UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONOMICAS, ADMINISTRATIVAS Y CONTABLES

DEPARTAMENTO DE CONTADURÍA PÚBLICA Y FINANZAS

AUDITORÍA EN SISTEMAS DE INFORMACIÓN II

CATEDRÁTICO

LIC. ROBERTO ANTONIO MARTÍNEZ VÁSQUEZ

GRUPO 6
PAOLA JIMENA CANALES OSEGUERA 20161005002
DANIA GABRIELA AVILA LAGOS 20131017145
 10.- Criptografía
 10.1 Controles criptográficos
Objetivo: asegurar el uso apropiado y efectivo de la
criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.
 10.1.1 Política sobre el uso de controles
criptográficos
Control
Una política sobre el uso de controles criptográficos para la
protección de la información debería ser desarrollada e
implementada.
 Guía de Implementación

 En el desarrollo de una política criptográfica lo siguiente debería ser considerado:

a) el enfoque de gestión hacia el uso de controles criptográficos en toda la organización,
incluyendo los principios generales bajo la cual la información de negocios debería ser
protegida;
b) basado en una evaluación de riesgos, el nivel requerido de protección debería ser
identificado tomando en cuenta el tipo, la fortaleza y la calidad del algoritmo de encriptación
requerido;
c) el uso de encriptación para proteger la información transportada por los dispositivos de
medios móviles o removibles o a través de líneas de comunicación;
10.1.2 Gestión de claves

 Control
Una política sobre el uso, protección y tiempo de vida de
las claves criptográficas debería ser desarrollada e
implementada a través de todo su ciclo de vida.
 Guía de Implementación

 Un sistema de gestión de claves debería basarse en un conjunto acordado de normas,

procedimientos y métodos seguros para:

a) la generación de claves para los diferentes sistemas criptográficos y diferentes aplicaciones;

b) la emisión y obtención de certificados de clave pública;

c) la distribución de claves para entidades destinadas, incluyendo cómo deberían activarse las
claves cuando se reciben;
d) almacenamiento de claves, incluyendo cómo los usuarios autorizados obtener acceso a las
claves;
e) e) cambiar o actualizar las claves incluyendo reglas acerca de cuándo se deberían cambiar
y cómo se haría;
11.- Seguridad Física y del Entorno

 11.1 Áreas seguras

Objetivo: impedir el acceso físico no autorizado, daño e interferencia
de la información y a las instalaciones de procesamiento de la
información de la organización.
 11.1.1 Perímetro de seguridad física
Control
Los perímetros de seguridad deberían estar definidos y utilizados para
proteger áreas que contienen información sensible o crítica e
instalaciones de procesamiento de la información
 Guía de Implementación
 Deberían considerarse e implantarse las siguientes recomendaciones sobre los perímetros de
seguridad física, según corresponda:
 los perímetros de seguridad deberían definirse y la ubicación y la resistencia de cada uno de los perímetros
deberían depender de los requisitos de la seguridad de los activos dentro del perímetro y de los resultados
de una evaluación de riesgos.
 los perímetros de un edificio o un lugar que contenga instalaciones de procesamiento de información
debería tener solidez física (por ejemplo no tendrá zonas que puedan derribarse fácilmente); los muros,
paredes y pisos externos del lugar deberían ser sólidos y todas las puertas exteriores deberían estar
convenientemente protegidas contra accesos no autorizados mediante mecanismos de control, (por
ejemplo alarmas, cerraduras, entre otros); puertas y ventanas deberían bloquearse cuando se encuentren
descuidadas y debería considerarse protección externa para las ventanas, particularmente en niveles bajos;

 debería existir un área de recepción atendida por personal u otros medios de control de acceso
físico al área o edificio; dicho acceso debería restringirse sólo al personal autorizado;
 11.1.2 Controles de Ingreso Físico

 Control
 Las áreas seguras deberían estar protegidas por medio de controles apropiados de
ingreso para asegurar que se le permite el acceso sólo al personal autorizado.
 Guía de implementación
 Deberían considerarse las siguientes recomendaciones:
 La fecha y hora de entrada y salida de visitantes deberían restringirse y todos los
visitantes deberían supervisarse a menos que su acceso se haya aprobado
previamente.
 El acceso a las áreas donde se procesa o se almacena la información sensible
debería estar restringido sólo a las personas autorizadas mediante la
implementación de controles de autentificación.
 Debería mantenerse y supervisarse de manera segura una bitácora de
registro físico o registro electrónico de auditoría;
11.1.3 Asegurar Oficinas, áreas e Instalaciones

