lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

UNIVERSIDAD NACIONAL DEL ALTIPLANO

FACULTAD DE INGENIERÍA MECÁNICA ELÉCTRICA,

ELECTRÓNICA Y SISTEMAS

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

TRABAJO ENCARGADO:

RESUMEN DE AUDITORÍA DE SISTEMAS Y METODOLOGÍAS

DOCENTE: Ing. MAMANI HUACANI, Zulema Lilian

CURSO: AUDITORÍA DE SISTEMAS

REALIZADO POR:

- MAMANI MOLLEAPAZA, Mari Luz

PUNO-PERÚ

2022
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

1. ANÁLISIS DE RIEGOS EN SEGURIDAD INFORMÁTICA

INTRODUCCIÓN
La gestión del riesgo informático en una organización tiene como principal objetivo
construir bases muy sólidas para alcanzar la misión, proteger la información y todos los
activos informáticos. Las empresas en la actualidad realizan procesamiento de
información con ayudas tecnológicas para brindar apoyo a la misión del negocio, por lo
tanto, es importante realizar una buena gestión del riesgo para proteger los activos de
información.

Un buen proceso de gestión del riesgo es un ítem fundamental de la seguridad de TI, uno
de los pilares debe ser la protección de la organización y su capacidad para apoyar la
misión del negocio de forma segura, por eso se pretende concientizar de la existencia y
la necesidad de gestionarlos ofreciendo una metodología, por medio de la cual se
descubre y planifica el tratamiento del riesgo de una manera adecuada para mantenerlos
bajo control, igualmente prepara a las empresas o áreas encargadas de seguridad
informática para procesos los de evaluación, auditoria o certificación

OBJETIVOS DE LA GESTIÓN DEL RIESGO

Es importante tener en cuenta hacia donde orienta la gestión del riesgo, a continuación,
los principales objetivos:

a. Concientizar a todos los responsables de los sistemas informáticos sobre la

existencia de los riesgos y su obligación de mitigarlos.

b. Aplicar una metodología adecuada y mantener el ciclo PHVA.

c. Apoyar a laorganización en todos los procesos de evaluación, auditoria o
certificación.

d. Ayudar la planeación de controles para mantener los

riesgos aceptables.
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

¿QUÉ ES GESTIÓN DEL RIESGO EN SEGURIDAD INFORMÁTICA?

Se entiende por riesgo de seguridad informática toda amenaza que explote alguna
vulnerabilidad de uno o varios activos y pueda afectar el funcionamiento de un sistema,
teniendo en cuenta la probabilidad que ocurra el evento y el impacto en caso de
materializarse, en alguna de las tres características principales de la seguridad informática
las cuales se describen a continuación.

Integridad: Es una condición que garantiza que la información solo puede ser modificada
por quien esté autorizado, esta debe ser consistente o coherente.

Confidencialidad: La información solo debe ser visible por quien la requiera y esté
autorizado, hace referencia a la privacidad de la información.

Disponibilidad: Condición que garantiza que la información pueda ser accedida en

cualquier momento que sea requerida. Está directamente relacionada con la continuidad
del negocio.

La gestión del riesgo comprende la adecuada administración de los mismos, donde el

objetivo principal es minimizarlo obtener un riesgo aceptable esto no es solo una
responsabilidad del área de seguridad, muchas áreas la cumplen papeles muy importantes
entre ellas tenemos:

o Alta dirección
o Jefe de Informática
o Gerentes
o Directores y oficiales de seguridad
o Profesionales de TI
o Formadores de conciencia de seguridad

Las directrices de seguridad y correcta gestión del riesgo deben empezar desde la alta
gerencia, concientizando a toda la empresa de su importancia y el buen papel que
desempeña cada uno de los integrantes. Algunas de las áreas en que habitualmente ha
incursionado la seguridad se pueden definir así:
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

- Seguridad física.
- Control de accesos.
- Protección de los datos.
- Seguridad en las redes.

