UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Informe de Auditoría de TI

Dr. Carlos Pastor Carrasco

 INDICE
1. Definición
2. Características del Informe de Auditoría de Sistemas
3. Procedimientos para elaborar el Informe de Auditoría
de Sistemas.
4. Estructura del Informa de Auditoría de Sistemas

2 24/08/2020
 1.- Definición

24/08/2020 3
 1.- Definición
• Medio formal para comunicar:
• Objetivos de la Auditoría,
• Cuerpo de las normas de Auditoría,
• Alcance de la Auditoría, y
• Hallazgos y conclusiones.

4 24/08/2020
 El Informe de Auditoría
Refleja:
• Objetivos,
• Alcances,
• Observaciones,
• Recomendaciones, y
• Conclusiones
del proceso de evaluación relacionados con
las áreas de informática.
5 24/08/2020
 El Informe de Auditoría
En cumplimiento de las funciones del ente auditor, y según lo
establecido en la documentación pertinente a cumplirse, debe
tenerse en cuenta los principios de control interno, para llevar a cabo
el seguimiento y evaluación, como:
- Objetivo
- Alcance
- Metodología

6 24/08/2020
 OBJETIVOS

OBJETIVO GENERAL:
- Verificar que las funciones sirven de apoyo a las TI, se realizan con
regularidad de forma ordenada y satisfacen los requisitos
empresariales.
- Verificar si satisfacen las necesidades de los usuarios.

7 24/08/2020
 OBJETIVO ESPECÍFICOS
1. Objetivo de control sobre manuales de las instrucciones y sobre
los procedimientos de explotación.
2. Objetivo de control sobre el inicio de los procesos y otra
documentación de funcionamiento.
3. Objetivo de control sobre la agenda de trabajo.
4. Objetivo de control sobre las salidas fuera del horario normal de
trabajo.
5. Objetivo de control sobre la continuidad en el proceso.
6. Objetivo de control sobre los diarios de explotación (Operations
Logs)
7. Objetivo de control sobre la explotación remota.

8 24/08/2020
 1.- Objetivo de control sobre manuales de las
instrucciones y sobre los procedimientos de explotación.
El servicio de información ha establecido y ha documentado
procedimientos normalizados para la explotación de la Tecnologías de
la Información. Todas las soluciones y las plataformas de las
tecnologías de la información instaladas son operativas utilizando
esos procedimientos.

Los procedimientos se revisan de manera periódica para asegurarse

de que son efectivos y que se ajustan a los establecido.

9 24/08/2020
 2.- Objetivo de control sobre el inicio de los procesos y
otra documentación de funcionamiento
La documentación del servicio de información se ha asegurado de
que el personal de explotación:
- Está familiarizado suficientemente con los procesos que están
funcionando.
- Que estos procesos estén documentados adecuadamente.
- Que periódicamente se realizan pruebas y se ajustan si procede.

10 24/08/2020
 3.- Objetivo de control sobre la agenda de trabajo

La dirección del servicio de información se ha asegurado que la

agenda de trabajo, los procesos y las distintas tareas están
organizados con la secuencia más efectiva posible, maximizando su
utilización, y se alcanzan los objetivos establecidos.
Tanto la agenda inicial como las modificaciones que se han producido
han sido autorizadas al nivel de representatividad apropiado.

11 24/08/2020
 4.- Objetivo de control sobre las salidas fuera del
horario normal de trabajo.
Los procedimientos implantados identifican, aclaran y aprueban las
salidas fuera del horario normal.

12 24/08/2020
 5.- Objetivo de control sobre la continuidad en el
proceso
En los cambios de turno de los operadores, los procesos mantienen
su continuidad, siguiendo los protocolos establecidos para el relevo
de la actividad.

13 24/08/2020
 6.- Objetivo de control sobre los diarios de explotación
(Operations Logs)
Los controles de la dirección garantizan que se está guardando, en los
diarios de explotación, información cronológica suficiente como para
poder reconstruir, revisar en el momento oportuno y examinar las
secuencias del proceso y cualquier otra actividad relacionada y que
sirva de soporte al proceso en cuestión.

14 24/08/2020
 7.- Objetivo de control sobre la explotación remota

Para el caso de explotaciones remotas, se han definido y se han

implementado procedimientos concretos que dan seguridad de que
las conexiones y desconexiones con los equipos remotos se realizan
adecuadamente.

15 24/08/2020
 ALCANCE

De acuerdo al asunto a evaluar:

- Constatar las acciones tomadas.
- Mantener disponible y en funcionamiento eficiente cada
componente.

