material de auditoria

Unidad 5: Tipos de Auditoras de TI

Autora: Mara P. Meja De La Cruz 2



INDICE DEL CONTENIDO

Contenido.Pgina

Introduccin3

5.0 Tipos de auditora...4 5.1 Auditoria a los Sistemas de Aplicaciones y Bases de Datos..4

5.2 Evaluacin del proyecto de sistema, segn el dominio de entrega y soporte de Cobit.....5

5.3 Evaluar los sistemas base: Sistemas operativos, DBMS....8

5.4 Evaluar los sistemas segn el Ciclo de vida del desarrollo de sistema......10

5.5 Evaluacin de las base de datos.......11

5.6 Auditar los sistemas en funcionamiento..13

5.7 Auditoria de Redes y Telecomunicaciones.....15 5.8 Comprender el esquema y comportamiento de las redes y equipos de Telecomunicaciones..16

5.9 Protocolos y vulnerabilidades16

5.10 Auditoria de la Seguridad Informtica18 5.11 Evaluar la seguridad lgica y confidencialidad19

5.12Evaluar la seguridad en el personal....20

5.13 Evaluar la seguridad fsica..20

5.14 Gestin de Respaldo de Datos....21 515 Seguridad contra virus y malware....22

5.16 Planes de Contingencia y recuperacin de desastres...23

5.17 Plizas de Seguro.................25 Bibliografa..26



INTRODUCCION

El auditor informtico al ejercer su funcin debe determinar cul es el alcance, puesto que la

auditora de TI abarca todos los aspectos de la gestin y cada una de manera individual

aunque con objetivos comunes busca debe evaluar de una manera eficiente y eficaz, con el

propsito de que cada una contribuya al objetivo del rea de informtica, servir de soporte a la

organizacin para el logros de sus objetivos.

En esta unidad trataremos los tipos de auditora que se derivan de la gestin informtica

como: la auditora a los Sistemas de Aplicaciones y Bases de Datos, la evaluacin del

proyecto de sistema, segn el dominio de entrega y soporte de Cobit, la evaluacin de los

sistemas base como sistemas operativos y DBMS, tambin la evaluacin de los sistemas

segn el Ciclo de vida del desarrollo de sistema y evaluacin de las base de datos, a partir de

la integridad, confiabilidad y suficiencia de los datos.

Tambin abordaremos la auditara los sistemas en funcionamiento, la auditoria de redes y

telecomunicaciones as como conocer el esquema y comportamiento de las redes y equipos

de telecomunicaciones y los protocolos y vulnerabilidades.

Otros temas que tocaremos son: la auditoria de la Seguridad Informtica, la evaluacin de la

seguridad lgica y confidencialidad, la evaluacin de la seguridad en el personal, la

seguridad fsica, la gestin de Respaldo de Datos, la seguridad contra virus y malware,

adems de los planes de Contingencia y recuperacin de desastres y las plizas de Seguro.



5.0 Tipos de auditora

5.1 Auditoria a los Sistemas

Es la auditora aplicada al centro de cmputo, consiste en evaluar el funcionamiento de todos

los componentes del centro de cmputo desde el hardware, software, periferifericos,

instalaciones fsicas y de redes as como la operacin del sistema. Este tipo de auditora tiene

por objetivo evaluar que el sistema computacional est funcionando de manera adecuada.

La auditora de sistema tiene como propsito analizar la gestin de los riesgos asociados a los

sistemas de informacin, recomendando la adopcin de medidas que mejoren el sistema de

anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean

mitigados, eliminados, compartidos o aceptados por la organizacin.

Consideraciones que el auditor debe tener en cuenta para realizar auditora de sistemas:

El tipo de procesador computacional, capacidad de las memorias y caractersticas con

las cuales opera el centro de cmputo.

Los fabricantes del hardware, software y perifricos del sistemas

Las caractersticas y especificaciones del diseo del sistema computacional

Las plataformas, ambientes, el tamao y configuracin del sistema computacional.