EVALUACIÓN DEL RIESGO

La evaluación de riesgos es el proceso general de identificación, análisis y valoración. En
la evaluación de riesgo se determina el grado de la amenaza potencial y el riesgo asociado,
se debe definir el alcance el resultado de este proceso para ayudar a identificar los
controles apropiados, el proceso se realiza como mínimo una vez al año no solo por
cumplimiento de normas si no porque es una buena práctica, aportando a la mejora
continua, hay que tener en cuenta que esta evaluación debe ser lo suficiente flexible para
permitir cambios cuando se justifique por cambio de políticas o de nuevas tecnologías.

MITIGACIÓN DEL RIESGO

En este proceso se prioriza, evalúa la aplicación de controles de reducción de riesgos
recomendados por el proceso de evaluación de riesgos. El tratamiento de los riesgos es
un ciclo comprendido por cuatro pasos (PHVA), que consiste en planear, hacer, verificar
y actuar. Para mitigar el riego existen cinco formas las cuales se relacionan a
continuación.
[1] Asumir el riesgo: Se entiendo como la aceptación del riesgo potencial y se
continúa operando el sistema de TI.
[2] Evitar el Riesgo: Se evita eliminando la causa del riesgo, ejemplo dejar de
utilizar un sistema porque hay un riego identificado.
[3] Reducir el Riesgo: La forma de reducir un riesgo es con la implementación de
controles, minimizando el impacto o la probabilidad.
[4] Planificación del Riesgo: La gestión del riesgo se realiza mediante el
desarrollo de un plan de mitigación de riesgos que prioriza, implementa y
mantiene controles.
[5] Transferir el Riesgo: El riesgo se transfiere por el uso de opciones para
compensar una pérdida, una de las más relevantes es la compra de un seguro.
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

2. CRIPTOGRAFÍA

INTRODUCCION
La criptografía es un método de protección de la información y las comunicaciones
mediante el uso de códigos que permite que solo aquellos a quienes está destinada la
información puedan leerla y procesarla. El término se deriva de la palabra griega kryptos,
donde el prefijo "cripta-" significa "oculto" - y el sufijo "-grafía" significa "escritura".

LA CRIPTOGRAFIA EN SEGURIDAD
La definición de criptografía nos dice que es el estudio de técnicas de comunicaciones
seguras que permiten que solo el remitente y el destinatario previsto de un mensaje vean
su contenido.
Los criptógrafos protegen los sistemas informáticos y de tecnología de la información
mediante la creación de algoritmos y códigos para cifrar los datos. A menudo también
llevan a cabo las tareas de un criptoanalista, descifrando algoritmos y descodificando
texto para descifrar información.

¿CUÁLES SON LOS CUATRO PILARES DE LA CRIPTOGRAFÍA?

Esta disciplina gira alrededor de la protección de cuatro pilares: físico, datos, procesos y
arquitectura del sistema. Lo consigue gracias al uso de herramientas específicas.

HERRAMIENTAS CRIPTOGRÁFICAS
El token de seguridad o el token de autenticación es el que se considera herramienta de
criptografía. Usando el token de seguridad, se puede autenticar al usuario. También se
utiliza para proporcionar estado al protocolo HTTP. El token de seguridad debe estar
cifrado para permitir el intercambio seguro de datos.

¿CUÁLES SON LOS TRES TIPOS DE CRIPTOGRAFÍA?

Existen tres tipos de criptografía: clave secreta, clave pública y función hash. Vamos a
ver en qué consiste cada uno de ellos:
Criptografía de clave secreta: utiliza una única clave tanto para el cifrado como para el
descifrado; también llamado cifrado simétrico. Se utiliza principalmente para la
privacidad y la confidencialidad.
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Criptografía de clave pública: utiliza una clave para el cifrado y otra para el descifrado.
A este método se le conoce como cifrado asimétrico. Se utiliza principalmente para
autenticación e intercambio de claves.
Funciones hash: emplea una transformación matemática para "cifrar" la información de
forma irreversible, proporcionando una huella digital. Se utiliza principalmente para la
integridad de los mensajes.

¿CÓMO SE USA LA CRIPTOGRAFÍA EN EL DÍA A DÍA?