16 24/08/2020
 METODOLOGIA
En el proceso de consolidación de la información para
realizar el proceso de la auditoría se puede realizar
actividades como:
a. Inspección
b. Análisis
c. Visita
d. Observación
e. Confirmación
f. Revisión analítica

17 24/08/2020
 2.- Características del Informe de
Auditoría de Sistemas

24/08/2020 18
 2.- Características del Informe de
Auditoría de Sistemas …
ASPECTOS GENERALES: …
a. Debe ser Claro e indicar lo que se pretende.
b. Debe ser Adecuado.- El informe debe ser preciso.
c. Suficiente.- Abarca todo lo que se tiene que auditar.
d. Comprensible.- Presentar un lenguaje sencillo sin perder lo
técnico.
e. Separar lo significativo de lo no significativo.
f. Establecer debidamente la importancia y vinculación con el factor
de riesgo.

19 24/08/2020
 2.- Características del Informe de
Auditoría de Sistemas ..
ASPECTOS GENERALES:
g. El formato del Informe debe reflejar una presentación lógica
y organizada.
h. El informe debe incluir suficiente información para que sea
comprendido por los destinatarios esperados y facilitar las
acciones correctivas.

Nota:
- La evaluación de Auditoría, es una tarea eminentemente de
carácter profesional y ético, según el leal saber y entender del
Auditor Informático. No existe un formato específico.

20 24/08/2020
 A. Característica de fondo …
1. Que la información que contiene el documento sea veraz, confiable y
oportuna y sin distorsiones ni tendencias que demeriten el trabajo
realizado.

2. Que el uso de la terminología sea exacto y objetivo, para que se

entiendan e interpreten las desviaciones reportadas tal y como se
quisieron plasmar.

3. Que el contenido del informe sea congruente con lo observado, sin

inventar, distorsionar o modificar lo encontrado en la evaluación.

4. Que permita mostrar la situación real del área auditada, a fin de

identificar y solucionar lo encontrado en la evaluación.

21 24/08/2020
 A. Característica de fondo
5. Que permita mostrar, con su simple lectura, la situación real del
área auditada, a fin de solucionar la problemática señalada.

6. Que su contenido abarque todo lo que se debe informar del área

auditada, sin abundar en explicaciones inútiles, pero sin ser parco
en lo que se presenta.

7. Que el lector capte inmediatamente la problemática que reporta

el auditor, así como la opinión que plasma respecto al
funcionamiento del área de sistemas o de sistemas auditados.

22 24/08/2020
 B. Característica de forma
1. Que esté redactado en forma concisa, clara, sencilla y amena, sin
exceso de tecnicismo, pero sin omitirlos cuando sean necesarios,
a fin de que su lectura sea comprensible.
2. Que al redactarlo se eviten la redundancia, repeticiones y
reiteraciones inútiles que solo abultan y entorpecen la lectura.
3. Que la forma de presentar el informe sea profesional,
mecanografiado en forma impecable y con el contenido exacto
que debe este tipo de documentos.
4. Que su redacción sea impecable en cuanto ortografía y
puntuación
5. Que el contenido sea acorde a las necesidades y exigencias de la
empresa auditora.

23 24/08/2020
 Características de la Presentación del Informe

Característica del Informe de Auditoría

Claridad Exactitud
Confiabilidad Imparcialidad
Propiedad Objetividad
Concisión Congruencia
Sencillez Familiaridad
Asertividad Veracidad
Ilación Efectividad
Tono y fuerza Positividad
Oportunidad

24 24/08/2020
 Características Importantes Para el Lector del Informe
de Auditoria

Característica del Informe de Auditoría para el Lector

Que el informe tenga familiaridad. Que su redacción sea clara.

Que el contenido del informe sea coloquial. Que la información contenida sea
contundente.

Que el contenido del informe sea variado. Que este redactado en un estilo impersonal.

Que se entregue y comente oportunamente. Que su contenido esté sintetizado.

Que su lectura sea sencilla. Que su contenido sea ameno y entendible.

Que su contenido esté fundamentado. Que sea enfático en las situaciones

reportadas.

