INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

13/09/2010

Sexto semestre

AUDITORIA
INTRODUCCION

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
También permiten detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.
INDICE

INTRODUCCION _______________________________________________________ 2
INDICE ________________________________________________________________ 3
INDICE DE IMAGENES _________________________________________________ 4
INDICE DE TABLA _____________________________________________________ 5
AUDITORIA ___________________________________________________________ 1
1 AUDITORÍA DE SEGURIDAD ___________________________________________ 1
1.1 TIPOS DE AUDITORIA DE SEGURIDAD ___________________________________ 1
1.2 Niveles de Seguridad _____________________________________________________ 2
2 AUDITORÍA DE DIRECCIÓN ___________________________________________ 4
3 AUDITORIAS DE REDES ______________________________________________ 5
3.1 Auditoria de Red Física ___________________________________________________ 6
3.2 Auditoria de Red Lógica___________________________________________________ 7
4 PLAN DEL AUDITOR INFORMATICO ___________________________________ 7
4.1 El auditor informático _____________________________________________________ 7
4.2 Creatividad ______________________________________________________________ 8
4.3 Inteligencia ______________________________________________________________ 9
4.4 Personalidad ____________________________________________________________ 9
4.5 Organización ____________________________________________________________ 9
4.6 Dirección ______________________________________________________________ 10
4.7 Herramientas y Técnicas para la Auditoría Informática _______________________ 10
INDICE DE IMAGENES

Foto 1aA.seguridad ______________________________________________ 1

Foto 2Planificacion _______________________________________________ 8
INDICE DE TABLA

Tabla 1direccion _________________________________________________ 5

 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
AUDITORIA

1 AUDITORÍA DE SEGURIDAD

Foto 1aA.seguridad

Consiste en apoyarse en un tercero de confianza (generalmente una compañía

que se especializada en la seguridad informática) para validar las medidas de
protección que se llevan a cabo, sobre la base de la política de seguridad.

El objetivo de la auditoría es verificar que cada regla de la política de seguridad

se aplique correctamente y que todas las medidas tomadas conformen un todo
coherente.

Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas

por la empresa se consideren seguras.

1.1 TIPOS DE AUDITORIA DE SEGURIDAD

 Auditoría de seguridad interna

En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las

redes locales y corporativas de carácter interno

 Auditoría de seguridad perimetral.

En este tipo de análisis, el perímetro de la red local o corporativa es estudiado

y se analiza el grado de seguridad que ofrece en las entradas exteriores

 Auditoría de Seguridad Lógica

Consiste en la "aplicación de barreras y procedimientos que resguarden el

acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas
para hacerlo."

Página 1
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
 Auditoría de Seguridad Física.

Sólo es una parte del amplio espectro que se debe cubrir para no vivir con una
sensación ficticia de seguridad. Como ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las
brinda la Seguridad Lógica.

1.2 Niveles de Seguridad

El estándar de niveles de seguridad más utilizado internacionalmente es el

TCSEC Orange Book (2), desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se

enumeran desde el mínimo grado de seguridad al máximo.

Nivel 1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a distinta

información. Cada usuario puede manejar su información privada y se hace la
distinción entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este "súper usuario" quien tiene gran responsabilidad en la
seguridad del mismo.

Nivel 2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del anterior. Cuenta
con características adicionales que crean un ambiente de acceso controlado.

Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.

Requiere que se audite el sistema. Esta auditoría es utilizada para llevar

registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.

Página 2
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”

Nivel 3: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño
del archivo no puede modificar los permisos de un objeto que está bajo control
de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un
nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas
categorías (contabilidad, nóminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.

También se establecen controles para limitar la propagación de derecho de

accesos a los distintos objetos.

Nivel 4: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.

La Protección Estructurada es la primera que empieza a referirse al problema

de un objeto a un nivel más elevado de seguridad en comunicación con otro
objeto a un nivel inferior.

Así, un disco rígido será etiquetado por almacenar archivos que son accedidos
por distintos usuarios.

Nivel 5: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el

hardware de administración de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado a la modificación de objetos de diferentes
dominios de seguridad.

Todas las estructuras de seguridad deben ser lo suficientemente pequeñas

como para permitir análisis ante posibles violaciones.

