Professional Documents
Culture Documents
1
En tiempos tan modernos como los que vivimos, donde la tecnología crece a pasos
agigantados y al parecer no existe nada que la pueda detener, todo indica que tenemos que
estar preparados para afrontar los retos que nos exigen los cambios tecnológicos.
La información pasó a ser la parte más importante de las empresas, industria militar e
instituciones y la forma en que se administre y se controle esa información dará como
resultado seguridad a los grandes consorcios. Es por esta necesidad que surgen los sistemas
de información.
Los sistemas de información no son otra cosa que la administración de la tecnología que
involucra un conjunto de recursos, metodologías, documentación, software, hardware y
dispositivos electrónicos, vinculados para lograr un fin común en un ambiente dado.
Controlando principalmente tres conceptos:
1.- Privacidad:
La información debe ser vista y manipulada únicamente por quienes tienen el
derecho o la autoridad de hacerlo.
2.- Integridad:
La información debe ser consistente, fiable y no propensa a alteraciones no
deseadas.
3.- Disponibilidad:
La información debe de estar en el momento que el usuario quiera de ella.
Para que un sistema de información cumpla con los conceptos anteriores deben de existir
dos rubros importantes.
La seguridad en los sistemas de información debe de existir en todos los niveles, sin
embargo, estamos convencidos que no existe una seguridad que sea invulnerable. Hoy en
día cuando nos damos cuenta de la vulnerabilidad de los sistemas de seguridad
consideramos que es un tema importante de tratar.
2
El servicio de auditoria y análisis ofrece la oportunidad de verificar a fondo los sistemas,
con el fin de determinar el grado de fiabilidad y el rendimiento de acuerdo con los
estándares de la industria.
En esta tesis, hablaremos de los riesgos que afectan a los recursos en sistemas de
información, por ser éstos los que el área de Auditoria en sistemas debe de identificar,
evaluar y sugerir controles, con objeto de que se conserven dentro de un nivel razonable.
Analizamos cada una de las necesidades requeridas para auditar Sistemas de Información,
como son: técnicas administrativas, experto en aplicación de software, experto en
aplicación y mantenimiento de hardware, análisis y diseño e implementación de nuevas y
modernas tecnologías, por lo tanto proponemos que se incluya en las actividades
profesionales de un egresado de Ingeniería en Instrumentación Electrónica este campo
nuevo y moderno de aplicación.
ANTECEDENTES.
Hoy en día existe una imperiosa necesidad de reducir los riesgos en el uso de las
tecnologías (1) de la información en las organizaciones, así como una latente inquietud y
preocupación sobre el tema de seguridad en sistemas, tanto de las instituciones del sector
público como del privado.
El riesgo (2) de detener o entorpecer las operaciones estará en función directa al número de
aplicaciones automatizadas y a la importancia de estas.
.
Es de considerar:
•De acuerdo con la American International Group (una de las principales aseguradoras del
mundo) la criminalidad en sistemas de información están aumentando a un ritmo del 500%
a nivel mundial
Con respecto a una encuesta realizada por la Fundación Arturo Rosenblueth (3) sobre:
¿Que tanto conoce sobre la industria de la seguridad en sistemas de información en
México?
No Opinó Mucho
5% 5% Más o Menos
15%
No Conozco
75%
Figura 1.- Conocimiento sobre seguridad
en sistemas de información.
4
No sabe
Comprensión Limitada 42%
53%
Hoy en día existe un incremento importante de delitos por medios electrónicos que han
llevado a diversas instituciones al quebranto y pérdidas cuantiosas, afectando a accionistas,
clientes, empleados y a la propia economía nacional.
• Gente
• Datos
• Software
• Hardware
• Dueño
• Usuario
• Ingeniero encargado
5
Se puede definir la seguridad en sistemas de información como: “la administración y
protección de los recursos de cómputo que tiene la empresa y que accesan los usuarios”.
Hoy en día se habla de Seguridad de los Sistemas de la Información como un término más
completo, contemplando todos los rubros que tengan que ver con la tecnología moderna.
El papel del auditor en los sistemas de información tiene amplio alcance y sobrepasa la
visión del auditor-investigador-policía; es de gran relevancia señalar que el auditor debe
tener conocimientos de reingeniería, sistemas electrónicos, redes y una amplia visión
tecnológica, dando mayor importancia a los enfoques preventivos, ya que la función se
relaciona con el impacto de la organización y la dinámica meteórica de cambio(5)
(evolución tecnológica).
Por otra parte, cada día es más importante mantener seguros los datos en que se trabajan las
empresas; ya que si la información es algo intangible, ésta representa el grado de utilidades
que pueden obtener las empresas y de ahí la necesidad de establecer controles con objeto de
reducir los riesgos a que están expuestos los mismos.
6
El punto de vista de la Auditoria en sistemas es esencial para la seguridad de los sistemas y
de todos los activos tecnológicos con los que cuentan las empresas, ya que la función del
auditor va encaminada a prevenir y vigilar el control de la función del procesamiento de
datos, apoyar en el establecimiento de estándares en la empresa y pugnar por la
conservación de los activos tecnológicos de la misma.
Se podrá juzgar que la revisión del auditor en algunos casos es exagerada, pero hay que
tener en cuenta que la capacidad de destruir o cambiar la información junto con la habilidad
de extraer información en medios magnéticos, le otorga al usuario final un enorme poder.
Por que en algunas situaciones se presenta en fraudes, robo electrónico, alteración o
modificación de programas, difamación, etc., riesgos que finalmente repercuten en daños
económicos, que pueden llegar a magnitudes impresionantes.
Por último y con el fin de tener un panorama más general de Auditoria en sistemas de
información, existen diferentes criterios para la determinación de la estructura orgánica del
área de la Auditoria en sistemas, ya que las mismas se establecen de acuerdo a las
necesidades propias de la empresa, de manera general el personal se encuentra estructurado
a proyectos que vienen siendo las áreas de participación del auditor en sistemas de
información.
La auditoria en sistemas de información se define como: “la función que ayuda a asegurar
que las organizaciones cuenten con procedimientos y controles que salvaguarden los
sistemas de información, basados en los principios de Confidencialidad, Integridad y
Disponibilidad de la información”.
7
Ya se ha comentado de los antecedentes, su importancia, su relación con el área de
auditoria, incluso hasta se ha definido pero, ¿que objetivos son los que persigue?
INTERRELACIONES.
El objetivo no debe ser separar o diferenciar ambientes, sino construir una relación de
trabajo constructiva que permita la interdependencia de ambos.
8
como diferencias en el amplio campo de la seguridad y el control, es difícil tener una sola
opinión sobre cada aspecto, pero cualquier desacuerdo que se presente debe ser claramente
entendido por ambos grupos y deben referirse a la implementación, no a los principios.
Las siguientes sugerencias ayudarán a mantener una efectiva y productiva relación entre las
funciones del grupo de Seguridad y Auditores en Información:
9
CAPITULO I
RIESGOS Y CONTROLES
10
1.1 RIESGOS.
Los riesgos, son la posibilidad de que ocurra algún evento negativo para las personas y/o
empresas. Los riesgos, están presentes en todas las actividades de las personas y/o
empresas.