25 24/08/2020
3.- Procedimientos para elaborar el Informe
de Auditoría de Sistemas

24/08/2020 26
 3.- Procedimientos para elaborar el Informe de
Auditoría de Sistemas …
Viene ha ser el trabajo a realizarse para la auditoría:
a) Pruebas de cumplimiento:
1.- Comprobar que el personal de explotación conoce y comprende.
• Los procedimientos de explotación de los que son responsable.
• Las expectativas de funcionamiento, las normas de los proveedores, las normas
y los procedimientos de la empresa, y el nivel de servicio acordado que se vaya
a suministrar a los usuarios.
• Los planes de emergencia.
• Requisitos de los diarios de explotación y su revisión por parte de la dirección.
• Procedimientos para la solución de problemas.
• Las comunicaciones en los cambios de turno y las responsabilidades de cada
uno de los alumnos.
• La interacción de los equipos de proceso remoto con los equipos de proceso
central.

27 24/08/2020
 3.- Procedimientos para elaborar el Informe de
Auditoría de Sistemas …

b) Pruebas sustantivas

1. Revisar las estadísticas de explotación (equipo y personal) para determinar si

su uso es el adecuado; comparar con otras empresas similares, con las normas
de los proveedores, con normas internacionales apropiadas y con las prácticas
y las ratios de las mejores industrias.

2. Revisar una muestra representativa de los manuales del servicio de

información y determinar si cumplen con las normas y los procedimientos.

3. Examinar vía documentación sobre el inicio y terminación de los procesos

para confirmar que los procedimientos se someten a pruebas y que se
actualizan con periodicidad.

28 24/08/2020
 3.- Procedimientos para elaborar el Informe de
Auditoría de Sistemas …

b) Pruebas sustantivas

4. Examinar el horario de proceso para asegurarse de su adecuación y

suficiencia de funcionamiento con el programa.

5. Seleccionar una muestra de terminaciones anormales de los trabajos y

determinar la solución de los problemas que ocurrieron.

6. Identificar los cursos de formación práctica de los operadores, los cambios

de turnos y lo ocurrido con las vacaciones.

7. Identificar a los usuarios para determinar si el nivel de servicio es

satisfactorio.

29 24/08/2020
 3.- Procedimientos para elaborar el Informe de
Auditoría de Sistemas
b) Pruebas sustantivas

8. Seleccionar una muestra de los diarios de la consola para comprobar la

exactitud, tendencias en su funcionamiento y la revisión por parte de la
directiva de la resolución de problemas —evaluar el esquema de solución de
problemas donde sea aplicable.

9. Identificar los procedimientos de mantenimiento preventivo que se han

realizado en todos los equipos por sugerencia de los proveedores.

30 24/08/2020
 4.- Estructura del Informe de
Auditoría de Sistemas

24/08/2020 31
 4.- Estructura del Informe de Auditoría de Sistemas …

Hay varias formas de presentar el informe de auditoría de sistemas,

eso dependerá , de las preferencias de la empresa o del auditor que
realiza la auditoria.

Este es el documento final, de carácter formal, en el que se presentan

por escrito todos los aspectos importantes que fueron catalogados
como deficiencias de las operaciones auditadas, así como el
cumplimiento de las funciones y de los resultados obtenidos con las
actividades evaluadas durante la auditoria.

El auditor plasma su dictamen y opinión personal en este documento

y lo sustenta con documentos de apoyo y los papeles de trabajo en
los que va haciendo las anotaciones de las técnicas, métodos y
procedimientos que utilizo durante el desarrollo del trabajo.

32 24/08/2020
 4.- Estructura del Informe de Auditoría de Sistemas …

En el informe de auditoría, que es un documento en el que se hace la

presentación formal de los resultados obtenidos durante la auditoria,
debe contener como mínimo lo siguiente:

4.1. Oficio de Presentación

4.2. Introducción
4.3. Dictamen de la auditoria
4.4. Situaciones relevantes
4.5. Situaciones detectadas
4.6. Anexos
4.7. Confirmaciones en papeles de trabajo

33 24/08/2020
 4.1. Oficio de Presentación

Es la primera parte del informe de auditoría y es un documento de carácter

oficial que sirve de presentación del informe, mediante este documento se
pone a consideración de los directivos de la empresa el resultado de la
auditoría practicada al área de sistemas.
Puede Tener el oficio de presentación:
• Logotipo y nombre de la empresa
• Fecha de informe
• Funcionario que recibe el informe
• Empresa o área auditada
• Periodo de evaluación
• Contenido o cuerpo del oficio
• Responsable de emitir el informe
• Firma autógrafa del responsable

34 24/08/2020
 4.2. Introducción
Es la parte del informe donde el responsable de la auditoría hace la
presentación formal de su trabajo; en este apartado se manifiesta el
objetivo de la auditoría, las razones que motivaron a llevarla a cabo y,
si es el caso, los fundamentos que apoyen su realización, en algunas
ocasiones también se pueden indicar la metodología y las
herramientas utilizadas en la evaluación de los sistemas, aunque esto
último no es forzoso.
Puede contener:
o Aspectos generales
o Prólogo
o Objetivo
o Justificación

