Instituto Tecnológico Superior Progreso

Organismo Público Descentralizado del Gobierno del Estado

Licenciatura en informática
Clave 31EIT004Q

LICENCIATURA EN INFORMATICA

OCTAVO SEMESTRE

AUDITORIA INFORMATICA

PRESENTA

MARTINEZ CAAMAL RAMIRO JOSUE

FECHA DE ENTREGA

VIERNES 27 DE MAYO DE 2011

 5 Auditoria de la seguridad en la teleinformática.

5.1 Generalidades de la seguridad en el área de la teleinformática.

Los usuarios tendrán restricción de accesos según dominios, únicamente

podrán cargar los programas autorizados, y sólo podrán variar las configuraciones
y componentes los técnicos autorizados. Deberán existir protecciones de distinto
tipo, y tanto preventivas como de detección, ante posibles accesos sobre todo
externos, así como frente a virus por diferentes vías de infección, incluyendo el
correo electrónico.

Se revisarán especialmente las redes cuando existan repercusiones

económicas porque se trate de transferencia de fondos o comercio electrónico.

Algunos de los puntos complementarios a revisar son:

- Tipos de redes y conexiones.

- Información y programas transmitidos, y uso de cifrado.
- Tipos de transacciones.
- Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.
- Protección de transmisiones por fax si el contenido está clasificado, si
bien es preferible evitar el uso de este medio en ese caso.
- Protección de conversaciones de voz en caso necesario.
- Transferencia de archivos y controles existentes.
- -Consideración especial respecto a las conexiones externas a través de
pasarelas (gateway) y encaminadores (routers), así como qué controles
existen.
- Ante La generalización de modalidades avanzadas de proceso,
empiezan a preocupar y a ser objeto de auditoría aspectos como:

Internet e Intranet: separación de dominios e implantación de medidas

especiales, como normas y cortafuegos (firewall), y no sólo en relación con la
seguridad sino por accesos no justificados por la función desempeñada, como a
páginas de ocio o eróticas, por lo que pueden suponer para la productividad.

El correo electrónico, tanto por privacidad (PGP, Pretty Good Privacy se

está usando mucho) y para evitar virus como para que el uso del correo sea
adecuado y referido a la propia función, y no utilizado para fines particulares como
se ha intentado hacer en muchas entidades y no siempre con éxito, con otros
recursos anteriores como teléfono, fax, fotocopiadoras, o el uso de los propios
computadores.

Otro de los aspectos que preocupan es la protección de programas, y tanto

la prevención del uso no autorizado de programas propiedad de la entidad o de los
que tengan licencia de uso, como la carga o transmisión de otros de los que no se
tenga licencia o simplemente para los que no exista autorización interna.
 También preocupa el control sobre las paginas Web: quién puede
modificarlo y desde dónde, porque se han dado casos desagradables en alguna
entidad que impactan muy negativamente en su imagen, y no tanto por los que lo
ven directamente, sino por la publicidad que en los medios se puede dar a estos
hechos. Finalmente preocupan también los riesgos que puedan existir en el
comercio electrónico, aunque se están empezando a utilizar sistemas fiables como
SET (Secure Electronic Transaction).

En relación con todo ello, y para facilitar el control y la auditoría, es

necesario que queden registrados los accesos realizados a redes exteriores y
protegidos esos registros, así como la fecha y hora y el usuario o sistema, y el tipo
de información transferida y en qué sentido.

5.2 Objetivos y criterios de la auditoria en el área de la teleinformática.

Cada vez más las comunicaciones están tomando un papel determinante

en el tratamiento de datos, cumpliéndose el lema “el computador es la red”. No
siempre esta importancia queda adecuadamente reflejada dentro de la estructura,
organizativa de proceso de datos, especialmente en organizaciones de tipo
“tradicional”, donde la adaptación a los cambios no se produce inmediatamente.

Mientras que comúnmente el directivo informático tiene amplios

conocimientos de comunicaciones están a la misma altura, por lo que el riesgo de
deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo
existe. Por su parte, los informáticos a cargo de las comunicaciones suelen auto
considerarse exclusivamente técnicos, obviando considerar las aplicaciones
organizativas de su tarea.

Todos estos factores convergen en que la auditoría de comunicaciones no

siempre se practique con la frecuencia y profundidad equivalentes a las de otras
áreas del proceso de datos.

Por tanto, el primer punto de una auditoría es determinar que la función de

gestión de redes y comunicaciones esté claramente definida, debiendo ser
responsable, en general, de las siguientes áreas:

- Gestión de la red, inventario de equipamiento y normativa de conectividad.

- Monitorización de las comunicaciones, registro y resolución de problemas.
- Revisión de costos y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de equipamiento.
- Participación activa en la estrategia de proceso de datos, fijación de
estándares a ser usados en el desarrollo de aplicaciones y evaluación de
necesidades en comunicaciones.
Como objetivos del control, se debe marcar la existencia de:
- Una gerencia de comunicaciones con autoridad para establecer
procedimientos y normativa.
- Procedimientos y registros de inventarios y cambios.
- Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolución de problemas.
- Procedimientos para el seguimiento del costo de las comunicaciones y su
reparto a las personas o unidades apropiadas.
- Procedimientos para vigilar el uso de la red de comunicaciones, realizar
ajustes para mejorar el rendimiento, y registrar y resolver cualquier
problema.
- Participación activa de la gerencia de comunicaciones en el diseño de las
nuevas aplicaciones online para asegurar que se sigue la normativa de
comunicaciones.

