para poder hacer
su tarea, gestionar estos usuarios es de gran importancia. Al crear cuentas
para los usuarios se hace basado en los diversos requerimientos que estos
tienen, as mismo y de acuerdo a los acontecimientos estas cuentas pueden
ser ampliadas en cuanto a sus privilegio, restringidas por usos indebidos o que
atentan contra la seguridad o eliminadas por diversas causas.
Dentro de una red que permite el uso de recursos de un sistema existen al
menos 3 tipos de usuarios.
USUARIOS NORMALES con ms o menos privilegios que harn uso de los
recursos de la red. Son generalmente inexpertos y propensos a causar
problemas. Simplemente deben poder usar algunos programas y disponer de
un directorio de trabajo y de esta forma se limita su campo de accin.
USUARIOS DE SISTEMA son aquellos encargados de los procesos
importantes del sistema, as, es necesario que algn usuario del sistema
posea total control sobre las tareas que debe desarrollar.
91
ADMINISTRADORES. Este tipo de usuario lo puede todo, en principio no hay
restricciones para L, es este tipo de cuenta el que se debe analizar bien a
quien se le asigna pensando en la seguridad del sistema.
6.2.2.6 Perfiles de usuario y grupos.
Una empresa puede agrupar a sus usuarios para diferenciarlos y
otorgarle mayores o menores privilegios de prstamo dentro de la red. Cada
grupo es un perfil, y cada usuario puede tener ms de un perfil si es
necesario.
Los usuarios de la red realizarn una navegacin a travs del sistema
para la consulta de la informacin y slo podrn acceder a ella dependiendo
del perfil de usuario que tengan y de s se les ha dado acceso a documentos
especficos.
Si el usuario dispone de un perfil con Acceso Total, el usuario tendr
acceso a todos los documentos de la empresa, en caso contrario, el usuario
tendr acceso a los documentos asociados a los departamentos para los
cules tiene acceso (definido en el perfil) y a los documentos para los cules
tiene un acceso especial especfico. Manejo de usuarios especiales.
6.2.2.7 Proceso de logon/logoff
Identificar a un Log-on log-off usuario o de terminar una sesin en una
computadora que es usada por varios usuarios diferentes.
6.2.2.8 Acceso remoto.
92
6.2.2.9 Back Up:
Esto debe ser entendido en todas las facetas:
Software:
Evaluacin de la existencia de un mtodo para hacer
copias de respaldo de la informacin de la empresa.
Verificar que:
Se cumpla.
Que se hagan copias en diferentes medios.
Que estn claramente etiquetados los medios.
Que se realicen pruebas de los medios.








93

Evaluacin de la Seguridad Lgica.-
Fecha:_________________________
Auditor:____________________________________________________________________________________
Restricciones de acceso a archivos y programas.
Verificacin Ref. SI NO Observaciones
Se tienen definidos directorios de equipos y
usuarios?
ISO
17799
rea 6

Se restringe el acceso a los programas y archivos
de la empresa?

Cuntas personas estn autorizadas a realizar
cambios en la configuracin y/o equipos de la red?

Poseen mecanismos de control de acceso al
sistema?

Poseen normativas de restriccin a archivos con
permisos especiales?

Se permite la instalacin de software no
autorizado?

Se restringen a los operadores modificar los
archivos o programas que no correspondan?

Tienen claro los operadores su rea de trabajo
dentro de la red?



Anlisis de Amenazas y Vulnerabilidades.-
Si el administracin o encargado de la red falta, hay
otra persona que pueda realizar sus funciones?
(explique)

Se tiene procedimientos de seguridad, recuperacin
y respaldos para asegurar la disponibilidad continua
de los sistemas de la red?



94
Existen control o polticas sobre el uso de Internet
en la red?
ISO
17799
rea 1

Es permitida la instalacin de software obtenido de
Internet por cualquier usuario?


El sistema operativo de los servidores de la red es
la misma que se utiliza en las terminales?


Se controla el uso de programas de mensajera y
correo electrnico a los usuarios?
ISO
17799
rea 7

Se permite el uso de programas P2P, como Kazaa
u otros para que los usuarios de la red, bajen
msica, pelculas u otros contenidos?


Tiene la red algn tipo de proteccin para Internet
tales como:
- Firewalls
- Software Antivirus
- Sistemas de deteccin de intrusos
- Monitorizacin para evaluar el trfico de red y
detectar anomalas, como la accin de
troyanos.
- Creacin de un disco de rescate o de
emergencia
- Procedimientos para cuando ocurra una
infeccin con virus.
- Hardware de seguridad de red dedicado
- Back up de datos
- RAIDs
- Otros (especifique)
ISO
15408
rea 10

Qu marca de firewalls poseen?
En que mquina (servidor) se encuentra el
Firewall?
- En una mquina dedicada
- En el servidor web
- Otros (especifique)


95
Est habilitada alguna herramienta antivirus?
ISO
15408
rea 10

Estn seguros que detecta los virus, los elimina
correctamente y como lo documenta?

El antivirus que compra posee actualizaciones
peridicas?

El antivirus utilizado es individual o corporativo?
El firewall interacta con el anlisis de los virus, o
solo se encarga de los servicios de la red?

El antivirus y el firewall estn relacionados de
alguna forma, son compatibles entre s?
(especifique)

Se actualiza en forma peridica este software?

Existen control para evitar el uso de disquetes, CD
u otros dispositivos de almacenamiento?

Se han detectado mensajes, documentos y
archivos infectados y como a documentado estos
hallazgos?
ISO
17799
TL9000

Con que frecuencia se hace un escaneo total de
virus en los servidores?



Se registra cada violacin a los procedimientos a fin
de llevas estadsticas y frenar tendencias mayores?
ISO
15408
rea 6


Identificacin, Autenticacin de usuarios y Contraseas.-
Existe un formato donde se define a cada usuario
sus derechos y privilegios dentro de la red?
ISO
17799
rea 7



96
Existen grupos de usuarios, y estn
documentados?

Cmo se forman los grupos?
- Segn el departamento de la empresa donde
trabajen
- Segn el rol que desempeen
- Otros (especifique)
ISO
17799
rea 7
El acceso puede controlarse con el tipo de trabajo o
la funcin (rol) de quien lo solicite?

No se permite el acceso por default en el sistema
operativo? (Cuentas Guest, por ejemplo)


Hay tipos de perfil de administrador?
Cuntas personas hay asignadas a la tarea de
administrador?

Puede acceder un administrador desde cualquier
terminal?

Adems de la cuenta de administrador, tienen otra
cuenta para las funciones comunes?

Qu datos se muestran cuando alguien intenta
acceder a la red?
- Nombre de usuario
- Password
- Grupo o entorno de red
- Estacin de trabajo
- IP
- Fecha y hora

Utilizan el ID de usuario como un control de acceso
a los recursos, o solo para ingreso al sistema?