A medida de que aparecen cosas nuevas en todas las ramas, los riesgos se van
incrementando, es decir, aunque sabemos que algunos riesgos han estado presentes sin
importar las circunstancias, existen otros que se generan en forma paralela al uso cada vez
más grande de recursos humanos y/o materiales.
Los nuevos riesgos que involucran a los sistemas de información no sólo quedan cifrados a
la pérdida o robo de algunos equipos, sino que la mayoría de ellos se presentan en el
contenido y en la posibilidad de alteración de los registros magnéticos, ya que en ella se
encuentra el activo “vital” de la empresa, que es la información.
Los riesgos se pueden definir como: la posibilidad de que ocurra algún evento negativo
para las empresas, considerando los recursos humanos, recursos materiales y recursos
técnicos.
a) Riesgos Internos
b) Riesgos Externos
a).-Los riesgos internos son los más sencillos de prever, sin embargo, son los que se
presentan más continuamente, como ejemplo tenemos:
11
• Fraude.- Este riesgo, considera la manipulación de la información a fin de obtener
un beneficio ilegítimo para la persona que lo realiza.
b).-Los riesgos externos son aquellos que se presentan en el ambiente físico y social que
rodea a la empresa y en el caso de tratar, son aquellos que rodean el área de ingeniería,
tenemos:
• Naturales.- Son aquellos que se producen por condiciones naturales, como: temblor,
incendio, inundación, etc.
• Humanos.- Estos pueden confundirse con riesgos internos, pero la diferencia es que
en este caso son producidos por personas ajenas a la empresa y estos pueden ser:
robo, sabotaje, fraude, etc.
Dentro de las actividades del auditor y casi al concluir su revisión debe de realizar una
evaluación del riesgo, a fin de determinar el nivel de riesgo en que se encuentra el área o la
empresa auditada, esta es una parte laboriosa, misma que debe de realizarse a través de
alguna metodología desarrollada por el mismo o por la empresa donde trabaja, por ello, es
conveniente tomar en cuenta factores que permitan incorporar criterios de evaluación, como
puede ser: posibilidades de ocurrencia, impacto operativo, etc.
1.2. CONTROLES.
Toda empresa o área, esta sujeta a errores en la administración, fallas y abusos en general,
dándose con ella la necesidad del establecimiento de controles, para reducir estos riesgos.
“Procedimientos que tienden a disminuir los riesgos, es decir, la posibilidad de que existan
errores en la información o bien ineficiencia operativa.” (++)
Los controles generalmente los encontramos clasificados en los siguientes rubros:
(+) Conf. Program and Abstracts, First Annual Conference (1997). University, Miami, FL. 46.
12
(++) Franklin, Enrique B. Auditoria Administrativa, 1ra. Edición, México, Mc Graw Hill 2000, pag. 2-12.
1.3. CONTROL INTERNO.
El control interno es una de las más importantes responsabilidades de todo directivo: Jefe
de Departamento, Gerente de Sucursal, Gerente de Área, Subdirector y/o Director, etc.
a).-El ambiente de control, comprende la filosofía y estilo de operación, una estructura con
tramos de control razonables y niveles de supervisión, un control de desempeño,
político y práctico de personal.
b).-El sistema financiero, comprenden los métodos, políticas y registros establecidos para
asegurar que las transacciones de la organización sean identificadas, registradas en su
totalidad, descritas claramente, cuantificadas con precisión, debidamente clasificadas y
representadas en los estados financieros.
13
El control interno en el ámbito de sistemas de información, debe perseguir de manera
general:
• Promover la eficiencia de la operación.
Estas políticas pretenden disminuir diversos riesgos del entorno en el que se desenvuelve
una empresa y del manejo de esta:
• Disposiciones legales.
• Estándares.
• Políticas internas, etc.
• Protección de activos.
Para el análisis de controles, es necesario elaborar una tabla de controles para evaluar la
cantidad del control, la tabla a su vez debe de considerar todas las causas de riesgo que se
encuentren presentes, con esto se determinaría cuales hay que implantar o bien cuales se
encuentran implantados en una situación particular.
14
EJEMPLO
En esta revisión, podríamos decir, que también incluye la consideración, de que tan
confiable, se espera que sea cada control en una situación específica.
a).-Controles externos: Este tipo de controles apoyan para un chequeo independiente de las
actividades de los sistemas de información.
• Controles de frontera.
• Controles de entrada.
• Controles de procesamiento.
• Controles de operaciones computacionales.
• Controles de aplicaciones.
• Controles de salida.
De lo anterior, van implícito controles a nivel de una aplicación, mismas que persiguen los
objetivos de totalidad, exactitud, automatización, mantenimiento, oportunidad y utilidad de
la información.
15
• Controles de seguridad.- Aquí incluyen todas las operaciones físicas y de
procedimiento que se usan para asegurar a los activos electrónicos, contra cualquier
desperfecto o accidente.
Existe gran cantidad de técnicas que pueden emplearse para disminuir los riesgos en un
ambiente de procesamiento electrónico de datos, así como técnicas para emplearse en todo
el ámbito de sistemas de información.
Son aspectos que garantizan que los controles básicos operen adecuadamente, tal como
fueron diseñados, estas disciplinas además garantizan que los controles se detecten
oportunamente, como ejemplo tenemos:
• Segregación de funciones.
• Adecuada custodia de activos.
• Supervisión, etc.
16
CAPITULO II
SEGURIDAD EN SISTEMAS DE INFORMACIÓN
17
2.1 LA FUNCIÓN DE SEGURIDAD DE LOS DATOS.
Por otro lado, es un fin primordial del Derecho el proporcionar Seguridad Jurídica a la
sociedad y obligación del Estado el promulgar y aplicar normas que den efectiva seguridad
a la población a la que debe servir.
18
La avaricia, la codicia y en ocasiones la necesidad, han llevado al hombre a pretender
apoderarse de lo ajeno. El dinero, ha sido y sigue siendo una de las fuentes más importantes
de criminalidad en el mundo.
El fraude electrónico y los delitos informáticos en general, que más adelante analizaremos,
representan igualmente un peligro para nuestra sociedad moderna, para la Seguridad
Jurídica y la eficiente operación computacional, de las transacciones bancarias y
financieras, tanto en México, como en el resto del mundo, esto último, porque las
necesidades mundiales de acceso internacional, se ven realizadas crecientemente gracias a
las tecnologías electrónicas y de telecomunicaciones, pero haciendo un alto en el camino,
debemos meditar y reflexionar, que no sólo en la actividad bancaria, sino en el comercio y
la industria en general, el público y la sociedad entera, reclama la existencia de Seguridad
en su información y en ello Seguridad Jurídica en el campo de la tecnología moderna.
La importancia del tema quizá no podrá ser comprendida cabalmente, por el ajeno a ésta
problemática, si no la ilustraremos con cifras y estadísticas que cuantifiquen los daños
específicos, que se pueden resentir y sufrir, con afectación gravísima de la economía y de la
sociedad en general.
20
Como se podrá observar, de las estadísticas anteriores, los daños económicos, pueden llegar
a magnitudes impresionantes que inclusive, en alguna medida, afectan la economía
nacional, por no decir la de las propias empresas o instituciones afectadas.