35 24/08/2020
 4.3. Dictamen de la auditoria
Ésta es la parte más importante de una auditoría de sistemas, es el
documento de carácter formal donde el auditor plasma su opinión
profesional respecto al comportamiento de los sistemas y debe
cumplir los siguientes requisitos:
Dictamen de la Auditoría
Logotipo de identificación Cronología de ocurrencia de las situaciones
que se reportan
Nombre de la empresa Áreas de trabajo o Áreas Administrativas
Fecha de emisión del dictamen Procedimiento de operación o actividad
Ejecutivo receptor del dictamen Simple listado sin ningún orden específico
Breve introducción al dictamen Dictamen y recomendación del auditor
Contenido del informe de auditoría, Responsable de emitir el dictamen
jerarquizando situaciones por importancia
de mayor a menor o de menor a mayor
36 24/08/2020
 4.4. Situaciones relevantes
Son formatos de presentación de los aspectos más relevantes y de
mayor peso encontrados durante la evaluación.

Parte fundamental del informe de auditoría son los formatos de

situaciones relevantes;" éstos son los documentos oficiales donde el
responsable de la auditoría reporta las desviaciones que, según su
criterio, son las más importantes encontradas durante el desarrollo
de la auditoría.

Estos formatos se anexan para posibles aclaraciones y consultas de

las desviaciones que se reportan en el dictamen; aunque, cabe
recordar, el auditor debió comentar este documento con los
directivos del área de sistemas, como indicamos al principio.

37 24/08/2020
 Formato de situaciones relevantes
Este documento es una réplica simplificada del formato anterior, sólo
que en éste únicamente se anotan las situaciones consideradas como
relevantes, resultado del análisis al documento anterior, es decir, sólo
se incluyen aquellas observaciones que a juicio del auditor o del
responsable de la auditoría son realmente importantes para el
desarrollo de las actividades del área de sistemas evaluada.

Debemos insistir que en este documento sólo se presentan las

situaciones más significativas detectadas durante la evaluación.

38 24/08/2020
 Formato de situaciones relevantes
a. Las situaciones relevantes, que son lo que más se destacó en el
documento anterior y que se determinó como lo más importante
de destacar, según las pruebas, procedimientos y técnicas
utilizados para hacer la evaluación.
b. Las causas, que son los motivos de las desviaciones.
c. Las posibles soluciones, que son las posibles soluciones para las
desviaciones.

39 24/08/2020
 4.5. Situaciones detectadas
Presentación de todas las desviaciones encontradas durante la
auditoria, con las causas reales que las provocaron y sus posibles
soluciones.

40 24/08/2020
 Formato de situaciones encontradas…
Este formato, en forma individual, tiene seis columnas básicas en las
que se anotan los siguientes asuntos:

1. La referencia: es un número consecutivo, combinado o marca

especial, mediante el cual se identifica la situación a tratar.

2. Las situaciones detectadas: específicamente, es la descripción de

lo que se encontró en un determinado punto de la evaluación,
según las pruebas, procedimientos o técnicas de evaluaciones
utilizadas para hacer la revisión; cada una de estas desviaciones
es parte importante del documento.

41 24/08/2020
 Formato de situaciones encontradas
3. Las causas: es la presentación de los motivos e imputaciones que
originaron la desviación y puede ser una sola causa o varias las que
ocasionaron esta desviación, todas se anotan, a criterio del auditor.

4. Las posibles soluciones: son sugerencias del auditado o del auditor para
solucionar las desviaciones reportadas. Casi siempre corresponde una
solución para cada una de las causas reportadas.

5. Fecha de compromiso: es el período o la fecha tentativa para implantar

la solución acordada. Se anota una fecha para cada solución propuesta.

6. Responsables de las soluciones: son los funcionarios, empleados o

cualquier persona responsable de implantar las soluciones. También se
acostumbra anotar un responsable por cada solución, aunque a veces
parezca repetirse el mismo responsable.

42 24/08/2020
 Contenido

24/08/2020 43
 CONTENIDO
Seguridad Física
Seguridad de Redes
Protocolos / Servicios
Seguridad del usuario
Almacenamiento de Datos de Seguridad
Contraseñas
Administración del sistema

44 24/08/2020
 SEGURIDAD FÍSICA
La seguridad física es la parte más importante del mantenimiento de
la seguridad de un sistema informático, y es a menudo pasada por
alto por los administradores de sistemas descuidados que asumen
que con echar de vez en cuando un vistazo rápido a los sistemas, es
protección suficiente.
Esto puede ser suficiente para algunos sistemas, pero en la mayoría
de los casos, hay más factores que deben ser considerados antes de
que un sistema puede darse por seguro físicamente.

