Está en la página 1de 136

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y
ELÉCTRICA

UNIDAD CULHUACAN

TESINA
Seminario de Titulación:
“Auditoría de las Tecnologías de la Información y
Comunicaciones”
DES/ESIME-CUL 2009/38/10

AUDITORÍA A LA BASE DE DATOS SQL DEL
SISTEMA DE “SEGURIDAD DE PRESAS”
CONAGUA
Que como prueba escrita de su Examen Profesional para obtener el
Título de: Licenciado en
Ciencias de la Informática
Presenta:

EFREN RAMÍREZ AGUILAR
IRAIS ELENA TORRES FLORES
JUDITH ORALIA YAÑEZ MORALES
YAZMIN MOSQUEDA JARAMILLO

Que como prueba escrita de su Examen Profesional para obtener el
Título de: Ingeniero en Informática
Presenta:

JOSÉ LUIS TAPIA MARTÍNEZ

México D.F. Agosto 2010

IPN
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN

TESINA

QUE PARA OBTENER EL TITULO DE:
LICENCIATURA EN CIENCIAS DE LA INFORMÁTICA
INGENIERÍA EN INFORMÁTICA

NOMBRE DEL SEMINARIO:

“AUDITORIA DE LAS TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES”
Vigencia DES/ESIME-CUL 2009/38/10

DEBERA DESARROLLAR:
YAZMIN MOSQUEDA JARAMILLO
EFREN RAMÍREZ AGUILAR
JOSÉ LUIS TAPIA MARTÍNEZ
IRAIS ELENA TORRES FLORES
JUDITH ORALIA YAÑEZ MORALES

“AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE SEGURIDAD DE PRESAS CONAGUA”

En la presente tesina se aplica la auditoria informática a la Base de Datos en SQL del “Sistema
de Seguridad de Presas” de la CONAGUA basado en la metodología COBIT, con el fin de
dictaminar una recomendación para que dicho sistema siga las mejores prácticas orientadas en
la metodología antes mencionada.
CAPITULADO

CAPITULO I INTRODUCCIÓN A LA AUDITORIA
CAPITULO II. BASE DE DATOS
CAPITULO III METODOLOGÍAS DE ANÁLISIS DE RIESGOS
CAPITULO IV AUDITORIA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE PRESAS"
DE LA CONAGUA

México D.F. a 21 de agosto de 2010

M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. EDUARDO MARTÍNEZ CORONA
Coordinador del Seminario Instructor del Seminario

M. EN C. LUIS CARLOS CASTRO MADRID
Jefe de la carrera de I.C.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

AGRADECIMIENTOS

Agradezco a mi familia que ha estado a mi lado todo el tiempo, que me ha dado la
felicidad de tenerlos y convivir con ellos.

En especial agradezco a mi madre, Silvia, que nunca me dejo caer y siempre
estuvo conmigo en este largo camino, gracias a sus consejos, su motivación y
cariño.

A mi padre, Efrén, que me dio todo lo necesario para llegar hasta este punto de mi
vida, gracias por brindarme el soporte, fortaleza y cariño todo este tiempo.

Gracias a los dos por realizar uno de mis objetivos más importante en mi
formación personal y por hacer de mi una persona con valores y principios.

Agradezco a mis hermanos, Emmanuel y Belén, por estar a mi lado compartiendo
conmigo buenos momentos, travesuras y felicidad en el hogar.

Gracias por todo, este logro es para todos ustedes.

Efrén

3

así como a mis compañeros por su ayuda y esfuerzo que realizaron en conjunto conmigo para alcanzar esta meta. cariño y comprensión que se puede dar. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Agradezco el apoyo que eh recibido de parte de mis padres. A mis amigos les agradezco el infinito e incondicional apoyo que he recibido a lo largo de mis estudios y que en compañía de ellos he vivido buenas experiencias escolares y no olvidar de los momentos malos o difíciles que pasamos juntos y que son complemento en mi vida. así como de compartir los buenos momentos de su vida y brindarme todo el amor. Además de mis padres agradezco a mis hermanos por ser en todo momento el ejemplo a seguir y ofrecer todo su esfuerzo a mis estudios así mismo brindarme la ayuda y experiencia para completar mi camino por el aprendizaje. de mi vida. A toda mi familia. A Judith por ser parte de mí. agradezco a mi madre Martha que en todo momento me transmitió ese conjunto de conocimientos importantes para la vida. que me ayudaron y estuvieron conmigo dándome el apoyo necesario para concluir mis estudios profesionales. a mi padre Sergio que con su esfuerzo y dedicación se volvió mi primer maestro y me enseño lo esencial para forjar mi carrera. además agradezco la valiosa participación en la realización de esta Tesina a mis profesores de Seminario. Por ultimo doy gracias a la vida por todo lo que me ha dado. José Luis 4 . así como a mis compañeros y amigos de clases. por estar siempre a mi lado en todo momento y apoyarme para lograr mis metas y triunfos. ya que ellos son la parte fundamental de lograr esta carrera profesional. También deseo agradecer a los profesores que me guiaron y trasmitieron sus conocimientos atreves de todos mis estudios. además de compartir los momentos de tristeza y felicidad que nos unen y nos hacen fuertes para superarnos.

David: Por ser mi fortaleza y mi ejemplo Gracias por todo tu cariño. paciencia y esfuerzo de toda la vida. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA A Dios: Por acompañarme y cuidarme en todos los momentos de mi vida. A mi AMADA Hija: Por tu infinita paciencia. Lucia y Lázaro: Gracias por todo su apoyo y Gracias por su amable paciencia A todos mis amigos y compañeros: Que formaron parte de este proyecto. Esta tesis también es tuya. Por tu tierna compañía. A mi Esposo: Por tu compañía y apoyo incondicional. Gracias por su infinito apoyo. A mis Padres: Por su infinito apoyo a lo largo de mi vida académica y personal. Irais 5 . Por tu GRANDIOSO apoyo.

y por el cariño que me has brindado así como todos los momentos compartidos. buenos consejos. Te amo. Gracias por escucharme. A mi padre: porque desde niña ha sido para mí un gran hombre maravilloso que siempre he admirado. Eduardo y Jaime por los conocimientos y consejos impartidos durante el Seminario. y Erika por compartir tantas aventuras. desveladas y triunfos. por darme siempre lo necesario para seguir adelante y guiar mi camino con sabiduría. A Luis: Por tu apoyo. experiencias. A mi hermano: Gracias por guiar mi vida con energía. gracias por el apoyo moral. Edgar. A mis amigos: Valente. Con amor. por tus sugerencias y opiniones. A mi madre: que es el ser más maravilloso. A los Maestros: Raymundo. siendo para mí la mayor herencia. por apoyarme con su enorme amistad. Moni. eres la mejor compañía para compartir el mismo techo. Gracias por ser parte de mi vida. alegría y comprensión en los momentos más importantes de mi vida convirtiéndose para mí en personas muy importantes en ella. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA A mis padres: Con la mayor gratitud por los esfuerzos realizados para que yo lograra concluir mi carrera profesional. Oswaldo. Además de ser un buen amigo y un gran ejemplo para mí. respeto y admiración Judith 6 . comprensión y amor que me permite sentir poder lograr lo que me proponga. cariño y comprensión que siempre me has brindado y por siempre estar al pendiente de todo lo que me sucede. Miguel.

ya que sus experiencias y enseñanzas me ayudaban a seguir adelante y a querer avanzar. mil gracias por toda esa paciencia y esfuerzo que has puesto en este camino. porque sin tu apoyo y consejos no hubiera podido salir adelante. de esfuerzo y dedicación para lograr nuestras metas. quiero que sepas que eres como una segunda hermana. ya que eres para mí un ejemplo a seguir. Te amo Agradezco a Adalid: Por ser mi ejemplo a seguir. Te quiero mucho. Te amo Agradezco a Claudia: Gracias por escucharme y apoyarme en esos momentos difíciles. Los quiero mucho Agradezco a mis Profesores: Porque de ellos he aprendido tanto en lo académico como en la vida. recuerden que los llevo en mi corazón. Agradezco a mis Amigos: Por todo ese apoyo y momentos vividos juntos. agradezco a Dios que los puso en mi camino. Gracias por ser mi hermana. y darme consejos cuando sentía que no podía seguir adelante. enseñándome que en la vida es de una constante lucha. Te amo Agradezco a mi Padre: Por apoyarme durante mi seminario. Gracias por volver a ser parte de mi vida. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Agradezco a Dios: Por darme llenarme de luz para guiar mi camino. sobre todo muchas gracias por darme brindarme una familia hermoso que a pesar de no ser perfecta es lo más valioso que tengo. gracias por creer en mí. mil gracias a todos ya que de cada uno de ustedes he aprendido y me han enriquecido como persona. que a pesar de las distancia el amor que tenemos es mucho más fuerte. la fortaleza para salir de los obstáculos que se presentaba y convirtiéndolo en experiencias. Con todo con mi cariño y agradecimiento Yazmín 7 . apoyarme en todo momento. Agradezco a mi Madre: Por todo el apoyo y el amor que me has dado durante toda mi vida.

1 BASES DE DATOS ESTÁTICAS _____________________________________________________  25  2.4 FASES DE LA AUDITORÍA  ____________________________________________________ 15  1.7 AUDITORÍA EN LAS BASES DE DATOS  __________________________________________ 20  1.4 BASE DE DATOS DE TEXTO COMPLETO _____________________________________________  25  2.3 INFORME FINAL _______________________________________________________________  17  1.4.1 CONCEPTO DE UNA BASE DE DATOS ___________________________________________ 22  2.6.5 CONTROL INTERNO INFORMÁTICO ____________________________________________ 18  1.2  CONCEPTO DE AUDITORÍA _______________________________________________ 13  1.10 TIPOS DE CIFRADO ________________________________________________________ 29  2.5 TIPOS DE DATOS QUE INTEGRAN UNA BASE DE DATOS  ___________________________ 24  2.3.7.5 BASE DE DATOS DISTRIBUIDA  ____________________________________________________  25  2.6.4 CARACTERÍSTICAS DE UNA BASE DE DATOS _____________________________________ 23  2.6 TIPOS DE BASES DE DATOS  __________________________________________________ 24  2.2 EJECUCIÓN ___________________________________________________________________  16  1.8 RESTRICCIONES DE INTEGRIDAD ______________________________________________ 27  2.1 Concepto de Auditoría de la base de datos __________________________________________  20  1.2 OBJETIVOS DE UNA BASE DE DATOS. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ÍNDICE AGRADECIMIENTOS _______________________________________________________  3  CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA  _________________________________  12  1.6.3 COMPONENTES DE UNA BASE DE DATOS _______________________________________ 22  2.4.2 Auditoría Externa ______________________________________________________________  15  1.6.6.1 CIFRADO DE BLOQUE __________________________________________________________  29  8 .10.7.9 CONCEPTO DE CIFRADO EN UNA BASE DE DATOS ________________________________ 28  2.1 Funciones de un auditor informático  ______________________________________________  18  1.1  ANTECEDENTES ________________________________________________________ 12  1.  __________________________________________ 22  2.6.7 TIPOS DE RESTRICCIONES EN UNA BASE DE DATOS _______________________________ 26  2.1 PLANEACIÓN  _________________________________________________________________  16  1.2 Técnicas para el control de base de datos en un entorno complejo  ______________________  20  CAPÍTULO II BASE DE DATOS _______________________________________________  22  2.3 CLASES DE AUDITORÍA ______________________________________________________ 14  1.2 BASES DE DATOS DINÁMICAS  ____________________________________________________  25  2.4.3 BASES DE DATOS BIBLIOGRÁFICAS  ________________________________________________  25  2.6 AUDITORÍA INFORMÁTICA ___________________________________________________ 18  1.

11 CONCEPTO DE UN SISTEMA GESTOR DE BASE DE DATOS  _________________________ 29  2.16 DEFINICIÓN DE UNA ESTAMPA DE TIEMPO DE UNA BASE DE DATOS________________ 34  CAPITULO III METODOLOGÍAS DE ANÁLISIS DE RIESGOS _________________________  35  3.12 FUNCIONES PRINCIPALES DE UN SISTEMA GESTOR DE BASE DE DATOS  _____________ 29  2.2 ADQUIRIR E IMPLEMENTAR (AI)  __________________________________________________  46  3.6.2 METODOLOGÍA EN AUDITORÍA INFORMÁTICA  __________________________________ 35  3.1 MISIÓN DE LA EMPRESA  ____________________________________________________ 68  4.3.8 OBJETIVOS DE CONTROL EMPLEADOS PARA LA AUDITORÍA ________________________ 56  3.4 METODOLOGÍA COBIT ______________________________________________________ 36  3.6.4 MONITOREAR Y EVALUAR (ME) ___________________________________________________  47  3.13.8.14 COMPONENTES DE UN SISTEMA GESTOR DE BASE DE DATOS  _____________________ 31  2.1 PLANEAR Y ORGANIZAR (PO) _____________________________________________________  46  3. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO__________________________________  56  3.3 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES  ___________________________  61  3.13.3 ENTREGAR Y DAR SOPORTE (DS) __________________________________________________  47  3.1 CONCEPTO DE ANÁLISIS DE RIESGOS  __________________________________________ 35  3.13 PROGRAMAS QUE INTEGRAN UN SISTEMA GESTOR DE BASE DE DATOS _____________ 30  2.8.4 DS11 ADMINISTRACIÓN DE DATOS ________________________________________________  63  3.15 LOGS DE AUDITORÍA DE UNA BASE DE DATOS __________________________________ 32  2.1 Antecedentes _________________________________________________________________  69  4.2 CIFRADO STREAM  ____________________________________________________________  29  2.3.6.8.10.2 VISIÓN DE LA EMPRESA _____________________________________________________ 68  4.3 ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE PRESAS _________________________ 69  4.1 LENGUAJE DE DEFINICIÓN DE DATOS (DDL Data Definition Language) ___________________  30  2.2 Descripción del Servicio _________________________________________________________  69  9 .8.5 DS13 ADMINISTRACIÓN DE OPERACIONES __________________________________________  64  CAPÍTULO IV AUDITORÍA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE  PRESAS" DE LA CONAGUA _________________________________________________  66  4.2 LENGUAJES DE MANIPULACIÓN DE DATOS _________________________________________  30  2.1 PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI  ___________________________________  56  3.3 METODOLOGÍA TRADICIONAL PARA AUDITORÍA DE LA BASE DE DATOS ______________ 36  3.6.8.6 DOMINIOS ________________________________________________________________ 46  3.5 RECURSOS DE TI ___________________________________________________________ 45  3.7 MODELOS DE MADUREZ  ____________________________________________________ 47  3.

11 CARACTERÍSTICAS TÉCNICAS ________________________________________________ 77  4. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4.3 FORMATOS ___________________________________________________________________  74  4.9.9.14 ALCANCE ________________________________________________________________ 78  4.1 Aspectos generales de su elaboración  ____________________________________________  77  4.5 OBJETIVO DEL SISTEMA _____________________________________________________ 70  4.25 RECOMENDACIONES  ______________________________________________________ 87  CONCLUSIONES  _________________________________________________________  89  10 .9.2 Objetivo ____________________________________________________________________  77  4.20 HALLAZGOS ______________________________________________________________ 83  4.3 Objetivos específicos __________________________________________________________  78  4.17 CRONOGRAMA DE ACTIVIDADES  ____________________________________________ 80  4.4 PROBLEMÁTICA RESUELTA POR EL SISTEMA  ____________________________________ 69  4.21 ANÁLISIS DE RIESGOS (CHECKLIST)  ___________________________________________ 84  4.9 BASE DE DATOS: ___________________________________________________________ 73  4.12 AUDITORÍA EN LA BASE DE DATOS DEL SISTEMA DE SEGURIDAD DE PRESAS _________ 77  4.12.22 MAPA DE RIESGOS ________________________________________________________ 85  4.6 ALCANCE DEL SISTEMA ______________________________________________________ 70  4.5 MÓDULOS  ___________________________________________________________________  74  4. _________________________________ 80  4.9.  ______________________________________  73  4.10 CONSIDERACIONES GENERALES  _____________________________________________ 75  4.24 MODELO DE MADUREZ  ____________________________________________________ 86  4.7 BENEFICIOS _______________________________________________________________ 71  4.6 SERVICIOS ____________________________________________________________________  74  4.12.23 CIERRE DE LA AUDITORÍA ___________________________________________________ 86  4.1 VINCULACIÓN Y CLASIFICACIÓN DE ARCHIVOS.12. _______________________________________________ 81  4.2 REPORTES ____________________________________________________________________  74  4.4 SEGURIDAD  __________________________________________________________________  74  4.16 PLANEACIÓN _____________________________________________________________ 79  4.18 PRESENTACIÓN DE ACTIVIDADES Y OBJETIVOS.15 JUSTIFICACIÓN ___________________________________________________________ 78  4.13 PROBLEMÁTICA  __________________________________________________________ 78  4.8 CARACTERÍSTICAS PRINCIPALES  ______________________________________________ 71  4.1 Aspectos generales de su elaboración  ____________________________________________  81  4.9.19 EJECUCIÓN DE LA AUDITORÍA.19.9.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXOS  _______________________________________________________________  90  ANEXO 1  ____________________________________________________________________ 90  ANEXO 2  ____________________________________________________________________ 93  ANEXO 3  ____________________________________________________________________ 94  ANEXO 4  ____________________________________________________________________ 95  ANEXO 5  ____________________________________________________________________ 96  ANEXO 6  ____________________________________________________________________ 98  ANEXO 7  ___________________________________________________________________ 100  ANEXO 8  ___________________________________________________________________ 101  ANEXO 9  ___________________________________________________________________ 103  ANEXO 10  __________________________________________________________________ 109  ANEXO 11  __________________________________________________________________ 113  ANEXO 12  __________________________________________________________________ 114  ANEXO 13  __________________________________________________________________ 115  ANEXO 14  __________________________________________________________________ 121  ANEXO 15  __________________________________________________________________ 122  ÍNDICE DE FIGURAS  _____________________________________________________  129  ÍNDICE DE TABLAS  ______________________________________________________  130  GLOSARIO _____________________________________________________________  131  BIBLIOGRAFÍA __________________________________________________________  136  11 .

En la actualidad la información se ha convertido en uno de los activos principales de las empresas. Se puede decir que a un auditor se relaciona con el sentido del auditivo. La auditoría como profesión fue reconocida por primera vez bajo la ley Británica de sociedades Anónimas de 1862 y en reconocimiento general tuvo lugar durante el periodo de mandato de la ley “un sistema metódico y normalizado de contabilidad era deseable una adecuada información y prevención del fraude. tenían fuertes intereses económicos en Estados Unidos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA 1. Muchos ingleses de la comunidad de “inversionistas” en América. En los Estados Unidos se desarrollaba la auditoría interna y del Gobierno. que representan su principal ventaja estratégica. Es por eso que los temas relativos a la auditoría informática cobran cada vez más relevancia tanto a nivel internacional como nacional. Desde 1862 hasta 1905. el objetivo principal consistía en la detección y prevención de errores. 12 . la razón es por que como el sentido del oído conforma el equilibrio en el ser humano. la profesión de auditoría creció y floreció en Inglaterra para introducirse en los Estados Unidos hacia 1900. esto presentaba el problema de que a las operaciones económicas pudieran ser manipuladas en perjuicio de los dueños británicos. A medida que los auditores percibían una importancia en contar un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente.1 ANTECEDENTES En tiempos remotos se practicaba alguna especie de auditoría en donde los soberanos exigían un mantenimiento en las cuentas de su residencia por escribanos. para evitar desfalcos en las cuentas. Las empresas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información que les ofrezcan la mayor productividad y calidad posibles. el auditor conforma la parte de oír y reportar las irregularidades que se presenten en las operaciones en las empresas. A medida que se desarrolló el comercio surgió la necesidad de realizar revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. lo que entró a formar parte del campo de la auditoría. progresivamente las compañías adoptaron la expansión de las actividades del departamento de la auditoría interna hacia áreas que están más allá de su alcance de los sistemas contables.