21
• Desvío de fondos bancarios
Como se podrá observar, la experiencia criminalística en esta área es muy basta y podría
dar pauta a la imaginación novelística y a esquemas de peligrosa criminalidad, sin límites.
Caso en México del ...Robo de Electricidad", que provocó una reforma legislativa, en
materia del hurto y aprovechamiento indebido de fluidos y energía eléctrica, etc., debido a
la falta del tipo y definición del ilícito penal, es decir de la figura descriptiva de la conducta
criminal. La impunidad ante la falta de una ley que defina el tipo, o sea, la conducta
criminal que la sociedad desea reprimir y sancionar.
Dentro de las figuras delictivas en información, uno de los casos que más están
proliferando en el mundo son los famosos:
Virus de software
• VIRUS DE HAIFA
• CABALLOS DE TROYA
• VIRUSWARE
Se les conoce de ésta manera por su semejanza con los microorganismos y su capacidad de
reproducirse, escondidos dentro de grandes sistemas de programación, produciendo la
destrucción de archivos enteros, programas e información vital, con altísimos costos para
reparar los gravísimos daños que la pérdida de la información, programas y archivos suele
causar.
22
El problema del Virus del Software, prolifera en función del acceso a la información de las
computadoras personales. El proceso distribuido a través de las microcomputadoras y las
redes junto con las facilidades de telecomunicaciones facilitan éste tipo de crimen
electrónico.
Los países que más problemas han tenido con los virus del software se describen en la
tabla 4.
Israel
Gran Bretaña
Estados Unidos
Países afectados
Suiza
España
México
• Actos de piratería
• Software interno
• Software propiedad de terceros
Inversiones cuantiosas y a veces años de trabajo, son requeridos para lograr exitosamente
implementar un sistema, ¿Debe entonces este software y hardware interno ser protegido?
¿Cómo lograrlo?
23
Bien, podríamos afirmar que igualmente interesa a la Seguridad en sistemas, buscar
esquemas de protección legal, al software y hardware que produce y porta la información y
resultados, en el proceso de su información interna, ya sea propio o propiedad de terceros.
Protegerlo en consecuencia:
24
2.2.3 SOFTWARE Y HARDWARE PROPIEDAD DE TERCEROS.
¿Se puede permitir exponer a nuestra Institución o Empresas a cargos por el delito de
contrabando y otras infracciones fiscales, por traer al país, Software ilegalmente
importado?
Registrar, ante las autoridades, la propiedad del software y del hardware a favor de la
institución o empresa.
Implementar con la ayuda del (los) departamento(s) de personal y (jurídico en su caso), los
contra tos y mecanismos que aseguren lo anterior.
Implementar los mecanismos de auditoria y control que eviten actos de “piratería” del
software propiedad de terceros.
25
De lo anterior, se desprende la necesidad de una legislación específica, por lo que debe
procurarse:
La determinación de los Delitos electrónicos y de todos los conductos actuales que afectan
la Seguridad en sistemas de información.
Incorporación a una Ley Moderna, que con claridad persiga, reprima y sancione éste tipo de
ilícitos.
2.3.1 ADMINISTRACIÓN.
• Políticas y procedimientos
• Controles administrativos
• Planes de contingencia.
Soporte ambiental
• Protección contra fuego
Hoy en día, las computadoras forman parte del manejo de una gran cantidad de datos útiles
tanto para las Pequeñas y medianas empresas como para las grandes compañías e
instituciones, pero que con un uso indebido, se pueda caer en un descontrol.
El punto de vista tradicional otorgaba mayor atención a la seguridad física, este enfoque
parecía funcionar cuando las operaciones de cómputos estaban centralizadas, pero hoy por
hoy estamos en la era del procesamiento distribuido o interconectividad electrónica.
En un contexto crítico, las empresas que no contemplan medidas de seguridad dentro de sus
instalaciones de cómputo, y en los lugares donde su información reside, corren severos
riesgos de inseguridad, por lo mismo, a veces les es difícil detectar los orígenes de los
problemas, pero cuando lo hacen, sorprendentemente descubren que surgen de áreas que
tenían olvidadas. Como ejemplo, una empresa Intrusión Detection Inc. En el año de 1999,
realizó una encuesta a 32250 usuarios de computadoras, empleados de medianas y grandes
27
empresa, sobre cuales eran los principales problemas relacionados con la seguridad, los
resultados son los que se muestran en la tabla 5.
Porcentaje
Problemas relacionados con la Seguridad
de respuestas
Los usuarios no cambian los passwords con suficiente frecuencia 90%
El acceso a los archivos es demasiado libre 39%
La aplicación de normas de seguridad para nuevos usuarios es 37%
inconsistente
Los passwords son fácilmente identificables 20%
Los identificadores de usuarios están inactivados 17%
Por esto mismo, la seguridad actualmente, en materia de recursos, se encamina mas hacia
su protección, con lo cual, surge el término de Seguridad Lógica. La seguridad lógica es la
disciplina de la seguridad que se encarga del control del acceso a los recursos (incluyendo
el acceso a los sistemas, redes, etc.). Los recursos pueden ser cosas físicas como una cuenta
de banco en un cajero automático, impresoras compartidas o una determinada información.
En materia de datos, surgen tecnologías con las cuales, se logra ocultar el contenido a los
ojos de cualquier desconocido que no deba conocerla. El control de accesos a la
información exige la identificación y autenticación del usuario, o el cifrado de soportes
magnéticos intercambiados entre entidades o de respaldo interno, o de información
transmitida por línea. Un ejemplo de comunicación sobre cifrado de información es cuando
tenemos información encriptada en nuestra oficina y la enviamos por líneas de
comunicación no fiables y tener los sistemas de descifrados en el usuario destino. (Ver
figura 3)
28
Con la seguridad lógica se pretende proteger el patrimonio informacional que se compone
tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los
archivos. Hoy en día, la mayoría de la empresas, tanto públicas como privadas, basan sus
actividades en el proceso electrónico de datos, la información mas relevante como las
cuestiones financieras, y aun la información mas confidencial, suele guardarse en medios
electrónicos, que si salen del entorno organizacional, podrían ser motivo de grandes
pérdidas económicas o de imagen para la empresa.
La confidencialidad es quizá el servicio más obvio y más intuitivo: que nadie tenga acceso
a mi información sin estar autorizado, como lo describe la figura 4:
La revelación, modificación y/o destrucción de los datos son situaciones que pueden darse
como resultados o consecuencias de acciones adversas o eventos no deseados dentro de una
área de cómputo. Por consiguiente, la seguridad de los datos es la protección de éstos de las
seis exposiciones básicas:
2.4 TECNOLOGÍAS
Esta última categoría se conoce con el nombre de autenticación biométrica(13). Es fácil ver
ejemplos de cada uno de estos tipos de autenticación: un password es algo que el usuario
conoce y el resto de personas no, una tarjeta de identidad es algo que el usuario lleva
consigo, la huella dactilar es una característica física del usuario, y un acto involuntario
podría considerarse que se produce al firmar (al rubricar la firma no se piensa en el diseño
de cada trazo individualmente). Por supuesto, un sistema de autenticación puede (y debe,
para incrementar su fiabilidad) combinar mecanismos de diferente tipo, como en el caso de
una tarjeta de crédito junto al NIP (número de identificación personal) a la hora de utilizar
un cajero automático o en el de un dispositivo generador de claves para el uso de One Time
Passwords.