Un usuario puede tener solo una sesin abierta, de
alguna aplicacin, de acuerdo a sus tareas o puede
tener varias? Depende de la cantidad de grupos a
los que pertenezca?
ISO
17799
rea 7



97
Qu datos hay en el perfil del usuario cuando se
hace un alta?

Se guardan los siguientes datos?
- ID de usuario
- Nombre y apellido completo
- Puesto de trabajo y departamento de la empresa
- J efe inmediato
- Descripcin de tareas
- Consentimiento a que auditen sus actividades en el
sistema, y de que conoce las normas de buen uso
del sistema
- Explicaciones breves y claras de cmo elegir su
password
- Tipo de cuenta o grupo al que pertenece
(empleado, gerente, etc.)
- Fecha de expiracin de la cuenta
- Datos de los permisos de acceso y excepciones
- Restricciones horarias para el uso de recursos
ISO
17799
rea 7

El ID de usuario puede repetirse?


Y si una cuenta fue borrada o eliminada, puede
utilizarse un ID ya usado y eliminado para un usuario
nuevo? (explique)


Se guardan los archivos y datos de las cuentas
eliminadas? Por cunto tiempo?


Se documentan las modificaciones que se hacen en
las cuentas?


Los usuarios son actualizados por el nivel
jerrquico adecuado?


Se actualizan los privilegios de acceso de acuerdo
a los cambios que se dan en la empresa?


Se tiene un control preciso efectivo y documentado
de los servicios autorizados y funciones de los
usuarios?


98
Se verifican que no se queden sesiones activas de
usuarios, abiertas por descuido?


Existen polticas para asegurar, prevenir o detectar
la suplantacin de identidades en el sistema?


El personal de seguridad del sistema informa sobre
accesos indebidos, a travs de un formulario y
oralmente?


Se generan reportes de inconsistencias por
accesos indebidos al sistema y donde quedan
registrados?


Se han establecido cambios peridicos de
passwords y como se maneja la confidencialidad?


Los ID y contraseas se vencen por no usarlos
recurrentemente en el sistema?


Si se tiene acceso a internet se tiene control sobre
el trfico que se genera para evitar la fuga de
informacin confidencial y como se respalda dicho
registro?
ISO
17799
rea 7

Existen horarios de conexin establecidos en las
redes ajustadas a los horarios de trabajo?


Los password de los empleados son generados por
alguien diferente al administrador de la red?


Las passwords son generadas con procesos
automticos (programas de generacin de
passwords) o son creadas por los usuarios?

Dos cuentas pueden tener las mismas passwords?


Existe una normativa que establezca el
procedimiento para el cambio de los passwords de
los usuarios?


Se puede cambiar en cualquier momento?


99
Quin puede hacer los cambios?
- El administrador
- Los usuarios a travs de una opcin en el
men
- Otros (especifique)
ISO
17799
rea 7
Se entrena a los usuarios en la administracin del
password? Se les ensea a:
- no usar passwords fciles de descifrar
- no divulgarlas
- no guardarlas en lugares donde se puedan
encontrar.
- entender que la administracin de passwords es el
principal mtodo de seguridad del sistema.
ISO
17799
rea 2

Proceso de logon/logoff
Se bloquea el usuario despus de varios intentos
fallidos de autenticacin o se inhabilita la cuenta o la
terminal?

Despus de cuantos intentos?
Antes de terminar con la sesin, se avisa al usuario
que se lo desconectar?
Si en un determinado tiempo el usuario no responde,
entonces se termina la sesin?
ISO
17799
rea 7

Despus de qu perodo de inactividad (de cuantos
das) se pone una cuenta de usuario como inactiva,
porque el usuario no se ha logeado?

Este proceso es automtico (del sistema operativo)
o lo realiza el administrador?


Existe la normativa del modelo o mecanismo
estndar de control de acceso?


Se usa una aplicacin para el control de acceso?
ISO
15408
rea 7


100
Esta aplicacin es:
- Propia del sistema operativo
- De aplicacin y programas propios o comprados
- Con paquetes de seguridad agregados al sistema
operativo
ISO
17799
rea 7
Acceso remoto.
Existe una normativa para permitir el acceso
remoto?
ISO
17799
rea 7

Existe acceso externo a los datos, desde Internet o
desde el mdem?

Quin tiene ese acceso?
Qu procedimientos se tienen en cuenta para
mantener la integridad y la confiabilidad de los
datos?



Back Up y RAIDs
Se generan disco de rescate con el antivirus?
ISO
15408
rea 10

Para todas las mquinas o solo para los
servidores?

Se hacen y son efectivos los backups y los
mecanismos de seguridad?


Se realizan Back ups y/o RAIDs de los datos?


Con que medios?
Con qu frecuencia hacen los backups?


101
Hay imgenes Ghost de las mquinas?


Se hacen backups de la configuracin de red?


Con qu aplicacin se hacen?
Utilizan archivos de tipo especficos o archivos .zip,
por ejemplo?

Hay herramientas de back up automticas, que a
travs de una agenda hacen las copias?


Existe la funcin operativo responsable de generar
los respaldos?


Contratan a terceros para que proporcione los
insumos necesarios en caso de emergencia?


Tienen formalizados los procedimientos de back
up?


Existen procedimientos escritos para recuperar
archivos backupeados, o un Plan de backup?


Hacen pruebas peridicas de recuperacin de
backups?


Los backups se almacenan dentro y fuera del
edificio?


Estos lugares son seguros?


Hay informacin afuera de la red interna de la
empresa que sea valiosa?


Se hacen backups de estos datos?


Existen procedimientos automticos para que, en
caso que un usuario cometa un error en la base de
datos, sta pueda volverse a su estado anterior?
ISO
15408
rea 11

102

6.2.3 CONFIDENCIALIDAD.
La confidencialidad se refiere a que la informacin solo puede ser conocida
por individuos autorizados. Existen infinidad de posibles ataques contra la
privacidad, especialmente en la comunicacin de los datos. La transmisin a
travs de un medio presenta mltiples oportunidades para ser interceptada y
copiada.
Por criptografa se entiende un conjunto de tcnicas que tratan sobre la
proteccin de la informacin frente a observadores no autorizados.
La palabra criptografa proviene del griego kryptos, que significa esconder y
grphein, escribir, es decir, escritura escondida.
2
La criptografa ha sido usada a
travs de los aos para mandar mensajes confidenciales cuyo propsito es que
slo las personas autorizadas puedan entenderlos.
Alguien que quiere mandar informacin confidencial aplica tcnicas
criptogrficas para poder esconder el mensaje manda el mensaje por una lnea
de comunicacin que se supone insegura y despus solo el receptor autorizado
pueda leer el mensaje escondido
Pero la confidencialidad no es lo nico que permite la criptografa. Tambin
resuelve otros problemas de seguridad, como certificar la autenticidad (firmar
mensajes) e integridad (comprobar que la informacin transmitida no ha sido
modificada) de la informacin.