5.3 Síntomas de riesgo.

Todos los sistemas de comunicación, desde el punto de vista de auditoría,

presentan en general una problemática común: La información transita por lugares
físicamente alejados de las personas responsables. Esto presupone un
compromiso en la seguridad, ya que no existen procedimientos físicos para
garantizar la inviolabilidad de la información.

En las redes de comunicaciones, por causas propias de la tecnología,

pueden producirse básicamente tres tipos de incidencias:

1ª.- Alteración de bits. Por error en los medios de transmisión, una trama
puede sufrir variación en parte de su contenido. La forma más habitual de
detectar, y corregir en su caso, este tipo de incidencias, es sufijar la trama
con un Código de Redundancia Cíclico (CRC) que detecte cualquier error y
permita corregir errores que afecten hasta unos pocos bits en el mejor de
los casos.

2ª.- Ausencia de tramas. Por error en el medio, o en algún nodo, o por

sobrecarga, alguna trama puede desaparecer en el camino del emisor al
receptor. Se suele atajar este riesgo dando un número de secuencia a las
tramas.

3ª.- Alteración de Secuencia. El orden en el que se envían y se reciben las

tramas no coincide. Unas tramas han adelantado a otras. En el receptor,
mediante el número de secuencia., se reconstruye el orden original.

Por causas dolosas, y teniendo en cuenta que es físicamente posible

interceptar la información. Los tres mayores riesgos a atajar son:

1.- Indagación. Un mensaje puede ser leído por un tercero, obteniendo la

información que contenga.
 2.- Suplantación. Un tercero puede introducir un mensaje espurio que el
receptor cree proveniente del emisor legítimo.

3- Modificación. Un tercero puede alterar el contenido de un mensaje.

Para este tipo de actuaciones dolosas, la única medida prácticamente

efectiva en redes MAN y WAN (cuando la información sale del edificio) es La
criptografía. En redes LAN suelen utilizarse más bien medidas de control de
acceso al edificio y al cableado, ya que la criptografía es muy onerosa todavía
para redes locales. Dada la proliferación de equipos que precisan comunicación
de datos dentro de los edificios, es muy habitual plantearse sistemas de cableado
integral en vez de tender un cable en cada ocasión. Esto es prácticamente un
requisito en edificios con cierto volumen de usuarios.

5.4 Técnicas y herramientas de auditoria relacionadas con la seguridad en la

teleinformática.

Actualmente las telecomunicaciones y las redes de computadoras son un

pilar sobre el cual se sostienen la mayoría de las operaciones que se realizan en
una organización. Dada su rápida expansión, es muy común que hoy en día
muchas organizaciones tengan una gran infraestructura de red y de
telecomunicaciones. No se concibe una empresa que no tenga sus aplicaciones
de software para las operaciones cotidianas, usando una red de computadoras.

Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de

telecomunicaciones, la organización quedaría prácticamente paralizada. La
auditoría de la seguridad en este campo procura entonces evitar que las
consecuencias de un problema no sean devastadores.

A continuación se listarán algunas de las técnicas y herramientas

relacionadas con dicha seguridad:

- No debe permitirse la entrada a la red a personas no autorizadas, ni usar

las terminales.
- Debe existir un software de comunicación efectivo y controlado.
- Restringir el acceso a las instalaciones del procesamiento de red.
- Se debe contar con un sistema de codificación para la información
confidencial.
- Realizar periódicamente una verificación física del uso de terminales y de
los reportes obtenidos.
- Se deben monitorear periódicamente el uso que le está dando a las
terminales.
- Se deben hacer auditorias periódicas sobre el área de operación.
- Verificar que los datos recolectados sean procesados correctamente.
- Deben realizarse revisiones regulares de seguridad a los usuarios.
- Documentación y capacitación del personal de la red.
 - Se debe establecer los mecanismos de control del funcionamiento de la
red para garantizar la utilización.
- Deben existir planes de respaldo y contingencias de la red.

6 Informe de la auditoria informática.

6.1 Generalidades de la seguridad del área física.

La seguridad física es uno de los aspectos más olvidados a la hora del

diseño de un sistema informático. Si bien algunos de los aspectos tratados a
continuación se prevén, otros, como la detección de un atacante interno a la
empresa que intenta a acceder físicamente a una sala de operaciones de la
misma.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y
copiar una cinta de la sala, que intentar acceder vía lógica a la misma Así, la
Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial"(1). Se refiere a los controles y mecanismos
de seguridad dentro y alrededor del Centro de Cómputo así como los medios de
acceso remoto al y desde el mismo; implementados para proteger el hardware y
medios de almacenamiento de datos.

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales tormentas e inundaciones.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.