Dentro de la autenticación biométrica se cuentan varios tipos de pruebas, las siguientes son
de las que se tiene conocimiento:
• Verificación de voz
• Verificación de escritura
• Verificación de huellas
• Verificación de patrones oculares (Retina, Iris)
• Verificación de la geometría de la mano (Figura 5)
El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de seguridad
en un sistema computarizado. El hecho que gran parte de actividades humanas sea cada vez
más dependiente de los sistemas computarizados hace que la seguridad juegue un papel
importante.
La criptografía asimétrica es por definición aquella que utiliza dos claves diferentes para
cada usuario, una para cifrar que se le llama clave pública y otra para descifrar que es la
clave privada, como se muestra en la figura 7. El nacimiento de la criptografía asimétrica se
dio al estar buscando un modo más práctico de intercambiar las llaves simétricas. Cuando
toma forma la criptografía asimétrica, su funcionamiento esta basado en la imposibilidad
computacional de factorizar números enteros grandes.
31
Las diversas tecnologías de seguridad de datos serían las más endebles del mundo si no se
cuenta con una normatividad que regule su aplicación y garantice el seguimiento de las
mismas. Para ellos, las Normas de Control Interno se crean para eliminar el peligro de que
los datos de un sistema computarizado sean intencional o inadvertidamente destruidos o
distorsionados.
• Controles de preinstalación
• Controles de organización
• Controles de desarrollo
• Controles de operación
• Controles de procesamiento
• Controles de documentación
• Establecimiento de políticas de permisos
Al instalarse un nuevo equipo de cómputo, es preciso contar con una serie de pasos bien
definidos y ordenados que garanticen la exactitud e integridad de los estudios preliminares;
por tanto constituyen una base confiable para la decisión de la gerencia. Los controles de
preinstalación son los que aseguran un enfoque correcto y bien organizado del trabajo
previo a la instalación de los sistemas y equipos automatizados.
Estos estudios preliminares, realizados según los lineamientos establecidos por la gerencia,
con el personal idóneo, dirigidos y apoyados en todos los niveles de la organización, deben
determinar el área en que será ventajosa la aplicación, incluyendo aquellas donde
probablemente se presenten reducciones en los costos, junto con las operaciones en las que
aun no se obtenga un beneficio económico.
Los estándares que deben fijarse en cualquier plan de organización son semejantes para
todos los niveles de sistemas, sean manuales o automatizados. Para determinar el efecto que
ocasiona en la estructura de la organización la introducción de procesamientos electrónicos,
se recomienda considerar principalmente dos factores:
32
2.4.3. CONTROLES DE DESARROLLO
Incluyen los métodos y procedimientos que deben ponerse en práctica para establecer un
marco que garantice la producción efectiva del área funcional de operación y proporcione
seguridad física a los archivos en disco o cintas magnéticas que se conservan dentro del
área de procesamientos electrónico de datos. El objetivo de estos controles consiste en
establecer los métodos y procedimientos para la operación del equipo de cómputo, a fin de
crear un ambiente que asegure la producción de información.
33
2.4.6. CONTROLES DE DOCUMENTACIÓN
“Servir como bases para la revisión de los controles internos por parte de los auditores”.
El personal de cómputo es, por lo general, de inteligencia y preparada, con frecuencia son
personas muy sensibles y, aunque no hay estadísticas al respecto, se ha notado la incidencia
de crisis nerviosas.
Un aspecto fundamental dentro de estos controles, pero más aun al determinar una política
de permisos, es la determinación de los accesos mediante contraseñas y passwords. Si bien,
como se vio en líneas anteriores, es un método de autenticación que no deja de ser un tanto
inseguro, sin embargo, si se siguen ciertas reglas es probable que se pueda hacer más difícil
su identificación.
• Nunca se deben usar solo palabras como contraseñas, aun en otro idioma, ya que es
muy fácil conseguir diccionarios y que una máquina pruebe todas las
combinaciones.
• Tampoco usar nombres propios
• No usar números como las placas o patente del auto, documento, teléfono, nada que
se relacione con uno
• Invertirlos ó añadir dígitos al inicio o al final tampoco sirve
34
Los que si se deben considerar:
• Cambiar el password cada cierto tiempo que debe estar definido por la empresa,
cada mes, dos o tres meses, o cuando suceda algún evento que obligue a cambiarse
como una posible detección.
• Usar combinaciones de números con letras en minúscula y mayúscula y algunos
caracteres especiales como #, %, @, *, ^, +, &.
• Inclusive se pueden utilizar frases.
• Es importante que las claves sean de mas de 8 caracteres
• Es muy, pero muy conveniente, memorizar los passwords, Es una técnica muy
común, para los malhechores, buscar las claves en lugares comunes, como pueden
ser debajo del teclado, en el monitor, debajo del pad del mouse, en agendas, etc.
Además de determinar las características que tendrán los passwords, también debe
determinarse la forma de generarlos. Los passwords pueden ser:
Cada aproximación ha definido los pros y contras que deben ser examinados,
generalmente, como el número de usuarios y la necesidad a causa de cambios frecuentes
crece, es favorecido el uso de passwords generadas por sistema. Sin embargo, muchos
usuarios generan hoy sus propios passwords. El factor clave de una decisión de esta
naturaleza es la facilidad de la distribución de los passwords, mantenimiento y control.
Casos prácticos:
Es bastante común el uso de tarjetas de crédito y debito bancarias, es sabido por quien tiene
una de ellas que por al obtener una cuenta bancaria en la cual se nos proporciona una tarjeta
plástica, se nos asigna un número de Identificación Personal comúnmente llamado PIN ó
NIP, el cual introducimos en un cajero automático para realizar diversas transacciones.
• Tarjeta Inteligente
35
La compañía EyeDentify posee la patente mundial para analizadores de vasculatura retinal,
por lo que es la principal desarrolladora de esta tecnología
Definición de buffer
Introducción a los buffer overflows Organización de la memoria
La pila
Invisibilización
Una vez dentro
Instalación de puerta trasera
Espacio reservado de memoria. Las posiciones de memoria que ocupa son consecutivas,
por lo que podemos indexarlo.
En realidad, nos podemos referir a un buffer como un array o vector que ya conocemos de
sobra en Pascal o C.
36
2.5.3. ORGANIZACIÓN DE LA MEMORIA
La memoria que el Sistema Operativo asigna a nuestro proceso está dividida en tres zonas:
2.5.4. LA PILA
Se supone que se conoce qué es una pila (de la asignatura de Estructura de Datos). De todas
formas repasemos qué es lo que caracteriza esta estructura: el último elemento añadido a la
pila será el primero en salir, esto se conoce con el acrónimo de LIFO (Last-In-First-Out).
La primera pregunta que nos viene a la cabeza es seguramente, ¿para qué sirve la pila? Pues
bien, nada menos que las siguientes funciones:
Alojar funciones o procedures y sus respectivas variables (las llamadas variables locales).
Para pasar valores tanto del programa principal a la función como de la función al
programa principal.