La forma de administrar el sistema y sus componentes asociados

El sistema de administracin de bases de datos e informacin manejado

La arquitectura del sistema, sus perifricos, equipos asociados y dems componentes

Las aplicaciones concretas para las que estn destinado el sistema computacional.



5.2 Evaluacin del proyecto de sistema, segn el dominio de entrega y soporte de Cobit

La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos

bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento

de su supervivencia en el mercado, COBIT es precisamente un modelo para auditar la gestin

y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una

organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados

en el proceso.

COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la

seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios y

se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores

personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para proveer la

informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

Este modelo define un marco de referencia que clasifica los procesos de las unidades de

tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:

Dominio. Planificacin y organizacin

Dominio. Adquisicin e implantacin

Dominio. Soporte y servicios

Dominio. Monitoreo

En esta ocasin vamos a trabajar con el dominio Entrega y Soporte, este dominio se hace

referencia a la entrega de los servicios requeridos, que abarca desde las operaciones

tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el

fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este

dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente

clasificados como controles de aplicacin.



Definir y Administrar Niveles de Servicio.

Establecer un entendimiento comn del nivel de servicio requerido posibilitado por el

establecimiento de acuerdos de nivel de servicio que formalizan los criterios de

rendimiento contra los cuales se medir la cantidad y la calidad del servicio que ser

medido.

Administrar Servicios de Terceros.

Asegurar que los roles y responsabilidades de terceros estn claramente definidos,

cumplidos y que continen satisfaciendo los requerimientos mediante medidas de

control dirigidas a la revisin y la monitorizacin de acuerdos y procedimientos

existentes para su efectividad y cumplimiento con la poltica de la organizacin.

Administrar el Rendimiento y la Capacidad.

Asegurar que la capacidad adecuada est disponible y que se haga el mejor y el ptimo

uso de sta para satisfacer las necesidades requeridas de rendimiento a travs de la

recoleccin de datos, anlisis y reporte sobre el rendimiento de los recursos, el

dimensionamiento de la aplicacin y la demanda de carga de trabajo.

Asegurar un Servicio Continuo.

Asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar un

impacto mnimo en el negocio en el caso de una interrupcin importante. Es posibilitado

teniendo un plan operativo y probado de continuidad de TI que est en lnea con el plan

general de continuidad del negocio y con sus requerimientos de negocio relacionados.

Asegurar Seguridad de Sistemas.

Salvaguardar informacin contra el uso, revelacin o modificacin no autorizada, dao o

prdida mediante controles de acceso lgico que aseguran que el acceso a los

sistemas, datos y programas est restringido a los usuarios autorizados.

Identificar y Asignar Costos.



Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

utilizando un sistema de contabilidad de costos que asegura que los costos sean

registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada

de servicio.

Educar y Capacitar a los Usuarios.

Asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn

conscientes de los riesgos y responsabilidades involucradas mediante un extenso plan

de entrenamiento y desarrollo.

Asistir y Asesorar a los Clientes.

Asegurar que cualquier problema que experimente el usuario sea resuelto de manera

apropiada a travs de una facilidad de Help Desk que provee soporte y asesoramiento

de primera lnea.

Administrar la Configuracin.

Dar cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas,

verificar la existencia fsica y proveer una base para una administracin sensata de

cambios. Es posibilitado por controles que identifican y registran todos los activos de TI

y su ubicacin fsica, y un programa de verificacin regular que confirme su existencia.

Administrar Problemas e Incidentes.

Asegurar que los problemas y los incidentes sean resueltos, y que se investigue la

causa para prevenir cualquier recurrencia usando un sistema de administracin de

problemas que registra y procesa todos los incidentes.

Administrar Datos.



