Unidad 5: Tipos de Auditoras de TI

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

INDICE DEL CONTENIDO

Contenido.Pgina
Introduccin3
5.0 Tipos de auditora...4
5.1 Auditoria a los Sistemas de Aplicaciones y Bases de Datos..4
5.2 Evaluacin del proyecto de sistema, segn el dominio de entrega y soporte de Cobit.....5
5.3 Evaluar los sistemas base: Sistemas operativos, DBMS....8
5.4 Evaluar los sistemas segn el Ciclo de vida del desarrollo de sistema......10
5.5 Evaluacin de las base de datos.......11
5.6 Auditar los sistemas en funcionamiento..13
5.7 Auditoria de Redes y Telecomunicaciones.....15
5.8 Comprender el esquema y comportamiento de las redes y equipos de
Telecomunicaciones..16
5.9 Protocolos y vulnerabilidades16
5.10 Auditoria de la Seguridad Informtica18
5.11 Evaluar la seguridad lgica y confidencialidad19
5.12Evaluar la seguridad en el personal....20
5.13 Evaluar la seguridad fsica..20
5.14 Gestin de Respaldo de Datos....21
515 Seguridad contra virus y malware....22
5.16 Planes de Contingencia y recuperacin de desastres...23
5.17 Plizas de Seguro.................25
Bibliografa..26

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

INTRODUCCION

El auditor informtico al ejercer su funcin debe determinar cul es el alcance, puesto que la
auditora de TI abarca todos los aspectos de la gestin y cada una de manera individual
aunque con objetivos comunes busca debe evaluar de una manera eficiente y eficaz, con el
propsito de que cada una contribuya al objetivo del rea de informtica, servir de soporte a la
organizacin para el logros de sus objetivos.
En esta unidad trataremos los tipos de auditora que se derivan de la gestin informtica
como: la auditora a los Sistemas de Aplicaciones y Bases de Datos, la evaluacin del
proyecto de sistema, segn el dominio de entrega y soporte de Cobit, la evaluacin de los
sistemas base como sistemas operativos y DBMS, tambin la evaluacin de los sistemas
segn el Ciclo de vida del desarrollo de sistema y evaluacin de las base de datos, a partir de
la integridad, confiabilidad y suficiencia de los datos.
Tambin abordaremos la auditara los sistemas en funcionamiento, la auditoria de redes y
telecomunicaciones as como conocer el esquema y comportamiento de las redes y equipos
de telecomunicaciones y los protocolos y vulnerabilidades.
Otros temas que tocaremos son: la auditoria de la Seguridad Informtica, la evaluacin de la
seguridad lgica y confidencialidad, la evaluacin de la seguridad en el personal,
seguridad fsica,

la gestin de Respaldo de Datos, la seguridad contra virus y malware,

adems de los planes de Contingencia y recuperacin de desastres y las plizas de Seguro.

la

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.0 Tipos de auditora

5.1 Auditoria a los Sistemas

Es la auditora aplicada al centro de cmputo, consiste en evaluar el funcionamiento de todos
los componentes del centro de cmputo desde el hardware, software, periferifericos,
instalaciones fsicas y de redes as como la operacin del sistema. Este tipo de auditora tiene
por objetivo evaluar que el sistema computacional est funcionando de manera adecuada.
La auditora de sistema tiene como propsito analizar la gestin de los riesgos asociados a los
sistemas de informacin, recomendando la adopcin de medidas que mejoren el sistema de
anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean
mitigados, eliminados, compartidos o aceptados por la organizacin.
Consideraciones que el auditor debe tener en cuenta para realizar auditora de sistemas:
El tipo de procesador computacional, capacidad de las memorias y caractersticas con
las cuales opera el centro de cmputo.
Los fabricantes del hardware, software y perifricos del sistemas
Las caractersticas y especificaciones del diseo del sistema computacional
Las plataformas, ambientes, el tamao y configuracin del sistema computacional.
La forma de administrar el sistema y sus componentes asociados
El sistema de administracin de bases de datos e informacin manejado
La arquitectura del sistema, sus perifricos, equipos asociados y dems componentes
Las aplicaciones concretas para las que estn destinado el sistema computacional.