Y aquí llega la idea feliz: ¿qué pasaría si por alguna "casualidad" metiésemos más datos el
buffer de los que puede alojar? Pues bien, sobrescribiríamos la dirección de retorno,
haciéndola apuntar hacia otra parte de la memoria. Si realmente se ha tratado de una
casualidad, lo más probable es que la nueva dirección a la que apuntamos este fuera de
nuestro espacio reservado de memoria, produciendo un error de segmento (Segmentation
37
Fault). Ahora podemos decir que hemos producido una sobrecarga de buffer (buffer
overflow).
Pero nuestro objetivo es romper la seguridad del sistema, por lo que a nosotros nos interesa
es que dicho programa ejecute el código que nos venga en gana. Seguramente nos
toparemos con el problema de que lo que queremos ejecutar no se encuentra entre las
instrucciones del programa. La solución es fácil: simplemente desbordaremos el buffer con
el código que queremos ejecutar y haremos que la dirección de retorno apunte al principio
de éste.
El problema con los sistemas operativos multiusuario radica en que en algunos momentos
para realizar determinadas tareas necesitas mayores privilegios (privilegios de root), puesto
que dichas tareas no están permitidas a los usuarios normales, tal como cambiarte el
password, etc... La solución a este problema esta en que en lugar de darle total control sobre
el sistema (privilegios de root) para realizar esa tarea, realizar un programa que se encargue
de hacer solo lo que el usuario necesita con mayores privilegios. Para hacer esto lo único
que tenemos que hacer es indicarle al sistema operativo que cuando ese programa se ejecute
lo haga con privilegios de súper usuario, a dichos programas se les denomina SUID. (Super
User ID). Queda aclarar que dicha indicación solo puede ser hecha por el root, y queda
almacenada en disco.
Cuando una maquina es atacada y tiene no sólo un programa vulnerable, sino que además
se podía abusar de él sin ni siquiera tener cuenta de usuario en el ordenador.
Los objetivos que suelen perseguir la mayoría de los intrusos son dos:
38
2.5.5.2. INVISIBILIZACIÓN:
Hasta ahora la actividad no ha pasado ni mucho menos desapercibida para la máquina, que
ha estado guardando cuidadosamente TODAS las acciones hechas. Veamos donde ha
grabado esta información:
Para borrar nuestros rastros lo que hacemos es usar un editor cualquiera, como el vi, pero
solo de los archivos /var/log/secure y /var/log/messages.
La puerta trasera (backdoor) nos permitirá volver a entrar en el sistema sin la necesidad de
volver a aprovechar el fallo de seguridad antes descubierto. Esto se hace por dos razones:
una, es más cómodo y dos, el fallo puede ser corregido, pero si la puerta trasera es buena,
seguiremos teniendo acceso. Además también puede estar hecha de tal manera que no deje
rastros al entrar, lo cual es también una ventaja, puesto que no nos tendremos que
preocupar de borrar nuestras huellas, ya que no dejaremos ninguna al entrar así.
• Controles administrativos
• Controles de respaldo
39
2.7 PLANES DE CONTINGENCIA.
Contingencia es toda aquella posibilidad de que una cosa suceda y que a su vez genere
riesgo y peligro.
40
Existen rubros muy marcados que tienen que ser considerados en diferentes etapas de
prevención (ver tabla 7).
Evaluación
Planificación Fase de prevención
Pruebas
Ejecución
Fase de reacción ante la falla
Recuperación
4.- Programa de registros vitales.- Es la parte vital en la sección de datos del plan de
recuperación, su objetivo es proteger datos esenciales y preservar aquellos registros
necesarios para restablecer las operaciones.
41
Por ultimo podemos decir que el mejor plan de contingencia es aquel que se adecua a las
necesidades de la empresa, (ver tabla 8).
El desarrollo se refiere a todas las actividades que entran en la producción de una solución
de sistemas de información para un problema o una oportunidad institucional.
• Ambiente de desarrollo
• Ambiente de Pruebas
• Ambiente de producción
Teniendo como objetivo: Implantar medidas de seguridad tendientes a disminuir los riesgos
antes de la liberación del producto.
42
ASPECTOS META
Administración -La administración en telecomunicaciones debe ser lo suficientemente fuerte, para
establecer estándares y procedimientos.
- Deben de existir adecuados registros para documentar y controlar los inventarios del
equipo de telecomunicaciones y administrar los cambios del equipo.
- Deben de existir procedimientos para monitorear el uso de la red, para hacer ajustes o
mejorar el performance y registrar y resolver cualquier tipo de problemas.
- Deben de existir procedimientos controlar a los costos de las telecomunicaciones y
cargarlos a los departamentos y personas adecuadas.
- El administrador deberá de tomar un rol activo en el diseño y desarrollo de las
nuevas aplicaciones en la línea para asegurar que se sigan los estándares de
telecomunicaciones.
Seguridad Física - El equipo de comunicaciones deberá de ser mantenida en un área segura para
prevenir accesos indebidos.
- Las líneas de comunicaciones deberán de ser debidamente blindadas y protegidas
para prevenir “conexiones indebidas”.
- El equipo de prueba a las comunicaciones usando para monitorear la red, debe de ser
protegido para limitar accesos indebidos.
- El plan de contingencia debe de proporcionar una adecuada atención a la
recuperación de las facilidades de comunicaciones de datos.
Seguridad Lógica - Deben de existir password y otros procedimientos para limitar y detectar cualquier
intento de acceso no autorizado para utilizar la red de telecomunicaciones.
- Las facilidades de chequeo de errores deberán de existir para detectar errores en la
transmisión y establecer retransmisiones si es apropiado.
- Si son transmitidos datos sensibles, el sistema debería de usar facilidades para
establecer nuevas rutas automáticamente, para limitar cualquier conexión a los cables
de la señal que no sea autorizada, así como controles para asegurar que las
transmisiones solo son para usuarios autorizados.
43
CAPITULO III
AUDITORÍA EN SISTEMAS DE INFORMACIÓN.
44
3.1. TIPOS DE AUDITORÍA.
Cuando se habla de Auditoria, la mayor parte de la gente los enfoca a la Auditoria de los
estados financieros, sin embargo actualmente se ha observado una creciente tendencia a
revisar otros aspectos como son:
• AUDITORIA FINANCIERA
• AUDITORIA OPERACIONAL
• AUDITORIA ADMINISTRATIVA
“Auditoria es la actividad por la cual se verifica las cifras de los estados financieros, es la
revisión misma de los registros y fuentes de contabilidad, para determinar la razonabilidad
de las cifras que muestran los estados financieros emanados de ella".
45
"Es el servicio que presta el contador público independiente, cuando examina ciertos
aspectos administrativos, con la intención de hacer recomendaciones para incrementar la
eficiencia operacional de la entidad".
Conociendo los tres conceptos anteriores se puede preguntar ¿qué es auditoria en sistemas
de información?
“La auditoria en sistemas de información debe de ocupar el número uno en prioridad ya que
es indispensable para obtener la información en las que se basan las demás auditorias.”
La Auditoria Interna a su vez, se efectúa mediante el empleo de uno de los dos métodos
siguientes:
Donde el auditor se apoya sobre el sistema de comprobación interna que se tenga normado
dentro de la organización, para comprobar la exactitud de las transacciones.