Página 3
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix,
que lo que hace es auditar el nivel de Seguridad en todos los servidores, como
ser: accesos a archivos, accesos a directorios.

2 AUDITORÍA DE DIRECCIÓN

El campo de la auditoría dirección ha experimentado en los últimos años un

crecimiento importante. Como la gran cantidad de cambios que se producen en
el mundo empresarial. Esto hace que el papel de todas las personas vinculadas
al área financiera de la empresa sea doblemente importante, tanto desde el
punto de vista de la revisión de la información financiera, como desde el punto
de vista del diseño del soporte a las empresas que se encuentren ante un gran
reto para el que necesiten la ayuda de profesionales.

 Diagnosticar la situación económica y financiera de la empresa.

 Dominar los diferentes sistemas de cálculo de costes y utilizar las
técnicas para su control, así como implantar sistemas de contabilidad
analítica.
 Elaborar un presupuesto, implantar sistemas de control presupuestario y
analizar desviaciones.
 Diseñar un sistema de control de gestión desde una perspectiva de
dirección.
 Conocer las técnicas de auditoría para la revisión de las diferentes áreas
de la empresa.
 Diseñar y revisar los sistemas de control interno de la empresa.

Saber analizar el área fiscal desde un punto de vista de

A modo de ejemplo, se enumeran algunos tipos de auditorías

informáticas para la supervisión del sistema de control establecido:
Dirección Tecnologías de la Información de software.

Página 4
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”

Tabla 1direccion

bros del comité.

3 AUDITORIAS DE REDES

Es una serie de mecanismos mediante los cuales se pone a prueba una red
informática, evaluando su desempeño y seguridad, a fin de lograr una
utilización más eficiente y segura de la información. Metodología Identificar: –
Estructura Física (Hardware, Topología)

– Estructura Lógica (Software, Aplicaciones) La identificación se lleva a cabo

en: Equipos, Red, Intranet, Extranet Etapas de la auditoria de Redes

• Análisis de la Vulnerabilidad

• Estrategia de Saneamiento.
Página 5
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
• Plan de Contención ante posibles incidentes

• Seguimiento Continuo del desempeño del Sistema.

Análisis de Vulnerabilidad: Éste es sin duda el punto más crítico de toda la

Auditoría, ya que de él dependerá directamente el curso de acción a tomar en
las siguientes etapas y el éxito de éstas. Estrategia de Saneamiento Se
Identifican las "brechas" en la red y se procede a "parchearlas", ya sea
actualizando el software afectado, reconfigurándolo de una manera mejor o
removiéndolo para remplazarlo por otro software similar.

Plan de Contención: Consta de elaborar un "Plan B", que prevea un incidente

aún después de tomadas las medidas de seguridad, y que dé respuesta a
posibles eventualidades. Seguimiento Continuo del desempeño del Sistema.

La seguridad no es un producto, es un proceso. Constantemente surgen

nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la
intrusión en sistemas, como también nuevas y más efectivas tecnologías para
solucionar estos y otros problemas

3.1 Auditoria de Red Física

• Áreas de equipo de comunicación con control de acceso.

• Protección y tendido adecuado de cables y líneas de comunicación para evitar

accesos físicos.

• Control de utilización de equipos de prueba de comunicaciones para

monitorizar la red y el tráfico en ella.

• Prioridad de recuperación del sistema.

• Control de las líneas telefónicas.

Equipos de comunicaciones deben estar en un lugar cerrado y con acceso

limitado.

• Seguridad física del equipo

• Se tomen medidas para separar las actividades de los electricistas y de

cableado de líneas telefónicas.

• Las líneas de comunicación estén fuera de la vista.

• Se dé un código a cada línea, en vez de una descripción física de la misma.

Página 6
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
3.2 Auditoria de Red Lógica

• En líneas telefónicas: No debe darse el número como público y tenerlas

configuradas con retro-llamada, código de conexión o interruptores.

• Usar contraseñas de acceso.

• Garantizar que en una transmisión, solo sea recibida por el destinatario.

• Registrar actividades de los usuarios en la red. Comprobar

• Evitar la importación y exportación de datos.

• Inhabilitar el software o hardware con acceso libre.

• Generar estadísticas de las tasas de errores y transmisión.