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.2 Evaluacin del proyecto de sistema, segn el dominio de entrega y soporte de Cobit
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento
de su supervivencia en el mercado, COBIT es precisamente un modelo para auditar la gestin
y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados
en el proceso.

COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la

seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios y
se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores
personales

y las redes. Est basado en la filosofa de que los

recursos TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para proveer la

informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Este modelo define un marco de referencia que clasifica los procesos de las unidades de
tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:
Dominio. Planificacin y organizacin
Dominio. Adquisicin e implantacin
Dominio. Soporte y servicios
Dominio. Monitoreo
En esta ocasin vamos a trabajar con el dominio Entrega y Soporte, este dominio se hace
referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el
fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente
clasificados como controles de aplicacin.

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Definir y Administrar Niveles de Servicio.

Establecer un entendimiento comn del nivel de servicio requerido posibilitado por el
establecimiento de acuerdos de nivel de servicio que formalizan los criterios de
rendimiento contra los cuales se medir la cantidad y la calidad del servicio que ser
medido.
Administrar Servicios de Terceros.
Asegurar que los roles y responsabilidades de terceros estn claramente definidos,
cumplidos y que continen satisfaciendo los requerimientos mediante medidas de
control dirigidas a la revisin y la monitorizacin de acuerdos y procedimientos
existentes para su efectividad y cumplimiento con la poltica de la organizacin.
Administrar el Rendimiento y la Capacidad.
Asegurar que la capacidad adecuada est disponible y que se haga el mejor y el ptimo
uso de sta para satisfacer las necesidades requeridas de rendimiento a travs de la
recoleccin de datos, anlisis y reporte sobre el rendimiento de los recursos, el
dimensionamiento de la aplicacin y la demanda de carga de trabajo.
Asegurar un Servicio Continuo.
Asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar un
impacto mnimo en el negocio en el caso de una interrupcin importante. Es posibilitado
teniendo un plan operativo y probado de continuidad de TI que est en lnea con el plan
general de continuidad del negocio y con sus requerimientos de negocio relacionados.
Asegurar Seguridad de Sistemas.
Salvaguardar informacin contra el uso, revelacin o modificacin no autorizada, dao o
prdida mediante controles de acceso lgico que aseguran que el acceso a los
sistemas, datos y programas est restringido a los usuarios autorizados.
Identificar y Asignar Costos.

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

utilizando un sistema de contabilidad de costos que asegura que los costos sean
registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada
de servicio.
Educar y Capacitar a los Usuarios.
Asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn
conscientes de los riesgos y responsabilidades involucradas mediante un extenso plan
de entrenamiento y desarrollo.
Asistir y Asesorar a los Clientes.
Asegurar que cualquier problema que experimente el usuario sea resuelto de manera
apropiada a travs de una facilidad de Help Desk que provee soporte y asesoramiento
de primera lnea.
Administrar la Configuracin.
Dar cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas,
verificar la existencia fsica y proveer una base para una administracin sensata de
cambios. Es posibilitado por controles que identifican y registran todos los activos de TI
y su ubicacin fsica, y un programa de verificacin regular que confirme su existencia.
Administrar Problemas e Incidentes.
Asegurar que los problemas y los incidentes sean resueltos, y que se investigue la
causa para prevenir cualquier recurrencia usando un sistema de administracin de
problemas que registra y procesa todos los incidentes.

Administrar Datos.