La criptografía en la vida cotidiana aparece en una serie de situaciones en las que el uso
de un conjunto de técnicas de este tipo facilita la prestación de un servicio seguro. Esta
disciplina se pone al servicio de la protección del usuario cuando procede al retiro de
efectivo de un cajero automático, renueva un contrato con su proveedor de servicios de
entretenimiento, utiliza el almacenamiento de archivos online o el correo electrónico
mediante algún software gratuito. Resulta imprescindible también para una navegación
web segura y para el uso de cualquier dispositivo móvil conectado.

Hoy en día, la criptografía se utiliza para mantener seguro en línea material sensible, como
puede ser las contraseñas privadas. Los expertos en ciberseguridad recurren a la
criptografía para diseñar algoritmos, cifrados y otras medidas de seguridad que codifican
y protegen los datos de la empresa y los clientes.

3. CARACTERÍSTICAS DE PXI Y PMI

INTRODUCCIÓN
Desde hace muchos años es bien sabido que el uso es más intensivo de las TIC en una
empresa u organización propicia que la información viaje mucho más rápida.
Las TIC están formadas por cinco agrupaciones:
• Software
• Hardware
• Humanware
• Netware
• Supportware
¿CÓMO EMPEZÓ TODO?
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Si la información viaja más de prisa, en consecuencia, también se incrementa la

productividad de las empresas y con ello aumenta el flujo de dinero y, por tanto, las
ganancias monetarias. Pero a razón de eso es necesario regular y normalizar el
funcionamiento de las redes mundiales, en especial la comunicación que se establece
durante el proceso de dicho comercio electrónico entre empresas.

Imaginemos los peores escenarios que le pueden suceder al comprador.

• El dinero se envió a una cuenta equivocada.
• No se envió la cantidad correcta de dinero.
• El banco chino o cualquier otro banco recibió el dinero, pero éste desapareció; es
decir, se trataba de un banco “fantasma”.
• El vendedor chino sostiene, luego de un tiempo, que no tiene disponible el dinero
en el banco, a pesar de que el comprador peruano siguió todas las instrucciones e
hizo lo correcto.

COMPARACIONES ENTRE LAS CARACTERÍSTICAS DE PMI Y PKI

Las políticas generales de certificación:

▪ Arquitectura.
▪ Uso de los certificados.
▪ Identificación y autenticación del nombre.
▪ Generación de la clave.
▪ Procedimientos.
▪ Controles operativos.
▪ Controles técnicos.
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

▪ Listas de revocación de certificados.

▪ Auditoría y evaluación.

El Papel de los Protocolos en PKI y PMI:

❖ Protocolo
❖ Capa (nivel)
❖ Interface de capa
❖ Protocolo de acceso
❖ Liga de protocolo de acceso
❖ DNS
❖ Dominio
❖ Nombre de dominio
❖ Dominio de seguridad
❖ HTTPS
❖ Cookie de HTTP
❖ Dirección IP (Internet Protocol)
❖ STS (Secure token service)
❖ SSH (Secure Shell)

4. SEGURIDAD FÍSICA Y LÓGICA EN REDES

INTRODUCCIÓN:
Podemos entender como seguridad una característica de cualquier sistema (informático o
no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en
cierta manera, infalible. Como esta característica, particularizando para el caso de SO o
redes de ordenadores, es muy difícil de conseguir (según la mayoría de expertos,
imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad
(probabilidad de que un sistema se comporte tal y como se espera de él) más que de
seguridad.

Se entiende que mantener un sistema seguro (o fiable) consiste básicamente en garantizar

tres aspectos:
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Confidencialidad o Privacidad. Es la necesidad de que la información sólo sea conocida

por personas autorizadas no convirtiendo esa información en disponible para otras
entidades. En casos de falta de confidencialidad, la información puede provocar daños a
sus dueños o volverse obsoleta.

Integridad. Es la característica que hace que el contenido de la información permanezca

inalterado a menos que sea modificado por personal autorizado, y esta modificación sea
registrada para posteriores controles o auditorias.