Asegurar que los datos sigan siendo completos, precisos y vlidos durante su ingreso,

actualizacin y almacenamiento mediante una combinacin efectiva de controles

generales y de aplicacin sobre las operaciones de TI.

Administrar Facilidades.

Proveer un entorno fsico adecuado que proteja el equipo de TI y la gente contra riesgos

naturales y provocados por el hombre. Es posibilitado por la instalacin de controles

ambientales y fsicos adecuados que sean revisados regularmente en busca de su

funcionamiento apropiado.

Administrar Operaciones.

Asegurar que las funciones importantes de soporte de TI se realicen regularmente y en

la forma debida mediante un programa de actividades de soporte que es registrado y

aprobado para la realizacin de todas las actividades.

5.3 Evaluar los sistemas base: Sistemas operativos, DBMS

5.3.1 Evaluacin del sistema operativo.

Existen distintos software de sistemas Operativos, que hacen necesario evaluarlos y

clasificarlos. El factor comn en los sistemas operativos son: el uso de puertos de acceso

que pueden constituir una vulnerabilidad.

Para realizar una auditora de Sistemas Operativos, es de suma importancia que el auditor

est familiarizado con los conceptos y caractersticas de cada uno de los sistemas operativos.

Tambin es necesario que se conozcan las actividades de la organizacin, con el fin de

conocer la orientacin y el uso de este dentro del rea a auditar.

Los objetivos que se persiguen con la auditoria del sistema operativo son:



El uso eficiente de los equipos de cmputo

Deteccin de fallas y mejoras en la seguridad de la informacin (nivel usuarios y archivos)

Los puntos ms frecuentes a auditar en un Sistema Operativo son los siguientes:

Licencias

Arquitectura

Caractersticas generales

Sistema de Archivos

Compatibilidad de controladores

Interfaz

Usuarios y permisos

Servicios del Sistema Operativo

Herramientas de mantenimiento

Nivel de Actualizacin

5.3.2 Evaluacin al sistema de Gestores de Base de Datos (DBMS) DATABASE

MANAGEMENT SYSTEM .

Un aspecto muy importante que debe tener en cuenta el auditor informtico es la evaluacin

del DBMS, puesto que en su ncleo (kernel) se encuentra el catlogo (componente

fundamental para la seguridad de la base de datos), el cual ofrece utilidad al administrador

tales como:



Crear usuarios Conceder privilegios Otras actividades

relativas a la confidencialidad

Estas se encarga de la recuperacin de la base de datos: rearranque, copias de respaldo,

ficheros diarios (log).

En la actualidad todos los sistemas manejadores de base de datos ofrecen las funciones de

auditora, este permite registrar ciertas operaciones realizadas sobre la base de datos en un

fichero (o en un conjunto de tablas) de pistas de auditora, el auditor deber revisar:

La utilizacin de todas las herramientas que ofrece el DBMS

Las polticas y procedimientos que sobre su utilizacin se hayan establecidos

Estas revisiones el auditor la debe realizar con el objetivo de valorar si son suficientes o si se

deben mejorar.

5.4 Evaluar los sistemas segn el Ciclo de vida del desarrollo de sistema

Los sistemas en la empresa permiten tener proceso ms agiles, rpidos y exactos y para que

este est disponible pasa por un ciclo de vida que va desde:



Planeacin Anlisis y Diseos

Desarrollo Implantacin

Como toda actividad que inicia bien puede terminar bien y desde el la planeacin del sistema

se pude establecer los debidos controles que permitan una establecer una seguridad

razonable, las metodologa utilizadas para el desarrollo de los sistemas tienen establecido la

manera como esta se deben realizar, lo cual el auditor debe revisar que se hayan desarrollado

e implantado el sistema basado en esos estndares. Pero hay que recordar que el papel del

auditor en esta tarea es solo recomendar no aplicar.