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Asegurar que los datos sigan siendo completos, precisos y vlidos durante su ingreso,
actualizacin y almacenamiento mediante una combinacin efectiva de controles
generales y de aplicacin sobre las operaciones de TI.
Administrar Facilidades.
Proveer un entorno fsico adecuado que proteja el equipo de TI y la gente contra riesgos
naturales y provocados por el hombre. Es posibilitado por la instalacin de controles
ambientales y fsicos adecuados que sean revisados regularmente en busca de su
funcionamiento apropiado.
Administrar Operaciones.
Asegurar que las funciones importantes de soporte de TI se realicen regularmente y en
la forma debida mediante un programa de actividades de soporte que es registrado y
aprobado para la realizacin de todas las actividades.

5.3 Evaluar los sistemas base: Sistemas operativos, DBMS

5.3.1 Evaluacin del sistema operativo.
Existen distintos software de sistemas Operativos, que hacen necesario evaluarlos y
clasificarlos. El factor comn en los sistemas operativos son: el uso de puertos de acceso
que pueden constituir una vulnerabilidad.
Para realizar una auditora de Sistemas Operativos, es de suma importancia que el auditor
est familiarizado con los conceptos y caractersticas de cada uno de los sistemas operativos.
Tambin es necesario que se conozcan las actividades de la organizacin, con el fin de
conocer la orientacin y el uso de este dentro del rea a auditar.

Los objetivos que se persiguen con la auditoria del sistema operativo son:

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

El uso eficiente de los equipos de cmputo

Deteccin de fallas y mejoras en la seguridad de la informacin (nivel usuarios y archivos)

Los puntos ms frecuentes a auditar en un Sistema Operativo son los siguientes:

Licencias
Arquitectura
Caractersticas generales
Sistema de Archivos
Compatibilidad de controladores
Interfaz
Usuarios y permisos
Servicios del Sistema Operativo
Herramientas de mantenimiento
Nivel de Actualizacin

5.3.2 Evaluacin al sistema de

MANAGEMENT SYSTEM .

Gestores de Base de Datos (DBMS) DATABASE

Un aspecto muy importante que debe tener en cuenta el auditor informtico es la evaluacin
del DBMS, puesto que en
su ncleo (kernel) se encuentra el catlogo (componente
fundamental para la seguridad de la base de datos), el cual ofrece utilidad al administrador
tales como:

10

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Crear usuarios

Conceder privilegios

Otras actividades
relativas a la
confidencialidad

Estas se encarga de la recuperacin de la base de datos: rearranque, copias de respaldo,

ficheros diarios (log).
En la actualidad todos los sistemas manejadores de base de datos ofrecen las funciones de
auditora, este permite registrar ciertas operaciones realizadas sobre la base de datos en un
fichero (o en un conjunto de tablas) de pistas de auditora, el auditor deber revisar:
La utilizacin de todas las herramientas que ofrece el DBMS
Las polticas y procedimientos que sobre su utilizacin se hayan establecidos
Estas revisiones el auditor la debe realizar con el objetivo de valorar si son suficientes o si se
deben mejorar.

5.4 Evaluar los sistemas segn el Ciclo de vida del desarrollo de sistema
Los sistemas en la empresa permiten tener proceso ms agiles, rpidos y exactos y para que
este est disponible pasa por un ciclo de vida que va desde:

11

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Planeacin

Anlisis y
Diseos

Desarrollo

Implantacin

Como toda actividad que inicia bien puede terminar bien y desde el la planeacin del sistema
se pude establecer los debidos controles que permitan una establecer una seguridad
razonable, las metodologa utilizadas para el desarrollo de los sistemas tienen establecido la
manera como esta se deben realizar, lo cual el auditor debe revisar que se hayan desarrollado
e implantado el sistema basado en esos estndares. Pero hay que recordar que el papel del
auditor en esta tarea es solo recomendar no aplicar.

5.5 Evaluacin de las base de datos, a partir de la integridad, confiabilidad y

suficiencia de los datos

La auditora a la base de datos es fundamental para el control interno y la auditora de las

aplicaciones y para proporcionar confianza sobre el sistema de informacin.

COBIT, define la informacin como los datos en todos sus formato, de entrada, procesados o
de salida de los sistemas de informacin sea cual sea la forma que son usados por la
organizacin.