Control
 La seguridad física para oficinas, áreas e instalaciones debería ser
diseñada e implementada.
 Guía de implementación
a) las instalaciones claves deberían situarse de manera que evite el
acceso público.
b) cuando corresponda, los edificios deberían ser discretos y dar el
mínimo indicio de su propósito, cuando sea posible, sin dar
muestras obvias, fuera o dentro del edificio, que identifiquen la
presencia de las actividades de procesamiento de la información. 
 c) las instalaciones deberían estar configuradas para evitar que la
información confidencial o las actividades sean visibles y audibles
desde el exterior.
11.1.4 Protección contra amenazas externas y ambientales

 control
 La protección física contra desastres naturales, ataque malicioso o accidentes debería
estar diseñada y aplicada.

 Guía de implementación
Debería obtenerse asesoramiento especializado sobre cómo evitar los daños causados por
incendios, inundaciones, terremotos, explosiones, disturbios civiles y otras formas de
desastres naturales o producido por el hombre.
11.1.5 Trabajo en áreas seguras

 Control
Los procedimientos para el trabajo en áreas seguras deberían estar diseñados y aplicados.

Guía de implementación
a.- el personal debería conocer la existencia de un área segura o de sus actividades,
únicamente en el caso de que sea necesario para su trabajo.
b.- debería evitarse el trabajo no supervisado en áreas seguras tanto por motivos de
seguridad como para evitar ocasiones de actividades maliciosas;
c.- las áreas seguras desocupadas deberían cerrarse y controlarse periódicamente;
 11.1.6 Áreas de despacho y carga

 Control
Los puntos de acceso, como las áreas de despacho, carga y otros puntos en donde personas no
autorizadas pueden ingresar al local deberían estar controlados y si fuera posible, aislarlos de
las instalaciones de procesamiento de la información para evitar el acceso no autorizado.
 Guía de implementación
 debería restringirse el acceso al área de entrega y carga desde el exterior únicamente al
personal autorizado e identificado;
 el área de entrega y carga debería diseñarse para que los suministros puedan cargarse y
descargarse sin que el personal de depósito tenga acceso a otras zonas del edificio;
 las puertas externas del área de entrega y carga deberían cerrarse cuando las internas estén
abiertas  
 11.2 Equipos

 Objetivo: prevenir la pérdida, daño, robo o

compromiso de activos e interrupción de las
operaciones de la organización.

 11.2.1 Ubicación y protección de los equipos

Control
  Los equipos deberían estar ubicados y protegidos para
reducir los riesgos de amenazas y peligros ambientales,
así como las oportunidades para el acceso no autorizado.
Guía de Implementación.

 el equipamiento debería situarse de manera que minimice el acceso innecesario a las áreas de
trabajo;
 b) las instalaciones de procesamiento de la información que manejan datos sensibles deberían
colocarse cuidadosamente para reducir el riesgo de que la información sea vista por personas
no autorizadas durante su uso;
 c) las instalaciones de almacenamiento deberían asegurarse para evitar el acceso no
autorizado;
 deberían adoptarse controles para reducir al mínimo el riesgo de amenazas físicas potenciales,
como: hurto, fuego, explosivos, humo, inundaciones (o falta de suministro de agua), polvo,
vibraciones, efectos químicos, interferencias en el suministro eléctrico, interferencia de las
comunicaciones, radiación electromagnética y vandalismo;
 11.2.2 Servicios de suministro
Control

 Los equipos deberían estar protegidos contra fallas de electricidad y otras alteraciones
causadas por fallas en los servicios de suministro.
 Guía de implementación
 cumplir con las especificaciones del fabricante de los equipamientos y con los requisitos
legales locales;
 ser evaluados regularmente por su capacidad para cumplir con el crecimiento del negocio y
las interacciones con otros elementos de soporte;
 ser inspeccionados y probados regularmente para asegurar su buen funcionamiento
 si es necesario, contar con alarmas, para detectar fallos de funcionamiento;
 11.2.3 Seguridad del Cableado