• Crear protocolos con detección de errores

4 PLAN DEL AUDITOR INFORMATICO

4.1 El auditor informático

Página 7
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”

Foto 2Planificacion

Es el profesional que ha de cuidar y velar por la correcta utilización de los

diversos recursos que la organización y debe comprobar que se esté llevando
a cabo un eficiente y eficaz Sistema de Información y la Tecnología de la
Información. Pues estos dos puntos en la actualidad soporta la Auditoría y
Control de los Sistemas e Informática en la Gestión moderna.

Cuando se aplica el CIPOD en la Auditoría y Control de Sistemas e

Informática.- Nos encontramos que en ella no da "Indicios, anomalías y
síntomas" que nos permite percibir que la Organización bajo control esta con
problemas de resultados como de eficacia y eficiencia en los Sistemas
Informáticos y en la Tecnología de la Información. Vamos a citar algunos
ejemplos que se encuentran:

4.2 Creatividad

-Sistemas Informáticos de Baja Performance creativa.

-Deficiente manejo de Imaginación y Creatividad para las Producciones de

Servicios.

-No permite variabilidad y atención a Usuarios.

-Falta de una buena Integración de la Información y Difusión del Organismo

con la Sociedad, a través de medios y del internet.

-Pocos Servicios Creativos, donde el usuario manifiesta su descontento.

-Exceso de monotonía y rutina de procesos administrativos y técnicos.

-Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.

Página 8
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
-Usuarios se quejan por engorrosos procedimientos Informáticos.

4.3 Inteligencia

-La Organización no cuenta con Formación de Conocimientos en Sistemas y

Tecnología Informática.

-Exceso de averías en los Sistemas Informáticos.

-No hay Capacitación ni entrenamiento de nuevas Tecnologías.

-Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.

-Los Estándares de Productividad son bajos.

-Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte

Técnico),

-Usuarios salen conformes con la resolución de problemas (Relacionados a los

Sistemas Informáticos).

-Informática de Comunicaciones, Tele Comunicaciones y Redes; no se

encuentra Integrado a los Procesos Intranet, Extranet e Internet.

-Los Controles Inteligentes de procesos son deficientes.

-Deficiente nivel de Investigación y Desarrollo Tecnológico.

-Alto Índice de desatendidos y asuntos pendientes (Relacionados a

Tecnologías de la Información).

4.4 Personalidad

 Carencia de Identidad, Rumbo y de Mística Laboral y Personal.

 Síntomas de mala Imagen.
 Baja Productividad de Trabajo.
 Alto Índice de estrés laboral.
 Pérdida de credibilidad del Organismos.
 Usuarios manifiestan su descontento con el trato y atención

4.5 Organización

-Desorganización estructural y Funcional.

-Descoordinación Funcional Horizontal - Vertical.

Página 9
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
-Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.

-Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.

-Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad

en estado Crítico.

-Usuarios manifiestan excesiva desubicación en los desplazamientos por la

organización.

-Usuarios manifiestan descontento porque no se cumplen con los plazos de

entrega de resultados periódicos.

4.6 Dirección

-Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.

-Toma de Decisiones deficientes por Tecnologías de la Información

inadecuadas.

-Los Programas de Auditorías y Control no logra recomponer fallas.

-Descoordinación en la Toma de decisiones.

-Desviaciones Presupuestarias significativas.

-Incremento desmesurado de costos y gastos.

-Carencia de Proyectos de Sistemas e Informática.

-Baja adopción de Medidas del Plan de Contingencias.

-Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.

4.7 Herramientas y Técnicas para la Auditoría Informática

Cuestionarios.

Entrevistas.

Formularios Checklist.

Formularios Virtuales,

Pruebas de Consistencias.

Inventarios y Valorizaciones.

Página 10
 INSTITUTO TECNOLOGICO SUPERIOR 2010
“RIOBAMBA”
Historias de cambios y mejoras.

Reporte de Bases de Datos y Archivos

Reportes de Estándares.

Compatibilidades e Uniformidades.

Software de Interrogación:

Certificados, Garantías, otros del Software.

Fotografías o Tomas de Valor (Imágenes).

Diseño de Flujos y de la red de Información.

Planos de Distribución e Instalación (Para Estudio y Revisión).

Página 11