12

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

METODOLOGIA PARA LA AUDITORA DE BASES DE DATOS

Siguiendo la metodologa propuesta por ISACA, se inicia fijando los objetivos de control que
minimizan los riesgos potenciales a los que pueden estar sometido el entorno de la base de
datos.
Objetivo de Control:
El DBMS deber preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control, se especifican las tcnicas especficas
correspondientes a dichos objetivos, ejemplo:
Tcnica
de
Preventivas:

control Tcnica
detectivas

de

control Tcnica
de
correctivas

Se debern establecer los Monitorizar los accesos a la Llevar a cabo

tipos de usuarios, perfiles y base de datos.
seguridad.
privilegios necesarios para
controlar el acceso a la base
de datos.

control

copia

de

Cuando el auditor comprueba que existen los controles, entonces se disean las pruebas, las
cuales pueden ser:

Pruebas de cumplimiento

13

Autora: Mara P. Meja De La Cruz

Pruebas de sustantivas

Unidad 5: Tipos de Auditoras de TI

Permiten verificar la consistencia de los Permite comprobar si la informacin ha

controles.
sido corrompida comparndola con otra
fuente, o revisando los documentos de
Ejemplo: Listar los privilegios y perfiles entrada de datos y las transacciones
existente en el DBMS.
que se han ejecutado.

Controles sobre la integridad.

Los controles sobre la integridad buscan mantener la exactitud y confiabilidad de los datos as
como la recuperacin de los mismos en casos de emergencia.

Ejemplo de ello se tienen:

Controles sobre la modificacin de la informacin contenida en las mismas.

Controles de calidad, que aseguran la exactitud y consistencia de la informacin

incorporada a la base de datos.

Controles de recuperacin en caso de desastres (Copias de Seguridad).

5.6 Auditar los sistemas en funcionamiento

En auditoria informtica, el rea ms dispendiosa es la constituida por los sistemas de

funcionamiento especialmente cuando los procesos estn en lnea y en tiempo real.

Este tipo de auditora se utiliza mtodo y procedimientos tradicionales de la auditora, pero se

debe tener en cuenta la naturaleza de cada aplicacin, su propio sistema de control interno y

14

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

de auditoria. En consecuencia, el auditor debe tener presente esta circunstancia para definir y
abordar la evaluacin a los sistemas en funcionamiento. No es igual auditar una empresa de
produccin, una empresa de servicios o una empresa comercial cuyos procesos pueden estar
dndose en ambientes de computacin, tipo Batch o en lnea, a travs de modalidades de
baja, mediana o alta complejidad.
CONOCIMIENTO DEL AREA DE SISTEMAS EN FUNCIONAMIENTO
A partir de un estudio preliminar del rea de sistemas en funcionamiento, el auditor definir el
orden de prioridades a seguir en el proceso de auditora.

Para conocer cada uno de los sistemas en funcionamiento es necesario examinar la

documentacin expresada por lo menos los siguientes manuales:

1. Del sistema
2. Del programa
3. De conversin
4. De operacin
5. De biblioteca
6. Del usuario
7. De control

OBJETIVOS DE LA AUDITORIA
La auditora de los sistemas en funcionamiento normalmente se gua por los siguientes
objetivos:
1. Evaluar el grado de organizacin y de asignacin de responsabilidades en la preparacin de
los datos, en el origen.
2. Comprobar que todos los datos enviados a proceso sean debidamente autorizados.
3. Verificar que todos los datos autorizados y validados sean debidamente validados.
4. Verificar que todos los datos autorizados y validados sean debidamente procesados.
5. Cerciorarse de que todos los datos se procesen con exactitud.

15

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

6- La configuracin y arquitectura del sistema computacional

7- Las actividades y operaciones tcnicas del sistema
8- Los tiempos productivos y no productivos del procesador.