Disponibilidad u Operatividad. Es la capacidad de que la información esté siempre

disponible para ser procesada por personal autorizado. Esto requiere que dicha
información se mantenga correctamente almacenada con el hardware y el software
funcionando perfectamente y que se respeten los formatos para su recuperación en forma
satisfactoria.
Generalmente tienen que existir los tres aspectos descritos para que haya seguridad.

Los tres elementos principales a proteger en cualquier sistema informático son el

software, el hardware y los datos. Habitualmente los datos son el principal elemento, ya
que es el más amenazado y el más difícil de recuperar.Así, por ejemplo en una máquina
Unix tenemos un hardware ubicado en un lugar de acceso físico restringido, o al menos
controlado, en caso de pérdida de una aplicación ( o un programa de sistema, o el propio
núcleo de Unix) este software se puede restaurar sin problemas desde su medio original
(por ejemplo, el CD-ROM con el SO que se utilizó para su instalación). Sin embargo, en
caso de pérdida de una BD o de un proyecto de un usuario, no tenemos un medio ‘original’
desde el que restaurar: hemos de pasar obligatoriamente por un sistema de copias de
seguridad, y a menos que la política de copias sea muy estricta, es difícil devolver los
datos al estado en que se encontraban antes de la pérdida.

SEGURIDAD FÍSICA Y SEGURIDAD LÓGICA

El estudio de la seguridad puede estudiarse dependiendo de las fuentes de las amenazas a

los sistemas, lo que da lugar a hablar de seguridad física y seguridad lógica.
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

La seguridad física trata de la protección de los sistemas ante amenazas físicas. Consiste
en la aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas, ante amenazas a los recursos e informaciones confidenciales.
Desastres naturales, sabotajes internos o externos, etc., forman parte de este tipo de
seguridad.

La seguridad lógica protege la información dentro de su propio medio mediante el uso de

herramientas de seguridad. Se puede definir como conjunto de operaciones y técnicas
orientadas a la protección de la información contra la destrucción, la modificación, la
divulgación indebida o el retraso en su gestación.

El activo más importante de una organización es la información por lo que es necesario

técnicas que vayan más allá de la seguridad física para proteger dicha información. Estas
técnicas las brinda la seguridad lógica.

SEGURIDAD LÓGICA

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que

resguarden el acceso a los datos y sólo permitan acceder a ellos a las personas autorizadas
para hacerlo”.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no les correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos por el
procedimiento correcto.
4. Que la información transmitida sea recibida por el destinatario al que ha sido
enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes
puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de
información
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

La seguridad lógica está estandarizada de acuerdo a unos niveles de seguridad. El estándar

más utilizado internacionalmente es el TCSEC (Trusted Computer System Evaluation)
Orange Book desarrollado en 1982 de acuerdo a las normas de seguridad de ordenadores
del Departamento de Defensa de la Estados Unidos. Los niveles describen diferentes tipos
de seguridad del SO y se enumeran desde el mínimo grado de seguridad al máximo. Estos
niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM, Information
Technology Security Evaluation Criteria / Methodology) y luego internacionales
(ISO/IEC). Cada nivel requiere todos los niveles definidos anteriormente: así el subnivel
B2 abarca los subniveles B1, C2, C1 y D.

AMENAZA

Bajo la etiqueta de ‘amenazas lógicas’ encontramos todo tipo de programas que de una
forma u otra pueden dañar a nuestro sistema, creados de forma intencionada (software
malicioso, también conocido como malware) o simplemente un error (bugs o agujeros).
Esto es, una amenaza es la posibilidad de la ocurrencia de algún evento que afecte el buen
funcionamiento de un sistema, es decir, cualquier elemento que comprometa el sistema.