1 Evolución de la Práctica de auditoria 1. lleva acabo los fines de la organización. así como adquisición interno de la organización de bienes o contratación de (cumplimiento) servicios requeridos para brindar estas funciones y su Asegurar que la organización obtiene administración un beneficio en sus recursos de TI contribuyendo a reforzar el gobierno (cumplimiento) corporativo de la organización (Desempeño y Gestión) Tabla 1. 13 . Conceptualmente la auditoría es la actividad consistente en la emisión de una opinión profesional sobre el objeto sometido al análisis. mantiene la integridad de los datos. EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA Enfoque tradicional Enfoque Actual Objetivo: Objetivo: Evaluar un conjunto de prácticas Evaluar el nivel de seguridad y operativas vinculadas al diseño. que se refiere a todo aquel que tiene virtud de oír. Definición Es un proceso de recoger. agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos.2 CONCEPTO DE AUDITORÍA La palabra auditoría proviene del latín “auditorius”. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA De esta importancia la auditoría se debe pensar en el auditor como un elemento imprescindible para una sana operación de las empresas. aunque ciertamente la identificación de riesgos sigue siendo una parte importante de sus actividades. y utiliza eficientemente los recursos. su compromiso profesional va más allá de fungir como un mecanismo detectivo. Un auditor actual no puede concebirse así mismo simplemente como el responsable de identificar riesgos en la operación de una empresa. el papel de auditor ha pasado de ser un detector de problemas a un identificador de oportunidades y emisor de propuestas de valor. y de esta proviene la palabra auditor. control del entorno de TI asegurando desarrollo y explotación del que refuerza la estructura de control soporte de TI.

1 Auditoría Interna Es una actividad independiente que tiene lugar dentro de la empresa y que está encaminada a la revisión de operaciones contables y de otra naturaleza. planes y procedimientos. Las auditorías internas son hechas por personal de la empresa.  Determinación de la utilidad de políticas.2 Clases de auditoría. Un auditor interno tiene a su cargo la evaluación permanente de control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz.3.  Información exacta a la gerencia. Eficacia economicidad Cumplimiento Opinión Normas establecidas Las operaciones se adecuan a estas normas Tabla 1. La auditoría en la organización se divide en dos campos: 1. CLASE CONTENIDO OBJETO FINALIDAD Financiera Opinión Cuentas anuales Presentan realidad Informática Opinión Sistemas de aplicación recursos Operatividad eficiente y informáticas. Objetivo  Revisión y evaluación de controles contables. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 1. con la finalidad de prestar un servicio a la dirección. así como su nivel de cumplimiento. 14 . por una parte y la finalidad con que se realiza el estudio. financieros y operativos. planes de según normas contingencia establecidas Gestión Opinión Dirección Eficiencia.3 CLASES DE AUDITORÍA La auditoria comprende el análisis y gestión de sistema para identificar y posteriormente corregir las diversidades vulnerabilidades. sea cual sea su soporte. El objeto sometido a estudio.  Divulgación de políticas y procedimientos establecidos. definen el tipo de auditoría que se trata.

3. mientras que los procedimientos de auditoría interna son mucho más flexibles y depende en cada caso de la empresa. el control interno del mismo y formula sugerencias para su mejoramiento. Figura 1. Los trabajos de auditoría externa se desarrollan de acuerdo con normas y procedimientos internacionalmente homologados. emitiendo una opinión independiente sobre los mismos teniendo por objeto averiguar la razonabilidad. con el objeto de identificar los elementos. Objetivo  Obtención de elementos de juicio fundamentados en la naturaleza de los hechos examinados  Medición de la magnitud de un error ya conocido. mientras que la externa exige como condición esencial a la misma y de su credibilidad. 1. integridad y autenticidad de los datos La auditoría externa en general es un examen crítico. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 1. de sus dirigentes y de los propios responsables de la auditoría.  Detección de los hechos importantes ocurridos tras el cierre del ejercicio. 15 . por lo que se requiere analizar diversos elementos interdependientes para llegar a conocer bien la configuración del sistema. así como identificar posibles riesgos. es decir que sean totalmente independientes de ella y de sus directivos. productos y herramientas que existen para saber dónde pueden implantarse los controles. utilizado técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema. Diferencias entre auditoría interna y externa La auditoría interna se lleva a cabo con personas pertenecientes a la misma empresa. sistemático y detallado de un sistema de información de una unidad económica.  Control de las actividades de investigación y desarrollo. que los profesionales que la realizan no formen parte de la empresa auditada. detección de errores supuestos o confirmación de errores.1.2 Auditoría Externa Es una actividad que se desempeña fuera de la organización para examinar y evaluar lo sistemas informáticos de esta.4 FASES DE LA AUDITORÍA Los controles pueden implantarse a varios niveles.

16 . su infraestructura tecnológica. con lo que se elaborará posteriormente las conclusiones y recomendaciones que serán comunicadas a las autoridades de la entidad auditada. 3. Elementos de la fase de ejecución Las etapas que conforman la ejecución son: 1.4. 4. Fases de la auditoría. sus áreas de riesgo. sus sistemas de información. 2. evaluando los resultados de las pruebas se identifican los hallazgos. sus objetivos estratégicos y cualquier asunto de interés específico sobre la auditoría a realizar. 1.2 EJECUCIÓN En esta fase se realizarán diferentes tipos de pruebas y análisis para determinar su razonabilidad. Implementación de los controles. Hallazgos de la Auditoría.1. 1. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 1.1 PLANEACIÓN Uno de los objetivos de un auditor es proceder a obtener un conocimiento general de la empresa que va ser auditada. Evaluación del Riesgo. Análisis.4. sus características de negocio. Para efectuar todo lo anterior el auditor debe realizar un trabajo de planeación en el que determine un procedimiento de revisión que deberá emplear el personal responsable del desarrollo de las actividades y las fechas de la duración aproximada. detectando las posibles amenazas y vulnerabilidades si es que los hay. Pruebas de la Auditoría. 5.

Identificación del Informe: Título del informe que deberá identificarlo con objeto de distinguirlo de otros informes. Normativa aplicada y excepciones: Identificación de las normas legales y profesionales utilizadas. 3.beneficio a los puestos jerárquicos que se dedican a la toma de decisiones. a la esencia del dictamen. Objetivos de la Auditoría Informática Declaración de los objetivos de la auditoría para identificar su propósito señalando los objetivos cumplidos. si procede. en los cuales se redactan en el Informe de Auditoría Informática. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 1. además de realizar un costo. 7.4. señalando limitaciones al alcance y restricciones del auditado. así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría. adecuada. Lógicamente se ha llegado a los resultados y sobre todo. 17 . sistemas de información. 6. Identificación del cliente: Deberá identificarse a los destinatarios y a las personas que efectúen el encargo.3 INFORME FINAL Este informe incluye detalles y recomendaciones de la sección de análisis de riesgos. esto es la comunicación del Auditor informático. Una utilización apropiada del lenguaje informático resulta recomendable. Estructura del Informe 1. El informe lleva una visión rápida de los aspectos previamente realizados. periodo de auditoría. Identificación de la entidad auditada: Identificación de la entidad con objeto de la Auditoría Informática. Conclusiones: Informe corto de opinión. 2. detallando las debilidades que se tienen en el control interno. suficiente y comprensible. 4. incluso de hechos o aspectos que tengan en cuenta con la legislación vigente. La redacción del informe deberá ser clara. 5. al cliente de manera formal teniendo como puntos principales:  Objetivo  Periodo de cobertura  Extensión del trabajo realizado  Resultados y  Conclusiones También se puede decidir si el informe es largo o por el contrario corto. la opinión y los párrafos de salvedades y énfasis. Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo realizado: área organizativa.

 Colaborar y apoyar el trabajo de auditoría informática.1 Funciones de un auditor informático Participar en las revisiones durante y después del diseño realización. su utilización con eficiencia y seguridad en la organización participan en el procesamiento de la información. Es de vital importancia para el buen desempeño de los sistemas de información. 18 . ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. así mismo la gerencia de auditoría deberá disponer y asignar adecuadamente de recursos para el trabajo de auditoría además de realizar seguimiento en las acciones correctivas emprendidas por la gerencia.6.  Definir. estándares y no normas fijados por la dirección de la organización y/o dirección de Informática. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 1. implantación y explotación de aplicaciones informáticas. Sus principales objetivos son:  Controlar las actividades para que se cumplan los procedimientos y normas fijados asegurándose del cumplimiento de las normas legales. implantar y ejecutar mecanismos y controles para comprobar el logro de los servicios. 1. el auditor deberá reunir las evidencias necesarias que permita realizar una evaluación de las fortalezas y debilidades de los controles existentes en la organización con la finalidad de preparar un informe de auditoría que presente temas en forma objetiva a la gerencia. 1. a fin de que por medio de señalamientos de cursos alternativos se logre una mayor eficiencia y seguridad en la información que servirá para una adecuada toma de decisiones.5 CONTROL INTERNO INFORMÁTICO El control interno informático se encarga de controlar diariamente que todas las actividades de los sistemas informáticos sean realizadas cumpliendo los procedimientos. Al momento de realizar una auditoría de sistemas. así como de las auditorías externas. La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.6 AUDITORÍA INFORMÁTICA La auditoría en informática es la revisión y la evaluación de los controles de los sistemas. así como los requerimientos legales.

organización Tabla 1. implantación y explotación de aplicaciones informativas. utilizada. incluyendo el uso de software. requisitos legales. Se puede establecer tres grupos de funciones a realizar por un auditor informático:  Participar en las revisiones durante y después del diseño.  Revisar y juzgar el nivel de eficacia. fiabilidad y seguridad de los equipos e información.  Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la Dirección. para verificar su adecuación a las órdenes e instrucciones de la dirección. Cuadro de comparación CONTROL INTERNO AUDITORIA INFORMÁTICA INFORMÁTICO Conocimientos especializados en la tecnología de información SIMILITUDES Verificación del cumplimiento de controles internos y procedimientos establecidos por la dirección de informática. fiabilidad y seguridad de los equipos e información. realización. protección de confidencialidad y cobertura ante errores y fraudes. 19 . Análisis de controles en el Análisis de un momento día a día informático determinado DIFERENCIAS El alcance de sus funciones Tiene cobertura sobre todos es únicamente sobre el los componentes de los departamento de sistemas de información de la informática. Revisar y juzgar el nivel de eficiencia. utilidad. El auditor es responsable de revisar e informar a la Dirección de la organización el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Revisar y juzgar los controles implantados en los sistemas. desarrollando y aplicando técnicas mecanizadas de auditoría.3 Comparación Control Interno y Auditoría Informática El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos.

El uso de estos sistemas automatizados se desarrollo a partir de la necesidad de almacenar grandes cantidades de datos. demostrar. cultural y político. 1. 1.1 Concepto de Auditoría de la base de datos Es el proceso que permite medir. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 1. monitorear y registrar los accesos a la información almacenada en la base de datos incluyendo la capacidad de determinar:  Quien accede a los datos  Cuando se accedió a los datos  Desde que ubicación en la red  Desde que tipo de dispositivo /aplicación  Cual fue la sentencia ejecutada en SQL  Cual fue el efecto de acceso a la base de datos. utilizadas como un almacenamiento de información en todos los campos. por tanto la responsabilidad fundamental por lo que se refiere a la coordinación de los distintos elementos y a la aplicación consistente de los controles de seguridad. establecer 20 . para su posterior consulta.7 AUDITORÍA EN LAS BASES DE DATOS El objetivo de la base de datos. no es tan solo contar con los recursos de información si no también los mecanismos necesarios para poder encontrar y recuperar esos recursos. reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y difíciles de gestionar. científica. utilizar informes de excepción efectivos que permitan monitorizar los controles. social. por lo que ha hecho temas relativos a su control interno y auditoría cada vez de mayor interés. Para llevar a cabo esta labor se deben fijar claramente las responsabilidades sobre los diferentes componentes. asegurar. intranets y otros sistemas de información.7. en los que cada uno se apoya en la operación correcta y predecible de otros. el efecto es debilitar la seguridad global del sistema. Las bases de datos se han constituido como una herramienta más ampliamente difundida por la sociedad de la información.2 Técnicas para el control de base de datos en un entorno complejo El SGBD influyen en la seguridad e integridad de los datos. producidas por las En la actualidad existe una gran difusión en los Sistemas de Gestión de Base de datos.7. económica. como una consagración de los datos como uno de los recursos fundamentales para las empresas. La dirección de la empresa tiene. De esta forma la base de datos se ha convertido en un elemento indispensable tanto para el funcionamiento de los grandes motores de búsqueda y la recuperación de la información como también para la creación de sedes Web.

Por lo que es recomendable realizar matrices de control. 21 . estas matrices sirven para identificar los conjuntos de datos de SI junto con los controles de seguridad o integridad implementados sobre los mismos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA procedimientos adecuados. implantar una gestión rigurosa de la configuración del sistema.

Tiene como objetivo principal el compartir recurso dentro de una organización. Es el conjunto de dispositivos físicos sobre los que reside una base de datos. Pueden usarse mainframes o minicomputadoras para soportar acceso a varios usuarios. que está controlado por los administradores de la Base de Datos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA CAPÍTULO II BASE DE DATOS 2.3 COMPONENTES DE UNA BASE DE DATOS Hardware. Los datos se controlan por medio de un diccionario de datos.  Los datos deben de poder compartirse. mientras que el SGBD debe brindar varios servicios que se describirán más tarde. De esta tarea se encarga el sistema de gestión de base de datos (SGBD).  El uso de los datos debe ser controlado. Datos. o computadoras personales que se utilizan con bases de datos autónomas controladas por un usuario único. Hay que señalar también que las unidades de disco son el mecanismo de almacenamiento principal para las bases de datos. Los datos tienen que ser cuidadosa y lógicamente estructurados y deben almacenarse de manera precisa en el diccionario de datos. Hay dos tipos de software: el sistema de gestión de bases de datos (SGBD) y el software de aplicación (que usa las facilidades del SGBD para manipular las bases de datos. Este último suele ser desarrollado por los empleados de la compañía para resolver un problema específico. eliminando redundancias.1 CONCEPTO DE UNA BASE DE DATOS Una BD es una colección estructurada de elementos de datos interrelacionados. a fin de modelar parte del mundo real. Software. Un sistema de base de datos está formado por una base de datos.  Los datos se integran de una forma lógica. 2. un sistema de gestión de bases de datos (SGBD). resolviendo ambigüedades en la definición y manteniendo la consistencia interna entre los mismos. 2. así como por el hardware y personal apropiado.2 OBJETIVOS DE UNA BASE DE DATOS. 22 .

SEGURIDAD Los administradores de la base de datos pueden restringir el acceso a los usuarios sólo para recuperación o permitir acceso y actualización. La información relativa a los derechos de acceso se almacena en el diccionario de datos. resaltar que los mecanismos de copias de seguridad y restauración soportados por el SGBD deben preservar los datos de cualquier fallo del sistema. El combinar los datos en una base de datos produce que los datos combinados tengan más valor que la suma de los 23 . ya que si no existe el riesgo de inconsistencia entre las distintas versiones de los mismos datos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Personas. También se pueden mantener en el diccionario de datos restricciones sobre los valores. un usuario que quiera acceder al sistema debe dar una contraseña y que el sistema la valide. aunque es una tarea que resulta complicada. como el llamar a un mismo campo de distinta manera en varios archivos. Por último. Los mecanismos de seguridad protegen la integridad de los datos.4 CARACTERÍSTICAS DE UNA BASE DE DATOS INTEGRIDAD La integridad de los datos consiste en mantener la precisión y consistencia de los valores de los datos. COMPARTIR INFORMACIÓN Existen tres formas de compartir información:  Entre unidades funcionales. REDUNDANCIA MÍNIMA En una Base de datos se deberá eliminar las redundancias o repeticiones que puedan llevar a error. Pueden ser: usuarios (que necesitan información de la base de datos para desarrollar su responsabilidad en el negocio) o profesionales de la computación (que su responsabilidad reside en el diseño y mantenimiento del sistema de la base de datos). El acceso a la base de datos también es controlado por un mecanismo de contraseñas. 2.