2
http://www.ayuda-irc.net/pgp.shtml
103







Evaluacin de la Confidencialidad.-
Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Existe una normativa que evalu la informacin
disponible para terceros?
ISO
17799

Existe la normativa para la creacin de certificados
digitales (criptografa) para los activos informticos?
ISO
15408
rea 4

Existe un procedimiento de evaluacin del
desempeo del personal a cargo de la actividad de
encriptacin?
ISO
15408
rea 4

Qu tipo de criptografa utilizan para la
confidencialidad?
- Criptografa de clave pblica (Asimtrica).
- Criptografa de clave privada (Simtrica
ISO
15408
rea 4

Existe un mtodo seguro de almacenamiento y
procesamiento para la trasmisin de datos
confidenciales? Esta documentado?

Poseen un sistema de administracin de cookies?
Esta documentado?


Se ha capacitado a los administradores para el
empleo adecuado del sistema de cookies?


Quin realiza la revisin de las historias en los
terminales de los usuarios?



104


7. APOYO A LA TOMA DE DECISIONES.
El proceso de apoyo a la toma de decisiones incluye un anlisis de costo-
beneficio formal con funciones y responsabilidades definidas en los lmites
organizativos.
El anlisis de costo-beneficio proporciona una estructura coherente y
exhaustiva para identificar, determinar el alcance y seleccionar la solucin ms eficaz
y asequible para reducir el riesgo a un nivel aceptable. De forma similar al proceso
de evaluacin de riesgos, el anlisis de costo-beneficio requiere definiciones de
funcin estrictas para que funcione de forma eficaz.
Durante la fase de apoyo a la toma de decisiones, se debe determinar cmo
afrontar los riesgos claves del modo ms eficaz y asequible. El resultado final sern
planes claros para controlar, aceptar, transferir o evitar cada uno de los riesgos
principales identificados en el proceso de evaluacin de riesgos.







105



Anlisis actual de la seguridad informtica.-

Fecha:_________________________
Auditor:____________________________________________________________________________________
Verificacin Ref. SI NO Observaciones
Se cuenta con Polticas y estndares de los
procesos relacionados con el sistema?

Se tienen polticas de seguridad en la empresa?

Con que tipo de manuales cuenta la empresa?
Manuales del sistema operativo
Manuales de procedimientos.
Manuales de usuario
Manuales de funciones.
ISO
17799
rea 9

Se cuenta con procedimientos para efectuar
cambios, modificaciones y revisiones a los
manuales?
ISO
17799
rea 9

Se cuenta con documentacin de la instalacin y
configuracin inicial de la red?

Poseen un plan de contingencia contra desastres
que proteja los activos informticos? Est
documentado?
ISO
17799
rea 9

Posee un plan contra desastres? Est
documentado?





106
8. Propuesta de un plan de contingencia.
Etapas clave en la elaboracin de planes de contingencia:
1. Determinacin del objetivo: El punto de partida para el desarrollo de un plan
de contingencia es determinar un objetivo claro. Por medio del cual el
departamento de tcnicas de informacin y los funcionarios de nivel ejecutivo
deben identificar el objetivo operativo en caso de una emergencia en materia
de seguridad informtica.
2. Realizacin de un inventario completo: Se deben identificar las principales
herramientas de tcnicas de informacin, los recursos y las tareas necesarias
para realizar negocios y atender las funciones crticas establecidas en el
objetivo de la elaboracin de planes de contingencia. El inventario debe incluir
recursos auxiliares como suministros de energa y recursos de respaldo.
3. Anlisis de riesgos: Evala los perjuicios financieros, tcnicos y operativos
totales que pudieran ocurrir como resultado de una brecha del sistema de
seguridad. El riesgo abarcara perjuicios potenciales a los clientes y empresas.
Tambin analiza amenazas a la seguridad y los perjuicios que potencialmente
podran ocasionar a varios departamentos y operaciones. El software de
administracin de riesgos a la seguridad puede ayudar al personal de tcnicas
de informacin a evaluar el impacto de las amenazas a la seguridad de la
empresa.

107
4. Desarrollo de un plan de accin: Repasa los escenarios detallados que
implican diferentes amenazas a la seguridad y los efectos posibles en las
operaciones. Para cada escenario potencial de disminucin de riesgos, se
debe tener en cuenta a las personas involucradas, sus responsabilidades, las
consideraciones presupustales, etc.
5. Prever un "Plan B": Aunque los mejores planes de contingencia encuentran
problemas tcnicos, tratar de anticiparse a estos problemas y crear soluciones
alternas.
6. Planeacin de las comunicaciones y compras: Los mejores planes son
efectivos solo si los empleados tienen en cuenta su importancia y entienden
sus mensajes y procesos. Los departamentos de recursos humanos, de
aspectos jurdicos y finanzas deben revisar y responder a los planes de
contingencia de seguridad en cada etapa de desarrollo.