5.7 Auditoria de Redes y Telecomunicaciones

Una Auditora de redes consiste es una serie de mecanismos mediante los cuales se pone a
prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una
utilizacin ms eficiente y segura de la informacin.
En este tipo de auditoria se evala: la estructura fsica(hardware, topologa) y lgica (software,
aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle un anlisis de
vulnerabilidad para saber en qu grado de exposicin se encuentra la red, luego se procede a
localizar sus puntos s ms crticos, para proponer una estrategia de saneamiento delos
mismos; un plan de contencin ante posibles incidentes; y un seguimiento continuo del
desempeo del sistema tomando en cuenta el modelo OSI.
La auditora a las redes y telecomunicaciones buscar determinar el grado de riesgo que
enfrentan las organizaciones y se debe evaluar:
Nivel fsico
Nivel de enlaces
Nivel de red
Nivel de transporte
Nivel de sesin
Nivel de presentacin
Nivel de aplicacin

16

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.8 Comprender el esquema y comportamiento de las redes y equipos de

Telecomunicaciones
El auditor debe tener claro las reglas de las redes de comunicacin la cual establece el
permetro de seguridad, que asla la rede interna del exterior. Existen tres zonas que deben
estar debidamente delimitadas:
Intranet:: es la red interna, privad y segura, de una empresa, utilice o no medios de
transporte de terceros.
Zona desmilitarizada DMZ: es el permetro de seguridad que conecta la red interna a
una red externa (como internet), dejando pasa slo el trfico legtimo.
Internet: es la red de redes en donde se conecta cualquier red que se desee abrir al
exterior.

5.9

Protocolos y vulnerabilidades

En la evaluacin realizada a la rede y telecomunicaciones es muy importante revisar el

funcionamiento los protocolos de red tales como:
IP (internet protocol, protocolo de internet)
ICPM (internet control message protocol, protocolo de control de mensajes en internet)
TCP (transfer control protocol, protocolo de control de transferencia)
UDP (user datagram protocol, protocolo de datagramas de usuarios)
FTP (file transfer protocol, protocolo de transferencia de archivos)
SMTP (simple mail transfer protocol, protocolo simple de transporte de correo)
SNMP (simple network management protocol, protocolo simple de administracin
red)
DNS (domain name system, sistema de nombre de dominio)
Telnet (telecommunication network, Red de telecomunicaciones)

17

Autora: Mara P. Meja De La Cruz

de

Unidad 5: Tipos de Auditoras de TI

Otro punto de inters es conocer cules son las reas vulnerables para establecer los
debidos controles que puedan impedir que estas sean explotadas y producirse un
evento que ponga en riesgo la red, estas vulnerabilidades pueden ser:

Vulnerabilidad en capa fsica, enlace y red

Producto de la naturaleza de la tecnologa en la red fsica se producen ciertas incidencias
como:
Alteracin de bit. Se da por error en los medios de transporte cuando una trama sufre variacin
en su contenido.
Alteracin de secuencia. Se produce cuando el orden en que se envan y se reciben una trama
no coincide.
Ausencia de paquetes. Se produce por sobrecarga, direccionamiento o error en el medio, las
tramas pueden desaparecer en el camino del emisor al receptor.

Ahora bien los riesgos ms delicados son:

Indagacin. Cuando un paquete es ledo por un tercero, obteniendo la informacin que
contenga
Suplantacin. Un tercero puede producir un paquete espurio que el receptor cree proveniente
del emisor legtimo.
Modificacin. Un tercero puede alterar el contenido del paquete

Vulnerabilidad en el transporte
Se puede producir en:
Los nodos en los enlaces como medida se deben tener nodos replicados para prevenir
contingencias.

18

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.10 Auditoria de la Seguridad Informtica

La auditora de seguridad informtica consiste en la evaluacin, anlisis y generacin de

Soluciones para el recurso computacional de la organizacin.