Se pueden distinguir 3 niveles de usuarios: personal. mandos intermedios y ejecutivos. declarativos y procedurales. Un archivo de personal. o la utilidad de la misma: 24 .5 TIPOS DE DATOS QUE INTEGRAN UNA BASE DE DATOS DATOS DECLARATIVOS Los datos declarativos describen aspectos estáticos de objetos del mundo real y sus asociaciones.6 TIPOS DE BASES DE DATOS Las bases de datos pueden clasificarse de varias maneras. los datos contenidos en un sistema de Base de Datos han sido datos declarativos. Estos niveles se corresponden con los 3 diferentes tipos de automatización de los sistemas de negocios: procesamiento electrónico de datos (PED). sistemas de información de gestión (MIS) y sistemas de apoyo a la toma de decisiones (STD). Ejemplo: Un conjunto de reglas de descripción de toma de decisiones sobre que stocks y límites se eligen para abastecer un depósito. la BD suele denominarse base de conocimiento. de acuerdo al contexto que se esté manejando. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA datos en los archivos por separado. DATOS PROCEDURALES Los datos procedurales describen los aspectos dinámicos de los objetos del mundo real y sus asociaciones. A este concepto de combinar los datos para un uso común se le llama integración de datos. Ejemplo: Un archivo de cuentas corrientes. Históricamente. 2. 2.  Entre diferentes niveles de usuarios. Cuando se almacenan ambos tipos de datos.

porque si no. que permite localizarla. de una determinada publicación. pero nunca el texto completo.1 BASES DE DATOS ESTÁTICAS Éstas son bases de datos de sólo lectura.2 BASES DE DATOS DINÁMICAS Éstas son bases de datos donde la información almacenada se modifica con el tiempo. editorial. borrado y adición de datos. Pero tiene una particularidad que la diferencia y que consiste en que estos datos están almacenados en distintas maquinas que integran un sistema y que tienen conexión entre sí. un videoclub. Un ejemplo de esto puede ser la base de datos utilizada en un sistema de información de una tienda de abarrotes. Un registro típico de una base de datos bibliográfica contiene información sobre el autor. 2. Puede contener un resumen o extracto de la publicación original. realizar proyecciones y tomar decisiones. como por ejemplo.6.6. una farmacia. entre otras. que es lo que ocurre con las bases de datos centralizadas.6. fecha de publicación. 2. una colección de resultados de análisis de laboratorio.4 BASE DE DATOS DE TEXTO COMPLETO Almacenan las fuentes primarias. 25 . todo el contenido de todas las ediciones de una colección de revistas científicas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2. y por lo tanto la información va a estar distribuida en las distintas localidades y no en una sola localidad.5 BASE DE DATOS DISTRIBUIDA Una Base de Datos Distribuida consiste en un conjunto de datos almacenado de manera sistemática siempre dispuesto a ser utilizado. Cada uno de los procesadores que integran dicho sistema se conoce con el nombre de localidad o nodo.3 BASES DE DATOS BIBLIOGRÁFICAS Solo contienen un representante de la fuente primaria. 2. Como su nombre lo indica. edición. permitiendo operaciones como actualización. el contenido son cifras o números. etc. utilizadas primordialmente para almacenar datos históricos que posteriormente se pueden utilizar para estudiar el comportamiento de un conjunto de datos a través del tiempo. 2. Por ejemplo. título.6. estaríamos en presencia de una base de datos a texto completo.6. además de las operaciones fundamentales de consulta.

lo que se conoce como transacciones locales o transacciones globales respectivamente. Para ilustrar la naturaleza de los controles de integridad que podrían realizarse. 2. relaciones entre entidades. proveemos una visión de los mismos asociados con: 1. Las construcciones fundamentales del modelo son: 1. La consistencia. La unicidad de las instancias de las estructuras usadas dentro del modelado conceptual o aproximación del modelo de datos. entidades. La aproximación del modelado de datos que este soporta. Las restricciones de integridad son establecidas para mantener: 1. el modelo entidad-relación (E-R). 2. el modelo de datos relacional. 2.7 TIPOS DE RESTRICCIONES EN UNA BASE DE DATOS Un buen sistema de administración de BD ( DBMS) deberá realizar varios tipos de restricciones de integridad dentro del SGBD. La completitud 3. Los tipos específicos de restricciones provistos por el sistema dependerán de: 1. ágil y fiable. Debido a que la información está distribuida en localidades. 2. y 3. como todas tienen autonomía local. Asimismo. Alguna extensión del modelo conceptual 2. en caso de que alguna de las localidades falle. y 3. atributos de entidades. el resto sigue trabajando sin que se desactive el sistema. Las entidades son tipos básicos o clases de objetos del mundo real que deben ser modelados. 26 . los resultados a las consultas se pueden obtener de manera rápida. el modelo de datos de objetos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Cada localidad tiene una base de datos local aunque la información que se necesite puede provenir tanto de la base de datos local como de otras localidades.

entero. alfanumérico) Conjunto de valores de un atributo Especifica el conjunto permitido de valores para un atributo Leyes de transición Especifica las relaciones entre valores previos de atributos y sus nuevos valores Tabla 2. Tipo de valor de un identificador Especifica los tipos de valores permitidos para los atributos que comprenden un identificador de entidad (ejemplo: número real. que especifica una de las siguientes dos posibilidades: 1. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2.8 RESTRICCIONES DE INTEGRIDAD Restricción de integridad Descripción Identificador de entidad Especifica los atributos cuyos valores únicos identifican cada instancia de una entidad. Tabla 2.2 Restricciones de Integridad Dentro del SBD.1 Restricciones de Integridad Restricción de integridad Descripción Tipo de valor de un atributo Especifica los tipos de valores permitidos para un atributo (real. una restricción de integridad que se aplica a las relaciones es el control de cardinalidad. 27 . string alfanumérico). Conjunto de valores de un identificador Especifica el conjunto permitido de valores para los atributos que comprenden el identificador de una entidad. El número máximo de instancias de una entidad que puede ser asociado con una instancia de otra entidad (o tupla de instancias de entidades múltiples).

El número mínimo de instancias de una entidad que puede ser asociado con una instancia de otra entidad (o tupla de instancias de entidades múltiples).9 CONCEPTO DE CIFRADO EN UNA BASE DE DATOS El cifrado es el proceso de conversión de datos en un formato que no puedan leer otros usuarios. Entidad Se establecen para asegurar que las claves primarias nunca tienen valores nulos. Tabla 2. A continuación veremos distintos tipos de protocolos de actualización y reporte que podrían ser implementados en una aplicación de software para proteger la integridad de la BD. Tabla 2. Restricción de integridad Descripción Llaves o Claves Especifica las llaves candidatas de una relación.3 Restricciones de Integridad Restricción de integridad Descripción Son establecidos para mantener consistencia sobre tuplas de la relación. Si una tupla en la relación refiere a un Referencias dato en otra tupla de la relación o a una tupla de otra relación. este control asegura que la tupla referenciada debe existir. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2. 2. 28 . Estos valores deben identificar únicamente cada tupla de la relación.4 Referencias La integridad del SGBD también depende de los controles implementados en los programas de aplicación que usan la BD.

 La manipulación de datos de acuerdo con las necesidades del usuario. Los controles de cifrado también son utilizados para proteger la integridad de datos almacenados en una BD. 2.12 FUNCIONES PRINCIPALES DE UN SISTEMA GESTOR DE BASE DE DATOS  Creación y mantenimiento de la base de datos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2.  El cumplimiento de las normas de tratamiento de datos.1 CIFRADO DE BLOQUE El cifrado de Bloque opera sobre bloques de datos individuales. 2. El cifrado de bloque debería ser usado cuando los usuarios requieren acceso a sólo una parte de un archivo.11 CONCEPTO DE UN SISTEMA GESTOR DE BASE DE DATOS Es un tipo de software específico. El cifrado de bloque opera sobre bloques de datos individuales.  Control de accesos. el usuario y las aplicaciones que la utilizan.10 TIPOS DE CIFRADO 2. y difiere del cifrado de stream.2 CIFRADO STREAM El cifrado Stream es útil para transferir archivos enteros entre dos usuarios. es útil para transferir archivos enteros entre dos usuarios. dedicado a servir de interfaz entre la base de datos. El cifrado de bloque debería ser usado cuando los usuarios requieren acceso a sólo una parte de un archivo.10. en la cual los valores criptográficos de un bloque de datos dependen de los valores de otros bloques de datos.  Evitar redundancias e inconsistencias y mantener la integridad. en la cual los valores criptográficos de un bloque de datos dependen de los valores de otros bloques de datos.10. y difiere del cifrado stream. 29 . 2.

metadatos. estructuras de almacenamiento y los métodos de acceso usados. Pueden diferenciarse en procedimentales (aquellos que requieren qué datos se necesitan y cómo obtenerlos) y no procedimentales (que datos se necesitan.13. Permiten realizar acciones sobre la Base de Datos en sí misma: obtener información almacenada. Data Definition Language) provee de los medios necesarios para definir los datos con precisión. Este tipo de lenguaje opera sobre la definición de la Base de Datos.13 PROGRAMAS QUE INTEGRAN UN SISTEMA GESTOR DE BASE DE DATOS 2. agregar. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2. y modificar información. de la inserción y supresión de datos en la base de datos. eliminar. es el encargado de facilitar a los usuarios el acceso y manipulación de los datos.13. Proveen un diccionario de datos. otro para la definición de la estructura interna. y un tercero para la definición de las estructuras externas. Acorde con el modelo de arquitectura de tres niveles. sin especificar cómo obtenerlos). Data Manipulation/ Management Language). 30 .2 LENGUAJES DE MANIPULACIÓN DE DATOS El lenguaje de manipulación de datos (DML.1 LENGUAJE DE DEFINICIÓN DE DATOS (DDL Data Definition Language) El lenguaje de definición de datos (DDL. y de la modificación de los existentes. 2. especificando las distintas estructuras. habrá un lenguaje de definición de la estructura lógica global. y se encargan de la recuperación de los datos almacenados.

14 COMPONENTES DE UN SISTEMA GESTOR DE BASE DE DATOS  Sistema de administración de BD.  Programas de Aplicación: definidos para crear. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 2.1. Arquitectura de un Sistema Gestor de Bases de Datos. 2.  Almacenamiento secundario: para mantener la copia permanente o semi-permanente de los datos. Usado para manipular datos. modificar y eliminar datos. 31 .  Procesador central y almacenamiento primario: donde se ejecutan las actividades.  Sistemas operativos: para realizar las operaciones básicas de E/S para mover datos a y desde medios de almacenamiento.

 Se requiere un administrador de sistema. Se graba un conjunto de todos los eventos que ocurren sobre la BD como creaciones. 2. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Los controles de acceso en el SBD previenen de acceso no autorizados a los datos. En SGBD. Los controles de acceso pueden ser: 1. Estas estampas de tiempo tienen dos propósitos: 1 Confirmar que la última transacción ha alcanzado la definición de la BD o la BD misma. modificaciones. Una política de seguridad para el subsistema. Control de acceso mandatorio Los privilegios frecuentemente son dados a usuarios que son designados como propietarios.  Que acciones de privilegio pueden tener respecto de los datos. los usuarios dueños deben especificar:  Quien puede acceder a los datos. Control de acceso discrecional 2. eliminaciones recuperaciones. Se especifican mediante: 1. 32 . 2.15 LOGS DE AUDITORÍA DE UNA BASE DE DATOS Los logs de auditoría en un SGBD mantienen la cronología de eventos que ocurren en la definición de la BD o en la BD en sí misma. Para mantener los logs contables de auditoría en un sistema de aplicación. Eligiendo un mecanismo de control de acceso que sea efectivo para tal política. el SGBD debe realizar se debe asociar una única estampa de tiempo para cada transacción sobre la definición de la Base de Datos.

El SGBD debe proveer facilidades para definir. Como resultado. 2. Los logs de auditoría en un SGBD mantienen la cronología de eventos que ocurren en la definición de la BD o en la BD en sí misma. esto puede suceder porque: 1. En función de los datos de consumo de recursos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2 Identificar una posición única de tiempo para la transacción. El proceso que crea el log de auditoría podría presentar fallas en ambos casos. en una serie de eventos que le han sucedido al ítem de dato. El identificador de destino designa el ítem de dato afectado. los logs de auditoría deben permitir una de dos alternativas: 1 una operación de implosión 2 una operación de explosión Implosión: cada transacción puede ser trazada desde su fuente al ítem de dato que afecta. crear. ya que estos requieren un almacenamiento permanente o semipermanente. modificar. de la definición de la BD o la BD misma. eliminar. En función de los tiempos o la cantidad de recursos requeridos para aplicar transacciones puede surgir la necesidad de reorganizar la BD. Los logs de auditoría de operaciones mantienen la cronología de los eventos que consumen recursos que afectan la definición de la BD o la BD. Usualmente los logs de auditoría no deberían ser modificados ya que reflejan la verdad de lo sucedido. y recuperar datos desde los logs de auditoría. puede surgir que sea necesario reestructurar o reescribir el proceso que aplica las transacciones a la BD. conviene modificar el log para evitar posibles decisiones sobre información errónea. El sistema de aplicación que actualiza la BD procesa datos erróneamente 2. El identificador de fuente de transacción establece su origen para ser trazada de forma no ambigua. 33 . Sin embargo. Los administradores de base de datos deben tomar dos decisiones: 1.

eliminaciones recuperaciones. modificaciones. 2.16 DEFINICIÓN DE UNA ESTAMPA DE TIEMPO DE UNA BASE DE DATOS La estampa de tiempo confirma el efecto tomado sobre la definición de la Base de Datos. La estampa de tiempo tiene dos propósitos: 1. para un conjunto de transacciones. 2. Facilitar las consultas sobre logs de auditoría: los efectos de la transacción serán determinados inmediatamente consultando el log. La estampa de tiempo confirma el efecto tomado sobre la definición de la Base de Datos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Se graba un conjunto de todos los eventos que ocurren sobre la BD como creaciones. La estampa de tiempo puede ser clasificada dentro del identificador de destino. La estampa de tiempo puede ser clasificada dentro del identificador de destino. de la definición de la BD o la BD misma. en una serie de eventos que le han sucedido al ítem de dato. 2. Identificar una posición única de tiempo para la transacción. Confirmar que la última transacción ha alcanzado la definición de la BD o la BD misma. Estas estampas de tiempo tienen dos propósitos: 1. para un conjunto de transacciones. Proveer redundancia: una eliminación fraudulenta de una entrada del log de auditoría o una alteración de una estampa de tiempo puede ser detectada verificando la imagen posterior versus la anterior. 34 .

La auditoría informática sólo identifica el nivel de “exposición” por la falta de controles. Todos los riesgos que se presentan podemos:  Evitarlos  Transferirlos  Reducirlo  Asumirlo 3. Las metodologías más realizadas en la evaluación de los sistemas son un Análisis de riesgos y la auditoría informática con dos enfoques distintos. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio.2 METODOLOGÍA EN AUDITORÍA INFORMÁTICA Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático. o bien en un enfoque de estudio. Las metodologías de análisis de riesgos se utilizan desde los años setenta. El análisis de riesgos se enfoca en identificar las amenazas. mientras el análisis de riesgos facilita la “evaluación” de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores 35 .1 CONCEPTO DE ANÁLISIS DE RIESGOS La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. vulnerabilidades. en la industria del seguro basándose en grandes volúmenes de datos estadísticos agrupados. se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA CAPITULO III METODOLOGÍAS DE ANÁLISIS DE RIESGOS 3. riesgos y el impacto que se encuentran en los sistemas.

que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. que consta de una serie de cuestiones a verificar. 36 . del consejo de directores y consta de liderazgo. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). si las respuesta es afirmativa. para seleccionar en base al experiencia acumulada. Desventajas  Depende fuertemente de la habilidad y calidad del personal involucrado. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA numérico. 3.  Plan de trabajo flexible y reactivo. 3.3 METODOLOGÍA TRADICIONAL PARA AUDITORÍA DE LA BASE DE DATOS Este tipo de metodología para el auditor sirve para revisar el entorno con la ayuda de una lista de control (Checklist). El auditor deberá colocar a la investigación S. Ventajas:  Enfoque lo amplio que se desee. Basadas en métodos estadísticos y lógica borrosa.  Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular.4 METODOLOGÍA COBIT El gobierno de TI es responsabilidad de los ejecutivos.  Dependencia profesional. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito. N en caso contrario o NA (no aplica).  Se concentra en la identificación de eventos. estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.

Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI. Para descargar estas responsabilidades. Para que la TI tenga éxito en satisfacer los requerimientos del negocio. y presenta las actividades en una estructura manejable y lógica. Las organizaciones deben satisfacer la calidad. el marco de referencia de control ampliamente aceptado para gobierno de la empresa y para la administración de riesgos. así como de todos sus activos. brindando métricas y modelos de madurez para 37 . la dirección debe implantar un sistema de control interno o un marco de trabajo. capitalizando las oportunidades y ganando ventajas competitivas. maximizando así los beneficios. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Más aún. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:  Estableciendo un vínculo con los requerimientos del negocio. el gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. así como a marcos compatibles similares. asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. el gobierno de TI facilita que la empresa aproveche al máximo su información. Las buenas prácticas de COBIT representan el consenso de los expertos. así como para lograr sus objetivos. De esta manera. Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos. Estos resultados requieren un marco de referencia para controlar la TI. información. La dirección también debe optimizar el uso de los recursos disponibles de TI.  Organizando las actividades de TI en un modelo de procesos generalmente aceptado. los requerimientos fiduciarios y de seguridad de su información. Están enfocadas fuertemente en el control y menos en la ejecución. que se ajuste y sirva como soporte al Committee Of Sponsoring Organisations Of The Treadway Commission Control interno—Marco de Referencia integrado. la dirección debe entender el estatus de su arquitectura empresarial para la TI y decidir qué tipo de gobierno y de control debe aplicar. infraestructura y personas.  Definiendo los objetivos de control gerenciales a ser considerados.  Identificando los principales recursos de TI a ser utilizados. La orientación al negocio que enfoca COBIT consiste en vincular las metas de negocio con las metas de TI. incluyendo aplicaciones.

los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA medir sus logros. ejecutar y monitorear. el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear. ¿Qué se debe medir y cómo? Las empresas requieren una medición objetiva de dónde se encuentran y dónde se requieren mejoras. procedimientos.1 muestra algunas preguntas frecuentes y las herramientas gerenciales de información usadas para encontrar las respuestas. para tomar decisiones difíciles respecto a riesgos y controles. En segundo lugar. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos. para proporcionar la información que la empresa necesita para lograr sus objetivos. aunque estos tableros de control requieren indicadores. prácticas y estructuras organizacionales diseñadas para brindar un nivel razonable para garantizar que:  Se alcancen los objetivos del negocio. La figura 3. ofreciendo una visión de punta a punta de la TI. información. En resumen. es decir. aplicaciones. en los complejos ambientes de hoy en día. infraestructura y personas. los marcadores de puntuación requieren mediciones y los Benchmarking requieren una escala de comparación.  Se prevengan o se detecten y corrijan los eventos no deseados. construir. la dirección requiere objetivos de control que definan la última meta de implantar políticas. Pero. la dirección busca continuamente información oportuna y condensada. y deben implantar una caja de herramientas gerenciales para monitorear esta mejora. 38 . El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos. ¿cómo puede la empresa poner bajo control la TI de tal manera que genere la información que la empresa necesita? ¿Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto? ¿Cómo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio? Primero. e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. de manera rápida y exitosa.

Después de identificar los procesos y controles críticos de TI. COBIT da soporte al gobierno de TI (Figura3. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 3. con base en los objetivos de control detallados de COBIT La evaluación de la capacidad de los procesos basada en los modelos de madurez de COBIT es una parte clave de la implementación del gobierno de TI. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado.1 Preguntas frecuentes Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeño de TI son las definiciones específicas de COBIT de los siguientes conceptos: Benchmarking de la capacidad de los procesos de TI. basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton Metas de actividades para controlar estos procesos. expresada como modelos de madurez. el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad. derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan 39 .2) al brindar un marco de trabajo que garantiza que:  TI está alineada con el negocio  TI capacita el negocio y maximiza los beneficios  Los recursos de TI se usen de manera responsable  Los riesgos de TI se administren apropiadamente La medición del desempeño es esencial para el gobierno de TI.

referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso).3 Productos de COBIT 40 . la transparencia se logra de forma principal por medio de la medición del desempeño. Muchos estudios han identificado que la falta de transparencia en los costos. valor y riesgos de TI. control y seguridad. Mientras las otras áreas consideradas contribuyen. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA medir.3) diseñados para dar soporte a:  Administración y consejos ejecutivos  Administración del negocio y de TI  Profesionales en Gobierno. aseguramiento. Figura 3. Figura 3.2 Áreas Focales del Gobierno de TI Los productos COBIT se han organizado en tres niveles (figura 3. es uno de los más importantes impulsores para el gobierno de TI.

y encuentran maneras para: • Alinear la estrategia de TI con la estrategia del negocio  Lograr que toda la estrategia de TI. la alta dirección necesita saber si con la información administrada en la empresa es posible que:  Garantice el logro de sus objetivos  Tenga suficiente flexibilidad para aprender y adaptarse  Cuente con un manejo juicioso de los riesgos que enfrenta  Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI. medir el desempeño. llevar a cabo benchmarks y manejar brechas en la capacidad. y con socios externos  Medir el desempeño de TI 41 . así como las metas fluyan de forma gradual a toda la empresa  Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas  Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. 2da Edición— Diseñado para ayudar a los ejecutivos a entender porqué el gobierno de TI es importante. cuáles son sus intereses y sus responsabilidades para su administración Es de primordial interés para la dirección del negocio y de tecnología: Directrices Gerenciales: Herramientas para ayudar a asignar responsabilidades. y ¿el costo justifica el beneficio? ¿Cuáles son los indicadores de un buen desempeño? ¿Cuáles son las prácticas administrativas clave a aplicar? ¿Qué hacen otros? ¿Cómo medimos y comparamos? MARCO DE TRABAJO Cada vez más. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Es de interés primordial para los ejecutivos: El resumen informativo al consejo sobre el gobierno de TI. En particular. Las directrices ayudan a brindar respuestas a preguntas comunes de la administración: ¿Qué tan lejos podemos llegar para controlar la TI?.