Especificaciones del plan de accin
Los planes de contingencia variaran dependiendo del tipo especfico del
sistema de seguridad, como el ataque de virus que podra afectar las operaciones de
la empresa de manera diferente a como lo hara una negacin de servicio.
Debido al rango de amenazas a la seguridad, los planes de contingencia
deben ser adaptables. Sin embargo, todos los planes efectivos deben responder por
lo siguiente:
Prdida de la informacin: Eventualmente las fallas en el fluido elctrico, los virus,
los hackers u otras fuerzas perjudicarn la informacin importante de una compaa
o la har inaccesible. Preprese para lo inevitable haciendo copias de seguridad del
sistema y de la informacin.
108
Los servicios de copia de seguridad en lnea se estn volviendo ms comunes.
Sin embargo, el personal de tcnicas de informacin debe investigar
exhaustivamente las herramientas de seguridad de la empresa para el
almacenamiento y la confiabilidad de las computadoras.
Respaldo del hardware: las empresas con computadoras y servidores propios
les gustara contar con equipos de respaldo "rpido", que estn disponibles en
caso que el servidor principal se dae. Si el servicio al cliente es la prioridad de la
empresa, es sensato tener equipos de respaldo.
Suministros de energa de reserva: Una falla en la energa puede daar la
informacin y afectar la capacidad de la empresa para prestar los servicios.
Una fuente de energa ininterrumpida o UPS es un componente indispensable
de todo plan de contingencia. Los costos de las UPS varan dependiendo del
"tiempo de ejecucin" del modelo o del tiempo de energa disponible.
Proveedores del servicio y socios comerciales: La seguridad debe ser un
aspecto clave que debe ser considerado por todo proveedor de servicio o estar
estipulado en el contrato del socio comercial, especialmente cuando las partes
involucradas son parte de una VPN (Red virtual privada) o una cadena de
suministros en red.
El personal del departamento de informtica debe estipular que todos los
socios tienen las mismas herramientas de seguridad. El control de la seguridad
debe ser un componente de las negociaciones de un contrato. Como parte de un
109
plan de contingencia, el personal del departamento debe evaluar las formas en
que la red es vulnerable a las brechas de seguridad de la red de un socio.
Aprobacin de fondos: Las situaciones de emergencia requieren gastos que no
estn contemplados en el presupuesto. Las partes responsables de elaborar un
plan de contingencia deben revisar los estatutos de constitucin y el reglamento
de la compaa para determinar quien puede declarar cuando una situacin es
una emergencia y quien tiene autoridad para asignar los recursos de
emergencias.
En situaciones de emergencia se debe establecer un proceso de rpida
asignacin de fondos para las emergencias con el fin de evitar procesos
demorados de solicitud y aprobacin
Medidas de seguridad
Los planes de contingencia no son nicamente estratgicos. Mientras que los
planes solucionan principalmente escenarios hipotticos, tambin necesitan que el
personal de tcnica de informacin tome algunas medidas en tiempo real.
Seguro: En caso de una brecha de seguridad, el seguro ciberntico puede
ayudar a cubrir los costos debido a la prdida de informacin, interrupcin de
las empresas, gastos en relaciones pblicas, demandas de terceros como
consecuencia de la negligencia en seguridad, etc. Las primas de seguro
varan dependiendo del tamao y naturaleza de los negocios en lnea de la
compaa. Los planes de contingencia pueden ayudar a disminuir los costos
de las primas de seguro.
110
Aplicaciones de la seguridad: Los antivirus, la deteccin de intrusos y el
software para el filtrado de contenidos de Internet y del correo electrnico
pueden ayudar a proteger la red contra una variedad de amenazas a la
seguridad como las siguientes:
Ataques de piratas
Ataques de virus
Negacin de servicio
Fugas de informacin confidencial
Correo electrnico y contenidos calumniosos de los sitios web

9. Propuesta de plan contra desastres.
En la actualidad la mayora de los negocios depende fuertemente de la
tecnologa. Su interrupcin incluso por pocas horas puede causar prdidas
financieras importantes y amenazar la supervivencia de los mismos.
La informacin es el corazn de cualquier organizacin (especialmente de
aquellas con un alto nivel de informatizacin en su gestin) y la prdida de sta
puede significar un verdadero desastre. Mientras sea imposible predecir ataques,
fallos inesperados o acciones de la naturaleza, es esencial que toda compaa tenga
un completo y actualizado plan de recuperacin ante desastres informticos,
incluyendo una solucin del manejo de almacenamiento (componente crtico) para
hacerle frente a cualquier tipo de desastre o prdida de uno de sus activos ms
importantes.
111
La tarea principal de un plan de recuperacin ante desastres informticos es
proteger a la empresa en el evento de que todas o parte de sus operaciones y/o
servicios informticos se vuelven inutilizados como resultado de un desastre
informtico (Ej. ataque desde Internet).
Algunas preguntas a realizar para comprender la importancia en la actualidad de
este plan en una empresa, ante la ocurrencia de un desastre informtico:
Cunto dinero pierde en solucionar daos sobre sus activos informticos?
Se puede cuantificar la prdida de imagen si es vulnerada su seguridad
informtica?
Cunto es la perdida monetaria por operar sin tecnologa ms de un da?
Puede no estar comunicada mediante sus mecanismos informticos?
Y si le sustraen su archivo maestro de clientes para venderlo a la competencia?
Los desastres informticos no siempre obedecen a hechos naturales (terremotos,
incendios, tornados, inundaciones, etc.) o fallos tcnicos significativos en las
comunicaciones, hardware y software. Tambin pueden ser ocasionados por
acciones humanas (errores intencionales o no del usuario, sabotaje, ataques de
terrorismo, espionaje y ataques por Internet).
Las soluciones informticas de alta disponibilidad pueden resolver las
necesidades de continuidad especficas de la empresa de una forma sencilla y
rentable; al eliminar los puntos de fallo, se garantiza que los usuarios finales tendrn
siempre acceso a un sistema de trabajo, haciendo posible que la empresa contine
funcionando.
112
Modelo de plan contra desastres.
















La prctica de la solucin de recuperacin cubre reas principales como:
El desarrollo e implementacin de los procedimientos tcnicos para dar
soporte a la solucin de recuperacin; entre los que estn:
Manuales y normativas de procedimientos de respaldo de datos.
Manuales y normativas de procedimientos de almacenamiento.
Plataforma
en la unidad
Datos
fuera de la unidad
Aplicacin
Interaccin con el sistema
Sitio
fuera de las instalaciones
Recuperacin del sitio
Instalaciones de recuperacin
remota o comerciales
Migracin tras error del sitio o
del centro de datos.
Redirigir los usuarios y los datos a
los sitios replicados.
Migracin tras error de
aplicaciones / equilibrio de
carga.
Acceso continuo a aplicaciones
mediante agrupamiento.
Sistemas redundantes.
Acceso continuo al servidor,
al almacenamiento y a la red.
SAN, NAS y DAS.
Acceso continuo a los datos.
Copia de seguridad y restauracin.
Copias de seguridad en cintas en tiempo real,
almacenamiento en ubicacin externa.
Sustitucin rpida del equipo.
Servicios a proveedores y programas de
Financiamiento.
Sistema de servidor de alta disponibilidad.
Componentes redundantes e intercambiables en caliente con
soporte para situaciones crticas.
Plataforma
en la unidad
Datos
fuera de la unidad
Aplicacin
Interaccin con el sistema
Sitio
fuera de las instalaciones
Recuperacin del sitio
Instalaciones de recuperacin
remota o comerciales
Migracin tras error del sitio o
del centro de datos.
Redirigir los usuarios y los datos a
los sitios replicados.
Migracin tras error de
aplicaciones / equilibrio de
carga.
Acceso continuo a aplicaciones
mediante agrupamiento.
Sistemas redundantes.
Acceso continuo al servidor,
al almacenamiento y a la red.
SAN, NAS y DAS.
Acceso continuo a los datos.
Copia de seguridad y restauracin.
Copias de seguridad en cintas en tiempo real,
almacenamiento en ubicacin externa.
Sustitucin rpida del equipo.
Servicios a proveedores y programas de
Financiamiento.
Sistema de servidor de alta disponibilidad.
Componentes redundantes e intercambiables en caliente con
soporte para situaciones crticas.
Plataforma
en la unidad
Datos
fuera de la unidad
Aplicacin
Interaccin con el sistema
Sitio
fuera de las instalaciones
Recuperacin del sitio
Instalaciones de recuperacin
remota o comerciales
Migracin tras error del sitio o
del centro de datos.
Redirigir los usuarios y los datos a
los sitios replicados.
Migracin tras error de
aplicaciones / equilibrio de
carga.
Acceso continuo a aplicaciones
mediante agrupamiento.
Sistemas redundantes.
Acceso continuo al servidor,
al almacenamiento y a la red.
SAN, NAS y DAS.
Acceso continuo a los datos.
Copia de seguridad y restauracin.
Copias de seguridad en cintas en tiempo real,
almacenamiento en ubicacin externa.
Sustitucin rpida del equipo.
Servicios a proveedores y programas de
Financiamiento.
Sistema de servidor de alta disponibilidad.
Componentes redundantes e intercambiables en caliente con
soporte para situaciones crticas.
113
Manuales y normativas de procedimientos de recuperacin de
datos.
Manuales y normativas de procedimientos de administracin
informtica.
Manuales y normativas de procedimientos de recursos humanos.
Manuales y normativas de desarrollo del plan de recuperacin
Un plan de recuperacin de desastres se conforma de un documento
detallado, que establece todas las acciones que se tomarn antes, durante y
despus de que ocurra una catstrofe. El plan de recuperacin debe incluir los
siguientes elementos:
Alcance de la recuperacin.
Procesos para identificar desastres.
Identificacin de los equipos de trabajo de recuperacin.
Definir tareas y responsabilidades de los equipos de trabajo.
Lista de telfonos y direcciones de las personas responsables.
Informacin sobre compras y adquisiciones.
Diagramas de topologas de red.
Configuraciones y copias de seguridad.
Distribucin y mantenimiento del plan
Una vez que se ha elaborado el plan de recuperacin de desastres y que se
ha implementado la solucin de recuperacin, es necesario distribuirlo a las personas
que necesitan tenerlo. Los cambios en el ambiente informtico son constantes, y
114
cualquier cambio drstico podra inutilizar el plan, entre los cambios que pueden
afectar se encuentran:
Surgimiento de nuevas tecnologas.
Cambios en la configuracin actual del hardware.
Cambios en el entorno de red.
Cambios organizacionales.
Por lo cual es necesario llevar una auditora permanente del plan, para
determinar si se han aplicado las actualizaciones los cambios al plan.
10. Informe Final de Auditora.