5.5 Evaluacin de las base de datos, a partir de la integridad, confiabilidad y

suficiencia de los datos

La auditora a la base de datos es fundamental para el control interno y la auditora de las

aplicaciones y para proporcionar confianza sobre el sistema de informacin.

COBIT, define la informacin como los datos en todos sus formato, de entrada, procesados o

de salida de los sistemas de informacin sea cual sea la forma que son usados por la

organizacin.



METODOLOGIA PARA LA AUDITORA DE BASES DE DATOS

Siguiendo la metodologa propuesta por ISACA, se inicia fijando los objetivos de control que

minimizan los riesgos potenciales a los que pueden estar sometido el entorno de la base de

datos.

Objetivo de Control:

El DBMS deber preservar la confidencialidad de la base de datos.

Una vez establecidos los objetivos de control, se especifican las tcnicas especficas

correspondientes a dichos objetivos, ejemplo:

Tcnica de control

Preventivas:

Tcnica de control

detectivas

Tcnica de control

correctivas

Se debern establecer los

tipos de usuarios, perfiles y

privilegios necesarios para

controlar el acceso a la base

de datos.

Monitorizar los accesos a la

base de datos.

Llevar a cabo copia de

seguridad.

Cuando el auditor comprueba que existen los controles, entonces se disean las pruebas, las

cuales pueden ser:

Pruebas de cumplimiento Pruebas de sustantivas



Permiten verificar la consistencia de los

controles.

Ejemplo: Listar los privilegios y perfiles

existente en el DBMS.

Permite comprobar si la informacin ha

sido corrompida comparndola con otra

fuente, o revisando los documentos de

entrada de datos y las transacciones

que se han ejecutado.

Controles sobre la integridad.

Los controles sobre la integridad buscan mantener la exactitud y confiabilidad de los datos as

como la recuperacin de los mismos en casos de emergencia.

Ejemplo de ello se tienen:

Controles sobre la modificacin de la informacin contenida en las mismas.

Controles de calidad, que aseguran la exactitud y consistencia de la informacin

incorporada a la base de datos.

Controles de recuperacin en caso de desastres (Copias de Seguridad).

5.6 Auditar los sistemas en funcionamiento

En auditoria informtica, el rea ms dispendiosa es la constituida por los sistemas de

funcionamiento especialmente cuando los procesos estn en lnea y en tiempo real.

Este tipo de auditora se utiliza mtodo y procedimientos tradicionales de la auditora, pero se

debe tener en cuenta la naturaleza de cada aplicacin, su propio sistema de control interno y



de auditoria. En consecuencia, el auditor debe tener presente esta circunstancia para definir y

abordar la evaluacin a los sistemas en funcionamiento. No es igual auditar una empresa de

produccin, una empresa de servicios o una empresa comercial cuyos procesos pueden estar

dndose en ambientes de computacin, tipo Batch o en lnea, a travs de modalidades de

baja, mediana o alta complejidad.

CONOCIMIENTO DEL AREA DE SISTEMAS EN FUNCIONAMIENTO

A partir de un estudio preliminar del rea de sistemas en funcionamiento, el auditor definir el

orden de prioridades a seguir en el proceso de auditora.

Para conocer cada uno de los sistemas en funcionamiento es necesario examinar la

documentacin expresada por lo menos los siguientes manuales:

1. Del sistema

2. Del programa

3. De conversin

4. De operacin

5. De biblioteca

6. Del usuario

7. De control

OBJETIVOS DE LA AUDITORIA

La auditora de los sistemas en funcionamiento normalmente se gua por los siguientes

objetivos:

1. Evaluar el grado de organizacin y de asignacin de responsabilidades en la preparacin de

los datos, en el origen.

2. Comprobar que todos los datos enviados a proceso sean debidamente autorizados.

3. Verificar que todos los datos autorizados y validados sean debidamente validados.

4. Verificar que todos los datos autorizados y validados sean debidamente procesados.

5. Cerciorarse de que todos los datos se procesen con exactitud.



6- La configuracin y arquitectura del sistema computacional

7- Las actividades y operaciones tcnicas del sistema

8- Los tiempos productivos y no productivos del procesador.