Carlos Muoz la define como Revisin exhaustivas, tcnica y especializadas que se realiza a
todo lo relacionado con la seguridad de un sistema computacional, de su rea y personal, as
como las actividades, funciones y acciones preventivas y correctivas que contribuyan a
salvaguardar la seguridad de los sistemas computacionales, de las bases de datos, redes,
sistemas, instalaciones y usuarios del mismo.

En este tipo de auditora se evalan el impacto que puede producirse en:

Los sistemas computacionales y dispositivos perifricos
En la informacin institucional y bases de datos
En los sistemas operativos, lenguajes,
software.

programas, paqueteras, utileras y dems

En los activos informticos del rea de sistemas

En el personal informtico y los usuarios del sistema
En la proteccin y conservacin de locales, instalaciones, mobiliario y equipos
En los accesos a las reas de sistemas, as como a sus sistemas computacionales,
informacin y software
En la arquitectura de las telecomunicaciones
En los sistemas de redes, sistemas mayores y PCs.
En la piratera informtica
En los virus informticos.

19

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.11 Evaluar la seguridad lgica y confidencialidad

La seguridad lgica determina:

El auditor informtico especializado en seguridad informtica debe evaluar:

Si el acceso permite diferenciar si es lectura, con posibilidad de modificacin
A los diferentes recursos; base de datos, diccionario de datos, redes, utilidades, servidores,
bibliotecas de programas, sistemas operativos, normas y procedimientos as como ficheros
entre otros.
En cuanto a los datos, si las proteccin es a lo largo de todo el ciclo de vida
El propio sistema de clasificacin debe ser objeto de revisin, quien ha fijado los criterios,
procesos de aprobacin. Puede ser desde la perspectiva de la confidencialidad, adems de
otras especificaciones como respecto a datos personales, segn se ha identificado.
Proceso de automatizacin de perfiles de usuarios, gestin de usuarios y
los recursos de privilegios.
Sistema de identificacin y autenticacin.

20

Autora: Mara P. Meja De La Cruz

administracin de

Unidad 5: Tipos de Auditoras de TI

En el caso de contraseas: caractersticas y robustez, asignacin, longitud, vigencia,

posibilidad de repeticin, cifrado, proteccin/ sustitucin de las que llegan en los sistemas o se
generan por defecto, as como limitacin en cuanto a intentos. Aviso al entrar del ltimo
acceso y del ltimo intento.

5.12 Evaluar la seguridad en el personal

Si bien es importante es evaluar los sistemas, las redes los equipos y otros as de importante
es conocer el nivel de seguridad del personal, pues por y para el personal existen los
sistemas.
El auditor debe evaluar la seguridad en el personal como:
Definicin de funciones. Asignacin de responsabilidades
Seleccin de colaboradores (en esta parte se debe hacer un estudio previo de
antecedentes y riesgo potencial) y proceso de contratacin y modalidad.
Formacin y concienciacin sobre la seguridad. Posibles medidas disciplinarias
previstas.
Acerca de la terminacin de la relacin contractual de empleados y de
colaboradores. Se debe dar baja de claves y de derechos de accesos: fsico y
lgico.
Proteccin frente a hackers, crackers, personal interno o colaboradores
descontentos, antiguos empleados o colaboradores o usuarios potencialmente
peligrosos.
Compromisos de confidencialidad. Cdigo tico/de conducta, tambin respecto
a: Responsables/administradores de la seguridad. Manual del empleado/del
usuario de los sistemas, aunque sea externo.

5.13 Evaluar la seguridad fsica

El auditor de sistema debe evaluar adems de las reas antes mencionadas la seguridad
fsica, puesto que en esta pueden ocurrir eventos que pongan en riesgo la informacin y por
ende el incumplimiento de los objetivos, en la auditora al rea fsica se debe evaluar:
Ubicacin de centros y de servidores, y proteccin de personas, de datos y de otros activos.