45 24/08/2020
 SEGURIDAD FÍSICA
1. ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del
suelo posible?
2. ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o
temperaturas extremas de frío / calor?
3. ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado
y con poco tráfico humano?
4. ¿Está la sala / edificio en el que se encuentra el sistema securizado con una
cerradura o sistema de alarma para que sólo personal autorizado
acceda? ¿Están las puertas cerradas con llave y las alarmas activadas fuera de
horario de oficina?
5. ¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad
pase por el sistema y lo use (aunque sólo sea por unos segundos)? ¿Están
todos los usuarios desconectados del terminal?
6. ¿Están los interruptores del terminal bloqueados o protegidos?
7. ¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados:
unidades de disco bloqueadas / deshabilitadas? ¿Están los puertos paralelo /
serie / infrarrojo / USB / SCSI asegurados o deshabilitados? ¿Existen discos
duros conectados físicamente al sistema sin bloquear?

46 24/08/2020
 SEGURIDAD DE REDES
La seguridad de redes es la segunda parte más importante del
mantenimiento de unos sistemas seguros.
Si bien la seguridad física juega un papel importante, si opera en sus
sistemas en un entorno de red / multiusuario, el sistema es mucho
más susceptible a los ataques externos que un sistema autónomo.
La seguridad de la red también es más difícil de evaluar, ya que
requiere un conocimiento profundo de los diversos componentes y
capas de su sistema y todos los servicios externos que interactúan
con el sistema.

47 24/08/2020
 SEGURIDAD DE REDES
Red Física: ¿está la red segura sin peligro de conexión no autorizada? ¿Tiene sólo el
personal autorizado acceso a la red física a la que está conectado el sistema?
¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red
física / administrados por otra persona o entidad?
¿Están los otros sistemas de la misma red física y electrónicamente asegurados? Si
el sistema es razonablemente seguro, pero otro sistema de la red no lo es, la
vulnerabilidad de su sistema se aumenta en gran medida.
Tráfico de red aprobado:
• ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en
su sistema que participa en cualquier actividad de la red? ¿Ha comprobado que no
existan parches de seguridad del software y recibe regularmente las actualizaciones de
seguridad / vulnerabilidades del software que utiliza en la red?
• ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que
por defecto no proporcionan a algún usuario no autorizado información de seguridad que
se podría utilizar para atacar el sistema?
• ¿Se limitan las capacidades de los usuarios para que la información sensible sobre el
sistema no esté disponible en la red?
• ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios
autorizados?
• ¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa
con otros?

48 24/08/2020
 SEGURIDAD DE REDES
• ¿Mantiene suficientes registros (logs) de la actividad de red aprobada?
• ¿Conoce todo el software que puede interactuar con la red, los números de
puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?
• ¿Se cambian las contraseñas de las cuentas de usuario de la red con
regularidad?
• ¿Se cifran los datos confidenciales que se transfieren a través de la red?
Tráfico de red no aprobado:
• ¿Suele buscar intentos repetidos de conexión no autorizados para
conectarse a su sistema a través de una red? ¿Mantiene registros
suficientes de toda la actividad de red relacionada con su sistema?
• ¿Suele comprobar si los programas no autorizados que se ejecutan en su
sistema que potencialmente podría permitir a un usuario conectarse a
través de la red?
• ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que
llega a su sistema?

49 24/08/2020
 PROTOCOLOS / SERVICIOS
Una vez auditadas las capas físicas y de red de su sistema, la siguiente
categoría es quizás uno de los más complejas.
Los computadores están hechos para calcular y, dependiendo del
propósito de su sistema, se va a ejecutar diferente software y
programas en cualquier momento.
Es probable que en la mayoría de los casos, ya que todo el software
fue desarrollado por diferentes personas con diferentes concepciones
de la seguridad (y porque siempre hay gente que sabe más acerca de
la seguridad), al menos uno de esos programas tiene algún tipo de
problema de seguridad que podría ser explotado.