5.7 Auditoria de Redes y Telecomunicaciones

Una Auditora de redes consiste es una serie de mecanismos mediante los cuales se pone a

prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una

utilizacin ms eficiente y segura de la informacin.

En este tipo de auditoria se evala: la estructura fsica(hardware, topologa) y lgica (software,

aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle un anlisis de

vulnerabilidad para saber en qu grado de exposicin se encuentra la red, luego se procede a

localizar sus puntos s ms crticos, para proponer una estrategia de saneamiento delos

mismos; un plan de contencin ante posibles incidentes; y un seguimiento continuo del

desempeo del sistema tomando en cuenta el modelo OSI.

La auditora a las redes y telecomunicaciones buscar determinar el grado de riesgo que

enfrentan las organizaciones y se debe evaluar:

Nivel fsico

Nivel de enlaces

Nivel de red

Nivel de transporte

Nivel de sesin

Nivel de presentacin

Nivel de aplicacin



5.8 Comprender el esquema y comportamiento de las redes y equipos de

Telecomunicaciones

El auditor debe tener claro las reglas de las redes de comunicacin la cual establece el

permetro de seguridad, que asla la rede interna del exterior. Existen tres zonas que deben

estar debidamente delimitadas:

Intranet:: es la red interna, privad y segura, de una empresa, utilice o no medios de

transporte de terceros.

Zona desmilitarizada DMZ: es el permetro de seguridad que conecta la red interna a

una red externa (como internet), dejando pasa slo el trfico legtimo.

Internet: es la red de redes en donde se conecta cualquier red que se desee abrir al

exterior.

5.9 Protocolos y vulnerabilidades

En la evaluacin realizada a la rede y telecomunicaciones es muy importante revisar el

funcionamiento los protocolos de red tales como:

IP (internet protocol, protocolo de internet)

ICPM (internet control message protocol, protocolo de control de mensajes en internet)

TCP (transfer control protocol, protocolo de control de transferencia)

UDP (user datagram protocol, protocolo de datagramas de usuarios)

FTP (file transfer protocol, protocolo de transferencia de archivos)

SMTP (simple mail transfer protocol, protocolo simple de transporte de correo)

SNMP (simple network management protocol, protocolo simple de administracin

red)

de

DNS (domain name system, sistema de nombre de dominio)

Telnet (telecommunication network, Red de telecomunicaciones)



Otro punto de inters es conocer cules son las reas vulnerables para establecer los

debidos controles que puedan impedir que estas sean explotadas y producirse un

evento que ponga en riesgo la red, estas vulnerabilidades pueden ser:

Vulnerabilidad en capa fsica, enlace y red

Producto de la naturaleza de la tecnologa en la red fsica se producen ciertas incidencias

como:

Alteracin de bit. Se da por error en los medios de transporte cuando una trama sufre variacin

en su contenido.

Alteracin de secuencia. Se produce cuando el orden en que se envan y se reciben una trama

no coincide.

Ausencia de paquetes. Se produce por sobrecarga, direccionamiento o error en el medio, las

tramas pueden desaparecer en el camino del emisor al receptor.

Ahora bien los riesgos ms delicados son:

Indagacin. Cuando un paquete es ledo por un tercero, obteniendo la informacin que

contenga

Suplantacin. Un tercero puede producir un paquete espurio que el receptor cree proveniente

del emisor legtimo.

Modificacin. Un tercero puede alterar el contenido del paquete

Vulnerabilidad en el transporte

Se puede producir en:

Los nodos en los enlaces como medida se deben tener nodos replicados para prevenir

contingencias.



5.10 Auditoria de la Seguridad Informtica

La auditora de seguridad informtica consiste en la evaluacin, anlisis y generacin de

Soluciones para el recurso computacional de la organizacin.