ISO 9001. de tal manera que:  Se forme un vínculo con los requerimientos del negocio • El desempeño real con respecto a los requerimientos sea transparente  Organice sus actividades en un modelo de procesos generalmente aceptado • Identifique los principales recursos a ser aprovechados  Se definan los objetivos de control Gerenciales a ser considerados Además. ISO 17799. Basel II) y en sectores específicos como el financiero. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI. un enfoque estandarizado en lugar de enfoques desarrollados especialmente Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de 42 . Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en TI. Sarbanes-Oxley Act. es decir. siempre que sea posible. que TI genere lo que el negocio necesita para mejorar el valor de los participantes Preocupación por el creciente nivel de gasto en TI La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros (por ejemplo. ITIL. CMM y PRINCE2 La necesidad de optimizar costos siguiendo. farmacéutico y de atención a la salud La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking) Riesgos crecientemente complejos de la TI como la seguridad de redes La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT. el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios.

Orientado al negocio La orientación a negocios es el tema principal de COBIT.4 Principio Básico Si se pretende que la TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa. como guía integral para la gerencia y para los propietarios de los procesos del negocio El marco de trabajo COBIT se basa en el siguiente principio (figura 3. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI.4): proporcionar la información que la empresa requiere para lograr sus objetivos. aumentar el valor del negocio y reducir los riesgos de éste COMO SATISFACE COBIT LA NECESIDAD Como respuesta a las necesidades descritas en la sección anterior. orientado a procesos. sino también y principalmente. Está diseñado para ser utilizado no solo por proveedores de servicios. El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio. 43 . Figura 3. debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio (el cliente) y un claro entendimiento para TI. el marco de trabajo COBIT se creó con las características principales de ser orientado a negocios. basado en controles e impulsado por mediciones. usuarios y auditores de TI. la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información. de cómo y qué debe entregar (el proveedor).

con alta probabilidad. Esto se logra con métricas derivadas de las metas y capturadas en scorecard de TI que el cliente pueda entender y seguir. y luego éstas a su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para ejecutar de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. deben conducir a una clara definición de los propios objetivos de la TI (las metas de TI). AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA La Figura 3. requieren ser monitoreadas para garantizar que la entrega cumple con las expectativas. 44 . combinado con una alineación efectiva de la jerarquía de objetivos. dar soporte a las metas del negocio. Todos estos objetivos se deben expresar en términos de negocios significativos para el cliente. asegurará que el negocio pueda confirmar que TI puede. Figura 3. Estos objetivos a su vez. y que permita al proveedor enfocarse en sus propios objetivos internos.5 Definiendo metas de TI y arquitectura empresarial para TI Una vez que las metas alineadas han sido definidas.5 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos para su uso de iniciativas facilitadas por TI (Las metas de negocio para TI). y esto.

. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que cada uno en la empresa visualice y administre las actividades de TI. procesados y generados por los sistemas de información. en cualquier forma en que son utilizados por el negocio. junto con los procesos.  La información son los datos en todas sus formas de entrada. Entregar y Dar Soporte y Monitorear y Evaluar. Estos recursos. Adquirir e Implementar. constituyen una arquitectura empresarial para TI. así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada (ej. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 3. redes.  La infraestructura es la tecnología y las instalaciones (hardware.5 RECURSOS DE TI La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas.. un sistema de planeación de recursos empresariales) para dar soporte a la capacidad del negocio (ej. 45 . sistemas de administración de base de datos.. implementando una cadena de suministro) que genere el resultado deseado (ej. y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio. mayores ventas y beneficios financieros). multimedia. etc. Para responder a los requerimientos que el negocio tiene hacia TI. ejecutar y monitorear. mientras que al mismo tiempo toma ventaja de la información del negocio. Los recursos de TI identificados en COBIT se pueden definir como sigue:  Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. Los dominios se equiparan a las áreas tradicionales de TI de planear. Procesos orientados COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios.. construir. sistemas operativos. Estos dominios son Planear y Organizar.

comunicándose con los proveedores de servicios e integrando las mejores prácticas administrativas. es importante determinar las actividades y los riesgos que requieren ser administrados. También brinda un marco de trabajo para la medición y monitoreo del desempeño de TI. Un modelo de procesos fomenta la propiedad de los procesos. Finalmente. cubre los siguientes cuestionamientos de la gerencia:  ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? 46 .6. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA La incorporación de un modelo operacional y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iníciales más importantes hacia un buen gobierno.1 PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las tácticas. Este dominio. y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. permitiendo que se definan las responsabilidades. la realización de la visión estratégica requiere ser planeada. el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.2 ADQUIRIR E IMPLEMENTAR (AI) Para llevar a cabo la estrategia de TI. Además. Además. comunicada y administrada desde diferentes perspectivas. se debe implementar una estructura organizacional y una estructura tecnológica apropiada. desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. por lo general. las soluciones de TI necesitan ser identificadas. Para gobernar efectivamente TI.6 DOMINIOS 3. Éstos se pueden resumir como sigue: 3. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:  ¿Están alineadas las estrategias de TI y del negocio?  ¿La empresa está alcanzando un uso óptimo de sus recursos?  ¿Entienden todas las personas dentro de la organización los objetivos de TI?  ¿Se entienden y administran los riesgos de TI?  ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 3.6.

Por lo general abarca las siguientes preguntas de la gerencia:  ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?  ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?  ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? 3. la administración de la seguridad y de la continuidad.7 MODELOS DE MADUREZ Cada vez con más frecuencia. Este dominio abarca la administración del desempeño.4 MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. el soporte del servicio a los usuarios.3 ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios requeridos. el monitoreo del control interno. se les pide a los directivos de empresas corporativas y públicas que se considere qué tan bien se está administrando TI. lo que incluye la prestación del servicio. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA  ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?  ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? 3. Por lo general aclara las siguientes preguntas de la gerencia:  ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?  ¿Están optimizados los costos de TI?  ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?  ¿Están implantadas de forma adecuada la confidencialidad. la administración de los datos y de las instalaciones operacionales.6. la integridad y la disponibilidad? 3. 47 . el cumplimiento regulatorio y la aplicación del gobierno.6.

ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general. Aunque pocos argumentarían que esto no es algo bueno. se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas:  ¿Qué están haciendo nuestra competencia en la industria. Una manera de decidir hacia dónde ir de forma eficiente 3. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT. Esto responde a tres necesidades: 1. Una medición relativa de dónde se encuentra la empresa 2. La gerencia de TI está buscando constantemente herramientas de evaluación por benchmarking y herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente. de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Cualquiera que sea el modelo. contra los objetivos de control. 48 . Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. el propietario del proceso se debe poder evaluar de forma progresiva. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Como respuesta a esto. y cómo estamos posicionados con respecto a estas prácticas?  Con base en estas comparaciones. Una herramienta para medir el avance contra la meta El modelado de la madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización. y cómo estamos posicionados en relación a ellos?  ¿Cuáles son las mejores prácticas aceptables en la industria. las escalas no deben ser demasiado granulares. ¿se puede decir que estamos haciendo lo suficiente?  ¿Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI? Puede resultar difícil proporcionar respuestas significativas a estas preguntas. se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.

49 . Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos.6). no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. La empresa no ha reconocido siquiera que existe un problema a resolver. Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. El enfoque general hacia la administración es desorganizado. se requiere contar con un método gráfico de presentación (figura 3. Si se usan los procesos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT. Sin embargo. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA El propósito no es avaluar el nivel de adherencia a los objetivos de control. Carencia completa de cualquier proceso reconocible. No están diseñados para ser usados como un modelo limitante.6 Representación gráfica de modelos de madurez 0 No existente. la administración podrá identificar:  El desempeño real de la empresa—Dónde se encuentra la empresa hoy  El estatus actual de la industria—La comparación  El objetivo de mejora de la empresa—Dónde desea estar la empresa Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales. Figura 3. donde se presentarán como un medio para dar soporte al caso de negocio para planes futuros. 1 Inicial.

Existe un alto grado de confianza en el conocimiento de los individuos y. como se determina en el negocio y en las metas de TI. La capacidad requerida. es decir. se deja que el individuo decida utilizar estos procesos. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. 5 Optimizado. La escala del 0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad optimizada. Los procedimientos se han estandarizado y documentado. La medición del desempeño. brindando herramientas para mejorar la calidad y la efectividad. y se deja la responsabilidad al individuo. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. y es poco probable que se detecten desviaciones. TI se usa de forma integrada para automatizar el flujo de trabajo. los errores son muy probables. puede no requerir aplicarse al mismo nivel en todo el ambiente de TI. la capacidad administrativa de un proceso no es lo mismo que el desempeño. Sin embargo. La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. Los procesos se han refinado hasta un nivel de mejor práctica. se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. una empresa debe analizar los controles necesarios para asegurar que el riesgo sea 50 . es esencial para determinar cuál es el desempeño real de la empresa en sus procesos de TI. No hay entrenamiento o comunicación formal de los procedimientos estándar. haciendo que la empresa se adapte de manera rápida. y se han difundido a través de entrenamiento. Los procesos están bajo constante mejora y proporcionan buenas prácticas. La escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. por lo tanto. como se cubre en los próximos párrafos. Aunque una capacidad aplicada de forma apropiada reduce los riesgos. de forma inconsistente o solo a un número limitado de sistemas o unidades. 3 Definido. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2 Repetible. Sin embargo. 4 Administrado.

principalmente dependen de las metas de TI y en las necesidades del negocio subyacentes a la cuales sirven de base. Estos controles son dirigidos por los objetivos de control de COBIT. Las escalas del modelo de madurez ayudarán a los profesionales a explicarle a la gerencia dónde se encuentran los defectos en la administración de procesos de TI y a establecer objetivos donde se requieran 51 . Figura 3. Por ejemplo. Por otro lado. Cuánta de esa capacidad es realmente utilizada actualmente para retornar la inversión deseada en una empresa. qué tan capaces son en realidad. el grado y sofisticación de los controles que se requiere aplicar en un proceso están más definidos por el apetito de riesgo de una empresa y por los requerimientos aplicables. habrá procesos y sistemas críticos que requieren de una mayor administración de la seguridad que otros que son menos críticos.7 Las tres dimensiones de la madurez El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos. El apéndice III brinda un modelo de madurez para el control interno que ilustra la madurez de una empresa con respecto al establecimiento y desempeño del control interno. el desempeño y el control son dimensiones de la madurez de un proceso como se ilustra en la Figura 3.7. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA mitigado y que se obtenga el valor de acuerdo al apetito de riesgo y a los objetivos del negocio. esto es. Qué tan bien desarrollados o capaces deberían ser. La capacidad.

 Una escala que se presta a sí misma para una comparación práctica.  La base para establecer el estado actual y el estado deseado. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA La tabla de atributos de madurez que se muestra en la Tabla 3.  Tomado en conjunto.1 lista las características de cómo se administran los procesos de TI y describe cómo evolucionan desde un proceso no existente hasta uno optimizado.  Soporte para un análisis de brechas para determinar qué se requiere hacer para alcanzar el nivel seleccionado. una vista de cómo se administra la TI en la empresa. Estos atributos se pueden usar para una evaluación más integral. para un análisis de brechas y para la planeación de mejoras. 52 . los modelos de madurez brindan un perfil genérico de las etapas a través de las cuales evolucionan las empresas para la administración y el control de los procesos de TI.  Una escala donde la diferencia se puede medir de forma sencilla. En resumen. estos son:  Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de madurez.

alguna documentación y forma correcta o incluso no usarse. Todos los expertos raíz. basada en las evolucionado a flujos de trabajo Las herramientas están claramente definidas. dirección nota las excepciones de maduras de comunicación y se usan políticas y los procedimientos están herramientas relacionadas para El entrenamiento y la educación dan forma global y consistente y el herramientas integradas de estandarizados e integrados para permitir un soporte integral de los soporte a las mejores prácticas análisis de causas raíz se aplica.1 Atributos de madurez 53 . Las personas toman la Existe comunicación esporádica de Los procesos y las prácticas no están No existe un plan de entrenamiento y propiedad de los problemas con base los problemas. Los procesos. externas y al uso de conceptos y mejora continua es una forma de integrales técnicas de vanguardia. balanced scorecard de TI en algunas herramientas estándar de están documentados y son Se usan herramientas en las Se aplican técnicas maduras de Existe una cultura de recompensas áreas. Se adoptan administración del proceso y se fomenta la compartición del estandarizando el análisis de causas y siguen estándares para el monitorear las actividades y controles conocimiento. Hay monitoreo generales Se da entrenamiento como respuesta Existe confusión acerca de la inconsistente en áreas aisladas. las completamente integradas con otras de forma consistente. informal sobre la marcha. Surge la mejora continua. La comunicación permitir una administración y mejoras procesos. pero pueden no formal pero todavía se basa en propietario del proceso tenga la pero no se aplican de modo estar de acuerdo al plan acordado. La aceptación de la desempeño de TI con las metas del Existe una comunicación proactiva La documentación de procesos ha personales y organizacionales responsabilidad ha descendido en negocio por la aplicación global del de los problemas. 4 Hay entendimiento de los El proceso es sólido y completo. con excepciones conocidas comunicación repetibles. definidos No existe un enfoque planeado para no hay entrenamiento formal en su propia iniciativa de manera el uso de herramientas reactiva. políticas y para automatizar el proceso todas las áreas. se aplican técnicas automatizados. desarrollo y mantenimiento de críticos internos están involucrados y se procesos y procedimientos. estándares y Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de Establecimiento y medición de procedimientos cuentas metas 1 Surge el reconocimiento de la Existen enfoques ad hoc hacia los Pueden existir algunas herramientas. Algunos aspectos de los procesos Pueden haberse adquirido a las necesidades. alta dirección. Tabla 3. No están definidas las habilidades No existe definición de Las metas no están claras y no necesidad del proceso procesos y las prácticas el uso se basa en herramienta requeridas para el proceso responsabilidades y de rendición de existen las mediciones. Existe entrenamiento tiende a existir. Se implementa el comunicación y se usan Todos los aspectos del proceso fomenta la certificación descargar sus responsabilidades. estructurada en su comunicación documentados para todas las Se usan herramientas por su Existe un plan de entrenamiento negocio. cascada a través de la organización balanced scorecard de TI. Es poco probable que el Surgen los procesos de medición actividades clave propósito básico. por la gerencia y se está y aprobado las políticas. pero no se Los procesos. habilidades. La vida. y existe una relación La gerencia es más formal y procedimientos están definidos y propietarios de los procesos de clara con las metas del negocio. 2 Existe conciencia de la necesidad Surgen procesos similares y Existen enfoques comunes para el Se identifican los requerimientos Un individuo asume su Existen algunas metas. está acordado de modo formal. balanced scorecard de TI así como la aplicación intuitiva ocasional de análisis de causas raíz. Se usan las herramientas para dar compartición del conocimiento es soporte a la mejora del proceso y parte de la cultura empresarial y se detectar de forma automática las implementan sistemas basados en excepciones de control conocimiento. definidas y se han identificado a los comunican. evalúa la efectividad del plan de entrenamiento. en lugar de responsabilidad cuando ocurren son repetibles debido a la herramientas de proveedores. estándar de escritorio cuentas. se asegura la capacidad aceptadas y funcionan de modo que las metas del negocio y al plan Se aplican técnicas maduras de herramientas relacionadas para todas las áreas críticas y se se permite al propietario del proceso estratégico de TI. La tendencias. y puede existir probablemente no se aplican de acordado. se han integrado con otras las áreas. y iniciativas individuales autoridad plena para ejercer las consistente. pero hacerlo con base en un plan problemas y una cultura de culpas experiencia individual. y por lo general establecen algunas mediciones intuitivos y parten de la experiencia en soluciones desarrolladas por críticas debe rendir cuentas aún si esto no financieras pero solo las conoce la La gerencia comunica los problemas individual individuos clave. La dirección ha terminado principales áreas para automatizar la entrenamiento de acuerdo al plan y que activa la acción positiva. Se adoptan ideas de un pueden no estar integradas entre sí responsabilidades. 5 Existe un entendimiento avanzado Se aplican las mejores prácticas y Se usan juegos de herramientas La organización fomenta de manera Los propietarios de procesos tienen Existe un sistema de medición de y a futuro de los requerimientos estándares externos estandarizados a lo largo de la formal la mejora continua de las la facultad de tomar decisiones y desempeño integrado que liga al empresa. con base en metas medidas. se Se implantan las herramientas de Los requerimientos de habilidades se Las responsabilidades y la rendición La eficiencia y la efectividad se requerimientos completos aplican las mejores prácticas acuerdo a un plan estándar y algunas actualizan rutinariamente para todas de cuentas sobre los procesos están miden y comunican y están ligadas a internas. Se usan a expertos externos y a líderes de la industria como guía. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Conciencia y comunicación Políticas. entendimiento informal de las políticas y procedimientos 3 Existe el entendimiento de la Surge el uso de buenas prácticas Existe un plan para el uso y Se definen y documentan los La responsabilidad y la rendición de Se establecen algunas mediciones y necesidad de actuar estandarización de las herramientas requerimientos y habilidades para cuentas sobre los procesos están metas de efectividad. se de actuar comunes pero en su mayoría son uso de herramientas pero se basan mínimos de habilidades para áreas responsabilidad.

el marco de trabajo general COBIT se muestra gráficamente en la Figura 3. como se ilustra en el cubo COBIT (Figura 3.8) Figura 3. 54 .9. Este es el principio básico del marco de trabajo COBIT.8 El cubo de COBIT En detalle. administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno. los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Para resumir. con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genéricos.