Es aquella que se da por auditores profesionales contratados para tal efecto y que no
pertenecen a la organización donde se realizará la auditoria.
46
Los resultados finales, tanto de la Auditoria Interna o Externa, son siempre los mismos;
determinar la exactitud e integridad de la información.
Las normas de Auditoria, son los requisitos mínimos de calidad relativos a la personalidad
del auditor, las actividades que desempeña y los resultados que se esperan obtener de su
trabajo. Cada empresa puede definir sus propias normas para el personal del área de
Auditoria.
Las normas personales, son cualidades que el auditor debe de tener antes de poder asumir
un trabajo profesional, además de cualidades que también debe de mantener y enriquecer
durante el desarrollo de toda su actividad profesional.
El auditor antes de iniciar su trabajo, debe de tener una preparación y capacidad que lo
coloquen en condiciones de prestar satisfactoriamente sus servicios.
3) Independencia mental.
47
b).- NORMAS RELATIVAS A LA EJECUCIÓN DEL TRABAJO.
1) Planeación y supervisión.
1) Estudio general
2) Análisis
3) Inspección
4) Confirmación
5) Investigación
6) Declaración o certificación
7) Observación
8) Cálculo
48
3.5.1. TÉCNICAS DE AUDITORÍA EN SISTEMAS DE INFORMACIÓN.
Dentro de las técnicas de auditoria en sistemas de información, que pueden ser aplicables
para todas las áreas de participación de la misma, tenemos las siguientes:
11) Inclusión dentro del desarrollo de sistemas, módulos propios del área de Auditoria.
Sin embargo, en ciertos casos hay algunas técnicas cuya aplicación, salvo circunstancias
absolutamente excepcionales, es necesaria para obtener una certeza razonable.
49
3.7. ESTRUCTURA ORGÁNICA DE AUDITORÍA EN SISTEMAS DE
INFORMACIÓN.
1) Integrado
Los proyectos vienen siendo las áreas de participación del auditor en sistemas de
información.
Existen dos formas de llevar a cabo una revisión; una de ellas es una revisión programada,
y la otra es una revisión especial, para la revisión programada de manera general deben
seguirse los siguientes pasos:
Al inicio de toda revisión se deben de establecer claramente los objetivos que se pretenden
alcanzar y el alcance esperado a cubrirse durante la revisión.
Se deben de establecer las fechas de inicio y final de la revisión, las actividades a cubrir y
los tiempos estimados de cada actividad. (Gráfica de Gantt).
50
• De ser necesario, preparar una carta de presentación.
Deberá de realizarse una carta de presentación firmada por el representante del área de
auditoria y dirigida al responsable del área a revisar, indicando en ella el motivo de la
revisión.
En ésta fase se deberá de preparar el material suficiente para la realización de todo tipo de
pruebas generales y especificas, necesarias para cubrir el alcance de la revisión.
En ésta fase, deberá de prepararse los cuestionarios, checklist, etc.; así como cédulas de
observación, matrices de apoyo, etc. que apoyarán durante la revisión.
Protocolos de presentación.
Tanto al inicio como al final de toda revisión, existen protocolos de presentación paro lo
cual es conveniente tener presente:
2. Respuesta de reconocimiento
51
3.9.2. Obstáculos de la Comunicación.
2. Advertir, amenazar
3. Moralizar, sermonear
9. Compadecer, consolar
El levantamiento de información, nos permitirá conocer los puntos que nos lleven al
objetivo y alcance planteado inicialmente.
En esta etapa deben de realizarse las pruebas de cumplimiento, definidas con anterioridad.
En esta etapa es donde se requiere de mayor experiencia del auditor para detectar
debilidades de control. Es aquí donde se debe de identificar las observaciones, a través del
análisis de la información recabada (checklist, cuestionarios, pruebas de cumplimiento,
etc.) Aquí también es donde se deben de determinar las causas e impactos.
52
3.9.6. Papeles de Trabajo.
Al respecto, es necesario identificar el nivel de riesgo a que está expuesta el área que se está
revisando, a través de un análisis y un peso a cada una de las observaciones. Los niveles de
riesgo existentes, son:
53
3.10.3. Elaboración del Informe Correspondiente.
El producto final del auditor es su informe, por lo éste deberá de elaborarse con, objetividad
y diligencia profesional.
De manera general contiene una breve introducción, objetivo cubierto, alcance cubierto,
restricciones si es que las hubo, presentación de las observaciones ya clasificadas por riesgo
y agrupadas por rubro revisado, es conveniente mencionar su causa, el impacto y la
sugerencia (donde la sugerencia debe de referirse a la causa), al final deberá de contarse
con una conclusión.
Esta definición puede ser desde luego un área completa de participación, o bien puede
concretarse a la revisión de un solo elemento, componente, procedimiento, etc.
54
El objetivo general que se persigue es disminuir los riesgos antes de liberar el sistema. Por
lo tanto el auditor en sistemas debe de conocer las fases en que se desarrolla un sistema de
información.
Algo importante a tener en cuenta es que existen varios métodos de desarrollo de sistemas,
cada empresa cuenta o debe de contar con su propia normatividad para el desarrollo de
sistemas.
1) Administración.
55
Al respecto, el auditor en sistemas de información a través de las técnicas de auditoria
deberá de efectuar actividades que le permitan contar con elementos de juicio, para emitir
una opinión en relación a la forma de operar y la suficiencia de controles establecidos en el
centro de cómputo.
En esencia, los trabajos de Auditoria no han variado, sin embargo, la tecnología moderna
ha evolucionado los medios para realizar la misma.
“El auditor en sistemas de información aparte de que debe de estar familiarizado con la
organización y funciones de cada una de las áreas y operaciones que se realizan en la
empresa donde trabaje, requiere de conocimientos de electrónica, computación y de
informática”.
Además la automatización puede ser muy útil, ya sea por la complejidad del proceso o por
el volumen de la información a auditar.
Otro enfoque que hace la necesidad de contar con esta área de oportunidad es la falta de
pistas de auditoria al utilizar los reportes de un sistema que se encuentra en producción o
bien necesidades propias del área de auditoria.
Este es uno de los aspectos que mas se han descuidado en materia de seguridad, aunque ya
actualmente se habla de sistemas de encriptamiento, de control de acceso, protección de
datos, etc.
Como uno de los objetivos a seguir es, el control y la revisión continua de accesos a la
información en línea, sugiriendo el establecimiento de controles en: Identificación.
Autorización y Protección.
56
Como aspectos generales debe de cubrirse: administración. seguridad lógica, seguridad
física y planes de contingencia.
• Adquisición de Hardware
• Adquisición de Software
Esta área de participación, es conveniente que por su delicadeza, sea auditada por personal
de alto nivel del área de Auditoria en sistemas de información, asimismo está área en la
mayoría de veces tiende a involucrar a las demás áreas de participación.
57
CAPÍTULO IV
PERFIL PROFESIONAL DEL AUDITOR EN
SISTEMAS DE INFORMACIÓN, HERRAMIENTAS
PARA AUDITORIA Y SU EVALUACIÓN
58
4.1. INGENIERÍA EN INSTRUMENTACIÓN ELECTFRÓNICA.
Para ser experto en desarrollo de proyectos se necesita dirigir proyectos dentro y fuera de
una institución, industria u organismos. Al ser líder de proyectos se tienen riesgos,
objetivos y metas creando una mejor visión sobre los controles que se quieren implementar
para tener mayor seguridad en la información.