Carlos Muoz la define como Revisin exhaustivas, tcnica y especializadas que se realiza a

todo lo relacionado con la seguridad de un sistema computacional, de su rea y personal, as

como las actividades, funciones y acciones preventivas y correctivas que contribuyan a

salvaguardar la seguridad de los sistemas computacionales, de las bases de datos, redes,

sistemas, instalaciones y usuarios del mismo.

En este tipo de auditora se evalan el impacto que puede producirse en:

Los sistemas computacionales y dispositivos perifricos

En la informacin institucional y bases de datos

En los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems

software.

En los activos informticos del rea de sistemas

En el personal informtico y los usuarios del sistema

En la proteccin y conservacin de locales, instalaciones, mobiliario y equipos

En los accesos a las reas de sistemas, as como a sus sistemas computacionales,

informacin y software

En la arquitectura de las telecomunicaciones

En los sistemas de redes, sistemas mayores y PCs.

En la piratera informtica

En los virus informticos.



5.11 Evaluar la seguridad lgica y confidencialidad

La seguridad lgica determina:

El auditor informtico especializado en seguridad informtica debe evaluar:

Si el acceso permite diferenciar si es lectura, con posibilidad de modificacin

A los diferentes recursos; base de datos, diccionario de datos, redes, utilidades, servidores,

bibliotecas de programas, sistemas operativos, normas y procedimientos as como ficheros

entre otros.

En cuanto a los datos, si las proteccin es a lo largo de todo el ciclo de vida

El propio sistema de clasificacin debe ser objeto de revisin, quien ha fijado los criterios,

procesos de aprobacin. Puede ser desde la perspectiva de la confidencialidad, adems de

otras especificaciones como respecto a datos personales, segn se ha identificado.

Proceso de automatizacin de perfiles de usuarios, gestin de usuarios y administracin de

los recursos de privilegios.

Sistema de identificacin y autenticacin.



En el caso de contraseas: caractersticas y robustez, asignacin, longitud, vigencia,

posibilidad de repeticin, cifrado, proteccin/ sustitucin de las que llegan en los sistemas o se

generan por defecto, as como limitacin en cuanto a intentos. Aviso al entrar del ltimo

acceso y del ltimo intento.

5.12 Evaluar la seguridad en el personal

Si bien es importante es evaluar los sistemas, las redes los equipos y otros as de importante

es conocer el nivel de seguridad del personal, pues por y para el personal existen los

sistemas.

El auditor debe evaluar la seguridad en el personal como:

Definicin de funciones. Asignacin de responsabilidades

Seleccin de colaboradores (en esta parte se debe hacer un estudio previo de

antecedentes y riesgo potencial) y proceso de contratacin y modalidad.

Formacin y concienciacin sobre la seguridad. Posibles medidas disciplinarias

previstas.

Acerca de la terminacin de la relacin contractual de empleados y de

colaboradores. Se debe dar baja de claves y de derechos de accesos: fsico y

lgico.

Proteccin frente a hackers, crackers, personal interno o colaboradores

descontentos, antiguos empleados o colaboradores o usuarios potencialmente

peligrosos.

Compromisos de confidencialidad. Cdigo tico/de conducta, tambin respecto

a: Responsables/administradores de la seguridad. Manual del empleado/del

usuario de los sistemas, aunque sea externo.

5.13 Evaluar la seguridad fsica

El auditor de sistema debe evaluar adems de las reas antes mencionadas la seguridad

fsica, puesto que en esta pueden ocurrir eventos que pongan en riesgo la informacin y por

ende el incumplimiento de los objetivos, en la auditora al rea fsica se debe evaluar:

Ubicacin de centros y de servidores, y proteccin de personas, de datos y de otros activos.



Protecciones frente a terremotos, sabotajes, terrorismo, inundaciones, explosiones, huelga y

otros.