9 Marco de trabajo General de COBIT 55 .AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 3.

8. causado por algún evento no planeado se debe identificar. usando métodos cualitativos y cuantitativos. Enfocándose en la elaboración de un marco de trabajo de administración de riesgos el cual está integrado en los marcos gerenciales de riesgo operacional. Este proceso cubre el diseño de las aplicaciones. y el desarrollo y la configuración en sí de acuerdo a los estándares. para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.8 OBJETIVOS DE CONTROL EMPLEADOS PARA LA AUDITORÍA 3.8. estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas de la organización. y se aplica de forma consistente La realización de evaluaciones de riesgo Recomendar y comunicar planes de acciones para mitigar riesgos Y se mide con Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos PO9.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. El marco de trabajo documenta un nivel común y acordado de riesgos de TI. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. Control sobre el proceso TI de Evaluar y administrar los riesgos de TI Que satisface el requisito de negocio de TI para analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio. Esto permite a las 56 . mitigación del riesgo y comunicación de riesgos residuales Se logra con La garantía de que la administración de riesgos está incluida completamente en los procesos administrativos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 3. El resultado de la evaluación debe ser entendible para los participantes y se debe expresar en términos financieros. por categoría y con base en el portafolio 3. evaluación de riesgos. analizar y evaluar.4 IT Evaluación de riesgos Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual.1 PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. tanto interna como externamente. la inclusión apropiada de controles aplicativos y requerimientos de seguridad.

procedimientos y estándares de seguridad de TI y en el monitoreo. Se logra con • El entendimiento de los requerimientos. detección. requiere de un proceso de administración de la seguridad. estándares y procedimientos de TI. • Probando la seguridad de forma regular. políticas. • La administración de identidades y autorizaciones de los usuarios de forma estandarizada.3 DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS La necesidad de mantener la integridad de la información y de proteger los activos de TI. de pruebas y operativas Y se mide con • Número de problemas en producción por aplicación. 57 . Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad Control sobre el proceso TI de Garantizar la seguridad de los sistemas que satisface el requisito de negocio de TI para mantener la integridad de la información y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Enfocándose en la definición de políticas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. reporte y resolución de las vulnerabilidades e incidentes de seguridad. vulnerabilidades y amenazas de seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad. que causan tiempo perdido significativo • Porcentaje de usuarios satisfechos con la funcionalidad entregada 3.8. Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo Que satisface el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable Enfocándose en garantizar que exista un proceso de desarrollo oportuno y confiable Se logra con • La traducción de requerimientos de negocio a especificaciones de diseño • La adhesión a los estándares de desarrollo para todas las modificaciones • La separación de las actividades de desarrollo.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

Y se mide con • El número de incidentes que dañan la reputación con el público •
El número de sistemas donde no se cumplen los requerimientos de seguridad • El
número de de violaciones en la segregación de tareas.

DS5.2 Plan de seguridad de TI Trasladar los requerimientos de información del
negocio, la configuración de TI, los planes de acción del riesgo de la información y
la cultura sobre la seguridad en la información a un plan global de seguridad de TI.
El plan se implementa en políticas y procedimientos de seguridad en conjunto con
inversiones apropiadas en servicios, personal, software y hardware. Las políticas y
procedimientos de seguridad se comunican a los interesados y a los usuarios.
DS5.3 Administración de identidad Todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del
sistema, desarrollo y mantenimiento) deben ser identificables de manera única.
Los derechos de acceso del usuario a sistemas y datos deben estar alineados con
necesidades de negocio definidas y documentadas y con requerimientos de
trabajo. Los derechos de acceso del usuario son solicitados por la gerencia del
usuario, aprobados por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los derechos de
acceso se mantienen en un repositorio central. Se implementan y se mantienen
actualizadas medidas técnicas y procedimientos rentables, para establecer la
identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.
DS5.4 Administración de cuentas del usuario Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario
y de los privilegios relacionados, sean tomados en cuenta por la gerencia de
cuentas de usuario. Debe incluirse un procedimiento que describa al responsable
de los datos o del sistema como otorgar los privilegios de acceso. Estos
procedimientos deben aplicar para todos los usuarios, incluyendo administradores
(usuarios privilegiados), usuarios externos e internos, para casos normales y de
emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e
información de la empresa son acordados contractualmente para todos los tipos
de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las
cuentas y los privilegios asociados.
DS5.6 Definición de incidente de seguridad Garantizar que las características
de los posibles incidentes de seguridad sean definidas y comunicadas de forma
clara, de manera que los problemas de seguridad sean atendidos de forma
apropiada por medio del proceso de administración de problemas o incidentes.
Las características incluyen una descripción de lo que se considera un incidente
de seguridad y su nivel de impacto. Un número limitado de niveles de impacto se
definen para cada incidente, se identifican las acciones específicas requeridas y
las personas que necesitan ser notificadas.

58

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

DS5.8 Administración de llaves criptográficas Determinar que las políticas y
procedimientos para organizar la generación, cambio, revocación, destrucción,
distribución, certificación, almacenamiento, captura, uso y archivo de llaves
criptográficas estén implantadas, para garantizar la protección de las llaves contra
modificaciones y divulgación no autorizadas.

DS5.9 Prevención, detección y corrección de software malicioso Garantizar
que se cuente con medidas de prevención, detección y corrección (en especial
contar con parches de seguridad y control de virus actualizados) a lo largo de toda
la organización para proteger a los sistemas de información y a la tecnología
contra software malicioso (virus, gusanos, spyware, correo basura, software
fraudulento desarrollado internamente, etc.).

DS5.11 Intercambio de datos sensitivos Garantizar que las transacciones de
datos sensibles sean intercambiadas solamente a través de una ruta o medio
confiable con controles para brindar autenticidad de contenido, prueba de envío,
prueba de recepción y no rechazo del origen.
Las metas y métricas de este dominio se describen en la Figura 3.10

Figura 3.10 Metas y Métricas.DS5

59

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

Modelo de Madurez
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La administración del proceso de Garantizar la seguridad de los sistemas
que satisfaga el requerimiento de negocio de TI de mantener la integridad de
la información y de la infraestructura de procesamiento y minimizar el
impacto de vulnerabilidades e incidentes de seguridad es:
0 No-existente cuando La organización no reconoce la necesidad de la seguridad
para TI. Las responsabilidades y la rendición de cuentas no están asignadas para
garantizar la seguridad. Las medidas para soportar la administrar la seguridad de
TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de
respuesta para resolver brechas de seguridad de TI. Hay una total falta de
procesos reconocibles de administración de seguridad de sistemas.
1 Inicial/Ad Hoc cuando La organización reconoce la necesidad de seguridad
para TI. La conciencia de la necesidad de seguridad depende principalmente del
individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la
seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con
acusaciones personales, debido a que las responsabilidades no son claras. Las
respuestas a las brechas de seguridad de TI son impredecibles.
2 Repetible pero intuitivo cuando Las responsabilidades y la rendición de
cuentas sobre la seguridad, están asignadas a un coordinador de seguridad de TI,
pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la
necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas
producen información relevante respecto a la seguridad, ésta no se analiza. Los
servicios de terceros pueden no cumplir con los requerimientos específicos de
seguridad de la empresa. Las políticas de seguridad se han estado desarrollando,
pero las herramientas y las habilidades son inadecuadas. Los reportes de la
seguridad de TI son incompletos, engañosos o no aplicables. La capacitación
sobre seguridad está disponible pero depende principalmente de la iniciativa del
individuo. La seguridad de TI es vista primordialmente como responsabilidad y
disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia
disciplina.
3 Proceso definido cuando Existe conciencia sobre la seguridad y ésta es
promovida por la gerencia. Los procedimientos de seguridad de TI están definidos
y alineados con la política de seguridad de TI. Las responsabilidades de la
seguridad de TI están asignadas y entendidas, pero no continuamente
implementadas. Existe un plan de seguridad de TI y existen soluciones de
seguridad motivadas por un análisis de riesgo. Los reportes no contienen un
enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por
ejemplo, pruebas contra intrusos). Existe capacitación en seguridad para TI y para
el negocio, pero se programa y se comunica de manera informal.

60

3 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI. administradas e implementadas de forma clara. 3. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua. Las pruebas de seguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad. Los reportes de seguridad están ligados con los objetivos del negocio. La capacitación sobre seguridad se imparte tanto para TI como para el negocio. autenticación y autorización de los usuarios está estandarizada. Regularmente se lleva a cabo un análisis de impacto y de riesgos de seguridad. y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. La certificación en seguridad es buscada por parte del personal que es responsable de la auditoría y la administración de la seguridad. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. análisis de tendencia. La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática. Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad. El contacto con métodos para promover la conciencia de la seguridad es obligatorio. optimizados e incluidos en un plan de seguridad aprobado. Los procesos de seguridad de TI están coordinados con la función de seguridad de toda la organización. Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas. análisis de causa- efecto e identificación pro-activa de riesgos para la mejora continua de procesos. Se llevan a cabo pruebas de seguridad. y de un proceso de administración de incidentes. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Los KGIs y KPIs para administración de seguridad son recopilados y comunicados.8. La capacitación sobre seguridad de TI se planea y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. requiere de una mesa de servicio bien diseñada y bien ejecutada. La identificación. Los KGIs y KPIs ya están definidos pero no se miden aún. escalamiento de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro. análisis causa-raíz y resolución. 5 Optimizado cuando La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en la corporación. Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad. Los requerimientos de seguridad de TI están definidos de forma clara. 61 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4 Administrado y Medible cuando Las responsabilidades sobre la seguridad de TI son asignadas.

Control sobre el proceso TI de Administrar la mesa de servicio y los incidentes Que satisface el requisito de negocio de TI para permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales. Enfocándose en una función profesional de mesa de servicio. Se logra con • Instalación y operación de un servicio de una mesa de servicios • Monitoreo y reporte de tendencias • Definición de procedimientos y de criterios de escalamiento claros Y se mide con • Satisfacción del usuario con el soporte de primera línea • Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. Las metas y métricas de este dominio se describen en la Figura 3. con tiempo de respuesta rápido.11Metas y métricas DS8 62 . • Índice de abandono de llamadas. procedimientos de escalamiento claros y análisis de tendencias y de resolución. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Además.11 Figura 3. el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. incidentes y preguntas.

Control sobre el proceso TI de Administración de datos Que satisface el requisito de negocio de TI para Optimizar el uso de la información y garantizar la disponibilidad de la información cuando se requiera. • Número de incidentes en los que tuvo que recuperarse datos sensitivos después que los medios habían sido desechados. Y se mide con • Satisfacción del usuario con la disponibilidad de los datos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios. disponibilidad y protección de los datos. • Desechando de manera segura los datos y el equipo. oportunidad y disponibilidad de la información del negocio.12 Figura 3. el respaldo y la recuperación de datos y la eliminación apropiada de medios. exactitud. Se logra • Respaldando los datos y probando la restauración • Administrando almacenamiento de datos en sitio y fuera de sitio. • Porcentaje de restauraciones exitosas de datos. Una efectiva administración de datos ayuda a garantizar la calidad.12 Metas y Métricas DS11 63 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 3. Las metas y métricas de este dominio se describen en la Figura 3.8.4 DS11 ADMINISTRACIÓN DE DATOS Una efectiva administración de datos requiere de la identificación de requerimientos de datos. Enfocándose en mantener la integridad.

5 DS13 ADMINISTRACIÓN DE OPERACIONES Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Enfocándose en cumplir con los niveles operativos de servicio para procesamiento de datos programado. protección de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 3. Las metas y métricas de este dominio se describen en la Figura 3. protección de datos de salida sensitivos. Control sobre el proceso TI de Administrar operaciones Que satisface el requisito de negocio de TI para mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas.8. monitoreo de infraestructura y mantenimiento preventivo de hardware. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operación. Porcentaje de activos de hardware incluidos en los programas de mantenimiento. Se logra • Operando el ambiente de TI en línea con los niveles de servicio acordados y con las instrucciones definidas • Manteniendo la infraestructura de TI Y se mide con Número de niveles de servicio afectados a causa de incidentes en la operación.13 64 .

13 Metas y Métricas DS13 65 .AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 3.

ya que entre otros aspectos. la producción de energía eléctrica o la industria 3. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA CAPÍTULO IV AUDITORÍA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE PRESAS" DE LA CONAGUA Comisión Nacional del Agua (CONAGUA) La Comisión Nacional del Agua es heredera de una gran tradición hidráulica y a lo largo de su historia ha estado integrada por destacados profesionales y especialistas de diversas disciplinas. en 1926. Si bien se reconoce que el agua debe proporcionar bienestar social y apoyar el desarrollo económico. considera que el uso sustentable del agua se logra cuando se cumplen los aspectos siguientes: 1. El agua genera bienestar social: básicamente se refiere al suministro de los servicios de agua potable y alcantarillado a la población. reconocidos internacionalmente por su dedicación y capacidad técnica. para lograr el uso sustentable del recurso . la Comisión Nacional del Agua está convencida de que se debe preservar en cantidad y calidad adecuadas para las generaciones actuales y futuras y la flora y fauna de cada región 66 . por ejemplo. El agua se preserva: es el elemento que cierra el concepto de sustentabilidad. Actualmente. la Comisión Nacional de Irrigación. La Comisión considera que la participación de la sociedad es indispensable para alcanzar las metas que se han trazado en cada cuenca del país. con la participación de la sociedad. Tierras y Colonización creada en 1917. Por otra parte. así como al tratamiento de las aguas residuales. los habitantes pueden dar la continuidad que se requiere a las acciones planteadas. El agua propicia el desarrollo económico: considera al agua como un insumo en la actividad económica. en la agricultura. 2. la Secretaría de Recursos Hidráulicos en 1946 y la Secretaría de Agricultura y Recursos Hidráulicos en 1976. la misión de la Comisión Nacional del Agua consiste en administrar y preservar las aguas nacionales. Dentro de las instituciones que le antecedieron destacan la Dirección de Aguas.

Baja California). Tamaulipas). concertar con los organismos financieros nacionales e internacionales los créditos que requiere el Sector Hidráulico. opera el servicio meteorológico nacional. Morelos) IV. Las regiones y sus sedes son: I. Oficinas Centrales también establece la política de recaudación y fiscalización en materia de derechos de agua y permisos de descargas. VI. Yucatán). Golfo Centro (Jalapa. integrar el presupuesto de la institución y vigilar su aplicación. Chiapas). Organismos de Cuenca. Distrito Federal). Lerma Santiago Pacífico (Guadalajara. Jalisco). Península de Baja California (Mexicali. Direcciones Locales La sede de Oficinas Centrales está en la ciudad de México y dentro de sus acciones principales se encuentran: apoyar a los Organismos de Cuenca y Direcciones Locales en la realización de las acciones necesarias para lograr el uso sustentable del agua en cada región del país. Cuencas Centrales del Norte (Torreón. Península de Yucatán (Mérida. Pacífico Sur (Oaxaca. mantiene una sólida y fructífera relación con el H. la Comisión se divide operativamente en tres grandes áreas: 1. III. 67 . coordina las modificaciones que se requieran a la Ley de Aguas Nacionales y apoya su aplicación en el país. VIII. Río Bravo (Monterrey. Veracruz). establecer la política y estrategias hidráulicas nacionales. Congreso de la Unión. X. atiende a los medios de comunicación nacionales y se vincula con las dependencias federales para trabajar en forma conjunta en acciones que beneficien al Sector Hidráulico. establecer los programas para apoyar a los municipios en el suministro de los servicios de agua potable y saneamiento en las ciudades y comunidades rurales y para promover el uso eficiente del agua en el riego y la industria. 3. XI. XII. Noroeste (Hermosillo. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Para cumplir con su propósito esencial. Aguas del Valle de México y Sistema Cutzamala (México. Coahuila). Oficinas Centrales 2. Oaxaca) V. IX. Frontera Sur (Tuxtla Gutiérrez. elabora las normas en materia hidráulica. Sonora). VII. II. Los Organismos de Cuenca son las responsables de administrar y preservar las aguas nacionales en cada una de las trece regiones hidrológico-administrativas en que se ha dividido el país. Nuevo León). Golfo Norte (Ciudad Victoria. Balsas (Cuernavaca.

reconozca su valor estratégico. para lograr su uso sustentable. Promover la cultura del buen uso y preservación del agua. Para ello. Lograr el uso sustentable del agua. 6. la utilice de manera eficiente. Solucionar conflictos relacionados con el agua. 9. 5.1 MISIÓN DE LA EMPRESA "Administrar y preservar las aguas nacionales y sus bienes inherentes. Además. Operar la infraestructura estratégica. Por lo que se refiere a las Direcciones Locales. 10. programas y acciones de la Comisión en las entidades federativas que les corresponden 4. ya que tienen a su cargo aplicar la razón misma de ser de nuestra institución en cada región del país. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA El desempeño de los Organismos de Cuenca es también muy importante. 8. asignaciones y permisos. Prevenir los riesgos y atender los daños por inundaciones. con la corresponsabilidad de los tres órdenes de gobierno y la sociedad en general". éstas tienen la importante labor de aplicar las políticas. 12. VISIÓN DEL SECTOR HIDRÁULICO "Una nación que cuente con agua en cantidad y calidad suficiente. 7. 3. 68 . Orientar los nuevos polos de desarrollo.2 VISIÓN DE LA EMPRESA "Ser autoridad con calidad técnica y promotor de la participación de la sociedad y de los órdenes de gobierno en la gestión integrada del recurso hídrico y sus bienes públicos inherentes". y proteja los cuerpos de agua. Asegurar la preservación de los acuíferos. realizan las siguientes tareas básicas: 1. Otorgar concesiones. los Organismos de Cuenca son el vínculo con los Gobernadores de las entidades donde se ubican. estrategias. Prevenir los riesgos y atender los efectos por condiciones severas de escasez de agua. para garantizar un desarrollo sustentable y preservar el medio ambiente". 11. Determinar la disponibilidad del agua 2. Garantizar la calidad del agua superficial. 4. 4. Llevar a cabo la recaudación en materia de aguas nacionales y sus bienes.

digitalización y georeferenciación para la actualización ubicación validación e informe de las características de cada una de las instalaciones hidráulicas en el país.3 ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE PRESAS 4. verificar y autorizar la información de cada una de las obras de captación y control de agua del país. Es un factor importante tener información consistente y actualizada para cada una de las instalaciones hidráulicas. Esta ocasiona que los datos generados puedan tener un alto margen de error y que el proceso de captura. validación y publicación sea complejo y lento con información muy inconsistente de las características de las presas en México. 69 . 4.3. La gerencia realiza un proceso exhaustivo para recopilar. cuenta con una herramienta la cual les permite informar y actualizar cada uno de los registros de la información que se deriva de las inspecciones que se realizan periódicamente a cada una de las presas del país.1 Antecedentes La Gerencia del Consultivo Técnico de la Comisión Nacional del Agua.2 Descripción del Servicio El Sistema de Seguridad de Presas considera un tablero de visualización con Georeferenciación. en cual. No se contaba con un sistema integral de administración de información. digitalización de doctos e imágenes o fotografías y conectividad al sistema de administración de seguridad de presas para la explotación de información en diferentes bases cartográficas. de tal manera que se puedan generar informes con características generales de cada una de las presas en México. 4.4 PROBLEMÁTICA RESUELTA POR EL SISTEMA La Gerencia del Consultivo Técnico de la CNA. así como para actualizar los registros periódicamente a esas importantes instalaciones hidráulicas del país.3. para las necesidades actuales resulta insuficiente y obsoleto para ser consultado de manera amplia por todas las personas relacionadas en la CONAGUA con esa información. cuenta con un desarrollo previo de un Sistema de Seguridad de Presas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4.

acceso para actualización de información y datos técnicos más detallados. así como de los informes relacionados con las inspecciones periódicas. en base a perfiles definidos. además de poder georeferenciar a través de un tablero de control toda la información que se levanta en cada una de las obras de captación del México. contará con un sistema integral de administración de seguridad de presas para dar seguimientos online. Incluye presentación de datos sobre algunos mapas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Así mismo la herramienta anterior no contaba con la explotación de información en un sistema de georeferenciación. presentación y administración de los datos y generación de documentos índice para su consulta a través de la página web Intranet. El Sistema permite cargar información desde Organismos de Cuenca y Direcciones Locales de la CONAGUA a Oficinas Centrales para su análisis y si fuese el caso lleva a cabo la actualización y validación de manera controlada y clasificada. fotos y documentos generados. El sistema permite:  Simplificar el levantamiento de información  Mejorar la calidad de información 70 . 4. la cual nos permita ubicar a través de cartografía cada una de las presas en México. de tal manera que tiene la flexibilidad de poder operar con cualquier base de datos cartográfica.6 ALCANCE DEL SISTEMA El Sistema de Seguridad de Presas. que se pueda acceder a nivel Nacional a través de la Red de la CONAGUA en donde se puedan tener los datos técnicos y características técnicas. diferentes tipos de archivos e información general y que permite. carga. 4. Permitirá la realización de consultas estadísticas de las obras y la emisión de reportes de informes. fotos.5 OBJETIVO DEL SISTEMA La Gerencia del Consultivo Técnico de la CNA. El Sistema de Seguridad de Presas se desarrolla en ambiente web-enable. A través de Intranet se tiene acceso a gráficas. es un sistema de recopilación. El tablero de control permite interactuar con cualquier sistema cartográfico tanto gratuito como licenciado. de modo que facilita el análisis de los datos para que el personal encargado de la seguridad de presas tenga disponible de manera más ágil la información para la toma de decisiones.