Hoy la electrónica crece en una forma exponencial, por tal motivo se tiene que estar
actualizando en forma permanente a través de revistas, periódicos, libros, Internet, etc.
59
4.6. EXPERTO EN SOFTWARE DE COMUNICACIÓN
Al mismo tiempo se tiene que crear una protección en lo posible a través de “filtros”
denominados cortafuegos (firewalls) o proxies que limitan el paso de paquetes, a personas
no autorizada para el uso de ellas, estableciendo restricciones y alertas.
• Cuestionarios.
• Entrevistas.
• Observación/Investigación.
• Simulación.
• Checklists.
• Conocimiento en ingeniería de Hardware
• Conocimiento en ingeniería de Software.
• Conocimientos en ingeniería del Conocimiento.
• Conocimientos en estados financieros de alto nivel.
• Narrativos de problemas claves en la organización.
• Herramientas CASE
• Técnicas de desarrollo progresivo.
60
CUESTIONARIO
1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas
programadas de implantación que puedan ser considerados como plan maestro?
18. ¿Con qué frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
61
20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
Enumérelos secuencialmente:
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
( ) Designación del funcionario responsable del proyecto.
( ) Integración del grupo de trabajo.
( ) Integración del comité de decisiones.
( ) Desarrollo de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
21. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún
cumplen con los objetivos para los cuales fueron diseñados?
De análisis Si ( ) No ( )
De programación Si ( ) No ( )
Observaciones
22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el
departamento de informática podría satisfacer las necesidades de la dependencia,
según la situación actual.
El siguiente cuestionario se presenta como ejemplo para la evaluación del diseño y prueba
de los sistemas:
62
8. Indique qué pasos siguen los programadores en el desarrollo de un programa:
· Estudio de la definición ( )
· Discusión con el analista ( )
· Diagrama de bloques ( )
· Tabla de decisiones ( )
· Prueba de escritorio ( )
· Codificación ( )
· ¿Es enviado a captura o los programadores capturan? ( )
· ¿Quién los captura?______________________________
· Compilación ( )
· Elaborar datos de prueba ( )
· Solicitar datos al analista ( )
· Correr programas con datos ( )
· Revisión de resultados ( )
· Corrección del programa ( )
· Documentar el programa ( )
· Someter resultados de prueba ( )
· Entrega del programa ( )
9. ¿Qué documentación acompaña al programa cuando se entrega?
ENTREVISTA A USUARIOS
63
5. ¿Son entregados con puntualidad los trabajos?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
¿Por que?
6. ¿Que piensa de la presentación de los trabajadores solicitados al departamento de
cómputo?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?
7. ¿Que piensa de la asesoría que se imparte sobre informática?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
¿Por que?
8. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el
sistema que utiliza?
Nula ( )
Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( )
¿Por que?
9. ¿Existen fallas de exactitud en los procesos de información?
¿Cuáles?
10. ¿Cómo utiliza los reportes que se le proporcionan?
11. ¿Cuáles no Utiliza?
12. De aquellos que no utiliza ¿por que razón los recibe?
13. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación,
fusión, división de reporte?
14. ¿Se cuenta con un manual de usuario por Sistema?
Si ( ) No ( )
15. ¿Es claro y objetivo el manual del usuario?
Si ( ) No ( )
16. ¿Que opinión tiene el manual?
Nota: Pida el manual del usuario para evaluarlo.
17. ¿Quién interviene de su departamento en el diseño de sistemas?
18. ¿Que sistemas desearía que se incluyeran?
19. Observaciones:
64
4.10. DOCUMENTACION
• No existe (no pagan por eso. no hay tiempo: el eslabón mas débil, no gusta
documentar. el nuevo enfoque de la programación)
• Existe pero esta desactualizada
• Existe, es actual, pero no se utiliza. paradoja: existen programas bien
documentados pero que fallan y otros con documentación deficiente pero
funcionan con seguridad. ¿PARA QUE DOCUMENTAR?:
• La documentación disminuye la obsolescencia.
• La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se
debe revisar si realmente los sistemas están entrelazados como un todo o si están
aislados.
• Evaluar si existe un plan estratégico para su elaboración.
• Estrategia de desarrollo.
• Consulta a los usuarios.
• Planeación de recursos.
Los sistemas deben ser evaluados de acuerdo al ciclo de vida que normalmente siguen:
65
Los sistemas deben ser evaluados de acuerdo al ciclo de vida que normalmente siguen:
• Implementación.
• Evaluación.
• Modificaciones.
• Instalación.
• Mejoras.
En esta etapa se evalúan las políticas, procedimientos y normas que se tienen para
llevar a cabo el análisis.
Se evalúa la planeación de las aplicaciones, que pueden provenir de 3 fuentes:
• Planeación Estratégica
• Requerimientos de los usuarios
• Inventario de sistemas en proceso.
• Entradas
• Salidas
66
• Procesos
• Especificaciones de datos
• Especificaciones de proceso
67
4.13.7 EVALUACIÓN DEL DISEÑO LÓGICO (8)
En el procedimiento:
• ¿Quién hace, cuándo y cómo?
• ¿Qué formas se utilizan en el sistema?
• ¿Son necesarias, se usan, están duplicadas?
• ¿El número de copias es el adecuado?
• ¿Existen puntos de control o faltan?
Se auditan:
68
4.15. EVALUACIÓN DE LA IMPLEMENTACIÓN
Se auditan:
69
CONCLUSIONES
70
Podemos concluir diciendo que vivimos en la era de la tecnología digital donde existen
cambios nunca antes imaginados y donde la información pasó a ser la parte fundamental de
toda empresa e industria.
Es por eso que en el primer capítulo analizamos los riesgos desde el punto de vista que
ocurra algún evento negativo tanto interno como externo ahí mismo, se estableció la
mecánica de controles en los dos aspectos internos y externos, dando una idea clara y
precisa que para cada riesgo debe existir un control. Por lo tanto se establecieron controles
que deben ser aplicados, llamándole Seguridad en los Sistemas de Información.
Una Auditoria de seguridad interna detecta y resalta todos los problemas que puedan surgir
en su infraestructura telemática y en el uso que sus empleados hacen de ella.
El objetivo principal de esta auditoria es evaluar e identificar los puntos fuertes y débiles de
la seguridad de su empresa, y a partir de estos resultados adoptar una política de seguridad
adaptada a su entorno.
Por otro lado, si la empresa ya posee una política de seguridad, deberá auditar
periódicamente que ésta se cumpla, comprobando la correcta configuración de sus sistemas
de seguridad y el uso que le dan sus empleados.
Estamos convencidos que las personas que cubren en su mayoría el perfil son los egresados
de la facultad de instrumentación electrónica por tal motivo proponemos que se agregue al
campo de aplicación de estos el de auditor en Sistemas de Información.
71
APÉNDICE
72
Apéndice
Dependencia: COBAEV
Tecnología en Comunicaciones
1.- Establecer una comunicación rápida y confiable entre los tres edificios que componen a
las oficinas centrales del colegio de Bachilleres.