50 24/08/2020
• Se asume que un nuevo sistema es razonablemente seguro,
siempre se debe consultar con los desarrolladores de software
sobre parches de seguridad, notas de versión y otra información
relevante para su configuración particular.
• Asegúrese de que está plenamente seguro de las credenciales del
desarrollador, todos los parches de seguridad, vulnerabilidades
existentes y notas de la versión que existen.
• Consultar a los desarrolladores periódicamente para comprobar
que no existan nuevos lanzamientos que puedan tener parches de
seguridad.
• Suscribirse a los boletines de noticias de su software, o listas de
correo generales, que puedan anunciar agujeros de seguridad
pronto.

51 24/08/2020
• Una configuración errónea es probablemente la causa más común de
que alguien explote un agujero de seguridad.
• Siempre siga las instrucciones del proveedor para la instalación de
software y siempre tome apuntes sobre cualquier problema que
encuentre en el proceso de configuración.
• Si un programa requiere privilegios especiales para instalarse o ejecutar
(por ejemplo, ejecutarse como administrador en Windows ), asegúrese
de entender todas las implicaciones de tener que hacerlo y los posibles
efectos secundarios creado en el proceso.
• Comprobar la configuración del software a fondo, tratar de romperla,
trata de introducirse en ella (hackear), y ver si los demás pueden hacer lo
mismo.
• Si un programa tiene acceso a datos sensibles, asegurarse de que sólo
puede ser ejecutado por usuarios autorizados, y asegúrese de que los
registros y la información que se almacena temporalmente, sea en un
lugar seguro y decida rápido donde. Alguna gente puede hacer cosas
asombrosas con la información que se encuentra en un archivo de
registro del sistema.

52 24/08/2020
• Si un programa se ejecuta como un daemon (demonio) (es decir,
está en constante funcionamiento y responde a las peticiones de
los usuarios a nivel local o en la red), asegúrese de que maneja
correctamente desbordamientos de búfer, ataques de denegación
de servicio y de sobrecarga general del sistema.
• Esté al tanto de todos los servicios que se supone que deben estar
en ejecución en el sistema, la cantidad típica de los recursos (CPU
por ejemplo, tiempo, memoria, espacio en disco) que ocupan.
• Compruebe si los demonios no identificables o software, o
programas que no son habituales en su consumo de recursos.
• A menos que tenga cuidado, un intruso puede manipular el
sistema a su antojo y no notar nada fuera de lo común.
• Haga un recuento de los procesos para realizar un seguimiento de
los patrones típicos de uso de software de los usuarios.

53 24/08/2020
 SEGURIDAD DE USUARIO
Las particularidades de la seguridad de los usuario varía mucho
dependiendo del sistema que se esté usando.
En algunos casos, el sistema será una máquina aislada, realizando
principalmente las funciones del servidor con muy pocos usuarios
que realmente inicien sesión y usen directamente el sistema, por
consiguiente los usuarios interactúan con las funciones del servidor.
En otros casos, un sistema puede tener cientos de usuarios
accediendo directamente al sistema de forma simultánea.
El grado en el que la seguridad del usuario es una inquietud depende
en gran medida de la tipología de sus usuarios, pero tenga en cuenta
que un usuario que intente violar la seguridad, o que tenga malas
prácticas de seguridad, puede afectar y posiblemente poner en
peligro todo el sistema.

54 24/08/2020
 SEGURIDAD DE USUARIO
Desarrolle un método estándar para la creación y mantenimiento de
cuentas de usuario.
Desarrollar políticas aceptables de uso claras y concisas, y
comunicarlo así a los usuarios.
No crear cuentas de usuario para personas u organizaciones con
quienes no ha interactuado de alguna forma, o que han sido
conocidos por tener problemas de seguridad en otros sistemas.
Debe fijar límites a la cantidad de recursos que un usuario puede
consumir, desde el número de inicios de sesión a la cantidad de
espacio en disco.

55 24/08/2020
 SEGURIDAD DE USUARIO
Limitar la forma en que un usuario puede conectarse a la red, si usted está
proporcionando un inicio de sesión de terminal, asegúrese de que el propio
terminal sea seguro y es mantenido.
Si usted proporciona acceso directo a través de protocolos como telnet,
considere ejecutar servicios como tcp_wrappers o identd para verificar que
el usuario se conecta desde el sistema que dicen estar usando.
Mantener registros detallados de la actividad del usuario, en concreto, la
hora de conexión, la duración y el lugar desde donde ha entrado en el. En
algunos casos es posible que desee registrar con más detalle con el
recuento de procesos, historial de comandos de usuario y control de la
actividad.
Debe revisar periódicamente la actividad inusual del usuario, hay muchos
programas disponibles que constantemente revisan los intentos fallidos por
parte de los usuarios de obtener permisos de administrador, acceder a
archivos que no deben, o realizar otras tareas no autorizadas.