Temperatura, humedad y aire acondicionado.

Protecciones frente al fuego (detencin y extincin) y al agua.

Control de entrada y salida de paquetes, bolsos, carteras, mochilas etc.

Control de accesos (llaves, claves, tarjetas, biometra y otros sistemas).

Evaluacin de personas, alarmas, control de presencia, salidas alternativas

Continuidad de la energa (SAI y grupos electrgenos), y previsin de picos y

oscilaciones.

Proteccin de despachos y zonas abiertas. Ubicacin de terminales. Proteccin de

porttiles como: laptop, table, Smartphone y otros.

Proteccin de soportes, de datos en papel y de documentacin, tanto en su

almacenamiento como en el transporte.

5.14 Gestin de Respaldo de Datos

Si es bien conocer el nivel de seguridad que presentan los sistemas, redes, personas,

equipos y otras reas es sumamente importante el conocimiento de grado de seguridad que

se le da a la gestin de respaldo de datos, puesto que si estos no se le da el debido cuidado

puede estar en peligro.

El auditor debe evaluar las copias de respaldo para determinar:

Si se han determinado los riesgos y la criticidad de recursos y de procesos.

Cobertura de las salvaguardas.

Si estn definidos los equipos de recuperacin

Si estn definidos las personas responsables de realizar las copias de seguridad



5.15 Seguridad contra virus y malware

Los virus son programas y por esta condicin solo actan cuando estos son ejecutados, y

estos se propagan tanto va red o por medios de almacenamiento como CD/ memoria, diskette

entre otros.

Cada da los sistemas operativos son ms interoperable e interactivo pero estas

caractersticas han dado paso a que los virus y malware se hayan perfeccionado y adaptado a

las nuevas circunstancias, aumentndolos diferentes tipos y mtodos de infeccin, ejemplo los

scripts de Visual Basic o de Java que llegan en tericos ficheros de juegos, de protector de

pantalla u otros.

Estos programas maliciosos son muy peligros pues en muchos casos se ejecutan con tan solo

abrir el correo y al querer visualizar un mensaje ejecuta un script que nos conecta con una web

desde donde se actualiza o carga y se ejecuta, reenvindose a toda nuestra librera de

direcciones de correo al mismo tiempo que busca en nuestros disco informacin como claves

de acceso a internet, a bancos, cuenta corrientes o lugares privados de la red, enviando toda

la informacin a algn lugar de internet y lo peor una vez logrado su objetivo borrar nuestro

sistema.

Otras acciones que hacen los virus son:

Buscar informacin privilegiada como nombre de usuarios

Buscar claves de cuentas de acceso en web bancarias e inversiones.

El auditor debe verificar que:

La organizacin cuente con los debidos programas antivirus

La organizacin tenga establecidos las polticas de antivirus esta debe especificar :

Fecha de instalacin y actualizacin

Establecer restricciones para los medios ptico y magntico de almacenamiento (CD,

memoria y disco)



Establecer restricciones para ciertos sitios web

Permitir descarga de sitios autorizados

Permitir o prohibir uso de dispositivos de almacenamiento.

5.16 Planes de Contingencia y recuperacin de desastres

Gran parte de las organizaciones no cuentan con planes de contigencia y recuperacin de

desastres lo que pone en peligro la continuidad del negocio y este aspecto debe ponerse

mucho nfasis, pues que podra pasar en caso de la ocurrencia de un siniestro, es por tal

razn que en la auditora de seguridad informtica se evale

Si se ha analizado el impacto en el negocio de cada posible situacin p escenario.

Si existe una clasificacin de incidencias

Si existe una estrategia de recuperacin

Si existen alternativas a activar en funcin de los casos

Si estn definidos los diferentes equipos de recuperacin

Si las personas afectadas estn informadas y entrenadas

Si estn disponibles los recurso mnimos necesarios (ejemplo: centro alterno)

Si estn documentados las utilizaciones de los recurso tanto econmico como

materiales y personales.