Se redacta cuando se tienen todos los resultados de la auditora. (Todos los
segmentos, secciones y subsecciones sealados y codificados).
A la hora de redactar el informe el auditor debe regirse por dos principios:
1. Slo se deben incluir hechos importantes.
Los hechos poco relevantes o accesorios desvan la atencin del lector de lo
importante.
2. Los hechos que se incluyan deben demostrarse.
La demostracin debe poder incluirse en el informe.
Los hechos poco importantes o no demostrables pueden incluirse como comentarios
en el apartado conclusiones.



115
Formato del Informe Final de Auditora.
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
Identificacin del documento y destinatarios. Presentacin del
documento y a quien va dirigido el informe.
Situacin. Describe brevemente las debilidades resultantes del
anlisis.
Efectos y/o implicancias probables. Enuncian los posibles riesgos a
que se encuentran expuestos las operaciones realizadas por la
empresa.
ndice de importancia establecida. Indica con una calificacin del 0 al
3 el grado crtico del problema y la oportunidad en que se deben tomar
las acciones correctivas del caso.
0 =Alto (acciones correctivas inmediatas)
1 =Alto (acciones preventivas inmediatas)
2 =Medio (acciones diferidas correctivas)
3 =Bajo (acciones diferidas preventivas)
Sugerencias. Indicamos a la Gerencia la adopcin de las medidas
correctivas tendientes a corregir las debilidades comentadas.
Exposicin de hechos. Dar a conocer a la gerencia todos los
resultados de la auditora



116





PROGRAMA DE AUDITORIA
EMPRESA: FECHA: HOJA N
FASE ACTIVIDAD HORAS
ESTIMADAS
ENCARGADO
I VISITA PRELIMINAR
Solicitud de Manuales y Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la informacin organizacional:
estructura orgnica, recursos humanos,
presupuestos.

}II DESARROLLO DE LA AUDITORIA
Aplicacin del cuestionario al personal.
Entrevistas a lderes y usuarios mas relevantes
de la direccin.
Anlisis de las claves de acceso, control,
seguridad, confiabilidad y respaldos.
Evaluacin de la estructura orgnica:
departamentos, puestos, funciones, autoridad y
responsabilidades.
Evaluacin de los Recursos Humanos y de la
situacin Presupuestal y Financiera:
desempeo, capacitacin, condiciones de
trabajo, recursos en materiales y financieros
mobiliario y equipos.
Evaluacin de los sistemas: relevamiento de
Hardware y Software, evaluacin del diseo
lgico y del desarrollo del sistema.
Evaluacin del Proceso de Datos y de los
Equipos de Cmputos: seguridad de los datos,
control de operacin, seguridad fsica y
procedimientos de respaldo.

III REVISION Y PRE-INFORME
Revisin de los papeles de trabajo.
Determinacin del Diagnostico e Implicancias.
Elaboracin de la Carta de Gerencia.
Elaboracin del Borrador.

IV INFORME
Elaboracin y presentacin del Informe.

117
Informe Final de Auditora.
___________________________________
El Salvador, ____ de_____ del __________
Seor(s)____________________________
Atte. Sr.____________________________
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el
alcance del trabajo de Auditora del rea de Informtica practicada los
das_________________del corriente, sobre la base del anlisis y procedimientos
detallados de todas las informaciones recopiladas y emitidos en el presente informe,
que a nuestro criterio es razonable.
Sntesis de la revisin realizada:
Anexamos tabla de revisiones por seccion auditadas dentro de la empresa.
1- Areas
Describe brevemente las areas analisidas en la auditora.
2- Situacin
Describe brevemente las debilidades resultantes del anlisis del auditor.
3- Efectos y/o implicancias probables
Enuncian los posibles riesgos a que se encuentran expuestos las operaciones
realizadas por la empresa auditada.
118
4- Indice de importancia establecida
Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en
que se deben tomar las acciones correctivas del caso.