Por ejemplo.8 CARACTERÍSTICAS PRINCIPALES Para administrar la información de cada una de las presas en México. Una sola Base de Datos de Información centralizada para todos los Organismos de Cuenca. para tomar las credenciales y perfil del usuario (Figura 4. contiene la siguiente estructura (Anexo 1): 1) El Acceso al sistema es a través del Directorio Activo de red CONAGUA.doc” se requiere contar con la herramienta de MS Word. Cabe señalar. Direcciones Locales y Oficinas Centrales para un control efectivo de la información. o captura de presas.) Impresión de Reportes Generales y de Estadísticas específicas Consultas dinámicas que permite identificar las situaciones actuales de las diferentes Presas Acceso al Sistema desde cualquier punto de la INTRANET Disminuir el tiempo para la búsqueda de información Visibilidad de la información acorde a los perfiles de usuarios establecidos Soporta cualquier formato de documento electrónico.1) 71 . Diversos avisos vía correo electrónico (recordatorio de nuevas modificaciones.7 BENEFICIOS Contar con un Sistema de Seguridad de Presas permite la administración y control de los registros de inspecciones y desahogos de los mismos. al adjuntar archivos a un informe de presa. etc. si adjunto un archivo con extensión “. Cuenta con un tablero de visualización con capacidad de georeferenciación. 4. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA  Disminuir tiempo de procesos y de operación  Minimizar el tiempo de validación  Información en línea 4. que el archivo adjunto sólo podrá ser visualizado si se cuenta con la herramienta origen con la que fue creado.

72 . (Ver módulo de perfiles) 5) Acceso vía navegador Internet (compatible con Internet Explorer 6. así como poder exportarlo para su uso en herramientas como procesadores de textos u hojas de cálculo. gif. Las búsquedas también pueden realizarse desde el módulo de georeferenciación. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 2) Pantallas de búsqueda de cualquier información que se capture en el sistema en forma ordenada y clasificada. diferentes tipos de archivos digitales para el informe de cada presa. Los tipos de archivos serán: fotos estandarizadas formato ". txt.. Tipo de material. Municipio. Coordenadas Geográficas (Latitud y Longitud).  Usuario de Captura: Captura de información de la presa. 7) Perfil de usuarios:  Usuario de Consulta: Solo consultará cierta información.2) Se toman en cuenta. quien controla cualquier modificación. (Figura 4. Todos los de office.Generación de Reportes. wmf y video. Cuenca. excepto Power Point.(Figura 4. permitiendo acceso a través de Intranet. Nombre Común. Corriente.3) 4) Estadísticas y gráficas. registro de inspecciones. Organismo de Cuenca. los siguientes campos: Nombre Oficial. Capacidades de Almacenamiento. Altura de Cortina. misma que será definida por el Administrador del Sistema. El resultado de la búsqueda puede ser utilizado para realizar las diferentes acciones identificadas por el usuario. Región Hidrológica. 6) Monitoreo de alertas para indicar la modificación de cada presa solo al usuario Administrador. así como filtros para facilitar la búsqueda. tif. jpg. rtf. Intervalo de fechas de inspección.  Usuario de Supervisor. 3) Funcionalidad de ADJUNTAR a cada registro. tiff. Estado. Tipo de Cortina. jpeg. generación de reportes sobre inspecciones. entre otros.0 y posteriores). Estadísticas y visualizar el detalle de información de cada presa.jpg" archivos desde 0 hasta 500 Kb. esta funcionalidad considera los esquemas de seguridad establecidos para cada usuario únicamente teniendo acceso a la información según su perfil. emf. modificación de informes. fotos o imágenes a detalle con un tamaño de 150 hasta 5000 Kb (5Mg) pdf.

txt) Video (avi. bajas y cambios en catálogos. jpeg. Se cuenta con 63 tablas 4. 8) Además contempla la migración de la información del Sistema de Presas a SQL Server 2005 ya que se tenía anteriormente en Access 2003. Actualización de datos generados por cada inspección realizada.5) 11)Contiene procedimientos simplificados para los usuarios con perfiles definidos e integra información al Sistema de Seguridad de Presas. altas.9. por lo que la información no es consistente. Dichas inspecciones se realizan de forma periódica. imágenes y video. cambios.9 BASE DE DATOS: La base de datos contiene un número aproximado de 5000 registros. doc. xlsx. asignación de permisos y roles.1 VINCULACIÓN Y CLASIFICACIÓN DE ARCHIVOS. docx. Se cuenta con diferentes tipos de documentación digitalizada. xls. (El uso de esta información se determina de acuerdo a los perfiles del usuario) Gráficos (jpg. 12)Información que se va generando a través de las inspecciones realizadas a las presas. altas. listado de catálogos. bajas. 10)El sistema contempla los históricos de registros y archivos vinculados. 9) Dentro de la migración se toma en cuenta la asociación o vinculación de los archivos con los que se contaban anteriormente.(Figura 4. así como la comparación de información en diferentes tiempos.Acceso a Catálogos que se definan.. ewf. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA  Usuario de Administrador. En el sistema se tomó en cuenta la siguiente información: 4. tif. estos pueden ser documentos de tipo texto. mwf) Documentos (pdf. rtf. no es una base de datos normalizada. se tienen algunos catálogos. el sistema contempla la clasificación de estos además permite la visualización de los mismos. misma que se vincula de manera clasificada para un mejor manejo de información. con la supervisión del Administrador del Sistema. wmv) 73 . generación de reportes.4 y Figura 4.

 Selección de puntos de interés.9.3 FORMATOS Para Registro de Presas De inspección de Presas 4.6 SERVICIOS Manuales Tablero de Visualización.5 MÓDULOS Consulta Georeferenciación Inspección Reportes 4. etc.  Movilidad del plano cartográfico en 2D y 3D en pantalla. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4. búsqueda y consulta de información)  Herramientas de reporteo en pantalla o archivo (formato PDF. Excel. Georeferenciación y Estadísticas El sistema contempla las siguientes características:  Visualizador “Stand-Alone” adaptado a la funcionalidad definida en el análisis de requerimientos gráficos del visualizador para mostrar imágenes 3D  Visualizador web adaptado a la funcionalidad definida en el análisis de requerimientos para mostrar imágenes satelitales o aéreas 2D  Herramientas de comparación entre diferentes visualizadores cartográficos.4 SEGURIDAD Acceso al sistema (Directorio activo) Perfiles Administrador Administrador Local Captura (Inspecciones) Consulta de datos generales (Usuario CNA) 4. (eliminación. rutas especiales.2 REPORTES Grandes Presas Datos Generales de Presa De impresión de Presas Reportes Estadísticos (3) Reportador dinámico 4.9. 74 .).9. codificación. referencias geográficas.9.9.

10 CONSIDERACIONES GENERALES Capacidad de consulta. Genera un módulo de elaboración de documentos que puede ser transformado de manera automática en un documento digital “imprimible” pero que la información 75 . Estructura herramientas de consulta que permite comparar información estadística entre dos o más elementos identificados geográficamente (comparar tamaño.  Manejo de cualquier base de datos cartográfica gratuita o licenciada  Georeferencia (Ubicación de información. Genera un módulo de administración que permita validar firmas. figuras 3D. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA  Activación de opciones de video. etc. 4. polígonos. autorizaciones y aprobaciones de actualización de la base de datos según el tipo de usuario cualquier modificación a los registros o elementos asociados al sistema.  Generación de llamadas de información o mapas para relacionar con datos. imágenes específicas o de movimiento virtual  Herramientas de consulta de datos para cruce de información estadística  Generación de llamadas de datos hacia mapas. Genera un módulo de administración de usuarios que permite limitar la visualización. longitud. fotografías o formatos asociados con uno o varios registros. consulta y/o modificación de registros de la base de datos. imágenes o simbología en cartografía)  Controles de búsqueda de información  Controles Estadísticos y Diagramas Gráficos. campos e información asociada a la base de datos. Genera una herramienta que permite administrar información de la base de datos para altas. visualización o procesamiento de la información contenida en una o más bases de datos con el objeto de aprovechar los datos actualmente disponibles. Estructura un tablero que permite la visualización geográfica de elementos asociando información estadística contenida en la base de datos.  El sistema deberá tener la capacidad de conectarse con diferentes bases de datos cartográficas sean gratuita o licenciadas y la información asociada con los diferentes visualizadores.) Genera una herramienta que permite realizar altas bajas y cambios de las tablas. bajas y cambios de documentos digitalizados. capacidad.

diferenciando sistemas hidrológicos. La solución de visualización considera que el usuario puede consultar a través de una página web. La solución de visualización considera herramientas de medición lineal. de tal forma que al consultar la información del sistema integral de administración de seguridad de presas. 76 . red interna o a través de una desktop la información desplegada en pantalla. Debe estar vinculado el sistema con el tablero de visualización. áreas de alto riesgo o inundación. por ejemplo. El desarrollo considera las licencias necesarias para su desarrollo y mantenimiento y de ser posible evita el pago recurrente de las mismas por parte de CONAGUA. El sistema permite la captura de información a través de catálogos (en su caso) que a su vez carga la información existente contenida en la base de datos. Este desarrollo considera la convertibilidad de cualquier información cartográfica disponible en CONAGUA hacia otro sistema cartográfico o la posibilidad de obtener bases de cartografía para complementar dicha información. poligonal o de superficies considerando algoritmos que calculen las variaciones del contorno geográfico o curvas de la superficie que son sujetas de medición. Considera un total de 20 capas. El sistema permite interactuar con Google Earth versión gratuita de manera directa. o agregar en un futuro nuevos elementos hidrológicos de la base de datos. se visualiza cualquier presa y su información relevante. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA contenida actualice a su vez la base de datos con el objeto de duplicar la alimentación de información. El desarrollo considera la posibilidad de obtener información estadística de una o varias bases de datos ya sea de orden público o privado según el usuario y considerar que CONAGUA pueda modificar en un futuro el tipo de base de datos utilizada. De ser posible el visualizador puede mostrar las variaciones de altimetría presentes en la superficie geográfica y visualización de un terreno seleccionado en 3D. La solución de visualización considera la posible alternancia de la base cartográfica ya sea a través de gráficos de dominio público (sin costo) o privada (Contratada o disponible por el usuario) ofreciendo la factibilidad de seleccionar la base cartográfica a nivel de “botón” por el usuario. La solución de visualización puede identificar mediante el uso de herramientas de acceso a la base de datos identificar por “capas” diferentes elementos o características en la cartográfica.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

Las pantallas de búsqueda consideran entre sus datos llave el campo de ID de la
presa, además de los ya solicitados en el presente documento.

El prestador de servicios realiza el diseño de la base de datos juntamente con la
Gerencia del Consultivo Técnico de la CONAGUA y la Gerencia de Informática y
Telecomunicaciones.

La Comisión Nacional del Agua a través de la Gerencia del Consultivo Técnico
entrega al prestador de servicios el Diccionario de Datos correspondiente del
sistema actual con los catálogos, diccionario que el prestador de servicios deberá
de completar a partir de los requerimientos solicitados por la CONAGUA para el
sistema a ser desarrollado.

4.11 CARACTERÍSTICAS TÉCNICAS

Manejador de base de satos SQL Server 2005 o superior, tecnología .net,
Plataforma Windows Server 2003.

El sistema está desarrollado en VB. NET 2005 a 32 bits con el Framework 2.0 o
superior y debe utilizar IIS 6.0 o superior como servidor Web.

Deberá ser instalado en el sistema operativo Windows Advanced Server 2003.

El sistema debe ser desarrollado en tecnología Web con una Base de Datos
centralizada, no se aceptara ningún modulo Cliente-Servidor.

Las licencias de SQL Server 2005 y Windows Server 2003 para el servidor en
producción serán provistos por la CONAGUA, cualquier licencia diferente a las
anteriores será responsabilidad del prestador de servicios y deberá proporcionar a
la CONAGUA una licencia corporativa de uso sin costo adicional.

4.12 AUDITORÍA EN LA BASE DE DATOS DEL SISTEMA DE
SEGURIDAD DE PRESAS

4.12.1 Aspectos generales de su elaboración

4.12.2 Objetivo

Auditar la Base de Datos de la aplicación de “Sistema de Seguridad de Presas”
bajo la metodología de COBIT

77

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

4.12.3 Objetivos específicos

 Comprobar que se cumplan los controles de acceso a la base de datos.
 Realizar la auditoria de acuerdo a las buenas prácticas.
 Aplicar herramientas de seguridad que nos ayuden a evaluar el sistema.
 Verificar la seguridad entorno de la Base de Datos.

4.13 PROBLEMÁTICA

Dentro de la política de la empresa, señala que se debió realizar después de la
implementación, algún proceso de auditoria a la aplicacion y dicho proceso no se
ha llevado a cabo para verificar si el sistema que se esta poniendo en marcha
cumple con los requerimientos de las mejores prácticas.

4.14 ALCANCE

Con la presente auditoria se pretende llevar a cabo un análisis de riesgos para el
“Sistema de Seguridad de Presas” de la CONAGUA que permita revisar la
aplicación apegándonos a la metodología de COBIT y la relación con la política de
la empresa.

Se auditarán los controles de la Base de datos de la aplicación “Sistema de
Seguridad de Presas”, se realizara un análisis de riesgos conforme a las buenas
practicas de la metodología COBIT, llevandose a cabo la revisión de los siguientes
Procesos(anexo):

 PO9 - Evaluar y administrar los riesgos de TI.
 AI2 - Adquirir y dar mantenimiento a software aplicativo.
 DS5 - Garantizar la seguridad de los sistemas.
 DS8 - Administración Mesa de servicio e incidentes.
 DS11 - Administrar datos.
 DS13 - Administrar operaciones.

Con el fin de facilitar a quienes lo precisen, respuestas a consultas de la
información almacenada en el “Sistema de Seguridad de Presas”. A su vez
generar un informe que facilite el análisis de datos para que el personal encargado
de la seguridad de presas tenga disponibilidad confiabilidad e integridad de a
información para una mejor toma de decisiones.

4.15 JUSTIFICACIÓN

Debido a que el “sistema de seguridad de presas” se implementó por primera vez
el 1º de marzo de 2010 en la CONAGUA, es necesario llevar a cabo el proceso de
78

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

auditoria para minimizar los riesgos de que la aplicación no funcione
adecuadamente y determinar si cumple con las buenas prácticas.

Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que
surgieran en la aplicación, de esta forma, ayudar a que la aplicación opere de
forma eficiente, tomando como referencia COBIT para elaboración del checklist.

4.16 PLANEACIÓN

Durante la planeación de la auditoria a la base de datos del sistema de seguridad
de presas se tomaron diversos aspectos en consideración, ya que una mala
planeación de la auditoria podría causar retrasos, olvidos, y no se podría dar un
seguimiento lógico y constante. La fase de la planeación consta de diversas partes
en las cuales se detallan cada uno de los procedimientos y pasos a seguir dentro
de la auditoria.

Como primera instancia se reunió el equipo auditor para definir y delimitar la
auditoria, con esto se lograría solo enfocarse a la base de datos y no involucrar
otras aéreas o procedimientos que no estuvieran justificados y además que
causaran el retraso de algunas actividades, en base a esto se desarrollo una lista
de puntos específicos donde se quedaran por escrito cada una de las tareas a
realizar, considerando como primer paso la solicitud de la Estructura
Organizacional (Anexo 2) Con lo anterior se desarrollo un cronograma de
actividades, elaborado en Microsoft Project 2003, en el cual se detalla el inicio,
ejecución y fin de cada actividad.

Una vez terminado el cronograma se asigno las tareas y días correspondientes a
cada integrante del equipo registrándose en el mismo. Así se aseguro que cada
día se realizara una tarea diferente y no hubiera complicaciones, malentendidos o
traslapes en actividades.

Una vez realizado lo anterior el equipo se dispone a hacer las entrevistas con el
personal del área encargada, se le entrega un oficio indicando lo anteriormente
señalado y la carta de aceptación para la realización de la auditoria, esto es para
darle formalidad, cumplimiento a lo establecido y no haya malentendidos con la
empresa.

Para esto se realizo un diagrama a bloques ordenando los siguientes puntos
(Anexo 3) y que más adelante se detallan:

 Entrevista
 Checklist
 Oficio de Requerimientos
 Hallazgos

79

se llevo a cabo la entrega del Oficio del Plan de auditoría (Anexo 5). el cual contendrá en un aspecto más detallado las actividades a realizar. documentación requerida. CARTA DE ACEPTACIÓN: Carta en la cual se da la autorización para realizar la auditoria. se llevan a cabo las actividades correspondientes a las entrevistas. objetivo y alcance de la auditoria. un cronograma de actividades en el cual se observan los tiempos de inicio.18 PRESENTACIÓN DE ACTIVIDADES Y OBJETIVOS. redacción formal pidiendo la aceptación del proyecto y por ultimo nombre y firma 80 . están todas las actividades relacionadas con la ejecución de la auditoria a la base de datos. fin del proyecto y de cada actividad correspondiente dentro del mismo. se describen los hallazgos encontrados las vulnerabilidades y se realiza el análisis de riesgos. Por último la Presentación del informe ejecutivo. reuniones y aceptación. nombre de la persona que va a dar la autorización y su cargo. Planeación y programa de trabajo. Especificando los siguientes puntos: Persona a quien va dirigida el oficio. El cronograma se dividió en 5 actividades principales: Estudio general de la empresa. numero y fecha de la auditoria que será realizada. Realización de la auditoria.17 CRONOGRAMA DE ACTIVIDADES Durante la planeación de la auditoria se desarrollo. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA  Pruebas  Análisis de Riesgos 4. Una vez realizadas las entrevistas y previa aceptación de la auditoria. permisos. la asignación de actividades. fecha de elaboración. personas que participaran en la auditoria. dirección y área dentro de la empresa donde se llevara a cabo la auditoria y por último se anexa el plan de auditoría que comprende las actividades. donde se describen los impactos y las recomendaciones para minimizar los riesgos encontrados. 4. Evaluación de la auditoria. tiempo y ejecución de las mismas. Indicando. donde se recopila información que nos ayude a comprender mejor el funcionamiento y procesos de la empresa. ejecución. así mismo incluye un apartado en donde se indica el nombre de la persona que realizó la actividad y una gráfica de Gantt que describe todo el proceso (Anexo 4).