Las amenazas pueden ser analizadas en tres momentos: antes del ataque, durante y después
del mismo, por lo que son necesarios mecanismos que garanticen la seguridad para cada
momento. Estos son:

• La prevención (antes): mecanismos que aumentan la seguridad (fiabilidad) de un

sistema durante su funcionamiento normal. Por ejemplo, el cifrado de información.
• La detección (durante): mecanismos orientados a revelar violaciones a la seguridad.
Generalmente son programas de auditoría.
• La recuperación (después): mecanismos que se aplican cuando la violación del
sistema ya se ha detectado, para retornar éste a su funcionamiento normal. Por
ejemplo, recuperación desde las copias de seguridad realizadas previamente.

La identificación de las amenazas requiere conocer los tipos de ataques, el tipo de acceso,
método de trabajo y los objetivos del atacante.

RIESGO
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Proximidad o posibilidad de daño sobre un bien.

Ya se trate de actos naturales, errores u omisiones humanas y actos intencionados, cada

riesgo debería ser considerado de las siguientes maneras:

• Minimizando la posibilidad de que ocurra.

• Reduciendo al mínimo el perjuicio producido si no ha podido evitarse que ocurriera.
• Diseñando métodos para la más rápida recuperación de los daños experimentados.
• Corrigiendo las medidas de seguridad en función de la experiencia recogida.

VULNERANILIDAD

Característica del sistema o del medio ambiente que facilita que la amenaza tenga lugar.
Son las debilidades del sistema que pueden ser empleadas por la amenaza para
comprometerlo.

ATAQUE

Evento, exitoso o no, que atenta contra el buen funcionamiento de un sistema, sea
intencionado o accidental.

Las consecuencias de los ataques se podrían clasificar en:

• Corrupción de Datos: la información que no contenía defectos pasa a tenerlos.

• Denegación de Servicio: servicios que deberían estar disponibles no lo están.
• Filtrado: los datos llegan a destinos a los que no deberían llegar.

5. FIREWALL COMO HERRAMIENTA DE SEGURIDAD

INTRODUCCION:
En la red de un equipo, el firewall (o cortafuegos) bloquea o permite el tráfico de red,
basándose en una serie de reglas dinámicas predefinidas y políticas. Protege de
intrusiones de peligrosos black-hats, así como de los ataques que podrían permitir al
atacante tomar el control de los dispositivos y usarlos con fines maliciosos
 lOMoAR cPSD| 11901591

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

¿QUÉ ES EL FIREWALL?
El término "firewall" (también conocido como cortafuegos) se refiere originalmente a una
estructura que debe limitar el fuego dentro de un espacio cerrado, lo que dificulta su
propagación y mitiga sus efectos dañinos en los seres humanos y las propiedades.

Analógicamente, en la seguridad informática un firewall es un sistema basado en un

software -o hardware- que funciona como puerta de seguridad entre redes de confianza y
las inseguras. Esto lo logra filtrando el contenido y la comunicación que se considere
dañina o potencialmente no deseada.
¿Cómo funcionan los firewalls?
Existen muchos tipos de firewalls, cada uno utiliza un enfoque diferente para el filtrado
del tráfico. La primera generación de firewalls funcionaba como filtros de paquetes
comparando información básica, por ejemplo, el origen y el destino originales del
paquete, el puerto que se utiliza o el protocolo contra una lista predefinida de reglas.

La segunda generación comprende los llamados firewalls de estado, que añadieron otro
parámetro a la configuración del filtro: el estado de la conexión. Basándose en esta
información, la tecnología podía determinar si el paquete que estaba iniciando la
conexión, formaba parte de una conexión existente o no estaba involucrado.

¿QUÉ BENEFICIOS OFRECE UN FIREWALL?

El mayor beneficio para los usuarios es un mayor nivel de seguridad. Cuando usas un
firewall amplías el perímetro de seguridad y obtienes una mayor protección para la red de
tu equipo frente al tráfico malicioso.

Esta tecnología puede además filtrar el tráfico dañino saliente. Gracias a esto se reduce la
posibilidad de que un intruso con malas intenciones detecte los datos, y reduce el riesgo
de que los dispositivos detrás del firewall se conviertan en parte de una red de bots: un
gran grupo de dispositivos conectados a Internet esclavizados por los atacantes con malos
propósitos.