Si se han realizado las pruebas de lugar

Nivel de actualizacin tanto de la documentacin como de la criticidad asignada y de los

recursos previstos.



5.17 Plizas de Seguro

Una vez la organizacin decide incursiona en la implementacin e implantacin de un sistema

de informacin debe estar consciente de los riesgos que pueden presentarse y por tanto debe

definir como susanar el riesgo por lo tanto debe elegir las opciones ms idneas y estas son:

Asumir el riesgo: se acepta el riego potencial sin tomar medidas.

Evitar el riesgo: si la prestacin de un servicio supone un gran riesgo, el servicio se

deja de prestar.

Gestionar el riesgo: establecimiento de una serie de controles y contramedidas que

permiten mitigar o limitar el riesgo a unos niveles aceptables.

Transferir el riesgo: se traspasa el riesgo a otra compaa (contrato de outsourcing,

pliza de seguro).

Una opcin pude ser transferir el riesgo este consiste en cubrir el riesgo mediante una pliza

de seguro. Esta opcin tiene sus ventajas y sus inconvenientes. Las ventajas: ms sencilla de

aplicar, ms econmica, ya que nos evitamos la adopcin de inversiones, contratacin de

personal, etc. necesarios si decidiramos gestionar el riesgo.

La desventaja ms clara es que se trata de una medida paliativa, que nicamente se podr

aplicar cuando ya se ha producido el dao y que slo permitir recuperar los aspectos

econmicos. La adopcin de un seguro forma parte, por lo tanto, de la estrategia de

continuidad de negocio.

La pliza de seguro deber cubrir varios aspectos de la Seguridad de la Informacin; y deber

estar dividida en mdulos o apartados que permitan adaptarla con facilidad a las diferentes

situaciones. Los apartados fundamentales son los siguientes:

Instalaciones y equipos: cubrir los daos a las instalaciones de proceso de

informacin y equipamiento correspondiente.

Recuperacin de datos: cubrir los daos a los medios de almacenamiento y a la

informacin almacenada en ellos, tanto on-line y off-line (en funcionamiento o no) como

en trnsito. Las polticas debern explicitar que toda informacin que vaya a transitar de

un lugar a otro, deber ser previamente copiada o escaneada (documentacin en

papel).

Gastos extra: destinado a cubrir aquellos gastos extras necesarios para restablecer las

operaciones. Contratacin de personal o compaas especializadas, compra de

equipamiento, etc.



Interrupcin del negocio: deber cubrir la prdida de beneficios netos producida por la

ocasional interrupcin momentnea del negocio.

Valor de la documentacin no informatizada: cubrir por el valor declarado de la

documentacin no informatizada que se haya quedado daada o perdida

definitivamente.

Errores y omisiones: deber cubrir econmicamente y con proteccin legal ante un

posible error, omisin o negligencia de un profesional que cause daos a un cliente.

Conviene recordar que los seguros cubren nicamente prdidas financieras. Ante una

incidencia de gran magnitud (desastre), adems de los aspectos financieros, tendremos que

hacer frente a una prdida de imagen, de prestigio y de confianza.



BIBLIOGRAFIA:

Muoz Razo, Carlos (2002) Auditora en Sistema Computacionales (Primera Edicin)

Mxico: Pearson Prentice Hall.

Murray R. Spiegel (2010) Probabilidad y Estadsticas (Tercera Edicin) McGraw-Hill.

Piantini Velthuis, Mario; Del Peso, Emilio (2008) Auditora de Tecnologas y Sistemas de

Informacin (Primera Edicin) Mxico: Alfa Omega

Piantini Velthuis, Mario; Del Peso, Emilio (2001) Auditora Informtica: Un enfoque prctico

(Segunda Edicin) Mxico: Alfa Omega.

Documents

material de auditoria