21

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Protecciones frente a terremotos, sabotajes, terrorismo, inundaciones, explosiones, huelga y

otros.
Temperatura, humedad y aire acondicionado.
Protecciones frente al fuego (detencin y extincin) y al agua.
Control de entrada y salida de paquetes, bolsos, carteras, mochilas etc.
Control de accesos (llaves, claves, tarjetas, biometra y otros sistemas).
Evaluacin de personas, alarmas, control de presencia, salidas alternativas
Continuidad de la energa (SAI y grupos electrgenos), y previsin de picos y
oscilaciones.
Proteccin de despachos y zonas abiertas. Ubicacin de terminales. Proteccin de
porttiles como: laptop, table, Smartphone y otros.
Proteccin de soportes, de datos en papel y de documentacin, tanto en su
almacenamiento como en el transporte.

5.14 Gestin de Respaldo de Datos

Si es bien conocer el nivel de seguridad que presentan los sistemas, redes, personas,
equipos y otras reas es sumamente importante el conocimiento de grado de seguridad que
se le da a la gestin de respaldo de datos, puesto que si estos no se le da el debido cuidado
puede estar en peligro.
El auditor debe evaluar las copias de respaldo para determinar:
Si se han determinado los riesgos y la criticidad de recursos y de procesos.
Cobertura de las salvaguardas.
Si estn definidos los equipos de recuperacin
Si estn definidos las personas responsables de realizar las copias de seguridad

22

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.15 Seguridad contra virus y malware

Los virus son programas y por esta condicin solo actan cuando estos son ejecutados, y
estos se propagan tanto va red o por medios de almacenamiento como CD/ memoria, diskette
entre otros.

Cada da los sistemas operativos son ms interoperable e interactivo pero estas

caractersticas han dado paso a que los virus y malware se hayan perfeccionado y adaptado a
las nuevas circunstancias, aumentndolos diferentes tipos y mtodos de infeccin, ejemplo los
scripts de Visual Basic o de Java que llegan en tericos ficheros de juegos, de protector de
pantalla u otros.

Estos programas maliciosos son muy peligros pues en muchos casos se ejecutan con tan solo
abrir el correo y al querer visualizar un mensaje ejecuta un script que nos conecta con una web
desde donde se actualiza o carga y se ejecuta, reenvindose a toda nuestra librera de
direcciones de correo al mismo tiempo que busca en nuestros disco informacin como claves
de acceso a internet, a bancos, cuenta corrientes o lugares privados de la red, enviando toda
la informacin a algn lugar de internet y lo peor una vez logrado su objetivo borrar nuestro
sistema.

Otras acciones que hacen los virus son:

Buscar informacin privilegiada como nombre de usuarios
Buscar claves de cuentas de acceso en web bancarias e inversiones.

El auditor debe verificar que:

La organizacin cuente con los debidos programas antivirus
La organizacin tenga establecidos las polticas de antivirus esta debe especificar :
Fecha de instalacin y actualizacin
Establecer restricciones para los medios ptico y magntico de almacenamiento (CD,
memoria y disco)

23

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Establecer restricciones para ciertos sitios web

Permitir descarga de sitios autorizados
Permitir o prohibir uso de dispositivos de almacenamiento.

5.16 Planes de Contingencia y recuperacin de desastres

Gran parte de las organizaciones no cuentan con planes de contigencia y recuperacin de
desastres lo que pone en peligro la continuidad del negocio y este aspecto debe ponerse
mucho nfasis, pues que podra pasar en caso de la ocurrencia de un siniestro, es por tal
razn que en la auditora de seguridad informtica se evale
Si se ha analizado el impacto en el negocio de cada posible situacin p escenario.
Si existe una clasificacin de incidencias
Si existe una estrategia de recuperacin
Si existen alternativas a activar en funcin de los casos
Si estn definidos los diferentes equipos de recuperacin
Si las personas afectadas estn informadas y entrenadas
Si estn disponibles los recurso mnimos necesarios (ejemplo: centro alterno)
Si estn documentados las utilizaciones de los recurso tanto econmico como
materiales y personales.
Si se han realizado las pruebas de lugar
Nivel de actualizacin tanto de la documentacin como de la criticidad asignada y de los
recursos previstos.