Checklist. es una de las más importantes para llevar a cabo la auditoria. Esto fue para una mayor comprensión y un mejor resultado en el informe final.19. Carta de requerimientos. 4. Este actividad. las cuales nos proporcionaron la información necesaria para llevar a cabo dicha auditoria. Dentro de la ejecución de la auditoria a la base de datos se contemplaron diversos puntos realizados sucesivamente. 2. Hallazgos. comprensión y profesionalismo. ya que aplicándolo nos mostrara una visión más detallada de 81 . para tener los permisos necesarios para tener acceso a la base de datos. 4. Análisis de riesgos. 5. en cada uno de ellos se describe detalladamente lo que se realizo dentro de la auditoria y el significado del por qué se opto por seguir ese camino. ya que todas dependían de los resultados de la o las actividades anteriores. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA de la persona que solicita la aceptación (Anexo 6 con relación del equipo responsable de la auditoría). Como se menciona anteriormente. 4. de a cuerdo a el cronograma de actividades..1 Aspectos generales de su elaboración Para esta etapa de la auditoria se ocuparon diversos formatos para darle una mejor presentación. Pruebas y 6. Checklist. realizar las pruebas pertinentes en el sistema y documentación requerida para realizarla. Entrevistas. ya que se describe a manera de detalle cada aspecto de lo que se realizo siguiendo el cronograma de actividades. 2. la ejecución de la auditoria a la base de datos del sistema seguridad de presas de la CONAGUA consta de seis actividades principales. La ejecución requirió seis etapas: 1. 3.en esta parte se tienen entrevistas formales con la gente encargada tanto del sistema como del área a la que pertenece. Entrevistas.19 EJECUCIÓN DE LA AUDITORÍA. que se describen a continuación de forma cronológica: 1. esto con el fin de tener una visión más clara de nuestra auditoria.

las pruebas son necesarias ya que nos indican si lo que se encontró en el checklist realmente se está cumpliendo. Este punto es explicado con más detalle en el punto 4. como responsables de la auditoria tener bien claro los documentos. si se quiere realizar una auditoría más profunda donde ningún punto quede sin verificar. darle una prioridad alta para que en un plazo menor a 3 meses fueran resueltos. 4. según se considere necesario y el activo que se auditara. Es otra de las fases más importantes de la auditoria. que se expongan y que se de la solución apropiada y la más acertada. Este se compone por un titulo. Análisis de riesgos. Esta actividad puede o no puede realizarse. (Anexo 9). 6. sin este paso no tendríamos nada que evaluar y no se detectarían los problemas. que es la ejecución. con esto se logra que se encuentren a tiempo las vulnerabilidades. 3. Oficio de requerimientos. manuales y todo aquel escrito de forma física o lógica que nos permitiera la comprensión de la situación actual y que al mismo tiempo nos diera la posibilidad de recomendar las mejores prácticas para el buen funcionamiento del sistema. amenazas y riegos.22. sin embargo. Hallazgos. Los hallazgos son resultado de haber realizado correctamente un buen checklist. tener la información correcta. 82 . políticas. Esta es la última parte de nuestra actividad principal. roles y permisos de los usuarios que accedían a ella (Anexo 8) 5. Este documento fue realizado una vez terminado el checklist y el cronograma de actividades para poder nosotros. se encontraron 11 riesgos de los cuales ocho eran sumamente importante el atenderlos o. en esta actividad solo realizamos dos pruebas (query) para comprobar los tipos de cuenta de la base de datos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA cómo se encuentra el activo que se auditará. Esto se explicara más adelante. haber hecho las pruebas pertinentes y por último y lo más importante haber realizado un análisis de riesgos que nos permitiera identificar claramente lo que debemos atacar o corregir. una breve introducción seguida de la documentación requerida y por ultimo nombre y firma del quien solicita la información (Anexo 7). fecha de realización. Se explicara más adelante En esta actividad se recopilo información del análisis de riesgos y en conjunto con las pruebas se demostró que cumplía con algunos aspectos de seguridad pero sin llegar a las mejores prácticas de COBIT. Pruebas. es la base de nuestros hallazgos y recomendaciones. persona y cargo a quien va dirigido y nos va a proporcionar dicha información. por lo menos.

3) 6. que es una posible solución al problema. (DS5. Se detectó que no cuentan con un plan de contingencia. (DS5. a fin de asegurar que únicamente existan los autorizados con los privilegios apropiados.11) 83 . No se cuenta con un protocolo específico para el envío de la información. se identifican las causas. cada hallazgo pasa por un proceso de reconocimiento y análisis. perjudicando la integridad.2 ) 5. (DS5. (DS5.4) 2.3) 7. Se identificó que debido a que el sistema es reciente no se han llevado a cabo análisis de riesgos y pueden existir posibles fallos. vulnerabilidades.2) 4.9) 11. Los passwords de usuarios no son seguros debido a que se asignan igual que el nombre del usuario. también se identifica el impacto.6) 9. Asimismo se observó que no contemplan un almacenamiento del registro de accesos no se ha hecho una revisión de los usuarios y privilegios definidos en las aplicaciones. No se respaldan archivos logs en la Base de datos. Identificamos cuentas activas que ya no laboran en CONAGUA. En nuestra auditoria encontramos los siguientes hallazgos: 1. No se notifica al personal de modificaciones en el sistema. detección de amenazas y vulnerabilidades no contempladas en su BD. (DS5. con esto se asegura que se tengan bien presentes todos los puntos que tuvieran un gran impacto o que interfirieran con las actividades diarias del sistema. por lo tanto y por lógica los riesgos se transforman en 11 hallazgos los cuales se plasman en un formato indicando el riesgo y que objetivo de control no se está cumpliendo. Existen 2 cuentas en esta situación. (DS5. confiabilidad e integridad del sistema (P09. riesgos y cualquier otra anomalía que haya sido detectada en el análisis de riesgos. que son las amenazas de cada riesgo.2) 3. (DS5. El software de la base de datos no es actualizado. este último se llena al final de la auditoria en la actividad de recomendaciones. Nuestro análisis de riesgos detecto 11 riesgos. No se notifican incidencias de seguridad.20 HALLAZGOS Esta actividad tiene como objetivo principal el dar a conocer los errores. Las contraseñas de los usuarios no están fuertemente cifradas.8) 10. (DS5. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4. (DS5.4) 8. que es el riesgo ocasionado por el hallazgo y por último la recomendación. (DS5.

el checklist es una de las actividades más importantes de la auditoria. NO APLICA (en caso de que no estuviera dentro de contexto la pregunta) En donde se responderían cada una de las preguntas según fuera el caso y por ultimo una columna de observaciones (Anexo 10). 3. logrando que se siguiera por el camino de las buenas prácticas de COBIT. Proceso del dominio. en donde realizamos 7 columnas en el siguiente orden: 1. a manera de lista se fueron revisando los cuatro dominios y de ahí solos se tomaron los procesos con sus respectivos objetivos de control que cubrieran los aspectos que pretendíamos evaluar y que a nuestra consideración. el equipo auditor entrevisto al encargado del sistema aplicando el checklist. Con un total de 55 preguntas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 4.21 ANÁLISIS DE RIESGOS (CHECKLIST) Como ya se mencionó anteriormente. 2. SI 2. NO 3. Dominio de COBIT. podrían darnos información relevante y nos permitirían tener una visión del sistema y sus problemas con mayor detalle. Checklist (realizado con objetivos de control de cada proceso de COBIT).7) 84 . ya que de este depende que se realice de forma correcta el análisis de riesgos. El checklist elaborado por el equipo auditor partía de manera muy precisa de los puntos señalados en el alcance. quedando graficado y detallado de la siguiente manera (Anexo 11 Figura 4. Nuestro checklist lo creamos en Microsoft Excel. Las siguientes 3 columnas de: 1.

Para mayor comodidad.1 Porcentajes Checklist A pesar de que nuestro resultado fue positivo ya que la mayoría de las preguntas son afirmativas. cuáles eran regulares y cuales tenían un impacto negativo al sistema.09 TOTAL 100. Dentro del análisis de riesgos también se hicieron observaciones para dar posibles soluciones a los riesgos encontrados. dentro del mismo checklist se hicieron nuevas columnas en donde se planteo y resolvió el Análisis de Riesgos. se realizó el mapa de riesgos para tener 85 . Negativas 11 No aplican 5 Porcentaje afirmativo 70.91 Porcentaje Negativo 20% 55 100% 11 20 Porcentaje no aplican 9. pero todo esto se detalla mejor en el cierre de la auditoria presentando las recomendaciones. En base a esto se fueron distinguiendo con una escala de colores de acuerdo a su nivel de riesgo.22 MAPA DE RIESGOS Una vez realizado nuestro análisis de riesgos. las resultantes negativas tenían un gran impacto en el sistema generando un riesgo muy grande dentro del sistema. nos concentramos en ver qué puntos del checklist eran buenos. 4. Dentro de esta actividad. y haber encontrado los puntos defectuosos en la actividad hallazgos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Total de preguntas 55 Resp Afirmativas 39 Resp.00% Tabla 4.09% 55 100% 5 9. Se realizaron las observaciones correspondientes a los 11 riesgos encontrados describiendo la causa del riesgo y su impacto dentro del sistema en caso de que no fuera atendido .91% 55 100% 39 70.

24 MODELO DE MADUREZ Como ya se ha explicado con anterioridad. la segunda consta de una tabla de tres columnas en las cuales se describe el objetivo de control a evaluar. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA una idea mejor de las condiciones del sistema. Recomendaciones. Así sabríamos que riesgo estaba en el cuadrante y que tanto podría afectar al sistema.23 CIERRE DE LA AUDITORÍA En la última parte de la auditoria. Cada una de las actividades mencionadas se detallara mejor más adelante. Se hizo un esquema que se divide en cuatro cuadrantes y en donde se representan los riesgos encontrados esquematizados con círculos numerados de acuerdo a la consideración del equipo auditor. Mapa de Riesgos. 4. se encuentran establecidos los hallazgos encontrados dentro de un cuadrante que refleja el impacto y ocurrencia de cada riesgo. dándole una ponderación según lo establecido en dicho modelo. el proceso que se va a evaluar y por ultimo su objetivo del proceso. Dentro de nuestro cierre de auditoría para mayor comprensión se dividió en cuatro actividades: Modelo de Madurez. el Modelo de Madurez de COBIT es un conjunto de métricas que determinan que tan estructurado tiene una empresa sus procesos y políticas dentro del ámbito de TI. Se agregó un cuadro con las leyendas de la numeración de cada circulo (Anexo 12 Figura 4. se empezarán a plasmar todos los resultados obtenidos tanto del análisis de riesgos como de la actividad “hallazgos”.9). que el alcance fuera el correcto y que la justificación fuera completa. Nuestro modelo de madurez se baso en los objetivos de control DS5. El formato está compuesto por 2 partes: la primera se encuentra el nombre del dominio donde pertenece el proceso. logrando que la auditoria sea comprendida. en donde nos muestra a los hallazgos encontrados clasificados según su impacto y ocurrencia. seguido por la columna de 86 . son los resultados de la ponderación realizada por el equipo auditor según dicho modelo. DS8 y DS13 ya que son los procesos que mas giran en torno a nuestra auditoria. para darnos una idea de lo que significaba cada circulo. Para esta actividad se diseño un formato especial en donde se puede evaluar cada objetivo de control. 4. en esta actividad se presentan cada uno de los hallazgos encontrados con su causa e impacto y se le sugiere una recomendación o una posible solución para mitigar el riesgo.

8) en donde se representan todos los objetivos de control evaluados. tomando en cuenta la importancia y riesgos del mal funcionamiento del Sistema de Seguridad de Presas.2) 3. Almacenar y realizar copias de seguridad utilizar el programa mysqldump o el script mysqlhotcopy script. impacto y por supuesto la recomendación. puesto. Reunirse con el personal de la Gerencia de Informática y Telecomunicaciones para concretar e implementar un plan de contingencia que asegure la continuidad en las operaciones así como los procedimientos a realizar en un posible desastre o sabotaje.4 ) 2. como ya se dijo anteriormente. Después de la auditoria en curso. (DS5. Establecer políticas de seguridad en los password (no aceptar password con relación al nombre. las que el equipo auditor fueron: 1. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA pruebas que no es más que la actividad que se realizo para evaluar ese objetivo y por último la ponderación según el Modelo de Madurez (Anexo 13) En base a lo anterior se elaboro una grafica (Anexo 14 Figura 4. no arrojar USUARIOS_PASSWORD y si es necesaria dicha consulta solicitar contraseña de administrador. función o área del usuario. (Anexo 15) Para nuestra auditoria se hicieron 11 recomendaciones para cubrir cada uno de los riesgos encontrados. Se debe de tener una restricción en la consulta del campo Password Al realizar el query SELECT * FROM USUARIOS.3) 87 . logrando así graficar el nivel de Madurez del sistema. dándoles una posible solución. cambios y nuevos procedimientos para asegurar el cumplimiento de los cambios realizados a las políticas o en su defecto ligar con el Sistema de Control de Gestión para monitorear los acuses de recibo. se llenó el mismo formato en el cual están juntos hallazgos. para mejor comprensión se integro la leyenda de cómo se establecen los parámetros del modelo. recomendamos realizar diversas valoraciones periódicamente (cada 6 meses).2 ) 5.2) 4.25 RECOMENDACIONES Para las recomendaciones. (P09. 4. causa. (DS5. (DS5. Nombrar a una persona encargada de boletinar los acontecimientos. (DS5.

6) 9. TSL y HTTPS que son protocolos usados en la actualidad. Realizar Oficio de consideración y autorización en el Programa Anual 2011 para la compra de software adicional y actualizaciones.) de acuerdo a su puesto y funciones y principalmente almacenarlos y modificarlos por un periodo definido. así como la buena propaganda de la cultura de los passwords seguros. Proponer un protocolo de fallo que asegure la información dentro del desastre y un procedimiento para reportar y reparar el mismo. (DS5. Realizar un procedimiento o minuta para que todo movimiento de personal involucrado en el acceso al sistema sea notificado y/o bloqueado por los administradores del sistema. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 6.11) 88 . modificación. Implementar un Protocolo seguro para la transmisión de datos como son los SSH. (DS5. (DS5.9) 11. (DS5.3) 7. (DS5. Definir los privilegios requeridos y autorizados a asignar a los usuarios (lectura. Crear y difundir el procedimiento en donde se haga conciencia a los empleados al presentarse un problema en el sistema. etc. a fin de asegurar que se encuentran activos y con los privilegios que les corresponden únicamente usuarios autorizados. SSL. (DS5. Contar con un sistema y una metodología de cifrado de contraseñas.4) 8.8) 10.

89 .  Algunas políticas de seguridad están alineadas con la política de seguridad de TI  Las responsabilidades de la seguridad de TI están asignadas y entendidas. adaptabilidad a los diferentes procesos. mayor comunicación. pero no continuamente implementadas. Podemos concluir que el proceso está definido y el contacto con métodos para promover la conciencia de la seguridad es obligatorio por lo tanto la información debe ser correctamente gestionada. contando así con flexibilidad en sus procedimientos. estandarización y control de datos.  Existe capacitación en seguridad para TI pero se programa y se comunica de manera informal. y garantía en cuanto a la seguridad en su información. Esta propuesta aportará considerables beneficios a la Gerencia de Informática y Telecomunicaciones.  La seguridad de TI es vista primordialmente con responsabilidad y disciplina pero la institución no lo ve como parte importante de sus propios objetivos. para que tengan en cuenta una base de conocimiento que pueda retroalimentar el buen funcionamiento de la base de datos en el sistema de “Seguridad de Presas”. disponibilidad y confidencialidad tanto de los datos como de los procesos. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA CONCLUSIONES Durante el desarrollo de la auditoría concluimos que existe conciencia sobre la seguridad y ésta es promovida por la Gerencia aunque esté un poco fraccionada y limitada en cuanto al control de accesos. se tendrá que tomar en cuenta las medidas correctivas antes observadas para que la responsabilidad sea conjunta de la institución y sus objetivos optimizados con las mejores prácticas. asimismo. controlada y asegurada por medio de controles que prevengan la ocurrencia de situaciones de riesgo para la organización y que a su vez asegure su integridad.

1 Inicio Sistema de Seguridad de Presas 90 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXOS ANEXO 1 Figura 4.

2 Búsqueda de Presas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 4.3 Archivos para validar. Sistema de Seguridad de Presas 91 . Sistema de Seguridad de Presas Figura 4.

4 Listados de Verificación. Sistema de Seguridad de Presas Figura 4. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Figura 4.5 Búsqueda Listado de Verificación 92 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 2 ESTRUCTURA OCUPACIONAL SUBDIRECCIÓN GENERAL DE ADMINISTRACIÓN. GERENCIA DE INFORMÁTICA Y TELECOMUNICACIONES 93 .

6 Ejecución de la auditoría 94 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 3 Figura 4.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 4 CRONOGRAMA DE ACTIVIDADES 95 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 5 96 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 97 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 6 98 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 99 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 7 100 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 8 101 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 102 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 9 HALLAZGOS 103 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 104 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 105 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 106 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA RECOMENDACIÓN 107 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Realizar Oficio de consideración y autorización en el Programa Anual 2011 para la compra de software adicional y actualizaciones 108 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 10 109 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 110 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 111 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 112 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 11 Figura 4.7 Gráfica de Riesgos 113 .

9 Mapa de Riesgos 114 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 12 Figura 4.

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 13 115 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 116 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 117 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 118 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 119 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA 120 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 14 Figura 4.8 Modelo de Madurez 121 .