6.2 Características del informe.

El informe de auditoría financiera tiene como objetivo expresar una opinión

técnica de las cuentas anuales en los aspectos significativos o importantes, sobre
si éstas muestran la imagen fiel del patrimonio, de la situación financiera y del
resultado de sus operaciones, así como de los recursos obtenidos y aplicados
durante el ejercicio.

Características del informe de auditoría:

1. Es un documento mercantil o público.
2. Muestra el alcance del trabajo.
3. Contiene la opinión del auditor.
4. Se realiza conforme a un marco legal.

Principales afirmaciones que contiene el informe:

1. Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de
acuerdo con qué normas de auditoría.
2. Expresa si las cuentas anuales contienen la información necesaria y
suficiente y han sido formuladas de acuerdo con la legislación vigente y,
 también, si dichas cuentas han sido elaboradas teniendo en cuenta el
principio contable de uniformidad.

3. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos

significativos, la imagen fiel del patrimonio, de la situación financiera, de los
resultados y de los recursos obtenidos y aplicados.

4. Se opina también sobre la concordancia de la información contable del

informe de gestión con la contenida en las cuentas anuales.

5. En su caso, explica las desviaciones que presentan los estados financieros

con respecto a unos estándares preestablecidos.

En pocas palabras podemos sintetizar que el informe es una presentación

pública, resumida y por escrito del trabajo realizado por los auditores y de su
opinión sobre las cuentas anuales.

6.3 Estructura del informe.

La estructura y el formato del informe de auditoría ha de ser coherente y
atractivo para su destinatario, ha de incitar a ser leído.
Es recomendable que el informe este dividido:
Introducción.

1. Objetivo de la auditoría y origen de la misma: quién la pide y por qué razón.

2. Alcance: espacio físico, temático y temporal que se audita; periodo durante
el cual se realiza la auditoría.
Resumen del Informe.

1. Opinión de auditoría: juicio del auditor sobre el tema, proceso, actividades

estudiadas.
2. Resumen de las observaciones principales: conclusiones, recomendaciones
y acciones propuestas.
Cuerpo del Informe.

1. Cabes dos alternativas: estructurar el cuerpo del informe basándose en los

temas auditados analizando la situación de cada unidad funcional respecto
al tema o, a la inversa, estructurándolo según las unidades funcionales y
analizando todos los temas que afecta la unidad.
2. Se estructure según un modelo u otro, el cuerpo del informe deberá
contener: Observaciones: incluyen una breve descripción del proceso
analizado, hechos detectados (anomalías, puntos débiles detectados al
comparar con las referencias); causas han generado las anomalías y
debilidades; recomendaciones que no se han aplicado y que se hablan
hecho en informes anteriores.
3. Datos: cifras y detalles en las que se basan las observaciones.
6.4 Formato para el informe.

El formato para informes finales está enfocado a apoyar y facilitar el

proceso de evaluación de los resultados de los proyectos financiados. Además de
reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso
y obtención de los resultados esperados y de las actividades de investigación
científica.
• Los informes finales técnico y financiero, deben ser entregados a la
Dirección de Investigación de la sede, al finalizar el periodo de ejecución del
proyecto.
• El informe debe ser aprobado previamente por el respectivo Consejo
Directivo de cada Facultad, Centro o Instituto.
• El informe debe contener un índice. Cada página del informe debe estar
numerada.
• Cada anexo debe estar numerado haciendo referencia a lo anotado en los
cuadros de resultados.
• El informe técnico final deberá presentarse en versión impresa y
magnética (CD o disquete).

I. contenido del informe técnico

1. Título y código del proyecto

2. Nombre del investigador principal y de la Facultad, Centro o Instituto al
que pertenece
3. Fecha de entrega del Informe
4. Sinopsis divulgativa5. Resumen técnico:
6. Cuadro de resultados obtenidos
7. Descripción del impacto actual o potencial de los resultados:
8. Conclusiones
 CONCLUSION

Principalmente toda empresa, pública o privada, que la mayoría de las

actuales posee sistemas de información sofisticada, debe de someterse a un
control estricto de evaluación de eficacia y eficiencia para determinar su seguridad
en su trabajo. Hoy en día, las empresas tienen toda su información estructurada
en sistemas informáticos, de aquí, la vital importancia que los sistemas de
información funcionen correctamente. La empresa de hoy, debe mantenerse
informado, ya que el éxito de una empresa depende de la eficiencia de sus
sistemas de información. En cuanto al trabajo de la auditoría en sí, podemos decir
que precisa de gran conocimiento de la Informática, seriedad, capacidad,
minuciosidad y responsabilidad; la auditoría en informática debe hacerse por gente
capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas para
la empresa auditada, principalmente económicas.
 REFERENCIAS

1. http://marielasantosreyes.blogspot.com/2010/07/51-generalidades-de-la-
seguridad-en-el.html
2. http://rauldeluna.blogspot.com/2010/07/la-auditoria-de-la-seguridad-en-
la.html
3. http://www.ittorreon.edu.mx/
4. http://www.lafacu.com/apuntes/informatica/audit_info/default.html