24

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

5.17 Plizas de Seguro

Una vez la organizacin decide incursiona en la implementacin e implantacin de un sistema
de informacin debe estar consciente de los riesgos que pueden presentarse y por tanto debe
definir como susanar el riesgo por lo tanto debe elegir las opciones ms idneas y estas son:
Asumir el riesgo: se acepta el riego potencial sin tomar medidas.
Evitar el riesgo: si la prestacin de un servicio supone un gran riesgo, el servicio se
deja de prestar.
Gestionar el riesgo: establecimiento de una serie de controles y contramedidas que
permiten mitigar o limitar el riesgo a unos niveles aceptables.
Transferir el riesgo: se traspasa el riesgo a otra compaa (contrato de outsourcing,
pliza de seguro).
Una opcin pude ser transferir el riesgo este consiste en cubrir el riesgo mediante una pliza
de seguro. Esta opcin tiene sus ventajas y sus inconvenientes. Las ventajas: ms sencilla de
aplicar, ms econmica, ya que nos evitamos la adopcin de inversiones, contratacin de
personal, etc. necesarios si decidiramos gestionar el riesgo.
La desventaja ms clara es que se trata de una medida paliativa, que nicamente se podr
aplicar cuando ya se ha producido el dao y que slo permitir recuperar los aspectos
econmicos. La adopcin de un seguro forma parte, por lo tanto, de la estrategia de
continuidad de negocio.
La pliza de seguro deber cubrir varios aspectos de la Seguridad de la Informacin; y deber
estar dividida en mdulos o apartados que permitan adaptarla con facilidad a las diferentes
situaciones. Los apartados fundamentales son los siguientes:
Instalaciones y equipos: cubrir los daos a las instalaciones de proceso de
informacin y equipamiento correspondiente.
Recuperacin de datos: cubrir los daos a los medios de almacenamiento y a la
informacin almacenada en ellos, tanto on-line y off-line (en funcionamiento o no) como
en trnsito. Las polticas debern explicitar que toda informacin que vaya a transitar de
un lugar a otro, deber ser previamente copiada o escaneada (documentacin en
papel).
Gastos extra: destinado a cubrir aquellos gastos extras necesarios para restablecer las
operaciones. Contratacin de personal o compaas especializadas, compra de
equipamiento, etc.

25

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

Interrupcin del negocio: deber cubrir la prdida de beneficios netos producida por la
ocasional interrupcin momentnea del negocio.
Valor de la documentacin no informatizada: cubrir por el valor declarado de la
documentacin no informatizada que se haya quedado daada o perdida
definitivamente.
Errores y omisiones: deber cubrir econmicamente y con proteccin legal ante un
posible error, omisin o negligencia de un profesional que cause daos a un cliente.
Conviene recordar que los seguros cubren nicamente prdidas financieras. Ante una
incidencia de gran magnitud (desastre), adems de los aspectos financieros, tendremos que
hacer frente a una prdida de imagen, de prestigio y de confianza.

26

Autora: Mara P. Meja De La Cruz

Unidad 5: Tipos de Auditoras de TI

BIBLIOGRAFIA:

Muoz Razo, Carlos (2002) Auditora en Sistema Computacionales (Primera Edicin)

Mxico: Pearson Prentice Hall.
Murray R. Spiegel (2010) Probabilidad y Estadsticas (Tercera Edicin) McGraw-Hill.
Piantini Velthuis, Mario; Del Peso, Emilio (2008) Auditora de Tecnologas y Sistemas de
Informacin (Primera Edicin) Mxico: Alfa Omega
Piantini Velthuis, Mario; Del Peso, Emilio (2001) Auditora Informtica: Un enfoque prctico
(Segunda Edicin) Mxico: Alfa Omega.

27

Autora: Mara P. Meja De La Cruz