0 =Alto ( acciones correctivas inmediatas)
1 =Alto ( acciones preventivas inmediatas)
2 =Medio ( acciones diferidas correctivas)
3 =Bajo ( acciones diferidas preventivas)
5- Sugerencias
Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a
subsanar las debilidades comentadas.
Segn el anlisis realizado hemos encontrado falencias en que no existe un
Comit y plan informtico; falta de organizacin y administracin del rea; falencias
en la seguridad fsica y lgica; no existe auditora de sistemas; falta de respaldo a las
operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo
y mantenimiento de las aplicaciones.
El detalle de las deficiencias encontradas, como as tambin las sugerencias
de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y
puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio
ms eficiente a todos sus clientes.
119
Agradecemos la colaboracin prestada durante nuestra visita por todo el
personal de la empresa y quedamos a vuestra disposicin para cualquier aclaracin
y/o ampliacin de la presente que estime necesaria.
Atentamente.
__________________________________________
Auditor Informtico.-
Auditoria informtica realizada a__________________________________________
A cargo de:__________________________________________________________
120
GLOSARIO.
ACCESO REMOTO: La palabra se utiliza en tecnologas de la informacin para
definir sistemas o elementos de sistemas que se encuentran fsicamente separados
de una unidad central.
AUDITORA: Es un examen crtico que se realiza con el fin de evaluar la eficacia y
eficiencia de una seccin, un organismo, una entidad, etc.
AUDITORIA INFORMATICA: Un conjunto de procedimientos y tcnicas para
evaluar y controlar parcialmente un Sistema Informtico, con el fin de proteger sus
activos y recursos, verificar si sus actividades se desarrollan eficientemente y de
acuerdo con la normativa informtica y general existente en cada empresa y para
conseguir la eficacia exigida en el marco de la organizacin correspondiente.
AUDITORIA FINANCIERA: Es un proceso cuyo resultado final es la emisin de un
informe, en el que el auditor da a conocer su opinin sobre la situacin financiera de
la empresa, este proceso solo es posible llevarlo a cabo a travs de un elemento
llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las
operaciones de la empresa.
AUDITORIA ADMINISTRATIVA: Es el revisar y evaluar si los mtodos, sistemas y
procedimientos que se siguen en todas las fases del proceso administrativo aseguran
el cumplimiento con polticas, planes, programas, leyes y reglamentaciones que
puedan tener un impacto significativo en operacin de los reportes y asegurar que la
organizacin los este cumpliendo y respetando.
121
AUDITOR INFORMTICO: Es el que ha de velar por la correcta utilizacin de los
amplios recursos que la empresa pone en juego para disponer de un eficiente y
eficaz sistema de informacin
BITACORA: Un weblog, tambin llamado blog o bitcora, es un sitio web donde se
recopilan cronolgicamente mensajes de uno o varios autores, sobre una temtica en
particular o a modo de diario personal, siempre conservando el autor la libertad de
dejar publicado lo que crea pertinente.
BRIDGE: Un dispositivo que conecta dos o ms redes fsicas y sirve para transmitir
paquetes entre ellas. Puede utilizarse tambin para filtrar los paquetes que entran o
salen, selectivamente.
BS 7799 / ISO 17799 tiene por objetivo "proporcionar una base comn para la
elaboracin de las normas de seguridad de las organizaciones, un mtodo de gestin
eficaz de la seguridad y establecer informes de confianza en las transacciones y las
relaciones entre empresas".

B.S.I.: Instituto Britnico de Normas y Tcnicas (British Standards Institute)
CABALLO DE TROYA: Software introducido en un sistema informtico por medio
del engao (por ejemplo, indicando al destinatario que se trata de un nuevo juego, o
bajo el disfraz de un utilitario) y que, una vez all, est programado para realizar
alguna funcin perjudicial.
CABLE PAR TRENZADO: El cable par trenzado est compuesto de conductores de
cobre aislados por papel o plstico y trenzados en pares. Esos pares son despus
122
trenzados en grupos llamados unidades, y estas unidades son a su vez trenzadas
hasta tener el cable terminado que se cubre por lo general por plstico. El trenzado
de los pares de cable y de las unidades disminuye el ruido de interferencia, mejor
conocido como diafona. Los cables de par trenzado tienen la ventaja de no ser
caros, ser flexibles y fciles de conectar, entre otras. Como medio de comunicacin
tiene la desventaja de tener que usarse a distancias limitadas ya que la seal se va
atenuando y puede llegar a ser imperceptible; es por eso que a determinadas
distancias se deben emplear repetidores que regeneren la seal.
CABLE COAXIAL: Presenta propiedades mucho ms favorables frente a
interferencias y a la longitud de la lnea de datos, de modo que el ancho de banda
puede ser mayor. Esto permite una mayor concentracin de las transmisiones
analgicas o ms capacidad de las transmisiones digitales.
CABLE DE FIBRA PTICA: Es un filamento de vidrio sumamente delgado
diseado para la transmisin de la luz. Las fibras pticas poseen enormes
capacidades de transmisin, del orden de miles de millones de bits por segundo.
Adems de que los impulsos luminosos no son afectados por interferencias
causadas por la radiacin aleatoria del ambiente. Actualmente la fibra ptica est
remplazando en grandes cantidades a los cables comunes de cobre.
CD-ROM: soporte de almacenamiento de informacin para computadoras que
permite su lectura y escritura por medios pticos.
CHECKLIST: quiere decir "lista de chequeo" y se utiliza muchas veces para verificar
que uno est haciendo las cosas bien.
123
CINTAS MAGNETICAS: Los dispositivos de almacenamiento masivo de datos de
cinta magntica son utilizados principalmente para respaldo de archivos y para el
proceso de informacin de tipo secuencial, como en la elaboracin de nminas de las
grandes organizaciones pblicas y privadas.
CORREO ELECTRNICO: servicio en Internet que permite el envo de
correspondencia entre usuarios, incluyendo textos, imgenes, videos, audio,
programas, etc.
CONEXIN: va establecida para el intercambio de informacin.
CONFIDENCIALIDAD: La confidencialidad se refiere a la capacidad de mantener un
documento electrnico inaccesible a todos, excepto a una lista determinada de
personas.
CONECTORES NIC (RJ45): estn diseados para conectar un cable UTP
(Unshielded Twisted Pair [par Trenzado sin Blindaje]) para red Ethernet equipado con
enchufes convencionales compatibles con el estndar RJ 45.
COOKIE: es un fragmento de informacin que se almacena en el disco duro del
visitante de una pgina web a travs de su navegador, a peticin del servidor de la
pgina.
DAS: la memoria consolidada impulsa la productividad y el rendimiento. Al
administrar la informacin centralmente, sta queda disposicin de toda la empresa
de una forma ms rpida y segura. De este modo, no se sobrecargan los recursos y
se reduce el tiempo de respuesta.
124
DNS: Es un conjunto de bases de datos o mtodo en Internet que permiten convertir
el nombre de la direccin a su correspondiente nmero IP, con el fin de ser
procesadas
DISCO DURO: Unidad de almacenamiento permanente de informacin. Este es el
que guarda la informacin cuando apagamos el computador. Aqu se guardan la
mayora de los programas y el sistema operativo. Su capacidad de almacenamiento
se mide en Megabytes (Mb) o Gigabytes (Gb). 1024 Mb =1Gb.
ETHERNET: Son redes que permiten distribuir datos a travs de un solo cable por lo
que necesitan de un protocolo especial que evite la colisin de los paquetes de
datos, ya que solo se permite el envi de un solo paquete al mismo tiempo,
encargndose el protocolo de su reenvi en caso de la colisin de ambos.
ENCRIPTACION: Es el proceso mediante el cual una rutina es codificada de tal
manera que no pueda ser interpretada fcilmente. Es una medida de seguridad
utilizada para que al momento de transmitir la informacin sta no pueda ser
interceptada por intrusos.