56 24/08/2020
 ALMACENAMIENTO DE DATOS DE
SEGURIDAD
Los datos y almacenamiento de archivos, al principio, no parece
presentarse como un riesgo de seguridad, ya sea las personas tengan
acceso a los archivos o no!
En realidad, resulta que hay muchas formas y complicado acceder a
los mismos datos en un sistema dado, y un buen administrador de
sistemas deben ser conscientes de estos esquemas.

57 24/08/2020
 ALMACENAMIENTO DE DATOS DE
SEGURIDAD
Conozca el esquema de propiedad de los archivos que el sistema
implementa, ¿por eso el grupo de combinación en el usuario, basado
en papel base, o alguna de ellas? Conocer los diferentes niveles de
protección que se pueden aplicar a los archivos y directorios, y ser
consciente de que tiene acceso a realizar cambios en estas
protecciones.
Conocer la estructura general de los sistemas de archivo, cuánto se
almacena dónde y quién accede típicamente qué partes de
ellos. Mantenga registros de actividad de disco (por ejemplo, cambios
significativos en el espacio de disco utilizado) y de los problemas de
disco.

58 24/08/2020
 ALMACENAMIENTO DE DATOS DE
SEGURIDAD
Asegúrese de que los usuarios sólo pueden tener acceso a las partes
del sistema relevante para su uso de ella; su esquema de protección
debe incluir de forma clara y fácilmente una separación lógica y
conceptual de los archivos de usuario y los datos de los archivos del
sistema.
Asegúrese de que los regímenes de propiedad de los archivos son
compatibles para varios directorios (es decir, que el propietario de un
directorio es titular de todos los archivos de ese directorio, etc)
Asegúrese de que los usuarios no pueden tener acceso a los recursos
de disco más de lo previsto, a menudo cita de usuario de disco son la
mejor solución para esto.

59 24/08/2020
 ALMACENAMIENTO DE DATOS DE
SEGURIDAD
Si los sistemas de archivos están disponibles a través de cualquier red
o protocolo de uso compartido.
Examine cuidadosamente la seguridad de estos protocolos (ver
sección de los protocolos / servicios antes mencionados). Siempre
revise su configuración de estos servicios para asegurarse de que sólo
los usuarios autorizados y los anfitriones se les permite acceder a los
datos compartidos; muchas configuraciones por defecto permiten el
acceso no autorizado.

60 24/08/2020
 ALMACENAMIENTO DE DATOS DE
SEGURIDAD
Mantenga siempre copias de seguridad seguras de un sistema, el
método convencional más habitual es realizar copias de seguridad de
archivos a un disco de cinta y luego quitar la cinta del lugar para
protegerse contra la pérdida de datos por incendio, inundación, etc
En el caso de los sistemas operativos, es una buena idea mantener
una copia buena conocida de la configuración de su sistema operativo
en un medio de sólo lectura, como un CD-ROM.
Si usted mantiene las bases de datos, asegúrese de que la base de
datos es accesible sólo a los usuarios autorizados, tanto en el lado del
cliente (a través de una herramienta de consulta de datos, tales como
SQLNET) y en el lado del servidor (es decir, los archivos de bases de
datos reales almacenados en el disco de su sistema). Al igual que con
otros servicios, asegúrese de que cualquier red y el intercambio de
bases de datos se lleva a cabo con seguridad.

61 24/08/2020
 CONTRASEÑAS
Las contraseñas son los componentes centrales en la mayoría de los
esquemas de seguridad, cuentas de usuario, sitios web sensibles, servicios
del sistema están protegidos por ellas.
Si usted sabe las contraseñas correctas, puede obtener privilegios de
administrador en un sistema en el que ni siquiera sea un usuario o infiltrarse
en un entorno en el que nunca he trabajado antes.
Tradicionalmente se han aceptado como una buena manera de
implementar la seguridad, ya que pueden ser incorporados fácilmente en la
mayoría de los sistemas operativos y el software sensible, y sin embargo, se
pueden hacer suficientemente complejos como para ser difícil de “romper”,
mientras que todavía siendo recordado por un usuario.
Su caída como un régimen de seguridad están en su poder, una contraseña
es todo lo que necesita para tener acceso completo a todo un sistema y
contraseñas pueden ser agrietado. Lo mejor que puede hacer es tratar de
hacer que estos dos eventos muy poco probables.