2.- Instalar conmutadores telefónicos enlazados, de igual forma plantear una estrategia para
brindar un servicio de comunicación entre oficinas centrales y los 52 plantes, esto a
través de telefonía IP. (La telefonía IP convierte el computador en un teléfono.
3.- La implementación del Internet en todos los planteles y la correcta aplicación del
programa e-México.
4.- Reestructuración de los centros de cómputo y sus redes locales en cada uno de los
planteles.
73
5.- Estrategias de Seguridad y detección de Intrusos en la red.
6.- Desarrollar una página de Internet del COBAEV dinámica y actualizada, que facilite la
información a padres de familia, alumnos, maestros y personal administrativo, con la
finalidad de ofrecer un servicio vanguardista de acuerdo a la dinámica tecnológica que
existe hoy día.
7.- Buscar alternativas de solución para una correcta aplicación en el programa Cisco-
Lania, a través de la capacitación de redes y Comunicaciones, en el entorno laboral
aplicado, de igual forma buscar nuevas alternativas para esta capacitación ya que la
Universidad Veracruzana cuenta dcon ella en una forma eficiente.
Soporte Técnico
2.- Ofrecer un servicio de atención oportuna a los reportes presentados por los usuarios.
3.- Sugerir las propuestas idóneas para la adquisición de hardware y software, con el fin de
brindar su opinión calificada.
74
4.- Relacionar la existencia y ubicación de los equipos instalados, para mantener un
adecuado control de los bienes informáticos que se poseen en el Colegio de
Bachilleres.
5.- Definir lineamientos de seguridad y acceso a los sistemas, con el fin de salvaguardar su
integridad y/o asegurar el uso de las licencias correspondientes.
8.- Revisar que el software instalado esté actualizado y funcionando adecuadamente, con
el objeto de proporcionar un servicio adecuado a los usuarios.
9.- Implementar una pagina que contenga soporte en línea para todos los planteles.
Informática
75
4. Fortalecer en forma dinámica los programas de Planeación, Programación y
Presupuesto, consolidando la información, para obtener balances en momentos
deseados.
CUESTIONARIO
76
33. ¿Cómo se calcula el presupuesto del proyecto?
R= No hay un calculo, se determina de acuerdo a las necesidades.
34. ¿Qué técnicas se usan en el control de los proyectos?
R= Ninguna
35. ¿Quién asigna las prioridades?
R= El encargado del proyecto.
36. ¿Cómo se asignan las prioridades?
R= De acuerdo a las urgencias.
37. ¿Cómo se controla el avance del proyecto?
R= No hay un control.
38. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
R= No existe un calendario de reportes.
39. ¿Cómo se estima el rendimiento del personal?
R= No se toma en cuenta.
40. ¿Con qué frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
R= No existe esa comparación.
41. ¿Qué acciones correctivas se toman en caso de desviaciones?
R= Volver a modificar la codificación del sistema.
42. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?.
Enumérelos secuencialmente:
(4 ) Determinación de los objetivos.
(3 ) Señalamiento de las políticas.
(1 ) Designación del funcionario responsable del proyecto.
(2 ) Integración del grupo de trabajo.
( ) Integración del comité de decisiones.
( ) Desarrollo de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
43. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún
cumplen con los objetivos para los cuales fueron diseñados?.
De análisis Si ( ) No ( x )
De programación Si ( ) No ( x )
Observaciones: No se prevén. Se hacen modificaciones al sistema cuando surgen
las necesidades.
44. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el
departamento de informática podría satisfacer las necesidades de la dependencia,
según la situación actual.
R=No hay plazos estimados, pero sí muchas necesidades.
77
Se practicó una evaluación y prueba de los sistemas, teniendo como resultado lo siguiente:
78
Se consideraron todos los aspectos antes señalados para realizar una entrevista a 50
usuarios, teniendo como resultado los siguientes datos:
Se revisó si existe documentación de acuerdo a los avances en cada uno de los proyectos.
Encontrado como respuesta que no existe documentación por que no le ha sido requerida
por ningún jefe inmediato.
Podemos concluir diciendo que es urgente implementar controles suficientes para disminuir
los riesgos que generan las bases de datos en el uso de la información, protegiendo de esta
forma el patrimonio de la institución.
79
BIBLIOGRAFÍA
80
• Desarrollo y Gestión de Proyectos Informáticos
Steve Mc Connell
Mc Graw-Hill Interamericana de España, S.A.V.
1ª Edición 1997.
• Moeller, Robert R., Computer Audit, Control, and Security, Wiley, 1989
• Musaij, Yusufali F., Auditing and Segurity, John Wiley and Sons, Inc., 2001
81
• Weill, Peter Marianne Broadbent. Leveraging the New Infrastrusture:How
Market Leader Capitalize on Technology. Editorial: Harvard Business School
Press.
82
REFERENCIAS EN PÁGINAS WEB
83
• http://www.map.es/csi/criterios/index.html
• http://www.m-d-n.com/sistemas-informatizados/LEY-PROTECCION-
DATOS/LOPD.html
• http://www.bcentral.es/partner/s21sec/auditoriadmz/?gsid
• www.eniac.com/fraude_mar01
• http://www.iec.csic.es/criptonomicon/seguridad/mecanism.html
• http://tiny.uasnet.mx/prof/cln/der/silvia/index.htm
• http://www.gratisweb.com/nmrg291/ronaldmitre.htm
• www.rediris.es/cert/doc/unixsec/node25.html
• http://www.cisco.com
• http://www.wi-lan.com
• www.noticias.com/noticias/2001/0108/n01082735.htm
• http://www,sumanet.com/harvard/biometria.htm
• http://www.lafacu.com/apuntes/informatica/audit%5Finfor
• www.imf.org/external/pubs/ft/fandd/spa/2002/09/pdf
• http://www.delitosinformaticos.com
• http://www.cepes.org.pe/apc-aa/archivos-
aa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf
• http://www.pcm.gob.pe/portal_ongei/seguridad2_archivos/Lib5158/Libro.pdf
84
• http://www.csi.map.es/csi/fr340001.htm
• http://www.s-ig.com.ar/pages/indice.html
• http://www.it.uc3m.es/~spickin/docencia/sisinf
• http://www.oecd.org
• http://www.eclac.cl/software/cepal8d.htm
• http://ccia.ei.uvigo.es/docencia/SSI/VPN.pdf
85
GLOSARIO DE TERMINOS
86
(1) TECNOLOGIAS
(2) El RIESGO
(4) CONTROLES
87
(5) DINAMICA METORICA DEL CAMBIO
(6) CONFIABILIDAD
(7) HACKERS
88
Destaca que esta nueva técnica permite un gran salto cualitativo permitiendo el desarrollo
de las bases de datos relacionadas, estas organizan los datos mediante tablas permitiendo la
búsqueda de determinados datos a partir de atributos establecidos.
(9) MAINFRAME
(10) MINI-COMPUTADOR
Es una maquina multiusuario (es decir que usa la técnica de tiempo compartido). Es
mas pequeño y económico que un microcomputador, pero mayor y mas potente que una
computadora personal.
(11) MICROCOMPUTADORA
89
90