ENCRIPTACION SIMETRICA: se utiliza cuando necesito almacenar informacin
crtica, que deber poder descifrarse, y ser yo el nico que haga todo el proceso.
Nadie mas tendr acceso a la llave con que se encriptar y desencriptar la
informacin.

125
ENCRIPTACION ASIMETRICA: nos permite que dos personas puedan enviarse
informacin encriptada, sin necesidad de compartir la llave de encriptacin. Se utiliza
una llave pblica para encriptar el texto y una llave privada para desencriptarlo.

FIREWALL: Un cortafuegos o firewall en Ingls, es un equipo de hardware o
software utilizado en las redes para prevenir algunos tipos de comunicaciones
prohibidos por las polticas de red, las cuales se fundamentan en las necesidades del
usuario.

GATEWAY FISICO: o pasarela es un dispositivo, con frecuencia un ordenador, que
realiza la conversin de protocolos entre diferentes tipos de redes o aplicaciones.
GUSANO: Es un programa independiente que se duplica por si mismo,
arrastrndose de un equipo a otro a travs de las conexiones de red. Con frecuencia
obstruye las redes a medida que se difunde por lo general a travs del correo
electrnico.
HACKER
Persona que tiene muchos conocimientos del mundo de las redes. Normalmente se
dedican a comprobar la seguridad de las redes, intentando acceder a ellas de forma
no autorizada, para examinar los fallos de seguridad y corregirlos. No se les debe
confundir con los crackers, cuyas intenciones no son tan buenas.
HARDWARE: Dispositivos fsicos que comprenden un sistema de computacin
126
HUB: Literalmente, "concentrador". Es un dispositivo muy simple de red que une
ordenadores u otras mquinas sin modificar las tramas que le llegan.

INFORMACION: Es lo que se obtiene del procesamiento de datos, es el resultado
final

IEEE 802.5: Protocolo de LAN IEEE que especifica la implementacin de la capa
fsicas y de la subcapa MAC de la capa de enlace de datos. IEEE 802.5 usa de
acceso de transmisin de tokens a 4 Mbps 16 Mbps en cableado STP O UTP y de
punto de vista funcional y operacional es equivalente a token Ring de IBM.

IP: es un concepto en teora de la complejidad computacional que modela cmputos
como el intercambio de mensajes entre dos partes. Las partes son el verificados y el
demostrador, quienes interactan por intercambio de mensajes para demostrar la
pertenencia de una palabra dada pertenece o no a un lenguaje.

ISO: (International Organization for Standardization) Organizacin Internacional para
la Estandarizacin. Fue fundada en el ao 1946 y unifica a ms de cien pases. Una
de las ms conocidas es OSI.

ISO 17799: es una norma tcnica que propicia las bases para implementar acciones
preventivas en materia de seguridad de la informacin, un verdadero reto que las
organizaciones debern poner en marcha ms pronto de lo que imaginan.

127
ISACA: Asociacin de Auditoria y Control de Sistemas de Informacin (Information
Systems Audit and Control Association)
IMAGEN GHOST: es un programa que permite crear imgenes de las particiones del
disco duro, se suele utilizar para realizar copias de seguridad y/o repetir instalaciones
con el mismo software.