 Control
El cableado de energía y telecomunicaciones que llevan datos o servicios de información de
soporte debería ser protegido de la interceptación, interferencia o daño.
 Guía para la Implementación
 las líneas de energía y telecomunicaciones en instalaciones de procesamiento de la
información deberían ser subterráneas, siempre que sea posible o sujetas a una adecuada
protección alternativa.
 los cables de energía deberían separarse de los cables de comunicaciones para evitar
interferencias;
 11.2.4 Mantenimiento de equipos
 Control
Los equipos deberían mantenerse de manera correcta para asegurar su continua disponibilidad
e integridad.
 Guía de implementación
 el equipamiento debería mantenerse de acuerdo a las recomendaciones de intervalos y
especificaciones de servicio del proveedor;
 sólo el personal de mantenimiento debidamente autorizado debería realizar reparaciones y
realizar el mantenimiento a los equipos;  
 se debería mantener registros de todos los fallos, reales o sospechados, así como de todo el
mantenimiento preventivo y correctivo;
 se debería cumplir con todos los requisitos impuestos por pólizas de seguros.
 11.2.5 Retiro de activos

 Control
Los equipos, la información o el software no deberían ser retirados de su lugar sin autorización
previa.
Guía de implementación
 se debería identificar aquellos empleados y usuarios de terceras partes que tengan
autoridad para permitir el retiro de activos fuera de los locales de la organización
 se debería fijar los límites de tiempo para el retiro del equipamiento y verificar el
cumplimiento del retorno;
 cuando sea necesario y procedente, debería registrarse tanto la salida del equipamiento
del local, como el retorno del mismo;
 11.2.6 Seguridad de equipos y activos fuera de las instalaciones

 Control
 La seguridad debería ser aplicada a los activos que están fuera
de su lugar tomando en cuenta los distintos riesgos de trabajar
fuera de las instalaciones de la organización.
 Guía de implementación
 los equipos y soportes que contengan datos con información y
sean sacados de su entorno habitual no deberían dejarse
desatendidos en sitios públicos;
 se deberían observar siempre las instrucciones del fabricante
para proteger los equipos, por ejemplo, contra exposiciones a
campos electromagnéticos intensos;
 11.2.7 Disposición o reutilización segura de equipos

 Control
Todos los elementos del equipo que contengan medios de
almacenamiento deberían ser verificados para asegurar que cualquier
dato sensible y software con licencia se haya eliminado o se haya
sobre escrito de manera segura antes de su disposición o reutilización.
Guía de implementación
 Los equipamientos deberían revisarse para asegurar que los medios
de almacenamiento estén contenidos antes de su puesta a
disposición o reutilización.
 Los dispositivos de almacenamiento con información sensible o
con derechos de autor deberían destruirse físicamente o la
información debería destruirse, suprimirse o sobrescribirse usando
técnicas para hacer que la información original no sea recuperable,
en lugar de utilizar las funciones de borrado o formateado estándar
 11.2.8 Equipos de usuario desatendidos

 Control
 Los usuarios deberían asegurarse de que el equipo desatendido tenga la protección apropiada.
 Guía de implementación
 a) terminar sesiones activas cuando son finalizadas, salvo que se les pueda asegurar por un
mecanismo de bloqueo apropiado, por ejemplo, un protector de pantalla protegido con
contraseña;
 b) desconectarse de aplicaciones o de servicios de red cuando ya no sea necesario
 c) asegurar a las computadoras o dispositivos móviles de uso no autorizado mediante una
clave de bloqueo o un control equivalente, por ejemplo, contraseña de acceso cuando no se
encuentra en uso.
 11.2.9 Política de escritorio limpio y pantalla
limpia

 Control
 Una política de escritorio limpio de papeles y de medios de almacenamiento
removibles, así como una política de pantalla limpia para las instalaciones
de procesamientos de la información debería ser adoptada.
 a) cuando no se requiere la información sensible o crítica del negocio,
contenida por ejemplo en medios de almacenamiento electrónicos o en
papel, debería asegurarse bajo llave (idealmente una caja fuerte, un gabinete
u otro mueble de seguridad), especialmente cuando la oficina está vacía;
 b) las computadoras y terminales deberían desconectarse o protegerse con
un mecanismo de bloqueo de pantalla y teclado controlado por contraseña,
un token o mecanismo de autentificación de usuario similar cuando está
desatendida y debería protegerse por claves de bloqueo o contraseñas u
otros controles cuando no está en uso;
 c) debería prevenirse el uso no autorizado de fotocopiadoras y otras
tecnologías de reproducción (por ejemplo cámaras digitales);