ALCANCE y CRITERIOS DE AUDITORIA. Delegación Coyoacán México D. Servicios: Administrar y preservar las aguas nacionales No de empleados: 13600 empleados totales de la Comision Nacional del agua. bajo la metodología de COBIT Confirmar que el sistema de seguridad de presas en su base de datos que cumple con lo requerido por la metodología aplicada COBIT Problemática Dentro de la política de la empresa. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ANEXO 15 INFORME DE AUDITORIA SISTEMA DE SEGURIDAD DE PRESAS METODOLOGÍA COBIT 1. PROBLEMÁTICA. 2416 Colonia Copilco el bajo CP.0 DATOS GENERALES DE LA ORGANIZACIÓN Nombre: Comisión Nacional del Agua Dirección:Insurgentes Sur. ARCADIO GARCÍA GIRON SUBDIRECTOR ADMINISTRATIVO “A” RESPONSABLE DE SISTEMA DE SEGURIDAD DE PRESAS 2.F.0 OBJETIVO.04340. Los objetivos de esta auditoria fueron: Auditar la base de datos de la aplicación del “sistema de seguridad de presas”. No. con : 3Subgerencia de Seguridad de Presas y 3 en Subgerencia de Sistemas Representantes de la organización auditada: ING. se debió realizar después de la implementación algún proceso de auditoria al mismo y dicho proceso no se ha llevado a cabo 122 .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

INFORME DE AUDITORIA
SISTEMA DE SEGURIDAD DE PRESAS
METODOLOGÍA COBIT

Alcance:

Con la presente auditoria se pretende llevar a cabo un análisis de riesgos para el
“Sistema de Seguridad de Presas” de la CONAGUA que permita revisar la aplicación
apegándonos a la metodología de COBIT y la relación con la política de la empresa.

Con el fin de facilitar a quienes lo precisen, respuestas a consultas de la información
almacenada en el “Sistema de Seguridad de Presas”. A su vez generar un informe que
facilite el análisis de datos para que el personal encargado de la seguridad de presas
tenga disponibilidad confiabilidad e integridad de a información para una mejor toma de
decisiones

Como criterios de auditoria se han definido los siguientes documentos:

1) Metodología COBIT.

2) Documentación del sistema de Seguridad de Presas otorgado por el área de
sistemas de la institución

Justificación

Debido a que el “sistema de seguridad de presas” se implementó por primera vez el 1º
de marzo de 2010 en la CONAGUA, es necesario llevar a cabo el proceso de auditoria
para minimizar los riesgos de que la aplicación no funcione adecuadamente y
determinar si cumple con las buenas prácticas.

Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que
surgieran en la aplicación, de esta forma, ayudar a que la aplicación opere de forma
eficiente basándonos en la metodología PRIMA y tomando como referencia COBIT
para elaboración del cheklist.

123

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

INFORME DE AUDITORIA
SISTEMA DE SEGURIDAD DE PRESAS
METODOLOGÍA COBIT

Equipo de auditores

Nombre Iniciales

1 Judith Yañez Morales JYM

2 Elena Torres Flores ETF

3 Yazmín Mosqueda Jaramillo YMJ

4 Efrén Ramírez Aguilar ERA

5 José Luis Tapia Martínez JTM

LISTA DE DISTRIBUCIÓN DEL INFORME

Original ING. Arcadio García Giron

Copia Ing. Rodrigo Murillo Fernández

3.0 CONCLUSIONES DE LA AUDITORIA
Concluimos que existe conciencia sobre la seguridad y ésta es promovida por la
gerencia aunque esta sea un poco fraccionada y limitada en cuanto al control de
accesos.

 Algunas políticas de seguridad están alineadas con la política de seguridad de TI

 Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero
no continuamente implementadas.

124

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA

 Existe capacitación en seguridad para TI pero se programa y se comunica de
manera informal.

 La seguridad de TI es vista primordialmente con responsabilidad y disciplina pero
la institución no lo ve como parte importante de sus propios objetivos.

Podemos concluir que el proceso está definido y el contacto con métodos para
promover la conciencia de la seguridad es obligatorio por lo tanto se tendrá que tomar
en cuenta las medidas correctivas antes observadas para que la responsabilidad sea
conjunta de la institución y sus objetivos optimizados con las mejores prácticas.

3.1 FORTALEZAS

 Apoyo logistico
 Disponibilidad del personal de la Institución
 Programa presupuestal de alto indice economico
 Infraestructura de alta calidad

3.2 DEBILIDADES

 La no comprensión por parte de los usuarios de la política corporativa de SGSI.
 Falta de concienciación con respecto a la importancia de la confidencialidad del
password.
 Los passwords no consideran 8 caracteres, mayúsculas, minúsculas y
caracteres especiales.

3.3 SUGERENCIAS POR PARTE DEL EQUIPO AUDITOR

 Dar una mayor difusión a la Política Corporativa de Seguridad de la Información.
Asegurarse que la información que se está transmitiendo sea clara. Difundir
información que involucra la participación del usuario.
 Corroborar que se hayan dado de baja las cuentas de correo electrónico
solicitadas a sistemas centrales e incluir las bajas de todas las cuentas de las
aplicaciones que el usuario utilizaba.
 Concientizar a los usuarios para que utilicen el bloqueo de equipo cuando están
fuera de su lugar de trabajo.

125

  No se cuenta con una no  vulnerabilidades  del  Planeación y  usando métodos cualitativos y cuantitativos. confiabilidad  de  la  determinar de forma individual. Al no llevar una   comunicación apropiada Las políticas y procedimientos de hacia los miembros de TI. Plan de seguridad de TI de sus operaciones si llegará a tener una pérdida Entrega  total o parcial de No se cuenta con un Plan Trasladar los requerimientos de negocio.  El sistema se encuentra susceptible a la continuidad DS5. por categoría  información  y con base en el portafolio. Administración de Identidades No cuentan con un registro y  de identidades del usuario Asegurar que todos los usuarios (internos. externos en un repositorio Soporte  y temporales) y su actividad en sistemas de TI 126 . Entrega  DS5. sistema  perjudicando  la  Organización  ni una relación con la La  probabilidad  e  impacto  asociados  a  los  evaluación de los riesgos integridad  y  riesgos  inherentes  y  residuales  se  debe  de TI. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA HALLAZGOS ENCONTRADOS CONFORME A LA METODOLOGÍA COBIT Descripción del Proceso del Domino del Domino  del  COBIT Hallazgo encontrado Rieso presentado COBIT  PO9. Comunicar las políticas y procedimientos de puede provocar una   seguridad no son seguridad a los interesados y a los usuarios. Soporte  infraestructura de TI y cultura de la seguridad. Evaluación de Riesgos de TI  Posibles  fallas  y  no  Evaluar de forma recurrente la probabilidad e    detección de amenazas y  impacto  de  todos  los  riesgos  identificados. riesgos y de contingencia información por un desastre y  cumplimiento dentro de un plan de seguridad de TI natural o un sabotaje completo. teniendo en consideración la interno o externo. comunicados con inestabilidad en flujo de frecuencia trabajo de las operaciones del sistema.2.   auditoría previa al sistema.

para las bajas del personal permitido al área y alterar o emisión. Permitir que el administración de cuentas usuario se identifique a través de mecanismos de dadas de baja del personal almacenamiento de con un autenticación que no labora en la registro de las identidades institución del usuario pueden Confirmar que los permisos de acceso al usuario al provocar una alteración en sistema y los datos están en línea con las la base de datos al no tener necesidades del negocio y documentadas . establecidos los tipos de acceso para cada usuario. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central Entrega  DS5. suspensión.4 Administración de cuentas de usuario Al mantener activas y  cuentas de usuario pueden No cuentan con una existir una suplantación de Soporte  administración de cuentas identidades del personal no Garantizar que la solicitud. desarrollo y mantenimiento) deben ser No cuentan con una Al no contar con el identificables de manera única. Verificar que los derechos al acceso a los usuarios sean solicitadas por la gerencia y aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. modificación y cierre de que no labora en la   robar información cuentas de usuarios y de los privilegios institución importante.9 Prevención. establecimiento. entorno de TI. relacionados. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA (aplicación de negocio. Detección y Corrección de Entrega  Software Malicioso No cuentan con un El riesgo que se presenta al actualizaciones en la base no actualizar ocasiona un y  de datos mal funcionamiento en los Medidas preventivas. detectivas y correctivas ( en procesos de captura y Soporte  especial contar con parches de seguridad y almacenamiento   control de virus actualizados en toda la provocando inestabilidad organización para proteger los sistemas de la en el sistema. operación de   sistemas. información y a la tecnología contra malware 127 . sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuarios   DS5.

F. D.10 Seguridad en la red El riesgo es la intrusión de y  No cuentan con un control hackers. Atentamente Nombre Firma  Judith Oralia Yañez Morales Irais Elena Torres Flores Yazmín Mosqueda Jaramillo Efrén Ramírez Aguilar José Luis Tapia Martínez 128 . AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA   Entrega  DS5. spywares. a 21 de Agosto del 2010. México. Uso de técnicas de seguridad y procedimientos de en la habilitación o malwares que provoquen administración asociados con firewalls. segmentación de redes y detección que dan salida a la red pérdidas de información   de intrusos para autorizar el acceso y controlar los relevante para la institución flujos de información desde y hacia las redes. dispositivos inhabilitación de los puertos daño irreparables o Soporte  de seguridad. phising.

 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 31  Figura 3.12 Metas y Métricas DS11 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 63  Figura 3.1. Fases de la auditoría.1 Inicio Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 90  Figura 4. Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 92  Figura 4.5 Búsqueda Listado de Verificación ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 92  Figura 4.3 Archivos para validar. Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 91  Figura 4.2 Áreas Focales del Gobierno de TI ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 40  Figura 3.13 Metas y Métricas DS13 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 65  Figura 4.6 Ejecución de la auditoría ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 94  Figura 4.6 Representación gráfica de modelos de madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 49  Figura 3.9 Mapa de Riesgos ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 114  Figura 4.1 Preguntas frecuentes ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 39  Figura 3.4 Principio Básico ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 43  Figura 3.9 Marco de trabajo General de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 55  Figura 3. Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 91  Figura 4. Arquitectura de un Sistema Gestor de Bases de Datos.11Metas y métricas DS8‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 62  Figura 3.2 Búsqueda de Presas.7 Las tres dimensiones de la madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 51  Figura 3. ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 16  Figura 2. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ÍNDICE DE FIGURAS Figura 1.7 Gráfica de Riesgos ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 113  Figura 4.1.5 Definiendo metas de TI y arquitectura empresarial para TI ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 44  Figura 3.DS5 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 59  Figura 3.3 Productos de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 40  Figura 3.4 Listados de Verificación.8 Modelo de Madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 121  129 .10 Metas y Métricas.8 El cubo de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 54  Figura 3.

.. 85  130 ....... 14  Tabla 1.........3 Restricciones de Integridad .................................4 Referencias ................................1 Restricciones de Integridad .............................................................................................................................................................................................. 53  Tabla 4.......1 Porcentajes Checklist ...........................................3 Comparación Control Interno y Auditoría Informática ............................2 Restricciones de Integridad .....................2 Clases de auditoría............................................................ 28  Tabla 3...................... 27  Tabla 2......1 Evolución de la Práctica de auditoria ................................. .............................................................. 19  Tabla 2........................................................................................... AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA ÍNDICE DE TABLAS Tabla 1.............................................................. 13  Tabla 1.... 28  Tabla 2..............1 Atributos de madurez ............................................ 27  Tabla 2...........

Continuidad . todos se concentran en los aspectos de recuperación de la continuidad.Mapa de rutas tecnológicas orientada al negocio para el logro de las metas y objetivos de negocio.Prevenir. Los términos planear la reanudación del negocio. Confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. planear la recuperación después de un desastre y planear contingencias también se pueden usar en este contexto. Confiabilidad significa proporcionar la información apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.Una persona o una entidad externa o interna que recibe los servicios empresariales de TI COBIT . provista por procesos claramente definidos usando sus recursos (aplicaciones. infraestructura y personas).es el proceso de recoger. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA GLOSARIO Atributos de madurez: lista de las características de cómo se administran los procesos de TI y describe cómo evolucionan desde un proceso no existente hasta uno optimizado Arquitectura de TI .Respuesta en la entrega de TI.Un marco integrado para evolucionar o dar mantenimiento a la TI existente y adquirir nueva TI para alcanzar las metas estratégicas y de negocio de la empresa. agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial. 131 .listado que se utiliza para identificar información específica que se requiere para completar la descripción de un problema.Control Objective for Information Technology es hoy reconocido mundialmente como un marco de referencia para la implementación de un mejor gobierno o gestión de TI. expresada como modelos de madurez. Cliente . Arquitectura empresarial . Arquitectura empresarial para TI . mantiene la integridad de los datos. mitigar y recuperarse de una interrupción. derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software Checklist . Auditoria informática . información. lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos Benchmarking de la capacidad de los procesos de TI.

practicas y estructuras organizacionales diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y los eventos no deseados serán prevenidos o detectados Control aplicativo. errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un proceso o producto final. Efectividad . Cumplimiento tiene que ver con acatar aquellas leyes. 132 .consiste en que la información sea generada optimizando los recursos (más productivo y económico).Un control interno que se usa para prevenir eventos indeseables. Eficiencia . procedimientos.Las políticas. criterios de negocios impuestos externamente.Un conjunto de meta-datos que contiene definiciones y representaciones de elementos de datos. Dominio. consistente y utilizable.Un control que se usa para identificar eventos indeseables Control Interno. así como políticas internas.tiene que ver con que la información sea relevante y pertinente a los procesos del negocio. También concierne con la protección de los recursos y las capacidades necesarias asociadas.Un conjunto de controles integrados dentro de las soluciones automatizadas (aplicaciones). un control lógico o físico diseñado para brindar protección contra la entrada o el uso no autorizados. de acuerdo a la organización. Diccionario de datos .Agrupación de objetivos de control en etapas lógicas en el ciclo de vida de inversión en TI.El proceso que limita y controla el acceso a los recursos de un sistema computacional. es decir. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Control . Disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. correcta. reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios. practicas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos Control preventivo .Las políticas. y se proporcione de una manera oportuna. Control de accesos. procedimientos. Control de detección .

ISO 9001:2000 . Integridad está relacionada con la precisión y completitud de la información.Cualquier evento que no sea parte de la operación estándar de un servicio que ocasione. al alcanzar las metas y objetivos deseados Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño. las cuales son convenientes para ayudarles a evaluar y mejorarla madurez de su proceso de desarrollo de software. 133 . una interrupción o una reducción de la calidad de ese servicio (alineado a ITIL).Un plan a largo plazo.Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso. ISO 17799 . ej.Un estándar para medir el desempeño contra la meta. así como con su validez de acuerdo a los valores y expectativas del negocio. con un horizonte de tres a cinco años. Madurez . es un modelo utilizado por muchas organizaciones para identificar las mejores prácticas. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Incidente . o pueda ocasionar. en el cual la gerencia del negocio y de TI describen de forma cooperativa cómo los recursos de TI contribuirán a los objetivos estratégicos empresariales (metas) Modelo de Madurez: es un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información Modelo de madurez de la capacidad (CMM) .Un conjunto de lineamientos sobre la administración y procuración de servicios operativos de TI.Librería de Infraestructura de TI de la Oficina de Gobierno Gubernamental del Reino Unido (OGC). del Instituto de Ingeniería de Software (SEI). basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton Metas de actividades para controlar estos procesos. Plan estratégico de TI .La tecnología. Infraestructura . los recursos humanos y las instalaciones que permiten el procesamiento de las aplicaciones.Código de práctica para la administración de la calidad de la Organización internacional ITIL .El modelo de madurez de la capacidad para software (CMM). con base en los objetivos de control detallados de COBIT Métrica ..Código de práctica para la administración de la seguridad de la información de la Organización Internacional para la Estandarización (ISO).

haciendo que estén de acuerdo a la filosofía. una forma establecida de hacer las cosas. un conjunto de procedimientos influenciados por las políticas y estándares de la organización. incluyendo a otros procesos.Un programa que procesa. incluyendo otros procesos. Programa aplicativo . que tienen la 134 . que traduzca la dirección del plan estratégico de TI en las iniciativas requeridas. para los clientes de los procesos. Además del contenido de la política.Una agrupación estructurada de proyectos independientes que incluye el alcance completo del negocio. el control y la organización de un proyecto Problema . y genera salidas. ej.Por lo general. de las personas.Mecanismo clave de control que apoya el logro de los objetivos de control por medio del uso responsable de recursos. un documento que ofrece un principio de alto nivel o una estrategia a seguir. Proceso . de la tecnología y las actividades organizacionales que se requieren (tanto necesarias como suficientes) para lograr un resultado de negocios claramente especificado. por lo general gerentes o directores. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA Plan de infraestructura tecnológica . que toma las entradas provenientes de un número de fuentes.Por lo general. garantizando un enfoque consistente y repetitivo hacia las actividades. Los procesos tienen razones claras de negocio para existir. manipula las entradas. esta debe describir las consecuencias de la falta de cumplimiento de la misma.Causa subyacente desconocida de uno o más incidentes Procedimiento . una serie de pasos que se siguen en un orden regular definido.Proyectos en un ambiente controlado. así como los medios para medir el desempeño.Individuos. Plan táctico de TI . la administración apropiada de los riesgos y la alineación de TI con el negocio PRINCE2 .. Práctica de control . El propósito de una política es influenciar y guiar la toma de decisiones presente y futura. el mecanismo para manejo de excepciones y la manera en que se verificará y medirá el cumplimiento de la política. un método de administración de proyectos que cubre la administración. del proceso. roles claros y responsabilidades alrededor de la ejecución del proceso. con un horizonte de seis a dieciocho meses.Un plan para el mantenimiento y desarrollo de la infraestructura tecnológica. Programa . requisitos de recursos y formas en las que los recursos y los beneficios serán supervisados y administrados Política .Un plan a mediano plazo. objetivos y planes estratégicos establecidos por los equipos gerenciales de la empresa. propietarios responsables.Una descripción de una manera particular de lograr algo. Propietarios de datos .

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA responsabilidad de la integridad.Tecnología de información. el uso y el reporte preciso de los datos computarizados.conjunto de procesos definidos con claridad que utiliza las habilidades de las personas. aunque no suficiente para lograr un resultado de negocios requerido) con base en un calendario y presupuesto acordado.El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos para ocasionar pérdida y/o daño a los activos.Organización externa que presta servicios a la organización. 135 . Proyecto .Un conjunto estructurado de actividades relacionadas con la entrega de una capacidad definida a la organización (la cual es necesaria. Proveedor de servicios . Usuario . TI .Una persona que utiliza los sistemas empresariales. Recursos TI . Por lo general se mide por medio de una combinación del impacto y la probabilidad de ocurrencia. y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio Riesgo .

 Comité Directivo de CobiT/ISACA  http://www.datasec. Picard. McGraw-Hill. M.com.asp  http://dialnet. AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE “SEGURIDAD DE PRESAS” CONAGUA BIBLIOGRAFÍA  Expansión.  Piattini. Auditoría Informática: un enfoque práctico.es/servlet/articulo?codigo=2938827  http://www.uy/ oxely-coso. Marshal. 1997. Mario y Emilio del Peso. Ra-Ma.isaca.org/Knowledge-Center/COBIT/Pages/Overview..isaca. Editorial RA-MA.mx  http://www. Auditoría Informática. Auditoría y Seguridad Informática.0 de IT Governance Institute. 1990. John Y. Tomos II-IV.pdf 136 .  Piattini.w3schools.unirioja. 1996. E.aspx  http://www.org.  Govindan. Control Interno. Manifest on Information Systems Control and Management. Un enfoque práctico. Del Peso.  COBIT 4.com/sql/default.