JUMPDRIVE: bsicamente es una unidad Flash con una capacidad de 64 o 128Mb;
Lo ms destacable de esta unidad de almacenamiento de datos, es que nos permite
en un tamao muy reducido (6cm de largo por 2 de ancho) poder transportar el
equivalente a 90 disquetes (en el modelo de 128Mb).
LAN. Local Area Network: Red de Area Local, relativo a la conexin fsica y lgica
de dos o ms computadoras en una pequea o no tan pequea rea de trabajo como
un edificio. De esta manera se pueden compartir programas, datos, impresoras,
discos duros y a veces hasta capacidad de procesamiento. Existen muchos tipos de
redes, en cuanto a interconexin lgica, fsica. Se necesita un sistema operativo
especial que permita el establecimiento de una red de este tipo.
LOG ON: Termino para acceder a una red por medio de una identificacin propia por
medio de nombre de usuario y una contrasea.
LOG OFF: Es el salir del sistema; finalizacin de sesin o terminar la comunicacin
con (el sistema), desconectar.
MEMORY STICK: Es una memoria flash de Sony con una capacidad que
normalmente va de los 64 a los 256 Mb tiene forma de chicle alargado y plano y
128
suelen tener color azul.En un principio solo las usaban los aparatos de Sony pero
ahora tambien los usan otras marcas, aunque no se han extendido mucho en otras
marcas.
MODEM: Trmino que proviene de las palabras MOdulador-DEModulador. Consiste
en un dispositivo que se conecta al ordenador ya una lnea telefnica y que permite
poner en contacto dos ordenadores.
NAS: sirve para optimizar recursos de memoria de un modo eficaz y econmico,
apueste por el servidor NAS (Network Attached Storage). Equipado con un
procesador y un sistema operativo, discos duros conectados a travs de RAID y una
tarjeta de red, las aplicaciones del servidor NAS ponen a disposicin del usuario una
memoria de alta velocidad con amplias capacidades. Flexible y sin complicaciones.
NETWARE: Marca comercial de Novell para designar su sistema operativo de red.
NETBIOS: Protocolo de red originalmente creado para redes locales de
computadoras IBM PC. NetBIOS fue la API del producto llamado "PC Network",
desarrollado por Sytec, empresa contratada por IBM. "PC Network" soportaba menos
de 80 nodos y era bastante simple, pero en aquella poca era ms apropiado para
los ordenadores personales que su pariente ms viejo y complejo para mainframes
de IBM, el SNA.
PROTOCOLO: Lista de comandos estandarizada a la que responde un servidor.
PASSWORD: Contrasea, palabra clave de acceso a una cuenta o sitio de Internet
129
PROXY: el trmino Proxy (en ingls apoderado o delegado) hace referencia a
un programa o dispositivo que realiza una accin en representacin de otro. La
finalidad ms habitual de esa representacin es la de permitir el acceso a Internet a
todos los equipos de una organizacin cuando slo se puede disponer de un nico
equipo conectado, esto es, una nica direccin IP.
RAID: es un trmino ingls que hace referencia a un conjunto de discos redundantes
independientes. Este tipo de dispositivos se utilizan para aumentar la integridad de
los datos en los discos, mejorar la tolerancia a los fallos y errores y mejorar el
rendimiento. En general permiten proveer discos virtuales de un tamao mucho
mayor al de los discos comnmente disponibles. Inicialmente un sistema RAID era
un conjunto de discos redundantes econmicos
RED: en informtica, interconexin de computadoras mediante cables u ondas
radiales o telefnicas. Otra definicin dos o ms computadoras conectadas entre s,
permitiendo a sus usuarios compartir archivos y recursos.
REPETIDOR: Dispositivo hardware encargado de amplificar o regenerar la seal
entre dos segmentos de una red homognea que se interconectan ampliando su
cobertura. El propsito de un repetidor es regenerar y retemporizar las seales de
red a nivel de los bits para permitir que los bits viajen a mayor distancia a travs de
los medios.
ROUTER: dispositivo que maneja la conexin entre dos o ms redes. Vase red
RADIOFRECUENCIA (RF) O INFRARROJOS: Una red de rea local por radio
frecuencia o wlan (wirless lan) puede definirse como una red local que utiliza
130
tecnologa de radio frecuencia para enlazar los equipos conectados a la red en lugar
de los medios utilizados en las LAN convencionales cableadas.
SAN, NAS Y DAS: las palabras clave que actualmente predominan en el sector del
almacenamiento de TI. Sin embargo, en muchos casos, no queda claro el significado
y las ventajas de estos conceptos de almacenamiento tan distintos. MAXDATA le
ofrece las soluciones y la competencia que le permitirn configurar y utilizar de una
forma ptima su entorno de hardware.
SAN: Permiten mejorar el aprovechamiento de la memoria y los discos duros en
unos dos tercios.
SEGURIDAD INFORMATICA: Garantizar en trminos medibles las probabilidades
de integridad, privacidad y confidencialidad de los sistemas de la informacin
(Hardware, Software y Datos) y sus comunicaciones.
SERVIDOR: Una computadora en una red cuyo propsito es dar acceso a (servir)
archivos. El otro polo en la relacin es el cliente, que es la computadora que
interpreta y despliega la informacin siendo servida.
SEGURIDAD: se refiere a las polticas, procedimientos y medidas tcnicas usadas
para evitar un acceso no autorizado, alteracin, robo o daos fsicos a los sistemas
de informacin3. La seguridad puede promoverse mediante un conjunto de tcnicas
y herramientas para salvaguardar el hardware, software, las redes de
telecomunicaciones y de datos.
131
SEGURIDAD FISICA: Es el conjunto de medidas adoptadas para proteger los
medios y los documentos de comunicaciones de ataques externos (hackers, virus,
ataques de DoS, etc.) o destruccin por el enemigo; la seguridad de la misma ser
nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre
natural y no tener presente polticas claras de recuperacin.
SEGURIDAD LGICA: consiste en la aplicacin de barreras y procedimientos que
resguarden el acceso a los datos y slo se permita acceder a ellos a las personas
autorizadas para hacerlo.
SISTEMA INFORMATICO: Es aquel sistema que se encarga del manejo de
informacin en la computadora, a travs de la cual el usuario controla las
operaciones que realiza el procesador.
SOFTWARE: Es el conjunto de instrucciones o programas usados por una
computadora para hacer una determinada tarea. Lo contrario al hardware.
TOKEN RING (red en anillo):Un red en anillo es un tipo de Lan con nodos cableados
en forma de anillo. Cada nodo pasa constantemente un mensaje de control (token) al
siguiente, de tal forma que cualquier nodo que tiene un token, puede enviar un
mensaje.
TOPOLOGA.- Forma de disear y conectar las redes locales. Las topologas ms
usuales son: en anillo, en estrella y en bus. El tipo de funcionamiento de la red, su
protocolo, determina la forma fsica de conectar los diferentes ordenadores, o nodos,
de una red.
132
TOPOLOGA DE ANILLO: Una topologa de anillo se compone de un solo anillo
cerrado formado por nodos y enlaces, en el que cada nodo est conectado
solamente con los dos nodos adyacentes.
TOPOLOGA EN ESTRELLA: La topologa en estrella tiene un nodo central desde el
que se irradian todos los enlaces hacia los dems nodos. Por el nodo central,
generalmente ocupado por un hub, pasa toda la informacin que circula por la red.
TOPOLOGA DE BUS: La topologa de bus tiene todos sus nodos conectados
directamente a un enlace y no tiene ninguna otra conexin entre nodos. Fsicamente
cada host est conectado a un cable comn, por lo que se pueden comunicar
directamente, aunque la ruptura del cable hace que los hosts queden desconectados.
E.M.U.: Unidad Monetaria Europea (European monetary unit)
UNIDAD ZIP: es un dispositivo de almacenamiento extrable que almacena de
forma segura todos sus datos informticos importantes en soporte magntico.

UPS: Sistema de alimentacin ininterrumpida (Uninterruptible Power Supply, en
espaol abreviado como SAI).

VULNERABILIDAD: es un punto dbil de un activo o grupo de activos que una
amenaza puede atacar. De un modo simplificado, las vulnerabilidades proporcionan
el mecanismo o el modo en que se pueden producir las amenazas.

133
VIRUS: Programa que se duplica a s mismo en un sistema informtico
incorporndose a otros programas que son utilizados por varios sistemas. Estos
programas pueden causar serios problemas a los que sistemas infectados.

Y2K: crnimo de "Year two thousand", ao 2000. Y=year, 2, K=Kilo = 1000,
normalmente se refiere al problema informtico del ao 2000.


















134
BIBLIOGRAFIA.-
1- BONILLA, Gidalberto
Estadstica II
2 Edicin
Editado en El Salvador, Editorial UCA 1992
2- ECHENIQUE Garca, J os Antonio
Auditoria en informtica
1 Edicin
Mc Graw-Hill interamericana de Mxico 1990
3- MENDEZ, Carlos Eduardo
Metodologa. Diseo y desarrollo del proceso de investigacin
3 Edicin
Mc Graw-Hill interamericana, S.A.
4- ROJ AS Soriano, Ral
Gua para realizar investigaciones sociales
7 Edicin
Editado en Mxico por Plaza y Valds Editores 1991
5- GARFINKEL, Simson y SPAFFORD, Gene
Seguridad prctica en UNIX e Internet
Mc Graw-Hill interamericana editores, S.A de CV.
6- RUSSELL, J .P
Evaluacin de la calidad con el Benchmarking
Panorama Editorial.
7- PEACH, ROBERT W.
135
Manual de ISO 9000
Mc Graw-Hill, tercera edicin, primera en espaol.
8- http://auditi.com/ISO17799.htm
9- http://www.acaicr.org
10- http://www.monografias.com
11- http://html.rincondelvago.com
12- http://www.geocities.com
13- http://www.monografias.com/trabajos12
14- http://www.internet-solutions.com.co/ser_fisica_logica.php
15- http://www.ayuda-irc.net/pgp.shtml
16- http://www.ilustrados.com
17- http://www.virusprot.com
18- http://www.infogroup.es
19- http://www.franciscorobles.com.ar
20- http://redescolar.ilce.edu.mx
21- http://www.gestiopolis.com
22- http://www.usuaria.org.ar/vercurso.asp?id=9