62 24/08/2020
Requerir contraseñas únicas y complejas de todas las cuentas de usuario en
el sistema, no es aceptable tener “invitados” cuentas u otras cuentas que no
requieren ningún tipo de autenticación. Si una cuenta no se ha usado para
la conexión (es decir, que cuenta nunca será visitada), retire su posibilidad
de acceder por completo.
Las contraseñas deben contener al menos 6 caracteres y una combinación
de letras y números, mayúsculas y minúsculas. Las contraseñas no deben
parecerse a cualquier palabra, nombre, idea o concepto que pueda aparecer
en cualquier diccionario de cualquier parte del mundo. Un buen
ejemplo: jY2EHxqy
Aplicar rotación contraseña y expiración, los usuarios nunca deben ser
capaces de mantener una contraseña para más de unos pocos meses a la
vez, como alguien fácilmente podría (pero imperceptible) hack fuerza bruta
una contraseña durante un largo período de tiempo. También debe asesorar
a los usuarios contra el uso de la misma contraseña en otros sitios.

63 24/08/2020
El archivo de contraseña o un mecanismo similar para almacenar las
contraseñas deben ser encriptados, y no debe estar disponible para el
usuario medio, si es posible (por ejemplo, a través de sombra). Si un
usuario puede obtener el archivo de contraseñas, se puede utilizar
otro sistema para intentar descifrar las contraseñas sin que te des
cuenta.
No escriba contraseñas o almacenarlas en otra cosa que la memoria
humana.
Contraseñas del sistema deben cambiarse al menos una vez al mes, y
no debe ser compartido con más gente de lo necesario.

64 24/08/2020
 ADMINISTRACIÓN DEL SISTEMA
Calidad técnicas de administración del sistema pueden hacer toda la
diferencia en la prevención de la seguridad.
No hay un lote que se exige para la mayoría de los sistemas
modernos, muchos lo hacen comprobaciones automáticas y
mantener el administrador del sistema informa automáticamente de
cualquier cambio sospechoso.

65 24/08/2020
 ADMINISTRACIÓN DEL SISTEMA
Regularmente navegar a través de su sistema, buscando en el
contenido de los directorios del sistema, registros y otros
archivos. Tenga en cuenta las ubicaciones de archivos, tamaños de
archivo. Observe los patrones de uso de la máquina y sus usuarios.
Ejecutar herramientas de cracking (como “crack” y “Satanás” en el
entorno Unix) con regularidad para comprobar si hay vulnerabilidades
en la configuración del sistema
Manual de tratar de entrar en su sistema a través de diferentes
medios.
Sea consciente de las personas o grupos que puedan tener
intenciones de romper en su sistema.
Mantenga a sus usuarios informados de sus técnicas y lo que espera
de ellos para mantener la seguridad.

66 24/08/2020
 4.6. Anexos

- Cuadros, estadísticas, acta o cualquier otro documento que sirva

de soporte para reafirmar las desviaciones presentadas.
- El auditor puede obtener otro tipo de información que puede
llegar a ser útil para realizar la evaluación.

67 24/08/2020
 4.6. Anexos
Puntos a considerar en los Anexos.
Anexos
Resultados del procesamiento de datos.
Descripción de puestos, funciones y actividades.
Resultados de pruebas y cálculos de procesamientos que
se efectúan en el sistema.
Copias de formatos y licencias de programas y
paqueterías.
Copias de resguardos de equipos y mobiliario.
Mapas de distribución de redes, instalaciones, equipos,
muebles y sistemas de información.
Mapas de rutas de evacuación y seguridad del área de
sistemas.
68
Bitácoras de reportes y reportes de servicios de
mantenimiento preventivo y correctivo.
Resultados de inventarios y pruebas de la arquitectura de
los sistemas.
Resultados de diseños, análisis, codificación, pruebas y
liberación de sistemas.
Copias de programas fuente, objeto, y codificación de los
sistemas desarrollados en la empresa.
Resultados de cotizaciones y estudios de mercado para
adquisiciones de hardware, software, mobiliario y
consumibles de sistemas.
Diagramas de sistemas de programación y desarrollo de
sistemas.
24/08/2020
 4.7. Confirmaciones en papeles de
trabajo
Son pruebas documentadas que sirve de soporte para sustentar las
desviaciones, causas u otros aspectos relevantes encontrados.

La evidencia y los papeles de trabajo constituyen el soporte

fundamental de los hallazgos detectados por el auditor, de ahí la
importancia que tiene la suficiente, relevancia y competencia de la
evidencia así como la calidad y claridad de los Papeles de
Trabajo, atendiendo a que la información que aquí se recoge está
escrita siempre a terceros que son los clientes de nuestro servicio.

69 24/08/2020